mcafee epolicy orchestrator 5.3.0 logiciel guide produit · créer et remplir des groupes dans...

Guide produit

McAfee ePolicy Orchestrator 5.3.0 —Logiciel

COPYRIGHTCopyright © 2014 McAfee, Inc. Copie sans autorisation interdite.

DROITS DE MARQUESMcAfee, le logo McAfee, McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, Foundscore, Foundstone, PolicyLab, McAfee QuickClean, Safe Eyes, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee Total Protection, TrustedSource,VirusScan, WaveSecure sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. ou de ses filiales aux Etats-Unis etdans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs.

Les noms et les descriptions des produits et fonctionnalités sont susceptibles d'être modifiés sans préavis. Pour en savoir plus sur les fonctionnalités etles produits les plus récents, accédez au site mcafee.com.

INFORMATIONS DE LICENCE

Accord de licenceÀ L'ATTENTION DE TOUS LES UTILISATEURS : VEUILLEZ LIRE ATTENTIVEMENT L'ACCORD LÉGAL APPROPRIÉ CORRESPONDANT À LA LICENCE QUEVOUS AVEZ ACHETÉE, QUI DÉFINIT LES CONDITIONS GÉNÉRALES D'UTILISATION DU LOGICIEL SOUS LICENCE. SI VOUS NE CONNAISSEZ PAS LETYPE DE LICENCE QUE VOUS AVEZ ACQUIS, CONSULTEZ LES DOCUMENTS DE VENTE, D'ATTRIBUTION DE LICENCE OU LE BON DE COMMANDE QUIACCOMPAGNENT LE LOGICIEL OU QUE VOUS AVEZ REÇUS SÉPARÉMENT LORS DE L'ACHAT (SOUS LA FORME D'UN LIVRET, D'UN FICHIER SUR LECD-ROM DU PRODUIT OU D'UN FICHIER DISPONIBLE SUR LE SITE WEB À PARTIR DUQUEL VOUS AVEZ TÉLÉCHARGÉ LE PACKAGE LOGICIEL). SI VOUSN'ACCEPTEZ PAS TOUTES LES DISPOSITIONS DE CET ACCORD, NE PROCÉDEZ PAS À L'INSTALLATION DU LOGICIEL. LE CAS ÉCHÉANT, VOUS POUVEZRETOURNER LE PRODUIT À MCAFEE OU À VOTRE REVENDEUR AFIN D'EN OBTENIR LE REMBOURSEMENT INTÉGRAL.

2 McAfee ePolicy Orchestrator 5.3.0 — Logiciel Guide produit

http://mcafee.com

Sommaire

Préface 11Présentation de ce guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Public visé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Conventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Accès à la documentation sur le produit . . . . . . . . . . . . . . . . . . . . . . . . . 12

Présentation du logiciel McAfee ePolicy Orchestrator1 Protection des réseaux avec le logiciel ePolicy Orchestrator 15

Avantages du logiciel ePolicy Orchestrator . . . . . . . . . . . . . . . . . . . . . . . . 15Présentation des composants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Fonctionnement du logiciel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

2 Utilisation de l'interface d'ePolicy Orchestrator 19Connexion et déconnexion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Navigation dans l'interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Utilisation du Menu de navigation d'ePolicy Orchestrator . . . . . . . . . . . . . . . 20Personnalisation de la barre de navigation . . . . . . . . . . . . . . . . . . . . . 20Catégories de paramètres serveur . . . . . . . . . . . . . . . . . . . . . . . . 20

Utilisation des listes et des tableaux . . . . . . . . . . . . . . . . . . . . . . . . . . 22Filtrage d'une liste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Recherche d'éléments de liste spécifiques . . . . . . . . . . . . . . . . . . . . . 23Sélection des cases à cocher des lignes de tableau . . . . . . . . . . . . . . . . . 24

Configuration d'ePolicy Orchestrator3 Planification de la configuration d'ePolicy Orchestrator 27

Eléments à prendre en compte concernant l'évolutivité . . . . . . . . . . . . . . . . . . 27Quand utiliser plusieurs serveurs McAfee ePO . . . . . . . . . . . . . . . . . . . 28Quand utiliser plusieurs gestionnaires d'agents distants . . . . . . . . . . . . . . . 28

Protocole IP dans un environnement managé . . . . . . . . . . . . . . . . . . . . . . 29

4 Configuration de votre serveur McAfee ePO 31Présentation de la configuration du serveur . . . . . . . . . . . . . . . . . . . . . . . 31Utilisation de la fonction automatique Etat de l'installation du produit . . . . . . . . . . . . . 33Fonctionnalités essentielles pour la configuration assistée ou manuelle . . . . . . . . . . . . 34Configuration des fonctionnalités essentielles . . . . . . . . . . . . . . . . . . . . . . 35Utilisation d'un serveur proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Saisie du numéro de licence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38Configuration de Product Improvement Program . . . . . . . . . . . . . . . . . . . . . 38Désinstallation de McAfee Product Improvement Program . . . . . . . . . . . . . . . . . 39

5 Comptes d'utilisateur et ensembles d'autorisations 41Comptes d'utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

McAfee ePolicy Orchestrator 5.3.0 — Logiciel Guide produit 3

Gestion des comptes d'utilisateur . . . . . . . . . . . . . . . . . . . . . . . . 42Formats de nom d'utilisateur et de mot de passe pris en charge . . . . . . . . . . . . 43Création d'un message de connexion personnalisé . . . . . . . . . . . . . . . . . 43Configuration de la connexion d'utilisateurs Active Directory . . . . . . . . . . . . . 43Journal d'audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

Authentification par certificat client . . . . . . . . . . . . . . . . . . . . . . . . . . 50Modalités d'utilisation de l'authentification par certificat client . . . . . . . . . . . . . 50Configuration d'ePolicy Orchestrator pour l'authentification par certificat client . . . . . . 51Modification de l'authentification par certificat du serveur McAfee ePO . . . . . . . . . 51Désactivation de l'authentification par certificat client du serveur McAfee ePO . . . . . . 52Configuration des utilisateurs pour l'authentification par certificat . . . . . . . . . . . 52Mise à jour du fichier de liste de révocation de certificats . . . . . . . . . . . . . . . 53Problèmes liés à l'authentification par certificat client . . . . . . . . . . . . . . . . 54Certificats SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54Création d'un certificat autosigné avec OpenSSL . . . . . . . . . . . . . . . . . . 56Autres commandes OpenSSL utiles . . . . . . . . . . . . . . . . . . . . . . . 59Conversion d'un fichier PVK existant en fichier PEM . . . . . . . . . . . . . . . . . 59

Ensembles d'autorisations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60Interactions entre utilisateurs, groupes et ensembles d'autorisations . . . . . . . . . . 60Gestion des ensembles d'autorisations . . . . . . . . . . . . . . . . . . . . . . 61

6 Référentiels 65Présentation des types de référentiels . . . . . . . . . . . . . . . . . . . . . . . . . 65

Types de référentiels distribués . . . . . . . . . . . . . . . . . . . . . . . . . 67Branches de référentiels et leurs fonctions . . . . . . . . . . . . . . . . . . . . 68Fichiers de liste de référentiels . . . . . . . . . . . . . . . . . . . . . . . . . 69

Interactions entre les référentiels . . . . . . . . . . . . . . . . . . . . . . . . . . . 70Configuration initiale des référentiels . . . . . . . . . . . . . . . . . . . . . . . . . . 70Gestion des sites sources et de secours . . . . . . . . . . . . . . . . . . . . . . . . . 70

Création de sites sources . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Réattribution des rôles de site source et site de secours . . . . . . . . . . . . . . . 72Modification de sites sources et de secours . . . . . . . . . . . . . . . . . . . . 72Suppression des sites sources ou désactivation des sites de secours . . . . . . . . . . 72

Vérification de l'accès au site source . . . . . . . . . . . . . . . . . . . . . . . . . . 73Configuration des paramètres de proxy . . . . . . . . . . . . . . . . . . . . . . 73Configuration des paramètres de proxy pour McAfee Agent . . . . . . . . . . . . . . 74

Configuration des paramètres pour les mises à jour globales . . . . . . . . . . . . . . . . 75Configuration de stratégies d'agent pour l'emploi d'un référentiel distribué . . . . . . . . . . . 75Utilisation de SuperAgents en tant que référentiels distribués . . . . . . . . . . . . . . . . 76

Création de référentiels distribués SuperAgents . . . . . . . . . . . . . . . . . . 76Réplication des packages dans les référentiels SuperAgents . . . . . . . . . . . . . 77Suppression de référentiels distribués SuperAgents . . . . . . . . . . . . . . . . . 78

Création et configuration de référentiels sur des serveurs FTP ou HTTP et des partages UNC . . . 78Création d'un dossier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79Ajout du référentiel distribué à ePolicy Orchestrator . . . . . . . . . . . . . . . . . 79Pour éviter la réplication des packages sélectionnés . . . . . . . . . . . . . . . . . 81Désactivation de la réplication de packages sélectionnés . . . . . . . . . . . . . . . 82Activation du partage de dossier pour les référentiels HTTP et UNC . . . . . . . . . . . 82Modification de référentiels distribués . . . . . . . . . . . . . . . . . . . . . . 82Suppression de référentiels distribués . . . . . . . . . . . . . . . . . . . . . . 83

Utilisation des partages UNC en tant que référentiels distribués . . . . . . . . . . . . . . . 83Utilisation de référentiels distribués locaux non managés . . . . . . . . . . . . . . . . . . 84Utilisation des fichiers de liste de référentiels . . . . . . . . . . . . . . . . . . . . . . 85

Exportation du fichier de liste de référentiels SiteList.xml . . . . . . . . . . . . . . 86Exportation de la liste de référentiels à des fins de sauvegarde ou de partage avec d'autresserveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

Sommaire


Importation de référentiels distribués depuis le fichier de liste de référentiels . . . . . . 87Importation de sites sources à partir du fichier SiteMgr.xml . . . . . . . . . . . . . . 87

Tâches d'extraction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87Tâches de réplication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88Sélection de référentiels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

7 Serveurs enregistrés 91Enregistrement de serveurs McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . 91Enregistrement de serveurs LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . 93Enregistrement de serveurs SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . 94Utilisation des serveurs de base de données . . . . . . . . . . . . . . . . . . . . . . . 95

Enregistrement d'un serveur de base de données . . . . . . . . . . . . . . . . . . 95Modification d'un enregistrement de base de données . . . . . . . . . . . . . . . . 96Suppression d'une base de données enregistrée . . . . . . . . . . . . . . . . . . 96

Partage d'objets entre serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Exportation d'objets et de données à partir de votre serveur McAfee ePO . . . . . . . . 97Importation d'éléments dans ePolicy Orchestrator . . . . . . . . . . . . . . . . . 97

8 Gestionnaires d'agents 99Fonctionnement des Gestionnaires d'agents . . . . . . . . . . . . . . . . . . . . . . . 99Connexion d'un gestionnaire d'agents de la zone démilitarisée (DMZ) à un serveur McAfee ePO d'undomaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100Priorité et groupes de gestionnaires . . . . . . . . . . . . . . . . . . . . . . . . . . 101Gestion des gestionnaires d'agents . . . . . . . . . . . . . . . . . . . . . . . . . . 102

Affectation d'agents McAfee Agent aux gestionnaires d'agents . . . . . . . . . . . . 102Gestion des affectations de gestionnaire d'agents . . . . . . . . . . . . . . . . . 103Création de groupes de gestionnaires d'agents . . . . . . . . . . . . . . . . . . 104Gestion des groupes de gestionnaires d'agents . . . . . . . . . . . . . . . . . . 104Déplacement d'agents entre gestionnaires d'agents . . . . . . . . . . . . . . . . 105

Gestion de la sécurité du réseau9 Arborescence des systèmes 111

Structure de l'arborescence des systèmes . . . . . . . . . . . . . . . . . . . . . . . 111Groupe Mon organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . 112Mon groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112Groupe Collecteur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112Groupes de l'arborescence des systèmes . . . . . . . . . . . . . . . . . . . . . 113Héritage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

Recommandations relatives à la planification de l'Arborescence des systèmes . . . . . . . . . 114Accès octroyé aux administrateurs . . . . . . . . . . . . . . . . . . . . . . . 114Limites de l'environnement et impact sur l'organisation des systèmes . . . . . . . . . 114Sous-réseaux et intervalles d'adresses IP . . . . . . . . . . . . . . . . . . . . 115Systèmes d'exploitation et logiciels . . . . . . . . . . . . . . . . . . . . . . . 115Marqueurs et systèmes présentant des caractéristiques similaires . . . . . . . . . . . 116

Synchronisation avec Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . 116Types de synchronisation avec Active Directory . . . . . . . . . . . . . . . . . . . . . 117

Systèmes et structure . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118Systèmes uniquement . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

Synchronisation avec des domaines NT . . . . . . . . . . . . . . . . . . . . . . . . 118Tri par critères . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118

Impact des paramètres sur le tri . . . . . . . . . . . . . . . . . . . . . . . . 120Critères de tri par adresse IP . . . . . . . . . . . . . . . . . . . . . . . . . 120Critères de tri par marqueurs . . . . . . . . . . . . . . . . . . . . . . . . . 121Tri et ordre des groupes . . . . . . . . . . . . . . . . . . . . . . . . . . . 121Groupes de collecte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121

Sommaire


Comment est ajouté un système dans l'Arborescence des systèmes lors du tri ? . . . . . 121Créer et remplir des groupes dans l'Arborescence des systèmes . . . . . . . . . . . . . . 122

Création manuelle de groupes . . . . . . . . . . . . . . . . . . . . . . . . . 123Ajout manuel de systèmes à un groupe existant . . . . . . . . . . . . . . . . . . 124Exportation de systèmes depuis l'arborescence des systèmes . . . . . . . . . . . . 125Importation de systèmes à partir d'un fichier texte . . . . . . . . . . . . . . . . . 125Tri des systèmes dans des groupes avec critères . . . . . . . . . . . . . . . . . 126Importation de conteneurs Active Directory . . . . . . . . . . . . . . . . . . . 129Importation de domaines NT vers un groupe existant . . . . . . . . . . . . . . . . 130Planification de la synchronisation de l'arborescence des systèmes . . . . . . . . . . 132Mise à jour manuelle d'un groupe synchronisé avec un domaine NT . . . . . . . . . . 133

Déplacement de systèmes au sein de l'arborescence des systèmes . . . . . . . . . . . . . 134Fonctionnement de la commande Transférer les systèmes . . . . . . . . . . . . . . . . . 134

Transfert de systèmes entre serveurs McAfee ePO . . . . . . . . . . . . . . . . . 135Exportation et importation des clés de communication sécurisée agent-serveur entre lesserveurs McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136

Interaction entre la fonctionnalité Réponses automatiques et l'arborescence des systèmes . . . . 138Limitation, agrégation et regroupement . . . . . . . . . . . . . . . . . . . . . 138Règles par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

10 Marqueurs 141Création de marqueurs à l'aide de l'assistant Générateur de marqueurs . . . . . . . . . . . 141Gestion des marqueurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142Création, suppression et modification des sous-groupes de marqueurs . . . . . . . . . . . . 143Exclusion de systèmes du marquage automatique . . . . . . . . . . . . . . . . . . . . 144Création d'une requête pour répertorier les systèmes en fonction des marqueurs . . . . . . . 145Application de marqueurs à des systèmes sélectionnés . . . . . . . . . . . . . . . . . . 146Effacez les marqueurs des systèmes . . . . . . . . . . . . . . . . . . . . . . . . . 146Application de marqueurs par critères à tous les systèmes correspondants . . . . . . . . . . 147Application planifiée de marqueurs par critères . . . . . . . . . . . . . . . . . . . . . 148

11 Communication agent-serveur 149Utilisation de l'agent à partir du serveur McAfee ePO . . . . . . . . . . . . . . . . . . . 149

Fonctionnement de la communication agent-serveur . . . . . . . . . . . . . . . . 149SuperAgent et son fonctionnement . . . . . . . . . . . . . . . . . . . . . . . 153Fonction de relais de McAfee Agent . . . . . . . . . . . . . . . . . . . . . . . 157Communication homologue à homologue . . . . . . . . . . . . . . . . . . . . 159Collecte des statistiques de McAfee Agent . . . . . . . . . . . . . . . . . . . . 161Modification de la langue de l'interface utilisateur de l'agent et du journal des événements. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162Configuration des systèmes sélectionnés pour la mise à jour . . . . . . . . . . . . . 162Réponse aux événements de stratégie . . . . . . . . . . . . . . . . . . . . . . 163Planification de tâches client . . . . . . . . . . . . . . . . . . . . . . . . . . 164Exécution immédiate de tâches client . . . . . . . . . . . . . . . . . . . . . . 165Identification des agents inactifs . . . . . . . . . . . . . . . . . . . . . . . . 165Propriétés du système Windows et des produits communiquées par l'agent . . . . . . . 166Requêtes fournies par McAfee Agent . . . . . . . . . . . . . . . . . . . . . . 167

Gestion de la communication agent-serveur . . . . . . . . . . . . . . . . . . . . . . 168Autorisation de la mise en cache des informations d'identification pour le déploiement de l'agent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168Changement des ports de communication de l'agent . . . . . . . . . . . . . . . . 169

12 Clés de sécurité 171Description et fonctionnement des clés de sécurité . . . . . . . . . . . . . . . . . . . . 171Paire de clés du référentiel maître . . . . . . . . . . . . . . . . . . . . . . . . . . 172Clés publiques d'autres référentiels . . . . . . . . . . . . . . . . . . . . . . . . . . 172Gestion des clés de référentiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173

Sommaire


Utilisation d'une même paire de clés de référentiel maître pour tous les serveurs . . . . 173Utilisation des clés de référentiel maître dans des environnements multiserveurs . . . . 173

Clés de communication sécurisée agent-serveur . . . . . . . . . . . . . . . . . . . . . 175Gestion des clés de communication sécurisée agent-serveur . . . . . . . . . . . . . 175Affichage des systèmes qui utilisent une paire de clés de communication sécurisée agent-serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177Utilisation de la même paire de clés de communication sécurisée agent-serveur pour tous lesserveurs et agents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177Utilisation d'une paire de clés de communication sécurisée agent-serveur différente sur chaqueserveur McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178

Sauvegarde et restauration des clés . . . . . . . . . . . . . . . . . . . . . . . . . 178

13 Gestionnaire de logiciels 181Présentation du gestionnaire de logiciels . . . . . . . . . . . . . . . . . . . . . . . . 181Archivage, mise à jour et suppression de logiciels à l'aide du gestionnaire de logiciels . . . . . . 182Vérification de la compatibilité des produits . . . . . . . . . . . . . . . . . . . . . . . 183

Reconfiguration du téléchargement de la liste de compatibilité des produits . . . . . . . 185

14 Déploiement de produits 187Choix de la méthode de déploiement de produits . . . . . . . . . . . . . . . . . . . . 187Avantages des projets de déploiement de produits . . . . . . . . . . . . . . . . . . . . 188Explications relatives à la page Déploiement de produits . . . . . . . . . . . . . . . . . 190Affichage des journaux d'audit des déploiements de produits . . . . . . . . . . . . . . . . 191Afficher le déploiement de produits . . . . . . . . . . . . . . . . . . . . . . . . . . 191Déploiement de produits à l'aide d'un projet de déploiement . . . . . . . . . . . . . . . . 192Surveillance et modification des projets de déploiement . . . . . . . . . . . . . . . . . . 193Déploiement d'un nouvel exemple de produit . . . . . . . . . . . . . . . . . . . . . . 195Mise à jour globale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196Déploiement automatique de packages de mise à jour à l'aide de la mise à jour globale . . . . . 197

15 Gestion manuelle des packages et des mises à jour 199Gestion de produits au travers des extensions . . . . . . . . . . . . . . . . . . . . . 199Archivage manuel de packages . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200Suppression de packages de fichiers DAT ou de moteur du référentiel maître . . . . . . . . . 200Déplacement manuel de packages de moteur et de fichiers DAT d'une branche à une autre . . . 201Archivage manuel des packages de mise à jour de fichiers DAT, ExtraDAT et de moteur . . . . . 201

16 Gestion des stratégies 203Stratégies et mise en œuvre de stratégies . . . . . . . . . . . . . . . . . . . . . . . 203Attribution de stratégies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205Création et gestion de stratégies . . . . . . . . . . . . . . . . . . . . . . . . . . . 206

Création d'une stratégie à partir de la page Catalogue de stratégies . . . . . . . . . 206Gestion d'une stratégie existante à partir de la page Catalogue de stratégies . . . . . . 207

Configuration initiale des stratégies . . . . . . . . . . . . . . . . . . . . . . . . . . 208Gestion des stratégies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208

Modification des propriétaires d'une stratégie . . . . . . . . . . . . . . . . . . . 208Déplacement de stratégies entre serveurs McAfee ePO . . . . . . . . . . . . . . . 209Affectation d'une stratégie à un groupe de l'arborescence des systèmes . . . . . . . . 210Affectation d'une stratégie à un système managé . . . . . . . . . . . . . . . . . 210Affectation d'une stratégie à des systèmes dans un groupe de l'arborescence des systèmes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211Mise en œuvre de stratégies associées à un produit sur un groupe de l'arborescence dessystèmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211Mise en œuvre de stratégies associées à un produit sur un système . . . . . . . . . . 212Copie d'affectations de stratégie . . . . . . . . . . . . . . . . . . . . . . . . 212

Page Conservation des stratégies et des tâches : Modifier . . . . . . . . . . . . . . . . . 214Règles d'affectation de stratégie . . . . . . . . . . . . . . . . . . . . . . . . . . . 215

Sommaire


Priorité des règles d'affectation de stratégie . . . . . . . . . . . . . . . . . . . 215Affectations de stratégie basée sur l'utilisateur . . . . . . . . . . . . . . . . . . 216Présentation des affectations de stratégie basée sur le système . . . . . . . . . . . 217Utilisation de marqueurs pour affecter des stratégies basées sur le système . . . . . . 217Création de règles d'affectation de stratégie . . . . . . . . . . . . . . . . . . . 217Gestion des règles d'affectation de stratégie . . . . . . . . . . . . . . . . . . . 218

Création de requêtes Gestion des stratégies . . . . . . . . . . . . . . . . . . . . . . 219Création d'une requête pour définir la conformité . . . . . . . . . . . . . . . . . . . . 220Génération d'événements de conformité . . . . . . . . . . . . . . . . . . . . . . . . 221Affichage des informations des stratégies . . . . . . . . . . . . . . . . . . . . . . . 221

Affichage des groupes et systèmes auxquels une stratégie est affectée . . . . . . . . 222Afficher les paramètres de stratégie . . . . . . . . . . . . . . . . . . . . . . . 222Affichage du propriétaire d'une stratégie . . . . . . . . . . . . . . . . . . . . . 223Affichage des affectations pour lesquelles la mise en œuvre des stratégies est désactivée 223Affichage des stratégies affectées à un groupe . . . . . . . . . . . . . . . . . . 223Affichage des stratégies affectées à un système spécifique . . . . . . . . . . . . . 223Affichage de l'héritage des stratégies d'un groupe . . . . . . . . . . . . . . . . . 224Affichage et réinitialisation des héritages bloqués . . . . . . . . . . . . . . . . . 224Comparaison de stratégies . . . . . . . . . . . . . . . . . . . . . . . . . . 224

Partage de stratégies entre serveurs McAfee ePO . . . . . . . . . . . . . . . . . . . . 225Distribution d'une stratégie à plusieurs serveurs McAfee ePO . . . . . . . . . . . . . . . . 225

Enregistrement des serveurs pour le partage des stratégies . . . . . . . . . . . . . 225Désignation des stratégies à partager . . . . . . . . . . . . . . . . . . . . . . 226Planification des tâches serveur pour le partage des stratégies . . . . . . . . . . . . 226

Questions sur la gestion des stratégies . . . . . . . . . . . . . . . . . . . . . . . . 227

17 Tâches client 229Fonctionnement du catalogue de tâches client . . . . . . . . . . . . . . . . . . . . . 229Tâches de déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230

Packages de déploiement de produit et de mise à jour . . . . . . . . . . . . . . . 230Déploiement de produits et de mises à jour . . . . . . . . . . . . . . . . . . . 232Configuration initiale des déploiements de produits et de mises à jour . . . . . . . . . 233Marqueurs de déploiement . . . . . . . . . . . . . . . . . . . . . . . . . . 233

Utilisation de la tâche Déploiement de produits pour l'installation de produits sur des systèmesmanagés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233

Configuration d'une tâche de déploiement pour des groupes de systèmes managés . . . 233Configuration d'une tâche de déploiement pour l'installation de produits sur un système managé. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235

Tâches de mise à jour . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237Afficher les tâches client affectées . . . . . . . . . . . . . . . . . . . . . . . 237Mise à jour périodique de systèmes managés à l'aide d'une tâche de mise à jour planifiée 238Evaluation de nouveaux moteurs et fichiers DAT avant leur distribution . . . . . . . . 239

Gestion des tâches client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240Création de tâches client . . . . . . . . . . . . . . . . . . . . . . . . . . . 240Modification de tâches client . . . . . . . . . . . . . . . . . . . . . . . . . . 241Suppression des tâches client . . . . . . . . . . . . . . . . . . . . . . . . . 241Comparaison de tâches client . . . . . . . . . . . . . . . . . . . . . . . . . 241

18 Tâches serveur 243Création d'une tâche serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243Syntaxe cron admise pour la planification d'une tâche serveur . . . . . . . . . . . . . . . 244Journal des tâches serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245

Afficher les informations de la tâche serveur dans le journal des tâches serveur . . . . . 245Gestion du Journal des tâches serveur . . . . . . . . . . . . . . . . . . . . . 245

19 Gestion des bases de données SQL 247

Sommaire


Maintenance des bases de données SQL . . . . . . . . . . . . . . . . . . . . . . . . 247Utilisation d'une commande à distance pour identifier le nom et le serveur de base de donnéesMicrosoft SQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247Configuration d'un instantané et restauration de la base de données SQL . . . . . . . . . . 248

Configuration de la tâche serveur Instantané de serveur pour reprise sur sinistre . . . . 248Utilisation de Microsoft SQL pour sauvegarder et restaurer une base de données . . . . 249

Utilisation d'une commande à distance pour identifier le nom et le serveur de base de donnéesMicrosoft SQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250Utilisation de Microsoft SQL Server Management Studio pour trouver les informations relatives auserveur McAfee ePO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250Journal des événements de menace . . . . . . . . . . . . . . . . . . . . . . . . . . 251

Consultation et purge du journal des événements de menace . . . . . . . . . . . . 252Planification de la purge du Journal des événements de menace . . . . . . . . . . . 253

Surveillance et génération de rapports sur l'état desécurité de votre réseau

20 Tableaux de bord et moniteurs 257Utilisation des tableaux de bord et des moniteurs . . . . . . . . . . . . . . . . . . . . 257Gestion des tableaux de bord . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258Exportation et importation des tableaux de bord . . . . . . . . . . . . . . . . . . . . . 260Gestion des moniteurs de tableau de bord . . . . . . . . . . . . . . . . . . . . . . . 260Déplacement et redimensionnement des moniteurs de tableau de bord . . . . . . . . . . . 262Tableaux de bord par défaut et moniteurs associés . . . . . . . . . . . . . . . . . . . 262Spécification initiale des tableaux de bord et des intervalles d'actualisation des tableaux de bord 264

21 Requêtes et rapports 267Autorisations sur les requêtes et les rapports . . . . . . . . . . . . . . . . . . . . . . 267Requêtes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268Générateur de requêtes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269Configuration initiale des requêtes et des rapports . . . . . . . . . . . . . . . . . . . . 270Utilisation des requêtes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271

Gestion des requêtes personnalisées . . . . . . . . . . . . . . . . . . . . . . 271Exécuter une requête . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273Exécution d'une requête suivant une planification . . . . . . . . . . . . . . . . . 273Création d'un groupe de requêtes . . . . . . . . . . . . . . . . . . . . . . . 274Déplacement d'une requête vers un autre groupe . . . . . . . . . . . . . . . . . 274Exportation et importation de requêtes . . . . . . . . . . . . . . . . . . . . . 275Exportation des résultats d'une requête dans d'autres formats . . . . . . . . . . . . 276

Requêtes avec données cumulées multiserveurs . . . . . . . . . . . . . . . . . . . . . 277Création d'une tâche serveur Données cumulées . . . . . . . . . . . . . . . . . 277

Présentation des rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278Structure d'un rapport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279Utilisation des rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279

Création d'un rapport . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280Modification d'un rapport existant . . . . . . . . . . . . . . . . . . . . . . . 280Affichage de la sortie d'un rapport . . . . . . . . . . . . . . . . . . . . . . . 285Regroupement des rapports . . . . . . . . . . . . . . . . . . . . . . . . . . 286Exécution de rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286Exécution d'un rapport suivant une planification . . . . . . . . . . . . . . . . . . 286Exportation et importation de rapports . . . . . . . . . . . . . . . . . . . . . 287Configuration du modèle et de l'emplacement des rapports exportés . . . . . . . . . 288Suppression de rapports . . . . . . . . . . . . . . . . . . . . . . . . . . . 289

22 Evénements et réponses 291Utilisation des réponses automatiques . . . . . . . . . . . . . . . . . . . . . . . . . 291

Sommaire


Limitation, agrégation et regroupement . . . . . . . . . . . . . . . . . . . . . . . . 292Règles par défaut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293Planification des réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293Configuration initiale des réponses . . . . . . . . . . . . . . . . . . . . . . . . . . 294Définition des modalités de transmission des événements . . . . . . . . . . . . . . . . . 294

Définition des événements à transmettre immédiatement . . . . . . . . . . . . . . 295Définition des événements à transmettre . . . . . . . . . . . . . . . . . . . . 295

Configuration de la fonction Réponses automatiques . . . . . . . . . . . . . . . . . . . 295Affectation d'ensembles d'autorisations pour les notifications . . . . . . . . . . . . 296Affectation d'autorisations pour la fonction Réponses automatiques . . . . . . . . . . 297Gestion des serveurs SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . 297

Définition des événements à transmettre au serveur . . . . . . . . . . . . . . . . . . . 300Sélectionnez un intervalle pour les événements de notification . . . . . . . . . . . . . . . 300Création et modification des règles de réponse automatique . . . . . . . . . . . . . . . . 301

Description d'une règle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301Définition de filtres pour la règle . . . . . . . . . . . . . . . . . . . . . . . . 301Définition de seuils pour les règles . . . . . . . . . . . . . . . . . . . . . . . 302Configuration de l'action déclenchée par les règles de réponse automatique . . . . . . . 302

Questions sur les événements et les réponses . . . . . . . . . . . . . . . . . . . . . 304

23 Problèmes 305Description et fonctionnement des problèmes . . . . . . . . . . . . . . . . . . . . . . 305Utilisation des problèmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305

Création manuelle de problèmes de base . . . . . . . . . . . . . . . . . . . . 306Configuration des réponses pour déclencher la création automatique de problèmes . . . . 307Gestion des problèmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307

Purge des problèmes fermés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308Purge manuelle des problèmes fermés . . . . . . . . . . . . . . . . . . . . . . 308Purge des problèmes fermés suivant une planification . . . . . . . . . . . . . . . 309

24 Reprise sur sinistre 311Présentation de la reprise sur sinistre . . . . . . . . . . . . . . . . . . . . . . . . . 311Composants de la reprise sur sinistre . . . . . . . . . . . . . . . . . . . . . . . . . 312Fonctionnement de la reprise sur sinistre . . . . . . . . . . . . . . . . . . . . . . . 315

Présentation de l'instantané pour la reprise sur sinistre et de la sauvegarde . . . . . . 315Présentation de l'installation de restauration du serveur McAfee ePO . . . . . . . . . 317

Création d'un instantané . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319Création d'un instantané à partir d'un tableau de bord . . . . . . . . . . . . . . . 319Création d'un instantané à partir de l'API web . . . . . . . . . . . . . . . . . . . 320

Configuration des paramètres serveur pour la reprise sur sinistre . . . . . . . . . . . . . 322

A Présentation des ports 325Modification du port de communication console-serveur d'applications . . . . . . . . . . . . 325Modification du port de communication agent-serveur . . . . . . . . . . . . . . . . . . 327Ports requis pour les communications via un pare-feu . . . . . . . . . . . . . . . . . . 330Référence rapide en matière de trafic . . . . . . . . . . . . . . . . . . . . . . . . . 331

B Etablissement d'une connexion à la console distante 333

Index 335

Sommaire


Préface

Ce guide fournit les informations dont vous avez besoin pour utiliser votre produit McAfee.

Sommaire Présentation de ce guide Accès à la documentation sur le produit

Présentation de ce guideCette section présente le public ciblé par ce guide, les conventions typographiques et les icônesutilisées ainsi que la structure du guide.

Public viséLa documentation de McAfee a été préparée de façon minutieuse et est spécifiquement conçue pour lepublic visé.

Les informations présentées dans ce guide sont destinées principalement aux personnes suivantes :

• Administrateurs : personnes qui appliquent et font respecter le programme de sécurité del'entreprise.

• Utilisateurs : personnes qui utilisent l'ordinateur sur lequel le logiciel s'exécute et qui peuventaccéder à une partie ou à l'ensemble de ses fonctionnalités.

ConventionsLes conventions typographiques et icônes suivantes sont respectées dans le présent guide.

Titre du manuel, terme,accentuation

Titre d'un manuel, chapitre ou rubrique ; nouveau terme ; accentuation.

Gras Texte mis en évidence de manière particulière.

Entrée utilisateur,code, message

Commandes et autre texte saisi par l'utilisateur ; exemple de code ;message affiché.

Texte d'interface Termes de l'interface du produit, par exemple les options, menus,boutons et boîtes de dialogue.

Lien hypertexte bleu Lien actif vers une rubrique ou un site web externe.

Remarque : Informations complémentaires, par exemple un autremoyen d'accéder à une option.

Conseil : Suggestions et recommandations.


Important/Attention : Conseil important visant à protéger unsystème informatique, l'installation d'un logiciel, un réseau ou desdonnées.

Avertissement : Conseil crucial visant à empêcher les dommagescorporels lors de l'utilisation du matériel informatique.

Accès à la documentation sur le produitDès qu'un produit est distribué, les informations le concernant sont intégrées dans le Centre deconnaissances en ligne de McAfee.

Procédure1 Accédez au McAfee ServicePortal à l'adresse http://support.mcafee.com et cliquez sur Centre de

connaissances.

2 Saisissez le nom d'un produit, sélectionnez une version et cliquez sur Rechercher pour afficher uneliste de documents.

PréfaceAccès à la documentation sur le produit


http://support.mcafee.com

Présentation du logiciel McAfeeePolicy Orchestrator

Chapitre 1 Protection des réseaux avec le logiciel ePolicy OrchestratorChapitre 2 Utilisation de l'interface d'ePolicy Orchestrator


Présentation du logiciel McAfee ePolicy Orchestrator


1 Protection des réseaux avec le logicielePolicy Orchestrator

Le logiciel ePolicy Orchestrator est un composant essentiel de la plate-forme McAfee SecurityManagement, qui permet la gestion unifiée de la sécurité des postes clients, du réseau et desdonnées. Les fonctionnalités d'automatisation d'ePolicy Orchestrator et la visibilité de bout en bout surle réseau vous permettent de réduire les temps de réponse aux incidents, de renforcer la protection etde simplifier la gestion des risques et de la sécurité.

Sommaire Avantages du logiciel ePolicy Orchestrator Présentation des composants Fonctionnement du logiciel

Avantages du logiciel ePolicy OrchestratorLe logiciel ePolicy Orchestrator est une plate-forme de gestion extensible qui permet de centraliser lagestion et la mise en œuvre de vos stratégies de sécurité.

Le logiciel ePolicy Orchestrator permet d'effectuer les tâches suivantes liées à la sécurité réseau :

• Gérer et mettre en œuvre la sécurité du réseau via l'affectation de stratégies et des tâches client.

• mettre à jour les fichiers de définition de détection (DAT), les moteurs antivirus et d'autrescontenus de sécurité requis par vos logiciels de sécurisation afin de garantir la protection de vossystèmes managés.

• créer des rapports à l'aide de l'assistant du système de requêtes intégré qui affiche des tableaux etdes graphiques d'informations configurés par l'utilisateur et contenant des données sur la sécuritéde votre réseau.

Présentation des composantsLes composants ci-dessous constituent le logiciel ePolicy Orchestrator.

• Serveur McAfee ePO : pièce centrale de votre environnement managé, il assure la distributiondes stratégies de sécurité et des tâches, le contrôle des mises à jour et le traitement desévénements pour l'ensemble des systèmes managés.

• Base de données : composant de stockage central de toutes les données créées et utilisées parePolicy Orchestrator. Vous pouvez placer la base de données sur votre serveur McAfee ePO ou surun système distinct, selon les besoins spécifiques de votre organisation.

1


• McAfee Agent : intermédiaire chargé de la transmission des informations et de la mise en œuvredes stratégies entre le serveur McAfee ePO et chaque système managé. L'agent récupère les misesà jour, assure la mise en œuvre des tâches et des stratégies, et transfère les événements pourchaque système managé. Il utilise un canal de données sécurisé distinct pour transférer lesdonnées au serveur. Vous pouvez également configurer un composant McAfee Agent en tant queSuperAgent.

• Référentiel maître : emplacement central de toutes les mises à jour et signatures McAfee, situésur le serveur McAfee ePO. Le référentiel maître récupère les mises à jour et les signaturesspécifiées par l'utilisateur sur les sites sources McAfee ou définis par l'utilisateur.

• Référentiels distribués : points d'accès locaux placés de manière stratégique dans votreenvironnement, qui permettent aux agents de recevoir les signatures, les mises à jour et lesinstallations de produits avec peu d'impact sur la bande passante. Selon la configuration de votreréseau, vous pouvez configurer des référentiels distribués SuperAgent, HTTP, FTP ou de partageUNC.

• Gestionnaires d'agents distants : serveur que vous pouvez installer à différents endroits duréseau afin d'améliorer la gestion de la communication de l'agent, l'équilibrage de charge et la miseà jour des produits. Les gestionnaires d'agents distants sont composés d'un serveur Apache et d'unanalyseur d'événements. Ils facilitent la gestion des besoins des infrastructures réseau trèsétendues ou complexes, car ils permettent de contrôler plus efficacement la communicationagent-serveur.

• Serveurs enregistrés : permettent d'enregistrer d'autres serveurs avec votre serveur McAfeeePO. Les types de serveur enregistré sont les suivants :

• Serveur LDAP : utilisé pour les règles d'affectation de stratégie et l'activation de la créationautomatique de comptes d'utilisateur.

• Serveur SNMP : utilisé pour la réception des interruptions SNMP. Ajoutez les informationsrelatives au serveur SNMP pour indiquer à ePolicy Orchestrator où envoyer les interruptions.

• Serveur de base de données : permet d'étendre les outils de génération de rapports avancésfournis avec le logiciel ePolicy Orchestrator.

Selon les besoins de votre organisation et la complexité de votre réseau, vous pouvez utiliser certainsde ces composants uniquement.

Fonctionnement du logicielLe logiciel ePolicy Orchestrator est conçu pour être extrêmement flexible. Il peut être configuré denombreuses façons pour répondre à vos besoins uniques.

Le logiciel respecte le modèle client-serveur classique, dans lequel un système client (système)appelle le serveur pour obtenir des instructions. Pour faciliter cet appel au serveur, McAfee Agent estdéployé sur chaque système du réseau. Une fois qu'un agent est déployé sur un système, le systèmepeut être géré par votre serveur McAfee ePO. La communication sécurisée entre le serveur et le

1 Protection des réseaux avec le logiciel ePolicy OrchestratorFonctionnement du logiciel


système managé est le lien qui relie tous les composants de votre logiciel ePolicy Orchestrator. Lafigure ci-dessous donne un exemple de la manière dont le serveur McAfee ePO et les composants sontinterconnectés dans votre environnement réseau sécurisé.

1 Le serveur McAfee ePO se connecte au serveur de mise à jour de McAfee pour en extraire lecontenu de sécurité le plus récent.

2 La base de données ePolicy Orchestrator stocke toutes les données concernant les systèmesmanagés sur votre réseau, notamment :

• Propriétés système

• Informations sur les stratégies

• Structure des répertoires

• Toutes autres données pertinentes dont votre serveur a besoin pour maintenir vos systèmes àjour

3 Les composants McAfee Agent sont déployés sur vos systèmes pour faciliter les éléments suivants :

• Mise en œuvre des stratégies

• Déploiements de produits et de mises à jour

• Génération de rapports sur vos systèmes managés

Protection des réseaux avec le logiciel ePolicy OrchestratorFonctionnement du logiciel 1


4 La communication sécurisée agent-serveur s'effectue à intervalles réguliers entre vos systèmes etle serveur. Si des gestionnaires d'agents distants sont installés sur votre réseau, les agentscommuniquent avec le serveur à travers leurs gestionnaires d'agents affectés.

5 Les utilisateurs se connectent à la console ePolicy Orchestrator pour effectuer des tâches de gestionde la sécurité, par exemple pour exécuter des requêtes générant des rapports sur l'état de lasécurité, ou pour manipuler les stratégies de sécurité des logiciels managés.

6 Le serveur de mise à jour de McAfee héberge les derniers contenus de sécurité afin que le serveurePolicy Orchestrator puisse extraire le contenu à intervalles planifiés.

7 Des référentiels distribués placés sur l'ensemble du réseau hébergent le contenu de sécuritélocalement, afin que les agents puissent recevoir les mises à jour plus rapidement.

8 Les gestionnaires d'agents distants permettent au réseau de gérer un plus grand nombre d'agentsavec un seul serveur McAfee ePO.

9 Les notifications de réponses automatiques sont envoyées aux administrateurs de la sécurité pourles avertir qu'un événement s'est produit.

1 Protection des réseaux avec le logiciel ePolicy OrchestratorFonctionnement du logiciel


2 Utilisation de l'interface d'ePolicyOrchestrator

Connectez-vous à l'interface d'ePolicy Orchestrator pour configurer votre serveur McAfee ePO, ainsique pour gérer et surveiller la sécurité de votre réseau.

Sommaire Connexion et déconnexion Navigation dans l'interface Utilisation des listes et des tableaux

Connexion et déconnexionPour accéder au logiciel ePolicy Orchestrator, entrez votre nom d'utilisateur et votre mot de passe surl'écran de connexion.

Avant de commencerPour vous connecter à ePolicy Orchestrator, vous devez avoir un nom d'utilisateur et unmot de passe préalablement définis.

Que vous vous connectiez à votre serveur McAfee ePO depuis une connexion distante ou l'icône duserveur McAfee ePO, le premier écran qui s'affiche est l'écran de connexion de ePolicy Orchestrator.

Procédure1 Entrez votre nom d'utilisateur et votre mot de passe, puis cliquez sur Connexion.

Votre logiciel ePolicy Orchestrator affiche le tableau de bord par défaut.

2 Pour fermer votre session ePolicy Orchestrator, cliquez sur Déconnexion.

Once you log off, your session is closed and can't be opened by other users.

Navigation dans l'interfaceL'interface McAfee ePO utilise une navigation par menus, avec une barre de favoris personnalisablepour assurer un accès rapide aux fonctions fréquemment utilisées.

Les sections de menu représentent les fonctionnalités de haut niveau. A mesure que vous ajoutez desproduits managés à McAfee ePO, le nombre d'options de menu augmente.

2


Utilisation du Menu de navigation d'ePolicy OrchestratorOuvrez le Menu d'ePolicy Orchestrator pour naviguer dans l'interface ePolicy Orchestrator.

Le Menu utilise les catégories représentant les différentes fonctions et fonctionnalités de McAfee ePO.Chaque catégorie contient la liste des pages de fonctionnalités principales, associées à une icôneunique. Sélectionnez une catégorie dans le Menu pour afficher les pages principales qui composent lafonctionnalité.

Personnalisation de la barre de navigationPersonnalisez la barre de navigation pour disposer d'un accès rapide aux fonctions que vous utilisez leplus souvent.

Vous pouvez décider quelles icônes afficher dans la barre de navigation en faisant glisser n'importequel élément du menu vers cette barre ou en enlevant un élément de celle-ci.

Si vous placez plus d'icônes dans la barre de navigation qu'elle ne peut en afficher, un menu dedépassement est créé dans la partie droite de la barre. Cliquez sur la flèche vers le bas pour accéderaux éléments du menu qui ne sont pas affichés dans la barre de navigation. Les icônes affichées dansla barre de navigation sont enregistrées en tant que préférences utilisateur. Par conséquent, la barrede navigation personnalisée de chaque utilisateur est toujours affichée, quelle que soit la console qu'ilutilise pour se connecter au serveur.

Catégories de paramètres serveurVoici les catégories des paramètres serveur disponibles par défaut dans le logiciel McAfee ePO.

Si vous ajoutez des logiciels à votre serveur McAfee ePO, des paramètres serveur propres au produitsont ajoutés à la liste des catégories de paramètres serveur. Vous pouvez modifier les paramètres

2 Utilisation de l'interface d'ePolicy OrchestratorNavigation dans l'interface


serveur en accédant à la page Paramètres serveur de la section Configuration de l'interface de McAfeeePO.

Pour obtenir des informations sur les paramètres serveur propres à un produit, consultez ladocumentation du produit concerné.

Tableau 2-1 Catégories de paramètres serveur par défaut et descriptions

Catégorie deparamètres serveur

Description

Groupes Active Directory Spécifie le serveur LDAP à utiliser pour chaque domaine.

Connexion d'utilisateursActive Directory

Spécifie si les membres des groupes Active Directory mappés peuvent seconnecter au serveur à l'aide de leurs informations d'identificationActive Directory une fois que la fonctionnalité Connexion d'utilisateursActive Directory a été entièrement configurée.

Méthode de contact de l'agent Indique la priorité des méthodes qu'utilise McAfee ePO pour contacterMcAfee Agent.Pour modifier la priorité, sélectionnez Méthode de contact de l'agent dans Catégoriesde paramètres, cliquez sur Modifier, puis sélectionnez la priorité. Chaqueméthode de contact doit avoir un niveau de priorité distinct. Voici lesméthodes utilisées pour contacter McAfee Agent :

• Nom de domaine qualifié complet

• Nom NetBIOS

• Adresse IP

Informations d'identificationpour le déploiement de l'agent

Spécifie si les utilisateurs sont autorisés à mettre en cache les informationsd'identification pour le déploiement de l'agent.

Authentification par certificat Spécifie si l'option Authentification par certificat est activée et si lesparamètres et configurations nécessaires pour l'autorité de certificationsont utilisés.

Tableaux de bord Spécifie le tableau de bord actif par défaut qui est affecté aux comptes desnouveaux utilisateurs au moment de la création du compte, ainsi que lafréquence d'actualisation par défaut (5 minutes) pour les moniteurs detableau de bord.

Reprise sur sinistre Active et définit la phrase secrète de chiffrement de la banque de clés pourla Reprise sur sinistre.

Serveur de messagerie Spécifie le serveur de messagerie utilisé par McAfee ePO pour envoyer dese-mails.

Filtrage des événements Spécifie les événements que l'agent transfère.

Notifications d'événements Indique la fréquence à laquelle McAfee ePO consulte vos notifications pourvérifier si elles déclenchent des Réponses automatiques.

Mise à jour globale Spécifie si la mise à jour globale est activée et suivant quelles modalités.

Clé de licence Spécifie la clé de licence utilisée pour enregistrer ce logiciel McAfee ePO.

Message de connexion Indique si un message personnalisé s'affiche lorsque les utilisateurs seconnectent à la console McAfee ePO, ainsi que le contenu du message.

Conservation des stratégies etdes tâches

Spécifie si les stratégies et les données des tâches client sont suppriméeslorsque vous supprimez l'extension de produit.

Maintenance des stratégies Indique si les stratégies destinées aux produits non pris en charge sontvisibles ou masquées. Ce paramètre est nécessaire uniquement après queMcAfee ePO a été mis à niveau à partir d'une version antérieure.

Ports Spécifie les ports utilisés par le serveur lorsqu'il communique avec lesagents et la base de données.

Utilisation de l'interface d'ePolicy OrchestratorNavigation dans l'interface 2


Tableau 2-1 Catégories de paramètres serveur par défaut et descriptions (suite)

Catégorie deparamètres serveur

Description

Impression et exportation Spécifie le mode d'exportation des informations dans d'autres formats,ainsi que le modèle des exportations PDF. Définit également l'emplacementde stockage par défaut des fichiers exportés.

Liste de compatibilité desproduits

Spécifie si la Liste de compatibilité des produits est automatiquementtéléchargée et si elle affiche les extensions de produit incompatibles.

Product Improvement Program Spécifie si McAfee ePO peut collecter des données de manière proactive etpériodique depuis les systèmes clients managés.

Paramètres de proxy Spécifie le type de paramètres de proxy configurés pour votre serveurMcAfee ePO.

Informations sur le serveur Indique les informations concernant Java, OpenSSL et le serveur Apache,notamment le nom, l'adresse IP et la version.

Clés de sécurité Définit et gère les clés de communication sécurisée agent-serveur, ainsi queles clés de référentiel.

Certificat de serveur Spécifie le certificat de serveur que votre serveur McAfee ePO utilise pour lacommunication HTTPS avec les navigateurs.

Evaluation de logiciels Spécifie les informations requises fournies pour permettre l'archivage et ledéploiement des versions d'évaluation de logiciels à partir du Gestionnairede logiciels.

Sites sources Spécifie les sites sources auxquels votre serveur se connecte pour lesmises à jour, ainsi que les sites à utiliser comme sites de secours.

Détails de configuration dusystème

Spécifie les requêtes et les propriétés système affichées dans la pageSystèmes : Détails de vos systèmes managés.

Tri de l'arborescence dessystèmes

Précise si le tri de l'arborescence des systèmes est activé dans votreenvironnement et suivant quelles modalités.

Session utilisateur Spécifie la durée pendant laquelle un utilisateur peut être inactif avant quele système ne le déconnecte.

Utilisation des listes et des tableauxUtilisez les fonctions de recherche et de filtrage de ePolicy Orchestrator pour trier les listes dedonnées.

Les listes de données de ePolicy Orchestrator peuvent comporter des centaines voire des milliersd'entrées. La recherche manuelle d'entrées spécifiques dans ces listes ePolicy Orchestrator peuts'avérer difficile sans le filtre de recherche Recherche rapide.

Le nombre indiqué sur cette figure désigne le filtrage Recherche rapide pour les requêtes incluant deslogiciels malveillants.

2 Utilisation de l'interface d'ePolicy OrchestratorUtilisation des listes et des tableaux


Filtrage d'une listeVous pouvez utiliser des filtres prédéfinis ou personnalisés pour sélectionner des lignes spécifiquesdans les listes de données de l'interface ePolicy Orchestrator.

ProcédurePour consulter la définition des options, cliquez sur ? dans l'interface.

1 Dans la barre située en haut de la liste, sélectionnez le filtre prédéfini ou personnalisé que voussouhaitez utiliser pour réduire la liste.

Seuls les éléments remplissant les critères de filtre sont affichés.

2 Sélectionnez les cases à cocher en regard des éléments qui vous intéressent, puis sélectionnez lacase à cocher Afficher les lignes sélectionnées.

Seules les lignes sélectionnées sont affichées.

Recherche d'éléments de liste spécifiquesUtilisez le filtre Recherche rapide pour trouver des éléments dans une liste trop longue.

Pour consulter la définition des options, cliquez sur ? dans l'interface.

Procédure1 Indiquez vos termes de recherche dans le champ Recherche rapide.

2 Cliquez sur Appliquer.

Seuls les éléments contenant les termes que vous avez saisis dans le champ Recherche rapide s'affichent.

Cliquez sur Effacer pour supprimer le filtre et afficher tous les éléments de la liste.

Utilisation de l'interface d'ePolicy OrchestratorUtilisation des listes et des tableaux 2


Exemple : rechercher des requêtes de détectionVoici un exemple de recherche valide pour une liste spécifique de requêtes.

1 Cliquez sur Menu | Requêtes et rapports. Cliquez sur Requête.

Toutes les requêtes disponibles dansMcAfee ePO s'affichent dans la liste.

2 Limitez la liste aux requêtes spécifiques, par exemple : « détection ». Dans le champRecherche rapide, saisissez détection, puis cliquez sur Appliquer.

Ces requêtes s'affichent dans la liste :

• Historique des détections de logiciels malveillants (malwares)

• Détections par produit aujourd'hui

Certaines listes contiennent des éléments traduits dans la langue de votre pays.Lorsque vous communiquez avec des utilisateurs parlant d'autres langues, notez queles noms des requêtes peuvent être différents.

Sélection des cases à cocher des lignes de tableauL'interface utilisateur ePolicy Orchestrator comporte des actions qui permettent de sélectionner deslignes de tableau ainsi que des raccourcis pour sélectionner les cases à cocher des lignes de tableaupar un clic ou en utilisant la combinaison Maj + clic.

Sur certaines pages de résultats dans l'interface utilisateur ePolicy Orchestrator, une case à cocher estaffichée en regard de chaque élément du tableau. Ces cases à cocher vous permettent de sélectionnerdes lignes individuellement, un groupe de lignes ou toutes les lignes du tableau.

Ce tableau indique les actions utilisées pour sélectionner les cases à cocher des lignes de tableau.

Pour sélectionner Action Résultat

Lignes individuelles Cliquez sur la case à cocher dechaque ligne.

Chaque ligne est sélectionnée de manièreindépendante.

Groupe de lignes Cliquez sur une case à cocher,maintenez la touche Maj enfoncéeet cliquez sur la dernière case àcocher du groupe.

Les lignes de la première à la dernière lignesélectionnées forment un groupe de lignessélectionnées.

L'utilisation de Maj + clic pour sélectionnerplus de 1 500 lignes d'un tableau peutentraîner un pic d'utilisation duprocesseur et déclencher un messaged'erreur de script.

Toutes les lignes Cliquer sur la case à cochersupérieure, dans les en-têtes dutableau

Sélectionne toutes les lignes du tableau.

2 Utilisation de l'interface d'ePolicy OrchestratorUtilisation des listes et des tableaux


Configuration d'ePolicyOrchestratorLa configuration de votre serveur ePolicy Orchestrator constitue la premièreétape de la gestion de la sécurité de votre réseau.

Chapitre 3 Planification de la configuration d'ePolicy OrchestratorChapitre 4 Configuration de votre serveur McAfee ePOChapitre 5 Comptes d'utilisateur et ensembles d'autorisationsChapitre 6 RéférentielsChapitre 7 Serveurs enregistrésChapitre 8 Gestionnaires d'agents


Configuration d'ePolicy Orchestrator


3 Planification de la configuration d'ePolicyOrchestrator

Pour utiliser efficacement le serveur McAfee ePO, vous devez créer un plan complet propre à votreenvironnement.

L'organisation de l'infrastructure de serveur et les procédures de configuration nécessaires dépendentdes besoins particuliers de votre environnement réseau. L'analyse préalable de ces éléments permetd'être opérationnel plus rapidement.

Sommaire Eléments à prendre en compte concernant l'évolutivité Protocole IP dans un environnement managé

Eléments à prendre en compte concernant l'évolutivité L'évolution de votre environnement sera gérée différemment selon que vous utilisez plusieurs serveursMcAfee ePO, plusieurs gestionnaires d'agents distants, ou les deux.

Avec le logiciel ePolicy Orchestrator, vous pouvez faire évoluer votre réseau verticalement ouhorizontalement.

• Evolutivité verticale : ajout et mise à niveau de matériel pour augmenter la puissance et larapidité afin de gérer des déploiements de plus en plus étendus. Pour faire évoluer votreinfrastructure de serveur McAfee ePO verticalement, vous devez mettre à niveau le matérielserveur et utiliser plusieurs serveurs McAfee ePO dans votre réseau, chacun disposant de sa proprebase de données.

• Evolutivité horizontale : augmentation de la taille du déploiement qu'un serveur McAfee ePOunique peut gérer. Pour faire évoluer votre serveur horizontalement, vous devez installer plusieursgestionnaires d'agents distants, chacun dépendant d'une seule base de données.

3


Quand utiliser plusieurs serveurs McAfee ePOSelon la taille et la structure de votre organisation, vous devrez peut-être utiliser plusieurs serveursMcAfee ePO.

Il est par exemple judicieux d'utiliser plusieurs serveurs dans les cas suivants :

• Vous voulez maintenir des bases de données séparées pour des unités distinctes au sein de votreorganisation.

• Vous avez besoin d'infrastructures informatiques, de groupes administratifs ou d'environnementsde test séparés.

• Votre organisation est distribuée sur une zone géographique étendue et utilise une connexionréseau avec une bande passante relativement faible, comme une connexion WAN, VPN ou d'autrestypes de connexions lentes reliant en règle générale les sites distants. Pour plus d'informations surles besoins en bande passante, reportez-vous au document Guide de dimensionnement du matérielet d'utilisation de la bande passante pour McAfee ePolicy Orchestrator.

L'utilisation de plusieurs serveurs sur votre réseau nécessite que vous mainteniez une base dedonnées séparée pour chaque serveur. Vous pouvez cumuler les informations de chaque serveur survotre serveur et votre base de données McAfee ePO principaux.

Quand utiliser plusieurs gestionnaires d'agents distants L'utilisation de plusieurs gestionnaires d'agents distants peut vous aider à gérer des déploiementsimportants sans ajouter des serveurs McAfee ePO supplémentaires à votre environnement.

Le gestionnaire d'agents est le composant du serveur ePO chargé de gérer les demandes des agents.Chaque installation de serveur McAfee ePO comprend un gestionnaire d'agents par défaut. Vouspourriez souhaiter utiliser plusieurs gestionnaires d'agents distants dans certains cas, notamment :

• Vous voulez permettre aux agents de choisir entre plusieurs périphériques physiques, afin qu'ilspuissent continuer à appeler et à recevoir des stratégies, des tâches et des mises à jour deproduits, même en cas d'indisponibilité du serveur d'applications, et vous ne voulez pas installervotre serveur McAfee ePO en cluster.

• Votre infrastructure ePolicy Orchestrator existante doit être étendue pour gérer plus d'agents, plusde produits ou une charge plus importante causée par des intervalles de communicationagent-serveur plus fréquents.

• Vous voulez utiliser votre serveur McAfee ePO pour gérer des segments de réseau déconnectés,tels que des systèmes utilisant la traduction des adresses réseau (NAT, Network AddressTranslation) ou situés sur un réseau externe.

Ceci est fonctionnel tant que le gestionnaire d'agents dispose d'une connexion à large bandepassante vers la base de données ePolicy Orchestrator.

3 Planification de la configuration d'ePolicy OrchestratorEléments à prendre en compte concernant l'évolutivité


L'utilisation de plusieurs gestionnaires d'agents permet une plus grande évolutivité et moins decomplexité dans la gestion de déploiements importants. Toutefois, les gestionnaires d'agentsnécessitant une connexion réseau très rapide, il n'est pas recommandé de les utiliser dans certainscas, par exemple :

• Pour remplacer des référentiels distribués. Les référentiels distribués sont des partages de fichierslocaux conçus pour maintenir le trafic de communication de l'agent au niveau local. Si lesgestionnaires d'agents comportent des fonctionnalités de référentiel intégrées, ils nécessitent unecommunication permanente avec votre base de données ePolicy Orchestrator, et par conséquent,consomment un volume considérable de bande passante.

• Pour améliorer la réplication de référentiels à travers une connexion de réseau étendu (WAN). Lacommunication permanente vers la base de données requise par la réplication de référentiels peutsaturer la connexion du réseau étendu.

• Pour connecter un segment de réseau déconnecté disposant d'une connectivité faible ou irrégulièrevers la base de données ePolicy Orchestrator.

Protocole IP dans un environnement managé Le logiciel ePolicy Orchestrator est compatible avec les deux versions du protocole IP : IPv4 et IPv6.

Les serveurs McAfee ePO fonctionnent dans trois modes différents :

• IPv4 uniquement : seul le format d'adresse IPv4 est pris en charge.

• IPv6 uniquement : seul le format d'adresse IPv6 est pris en charge.

• Mode mixte : les formats d'adresse IPv4 et IPv6 sont pris en charge.

Le mode de fonctionnement de votre serveur McAfee ePO dépend de la configuration de votre réseau.Si votre réseau est configuré pour n'utiliser que les adresses IPv4, par exemple, votre serveurfonctionnera en mode IPv4 uniquement. De même, si votre réseau est configuré pour utiliser lesadresses IPv4 et IPv6, votre serveur fonctionnera en mode mixte.

Jusqu'à ce qu'IPv6 soit installé et activé, votre serveur McAfee ePO n'écoute que les adresses IPv4.Une fois IPv6 activé, il fonctionne dans le mode dans lequel il est configuré.

Lorsque le serveur McAfee ePO communique avec un gestionnaire d'agents via IPv6, les propriétésliées aux adresses (telles que l'adresse IP, l'adresse de sous-réseau ou le masque de sous-réseau)sont indiquées au format IPv6. Les propriétés liées à IPv6 sont affichées sous la forme étendue et sontmises entre crochets lorsqu'elles sont transmises entre le client et le serveur McAfee ePO ou affichéesdans l'interface utilisateur ou dans un fichier journal.

Par exemple, 3FFE:85B:1F1F::A9:1234 est affiché de la manière suivante : [3FFE:085B:1F1F:0000:0000:0000:00A9:1234].

Aucune modification des adresses IPv6 n'est requise lorsqu'elles sont configurées pour des sourcesFTP ou HTTP. Cependant, lors de la configuration d'une adresse littérale IPv6 pour une source UNC,vous devez utiliser le format littéral IPv6 de Microsoft. Consultez la documentation Microsoft pour deplus amples informations.

Planification de la configuration d'ePolicy OrchestratorProtocole IP dans un environnement managé 3


3 Planification de la configuration d'ePolicy OrchestratorProtocole IP dans un environnement managé


4 Configuration de votre serveur McAfeeePO

Soyez opérationnel rapidement en configurant les fonctionnalités essentielles de votre serveur McAfeeePO.

Sommaire Présentation de la configuration du serveur Utilisation de la fonction automatique Etat de l'installation du produit Fonctionnalités essentielles pour la configuration assistée ou manuelle Configuration des fonctionnalités essentielles Utilisation d'un serveur proxy Saisie du numéro de licence Configuration de Product Improvement Program Désinstallation de McAfee Product Improvement Program

Présentation de la configuration du serveurPlusieurs méthodes vous permettent de configurer votre serveur McAfee ePO afin de répondre auxbesoins spécifiques de votre environnement.

Les fonctionnalités essentielles du serveur McAfee ePO que vous devez configurer sont les suivantes :

• Etat de l'installation du produit : lance automatiquement l'installation et la configuration du logiciel desécurité sous licence sur le serveur McAfee ePO. Vous pouvez effectuer les actions suivantes :

• Autorisez l'installation du logiciel de sécurité par défaut sur le serveur McAfee ePO.

• Cliquez sur Arrêter et utilisez le Gestionnaire de logiciels pour archiver manuellement des logiciels desécurité nouveaux et mis à jour sur le serveur McAfee ePO et dans le Référentiel maître à partir dela console.

La page Etat de l'installation du produit s'ouvre uniquement si vous avez sélectionné l'option Autoriserl'installation automatique du produit lors de l'installation de McAfee ePO.

• Arborescence des systèmes : contient tous les systèmes managés par le serveur McAfee ePO et vouspermet d'effectuer des actions sur ces systèmes.

• Catalogue de stratégies : permet de configurer les stratégies destinées à contrôler les logiciels desécurité déployés sur vos systèmes managés.

• Catalogue de tâches client : permet de créer, d'affecter et de planifier les tâches client à exécuterautomatiquement sur vos systèmes managés.

Le tableau suivant répertorie les étapes de configuration qui permettent d'installer votre logicielproduit sous licence de manière automatique ou manuelle.

4


Tableau 4-1 Présentation des différentes méthodes de configuration

Téléchargement automatique du logicielproduit

Téléchargement manuel du logiciel produit

1 L'installation d'ePolicy Orchestrator setermine et vous démarrez le logiciel.

2 Sur l'écran de connexion, connectez-vous àl'interface utilisateur d'ePolicy Orchestrator.La page Etat de l'installation du produits'affiche et lance l'installation des dernièresrévisions de votre logiciel de sécurité souslicence sur le serveur McAfee ePO.La page affiche les produits et leur état.

3 Si les états de tous les produits sont définissur Terminé, passez à l'étape 5. Si l'un desétats affiche Echec, cochez la case en regarddu nom du produit, puis cliquez sur Réessayer.

4 Si l'installation d'un produit échoué continueà échouer :

• Exécutez le téléchargement manuel dulogiciel produit pour installer le produitéchoué via le Gestionnaire de logiciels.

• Contactez le support technique de McAfee.

• Passez à la configuration de McAfee ePO etessayez d'installer le logiciel produitultérieurement.

5 Au besoin, suivez la procédure suivante pourvotre environnement :

• Ajoutez des systèmes à votrearborescence des systèmes.

• Configurez les paramètres généraux duserveur.

• Créez des comptes d'utilisateur.

• Configurez des ensembles d'autorisations.

• Configurez les stratégies.

• Configurez les fonctionnalités et lesparamètres avancés du serveur.

• Configurez des composantssupplémentaires.

1 L'installation d'ePolicy Orchestrator se termine etvous démarrez le logiciel.

2 Sur l'écran de connexion, connectez-vous àl'interface utilisateur d'ePolicy Orchestrator.

3 Exécutez la configuration assistée d'ePolicy Orchestratorpour effectuer les processus suivants :

• Ajoutez le logiciel de sécurité McAfee à votreRéférentiel maître.

• Ajoutez des systèmes à l'Arborescence dessystèmes.

• Créez et affectez au moins une stratégie desécurité à vos systèmes managés.

• Planifiez une tâche de mise à jour des clients.

• Déployez les logiciels de sécurité sur vossystèmes managés.

L'utilisation de la Configuration assistée estfacultative. Chacune de ces étapes peut êtreexécutée manuellement.

4 Au besoin, suivez la procédure suivante pour votreenvironnement :

• Configurez les paramètres généraux du serveur.

• Créez des comptes d'utilisateur.

• Configurez des ensembles d'autorisations.

• Configurez les stratégies.

• Configurez les fonctionnalités et les paramètresavancés du serveur.

• Configurez des composants supplémentaires.

4 Configuration de votre serveur McAfee ePOPrésentation de la configuration du serveur


Utilisation de la fonction automatique Etat de l'installation duproduit

La page Etat de l'installation du produit s'affiche automatiquement après votre première connexion àMcAfee ePO. Elle installe automatiquement le logiciel de sécurité sur le serveur McAfee ePO. Vouspouvez également cliquer sur Arrêter, puis archiver le logiciel de sécurité manuellement.

Avant de commencerLa page Etat de l'installation du produit s'ouvre uniquement si vous avez sélectionnél'option Autoriser l'installation automatique du produit lors de l'installation de McAfee ePO.

La page Etat de l'installation du produit est uniquement disponible pendant les premières 24 heuresaprès votre connexion initiale à McAfee ePO. Après toutes les connexions d'utilisateurs suivantes, lapage de tableau de bord par défaut s'affiche. A l'issue des 24 heures, Etat de l'installation du produitest supprimé de la liste Menu | Automatisation.


1 Cliquez sur l'icône Lancer ePolicy Orchestrator sur le Bureau de votre serveur ePolicy Orchestrator pourafficher l'écran Connexion.

2 Entrez vos informations d'identification et choisissez une langue dans la boîte de dialogue Connexion.

La page Etat de l'installation du produit s'affiche et commence automatiquement à télécharger et àinstaller le logiciel sous licence disponible pour votre organisation. Sur cette page, vous pouvezsurveiller la procédure d'installation automatique du logiciel, notamment :

• Produits : affiche tous les logiciels sous licence ainsi que leur dernière version disponible.

• Etat : affiche l'une des valeurs suivantes :

• Mise à jour : s'affiche lorsque le logiciel est en cours de téléchargement et d'installation.

• Terminé : s'affiche lorsque le logiciel est installé avec succès.

• Echec : s'affiche lorsqu'une erreur se produit lors du processus de téléchargement oud'installation.

• Arrêté : s'affiche lorsque vous cliquez sur Arrêter en haut de la page.

Vous pouvez cliquer sur Menu | Logiciels | Gestionnaire de logiciels à tout moment pour obtenir plusd'informations sur la procédure d'installation du logiciel.

Vous pouvez également utiliser l'interface utilisateur McAfee ePO pour configurer d'autres élémentslors de l'exécution de la procédure d'installation automatique du logiciel.

Configuration de votre serveur McAfee ePOUtilisation de la fonction automatique Etat de l'installation du produit 4


3 Vous pouvez réaliser l'installation du logiciel en utilisant l'une des méthodes du tableau ci-dessous.

Installation automatique Installation manuelle

Sur la page Etat de l'installation du produit, patientezjusqu'à ce que le champ Etat pour chaque produitaffiche Terminé.

En cas d'échec de l'installation d'un produit, cochezla case en regard du nom du produit pour relancerl'installation. Si l'installation continue à échouer,utilisez le Gestionnaire de logiciels pour terminerl'installation.

Sur la page Etat de l'installation duproduit, cliquez sur Arrêter, puis sur OKdans la boîte de dialogue qui vous invite àterminer l'installation du logiciel à l'aidedu Gestionnaire de logiciels.L'état du produit passe à Arrêté.

Pour terminer la procédure d'installation,cliquez sur Menu | Logiciels | Gestionnaire delogiciels.Pour en savoir plus sur la procédured'installation manuelle du logiciel,reportez-vous au Gestionnaire delogiciels.

4 Configurez ePolicy Orchestrator en effectuant les tâches suivantes, selon les besoins :

• Configuration des paramètres serveur généraux : les paramètres serveur de ce groupeaffectent des fonctionnalités qu'il est inutile de modifier pour que votre serveur fonctionnecorrectement. Vous pouvez cependant personnaliser certains aspects du fonctionnement devotre serveur.

• Création de comptes d'utilisateur et configuration des ensembles d'autorisations : lescomptes d'utilisateur permettent aux utilisateurs d'accéder au serveur et les ensemblesd'autorisations octroient des droits et l'accès aux fonctionnalités ePolicy Orchestrator.

• Configuration des paramètres serveur et des fonctionnalités avancés : votre serveurMcAfee ePO fournit des fonctions avancées vous permettant d'automatiser la gestion de lasécurité de votre réseau.

• Configuration de composants supplémentaires : les composants supplémentaires tels queles référentiels distribués, les serveurs enregistrés et les gestionnaires d'agents sont requis pourutiliser la plupart des fonctionnalités avancées de votre logiciel ePolicy Orchestrator.

Le serveur McAfee ePO protège désormais vos systèmes managés.

Fonctionnalités essentielles pour la configuration assistée oumanuelle

Plusieurs fonctionnalités du serveur McAfee ePO sont essentielles et elles doivent être configurées lorsde la configuration manuelle ou la configuration assistée. Ces fonctionnalités sont obligatoires pourpouvoir déployer et gérer les logiciels de sécurité sur les systèmes de votre réseau.

L'outil Configuration assistée est fourni avec le logiciel McAfee ePO. Cet outil est conçu pour vous aiderà configurer les fonctionnalités essentielles et à vous familiariser avec l'interface de McAfee ePO. L'outilConfiguration assistée aide à réaliser les étapes requises pour :

1 Obtenir les logiciels de sécurité McAfee archivés dans le référentiel maître afin de les déployer surles systèmes du réseau. Pour installer votre logiciel produit, utilisez la page Etat de l'installation duproduit ou le Gestionnaire de logiciels.

2 Ajouter vos systèmes dans l'Arborescence des systèmes de McAfee ePO afin de les gérer.

3 créer et affecter au moins une stratégie de sécurité à mettre en œuvre sur vos systèmesmanagés ;

4 Configuration de votre serveur McAfee ePOFonctionnalités essentielles pour la configuration assistée ou manuelle


4 planifier une tâche client de mise à jour pour assurer la mise à jour de vos logiciels de sécurité.

5 déployer les logiciels de sécurité sur les systèmes managés.

La configuration assistée n'est pas obligatoire. Si vous effectuez ces étapes manuellement, il estconseillé de suivre la procédure de configuration dans le même ordre. Quelle que soit la méthode quevous choisissez pour configurer ces fonctionnalités, vous pouvez ensuite modifier et optimiser laconfiguration de McAfee ePO à l'aide de l'outil Configuration assistée ou en accédant directement àchaque page depuis le menu.

Configuration des fonctionnalités essentielles L'outil Configuration assistée permet de configurer les fonctionnalités essentielles. Si vous préférez,vous pouvez utiliser ces tâches pour vous laisser guider lors de la configuration manuelle de votreserveur McAfee ePO.


Procédure1 Cliquez sur l'icône Lancer ePolicy Orchestrator sur le bureau de votre serveur McAfee ePO pour afficher

l'écran Connexion.

2 Saisissez votre nom d'utilisateur, votre mot de passe, et (si nécessaire) sélectionnez une langue,puis cliquez sur Connexion. ePolicy Orchestrator démarre et affiche la boîte de dialogue Tableau debord.

3 Pour installer votre logiciel produit, utilisez l'option automatique Etat de l'installation du produit oule Gestionnaire de logiciels. Pour plus d'informations, consultez la section Utilisation de l'état del'installation du produit automatique ou du Gestionnaire de logiciels.

4 Cliquez sur Menu | Génération de rapports | Tableaux de bord, sélectionnez Configuration assistée dans le menudéroulant Tableau de bord, puis cliquez sur Démarrer.

5 Passez en revue la présentation et les instructions de l'outil Configuration assistée, puis cliquez surDémarrer.

6 Sur la page Sélection des logiciels :

a Sous la catégorie de produits Logiciels non archivés, cliquez sur Sous licence ou Evaluation pour afficherles produits disponibles.

b Dans le tableau Logiciels, sélectionnez le produit à archiver. La description du produit et tous lescomposants disponibles s'affichent dans le tableau suivant.

c Cliquez sur Tout archiver pour archiver les extensions de produit sur votre serveur McAfee ePO etles packages de produit dans votre référentiel maître.

d Cliquez sur Suivant en haut de l'écran lorsque vous avez terminé d'archiver les logiciels et quevous êtes prêt à passer à l'étape suivante.

7 Sur la page Sélection de systèmes :

a Sélectionnez dans l'Arborescence des systèmes le groupe auquel vous souhaitez ajouter vossystèmes. Si vous n'avez pas défini de groupes personnalisés, sélectionnez Mon organisation, puiscliquez sur Suivant. La boîte de dialogue Ajout des systèmes s'affiche.

b Sélectionnez la méthode que vous souhaitez utiliser pour ajouter vos systèmes à l'arborescence dessystèmes.

Configuration de votre serveur McAfee ePOConfiguration des fonctionnalités essentielles 4


Méthoded'ajout dessystèmes

Objectif Procédure

Synchronisationavec AD

Synchronisez votre serveur McAfeeePO avec votre serveur ActiveDirectory (AD) ou votre contrôleurde domaine (DC en anglais). Sivous utilisez l'un ou l'autre dansvotre environnement, lasynchronisation avec AD constituela méthode la plus rapide pourajouter vos systèmes à l'arborescencedes systèmes.

1 Dans la boîte de dialogue Synchronisationavec AD, sélectionnez le type desynchronisation à utiliser et spécifiez lesparamètres appropriés.

2 Cliquez sur Synchroniser et Enregistrer pourpasser à l'étape suivante.

Manuelle Ajoutez manuellement les systèmesà votre arborescence des systèmes enindiquant leur nom ou enrecherchant une liste de systèmespar domaine.

1 Sur la page Nouveaux systèmes, cliquezsur Parcourir pour ajouter des systèmesindividuels à partir d'un domaine etcliquez sur OK, ou saisissez les noms dessystèmes dans le champ Systèmes cibles.

2 Cliquez sur Ajouter des systèmes pour passerà l'étape suivante.

8 Sur la page Configuration de stratégie :

Option àsélectionner

Objectif Procédure

Accepter les valeurs pardéfaut

Utilisez les paramètres de lastratégie My Default pour leslogiciels à déployer etpoursuivez la configuration.

Cette étape est terminée.

Configurer la stratégie Spécifier des paramètres destratégie personnalisés pourchaque logiciel que vousarchivez.

1 Dans la boîte de dialogue Configuration destratégie, cliquez sur OK.

2 Sélectionnez un produit dans la Liste desproduits et cliquez sur My Default pourmodifier les paramètres de stratégie pardéfaut.

3 Cliquez sur Suivant pour passer à l'étapesuivante.

9 Sur la page Mise à jour des logiciels :

4 Configuration de votre serveur McAfee ePOConfiguration des fonctionnalités essentielles


Option àsélectionner

Objectif Procédure

Créer une tâche pardéfaut

Créer automatiquement unetâche client de mise à jourde produit par défaut quis'exécute tous les jours àminuit.

Cette étape est terminée.

Définir la planificationde la tâche

Configurer manuellement laplanification de votre tâcheclient de mise à jour deproduit.

1 A l'aide du Générateur d'affectations de tâche client,spécifiez un Produit et le Nom de la tâche pour latâche de mise à jour de produit.

Ne modifiez pas le Type de tâche. Le Type detâche doit être Mise à jour de produit

2 Configurez les options Verrouiller l'héritage de tâcheet Marqueurs, puis cliquez sur Suivant.

3 Définissez la planification de la tâche de miseà jour, puis cliquez sur Suivant.

4 Passez en revue les données, puis cliquez surEnregistrer.

10 Sur la page Déploiement de logiciels :

a Dans l'arborescence des systèmes, sélectionnez l'emplacement contenant les systèmes surlesquels vous souhaitez déployer vos logiciels, puis cliquez sur Suivant. Cliquez sur OK pourpoursuivre.

b Définissez les paramètres du déploiement de McAfee Agent, puis cliquez sur Déployer.

Cliquez sur Passer le déploiement d'agent si vous souhaitez effectuer cette opération ultérieurement.Toutefois, vous devez d'abord déployer les agents avant de pouvoir déployer vos autres logicielsde sécurité.

c Sélectionnez les packages logiciels à déployer sur vos systèmes managés, puis cliquez surDéployer.

11 Sur la page Synthèse de la configuration, cliquez sur Terminer pour fermer l'outil Configuration assistée.

12 Configurez ePolicy Orchestrator en effectuant les tâches suivantes, selon les besoins :

• Configuration des paramètres serveur généraux : les paramètres serveur de ce groupeaffectent des fonctionnalités qu'il est inutile de modifier pour que votre serveur fonctionnecorrectement. Vous pouvez cependant personnaliser certains aspects du fonctionnement devotre serveur.

• Création de comptes d'utilisateur et configuration des ensembles d'autorisations : lescomptes d'utilisateur offrent aux utilisateurs un moyen d'accéder au serveur, et les ensemblesd'autorisations octroient droits et accès aux fonctionnalités ePolicy Orchestrator.

• Configuration des paramètres serveur et des fonctionnalités avancés : votre serveurMcAfee ePO fournit des fonctions avancées vous permettant d'automatiser la gestion de lasécurité de votre réseau.

• Configuration de composants supplémentaires : les composants supplémentaires tels queles référentiels distribués, les serveurs enregistrés et les gestionnaires d'agents sont requis pourutiliser un grand nombre des fonctionnalités avancées de votre logiciel ePolicy Orchestrator.

Votre serveur McAfee ePO protège désormais vos systèmes managés.

Configuration de votre serveur McAfee ePOConfiguration des fonctionnalités essentielles 4


Utilisation d'un serveur proxy Si vous utilisez un serveur proxy dans votre environnement réseau, vous devez spécifier lesparamètres de proxy sur la page Paramètres serveur.


Procédure

1 Cliquez sur Menu | Configuration | Paramètres serveur, sélectionnez Paramètres de proxy dans les Catégories deparamètres, puis cliquez sur Modifier.

2 Sélectionnez Configurer manuellement les paramètres de proxy, indiquez les informations de configurationspécifiques que votre serveur proxy utilise pour chaque ensemble d'options, puis cliquez surEnregistrer.

Saisie du numéro de licence Votre clé de licence vous donne droit à une installation complète du logiciel et alimente le gestionnairede logiciels ePolicy Orchestrator avec les logiciels McAfee sous licence détenus par votre entreprise.

Sans clé de licence, votre logiciel s'exécute en mode d'évaluation. Une fois la période d'évaluationexpirée, le logiciel ne fonctionne plus. Vous pouvez ajouter une clé de licence à tout moment pendantou après la période d'évaluation.

ProcédurePour obtenir les définitions des options, cliquez sur ? dans l'interface.

1 Cliquez sur Menu | Configuration | Paramètres serveur, sélectionnez Clé de licence dans les Catégories deparamètres, puis cliquez sur Modifier.

2 Entrez la Clé de licence et cliquez sur Enregistrer.

Configuration de Product Improvement ProgramLe programme Product Improvement Program de McAfee permet d'optimiser les produits McAfee. Ilcollecte des données de manière proactive et périodique depuis les systèmes clients managés par leserveur McAfee ePO.

McAfee Product Improvement Program collecte les types de données suivants :

• Environnement système (détails des logiciels et du matériel)

• Efficacité des fonctionnalités des produits McAfee installés

• Erreurs au niveau des produits McAfee et événements Windows associés


Procédure

1 Cliquez sur Menu | Configuration | Paramètres serveur, sélectionnez Product Improvement Program dans la listeCatégories de paramètres, puis cliquez sur Modifier.

2 Sélectionnez Oui pour autoriser McAfee à collecter des données de diagnostic et d'utilisationanonymes, puis cliquez sur Enregistrer.

Cliquez ici pour en savoir plus sur McAfee Product Improvement Program.

4 Configuration de votre serveur McAfee ePOUtilisation d'un serveur proxy


http://www.mcafee.com/us/products/security-management/product-improvement-program.aspx

Désinstallation de McAfee Product Improvement ProgramMcAfee Product Improvement Program peut être désinstallé à tout moment.


1 Connectez-vous au serveur McAfee ePO en tant qu'administrateur.

2 Cliquez sur Menu | Stratégie | Catalogue de tâches client, sélectionnez McAfee Agent | Déploiement de produitscomme Types de tâche client, puis cliquez sur Actions | Nouvelle tâche.

3 Créez une nouvelle tâche pour désinstaller McAfee Product Improvement Program des systèmesclients de votre choix.

4 Affectez la tâche aux systèmes clients et envoyez un appel de réactivation de l'agent.

5 Cliquez sur Menu | Logiciel | Référentiel maître, puis cliquez sur Supprimer en regard du package McAfeeProduct Improvement Program, puis cliquez sur OK.

6 Cliquez sur Menu | Logiciel | Extensions, puis sélectionnez McAfee Product Improvement Program.

7 Cliquez sur Supprimer, puis sur OK.

Configuration de votre serveur McAfee ePODésinstallation de McAfee Product Improvement Program 4


4 Configuration de votre serveur McAfee ePODésinstallation de McAfee Product Improvement Program


5 Comptes d'utilisateur et ensemblesd'autorisations

Chaque compte d'utilisateur est associé à un ou plusieurs ensembles d'autorisations, lesquelsdéfinissent les actions autorisées de l'utilisateur dans le logiciel.

Sommaire Comptes d'utilisateur Authentification par certificat client Ensembles d'autorisations

Comptes d'utilisateurLes comptes d'utilisateur vous permettent de contrôler la manière dont les utilisateurs accèdent aulogiciel et l'utilisent. Même avec les plus petites installations réseau, vous devez spécifier et contrôlerl'accès des utilisateurs aux différentes parties du système.

Les comptes d'utilisateur peuvent être créés et gérés de différentes façons. Vous pouvez effectuer lesactions suivantes :

• Créer des comptes d'utilisateur manuellement, puis affecter un ensemble d'autorisations appropriéà chaque compte.

• Configurer votre serveur McAfee ePO de manière à autoriser les utilisateurs à se connecter vial'authentification Windows.

La connexion des utilisateurs avec leurs informations d'identification Windows est une fonctionnalitéavancée qui nécessite la configuration et la définition de plusieurs paramètres et composants.

Même si les comptes d'utilisateur et les ensembles d'autorisations sont étroitement liés, ils sont crééset configurés par des procédures différentes.

Sommaire Gestion des comptes d'utilisateur Formats de nom d'utilisateur et de mot de passe pris en charge Création d'un message de connexion personnalisé Configuration de la connexion d'utilisateurs Active Directory Journal d'audit

5


Gestion des comptes d'utilisateurVous pouvez créer, modifier et supprimer des comptes d'utilisateur manuellement à partir de la pageGestion des utilisateurs.

Il est conseillé de désactiver l'état de connexion d'un compte plutôt que de le supprimer, du moins jusqu'àce que vous ayez l'assurance que toutes les informations importantes associées à ce compte ont ététransférées à d'autres utilisateurs.


Procédure1 Ouvrez la page Gestion des utilisateurs : cliquez sur Menu | Gestion des utilisateurs | Utilisateurs.

2 Sélectionnez l'une des actions suivantes.

Action Etapes

Créer unutilisateur

1 Cliquez sur Nouvel utilisateur.

2 Entrez un nom d'utilisateur.

3 Sélectionnez si l'état de connexion de ce compte doit être activé ou désactivé. Sice compte est destiné à un utilisateur qui ne fait pas encore partie del'organisation, il peut être souhaitable de le désactiver.

4 Indiquez si ce nouveau compte utilise l'Authentification McAfee ePO, l'AuthentificationWindows ou l'Authentification par certificat. Entrez les informations d'identificationrequises, ou recherchez et sélectionnez le certificat.

5 Vous pouvez également spécifier le nom complet de l'utilisateur, son adressee-mail, son numéro de téléphone et une description dans la zone de texteRemarques.

6 Précisez si l'utilisateur doit être un administrateur ou sélectionnez les ensemblesd'autorisations appropriés.

7 Cliquez sur Enregistrer pour revenir à l’onglet Utilisateurs.

Le nouvel utilisateur apparaît dans la liste Utilisateurs de la page Gestion desutilisateurs.

Modifier unutilisateur

1 Dans la liste Utilisateurs, sélectionnez l'utilisateur à modifier, puis cliquez surActions | Modifier.

2 Modifiez le compte comme il convient.

3 Cliquez sur Enregistrer.

L'utilisateur est remplacé sur la liste Utilisateurs de la page Gestion des utilisateurs.

Supprimer unutilisateur

1 Dans la liste Utilisateurs, sélectionnez l'utilisateur à supprimer, puis cliquez surActions | Supprimer.

2 A l'invite, cliquez sur OK.

L'utilisateur est supprimé de la liste Utilisateurs de la page Gestion des utilisateurs.

Voir aussi Formats de nom d'utilisateur et de mot de passe pris en charge, page 43

5 Comptes d'utilisateur et ensembles d'autorisationsComptes d'utilisateur


Formats de nom d'utilisateur et de mot de passe pris en chargePassez en revue les formats pris en charge lorsque vous créez des noms d'utilisateur et des mots depasse de base de données SQL.

Tous les caractères imprimables du jeu de caractères ISO 8859-1 à l'exception des suivants :

Plate-forme Caractères non pris en charge pour les mots de passe et les nomsd'utilisateur

McAfee ePO • Espaces au début ou à la fin du mot de passe, ou mots de passe composésd'espaces uniquement

• Guillemets (")

• Barre oblique inverse (\) placée au début

• Deux-points dans les noms d'utilisateur (:)

• Points-virgules dans les noms d'utilisateur (;)

Voir aussi Gestion des comptes d'utilisateur, page 42

Création d'un message de connexion personnalisé Créez et affichez un message de connexion personnalisé qui sera affiché sur la page de connexion.

Votre message peut être écrit en texte simple ou au format HTML. Si vous créez un message auformat HTML, vous êtes responsable de la mise en forme et de l'ajout de caractères d'échappement.


1 Cliquez sur Menu | Configuration | Paramètres serveur, sélectionnez Message de connexion dans les Catégories deparamètres, puis cliquez sur Modifier.

2 Sélectionnez Afficher un message de connexion personnalisé, puis entrez votre message et cliquez surEnregistrer.

Configuration de la connexion d'utilisateurs Active Directory Vous pouvez réduire la surcharge liée à cette gestion des comptes et des accès d'utilisateurs enconfigurant la connexion d'utilisateurs Active Directory.

Sommaire Gestion des utilisateurs ePolicy Orchestrator à l'aide d'Active Directory Stratégies d'authentification et d'autorisation Windows Activation de l'authentification Windows sur le serveur McAfee ePO Configuration de l'authentification Windows Configuration de l'autorisation Windows

Gestion des utilisateurs ePolicy Orchestrator à l'aide d'Active DirectoryVous pouvez utiliser des informations d'identification pré-existantes et authentifiées par Windows pourcréer automatiquement des utilisateurs ePolicy Orchestrator et leur affecter des autorisations.

Cette opération s'effectue par la mise en correspondance (mappage) des ensembles d'autorisationsePolicy Orchestrator avec les groupes Active Directory dans votre environnement. Cette fonctionnalitépermet de réduire la charge de gestion si votre organisation compte un grand nombre d'utilisateursePolicy Orchestrator. Vous devez suivre les procédures suivantes pour effectuer la configuration :

Comptes d'utilisateur et ensembles d'autorisationsComptes d'utilisateur 5


• Configurer l'authentification utilisateur.

• Enregistrer les serveurs LDAP.

• Affecter des ensembles d'autorisations au groupe Active Directory.

Authentification utilisateur

Les utilisateurs ePolicy Orchestrator peuvent être authentifiés au moyen de l'authentification par motde passe ePolicy Orchestrator ou de l'authentification Windows. Si vous utilisez l'authentificationWindows, vous pouvez spécifier si les utilisateurs sont authentifiés :

• par rapport au domaine auquel appartient votre serveur McAfee ePO (par défaut) ;

• par rapport à une liste d'un ou de plusieurs contrôleurs de domaine ;

• par rapport à une liste d'un ou de plusieurs noms de domaine DNS ;

• en utilisant un serveur WINS pour rechercher le contrôleur de domaine adéquat.

Si vous utilisez des contrôleurs de domaine, des noms de domaine DNS ou un serveur WINS, vousdevez configurer les paramètres serveur d'authentification Windows.

Serveurs LDAP enregistrés

Vous devez enregistrer des serveurs LDAP sur votre serveur McAfee ePO pour que des ensemblesd'autorisations puissent être affectés dynamiquement aux utilisateurs Windows. Les ensemblesd'autorisations affectés dynamiquement sont affectés aux utilisateurs en fonction de leurappartenance à des groupes Active Directory.

Les utilisateurs approuvés via des approbations externes unidirectionnelles ne sont pas pris en charge.

Le compte d'utilisateur utilisé pour enregistrer le serveur LDAP dans ePolicy Orchestrator doit êtreapprouvé via une approbation transitive bidirectionnelle ou doit être physiquement présent dans ledomaine auquel le serveur LDAP appartient.

Autorisation Windows

Les paramètres serveur pour l'autorisation Windows spécifient le serveur Active Directory utilisé parePolicy Orchestrator pour collecter les informations sur les utilisateurs et les groupes d'un domainespécifique. Vous pouvez spécifier plusieurs contrôleurs de domaine et serveurs Active Directory. Cesparamètres serveur prennent en charge l'affectation dynamique d'ensembles d'autorisations auxutilisateurs qui fournissent des informations d'identification Windows lorsqu'ils se connectent.

ePolicy Orchestrator peut affecter dynamiquement des ensembles d'autorisations aux utilisateurs quirecourent à l'authentification Windows même si la fonction de connexion d'utilisateurs Active Directoryn'est pas activée.

Affectation d'autorisations

Vous devez affecter au moins un ensemble d'autorisations à un groupe Active Directory autre que legroupe principal de l'utilisateur. L'affectation dynamique d'ensembles d'autorisations au groupeprincipal de l'utilisateur n'est pas prise en charge. Par conséquent, seules les autorisationsmanuellement affectées à l'utilisateur individuel sont appliquées. Le groupe principal par défaut est« Utilisateurs du domaine ».



Connexion d'utilisateurs Active Directory

Une fois la configuration décrite dans les étapes précédentes effectuée, vous pouvez activer leparamètre serveur Création automatique d'utilisateurs. Celui-ci permet de créer des enregistrementsutilisateurs automatiquement lorsque les conditions suivantes sont remplies :

• Les utilisateurs fournissent des informations d'identification valides, au format <domaine\nom>.Par exemple, un utilisateur dont le nom d'utilisateur Windows est « jdupont1 » et qui est membredu domaine Windows « fra » indiquera comme informations d'identification : « fra\jdupont » suivide son mot de passe.

• Un serveur Active Directory contenant des informations à propos de cet utilisateur a été enregistrédans ePolicy Orchestrator.

• L'utilisateur est membre d'au moins un groupe local de domaine ou groupe global de domaine,mappé à un ensemble d'autorisations ePolicy Orchestrator.

Stratégies d'authentification et d'autorisation WindowsVous pouvez adopter différentes approches lorsque vous envisagez l'enregistrement des serveursLDAP. Prenez le temps de planifier votre stratégie d'enregistrement de serveurs. Cela vous aidera àtrouver la solution optimale dès la première tentative et réduira les problèmes d'authentification desutilisateurs.

Idéalement, il s'agit d'une procédure à effectuer une seule fois, et à modifier uniquement en cas dechangement de la topologie générale de votre réseau. Une fois les serveurs enregistrés etl'authentification Windows configurée, il n'est normalement pas nécessaire de modifier ces paramètrestrès souvent.

Authentification ou autorisation

L'authentification revient à vérifier l'identité de l'utilisateur. Il s'agit de mettre en correspondance lesinformations d'identification fournies par l'utilisateur avec des informations que le système croit êtreauthentiques. Cela peut être un compte serveur McAfee ePO, des informations d'identification ActiveDirectory ou un certificat. Si vous souhaitez utiliser l'authentification Windows, vous devrez examinercomment les domaines (ou les serveurs) contenant vos comptes d'utilisateur sont organisés.

L'autorisation joue un rôle une fois les informations d'identification vérifiées. C'est à ce moment-là quesont appliqués les ensembles d'autorisations, déterminant ce que l'utilisateur a le droit de faire au seindu système. En utilisant l'authentification Windows, vous pouvez déterminer les opérations que lesutilisateurs de différents domaines sont autorisés à effectuer. Pour ce faire, les ensemblesd'autorisations sont reliés à des groupes faisant partie de ces domaines.

Topologie réseau des comptes d'utilisateur

La charge de travail qui sera nécessaire pour configurer entièrement l'authentification et l'autorisationWindows dépend de la topologie de votre réseau et de la répartition des comptes d'utilisateur au seinde ce dernier.

• Si les informations d'identification de vos utilisateurs potentiels sont toutes contenues dans un petitensemble de domaines (ou de serveurs) lui-même étant dans une arborescence de domaineunique, il suffit d'enregistrer la racine de cette arborescence.

• Si les comptes d'utilisateur sont répartis plus largement, vous devrez enregistrer plusieurs serveursou domaines. Déterminez le nombre minimal de sous-arbres de domaines (ou de serveurs) dontvous avez besoin et enregistrez les racines de ces arborescences. Essayez de les enregistrer dansl'ordre dans lequel ils seront utilisés le plus souvent. Comme le processus d'authentificationparcourt la liste des domaines (ou des serveurs) dans l'ordre dans lequel ils sont répertoriés,indiquer les domaines les plus fréquemment utilisés en haut de la liste améliorera les performancesmoyennes de l'authentification.



Structure d'autorisation

Pour que les utilisateurs puissent se connecter à un serveur McAfee ePO à l'aide de l'authentificationWindows, un ensemble d'autorisations doit être lié au groupe Active Directory dont leur compte estmembre sur leur domaine. Lorsque vous décidez de la manière dont les ensembles d'autorisationsdoivent être affectés, gardez à l'esprit les considérations suivantes :

• Les ensembles d'autorisations peuvent être affectés à plusieurs groupes Active Directory.

• Les ensembles d'autorisations peuvent être affectés dynamiquement uniquement à un groupeActive Directory complet. Ils ne peuvent pas être affectés à certains utilisateurs seulement au seind'un groupe.

Si vous devez affecter des autorisations spéciales à un utilisateur particulier, vous devez créer ungroupe Active Directory contenant uniquement cet utilisateur pour ce faire.

Activation de l'authentification Windows sur le serveur McAfee ePOPour pouvoir utiliser l'authentification Windows plus avancée, il est nécessaire de préparer le serveurau préalable.

Pour activer la page Authentification Windows dans les paramètres serveur, vous devez d'abord arrêterle service ePolicy Orchestrator. Cette tâche doit être effectuée sur le serveur McAfee ePO lui-même.


1 A partir de la console du serveur, sélectionnez Démarrer | Paramètres | Panneau de configuration | Outilsd'administration.

2 Sélectionnez Services.

3 Dans la fenêtre Services, cliquez avec le bouton droit sur Serveur d'applications McAfee ePolicy Orchestrator etsélectionnez Arrêter.

4 Renommez le fichier Winauth.dll en Winauth.bak.

Dans une installation par défaut, ce fichier se trouve dans le répertoire C:\Program Files\McAfee\ePolicy Orchestrator\Server\bin.

5 Redémarrez le serveur.

A la prochaine ouverture de la page Paramètres serveur, une option Authentification Windows sera affichée.

Configuration de l'authentification WindowsIl existe de nombreuses façons d'utiliser des informations d'identification de comptes Windows au seind'ePolicy Orchestrator.

Avant de commencerVous devez avoir préparé votre serveur au préalable pour l'authentification Windows.

La manière de configurer ces paramètres dépend de plusieurs facteurs :



• Souhaitez-vous utiliser plusieurs contrôleurs de domaine ?

• Vos utilisateurs dépendent-ils de plusieurs domaines ?

• Souhaitez-vous utiliser un serveur WINS pour rechercher le domaine utilisé pour l'authentificationde vos utilisateurs ?

Sans configuration spéciale, les utilisateurs peuvent s'authentifier à l'aide des informationsd'identification Windows pour le domaine auquel le serveur McAfee ePO est rattaché, ou pour toutdomaine disposant d'une relation d'approbation bidirectionnelle avec le domaine du serveur McAfeeePO. Si certains utilisateurs dépendent de domaines qui ne satisfont pas à ces critères, configurezl'authentification Windows.


1 Cliquez sur Menu | Configuration | Paramètres serveur, puis sélectionnez Authentification Windows dans la listedes Catégories de paramètres.

2 Cliquez sur Modifier.

3 Indiquez si vous souhaitez utiliser un ou plusieurs domaines, un ou plusieurs contrôleurs dedomaine ou un serveur WINS.

Les domaines doivent être indiqués au format DNS. (Par exemple, domaineinterne.com.) Lescontrôleurs de domaine et les serveurs WINS doivent avoir des noms de domaine complets. (Parexemple, dc.domaineinterne.com.)

Vous pouvez spécifier plusieurs domaines ou contrôleurs de domaine, mais un seul serveur WINS.Cliquez sur + pour ajouter d'autres domaines ou contrôleurs de domaine à la liste.

4 Une fois les serveurs ajoutés, cliquez sur Enregistrer.

Si vous indiquez des domaines ou des contrôleurs de domaine, le serveur McAfee ePO essaierad'authentifier les utilisateurs auprès les serveurs dans l'ordre dans lequel ils sont répertoriés. Lepremier serveur de la liste est utilisé, puis les suivants jusqu'à ce que l'utilisateur soit authentifié.

Configuration de l'autorisation WindowsPour les utilisateurs qui souhaitent se connecter à un serveur McAfee ePO à l'aide de l'authentificationWindows, un ensemble d'autorisations doit être affecté à l'un de leurs groupes Active Directory.


Procédure1 Cliquez sur Menu | Gestion des utilisateurs | Ensembles d'autorisations.

2 Choisissez un ensemble d'autorisations existant dans la liste Ensembles d'autorisations et cliquez surModifier dans la section Nom et utilisateurs, ou cliquez sur Nouvel ensemble d'autorisations.

3 Sélectionnez les utilisateurs individuels auxquels l'ensemble d'autorisations s'applique.

4 Sélectionnez un Nom de serveur dans la liste et cliquez sur Ajouter.



5 Dans le navigateur LDAP, parcourez l'arborescence et sélectionnez les groupes auxquels cetensemble d'autorisations s'applique.

La sélection d'un élément dans le volet Parcourir affiche les membres de cet élément dans le voletGroupes. Vous pouvez sélectionner autant de groupes que nécessaire qui recevront dynamiquementl'ensemble d'autorisations. Vous ne pouvez ajouter des membres que d'un seul élément à la fois.Pour en ajouter d'autres, répétez les étapes 4 et 5.


L'ensemble d'autorisations est appliqué à tous les utilisateurs des groupes spécifiés en vousconnectant au serveur à l'aide de l'authentification Windows.

Journal d'audit Le journal d'audit permet de conserver, de gérer et de consulter l'enregistrement de toutes les actionsutilisateur effectuées dans ePolicy Orchestrator. Les entrées du journal d'audit s'affichent sous laforme d'un tableau dont le contenu peut être trié. Si vous souhaitez davantage de flexibilité, vouspouvez aussi filtrer le journal de manière à n'afficher que les échecs ou que les entrées concernantune période donnée.

Le journal d'audit comporte les colonnes suivantes :

• Action : le nom de l'action qu'a tentée l'utilisateur ePolicy Orchestrator.

• Fin — Date et heure auxquelles l'action s'est terminée.

• Détails — Informations supplémentaires sur l'action.

• Priorité — Importance de l'action.

• Début — Date et heure auxquelles l'action a été initiée.

• Réussite — Indique si l'action a réussi.

• Nom d'utilisateur — Nom d'utilisateur du compte d'utilisateur connecté qui a été employé pourentreprendre l'action.

Les informations du journal d'audit s'affichent dans la langue de l'administrateur de l'entreprise.

Les entrées du journal d'audit peuvent faire l'objet de requêtes. Vous pouvez utiliser les requêtes pardéfaut qui ciblent ces données ou en créer à l'aide de l'assistant Générateur de requêtes. Par exemple,la requête Echecs de tentatives d'ouverture de session affiche un tableau de toutes les tentativesd'ouverture de session qui ont échoué.

Voir aussi Affichage et purge du Journal d'audit, page 48Planification de la purge du Journal d'audit, page 49

Affichage et purge du Journal d'audit Vous pouvez afficher et purger l'historique des actions effectuées par les utilisateurs.

Lors de la consultation du Journal d'audit, les données disponibles dépendent de la fréquence de purgedu Journal d'audit et des paramètres d'ancienneté définis pour les purges.

La purge du Journal d'audit entraîne la suppression permanente des enregistrements.




1 Cliquez sur Menu | Gestion des utilisateurs | Journal d'audit pour afficher le Journal d'audit.


Action Etapes

Afficher lejournal d'audit

1 Cliquez sur un titre de colonne pour trier le tableau selon cette colonne (par ordrealphabétique).

2 Dans la liste déroulante Filtre, sélectionnez une option pour limiter la quantité dedonnées visibles. Vous pouvez masquer toutes les actions à l'exception desactions ayant échoué, ou n'afficher que les actions survenues au cours d'unepériode sélectionnée.

3 Cliquez sur une entrée pour en afficher les détails.

Purger lejournal d'audit

1 Cliquez sur Actions | Purger.

2 Dans la boîte de dialogue Purger située en regard de Purger les enregistrements de plusde, entrez un nombre et sélectionnez une unité de temps.

3 Cliquez sur OK.

Tous les enregistrements du Journal d'audit sont définitivement supprimés.

Voir aussi Journal d'audit, page 48

Planification de la purge du Journal d'auditVous pouvez purger automatiquement le Journal d'audit à l'aide d'une tâche serveur planifiée.


1 Ouvrez le Générateur de tâches serveur.

a Sélectionnez Menu | Automatisation | Tâches serveur.

b Cliquez sur Nouvelle tâche.

2 Saisissez un nom et une description de la tâche. En regard de l'Etat de planification, sélectionnezActivé, puis cliquez sur Suivant.

3 Sélectionnez Purger le journal d'audit dans la liste déroulante.

4 Sous Purger les enregistrements de plus de, définissez le délai (durée et unité) avant de purger les entréesJournal d'audit.

5 Cliquez sur Suivant.

6 Planifiez la tâche comme il convient, puis cliquez sur Suivant.

7 Contrôlez les paramètres de la tâche, puis cliquez sur Enregistrer.

Voir aussi Journal d'audit, page 48



Authentification par certificat clientLes clients peuvent utiliser un certificat numérique comme informations d'identification pourl'authentification lorsqu'ils se connectent à un serveur McAfee ePO.

Sommaire Modalités d'utilisation de l'authentification par certificat client Configuration d'ePolicy Orchestrator pour l'authentification par certificat client Modification de l'authentification par certificat du serveur McAfee ePO Désactivation de l'authentification par certificat client du serveur McAfee ePO Configuration des utilisateurs pour l'authentification par certificat Mise à jour du fichier de liste de révocation de certificats Problèmes liés à l'authentification par certificat client Certificats SSL Création d'un certificat autosigné avec OpenSSL Autres commandes OpenSSL utiles Conversion d'un fichier PVK existant en fichier PEM

Modalités d'utilisation de l'authentification par certificat clientL'authentification par certificat client est la méthode la plus sécurisée disponible. Toutefois, elle neconvient pas à tous les environnements.

L'authentification par certificat client est une extension de l'authentification par clé publique. Elleemploie elle aussi des clés publiques, mais diffère en cela que vous ne devez autoriser qu'une seuleentité de confiance, appelée autorité de certification. Les certificats sont des documents numériquesassociant des informations d'identité et des clés publiques, signés numériquement par l'autorité decertification qui vérifie si les informations sont correctes.

Avantages de l'authentification par certificat

L'authentification par certificat offre plusieurs avantages par rapport à l'authentification par mot depasse :

• Les certificats ont une durée de vie prédéfinie. Par conséquent, les autorisations d'un utilisateursont régulièrement et automatiquement vérifiées au moment de l'expiration de son certificat.

• Si l'accès d'un utilisateur doit être suspendu ou révoqué, le certificat peut être ajouté à une liste derévocation de certificats qui est vérifiée à chaque tentative de connexion afin d'empêcher toutaccès non autorisé.

• L'authentification par certificat offre une gestion plus simple et une évolutivité plus élevée que lesautres formes d'authentification, surtout dans les grandes entreprises ou institutions, dans lamesure où seul un petit nombre d'autorités de certification (généralement une seule) doit êtreautorisé.

Inconvénients de l'authentification par certificat

L'authentification par certificat ne convient pas à tous les types d'environnement. Cette méthodecomporte certains inconvénients, dont les suivants :

• Elle exige une infrastructure de clés publiques. Le niveau de sécurité supplémentaire conféré parcette méthode ne vaut pas toujours le surcoût qu'elle génère.

• Elle implique une charge de travail supplémentaire pour gérer les certificats par rapport àl'authentification par mot de passe.

5 Comptes d'utilisateur et ensembles d'autorisationsAuthentification par certificat client


Configuration d'ePolicy Orchestrator pour l'authentification parcertificat clientAvant que les utilisateurs puissent utiliser l'authentification par certificat pour se connecter, ePolicyOrchestrator doit être configuré de la manière appropriée.

Avant de commencerVous devez être en possession d'un certificat signé au format P7B, PKCS12, DER ou PEM.

Procédure1 Cliquez sur Menu | Configuration | Paramètres serveur.

2 Sélectionnez Authentification par certificat et cliquez sur Modifier.

3 Sélectionnez Activer l'authentification par certificat.

4 Cliquez sur Parcourir en regard de Certificat issu d'une autorité de certification pour client (P7B, PEM).

5 Accédez au fichier de certificat voulu, sélectionnez-le, puis cliquez sur OK.

6 Si vous possédez un Fichier de liste de révocation de certificats, cliquez sur Parcourir en regard de cette zonemodifiable, accédez au fichier requis puis cliquez sur OK.

7 Cliquez sur Enregistrer pour enregistrer toutes les modifications.

8 Redémarrez ePolicy Orchestrator pour activer l'authentification par certificat.

Modification de l'authentification par certificat du serveurMcAfee ePOLes serveurs ont besoin de certificats pour les connexions SSL, qui offrent une sécurité supérieure àcelle des sessions HTTP standard.

Avant de commencerPour charger un certificat signé, vous devez avoir préalablement obtenu un certificat deserveur auprès d'une autorité de certification.

Il est possible de créer des certificats autosignés au lieu d'utiliser des certificats signés par des sourcesexternes, bien que cela implique un risque un peu plus élevé. Cette procédure permet d'effectuer laconfiguration initiale de l'authentification par certificat ou de modifier une configuration existante àl'aide d'un certificat mis à jour.




3 Sélectionnez Activer l'authentification par certificat.

4 Cliquez sur Parcourir en regard de Certificat client issu d'une autorité de certification. Accédez au fichier decertificat voulu, sélectionnez-le, puis cliquez sur OK.

Une fois le fichier appliqué, l'invite se change en Remplacer le certificat issu d'une autorité de certification actif.

5 Si vous avez fourni un fichier de certificat PKCS12, entrez un mot de passe.

Comptes d'utilisateur et ensembles d'autorisationsAuthentification par certificat client 5


6 Si vous souhaitez fournir un fichier de liste de révocation de certificats, cliquez sur Parcourir enregard de Fichier de liste de révocation de certificats (PEM). Accédez au fichier de liste de révocation decertificats, sélectionnez-le, puis cliquez sur OK.

La liste de révocation de certificats doit être au format PEM.

7 Le cas échéant, sélectionnez des paramètres avancés.


9 Redémarrez le serveur pour prendre en compte les modifications apportées aux paramètresd'authentification par certificat.

Désactivation de l'authentification par certificat client duserveur McAfee ePOLes certificats de serveur peuvent et doivent être désactivés lorsqu'ils ne sont plus utilisés.

Avant de commencerLe serveur doit déjà être configuré pour l'authentification par certificat client avant depouvoir désactiver des certificats de serveur.

Une fois qu'un certificat de serveur est chargé, vous pouvez uniquement le désactiver, pas lesupprimer.


1 Pour accéder à la page Paramètres serveur, cliquez sur Menu | Configuration | Paramètres serveur.


3 Désélectionnez Activer l'authentification par certificat, puis cliquez sur Enregistrer.

Les paramètres serveur ont été modifiés mais vous devez redémarrer le serveur afin que lamodification de la configuration prenne effet.

Configuration des utilisateurs pour l'authentification parcertificatL'authentification par certificat doit être configurée pour les utilisateurs avant qu'ils ne puissents'authentifier avec leur certificat numérique.

Les certificats utilisés pour l'authentification des utilisateurs sont généralement achetés en mêmetemps qu'une carte à puce ou un dispositif similaire. Le logiciel fourni avec le matériel de la carte àpuce permet d'extraire le fichier de certificat. Il s'agit le plus souvent du fichier de certificat chargédans cette procédure.


1 Cliquez sur Menu | Gestion des utilisateurs | Utilisateurs.

2 Sélectionnez un utilisateur et cliquez sur Actions | Modifier.

3 Sélectionnez Modifier l'authentification ou les informations d'identification, puis Authentification par certificat.



4 Utilisez l'une des méthodes suivantes pour fournir les informations d'identification.

• Copiez le champ du nom unique à partir du fichier de certificat et collez-le dans la zonemodifiable Champ du nom unique du sujet du certificat personnel.

• Chargez le fichier de certificat signé à l'aide du certificat de l'autorité de certification qui a étéchargé à la section Configuration d'ePolicy Orchestrator pour l'authentification par certificat.Cliquez sur Parcourir, localisez le fichier de certificat sur votre ordinateur, sélectionnez-le puiscliquez sur OK.

Les certificats d'utilisateur peuvent être codés au format PEM ou DER. Le format de certificat n'a ensoi aucune importance pour autant qu'il soit compatible avec le format X.509 ou PKCS12.

5 Cliquez sur Enregistrer pour enregistrer les modifications apportées à la configuration de l'utilisateur.

Le système vérifie les informations du certificat fournies et génère un avertissement si elles ne sontpas valides. Dès ce moment, lorsque l'utilisateur tentera de se connecter à ePolicy Orchestrator àpartir d'un navigateur auquel son certificat a été ajouté, le formulaire de connexion s'affichera en griséet l'utilisateur sera immédiatement authentifié.

Mise à jour du fichier de liste de révocation de certificatsVous pouvez mettre à jour le fichier de liste de révocation de certificats installé sur votre serveurMcAfee ePO pour bloquer l'accès à ePolicy Orchestrator de certains utilisateurs spécifiques.

Avant de commencerVous devez déjà disposer d'un fichier de liste de révocation de certificats au format ZIP ouPEM.

Le fichier de liste de révocation de certificats contient la liste des utilisateurs ePolicy Orchestratorrévoqués et l'état de leur certificat numérique. Il répertorie les certificats révoqués, la ou les raisonsde la révocation, les dates d'émission des certificats et l'entité émettrice. Lorsqu'un utilisateur tented'accéder au serveur McAfee ePO, le système vérifie le fichier de liste de révocation de certificats etoctroie ou non l'accès à cet utilisateur.

Procédure1 Cliquez sur Menu | Configuration | Paramètres du serveur.


3 Pour mettre à jour le Fichier de liste de révocation de certificats, cliquez sur Parcourir en regard de cette zonemodifiable, accédez au fichier requis puis cliquez sur OK.


5 Redémarrez ePolicy Orchestrator pour activer l'authentification par certificat.

Vous pouvez également utiliser la ligne de commande cURL pour mettre à jour le fichier de liste derévocation de certificats. Par exemple, saisissez ce qui suit dans la ligne de commande cURL :

Pour exécuter des commandes cURL à partir de la ligne de commande, cURL doit être installé etvous devez disposer d'un accès à distance au serveur McAfee ePO. Consultez le Guide de création descripts de McAfee ePolicy Orchestrator 5.0.0 pour les détails sur le téléchargement de cURL etd'autres exemples.

curl -k --cert <cert_admin>.pem --key <clé_admin>.pem https://<localhost>:<port>/remote/console.cert.updatecrl.do -F crlFile=@<liste_rev_certif>.zip



Dans cette commande :

• <cert_admin> — Nom du fichier .PEM du certificat client administrateur

• <clé_admin> — Nom du fichier .PEM de la clé privée du client administrateur

• <localhost>:<port> — Nom du serveur McAfee ePO et numéro du port de communication

• <liste_rev_certif> — Nom du fichier de liste de révocation de certificats .PEM ou .zip

Le nouveau fichier de liste de révocation de certificats est à présent vérifié chaque fois d'un utilisateuraccède au serveur McAfee ePO pour confirmer que le certificat d'authentification n'a pas été révoqué.

Problèmes liés à l'authentification par certificat clientLa plupart des problèmes d'authentification au moyen de certificats sont dus à un petit nombre decauses.Si un utilisateur ne peut pas se connecter à ePolicy Orchestrator avec son certificat, tentez derésoudre le problème en vérifiant ce qui suit :

• L'utilisateur n'a pas été désactivé.

• Le certificat n'est pas expiré ou n'a pas été révoqué.

• Le certificat est signé par l'autorité de certification correcte.

• Le champ du nom unique est correct dans la page de configuration de l'utilisateur.

• Le navigateur fournit le certificat approprié.

• Consultez le journal d'audit pour examiner les messages d'authentification.

Certificats SSLLes navigateurs pris en charge par McAfee ePO affichent un avertissement relatif au certificat SSL d'unserveur s'ils ne peuvent pas vérifier que le certificat est valide ou signé par une source fiable. Pardéfaut, le serveur McAfee ePO utilise un certificat autosigné pour la communication SSL avec lenavigateur web, qui, par défaut, n'approuve pas le certificat. Cela entraîne l'affichage d'un messaged'avertissement à chaque fois que vous consultez la console McAfee ePO.Pour que ce message n'apparaisse plus, vous devez effectuer l'une des opérations suivantes :

• Ajoutez le certificat du serveur McAfee ePO à l'ensemble des certificats approuvés utilisés par lenavigateur.

Cette opération doit être effectuée pour chaque navigateur qui interagit avec McAfee ePO. Si lecertificat du navigateur est modifié, vous devez ajouter à nouveau le certificat du serveur McAfeeePO, car celui-ci ne correspond plus à celui qui est utilisé par le navigateur.

• Remplacez le certificat par défaut du serveur McAfee ePO par un certificat valide signé par uneautorité de certification approuvée par le navigateur. Il s'agit de la meilleure option. En effet, lecertificat étant signé par une autorité de certification fiable, vous n'êtes pas tenu de l'ajouter à tousles navigateurs web de votre organisation.

Si le nom d'hôte du serveur change, vous pouvez remplacer le certificat du serveur par un autre,signé lui aussi par une autorité de certification fiable.

Pour remplacer le certificat du serveur McAfee ePO, vous devez préalablement obtenir un certificat, depréférence signé par une autorité de certification fiable. Vous devez également obtenir la clé privée ducertificat ainsi que son mot de passe, le cas échéant. Vous pouvez ensuite utiliser tous ces fichierspour remplacer le certificat du serveur. Pour plus d'informations concernant le remplacement descertificats du serveur, consultez la rubrique Description et fonctionnement des clés de sécurité.



Le navigateur McAfee ePO s'attend à ce que les fichiers liés utilisent les formats suivants :

• Certificat de serveur : P7B ou PEM

• Clé privée : PEM

Si le certificat de serveur et la clé privée ne sont pas enregistrés dans l'un de ces formats, ils doiventêtre convertis à l'un des formats pris en charge avant de pouvoir être utilisés en remplacement ducertificat de serveur.

Remplacement du certificat de serveurVous pouvez spécifier le certificat de serveur et la clé privée utilisés par ePolicy Orchestrator à l'aidedes paramètres serveur.


1 Cliquez sur Menu | Configuration | Paramètres serveur, puis sur Certificat de serveur dans la liste des Catégoriesde paramètres.

2 Cliquez sur Modifier. La page Certificat de serveur : Modifier s'affiche.

3 Recherchez le fichier de certificat de serveur et cliquez sur Ouvrir.

4 Recherchez le fichier de clé privée et cliquez sur Ouvrir.

5 Si nécessaire, tapez le mot de passe de la clé privée.


Après l'application du nouveau certificat et de la nouvelle clé privée, vous devez redémarrer ePolicyOrchestrator pour que les modifications soient prises en compte.

Installation du certificat de sécurité lors de l'utilisation d'Internet ExplorerEmpêche l'invite de certificat d'apparaître à chaque fois que vous vous connectez en installant lecertificat de sécurité.

Procédure1 A partir de votre navigateur, démarrez ePolicy Orchestrator. La page Erreur de certificat :

navigation bloquée s'affiche.

2 Cliquez sur Poursuivre avec ce site Web (non recommandé) pour ouvrir la page de connexion. La barred'adresse est rouge, indiquant que le navigateur ne peut pas vérifier le certificat de sécurité.

3 A droite de la barre d'adresse, cliquez sur Erreur de certificat pour afficher le message d'avertissementconcernant le certificat non valide.

4 Au bas du message d'avertissement, cliquez sur Afficher les certificats pour ouvrir la boîte de dialogueCertificat.

Ne cliquez pas sur Installer le certificat dans l'onglet Général. Cela provoquerait l'échec de la procédure.

5 Sélectionnez l'onglet Chemin d'accès de certification, puis Orion_CA_<nom_serveur> et cliquez sur Afficher lecertificat. Une nouvelle boîte de dialogue s'ouvre dans l'onglet Général et affiche les informations sur lecertificat.

6 Cliquez sur Installer le certificat pour ouvrir l'assistant Importation de certificat.

7 Cliquez sur Suivant pour spécifier l'emplacement du certificat.



8 Sélectionnez Placer tous les certificats dans le magasin suivant, puis cliquez sur Parcourir pour sélectionner unemplacement.

9 Dans la liste, sélectionnez le dossier Autorités de certification racines de confiance, cliquez sur OK, puis surSuivant.

10 Cliquez sur Terminer. Dans le message d'avertissement de sécurité qui apparaît, cliquez sur Oui.

11 Fermez le navigateur.

12 Modifiez la cible du raccourci du bureau ePolicy Orchestrator afin d'utiliser le nom NetBIOS duserveur McAfee ePO au lieu de « localhost ».

13 Redémarrez ePolicy Orchestrator.

Vous n'êtes plus invité à accepter le certificat lorsque vous vous connectez à ePolicy Orchestrator.

Installation du certificat de sécurité lors de l'utilisation de Firefox 3.5 ouversion ultérieureVous pouvez installer le certificat de sécurité lorsque vous utilisez Firefox 3.5 ou version ultérieure,pour que la boîte de dialogue d'avertissement correspondante ne s'affiche pas à chaque connexion.

Procédure1 A partir de votre navigateur, démarrez ePolicy Orchestrator. La page Echec de la connexion

sécurisée s'affiche.

2 Cliquez sur Ou vous pouvez ajouter une exception au bas de la page. Le bouton Ajouter une exception estdésormais affiché.

3 Cliquez sur Ajouter une exception. La boîte de dialogue Ajout d'une exception de sécurité s'affiche.

4 Cliquez sur Obtenir le certificat. Le champ Etat du certificat est renseigné, et le bouton Confirmerl'exception de sécurité est activé.

5 Assurez-vous que Conserver cette exception de façon permanente est activé, puis cliquez sur Confirmer l'exceptionde sécurité.

Désormais, vous n'êtes plus invité à accepter le certificat lorsque vous vous connectez à ePolicyOrchestrator.

Création d'un certificat autosigné avec OpenSSL Il arrivera parfois que vous ne souhaitiez pas, ou que nous ne puissiez pas attendre qu'un certificatsoit authentifié par une autorité de certification. Pendant un test initial ou pour des systèmes utiliséssur des réseaux internes, un certificat autosigné peut offrir la sécurité et les fonctionnalités de basenécessaires.

Avant de commencerPour créer un certificat autosigné, vous devez installer le logiciel OpenSSL pour Windows.OpenSSL est disponible sur le site :

http://www.slproweb.com/products/Win32OpenSSL.html

To create and self-sign a certificate to use with your McAfee ePO server use OpenSSL for Windowssoftware.

There are many tools you can use to create a self-sign a certificate. This task describes the processusing OpenSSL.




La structure de fichiers utilisée dans la procédure est la suivante :

OpenSSL ne crée par ces dossiers par défaut. Ils sont utilisés dans ces exemples et peuvent être crééspour vous aider à trouver les fichiers de sortie.

• C:\ssl\ — Dossier d'installation d'OpenSSL.

• C:\ssl\certs\ — Utilisé pour stocker les certificats créés.

• C:\ssl\keys\ — Utilisé pour créer les clés créées.

• C:\ssl\requests\ — Utilisé pour stocker les demandes de certification créées.

Procédure1 Pour générer la clé de certificat initiale, saisissez ce qui suit dans la ligne de commande :

C:\ssl\bin>openssl genrsa -des3 -out C:/ssl/keys/ca.key 1024L'écran suivant s'affiche.

2 Entrez une expression secrète à la première invite de commande et confirmez-la à la deuxièmeinvite.

Notez l'expression secrète que vous avez entrée. Vous en aurez besoin ultérieurement.

The file names ca.key is generated and stored in the path C:\ssl\keys\.

La clé ressemble à l'exemple suivant.

3 Pour autosigner la clé de certificat que vous avez créée, saisissez ce qui suit dans la ligne decommande :

openssl req -new -x509 -days 365 -key C:/ssl/keys/ca.key -out C:/ssl/certs/ca.cer



L'écran suivant s'affiche.

Type the information needed after the following command prompts:

• Country Name (2 letter code) [AU]:

• State or Province Name (full name) [Some-State]:

• Locality Name (eg, city) []:

• Organization Name (eg, company) [Internet Widgits Pty Ltd]:

• Organizational Unit Name (eg, section) []:

• Common Name (eg, YOUR name) []:

At this command prompt, type the name of your server, for example your McAfee ePO servername.

• Email Address []:

The file named ca.cer is generated and stored in the path C:\ssl\certs\.

Le certificat autosigné ressemble à l'exemple suivant.

To have a third party, for example VeriSign or Microsoft Windows Enterprise Certificate Authority,create a signed certificate for ePolicy Orchestrator, see KnowledgeBase article KB72477.



https://kc.mcafee.com/corporate/index?page=content&id=KB72477

4 Upload and manage the certificate on the McAfee ePO server.

Autres commandes OpenSSL utilesVous pouvez utiliser d'autres commandes OpenSSL pour extraire et combiner les clés dans descertificats PKCS12 générés et pour convertir un fichier PEM de clé privée protégé par mot de passe, enfichier non protégé par mot de passe.

Commandes à utiliser avec les certificats PKCS12Utilisez les commandes suivantes pour créer un certificat PKCS12 avec à la fois le certificat et la clédans un seul fichier.

Description Format de commande OpenSSL

Crée un certificat et une clé dans unseul fichier.

openssl req -x509 -nodes -days 365 -newkey rsa:1024 -config chemin \openssl.cnf -keyout chemin\pkcs12Example.pem -out chemin \pkcs12Example.pem

Exporte la version PKCS12 ducertificat.

openssl pkcs12 -export -out chemin\pkcs12Example.pfx -in chemin\pkcs12Example.pem -name " chaîne_nom_utilisateur "

Utilisez les commandes suivantes pour séparer le certificat et la clé d'un certificat PKCS12 dans lequelils sont combinés.

Description Format de commande OpenSSL

Extrait la clé .pem dufichier .pfx.

openssl pkcs12 -in pkcs12ExampleKey.pfx -outpkcs12ExampleKey.pem

Supprime le mot de passe de laclé.

openssl rsa -in pkcs12ExampleKey.pem -outpkcs12ExampleKeyNoPW.pem

Le serveur ePolicy Orchestrator peut alors utiliser le fichierpkcs12ExampleCert.pem comme certificat et le fichierpkcs12ExampleKey.pem comme clé (ou le fichierpkcs12ExampleKeyNoPW.pem comme clé sans mot de passe).

Commande de conversion d'un fichier PEM de clé privée protégé par mot de passePour convertir un fichier PEM de clé privée protégé par mot de passe en fichier non protégé par mot depasse, utilisez la commande suivante :

openssl rsa -in C:\ssl\keys\key.pem -out C:\ssl\keys\keyNoPassword.pem

Dans l'exemple précédent, « C:\ssl\keys » est le chemin d'accès en entrée et en sortie pour les nomsde fichiers « key.pem » et « keyNoPassword.pem ».

Conversion d'un fichier PVK existant en fichier PEMLe navigateur ePolicy Orchestrator prend en charge les clés privées codées au format PEM. Celacomprend à la fois les clés privées protégées et non protégées par mot de passe. Vous pouvezconvertir une clé au format PVK en format PEM à l'aide d'OpenSSL.

Avant de commencerPour convertir le fichier au format PVK, installez le logiciel OpenSSL pour Windows. Ceproduit est disponible sur le site :


A l'aide du logiciel OpenSSL pour Windows, convertissez votre certificat au format PVK en format PEM.




Procédure1 Pour convertir un fichier PVK créé précédemment en fichier PEM, saisissez la commande suivante à

partir de la ligne de commande :

openssl rsa -inform PVK -outform PEM -in C:\ssl\keys\myPrivateKey.pvk -out C:\ssl\keys\myPrivateKey.pem -passin pass:p@$$w0rd -passout pass:p@$$w0rd

Dans cet exemple, les arguments « -passin » et « -passout » sont facultatifs.

2 Si vous y êtes invité, saisissez le mot de passe utilisé lors de la création du fichier PVK.

Dans l'exemple précédent, si l'argument « -passout » n'est pas utilisé, la nouvelle clé créée auformat PEM n'est pas protégée par mot de passe.

Ensembles d'autorisationsLes ensembles d'autorisations contrôlent le niveau d'accès des utilisateurs aux fonctionnalités dulogiciel.Quelle que soit la taille de l'installation ePolicy Orchestrator, vous devez obligatoirement spécifier etcontrôler l'accès des utilisateurs aux différentes parties du système.

Sommaire Interactions entre utilisateurs, groupes et ensembles d'autorisations Gestion des ensembles d'autorisations

Interactions entre utilisateurs, groupes et ensemblesd'autorisationsL'accès aux éléments d'ePolicy Orchestrator est contrôlé par les interactions entre les utilisateurs, lesgroupes et les ensembles d'autorisations.

UtilisateursLes utilisateurs sont généralement classés en deux grandes catégories. Il s'agit soit d'administrateursbénéficiant de droits complets sur l'ensemble du système, soit d'utilisateurs normaux. Les utilisateursnormaux peuvent être affectés de plusieurs ensembles d'autorisations qui définissent leur niveaud'accès à ePolicy Orchestrator.

Les comptes d'utilisateur peuvent être créés et gérés de différentes façons. Vous pouvez :

• Vous créez des comptes d'utilisateur manuellement, puis vous affectez un ensemble d'autorisationsapproprié à chaque compte.

• configurer votre serveur McAfee ePO de manière à autoriser les utilisateurs à se connecter enutilisant l'authentification Windows.

Permettre aux utilisateurs de se connecter avec leurs informations d'identification Windows constitueune fonctionnalité avancée, qui nécessite la configuration et la définition de plusieurs paramètres etcomposants. Pour plus d'informations sur cette option, reportez-vous à la section Gestion desutilisateurs ePolicy Orchestrator à l'aide d'Active Directory.

Même si les comptes d'utilisateur et les ensembles d'autorisations sont étroitement liés, ils sont crééset configurés à l'aide d'étapes différentes. Pour plus d'informations sur les ensembles d'autorisations,reportez-vous à la section Gestion des ensembles d'autorisations.

Administrateurs

5 Comptes d'utilisateur et ensembles d'autorisationsEnsembles d'autorisations


Les administrateurs disposent d'autorisations en écriture et en lecture, ainsi que de droits sur toutesles opérations. Lors de l'installation du serveur, un compte d'administrateur est crééautomatiquement. Par défaut, le nom d'utilisateur pour ce compte est admin. Si la valeur par défaut estmodifiée pendant l'installation, ce compte est nommé en conséquence.

Vous pouvez créer des comptes d'administrateur supplémentaires pour les utilisateurs qui requièrentles droits d'administrateur.

Autorisations exclusivement réservées aux administrateurs :

• Créer, modifier et supprimer des sites sources et de secours.

• Modifier les paramètres serveur.

• Ajouter et supprimer des comptes d'utilisateur.

• Ajouter, supprimer et affecter des ensembles d'autorisations.

• Importer des événements dans les bases de données ePolicy Orchestrator et limiter le nombred'événements qui y sont stockés.

Groupes

Les requêtes et les rapports sont affectés à des groupes. Chaque groupe peut être privé (réservé à unseul utilisateur), public (ou partagé) globalement ou partagé par un ou plusieurs ensemblesd'autorisations.

Ensembles d'autorisations

Un profil d'accès particulier est défini au sein d'un ensemble d'autorisations. Il s'agit généralementd'une combinaison de plusieurs niveaux d'accès à diverses parties d'ePolicy Orchestrator. Par exemple,un seul ensemble d'autorisations peut permettre de lire le journal d'audit, d'utiliser des tableaux debord publics et partagés et de créer ou de modifier des rapports ou requêtes publics.

Les ensembles d'autorisations peuvent être affectés à des utilisateurs individuels ou, si vous utilisezActive Directory, à tous les utilisateurs de serveurs Active Directory spécifiques.

Gestion des ensembles d'autorisationsVous pouvez contrôler l'accès des utilisateurs ainsi que créer, modifier, exporter et importer desensembles d'autorisations depuis la page Ensembles d'autorisations.

Une fois vos ensembles d'autorisations entièrement définis, la solution la plus rapide pour les fairemigrer consiste à les exporter, puis à les importer vers d'autres serveurs.


1 Ouvrez la page Ensembles d'autorisations : sélectionnez Menu | Gestion des utilisateurs | Ensemblesd'autorisations.


Comptes d'utilisateur et ensembles d'autorisationsEnsembles d'autorisations 5


Action Etapes

Ajouter unensembled'autorisations

1 Cliquez sur Nouvel ensemble d'autorisations.

2 Attribuez un nom au nouvel ensemble d'autorisations.Le logiciel ne vous permet pas d'utiliser un nom qui existe déjà. Chaque nomd'ensemble d'autorisations doit être unique.

3 Si vous souhaitez affecter immédiatement des utilisateurs spécifiques à cetensemble d'autorisations, sélectionnez leurs noms dans la sectionUtilisateurs.

4 Si vous souhaitez mapper un groupe Active Directory sur cet ensembled'autorisations, sélectionnez le serveur dans la liste Nom du serveur, puiscliquez sur Ajouter.

5 Si vous avez ajouté des serveurs Active Directory que vous souhaitezsupprimer, sélectionnez-les dans la zone de liste Active Directory, puiscliquez sur Supprimer.

6 Cliquez sur Enregistrer pour créer l'ensemble d'autorisations.

Vous avez créé l'ensemble d'autorisations, mais aucune autorisation ne lui estencore affectée.

Modifier unensembled'autorisations

1 Sélectionnez l'ensemble d'autorisations à modifier. Les détails s'affichentdans le volet de droite.Si vous avez créé un ensemble d'autorisations, il est déjà sélectionné.

2 Pour sélectionner une catégorie d'autorisations à modifier, cliquez sur Modifiersur la ligne de cette catégorie.

3 Modifiez les autorisations, puis cliquez sur Enregistrer pour valider lesmodifications apportées à l'ensemble d'autorisations dans la base dedonnées.

Il n'est pas nécessaire de cliquer sur Enregistrer lorsque vous avez fini demodifier l'ensemble d'autorisations. Les modifications sont enregistréesautomatiquement lorsque vous modifiez chaque catégorie. Les modificationsapportées sont immédiatement répercutées dans le système et sontpropagées au reste du réseau en fonction de votre configuration de stratégie.

Copier unensembled'autorisations

1 Sélectionnez un ensemble d'autorisations à dupliquer dans la liste Ensemblesd'autorisations, puis cliquez sur Actions | Dupliquer.

2 Attribuez un nom à l'ensemble d'autorisations dupliqué. Par défaut, le logicielajoute (copie) au nom existant.Le logiciel ne vous permet pas d'utiliser un nom qui existe déjà. Chaque nomd'ensemble d'autorisations doit être unique.

3 Cliquez sur OK.

L'ensemble d'autorisations a été dupliqué mais l'ensemble initial restesélectionné dans la liste Ensembles d'autorisations.

Supprimer unensembled'autorisations

1 Sélectionnez l'ensemble d'autorisations à supprimer dans la liste Ensemblesd'autorisations. Les détails s'affichent dans le volet de droite.

2 Cliquez sur Actions | Supprimer, puis cliquez sur OK.

L'ensemble d'autorisations n'apparaît plus dans la liste Ensemblesd'autorisations.



Action Etapes

Exporter desensemblesd'autorisations

Cliquez sur Tout exporter.Le serveur McAfee ePO envoie un fichier XML à votre navigateur. L'étapesuivante de la procédure dépend des paramètres du navigateur. La plupart desnavigateurs vous invitent à enregistrer le fichier.

Le fichier XML contient uniquement les rôles pour lesquels un niveaud'autorisation a été défini. Si, par exemple, un Ensemble d'autorisations necomprend aucune autorisation pour les requêtes et les rapports, aucune entréen'apparaît dans le fichier.

Importer desensemblesd'autorisations

1 Cliquez sur Importer.

2 Cliquez sur Parcourir pour sélectionner le fichier XML contenant les ensemblesd'autorisations à importer.

3 Précisez si vous souhaitez conserver le même nom pour l'ensembled'autorisations que vous allez importer en sélectionnant l'option adéquate.Cliquez sur OK.Si McAfee ePO ne peut pas localiser un ensemble d'autorisations valide ausein du fichier indiqué, un message d'erreur s'affiche et l'importation estinterrompue.

L'ensemble d'autorisations est ajouté au serveur et s'affiche dans la listeEnsembles d'autorisations.

Comptes d'utilisateur et ensembles d'autorisationsEnsembles d'autorisations 5


6 Référentiels

Les référentiels hébergent les packages des logiciels de sécurité et les mises à jour à distribuer à vossystèmes managés.

Un logiciel de sécurité n'est efficace que s'il bénéficie des dernières mises à jour. Par exemple, si vosfichiers DAT sont obsolètes, même le meilleur logiciel antivirus ne sera pas en mesure de détecter lesnouvelles menaces. Il est donc essentiel de mettre au point une stratégie de mise à jour à touteépreuve, pour que votre logiciel de sécurité soit, à tout moment, parfaitement actualisé.

L'architecture d'ePolicy Orchestrator, structurée autour de référentiels, offre une grande souplesse.Ainsi, le déploiement et la mise à jour des logiciels s'effectuent avec autant de simplicité etd'automatisation que le permet votre environnement. Une fois l'infrastructure de référentielsconfigurée, créez des tâches de mise à jour qui déterminent comment, où et quand les logiciels sontmis à jour.

Sommaire Présentation des types de référentiels Interactions entre les référentiels Configuration initiale des référentiels Gestion des sites sources et de secours Vérification de l'accès au site source Configuration des paramètres pour les mises à jour globales Configuration de stratégies d'agent pour l'emploi d'un référentiel distribué Utilisation de SuperAgents en tant que référentiels distribués Création et configuration de référentiels sur des serveurs FTP ou HTTP et des partages UNC Utilisation des partages UNC en tant que référentiels distribués Utilisation de référentiels distribués locaux non managés Utilisation des fichiers de liste de référentiels Tâches d'extraction Tâches de réplication Sélection de référentiels

Présentation des types de référentielsPour la distribution des produits et mises à jour au sein de votre réseau, le logiciel McAfee ePOpropose différents types de référentiels qui créent une infrastructure de mise à jour fiable.

La grande souplesse de ces référentiels facilite la mise au point d'une stratégie de mise à jourgarantissant la tenue à jour de vos systèmes.

6


Référentiel maître

Le Référentiel maître contient les dernières versions des logiciels de sécurité et des mises à jour pourvotre environnement. Il constitue la source de référence pour le reste de votre environnement.

Par défaut, McAfee ePO utilise les paramètres de proxy de Microsoft Internet Explorer.

Référentiels distribués

Les référentiels distribués hébergent des copies de votre Référentiel maître. Pensez à utiliser lesréférentiels distribués et à les placer sur l'ensemble de votre réseau. Cette configuration garantit queles systèmes managés sont mis à jour lorsque le trafic réseau est limité (plus particulièrement si lesconnexions sont lentes).

Lors de la mise à jour du Référentiel maître, McAfee ePO réplique le contenu vers les référentielsdistribués.

La réplication peut être exécutée selon plusieurs méthodes :

• Automatiquement, lorsque des packages de types spécifiés sont archivés dans le Référentielmaître, et que la fonction de mise à jour globale est activée

• Selon une planification récurrente, au moyen de tâches de réplication

• Manuellement, en exécutant une tâche Répliquer maintenant

Veillez à ne pas configurer les référentiels distribués de manière à ce qu'ils fassent référence au mêmerépertoire que votre Référentiel maître. Cette opération verrouille les fichiers du Référentiel maître.Cette opération peut entraîner l'échec des extractions et des archivages de packages et rendre leRéférentiel maître inutilisable.

Une organisation importante peut comporter plusieurs emplacements reliés par des connexions offrantune bande passante limitée. Le recours à des référentiels distribués permet de limiter le trafic de miseà jour, ce qui est utile sur les connexions à faible bande passante ou pour les sites distants comportantplusieurs systèmes clients. Vous pouvez par exemple créer un référentiel distribué à un emplacementdistant et configurer les systèmes s'y trouvant pour qu'ils soient mis à jour à partir de ce référentielprécis. De cette façon, les mises à jour sont transmises une seule fois via la connexion lente,c'est-à-dire, lors de leur copie vers le référentiel distribué : elles ne doivent pas être envoyées verschacun des systèmes de l'emplacement distant.

Si la mise à jour globale est activée, les référentiels distribués mettent automatiquement à jour lessystèmes managés dès que les mises à jour et les packages sélectionnés sont archivés dans leRéférentiel maître. Les tâches de mise à jour ne sont pas nécessaires. Toutefois, si vous voulez que lesmises à jour soient exécutées automatiquement, créez des SuperAgents dans votre environnement.Créez et configurez des référentiels et les tâches de mise à jour.

Si les référentiels distribués sont configurés pour répliquer uniquement les packages sélectionnés, unpackage archivé récemment est répliqué par défaut. Pour éviter cela, vous pouvez désélectionner cepackage pour chaque référentiel distribué ou désactiver la tâche de réplication avant l'archivage dupackage. Pour plus d'informations, consultez les rubriques Pour éviter la réplication des packagessélectionnés et Désactivation de la réplication des packages sélectionnés.

Site source

Le site source fournit toutes les mises à jour pour le Référentiel maître. Le site source par défaut est lesite de mise à jour McAfee http, mais il est possible de le modifier, voire d'en configurer plusieurs sinécessaire.

6 RéférentielsPrésentation des types de référentiels


Il est conseillé d'utiliser les sites de mise à jour McAfee http ou McAfee ftp comme site source.

Les sites sources ne sont pas obligatoires. Vous pouvez télécharger les mises à jour manuellement etles archiver dans votre Référentiel maître. Toutefois, l'utilisation d'un site source permet d'automatiserce processus.

McAfee publie régulièrement des mises à jour de logiciels sur ces sites. Des fichiers DAT, par exemple,sont mis à disposition tous les jours. Actualisez votre Référentiel maître à l'aide des dernières mises àjour dès qu'elles sont disponibles.

Les tâches d'extraction copient le contenu d'un site source vers le Référentiel maître.

Les sites de mise à jour de McAfee contiennent des mises à jour pour le moteur d'analyse et pour lesfichiers DAT (définition de détection) ainsi que certains packs de langues. Archivez manuellement tousles autres packages et mises à jour dans le Référentiel maître, y compris les Service Packs et lespatchs.

Site de secoursLe site de secours est un site source activé en tant que site de sauvegarde. Les systèmes managéspeuvent récupérer des mises à jour lorsqu'ils ne parviennent pas à accéder aux référentiels qu'ilsutilisent habituellement. Par exemple, une panne réseau ou une attaque virale peut entraver l'accès àl'infrastructure de mise à jour standard. Le site de secours permet aux systèmes managés de rester àjour. Le site de secours par défaut est le site de mise à jour McAfee http. Vous ne pouvez activerqu'un seul site de secours.

Si des systèmes managés utilisent un serveur proxy pour accéder à Internet, configurez lesparamètres de stratégie d'agent pour l'utilisation des serveurs proxy pour accéder au site de secours.

Types de référentiels distribuésLe logiciel ePolicy Orchestrator prend en charge quatre types de référentiels distribués. Analysezsoigneusement votre environnement et ses besoins pour déterminer le type de référentiel distribué quiconvient. Précisons que vous n'êtes pas limité à un seul type. Dès lors, en fonction du réseau, il estparfois préférable de recourir à plusieurs types de référentiels, plutôt qu'à un seul.

Référentiels SuperAgentsUtilisez des systèmes hébergeant des SuperAgents en tant que référentiels distribués. Les référentielsSuperAgents présentent plusieurs avantages par rapport aux autres types de référentiels distribués :

• Des emplacements de dossier sont créés automatiquement sur le système hôte avant l'ajout duréférentiel à la liste de référentiels.

• Un référentiel SuperAgent n'exige pas des informations d'identification de réplication ou de mise àjour supplémentaires. Les autorisations de compte sont créées lorsque l'agent est converti enSuperAgent.

Même si la fonctionnalité d'appel de réactivation de diffusion du SuperAgent nécessite la présenced'un SuperAgent dans chaque segment de diffusion, elle n'est pas requise en soi pour que leréférentiel SuperAgent fonctionne. Les systèmes managés ont seulement besoin d'avoir accès ausystème hébergeant le référentiel.

Référentiels FTPUn serveur FTP peut héberger un référentiel distribué. Utilisez un logiciel de serveur FTP, tel queMicrosoft Internet Information Services (IIS), pour créer un nouvel emplacement de dossier et de sitepour le référentiel distribué. Pour plus d'informations, consultez la documentation de votre serveurweb.

RéférentielsPrésentation des types de référentiels 6


Référentiels HTTP

Un serveur HTTP peut héberger un référentiel distribué. Utilisez un logiciel de serveur HTTP, tel queMicrosoft Internet Information Services (IIS), pour créer un nouvel emplacement de dossier et de sitepour le référentiel distribué. Pour plus d'informations, consultez la documentation de votre serveurweb.

Référentiels de partage UNC

Vous pouvez créer un dossier partagé UNC pour héberger un référentiel distribué sur un serveurexistant. Assurez-vous que le dossier est en partage sur le réseau afin que le serveur McAfee ePOpuisse y copier des fichiers et que les agents puissent y accéder pour les mises à jour.

Les autorisations adéquates doivent être définies pour permettre l'accès au dossier.

Référentiels non managés

Si vous n'êtes pas en mesure d'employer des référentiels distribués managés, l'administrateur ePolicyOrchestrator peut créer des référentiels distribués qui ne sont pas managés par ePolicy Orchestrator eten assurer la maintenance.

Si un référentiel distribué n'est pas managé par ePolicy Orchestrator, il incombe à l'administrateurlocal de mettre à jour manuellement les fichiers distribués.

Une fois le référentiel distribué créé, utilisez ePolicy Orchestrator pour configurer les systèmesmanagés d'un groupe spécifique de l'arborescence des systèmes pour qu'ils soient mis à jour à partirde ce référentiel.

Pour plus d'informations sur la configuration des systèmes non managés, consultez la section Activationde l'agent sur des produits McAfee non managés.

McAfee recommande de gérer tous les référentiels distribués via ePolicy Orchestrator. L'emploi deréférentiels distribués managés et la régularité de la mise à jour globale ou des tâches de réplicationplanifiées garantissent la parfaite tenue à jour de votre environnement managé. Ne recourez à desréférentiels distribués non managés que si la structure de votre organisation ou de votre réseau vous yoblige.

Branches de référentiels et leurs fonctionsDans ePolicy Orchestrator, trois branches de référentiel permettent de conserver dans votre référentielmaître et dans vos référentiels distribués jusqu'à trois versions de tous les packages.

Les branches de référentiel sont Actuels, Précédents et Evaluation. Par défaut, ePolicy Orchestratorutilise uniquement la branche Actuels. Vous pouvez définir les branches lors de l'ajout de packages àvotre référentiel maître. Vous pouvez également définir les branches lorsque vous exécutez ouplanifiez des tâches de mise à jour et de déploiement, pour distribuer différentes versions à desparties distinctes de votre réseau.

Les tâches de mise à jour peuvent récupérer les mises à jour dans toute branche du référentiel, maisvous devez sélectionner une autre branche que la branche Actuels lors de l'archivage des packagesdans le référentiel maître. Vous ne pouvez pas choisir une autre branche si seule la branche Actuelsest configurée.

Pour utiliser les branches Evaluation et Précédents pour des packages autres que les mises à jour,vous devez le configurer dans les paramètres serveur Packages de référentiel. L'agent version 3.6 ouantérieure peut récupérer des packages de type mise à jour uniquement dans les branches Evaluationet Précédents.

6 RéférentielsPrésentation des types de référentiels


Branche Actuels

La branche Actuels est la principale branche de référentiel pour les packages et mises à jour les plusrécents. Si la prise en charge des autres branches n'a pas été activée, les packages de déploiement deproduit peuvent uniquement être ajoutés à la branche Actuels.

Branche Evaluation

Vous pouvez tester les nouvelles mises à jour de fichiers DAT et de moteur sur un petit nombre desegments du réseau ou de systèmes avant de les déployer dans toute l'organisation. Sélectionnez labranche Evaluation lors de l'archivage des nouveaux fichiers DAT et de moteur dans le référentielmaître, puis déployez-les sur un nombre réduit de systèmes de test. Après avoir surveillé lefonctionnement de ces systèmes pendant plusieurs heures, vous pouvez ajouter les nouveaux fichiersDAT à la branche Actuels, puis les déployer dans l'organisation tout entière.

Branche Précédents

La branche Précédents permet d'enregistrer et de stocker des fichiers DAT et de moteur antérieursavant d'ajouter les nouveaux fichiers à la branche Actuels. Ainsi, en cas de problème avec lesnouveaux fichiers DAT et de moteur dans votre environnement, vous disposez d'une copie de laversion précédente, que vous pouvez redéployer sur vos systèmes en cas de besoin. ePolicyOrchestrator enregistre uniquement la version immédiatement antérieure à la version de chaque typede fichier.

Vous pouvez alimenter la branche Précédents en sélectionnant Déplacer les packages existants vers la branchePrécédents lorsque vous ajoutez des nouveaux packages au Référentiel maître. L'option est disponiblelorsque vous extrayez des mises à jour d'un site source et lorsque vous archivez manuellement despackages dans la branche Actuels.

Fichiers de liste de référentielsLes fichiers de liste de référentiels (SiteList.xml et SiteMgr.xml) répertorient les noms de tous lesréférentiels managés.

Ils contiennent l'emplacement et les informations d'identification réseau chiffrées nécessaires auxsystèmes managés pour qu'ils puissent sélectionner le référentiel requis et récupérer les mises à jour.Le serveur envoie les listes de référentiels à McAfee Agent au cours de la communicationagent-serveur.

Le cas échéant, vous pouvez exporter la liste de référentiels vers des fichiers externes (SiteList.xmlou SiteMgr.xml). Les deux fichiers sont utilisés de manière différente :

le fichier SiteList.xml

• Pour effectuer une importation vers McAfee Agent lors de l'installation

le fichier SiteMgr.xml• Pour sauvegarder et restaurer les référentiels distribués et les sites sources au cas où vous devriez

réinstaller le serveur

• Pour importer les référentiels distribués et les sites sources à partir d'une installation précédentedu logiciel McAfee ePO

RéférentielsPrésentation des types de référentiels 6


Interactions entre les référentielsLes référentiels sont conçus pour interagir dans l'environnement afin que vos systèmes managésreçoivent les logiciels et les mises à jour. Selon la taille et la répartition géographique du réseau, desréférentiels distribués peuvent être nécessaires.

Figure 6-1 Distribution de packages aux systèmes au moyen des sites et des référentiels

1 Le Référentiel maître extrait régulièrement des fichiers DAT et de mise à jour de moteur à partir dusite source.

2 Le Référentiel maître réplique les packages sur les référentiels distribués du réseau.

3 Les systèmes managés du réseau reçoivent leurs mises à jour d'un référentiel distribué. S'ils neparviennent pas à accéder aux référentiels distribués ou au référentiel maître, ils extraient lesmises à jour du site de secours.

Configuration initiale des référentielsSuivez les étapes générales décrites ci-dessous lorsque vous créez des référentiels pour la premièrefois.

1 Déterminez les types de référentiels à utiliser et leurs emplacements.

2 Créez et remplissez vos référentiels.

Gestion des sites sources et de secoursVous pouvez modifier les sites sources et de secours par défaut dans les Paramètres serveur. Vouspouvez par exemple modifier leurs paramètres, les supprimer ou basculer entre le site source et le sitede secours.

Vous devez être un administrateur ou disposer des autorisations appropriées pour définir, modifier ousupprimer des sites sources ou de secours.

McAfee recommande l'utilisation des sites sources et de secours par défaut. Cependant, vous pouvezau besoin en créer de nouveaux.

6 RéférentielsInteractions entre les référentiels


Procédures

• Création de sites sources, page 71Créer un site source à partir de la page Paramètres serveur.

• Réattribution des rôles de site source et site de secours, page 72Utiliser les Paramètres serveur pour changer les sites sources et de secours.

• Modification de sites sources et de secours, page 72Utilisez les Paramètres serveur pour modifier les paramètres des sites sources ou desecours, tels que l'adresse URL, le numéro de port et les informations d'authentificationpour le téléchargement.

• Suppression des sites sources ou désactivation des sites de secours, page 72Si un site source ou de secours n'est plus utilisé, supprimez ou désactivez-le.

Création de sites sourcesCréer un site source à partir de la page Paramètres serveur.


1 Cliquez sur Menu | Configuration | Paramètres serveur, puis sélectionnez Sites sources.

2 Cliquez sur Ajouter un site source. L'Assistant Générateur de sites sources s'affiche.

3 Dans la page Description, entrez un nom de référentiel unique et sélectionnez HTTP, UNC ou FTP,puis cliquez sur Suivant.

4 Dans la page Serveur, indiquez l'adresse web et le port du site, puis cliquez sur Suivant.

Type de serveur HTTP ou FTP :

• Dans la liste déroulante URL, sélectionnez le type d'adresse serveur Nom DNS, IPv4 ou IPv6, puisindiquez l'adresse.

Option Définition

Nom DNS Indique le nom DNS du serveur.

IPv4 Indique l'adresse IPv4 du serveur.


• Entrez le numéro de port du serveur : par défaut, 21 pour FTP et 80 pour HTTP.

Type de serveur UNC :

• Entrez le chemin du répertoire réseau où se trouve le référentiel. Utilisez le format suivant : \\<ORDINATEUR>\<CHEMIN>.

5 Dans la page Informations d'identification, indiquez les Informations d'identification de téléchargementutilisées par les systèmes managés pour se connecter à ce référentiel.

Utilisez des informations d'identification disposant d'autorisations en lecture seule sur le serveurHTTP, le serveur FTP ou le partage UNC qui héberge le référentiel.


• Sélectionnez Anonyme pour utiliser un compte d'utilisateur anonyme.

• Sélectionnez Authentification FTP ou Authentification HTTP (si le serveur nécessite une authentification),puis entrez les informations du compte d'utilisateur.

RéférentielsGestion des sites sources et de secours 6


Type de serveur UNC :• Entrez le domaine et les informations du compte d'utilisateur.

6 Cliquez sur Tester les informations d'identification. Après quelques secondes, un message de confirmationindique que les systèmes peuvent accéder au site à l'aide des informations d'authentification. Si lesinformations d'identification sont incorrectes, vérifiez les éléments suivants :

• Nom d'utilisateur et mot de passe

• URL ou chemin d'accès indiqué dans la page précédente de l'Assistant

• Site HTTP, FTP ou UNC spécifié au niveau du système


8 Passez en revue la page Synthèse, puis cliquez sur Enregistrer pour ajouter le site à la liste.

Réattribution des rôles de site source et site de secoursUtiliser les Paramètres serveur pour changer les sites sources et de secours.

Selon la configuration de votre réseau, vous pouvez souhaiter réattribuer les sites sources et desecours si vous pensez que la mise à jour via HTTP fonctionne mieux que via FTP, ou l'inverse.



2 Sélectionnez Sites sources, puis cliquez sur Modifier. La page Modifier des sites sources s'affiche.

3 Dans la liste, identifiez le site à convertir en site de secours, puis cliquez sur Activer la fonction desecours.

Modification de sites sources et de secoursUtilisez les Paramètres serveur pour modifier les paramètres des sites sources ou de secours, tels quel'adresse URL, le numéro de port et les informations d'authentification pour le téléchargement.




3 Identifiez le site dans la liste, puis cliquez sur son nom.

L'assistant Générateur de sites sources s'ouvre.

4 Modifiez les paramètres des différentes pages de l'Assistant comme il convient, puis cliquez surEnregistrer.

Suppression des sites sources ou désactivation des sites desecoursSi un site source ou de secours n'est plus utilisé, supprimez ou désactivez-le.


6 RéférentielsGestion des sites sources et de secours


Procédure

1 Cliquez sur Menu | Configuration | Paramètres serveur.


3 Cliquez sur Supprimer en regard du site source requis. La boîte de dialogue Supprimer le site sourceapparaît.

4 Cliquez sur OK.

Le site est supprimé de la page Sites sources.

Vérification de l'accès au site sourceVous devez vous assurer que le référentiel maître ePolicy Orchestrator et les systèmes managés ontaccès à Internet lorsqu'ils utilisent les sites McAfeeHttp et McAfeeFtp en tant que sites sources et desecours.

Cette section décrit les tâches nécessaires à la configuration de la connexion que le référentiel maîtreePolicy Orchestrator et McAfee Agent utilisent pour accéder directement ou via un proxy au site detéléchargement. Par défaut, l'option Ne pas utiliser de proxy est sélectionnée.

Procédures

• Configuration des paramètres de proxy, page 73Pour mettre à jour vos référentiels, configurez les paramètres de proxy dans le butd'extraire les fichiers DAT.

• Configuration des paramètres de proxy pour McAfee Agent, page 74Configurez les paramètres de proxy que McAfee Agent utilise pour se connecter au site detéléchargement.

Configuration des paramètres de proxyPour mettre à jour vos référentiels, configurez les paramètres de proxy dans le but d'extraire lesfichiers DAT.


1 Cliquez sur Menu | Configuration | Paramètres serveur.

2 Dans la liste des catégories de paramètres, sélectionnez Paramètres de proxy, puis cliquez sur Modifier.

3 Sélectionnez Configurer manuellement les paramètres de proxy.

a En regard de Paramètres de serveur proxy, indiquez s'il faut utiliser un seul serveur proxy pourtoutes les communications ou des serveurs proxys différents pour les protocoles HTTP et FTP.Indiquez soit l'adresse IP, soit le nom de domaine complet du serveur proxy, ainsi que lenuméro de port.

Si vous utilisez les sites sources et de secours par défaut ou si vous configurez un autre sitesource HTTP et un autre site de secours FTP, définissez ici les informations d'authentification deproxy HTTP et FTP.

b En regard de Authentification de proxy, configurez les paramètres, selon que les mises à joursont extraites d'un référentiel HTTP ou FTP, ou des deux.

RéférentielsVérification de l'accès au site source 6


c En regard d'Exclusions, sélectionnez Ignorer les adresses locales, puis spécifiez les référentielsdistribués auxquels le serveur peut se connecter directement. Pour cela, indiquez lesadresses IP ou les noms de domaine complets de ces systèmes, séparés par un point-virgule.

d En regard d'Exclusions, sélectionnez Ignorer les adresses locales, puis spécifiez les référentielsdistribués auxquels le serveur peut se connecter directement. Pour cela, indiquez lesadresses IP ou les noms de domaine complets de ces systèmes, séparés par un point-virgule.


Configuration des paramètres de proxy pour McAfee AgentConfigurez les paramètres de proxy que McAfee Agent utilise pour se connecter au site detéléchargement.


1 Cliquez sur Menu | Stratégie | Catalogue de stratégies, puis dans la liste Produit, cliquez sur McAfee Agent etdans la liste Catégorie, sélectionnez Référentiel.

La liste des agents configurés pour le serveur McAfee ePO s'affiche.

2 Sur la ligne My Default, cliquez sur Modifier les paramètres.

La page Modifier les paramètres de l'agent My Default s'affiche.

3 Cliquez sur l'onglet Proxy.

La page Paramètres de proxy s'affiche.

4 Sélectionnez Utiliser les paramètres d'Internet Explorer (Windows uniquement) pour des systèmes Windows, ainsique Permettre à l'utilisateur de configurer des paramètres de proxy si nécessaire.

Il existe diverses méthodes permettant de configurer Internet Explorer pour une utilisation avecdes proxys. McAfee fournit les instructions nécessaires à la configuration et à l'utilisation desproduits McAfee uniquement, mais pas d'instructions relatives aux produits autres que McAfee.Pour plus d'informations sur la configuration des paramètres de proxy, consultez l'aide d'InternetExplorer, ainsi que la page http://support.microsoft.com/kb/226473.

5 Sélectionnez Configurer manuellement les paramètres de proxy pour configurer les paramètres de proxy del'agent manuellement.

6 Indiquez l'adresse IP ou le nom complet du domaine et le numéro de port du serveur source HTTPou FTP à partir duquel l'agent doit extraire les mises à jour. Sélectionnez Utiliser ces paramètres pour tousles types de proxy si vous souhaitez utiliser ces paramètres par défaut pour tous les types de proxy.

7 Sélectionnez Spécifier des exceptions pour désigner les systèmes ne nécessitant pas de proxy. Utilisezun point-virgule pour séparer les exceptions.

8 Sélectionnez Utiliser l'authentification proxy HTTP ou Utiliser l'authentification proxy FTP, puis entrez le nomd'utilisateur et les informations d'identification.


6 RéférentielsVérification de l'accès au site source


http://support.microsoft.com/kb/226473

Configuration des paramètres pour les mises à jour globales Les mises à jour globales automatisent la réplication de référentiel sur votre réseau. Vous pouvezutiliser le paramètre serveur Mise à jour globale pour configurer le contenu distribué aux référentielslors d'une mise à jour globale.

Par défaut, les mises à jour globales sont désactivées. Toutefois, McAfee recommande de les activer etde les utiliser dans le cadre de votre stratégie de mise à jour. Vous pouvez indiquer un intervalled'exécution aléatoire et des types de package à distribuer lors de la mise à jour. L'intervalled'exécution aléatoire spécifie la période lors de laquelle tous les systèmes sont mis à jour. Lessystèmes sont mis à jour aléatoirement au cours de l'intervalle spécifié.


1 Cliquez sur Menu | Configuration | Paramètres serveur, sélectionnez Mise à jour globale dans les Catégories deparamètres, puis cliquez sur Modifier.

2 Définissez l'état sur Activé et indiquez un Intervalle d'exécution aléatoire entre 0 et 32 767 minutes.

3 Indiquez les Types de packages à inclure aux mises à jour globales :

• Tous les packages — Sélectionnez cette option pour inclure toutes les signatures et tous lesmoteurs, ainsi que tous les patchs et Service Packs.

• Packages sélectionnés — Sélectionnez cette option pour limiter les signatures et les moteurs demême que les patchs et les Service Packs inclus dans la mise à jour globale.

Si vous utilisez la mise à jour globale, McAfee recommande de planifier une tâche d'extractionrégulière (pour mettre à jour le référentiel maître) à exécuter lorsque le trafic réseau est faible. Bienque la mise à jour globale soit nettement plus rapide que les autres méthodes, elle accroît le traficréseau pendant la mise à jour. Pour plus d'informations concernant l'exécution de mises à jourglobales, consultez la section Mise à jour globale dans la section Déploiement de produits et demises à jour.

Configuration de stratégies d'agent pour l'emploi d'unréférentiel distribué

Personnalisez la façon dont les agents sélectionnent les référentiels distribués afin de limiterl'utilisation de la bande passante.


1 Cliquez sur Menu | Stratégie | Catalogue de stratégies. Ensuite, sélectionnez McAfee Agent comme Produit etRéférentiel comme Catégorie.

2 Cliquez sur la stratégie d'agent existante requise.

3 Cliquez sur l'onglet Référentiels.

4 Dans Sélection dans la liste de référentiels, sélectionnez soit Utiliser cette liste de référentiels, soit Utiliserune autre liste de référentiels.

RéférentielsConfiguration des paramètres pour les mises à jour globales 6


5 Sous Sélectionner le référentiel par, indiquez la méthode à utiliser pour trier les référentiels :

• Durée de ping — Envoie une commande ping ICMP aux cinq référentiels les plus proches (enfonction de leurs valeurs de sous-réseau) et les trie en fonction du temps de réponse.

• Distance du sous-réseau — Compare l'adresse IP des systèmes clients et de tous les référentiels, ettrie les référentiels en fonction de la correspondance de bits la plus proche. Plus les adresses IPse ressemblent, plus le référentiel est placé haut dans la liste.

Si nécessaire, vous pouvez définir le Nombre maximal de sauts.

• Utiliser l'ordre de la liste de référentiels — Sélectionne les référentiels en fonction de leur position dans laliste.

6 Dans la liste Référentiel, vous pouvez désactiver un référentiel en cliquant sur Désactiver dans lechamp Actions associé au référentiel.

7 Dans la liste Référentiel, cliquez sur Déplacer en première position ou Déplacer en dernière position pourdéterminer l'ordre dans lequel les systèmes clients doivent sélectionner les référentiels distribués.

8 Cliquez sur Enregistrer lorsque vous avez terminé.

Utilisation de SuperAgents en tant que référentiels distribuésCréez et configurez des référentiels distribués sur des systèmes hébergeant des SuperAgents. LesSuperAgents peuvent réduire le trafic réseau.

Un agent doit faire partie d'un domaine Windows pour être converti en SuperAgent.

Procédures• Création de référentiels distribués SuperAgents, page 76

Pour créer un référentiel SuperAgent, McAfee Agent doit être installé et exécuté sur lesystème SuperAgent. Il est conseillé d'utiliser les référentiels SuperAgents en associationavec la mise à jour globale.

• Réplication des packages dans les référentiels SuperAgents, page 77Choisissez quels packages de référentiel seront répliqués vers des référentiels distribués.

• Suppression de référentiels distribués SuperAgents, page 78Supprimez des référentiels distribués SuperAgents du système hôte et de la liste deréférentiels (SiteList.xml). La nouvelle configuration prend effet lors de la communicationagent-serveur suivante.

Création de référentiels distribués SuperAgentsPour créer un référentiel SuperAgent, McAfee Agent doit être installé et exécuté sur le systèmeSuperAgent. Il est conseillé d'utiliser les référentiels SuperAgents en association avec la mise à jourglobale.

Cette tâche suppose que vous connaissez l'emplacement des systèmes SuperAgent dansl'arborescence des systèmes. Il est conseillé de créer un marqueur SuperAgent afin de pouvoirlocaliser facilement les systèmes SuperAgent à l'aide de la page Catalogue de marqueurs ou enexécutant une requête.


6 RéférentielsUtilisation de SuperAgents en tant que référentiels distribués


Procédure1 Dans la console ePolicy Orchestrator, cliquez sur Menu | Stratégie | Catalogue de stratégies, puis dans la

liste Produit, cliquez sur McAfee Agent, et dans la liste Catégorie, sélectionnez Général.

La liste des stratégies de la catégorie Général pouvant être utilisées sur votre serveur McAfee ePOs'affiche.

2 Créez une nouvelle stratégie, dupliquez une stratégie existante ou ouvrez une stratégie déjàappliquée à des systèmes hébergeant un SuperAgent et devant héberger des référentielsSuperAgent.

3 Dans l'onglet Général, vérifiez que l'option Convertir les agents en SuperAgents (Windows uniquement) estsélectionnée.

4 Sélectionnez Utiliser des systèmes exécutant des SuperAgents en tant que référentiels distribués, puis tapez lechemin d'accès du dossier pour le référentiel. Il s'agit de l'emplacement où le référentiel maîtrecopie les mises à jour lors de la réplication. Vous pouvez utiliser un chemin Windows comme C:\SuperAgent\Repo.

Tous les fichiers requis à partir du système de l'agent sont fournis depuis cet emplacement à l'aidedu serveur web HTTP intégré de l'agent.


6 Affectez cette stratégie à chaque système qui devra accueillir un référentiel SuperAgent.

La prochaine fois que l'agent appelle le serveur, la nouvelle stratégie sera extraite. Si vous nesouhaitez pas attendre le prochain intervalle de communication agent-serveur, vous pouvez envoyerun appel de réactivation de l'agent aux systèmes. Après la création du référentiel distribué, le dossierspécifié est créé sur le système s'il n'existait pas encore.

En outre, l'emplacement réseau est ajouté au fichier de liste de référentiels (SiteList.xml). Lessystèmes de l'environnement managé peuvent alors accéder au site pour obtenir les mises à jour.

Réplication des packages dans les référentiels SuperAgentsChoisissez quels packages de référentiel seront répliqués vers des référentiels distribués.


Procédure1 Cliquez sur Menu | Logiciels | Référentiels distribués.

Une liste répertoriant tous les référentiels distribués s'affiche.

2 Recherchez et cliquez sur le référentiel SuperAgent.

L'assistant Générateur de référentiels distribués s'affiche.

3 Dans la page Types de packages, sélectionnez les types de packages requis.

Assurez-vous que tous les packages requis par les systèmes managés utilisant ce référentiel sontsélectionnés. Les systèmes managés accèdent à un seul référentiel pour tous les packages. La tâchen'aboutit pas pour les systèmes dont le type de package attendu n'est pas présent. Grâce à cettefonctionnalité, vous êtes assuré que les packages utilisés par un nombre réduit de systèmes ne sontpas répliqués dans l'ensemble de l'environnement.


RéférentielsUtilisation de SuperAgents en tant que référentiels distribués 6


Suppression de référentiels distribués SuperAgentsSupprimez des référentiels distribués SuperAgents du système hôte et de la liste de référentiels(SiteList.xml). La nouvelle configuration prend effet lors de la communication agent-serveur suivante.


1 Dans la console ePolicy Orchestrator, cliquez sur Menu | Stratégie | Catalogue de stratégies, puis cliquezsur le nom de la stratégie de SuperAgent à modifier.

2 Dans l'onglet Général, désactivez l'option Utiliser des systèmes exécutant des SuperAgents en tant que référentielsdistribués, puis cliquez sur Enregistrer.

Pour ne supprimer qu'un nombre limité de référentiels distribués SuperAgents existants, dupliquezla stratégie McAfee Agent affectée aux systèmes concernés et désactivez l'option Utiliser des systèmesexécutant des SuperAgents en tant que référentiels distribués avant de l'enregistrer. Affectez cette nouvellestratégie comme il convient.

Le référentiel SuperAgent est supprimé et effacé de la liste de référentiels. Toutefois, l'agent jouetoujours le rôle de SuperAgent tant que l'option Convertir les agents en SuperAgents reste activée. Les agentsqui n'ont pas reçu de nouveau fichier SiteList après la modification de la stratégie continuent à mettreà jour à partir du SuperAgent supprimé.

Création et configuration de référentiels sur des serveurs FTPou HTTP et des partages UNC

Vous pouvez héberger des référentiels distribués sur des serveurs FTP ou HTTP, ou des partages UNCexistants. Bien qu'un serveur dédié ne soit pas requis, le système doit être assez robuste pour gérer lacharge lorsque vos systèmes managés se connectent pour obtenir des mises à jour.

6 RéférentielsCréation et configuration de référentiels sur des serveurs FTP ou HTTP et des partages UNC


Procédures• Création d'un dossier, page 79

Créez le dossier dans lequel résidera le contenu du référentiel sur le système du référentieldistribué. Des processus différents sont utilisés selon qu'il s'agit de référentiels de partageUNC et de référentiels FTP ou HTTP.

• Ajout du référentiel distribué à ePolicy Orchestrator, page 79Ajoutez une entrée à la liste de référentiels et indiquez le dossier que le nouveau référentieldistribué utilise.

• Pour éviter la réplication des packages sélectionnés, page 81Si les référentiels distribués sont configurés pour répliquer uniquement les packagessélectionnés, un package archivé récemment est répliqué par défaut. Selon vos besoins enmatière de tests et de validation, il est possible que vous préfériez ne pas répliquer certainspackages vers vos référentiels distribués.

• Désactivation de la réplication de packages sélectionnés, page 82Si les référentiels distribués sont configurés pour répliquer uniquement les packagessélectionnés, un package archivé récemment est répliqué par défaut. Pour éviter cela, vouspouvez désactiver la tâche de réplication avant l'archivage du package.

• Activation du partage de dossier pour les référentiels HTTP et UNC, page 82Sur un référentiel distribué HTTP ou UNC, vous devez activer le partage de dossier sur leréseau pour que le serveur McAfee ePO puisse copier des fichiers dans ce dernier.

• Modification de référentiels distribués, page 82Modifiez les options de configuration des référentiels distribués, d'authentification et desélection de packages à votre convenance.

• Suppression de référentiels distribués, page 83Supprimez des référentiels distribués FTP, HTTP ou UNC. Les contenus des référentielsdistribués sont alors également supprimés.

Création d'un dossierCréez le dossier dans lequel résidera le contenu du référentiel sur le système du référentiel distribué.Des processus différents sont utilisés selon qu'il s'agit de référentiels de partage UNC et de référentielsFTP ou HTTP.

• Pour les référentiels utilisant un partage UNC, créez le dossier sur le système et activez le partage.

• Dans le cas de référentiels FTP ou HTTP, utilisez votre logiciel de serveur FTP ou HTTP existant, telque Microsoft Internet Information Services (IIS), pour créer un nouvel emplacement de dossier etde site. Pour plus d'informations, consultez la documentation de votre serveur web.

Ajout du référentiel distribué à ePolicy OrchestratorAjoutez une entrée à la liste de référentiels et indiquez le dossier que le nouveau référentiel distribuéutilise.

Ne configurez pas les référentiels distribués de manière à ce qu'ils fassent référence au mêmerépertoire que votre référentiel principal. Sinon, les fichiers présents sur le référentiel maître serontverrouillés par les utilisateurs du référentiel distribué, ce qui peut entraîner l'échec des extractions etarchivages de packages et rendre le référentiel maître inutilisable.

RéférentielsCréation et configuration de référentiels sur des serveurs FTP ou HTTP et des partages UNC 6



1 Cliquez sur Menu | Logiciels | Référentiels distribués, puis cliquez sur Actions | Nouveau référentiel. L'AssistantGénérateur de référentiels distribués s'affiche.

2 Dans la page Description, entrez un nom unique et sélectionnez HTTP, UNC ou FTP, puis cliquez surSuivant. Ce nom ne doit pas nécessairement correspondre au nom du système qui héberge leréférentiel.

3 Sur la page Serveur, configurez l'un des types de serveur suivants :

Type de serveur HTTP• Dans la liste déroulante URL, sélectionnez Nom DNS, IPv4 ou IPv6 comme type d'adresse serveur,

puis indiquez l'adresse.

Option Définition




• Entrez le numéro de port du serveur : le port HTTP par défaut est 80.

• Spécifiez le chemin UNC de réplication pour votre dossier HTTP.

Type de serveur UNC• Entrez le chemin du répertoire réseau où se trouve le référentiel. Utilisez le format suivant : \

\<ORDINATEUR>\<CHEMIN>.

Type de serveur FTP• Dans la liste déroulante URL, sélectionnez Nom DNS, IPv4 ou IPv6 comme type d'adresse serveur,

puis indiquez l'adresse.

Option Définition




• Entrez le numéro de port du serveur : le port FTP par défaut est 21.


5 Dans la page Informations d'identification :

a Indiquez les informations d'identification pour le téléchargement. Utilisez des informationsd'identification disposant d'autorisations en lecture seule sur le serveur HTTP, le serveur FTP oule partage UNC qui héberge le référentiel.


• Sélectionnez Anonyme pour utiliser un compte d'utilisateur anonyme.

• Sélectionnez Authentification FTP ou Authentification HTTP (si le serveur nécessite uneauthentification), puis entrez les informations du compte d'utilisateur.



Type de serveur UNC :

• Sélectionnez Utiliser les informations d'identification du compte connecté pour utiliser les informationsd'identification de l'utilisateur dont la connexion est en cours.

• Sélectionnez Indiquez les informations d'identification de téléchargement, puis entrez le domaine et lesinformations du compte d'utilisateur.

b Cliquez sur Tester les informations d'identification. Après quelques secondes, un message deconfirmation s'affiche, indiquant que les systèmes peuvent accéder au site à l'aide desinformations d'authentification spécifiées. Si les informations d'identification sont incorrectes,vérifiez les éléments suivants :




6 Entrez les Informations d'identification de réplication.

Le serveur utilise ces informations d'identification lors de la réplication des fichiers DAT, des fichiersde moteur ou d'autres mises à jour de produit à partir du référentiel maître vers le référentieldistribué. Ces informations d'identification doivent disposer d'autorisations en lecture et en écriturepour le référentiel distribué.

• Pour FTP, entrez les informations du compte d'utilisateur.

• Pour HTTP ou UNC, entrez le domaine et les informations du compte d'utilisateur.

• Cliquez sur Tester les informations d'identification. Après quelques secondes, un message deconfirmation s'affiche, indiquant que les systèmes peuvent accéder au site à l'aide desinformations d'authentification spécifiées. Si les informations d'identification sont incorrectes,vérifiez les éléments suivants :




7 Cliquez sur Suivant. La page Types de packages s'affiche.

8 Indiquez s'il faut répliquer tous les packages ou seulement des packages sélectionnés vers ceréférentiel distribué, puis cliquez sur Suivant.• Si vous choisissez l'option Packages sélectionnés, sélectionnez manuellement les Signatures et moteurs

et les Produits, patchs, Service Packs, etc. que vous voulez répliquer.

• Le cas échéant, vous pouvez choisir de Répliquer les anciens fichiers DAT.

Assurez-vous que tous les packages requis par les systèmes managés utilisant ce référentiel sontsélectionnés. Les systèmes managés accèdent à un seul référentiel pour tous les packages. Si untype de package requis ne se trouve pas dans le référentiel, la tâche échoue. Grâce à cettefonctionnalité, vous êtes assuré que les packages utilisés par un nombre réduit de systèmes ne sontpas répliqués dans l'ensemble de l'environnement.

9 Passez en revue la page Synthèse, puis cliquez sur Enregistrer pour ajouter le référentiel. Le logicielePolicy Orchestrator ajoute le nouveau référentiel distribué à sa base de données.

Pour éviter la réplication des packages sélectionnésSi les référentiels distribués sont configurés pour répliquer uniquement les packages sélectionnés, unpackage archivé récemment est répliqué par défaut. Selon vos besoins en matière de tests et de

RéférentielsCréation et configuration de référentiels sur des serveurs FTP ou HTTP et des partages UNC 6


validation, il est possible que vous préfériez ne pas répliquer certains packages vers vos référentielsdistribués.Pour consulter la définition des options, cliquez sur ? dans l'interface.

Procédure1 Cliquez sur Menu | Logiciels | Référentiels distribués, puis cliquez sur un référentiel. L'assistant Générateur

de référentiels distribués s'affiche.

2 Dans la page Types de packages, désélectionnez le package qui ne doit pas être répliqué.


Désactivation de la réplication de packages sélectionnésSi les référentiels distribués sont configurés pour répliquer uniquement les packages sélectionnés, unpackage archivé récemment est répliqué par défaut. Pour éviter cela, vous pouvez désactiver la tâchede réplication avant l'archivage du package.Pour consulter la définition des options, cliquez sur ? dans l'interface.

Procédure1 Cliquez sur Menu | Automatisation | Tâches serveur, puis sélectionnez Modifier en regard de la tâche

serveur de réplication à modifier.

L'assistant Générateur de tâches serveur s'affiche.

2 Dans la page Description, définissez l'Etat de planification sur Désactivé, puis cliquez sur Enregistrer.

Activation du partage de dossier pour les référentiels HTTPet UNCSur un référentiel distribué HTTP ou UNC, vous devez activer le partage de dossier sur le réseau pourque le serveur McAfee ePO puisse copier des fichiers dans ce dernier.Cette opération concerne uniquement la réplication. Les systèmes managés configurés pour utiliser leréférentiel distribué utilisent le protocole adéquat (HTTP, FTP ou le partage de fichiers Windows) et nenécessitent pas le partage du dossier.

Procédure1 Sur le système managé, localisez le dossier créé à l'aide de l'Explorateur Windows.

2 Cliquez avec le bouton droit sur le dossier, puis sélectionnez Partage.

3 Dans l'onglet Partage, sélectionnez Partager ce dossier.

4 Configurez les autorisations de partage nécessaires.

Les systèmes qui sont mis à jour à partir du référentiel nécessitent uniquement un accès enlecture. Par contre, un accès en écriture doit impérativement être accordé aux comptesd'administrateur, y compris au compte utilisé par le service Serveur McAfee ePO. Consultez votredocumentation Microsoft Windows pour savoir comment configurer les paramètres de sécuritéadéquats pour les dossiers partagés.

5 Cliquez sur OK.

Modification de référentiels distribués Modifiez les options de configuration des référentiels distribués, d'authentification et de sélection depackages à votre convenance.Pour consulter la définition des options, cliquez sur ? dans l'interface.



Procédure1 Cliquez sur Menu | Logiciels | Référentiels distribués, puis cliquez sur un référentiel.

L'Assistant Générateur de référentiels distribués apparaît : il affiche les paramètres du référentieldistribué.

2 Modifiez les options de configuration, d'authentification et de sélection de packages si nécessaire.


Suppression de référentiels distribuésSupprimez des référentiels distribués FTP, HTTP ou UNC. Les contenus des référentiels distribués sontalors également supprimés.


Procédure1 Cliquez sur Menu | Logiciel | Référentiels distribués, puis cliquez sur Supprimer en regard d'un référentiel.

2 Dans la boîte de dialogue Supprimer le référentiel, cliquez sur OK.

Les packages qui se trouvent sur le système hébergeant le référentiel ne sont pas supprimés lors dela suppression de ce référentiel.

Les référentiels supprimés sont enlevés de la liste des référentiels.

Utilisation des partages UNC en tant que référentiels distribuésSuivez ces instructions lors de l'utilisation des partages UNC en tant que référentiels distribués.

Les partages UNC utilisent le protocole SMB (Microsoft Server Message Block) pour créer un lecteurpartagé. Créez un nom d'utilisateur et un mot de passe pour accéder à ce partage.

Configuration appropriée du partage

Vérifiez que le partage UNC est configuré correctement.

• Utilisez une autre méthode pour écrire dans votre référentiel : connectez-vous au serveur àl'aide des autres méthodes (autre partage, protocole RDP, localement) pour écrire dans votreréférentiel. Ne confondez pas le référentiel que vous lisez et le référentiel dans lequel vous écrivez.Les informations d'identification disposant d'autorisations en lecture sont partagées avec les postesclients, tandis que les informations d'identification avec autorisations en écriture sont utiliséesexclusivement par le serveur McAfee ePO pour mettre à jour le contenu du référentiel distribué.

• N'utilisez pas de partage sur votre contrôleur de domaine : créez-en un hors du contrôleurde domaine. Un utilisateur local d'un contrôleur de domaine est un utilisateur de domaine.

Sécurisation du compte utilisé pour lire le partage UNC

Suivez ces instructions pour vous assurer que le compte utilisé pour accéder au partage UNC estsécurisé.

RéférentielsUtilisation des partages UNC en tant que référentiels distribués 6


• Octroyez à tout le monde des autorisations en lecture seule pour le compte departage UNC, excepté au référentiel maître du serveur McAfee ePO : lors de la configurationde votre partage, vérifiez que le compte que vous avez créé dispose d'autorisations en lectureseule sur le répertoire et les autorisations de partage. N'octroyez pas d'autorisations d'écriture àdistance sur le partage (même pour les administrateurs ou les autres comptes). Le seul compteautorisé à accéder est le compte que vous venez de créer.

Le référentiel maître du serveur McAfee ePO doit être en mesure d'écrire des fichiers dans le comptede partage UNC.

• Créez le compte localement : créez le compte dans le partage de fichiers, pas dans le domaine.Les comptes créés localement n'octroient pas de droits aux systèmes du domaine.

• Utilisez un compte spécifique : créez un compte spécialement pour le partage des données deréférentiel. Ne partagez pas ce compte avec plusieurs fonctions.

• Attribuez à ce compte des privilèges faibles : n'ajoutez pas ce compte aux groupes dont il n'apas besoin, à savoir les groupes « Administrateurs » et « Utilisateurs ».

• Désactivez les privilèges superflus : il est inutile que ce compte se connecte à un serveur. Ils'agit d'un espace réservé pour accéder aux fichiers. Examinez les privilèges de ce compte etdésactivez tous ceux qui sont superflus.

• Utilisez un mot de passe fort : utilisez un mot de passe composé de 8 à 12 caractères, dont desminuscules, des majuscules, des symboles et des chiffres. Il est conseillé d'utiliser un générateurde mots de passe aléatoires afin que votre mot de passe soit complexe.

Protection et gestion du partage UNC

• Protégez votre partage à l'aide d'un pare-feu : bloquez toujours tout trafic inutile. Il estconseillé de bloquer le trafic sortant et entrant. Vous pouvez utiliser un pare-feu logiciel sur leserveur ou bien un pare-feu matériel sur le réseau.

• Activez l'audit des fichiers : activez toujours les journaux d'audit de sécurité afin de localiser lesaccès à vos partages réseau. Ces journaux indiquent les personnes qui accèdent au partage, ladate de l'accès ainsi que les actions de ces personnes.

• Modifiez vos mots de passe : modifiez souvent votre mot de passe. Assurez-vous que lenouveau mot de passe est fort et n'oubliez pas de mettre à jour votre configuration McAfee ePOavec ce nouveau mot de passe.

• Désactivez le compte et le partage s'ils ne sont plus utilisés : si vous passez à un type deréférentiel autre qu'UNC, pensez à désactiver ou supprimer le compte, puis à fermer et supprimerle partage.

Utilisation de référentiels distribués locaux non managésCopier le contenu du Référentiel maître dans un référentiel distribué non managé.Une fois qu'un référentiel non managé est créé, vous devez configurer manuellement les systèmesmanagés pour que les fichiers soient extraits du référentiel non managé.


Procédure

1 Copiez l'ensemble des fichiers et sous-répertoires que contient le dossier du référentiel maîtredisponible sur le serveur.

Par exemple, sous Windows 2008 R2 Server, le chemin d'accès par défaut de votre serveur seprésente comme suit : C:\Program Files (x86)\McAfee\ePolicy Orchestrator\DB\Software

6 RéférentielsUtilisation de référentiels distribués locaux non managés


2 Collez les fichiers et sous-dossiers copiés dans votre dossier de référentiel distribué sur le systèmede ce dernier.

3 Configurez une stratégie d'agent afin que les systèmes managés utilisent le nouveau référentieldistribué non managé :

a Cliquez sur Menu | Stratégie | Catalogue de stratégies. Ensuite, sélectionnez McAfee Agent comme Produitet Référentiel comme Catégorie.

b Cliquez sur une stratégie d'agent existante ou créez-en une nouvelle.

L'héritage des stratégies ne peut pas être bloqué au niveau des onglets d'options qui composentune stratégie. Par conséquent, lors de l'application, veillez à ce que la bonne stratégie soit reçueet héritée uniquement par les systèmes qui doivent utiliser le référentiel distribué non managé.

c Dans l'onglet Référentiels, cliquez sur Ajouter.

d Tapez un nom dans la zone de texte Nom du référentiel.

Ce nom ne doit pas nécessairement correspondre au nom du système qui héberge le référentiel.

e Sous Récupérer les fichiers depuis, sélectionnez le type de référentiel.

f Sous Configuration, entrez l'emplacement du référentiel, en utilisant la syntaxe correcte pour letype de référentiel.

g Entrez un numéro de port ou conservez le port par défaut.

h Configurez les informations d'identification pour l'authentification nécessaires.

i Cliquez sur OK pour ajouter le nouveau référentiel distribué à la liste.

j Sélectionnez le nouveau référentiel dans la liste.

Le type Local indique que le référentiel n'est pas managé par le logiciel ePolicy Orchestrator.Lorsqu'un référentiel non managé est sélectionné dans la Liste de référentiels, les options Modifier etSupprimer sont activées.

k Cliquez sur Enregistrer.

La nouvelle stratégie est appliquée à tous les systèmes concernés lors de la communicationagent-serveur suivante.

Utilisation des fichiers de liste de référentielsVous pouvez exporter les fichiers de liste de référentiels.

• SiteList.xml : utilisé par l'agent et les produits pris en charge.

• SiteMgr.xml : utilisé lors de la réinstallation du serveur McAfee ePO, ou lors de l'importation versd'autres serveurs McAfee ePO utilisant les mêmes référentiels distribués ou les mêmes sitessources.

RéférentielsUtilisation des fichiers de liste de référentiels 6


Procédures

• Exportation du fichier de liste de référentiels SiteList.xml, page 86Exportez la liste de référentiels (fichier SiteList.xml), afin de pouvoir le distribuermanuellement sur des systèmes ou pour l'importer durant l'installation de produits pris encharge.

• Exportation de la liste de référentiels à des fins de sauvegarde ou de partage avec d'autresserveurs, page 86Utilisez le fichier SiteMgr.xml exporté pour restaurer les référentiels distribués et les sitessources lorsque vous réinstallez le serveur McAfee ePO ou lorsque vous souhaitez partagerdes référentiels distribués ou des sites sources avec un autre serveur McAfee ePO.

• Importation de référentiels distribués depuis le fichier de liste de référentiels, page 87Importer des référentiels distribués depuis le fichier SiteMgr.xml après la réinstallationd'un serveur ou bien si vous souhaitez qu'un serveur utilise les mêmes référentielsdistribués qu'un autre serveur.

• Importation de sites sources à partir du fichier SiteMgr.xml, page 87Après la réinstallation d'un serveur et lorsque vous souhaitez que deux serveurs utilisentles mêmes référentiels distribués, importez les sites sources à partir d'un fichier de liste deréférentiels.

Exportation du fichier de liste de référentiels SiteList.xmlExportez la liste de référentiels (fichier SiteList.xml), afin de pouvoir le distribuer manuellement surdes systèmes ou pour l'importer durant l'installation de produits pris en charge.


1 Cliquez sur Menu | Logiciels | Référentiel maître, puis cliquez sur Actions | Exporter la liste Sitelist.

La boîte de dialogue Téléchargement de fichier s'affiche.

2 Cliquez sur Enregistrer, recherchez l'emplacement dans lequel vous souhaitez enregistrer le fichierSiteList.xml, puis cliquez sur Enregistrer.

Après avoir exporté ce fichier, vous pouvez l'importer durant l'installation de produits pris en charge.Pour obtenir des instructions, reportez-vous au Guide d'installation du produit concerné.

Vous pouvez également distribuer la liste de référentiels aux systèmes managés, puis appliquer cetteliste à l'agent.

Exportation de la liste de référentiels à des fins de sauvegardeou de partage avec d'autres serveursUtilisez le fichier SiteMgr.xml exporté pour restaurer les référentiels distribués et les sites sourceslorsque vous réinstallez le serveur McAfee ePO ou lorsque vous souhaitez partager des référentielsdistribués ou des sites sources avec un autre serveur McAfee ePO.

Vous pouvez exporter le fichier à partir des pages Référentiels distribués ou Sites sources. En revanche,lorsque vous importez ce fichier vers l'une ou l'autre page, le système importe uniquement leséléments du fichier répertoriés sur cette page. Ainsi, lorsque ce fichier est importé dans la pageRéférentiels distribués, seuls les référentiels distribués figurant dans le fichier sont importés. Parconséquent, si vous souhaitez importer à la fois les référentiels distribués et les sites sources, vousdevez importer le fichier à deux reprises, une fois dans chaque page.


6 RéférentielsUtilisation des fichiers de liste de référentiels


Procédure

1 Cliquez sur Menu | Logiciels | Référentiels distribués (ou Sites sources), puis cliquez sur Actions | Exporter lesréférentiels (ou Exporter les sites sources).

La boîte de dialogue Téléchargement de fichier s'affiche.

2 Cliquez sur Enregistrer, recherchez l'emplacement dans lequel vous souhaitez enregistrer le fichier,puis cliquez sur Enregistrer.

Importation de référentiels distribués depuis le fichier de listede référentielsImporter des référentiels distribués depuis le fichier SiteMgr.xml après la réinstallation d'un serveurou bien si vous souhaitez qu'un serveur utilise les mêmes référentiels distribués qu'un autre serveur.


1 Cliquez sur Menu | Logiciels | Référentiels distribués, puis cliquez sur Actions | Importer des référentiels.

La page Importer des référentiels s'affiche.

2 Recherchez le fichier SiteMgr.xml exporté, puis cliquez sur OK. Le référentiel distribué est importésur le serveur.

3 Cliquez sur OK.

Les référentiels sélectionnés sont ajoutés à la liste de référentiels sur ce serveur.

Importation de sites sources à partir du fichier SiteMgr.xmlAprès la réinstallation d'un serveur et lorsque vous souhaitez que deux serveurs utilisent les mêmesréférentiels distribués, importez les sites sources à partir d'un fichier de liste de référentiels.


Procédure

1 Cliquez sur Menu | Configuration | Paramètres serveur, puis dans la liste Catégories de paramètres, sélectionnezSites sources et cliquez sur Modifier.

2 Cliquez sur Importer.

3 Recherchez et sélectionnez le fichier SiteMgr.xml exporté, puis cliquez sur OK.

4 Sélectionnez les sites sources à importer sur ce serveur, puis cliquez sur OK.

Les sites sources sélectionnés sont ajoutés à la liste de référentiels sur ce serveur.

Tâches d'extractionUtilisez des tâches d'extraction pour mettre à jour votre référentiel maître à l'aide de packages demise à jour de fichiers DAT et de moteur, récupérés à partir du site source.

Les fichiers DAT et de moteur doivent fréquemment faire l'objet d'une mise à jour. McAfee distribue denouveaux fichiers DAT sur une base quotidienne, ainsi que des fichiers de moteur sur une fréquencemoins soutenue. Déployez ces packages dès que possible sur les systèmes managés pour les protégerdes menaces les plus récentes.

RéférentielsTâches d'extraction 6


Vous pouvez spécifier quels packages doivent être copiés à partir du site source dans le référentielmaître.

Les fichiers ExtraDAT doivent être archivés manuellement dans le référentiel maître. Ils sont disponiblessur le site web de McAfee.

Une tâche serveur planifiée d'extraction du référentiel s'exécute automatiquement et régulièrementaux heures et jours que vous définissez. Vous pouvez, par exemple, planifier une tâche hebdomadaired'extraction du référentiel tous les jeudis à 5 heures du matin.

De même, vous pouvez utiliser la tâche Extraire maintenant pour archiver immédiatement les mises àjour dans le référentiel maître. Cela est utile, par exemple, lorsque McAfee signale l'apparition d'unvirus à propagation rapide et met à disposition un nouveau fichier DAT pour le contrer.

Si une tâche d'extraction échoue, vous devez archiver manuellement les packages dans le référentielmaître.

Lorsque le référentiel maître a été actualisé, vous pouvez distribuer automatiquement les mises à jouraux systèmes, via la fonctionnalité de mise à jour globale ou des tâches de réplication.

Facteurs à prendre en compte lors de la planification d'une tâche d'extraction

Prenez en considération les éléments suivants lors de la planification des tâches d'extraction :

• Utilisation de la bande passante et du réseau — Si vous utilisez la mise à jour globale, suivezles recommandations en planifiant une tâche d'extraction qui s'exécutera aux moments où la bandepassante n'est que faiblement sollicitée par d'autres ressources. Avec la mise à jour globale, lesfichiers de mise à jour sont automatiquement distribués au terme de la tâche d'extraction.

• Fréquence d'exécution de la tâche — Des fichiers DAT sont publiés tous les jours, mais il sepeut que vous ne souhaitiez pas consacrer quotidiennement des ressources à ces mises à jour.

• Tâches de réplication et de mise à jour — Planifiez des tâches de réplication et des tâches demise à jour client pour vous assurer que les fichiers de mise à jour sont distribués dans votreenvironnement.

Tâches de réplicationUtilisez des tâches de réplication pour copier le contenu du référentiel maître vers les référentielsdistribués. A moins que vous n'ayez répliqué le contenu du référentiel maître vers tous vos référentielsdistribués, il se peut que certains systèmes ne les obtiennent pas. Assurez-vous que tous lesréférentiels distribués sont à jour.

Si vous utilisez la mise à jour globale pour toutes vos mises à jour, les tâches de réplication ne serontpeut-être pas nécessaires pour votre environnement, bien qu'elles soient recommandées pour desraisons de redondance. En revanche, si vous n'y faites pas appel, vous devez planifier une tâche serveurRéplication de référentiel ou exécuter une tâche Répliquer maintenant.

La planification de tâches serveur régulières de réplication de référentiel constitue la meilleure optionpour garantir que les référentiels distribués sont à jour. Si ces tâches sont quotidiennes, vous êtesassuré que vos systèmes managés demeurent à jour. Le recours à des tâches de réplication deréférentiel automatise la réplication vers vos référentiels distribués.

Parfois, des fichiers archivés dans le référentiel maître devront être répliqués immédiatement vers lesréférentiels distribués, au lieu d'attendre la réplication planifiée suivante. Exécutez une tâcheRépliquer maintenant pour mettre à jour manuellement vos référentiels distribués.

6 RéférentielsTâches de réplication


Réplication complète et réplication incrémentielle

Lors de la création d'une tâche de réplication, sélectionnez Réplication incrémentielle ou Réplication complète.La réplication incrémentielle utilise moins de bande passante et copie uniquement les nouvelles misesà jour présentes dans le référentiel maître et qui ne se trouvent pas encore dans le référentieldistribué. Une réplication complète copie l'intégralité du contenu du référentiel maître.

McAfee recommande la planification d'une tâche de réplication incrémentielle quotidienne. S'il estpossible de supprimer des fichiers d'un référentiel distribué sans utiliser la fonctionnalité de réplicationdu logiciel ePolicy Orchestrator, alors planifiez une tâche de réplication complète hebdomadaire.

Sélection de référentielsDe nouveaux référentiels distribués sont ajoutés au fichier de la liste de référentiels qui contient tousles référentiels distribués disponibles. L'agent de chaque système managé met à jour ce fichier àchaque communication avec le serveur McAfee ePO. Cet agent effectue une sélection de référentielsdès que le service de l'agent (Service McAfee Framework) démarre et à chaque modification de la liste deréférentiels.

La réplication sélective offre un contrôle renforcé sur la mise à jour des référentiels individuels. Lorsde la planification de tâches de réplication, vous pouvez choisir :

• Des référentiels distribués spécifiques auxquels s'applique la tâche. La réplication vers plusieursréférentiels distribués à des moments différents réduit l'impact sur la bande passante. Il estpossible de spécifier ces référentiels lorsque vous créez ou modifiez la tâche de réplication.

• Des signatures et des fichiers spécifiques répliqués vers les référentiels distribués. Si voussélectionnez uniquement les types de fichiers requis sur chaque système qui sont archivés dans leréférentiel distribué, l'impact sur la bande passante est réduit. Lorsque vous définissez ou modifiezles référentiels distribués, vous pouvez choisir les packages à répliquer vers le référentiel distribué.

Cette fonctionnalité est conçue pour la mise à jour uniquement de produits installés sur quelques-unsdes systèmes de l'environnement, par exemple VirusScan Enterprise. Elle permet de distribuer cesmises à jour uniquement aux référentiels distribués utilisés par ces systèmes.

Sélection de référentiels par les agents

Par défaut, les agents peuvent tenter leur mise à jour au départ de n'importe quel référentielrépertorié dans la liste de référentiels. L'agent peut exécuter une requête ping ICMP réseau ou unalgorithme de comparaison d'adresses de sous-réseau pour localiser le référentiel distribué quiprésente le temps de réponse le plus court. Il s'agit généralement du référentiel distribué le plusproche du système sur le réseau.

Vous pouvez également contrôler strictement les référentiels distribués que doivent utiliser les agentspour la mise à jour, en activant ou en désactivant des référentiels distribués dans la stratégie d'agent.La désactivation de référentiels dans les paramètres de stratégie n'est pas recommandée par McAfee.En autorisant les agents à utiliser n'importe quel référentiel distribué, vous avez l'assurance qu'ilsrecevront les mises à jour.

RéférentielsSélection de référentiels 6


6 RéférentielsSélection de référentiels


7 Serveurs enregistrés

Vous pouvez accéder à des serveurs supplémentaires en les enregistrant avec votre serveur McAfeeePO. Les serveurs enregistrés vous permettent d'intégrer votre logiciel avec d'autres serveursexternes. Par exemple, enregistrez un serveur LDAP pour vous connecter à votre serveurActive Directory.

McAfee ePO est en mesure de communiquer avec :

• Autres serveurs McAfee ePO

• Serveurs de base de données distants supplémentaires

• Serveurs LDAP

• Serveurs syslog

Pour pouvoir configurer ce serveur enregistré, vous devez d'abord installer McAfee Endpoint Securityet l'extension Gestion syslog dans votre environnement McAfee ePO.

Chaque type de serveur enregistré prend en charge ou complète les fonctionnalités de ePolicyOrchestrator, ainsi que celles d'autres produits McAfee et de différents fournisseurs.

Sommaire Enregistrement de serveurs McAfee ePO Enregistrement de serveurs LDAP Enregistrement de serveurs SNMP Utilisation des serveurs de base de données Partage d'objets entre serveurs

Enregistrement de serveurs McAfee ePOVous pouvez enregistrer d'autres serveurs McAfee ePO à utiliser avec votre serveur McAfee ePOprincipal pour collecter ou agréger des données ou pour vous permettre de transférer des systèmesmanagés entre les serveurs enregistrés.

Avant de commencerPour enregistrer un serveur McAfee ePO avec un autre serveur, vous devez connaître lesdétails de la base de données SQL du serveur McAfee ePO que vous enregistrez. Lacommande distante suivante vous permet de déterminer le nom du serveur de base dedonnées Microsoft SQL, le nom de la base de données, etc. :

https://<nom_serveur>:<port>/core/config

La liste suivante répertorie les variables de la commande distante :

7


• <nom_serveur> : nom du serveur DNS ou adresse IP du serveur McAfee ePO distant.

• <port> : numéro de port affecté au serveur McAfee ePO. Il s'agit en général du port« 8443 » à moins que votre serveur ne soit configuré pour utiliser un autre numéro deport.


1 Sélectionnez Menu | Configuration | Serveurs enregistrés, puis cliquez sur Nouveau serveur.

2 Dans le menu Type de serveur de la page Description, sélectionnez ePO, entrez un nom unique etd'éventuelles remarques, puis cliquez sur Suivant.

3 Définissez les options suivantes pour configurer le serveur :

Option Définition

Type d'authentification Permet de spécifier le type d'authentification à utiliser pour cette base dedonnées, les options possibles étant les suivantes :• Authentification Windows

• Authentification SQL

Partage de tâche client Spécifie s'il convient d'activer ou de désactiver les tâches client pour ceserveur.

Nom de la base de données Spécifie le nom de cette base de données.

Port de la base de données Spécifie le port utilisé pour cette base de données.

Serveur de base de données Permet de préciser le nom de la base de données pour ce serveur. Vouspouvez spécifier une base de données à l'aide de son nom DNS ou deson adresse IP (IPv4 ou IPv6).

Version d'ePO Indique la version du serveur McAfee ePO à enregistrer.

Mot de passe Spécifie le mot de passe pour ce serveur.

Partage de stratégies Spécifie s'il convient d'activer ou de désactiver le partage des stratégiespour ce serveur.

Instance SQL Server Permet d'indiquer s'il s'agit du serveur par défaut ou d'une instancespécifique en fournissant le nom de cette instance.

Vérifiez que le service SQL Browser est en cours d'exécution avant devous connecter à une instance SQL Server spécifique en utilisant sonnom d'instance. Indiquez le numéro de port si le service SQL Browsern'est pas en cours d'exécution.

Sélectionnez l'instance SQL Server par défaut et entrez lenuméro de port pour vous connecter à l'instance SQL Server.

Communication SSL avec leserveur de base de données

Permet d'indiquer si ePolicy Orchestrator utilise une communication SSL(Secure Socket Layer) avec ce serveur de base de données, au moyendes options suivantes :• Essayer d'utiliser SSL

• Toujours utiliser SSL

• Ne jamais utiliser SSL

7 Serveurs enregistrésEnregistrement de serveurs McAfee ePO


Option Définition

Tester la connexion Vérifie la connexion du serveur dont vous avez fourni les détails.

Si vous enregistrez un serveur d'une version McAfee ePO différente, cetavertissement s'affiche à titre d'information uniquement :Avertissement : non-concordance de version.

Transférer les systèmes Indique s'il convient d'activer ou de désactiver la possibilité de transfertde systèmes pour ce serveur. Si vous activez cette option, sélectionnezImportation automatique de la liste Sitelist ou Importation manuelle de la liste Sitelist.

Si vous choisissez Importation manuelle de la liste Sitelist, il se peut que desversions plus anciennes de McAfee Agent (versions 4.0 et antérieures)ne puissent pas contacter leur gestionnaire d'agents. Cela peut seproduire dans les cas suivants :

• transfert des systèmes depuis ce serveur McAfee ePO vers leserveur McAfee ePO enregistré ;

• nom du gestionnaire d'agents apparaissant suivant l'ordrealphanumérique avant le nom du serveur McAfee ePO figurantdans la liste Sitelist fournie.

• Les agents plus anciens utilisent ce gestionnaire d'agents.

Utiliser NTLMv2 (Facultatif) Vous pouvez choisir d'utiliser le protocoled'authentification NT LAN Manager. Sélectionnez cette option si leserveur que vous enregistrez utilise ce protocole.

Nom d'utilisateur Spécifie le nom d'utilisateur pour ce serveur.


Enregistrement de serveurs LDAPVous devez disposer d'un serveur LDAP (Lightweight Directory Access Protocol) enregistré pour utiliserles règles d'affectation de stratégie, pour activer l'affectation dynamique des ensemblesd'autorisations et pour activer la connexion des utilisateurs Active Directory.


1 Sélectionnez Menu | Configuration | Serveurs enregistrés, puis Nouveau serveur.

2 Dans le menu Type de serveur de la page Description, sélectionnez Serveur LDAP, spécifiez un nom unique,ainsi que les données nécessaires, puis cliquez sur Suivant.

3 Choisissez le serveur que vous enregistrez, serveur OpenLDAP ou Active Directory, dans la liste Typede serveur LDAP.

La suite des instructions suppose qu'un serveur Active Directory a été choisi. Des informationspropres à OpenLDAP sont indiquées le cas échéant.

Serveurs enregistrésEnregistrement de serveurs LDAP 7


4 Définir un nom de domaine ou un nom de serveur spécifique dans la section Nom du serveur.

Utilisez des noms de domaine DNS (par exemple internaldomain.com) et des noms de domainecomplets ou des adresses IP pour les serveurs (par exemple server1.internaldomain.com ou192.168.75.101).

L'utilisation des noms de domaine fournit un système de reprise automatique et vous permet dechoisir uniquement des serveurs d'un site spécifique si vous le voulez.

Les serveurs OpenLDAP ne peuvent utiliser que des noms de serveur. Ils ne peuvent pas être définispar domaine.

5 Choisissez si vous voulez Utiliser le catalogue global.

Cette option est désélectionnée par défaut. Sa sélection présente des avantages importants entermes de performances. Elle ne doit être sélectionnée que si le domaine enregistré est le parentde domaines locaux uniquement. Si des domaines non locaux sont inclus, la recherche desréférences peut entraîner du trafic réseau non local considérable, ce qui peut avoir un impactimportant sur les performances.

L'option Utiliser le catalogue global n'est pas disponible pour les serveurs OpenLDAP.

6 Si vous avez choisi de ne pas utiliser le catalogue global, choisissez de Rechercher des références ounon.

La recherche des références peut provoquer des problèmes de performances si elle entraîne dutrafic réseau non local, qu'un catalogue global soit utilisé ou non.

7 Choisissez d'Utiliser SSL ou non lors des communications avec ce serveur.

8 Si vous configurez un serveur OpenLDAP, entrez le Port.

9 Entrez le Nom d'utilisateur et le Mot de passe comme indiqué.

Ces informations d'identification doivent correspondre à un compte d'administrateur sur le serveur.Utilisez le format domaine\nom_utilisateur sur les serveurs Active Directory et le formatcn=utilisateur,dc=domaine,dc=com sur les serveurs OpenLDAP.

10 Entrez le Nom du site du serveur, ou sélectionnez-le en cliquant sur Parcourir et en le recherchant.

11 Cliquez sur Tester la connexion pour vérifier la communication avec le serveur comme spécifié. Vouspouvez modifier les informations, le cas échéant.

12 Cliquez sur Enregistrer pour enregistrer le serveur.

Enregistrement de serveurs SNMPPour être en mesure de recevoir une interruption SNMP, vous devez ajouter les informations relativesau serveur SNMP dans ePolicy Orchestrator pour que ce dernier sache où envoyer l'interruption.


Procédure1 Cliquez sur Menu | Configuration | Serveurs enregistrés, puis sur Nouveau serveur.

2 Dans le menu Type de serveur de la page Description, sélectionnez le type Serveur SNMP, entrez le nomdu serveur ainsi que toute information supplémentaire, puis cliquez sur Suivant.

7 Serveurs enregistrésEnregistrement de serveurs SNMP


3 Dans la liste déroulante URL, sélectionnez l'un des types d'adresse serveur suivants, puis entrezl'adresse du serveur :

• Nom DNS — Spécifie le nom DNS du serveur enregistré.

• IPv4 — Indique l'adresse IPv4 du serveur enregistré.

• IPv6 — Indique le nom DNS du serveur enregistré disposant d'une adresse IPv6.

4 Sélectionnez la version du protocole SNMP utilisée par votre serveur.

• Si vous sélectionnez SNMPv1 ou SNMPv2c comme version du serveur SNMP, entrez la chaîne decommunauté du serveur sous Sécurité.

• Si vous sélectionnez SNMPv3, indiquez les détails de la Sécurité SNMPv3.

5 Cliquez sur Envoyer l'interruption de test pour tester votre configuration.


Le nouveau serveur SNMP apparaît alors dans la page Serveurs enregistrés.

Utilisation des serveurs de base de donnéesePolicy Orchestrator peut non seulement extraire des données de ses propres bases de données, maiségalement depuis certaines extensions.

Vous devrez peut-être enregistrer plusieurs types de serveur différents pour exécuter des tâches ausein d'ePolicy Orchestrator. Il peut s'agir par exemple de serveurs d'authentification, de cataloguesActive Directory, de serveurs McAfee ePO et de serveurs de base de données qui fonctionnent avec desextensions spécifiques que vous avez installées.

Types de base de données

Une extension peut enregistrer un type de base de données, aussi appelé schéma ou structure, auprèsd'ePolicy Orchestrator. Dans ce cas, cette extension peut fournir des données aux requêtes, auxrapports, aux moniteurs de tableau de bord et aux tâches serveur. Pour utiliser ces données, vousdevez préalablement enregistrer le serveur auprès d'ePolicy Orchestrator.

Serveur de base de données

Un serveur de base de données est la combinaison d'un serveur et d'un type de base de donnéesinstallée sur ce serveur. Un serveur peut héberger plusieurs types de base de données, et un type debase de données peut être installé sur plusieurs serveurs. Chaque combinaison spécifique doit êtreenregistrée séparément et porte le nom de serveur de base de données.

Après avoir enregistré un serveur de base de données, vous pouvez extraire les données de la base dedonnées dans les requêtes, les rapports, les moniteurs de tableau de bord et les tâches serveur. Sivous enregistrez plusieurs bases de données utilisant le même type de base de données, vous devezen sélectionner une qui constituera la base de données par défaut de ce type.

Enregistrement d'un serveur de base de donnéesAvant de pouvoir extraire des données d'un serveur de base de données, vous devez d'abordl'enregistrer auprès d'ePolicy Orchestrator.

Serveurs enregistrésUtilisation des serveurs de base de données 7



1 Ouvrez la page Serveurs enregistrés : sélectionnez Menu | Configuration | Serveurs enregistrés, puis Nouveauserveur.

2 Sélectionnez Serveur de base de données dans la liste déroulante Type de serveur, indiquez le nom duserveur et éventuellement une description, puis cliquez sur Suivant.

3 Sélectionnez un Type de base de données dans la liste déroulante des types enregistrés. Indiquez si voussouhaitez utiliser ce type de base de données par défaut.

Si une base de données est déjà affectée par défaut à ce type de base de données, l'informationfigurera dans la ligne Actuelle base de données par défaut pour le type de base de données.

4 Entrez le Fournisseur de la base de données. A l'heure actuelle, seuls Microsoft SQL Server et MySQL sontpris en charge.

5 Spécifiez toutes les informations d'identification et les données de connexion relatives au serveurde base de données.

6 Pour vérifier si toutes les informations de connexion indiquées sont correctes, cliquez sur Tester laconnexion.

Un message d'état indique si le test a réussi ou échoué.


Modification d'un enregistrement de base de donnéesSi les informations de connexion ou les informations d'identification de connexion d'un serveur de basede données changent, vous devez modifier l'enregistrement pour refléter l'état actuel.


1 Ouvrez la page Serveurs enregistrés en sélectionnant Menu | Configuration | Serveurs enregistrés.

2 Sélectionnez une base de données à modifier, puis cliquez sur Actions | Modifier.

3 Modifiez le nom ou les remarques concernant le serveur, puis cliquez sur Suivant.

4 Modifiez les informations selon vos besoins. Si vous devez vérifier la connexion de la base dedonnées, cliquez sur Tester la connexion.

5 Cliquez sur Enregistrer pour enregistrer les modifications.

Suppression d'une base de données enregistréeVous pouvez supprimer des bases de données du système lorsque vous n'en avez plus besoin.


1 Ouvrez la page Serveurs enregistrés : sélectionnez Menu | Configuration | Serveurs enregistrés.

2 Sélectionnez une base de données à supprimer, puis cliquez sur Actions | Supprimer.

3 Dans la boîte de dialogue de confirmation, cliquez sur Oui pour supprimer la base de données.

7 Serveurs enregistrésUtilisation des serveurs de base de données


La base de données a été supprimée. Tout rapport, requête ou autre élément d'ePolicy Orchestratorqui utilisait la base de données supprimée sera marqué comme non valide jusqu'à ce qu'il ait été mis àjour et configuré pour utiliser une autre base de données.

Partage d'objets entre serveursSouvent, le moyen le plus facile et le plus rapide de répliquer un comportement d'un serveur McAfeeePO vers un autre est d'exporter l'élément décrivant le comportement et de l'importer vers un autreserveur.

Exportation d'objets et de données à partir de votre serveurMcAfee ePOLes objets et les données exportés peuvent être utilisés pour sauvegarder des données importantes,tout comme pour restaurer ou configurer des serveurs McAfee ePO dans votre environnement.La plupart des objets et des données utilisés sur votre serveur peuvent être exportés ou téléchargéspour affichage, transformation ou importation sur d'autres serveurs ou applications. Le tableau suivantrépertorie les divers éléments que vous pouvez utiliser. Pour afficher des données, exportez lestableaux sous forme de fichiers HTML ou PDF. Pour utiliser des données dans d'autres applications,exportez les tableaux sous forme de fichiers CSV ou XML.

Procédure

1 Dans la page qui affiche les objets ou les données, cliquez sur Actions et sélectionnez une option.Par exemple, lors de l'exportation d'un tableau, sélectionnez Exporter le tableau, puis cliquez sur Suivant.

2 Lors de l'exportation de contenu pouvant être téléchargé dans plusieurs formats, tels que desdonnées de requête, une page Exporter comportant des options de configuration s'affiche. Indiquezvos préférences, puis cliquez sur Exporter.

3 Lors de l'exportation d'objets ou de définitions, tels que des objets ou des définitions de tâcheclient, l'un des événements suivants se produit :

• Une fenêtre de navigateur s'ouvre et vous propose les options Ouvrir et Enregistrer.

• Une page Exporter contenant un lien vers le fichier s'ouvre. Cliquez avec le bouton gauche sur lelien pour afficher le fichier dans votre navigateur, ou cliquez avec le bouton droit pourenregistrer le fichier.

Importation d'éléments dans ePolicy OrchestratorLes éléments exportés depuis un serveur McAfee ePO peuvent être importés dans un autre serveur.

ePolicy Orchestrator exporte les éléments au format XML. Ces fichiers XML contiennent les descriptionsexactes des éléments exportés.

Importation d'éléments

Certaines règles sont respectées lors de l'importation d'éléments dans ePolicy Orchestrator :

• Tous les éléments sauf les utilisateurs sont importés avec une visibilité privée par défaut. Vouspouvez appliquer d'autres autorisations pendant ou après l'importation.

• Si un élément portant le même nom existe déjà, la mention (importé) ou (copie) est ajoutéeaprès le nom de l'élément importé.

• Les éléments importés nécessitant une extension ou un produit qui n'existent pas sur le nouveauserveur seront marqués comme non valides.

Serveurs enregistrésPartage d'objets entre serveurs 7


ePolicy Orchestrator peut importer uniquement des fichiers XML exportés par ePolicy Orchestrator.

Les détails propres à la manière d'importer différents types d'éléments figurent dans la documentationde chaque élément.

7 Serveurs enregistrésPartage d'objets entre serveurs


8 Gestionnaires d'agents

Les gestionnaires d'agents transfèrent les communications entre les agents et votre serveur McAfeeePO.

Chaque serveur McAfee ePO contient un gestionnaire d'agents maître. Des gestionnaires d'agentssupplémentaires peuvent être installés sur divers systèmes de votre réseau.

Ces gestionnaires d'agents supplémentaires offrent divers avantages.

• Il est possible de gérer un plus grand nombre de produits et de systèmes managés parl'intermédiaire d'un unique serveur McAfee ePO logique, dans des situations où le processeur duserveur de base de données n'est pas surchargé.

• Une telle configuration assure une communication avec tolérance aux pannes et équilibrage decharge avec un grand nombre d'agents, y compris les agents dispersés au sein d'une vaste zonegéographique.

Sommaire Fonctionnement des Gestionnaires d'agents Connexion d'un gestionnaire d'agents de la zone démilitarisée (DMZ) à un serveur McAfee ePO d'undomaine Priorité et groupes de gestionnaires Gestion des gestionnaires d'agents

Fonctionnement des Gestionnaires d'agentsLes gestionnaires d'agents distribuent le trafic réseau généré par la communication agent-serveur enaffectant des systèmes managés ou des groupes de systèmes managés à un gestionnaire d'agentsspécifique. Une fois affecté, un système managé communique avec son gestionnaire d'agents à laplace du serveur McAfee ePO principal.

Le gestionnaire fournit les mises à jour des listes Sitelist, des stratégies et des règles d'affectation destratégie de la même façon que le serveur McAfee ePO. Il met également en cache le contenu duréférentiel maître afin que les agents puissent extraire les packages de mise à jour de produits, lesfichiers DAT et d'autres informations nécessaires.

Si le gestionnaire ne dispose pas des mises à jour nécessaires lors de l'archivage d'un agent, legestionnaire les récupère à partir du référentiel affecté et les met en cache, tout en les transférant àl'agent.

Le gestionnaire d'agents doit être en mesure d'authentifier les informations d'identification dedomaine. Si ce n'est pas possible, le compte utilisé par le gestionnaire d'agents pour s'authentifierauprès de la base de données doit utiliser l'authentification SQL. Pour plus d'informations surl'authentification Windows et SQL, consultez la documentation de Microsoft SQL Server.

8


Pour plus d'informations sur la modification des modes d'authentification, consultez la documentationde Microsoft SQL Server. Si vous changez le mode d'authentification, vous devez également mettre àjour les informations de connexion à SQL Server.

Le graphique Systèmes par gestionnaire d'agents représente tous les Gestionnaires d'agents installéset indique le nombre d'agents managés par chaque gestionnaire d'agents.

Si un gestionnaire d'agents est désinstallé, il n'apparaît pas dans ce graphique. Si une règled'affectation de gestionnaire d'agents affecte de manière exclusive des agents à un gestionnaired'agents et si ce dernier est désinstallé, il apparaît dans le graphique comme Gestionnaire d'agentsdésinstallé accompagné du nombre d'agents qui essaient encore de le contacter.

Si les Gestionnaires d'agents ne sont pas installés correctement, le message Gestionnaire d'agents désinstallés'affiche pour indiquer que le gestionnaire ne parvient pas à communiquer avec des agentsparticuliers. Cliquez dans la liste pour afficher les agents qui ne peuvent pas communiquer avec legestionnaire.

Présence de plusieurs Gestionnaires d'agents

Plusieurs gestionnaires d'agents peuvent coexister sur votre réseau. Il se peut par exemple que leréseau comporte de nombreux systèmes managés situés dans plusieurs pays ou régions. Dans tousles cas, vous pouvez ajouter une organisation à vos systèmes managés en affectant des groupesdistincts à différents gestionnaires.

Connexion d'un gestionnaire d'agents de la zone démilitarisée(DMZ) à un serveur McAfee ePO d'un domaine

Si votre serveur McAfee ePO est dans un domaine, le gestionnaire d'agents installé dans la zone DMZne peut pas se connecter à la base de données SQL de McAfee ePO, car il ne peut pas utiliser lesinformations d'identification du domaine.

Pour contourner cette limitation, configurez le gestionnaire d'agents afin qu'il utilise les informationsd'identification du compte d'administrateur système de la base de données SQL.


1 Activer le compte d'administrateur système.

a Ouvrez SQL Management Studio, développez Sécurité | Connexions, puis double-cliquez sur le compted'administrateur système.

b Dans l'onglet Général, tapez et confirmez votre mot de passe.

c Dans l'onglet Etat, définissez Connexion sur Activé, puis cliquez sur OK.

d Cliquez avec le bouton droit sur le nom de l'instance de base de données, puis cliquez surPropriétés.

Le compte d'administrateur système est activé.

2 Modifiez le compte d'administrateur système pour qu'il se connecte à la base de données McAfeeePO.

a Ouvrez un navigateur web et accédez à https://localhost:8443/core/config-auth

8443 représente le numéro du port de communication de la console. Si vous utilisez un autreport pour accéder à la console McAfee ePO, insérez ce numéro de port dans l'adresse.

8 Gestionnaires d'agentsConnexion d'un gestionnaire d'agents de la zone démilitarisée (DMZ) à un serveur McAfee ePO d'un domaine


https://localhost:8443/core/config-auth

b Connectez-vous à l'aide de vos informations d'identification McAfee ePO.

c Supprimez l'entrée indiquée dans le champ Domaine de l'utilisateur, puis tapez sa.

d Indiquez un mot de passe pour le compte d'administrateur système, puis cliquez sur Tester laconnexion.

e Si le test aboutit, cliquez sur Appliquer.

Si le test échoue, entrez de nouveau votre mot de passe, puis cliquez à nouveau sur Tester laconnexion.

Le gestionnaire d'agents utilise les informations d'identification de l'administrateur système pourcommuniquer avec la base de données McAfee ePO.

Priorité et groupes de gestionnairesLorsque vous utilisez plusieurs gestionnaires d'agents dans votre réseau, groupez-les et affectez-leurune priorité afin de préserver la connectivité du réseau.

Groupes de gestionnaires

Lorsque vous disposez de plusieurs gestionnaires d'agents dans votre réseau, vous pouvez créer desgroupes de gestionnaires. Vous pouvez également appliquer une priorité aux gestionnaires d'ungroupe. La priorité indique aux agents le gestionnaire avec lequel ils doivent communiquer en premier.Si le gestionnaire affecté de la priorité la plus élevée n'est pas disponible, l'agent tente decommuniquer avec le gestionnaire suivant dans la liste. Ces informations de priorité figurent dans laliste de référentiels (fichier Sitelist.xml) de chaque agent. Lorsque vous modifiez les affectations degestionnaire, ce fichier est mis à jour au cours du processus de communication agent-serveur. Aprèsavoir reçu les affectations, l'agent attend la prochaine communication normale planifiée pour lesimplémenter. Pour mettre immédiatement l'agent à jour, vous pouvez exécuter un appel deréactivation de l'agent.

Vous pouvez personnaliser le regroupement des gestionnaires et l'affectation des priorités en fonctiondes besoins spécifiques de votre environnement. A titre d'exemple, voici deux scénarios souventutilisés pour grouper les gestionnaires :

• Utilisation de plusieurs gestionnaires pour équilibrage de la charge

Vous disposez peut-être d'un grand nombre de systèmes managés dans votre réseau, raison pourlaquelle vous souhaitez distribuer la charge des communications agent-serveur et des mises enœuvre des stratégies. Vous pouvez configurer la liste de gestionnaires afin que les agentssélectionnent aléatoirement le gestionnaire avec lequel ils vont communiquer.

• Configuration d'un plan de secours garantissant la communication agent-serveur

Vos systèmes sont peut-être distribués sur une zone géographique étendue. En affectant unepriorité aux différents gestionnaires dispersés dans la zone, vous pouvez spécifier les gestionnairesavec lesquels l'agent doit communiquer et dans quel ordre il doit le faire. Les systèmes managésdu réseau restent à jour grâce à la création d'une communication de secours pour l'agent, de lamême façon que les référentiels de secours garantissent la disponibilité des nouvelles mises à jourpour les agents. Si le gestionnaire possédant la priorité la plus élevée n'est pas disponible, l'agenttente de communiquer avec le gestionnaire suivant par ordre de priorité.

En plus d'affecter une priorité au sein des gestionnaires d'un même groupe, vous pouvez égalementdéfinir la priorité d'affectation pour plusieurs groupes. Ce mécanisme de redondance supplémentairegarantit que les agents de votre environnement recevront bien les informations critiques nécessaires.

Gestionnaires d'agentsPriorité et groupes de gestionnaires 8


Fichiers Sitelist

L'agent utilise les fichiers Sitelist.xml et Sitelist.info pour déterminer le gestionnaire avec lequel ilcommunique. Chaque fois que les affectations et la priorité des gestionnaires sont mises à jour, cesfichiers sont mis à jour sur le système managé. Une fois ces fichiers mis à jour, l'agent implémente lanouvelle affectation ou priorité lors de la prochaine communication agent-serveur planifiée.

Gestion des gestionnaires d'agentsConfigurez des gestionnaires d'agents sur votre réseau et affectez-leur des agents McAfee Agent.

Procédures• Affectation d'agents McAfee Agent aux gestionnaires d'agents, page 102

Affectez des agents à des gestionnaires d'agents spécifiques. Vous pouvez affecter dessystèmes individuellement, par groupe et par sous-réseau.

• Gestion des affectations de gestionnaire d'agents, page 103Réalisez les tâches habituelles de gestion des affectations de gestionnaire d'agents.

• Création de groupes de gestionnaires d'agents, page 104Les groupes de gestionnaires simplifient la gestion des gestionnaires lorsqu'ils sontnombreux sur le réseau et peuvent jouer un rôle dans la stratégie de secours.

• Gestion des groupes de gestionnaires d'agents, page 104Réalisez les tâches habituelles de gestion des groupes de gestionnaires d'agents.

• Déplacement d'agents entre gestionnaires d'agents, page 105Affectez des agents à des gestionnaires d'agents spécifiques. Vous pouvez affecter dessystèmes à l'aide des règles d'affectation de gestionnaire d'agents, de la prioritéd'affectation de gestionnaire d'agents ou individuellement, par l'intermédiaire del'arborescence des systèmes.

Affectation d'agents McAfee Agent aux gestionnaires d'agentsAffectez des agents à des gestionnaires d'agents spécifiques. Vous pouvez affecter des systèmesindividuellement, par groupe et par sous-réseau.Les affectations de gestionnaire peuvent spécifier un gestionnaire individuel ou une liste degestionnaires à utiliser. La liste que vous définissez peut comprendre des gestionnaires individuels oudes groupes de gestionnaires.


1 Cliquez sur Menu | Configuration | Gestionnaires d'agents, puis cliquez sur Actions | Nouvelle affectation.

2 Indiquez un nom unique pour cette affectation.

3 Spécifiez les agents pour cette affectation à l'aide de l'une ou des deux options Critères de l'agentsuivantes :

• Recherchez un Emplacement dans l'arborescence des systèmes.

• Entrez une adresse IP, un intervalle d'adresses IP ou un masque de sous-réseau de systèmesmanagés dans le champ Sous-réseau de l'agent.

8 Gestionnaires d'agentsGestion des gestionnaires d'agents


4 Précisez la Priorité des gestionnaires en sélectionnant l'une des deux options suivantes :

• Utiliser tous les gestionnaires d'agents — Les agents sélectionnent aléatoirement le gestionnaire aveclequel ils vont communiquer.

• Utilisez la liste de gestionnaires personnalisée — Lorsque vous utilisez une liste de gestionnairespersonnalisée, sélectionnez le gestionnaire ou groupe de gestionnaires dans le menu déroulant.

Lorsque vous optez pour une liste de gestionnaires personnalisée, utilisez + et - pour ajouterd'autres gestionnaires ou en supprimer. (Un gestionnaire d'agents peut être inclus dans plusieursgroupes.) Utilisez la poignée Glisser-déposer pour modifier la priorité des gestionnaires. La prioritédétermine le gestionnaire avec lequel les agents tenteront de communiquer en premier.

Gestion des affectations de gestionnaire d'agentsRéalisez les tâches habituelles de gestion des affectations de gestionnaire d'agents.Pour effectuer ces actions, cliquez sur Menu | Configuration | Gestionnaires d'agents, puis dans Règles d'affectationde gestionnaire, cliquez sur Actions.

Opération Procédure

Suppression d'uneaffectation degestionnaire

Cliquez sur Supprimer dans la ligne de l'affectation sélectionnée.

Modification d'uneaffectation degestionnaire

Cliquez sur Modifier dans la ligne de l'affectation sélectionnée. Dans la pageAffectation de gestionnaire d'agents qui s'affiche, vous pouvez spécifier les élémentssuivants :• Nom de l'affectation — Nom unique identifiant cette affectation de gestionnaire.

• Critères de l'agent — Systèmes inclus dans cette affectation. Vous pouvezajouter et supprimer des groupes dans l'arborescence des systèmes oumodifier la liste des systèmes dans la zone de texte.

• Priorité des gestionnaires — Précisez si vous souhaitez utiliser tous lesgestionnaires d'agents ou une liste de gestionnaires personnalisée. Lesagents sélectionnent aléatoirement le gestionnaire avec lequel ilscommuniquent lorsque l'option Utiliser tous les gestionnaires d'agents estsélectionnée.

Utilisez la poignée Glisser-déposer pour modifier rapidement la priorité desgestionnaires dans votre liste de gestionnaires personnalisée.

Exportationd'affectations degestionnaire

Cliquez sur Exporter. Dans la page Télécharger les affectations de gestionnaire d'agents quis'affiche, vous pouvez consulter ou télécharger le fichierAgentHandlerAssignments.xml.

Importationd'affectations degestionnaire

Cliquez sur Importer. Dans la boîte de dialogue Importer les affectations de gestionnaired'agents qui s'affiche, vous pouvez accéder à un fichierAgentHandlerAssignments.xml préalablement téléchargé.

Modification de lapriorité desaffectations degestionnaire

Cliquez sur Modifier la priorité. Dans la page Affectation de gestionnaire d'agents | Modifierla priorité qui s'affiche, vous pouvez modifier la priorité de l'affectation degestionnaire à l'aide de la poignée Glisser-déposer.

Affichage de lasynthèse desinformations relativesà l'affectation d'ungestionnaire

Cliquez sur > dans la ligne de l'affectation sélectionnée.

Gestionnaires d'agentsGestion des gestionnaires d'agents 8


Création de groupes de gestionnaires d'agentsLes groupes de gestionnaires simplifient la gestion des gestionnaires lorsqu'ils sont nombreux sur leréseau et peuvent jouer un rôle dans la stratégie de secours.


1 Cliquez sur Menu | Configuration | Gestionnaires d'agents, puis dans Groupes de gestionnaires, cliquez surNouveau groupe.

La page Ajouter/modifier un groupe s'affiche.

2 Spécifiez le nom du groupe, ainsi que les informations relatives aux Gestionnaires inclus, notamment :

• Cliquez sur Utiliser l'équilibreur de charge pour utiliser un équilibreur de charge tiers, puis complétezles champs Nom DNS virtuel et Adresse IP virtuelle. (Les deux champs sont obligatoires.)

• Cliquez sur Utiliser la liste de gestionnaires personnalisée pour indiquer les Gestionnaires d'agents inclusdans ce groupe.

Lorsque vous utilisez une liste des gestionnaires personnalisée, sélectionnez les gestionnairesdans la liste déroulante Gestionnaires inclus. Les signes + et - permettent d'ajouter d'autresGestionnaires d'agents à la liste et d'en supprimer (un Gestionnaire d'agents peut être inclus àplusieurs groupes). Utilisez la poignée Glisser-déposer pour modifier la priorité desgestionnaires. La priorité détermine le gestionnaire avec lequel les agents tentent decommuniquer en premier.


Gestion des groupes de gestionnaires d'agentsRéalisez les tâches habituelles de gestion des groupes de gestionnaires d'agents.Pour effectuer ces actions, cliquez sur Menu | Configuration | Gestionnaires d'agents, puis sur le moniteur Groupesde gestionnaires.


Action Etapes

Suppression d'ungroupe degestionnaires

Cliquez sur Supprimer dans la ligne du groupe sélectionné.

Modification d'ungroupe degestionnaires

Cliquez sur le groupe de gestionnaires. Dans la page Paramètres de groupede gestionnaires d'agents qui s'ouvre, vous pouvez spécifier les élémentssuivants :• Nom DNS virtuel — Nom unique identifiant ce groupe de gestionnaires.

• Adresse IP virtuelle — Adresse IP associée au groupe.

• Gestionnaires inclus — Précisez si vous souhaitez utiliser un équilibreur decharge tiers ou une liste de gestionnaires personnalisée.

Utilisez une liste de gestionnaires personnalisée pour les gestionnairesd'agents avec lesquels les agents affectés à ce groupe doiventcommuniquer, et dans quel ordre ils doivent le faire.

Activation oudésactivation d'ungroupe degestionnaires

Cliquez sur Activer ou Désactiver dans la ligne du groupe sélectionné.



Déplacement d'agents entre gestionnaires d'agentsAffectez des agents à des gestionnaires d'agents spécifiques. Vous pouvez affecter des systèmes àl'aide des règles d'affectation de gestionnaire d'agents, de la priorité d'affectation de gestionnaired'agents ou individuellement, par l'intermédiaire de l'arborescence des systèmes.Les affectations de gestionnaire peuvent spécifier un gestionnaire individuel ou une liste degestionnaires à utiliser. La liste que vous définissez peut comprendre des gestionnaires individuels oudes groupes de gestionnaires.

Procédures• Regroupement des agents par affectations de gestionnaire d'agents, page 105

Créez des affectations de gestionnaire d'agents pour regrouper des agents McAfee Agent.

• Regroupement des agents par priorité d'affectation, page 106Regroupez les agents et affectez-les à un gestionnaire d'agents qui utilise les prioritésd'affectation.

• Regroupement des agents à l'aide de l'arborescence des systèmes, page 107Regroupez les agents et affectez-les à un gestionnaire d'agents à l'aide de l'arborescencedes systèmes.

Regroupement des agents par affectations de gestionnaire d'agentsCréez des affectations de gestionnaire d'agents pour regrouper des agents McAfee Agent.Les affectations de gestionnaire peuvent spécifier un gestionnaire individuel ou une liste degestionnaires à utiliser. La liste que vous définissez peut comprendre des gestionnaires individuels oudes groupes de gestionnaires.

Lorsque vous affectez des agents à des gestionnaires d'agents, tenez compte de la proximitégéographique pour éviter tout trafic réseau inutile.


1 Cliquez sur Menu | Configuration | Gestionnaires d'agents, puis cliquez sur la règle d'affectation degestionnaire requise.

La page Affectation de gestionnaire d'agents s'affiche.

Si la seule affectation de la liste est Règle d'affectation par défaut, vous devez créer une nouvelleaffectation.

2 Indiquez un nom dans la zone Nom de l'affectation.

3 Vous pouvez configurer les Critères de l'agent en fonction d'emplacements dans l'arborescence dessystèmes, par sous-réseau de l'agent ou individuellement à l'aide d'une des méthodes suivantes :

• Emplacements dans l'arborescence des systèmes — Sélectionnez le groupe dans Emplacement dansl'arborescence des systèmes.

Vous pouvez rechercher et sélectionner d'autres groupes dans Sélectionner le groupe de l'arborescencedes systèmes, en utilisant + et - pour ajouter et supprimer les groupes affichés.

• Sous-réseau de l'agent — Dans la zone de texte, entrez les adresses IP, les intervallesd'adresses ou les masques de sous-réseau.

• Individuellement — Dans la zone de texte, entrez l'adresse IPv4 ou IPv6 pour un systèmespécifique.



4 En ce qui concerne l'option Priorité des gestionnaires, vous pouvez sélectionner Utiliser tous les gestionnairesd'agents ou Utiliser la liste de gestionnaires personnalisée. Cliquez sur Utiliser la liste de gestionnaires personnalisée,puis modifiez le gestionnaire en utilisant l'une des méthodes suivantes :

• Modifiez le gestionnaire associé en ajoutant un autre gestionnaire à la liste et en supprimant legestionnaire précédemment associé.

• Ajoutez d'autres gestionnaires à la liste et définissez la priorité utilisée par l'agent pourcommuniquer avec les gestionnaires.

Lorsque vous optez pour une liste de gestionnaires personnalisée, utilisez + et - pour ajouterd'autres gestionnaires à la liste et en supprimer. (Un gestionnaire d'agents peut être inclus dansplusieurs groupes.) Utilisez la poignée Glisser-déposer pour modifier la priorité desgestionnaires. La priorité détermine le gestionnaire avec lequel les agents tenteront decommuniquer en premier.


Regroupement des agents par priorité d'affectationRegroupez les agents et affectez-les à un gestionnaire d'agents qui utilise les priorités d'affectation.Les affectations de gestionnaire peuvent spécifier un gestionnaire individuel ou une liste degestionnaires à utiliser. La liste que vous définissez peut comprendre des gestionnaires individuels oudes groupes de gestionnaires. Cette liste définit l'ordre dans lequel les agents tentent de communiquerà l'aide d'un gestionnaire d'agents particulier.

Lorsque vous affectez des systèmes à des gestionnaires d'agents, tenez compte de la proximitégéographique pour éviter tout trafic réseau inutile.


1 Cliquez sur Menu | Configuration | Gestionnaires d'agents. La page Gestionnaire d'agents s'affiche.

Si la seule affectation de la liste est Règle d'affectation par défaut, vous devez créer une nouvelleaffectation.

2 Modifiez les affectations en suivant la procédure décrite à la section Regroupement des agents parrègles d'affectation.

3 Si nécessaire, cliquez sur Actions | Modifier la priorité pour modifier la priorité ou la hiérarchie desaffectations.

Le déplacement d'une affectation à un niveau de priorité inférieur crée une hiérarchie, dans laquellel'affectation de priorité moins haute est en réalité incluse dans la plus haute.

4 Pour modifier la priorité d'une affectation, affichée dans la colonne Priorité à gauche, effectuez l'unedes opérations suivantes :

• Utilisez la fonction glisser-déposer — Vous pouvez déplacer l'affectation vers le haut ou vers lebas dans la colonne Priorité en utilisant la poignée Glisser-déposer.

• Cliquez sur Déplacer en première position — Dans les actions rapides, cliquez sur Déplacer en premièreposition pour déplacer automatiquement l'affectation sélectionnée au niveau de priorité le plusélevé.

5 Lorsque les priorités des affectations sont correctement configurées, cliquez sur Enregistrer.



Regroupement des agents à l'aide de l'arborescence des systèmesRegroupez les agents et affectez-les à un gestionnaire d'agents à l'aide de l'arborescence dessystèmes.Les affectations de gestionnaire peuvent spécifier un gestionnaire individuel ou une liste degestionnaires à utiliser. La liste que vous définissez peut comprendre des gestionnaires individuels oudes groupes de gestionnaires.

Lorsque vous affectez des systèmes à des gestionnaires d'agents, tenez compte de la proximitégéographique pour éviter tout trafic réseau inutile.


1 Cliquez sur Menu | Systèmes | Arborescence des systèmes | Systèmes.

2 Dans la colonne Arborescence des systèmes, accédez au système ou au groupe que vous souhaitezdéplacer.

3 Utilisez la poignée Glisser-déposer pour déplacer des systèmes à partir du groupe de systèmesactuellement configuré vers le groupe cible.

4 Cliquez sur OK.



Gestion de la sécurité du réseauUne part essentielle dans la protection de votre organisation contre lesmenaces consiste à maintenir vos produits McAfee à jour en leur appliquantles derniers contenus de sécurité. McAfee ePO vous permet de le faire pourtous les systèmes de votre réseau.

Chapitre 9 Arborescence des systèmesChapitre 10 MarqueursChapitre 11 Communication agent-serveurChapitre 12 Clés de sécuritéChapitre 13 Gestionnaire de logicielsChapitre 14 Déploiement de produitsChapitre 15 Gestion manuelle des packages et des mises à jourChapitre 16 Gestion des stratégiesChapitre 17 Tâches clientChapitre 18 Tâches serveurChapitre 19 Gestion des bases de données SQL


Gestion de la sécurité du réseau


9 Arborescence des systèmes

L'arborescence des systèmes est une représentation graphique de l'organisation de votre réseaumanagé.

Utiliser le logiciel ePolicy Orchestrator pour automatiser et personnaliser l'organisation de vossystèmes. La structure organisationnelle que vous mettez en place influence la façon dont lesstratégies de sécurité sont héritées et mises en œuvre au sein de votre environnement.

Vous pouvez organiser votre Arborescence des systèmes en utilisant l'une des méthodes suivantes :

• Synchronisation automatique avec votre serveur Active Directory ou domaine NT

• Tri par critères appliqués aux systèmes automatiquement ou manuellement

• Organisation manuelle à partir de la console (glisser-déposer).

Sommaire Structure de l'arborescence des systèmes Recommandations relatives à la planification de l'Arborescence des systèmes Synchronisation avec Active Directory Types de synchronisation avec Active Directory Synchronisation avec des domaines NT Tri par critères Créer et remplir des groupes dans l'Arborescence des systèmes Déplacement de systèmes au sein de l'arborescence des systèmes Fonctionnement de la commande Transférer les systèmes Interaction entre la fonctionnalité Réponses automatiques et l'arborescence des systèmes

Structure de l'arborescence des systèmesL'arborescence des systèmes est une structure hiérarchique qui organise les systèmes de votre réseauen groupes et sous-groupes.

La structure par défaut de l'Arborescence des systèmes comprend les groupes suivants :

• Mon organisation : la racine votre Arborescence des systèmes.

• Mon groupe : le groupe par défaut ajouté lors de l'étape Mise en route de l'installation initiale dulogiciel.

Ce nom de groupe peut être modifié de sa valeur défaut pendant l'installation initiale du logiciel.

• Collecteur : le groupe de collecte contenant tout système qui n'a pas été ou n'a pas pu être ajouté àd'autres groupes de votre Arborescence des systèmes.

9


Groupe Mon organisationLe groupe Mon organisation, qui correspond à la racine de votre arborescence des systèmes, contienttous les systèmes ajoutés à ou détectés sur votre réseau (manuellement ou automatiquement).

Tant que vous n'avez pas créé votre propre structure, tous les systèmes sont ajoutés par défaut à Mongroupe.

Le nom par défaut Mon groupe peut être modifié pendant l'installation initiale du logiciel.

Le groupe Mon organisation présente les caractéristiques suivantes :

• Il ne peut pas être supprimé

• Il ne peut pas être renommé

Mon groupeMon groupe est un sous-groupe du groupe Mon organisation. Il est ajouté par défaut pendant l'étapeMise en route de l'installation initiale du logiciel.

Le nom par défaut Mon groupe peut être modifié pendant l'installation initiale du logiciel.

Lorsque l'URL d'installation est exécutée sur les ordinateurs de votre réseau, ceux-ci sont groupés pardéfaut dans le groupe Mon groupe de l'Arborescence des systèmes.

Cliquez sur Arborescence des systèmes | Actions pour supprimer ou renommer Mon groupe dansl'Arborescence des systèmes.

Si vous supprimez des systèmes de l'Arborescence des systèmes, assurez-vous de sélectionner l'optionpermettant de supprimer leurs agents. Si McAfee Agent n'est pas supprimé, les systèmes supprimésréapparaissent dans le groupe Collecteur, car McAfee Agent continue à communiquer avec McAfee ePOCloud.

Groupe CollecteurLe groupe Collecteur est un sous-groupe de Mon organisation.

Selon les méthodes que vous spécifiez lors de la création et de la maintenance de l'arborescence dessystèmes, le serveur se fonde sur différentes caractéristiques pour déterminer l'emplacement dessystèmes. Le groupe Collecteur stocke les systèmes dont l'emplacement n'a pas pu être déterminé.

Le groupe Collecteurprésente les caractéristiques suivantes :

• Il ne peut pas être supprimé

• Il ne peut pas être renommé

• Il est impossible de modifier ses critères de tri, du fait qu'il s'agit d'un groupe de collecte (vouspouvez toutefois définir des critères de tri pour les sous-éléments créés au sein de ce groupe)

• Il apparaît toujours en dernière position dans la liste de l'Arborescence des systèmes et il n'est pasclassé par ordre alphabétique avec les autres homologues.

9 Arborescence des systèmesStructure de l'arborescence des systèmes


• Les utilisateurs doivent disposer des autorisations requises sur le groupe Collecteur pour afficherson contenu

• Lorsqu'un système est ajouté au groupe Collecteur, il est placé dans un sous-groupe dont le nomcorrespond au domaine de ce système Si ce groupe n'existe pas, le système en crée un

Si vous supprimez des systèmes de l'Arborescence des systèmes, veillez à sélectionner l'optionpermettant de supprimer leurs agents. Si McAfee Agent n'est pas supprimé, les systèmes supprimésréapparaissent dans le groupe Collecteur, car McAfee Agent continue à communiquer avec le serveur.

Groupes de l'arborescence des systèmesLes groupes de l'arborescence des systèmes représentent une collection de systèmes. Choisir ceux àregrouper dépend des besoins de votre réseau et de votre activité.

Vous pouvez regrouper des systèmes en fonction du type de machine (ordinateurs portables, serveursou postes de travail), de la situation géographique (Amérique de Nord ou Europe), des types deservices (Finance ou Développement) ou de tout autre critère spécifique à vos besoins.

Les groupes peuvent inclure des systèmes et d'autres groupes (sous-groupes).

Les groupes présentent les caractéristiques suivantes :

• Ils sont créés par des administrateurs ou des utilisateurs bénéficiant des autorisations appropriées

• Ils peuvent inclure des systèmes et d'autres groupes (sous-groupes)

• Ils sont gérés par un administrateur ou un utilisateur bénéficiant des autorisations appropriées

En regroupant des systèmes présentant des propriétés ou des exigences similaires, vous pouvezcentraliser la gestion des stratégies liées à plusieurs systèmes, évitant ainsi d'avoir à définir desstratégies pour chacun d'eux séparément.

Au cours de l'étape de planification, il est important de déterminer la meilleure manière d'organiser lessystèmes en groupes avant d'entamer la création de l'arborescence des systèmes.

HéritageL'héritage est une propriété essentielle qui facilite l'administration des stratégies et des tâches. Au seinde la hiérarchie de l'arborescence des systèmes, elle permet aux groupes enfants d'hériter desstratégies définies au niveau de leurs groupes parents.

Par exemple :

• Les stratégies définies au niveau du groupe Mon organisation de l'arborescence des systèmes sonthéritées par ses sous-groupes.

• Les sous-groupes et les systèmes individuels d'un groupe héritent des stratégies définies pour legroupe.

L'héritage est activé par défaut pour tous les groupes et systèmes individuels ajoutés à l'arborescencedes systèmes. Cette mesure permet de limiter le nombre d'emplacements dans lesquels vous devezdéfinir les stratégies et planifier les tâches client.

Pour permettre la personnalisation, il est possible de bloquer l'héritage en appliquant une nouvellestratégie à tout emplacement de l'Arborescence des systèmes. Vous pouvez aussi verrouiller lesaffectations de stratégie afin de conserver l'héritage.

Arborescence des systèmesStructure de l'arborescence des systèmes 9


Recommandations relatives à la planification de l'Arborescencedes systèmes

Une organisation rigoureuse et efficace de l'Arborescence des systèmes peut faciliter la maintenance.Chaque environnement a ses particularités concernant les stratégies, l'administration ou la gestion deréseau, lesquelles peuvent influencer la structure à donner à l'Arborescence des systèmes.

Planifiez l'organisation de l'Arborescence des systèmes avant de la créer et d'ajouter des éléments. Ilest préférable de définir la structure de l'Arborescence des systèmes dès le départ, en particulier pourun réseau de grande taille.

McAfee recommande de planifier l'Arborescence des systèmes avant d'ajouter des systèmes, carchaque réseau est unique et requiert des stratégies spécifiques, voire une gestion spécifique.

Quelles que soient les méthodes choisies pour créer et alimenter l'Arborescence des systèmes, tenezcompte des caractéristiques de votre environnement pour planifier la structure de l'Arborescence dessystèmes.

Accès octroyé aux administrateursLorsque vous planifiez l'organisation de votre arborescence des systèmes, prenez en compte lesimpératifs et contraintes liés à l'accès des utilisateurs responsables de la gestion des systèmes.

Il se peut qu'au sein de votre organisation, l'administration du réseau soit décentralisée et queplusieurs administrateurs se partagent la responsabilité des diverses parties du réseau. Pour desraisons de sécurité, il n'existe peut-être pas de compte d'administrateur donnant accès à l'ensembledu réseau. Dans ce cas de figure, il est possible que vous ne puissiez pas définir des stratégies etdéployer des agents en utilisant un seul compte d'administrateur. Au lieu de cela, vous devrezpeut-être organiser votre arborescence des systèmes en groupes en fonction des différentesattributions, et créer des comptes et des ensembles d'autorisations spécifiques.

Prenez en compte les éléments suivants :

• Qui est chargé de gérer quels systèmes ?

• Qui doit avoir accès aux informations relatives aux systèmes ?

• A qui faut-il refuser l'accès aux systèmes et aux informations les concernant ?

Ces questions ont une incidence tant sur l'organisation de l'arborescence des systèmes, que sur lesensembles d'autorisations créés et appliqués aux comptes d'utilisateur.

Limites de l'environnement et impact sur l'organisation dessystèmesLa façon dont vous organisez les systèmes à gérer dépend des limites de votre réseau. Ces limites ontdes conséquences sur l'organisation de l'Arborescence des systèmes qui sont très différentes desconséquences sur la topologie de votre réseau.

Il est conseillé d'évaluer les limites de votre réseau et de votre organisation, puis de déterminer sielles doivent être prises en compte lors de la définition de la structure de votre Arborescence dessystèmes.

Limites topologiques

Les domaines NT ou les conteneurs Active Directory définissent votre réseau. Plus un environnementréseau est bien organisé, plus il sera simple de créer et de gérer l'Arborescence des systèmes avec lesfonctionnalités de synchronisation.

9 Arborescence des systèmesRecommandations relatives à la planification de l'Arborescence des systèmes


Limites géographiques

La gestion de la sécurité est le résultat d'un subtil dosage entre protection et performances. Organisezvotre Arborescence des systèmes de manière à utiliser de façon optimale la bande passante limitée duréseau. Examinez la manière dont le serveur se connecte à chaque élément de votre réseau. Enparticulier, analysez les emplacements distants, qui sont souvent reliés par des connexions de réseauétendu (WAN) ou de réseau privé virtuel (VPN), plus lentes que les connexions de réseau local (LAN).Il peut être préférable de configurer des stratégies de mise à jour et de communication agent-serveurdistinctes pour ces sites distants afin de réduire le trafic réseau sur les connexions moinsperformantes.

Limites politiques

Les réseaux de grande taille sont souvent divisés en fonction des utilisateurs ou des groupesresponsables de la gestion de zones différentes du réseau. Ces délimitations ne coïncident pastoujours avec les limites topologiques ou géographiques. La façon dont vous allez définir la structurede l'Arborescence des systèmes peut varier en fonction des personnes qui doivent accéder auxsegments de cette arborescence et les gérer.

Limites fonctionnelles

Certains réseaux sont segmentés en fonction des rôles des utilisateurs ou groupes qui utilisent cesréseaux, par exemple les ventes ou l'ingénierie. Même si le réseau n'est pas segmenté selon deslimites fonctionnelles, il peut être nécessaire d'organiser les segments de l'arborescence des systèmesselon des fonctions lorsque des stratégies distinctes doivent être appliquées à différents groupes.

Une division de l'entreprise peut utiliser des logiciels particuliers qui nécessitent des stratégies desécurité spécifiques. Par exemple, vous pouvez rassembler les serveurs de messagerie ExchangeServer dans un groupe, puis définir des exclusions spécifiques pour l'analyse à l'accès.

Sous-réseaux et intervalles d'adresses IPSouvent, les unités d'organisation d'un réseau utilisent des sous-réseaux ou des intervalles d'adressesIP spécifiques. Vous pouvez donc créer un groupe dédié à un emplacement géographique particulier etlui affecter des filtres IP. De plus, si votre réseau n'est pas dispersé géographiquement, vous pouvezvous servir des emplacements réseau, par exemple les adresses IP, en guise de critère deregroupement principal.

Lorsque cela est possible, pensez à utiliser des critères de tri basés sur l'adresse IP pour automatiser lacréation et la maintenance de l'Arborescence des systèmes. Définissez des critères qui se basent surdes masques de sous-réseaux IP ou sur des intervalles d'adresses IP afin de créer les groupespertinents au sein de l'Arborescence des systèmes. L'emploi de tels filtres permet d'alimenterautomatiquement les parties voulues de l'Arborescence des systèmes avec les systèmes appropriés.

Systèmes d'exploitation et logicielsPensez à regrouper les systèmes dotés des mêmes systèmes d'exploitation, afin de faciliter la gestiondes produits et stratégies axés sur les systèmes d'exploitation. Si votre réseau comporte des ancienssystèmes, vous pouvez créer un groupe les réunissant afin d'y déployer et d'y gérer les produits desécurité de manière distincte. En outre, en attribuant à ces systèmes un marqueur correspondant, ilest possible de les trier automatiquement dans un groupe.

Arborescence des systèmesRecommandations relatives à la planification de l'Arborescence des systèmes 9


Marqueurs et systèmes présentant des caractéristiquessimilairesLes marqueurs et groupes de marqueurs permettent d'automatiser le tri en groupes.

Les marqueurs identifient des systèmes présentant des caractéristiques similaires. Si vous pouvezorganiser certains groupes par caractéristiques, vous pouvez créer et affecter des marqueurs sur labase de ces critères, et employer ensuite ces marqueurs comme critères de tri en groupes. De cettefaçon, les systèmes sont automatiquement placés dans les groupes appropriés.

Si possible, utilisez des critères de tri par marqueurs pour alimenter automatiquement les groupesavec les systèmes qui conviennent. De plus, pour faciliter le tri de vos systèmes, vous pouvez créerdes groupes de marqueurs imbriqués sur quatre niveaux, chaque niveau pouvant contenir jusqu'à1 000 sous-groupes de marqueurs. Par exemple, si vos systèmes sont organisés par situationgéographique, type de châssis (serveurs, postes de travail ou ordinateurs portables), fonction desystème (serveur web, SQL ou serveur d'applications) et utilisateur, vous pouvez avoir les groupes demarqueurs suivants :

Emplacement Type de châssis Plate-forme Utilisateurs

Los Angeles Poste de travail Windows Général

Ordinateur portable Macintosh Ventes

Apprentissage

Windows Comptabilité

Gestion

Serveurs Linux Entreprise

Windows Entreprise

SQL Entreprise

San Francisco Poste de travail Windows Général

Ordinateur portable Macintosh Ventes

Apprentissage

Windows Comptabilité

Gestion

Serveurs Linux Entreprise

Windows Entreprise

SQL Entreprise

Synchronisation avec Active DirectorySi votre réseau exploite Active Directory, vous pouvez créer, remplir et gérer en partie votrearborescence des systèmes à l'aide de la synchronisation avec Active Directory.

Une fois définie, l'arborescence des systèmes est mise à jour avec les nouveaux systèmes (etsous-conteneurs) de votre Active Directory.

9 Arborescence des systèmesSynchronisation avec Active Directory


Exploitez l'intégration d'Active Directory pour effectuer les tâches de gestion des systèmes suivantes :

• Synchronisez votre arborescence avec la structure Active Directory en important les systèmes etles sous-conteneurs Active Directory (en tant que groupes de l'arborescence des systèmes) et enmaintenant cet état parfaitement synchronisé. A chaque synchronisation, les systèmes individuelset la structure dans son ensemble sont mis à jour dans l'arborescence des systèmes pourreproduire les systèmes et la structure Active Directory.

• Importer des systèmes du conteneur Active Directory (et de ses sous-conteneurs) sous la formed'une liste non hiérarchique dans le groupe synchronisé.

• Choisir l'action à effectuer en présence de systèmes en double.

• Utiliser la description des systèmes, importée à partir d'Active Directory avec les systèmes.

Le processus suivant permet d'intégrer l'arborescence des systèmes à la structure de systèmes ActiveDirectory :

1 Configurez les paramètres de synchronisation pour chaque groupe représentant un point decorrespondance dans l'arborescence des systèmes. Au même emplacement, configurez les actionssuivantes :

• Déployer des agents sur les systèmes découverts.

• Supprimer des systèmes de l'arborescence des systèmes lorsque ceux-ci sont supprimésd'Active Directory.

• Autoriser ou interdire les entrées en double de systèmes existant ailleurs dans l'arborescencedes systèmes.

2 Utiliser l'action Synchroniser maintenant pour importer les systèmes Active Directory (et éventuellementleur structure) dans l'arborescence des systèmes, selon les paramètres de synchronisation.

3 Utilisez une tâche serveur Synchronisation avec Active Directory/domaine NT pour synchroniserrégulièrement les systèmes (et éventuellement la structure Active Directory) avec l'arborescencedes systèmes selon les paramètres de synchronisation.

Types de synchronisation avec Active DirectoryIl existe deux types de synchronisation avec Active Directory : l'une concerne les systèmesuniquement, l'autre, les systèmes et la structure. Votre choix dépend du niveau d'intégration souhaitéavec Active Directory.

Dans tous les cas, vous pouvez contrôler la synchronisation de différentes manières :

• Déployer automatiquement des agents sur des systèmes récemment ajoutés à ePolicyOrchestrator. Il peut être préférable de ne pas sélectionner cette option lors de la synchronisationinitiale, si vous importez un grand nombre de systèmes et que vous disposez d'une bande passantelimitée. La taille du fichier MSI de l'agent est d'environ 6 Mo. Toutefois, il se peut que voussouhaitiez déployer les agents automatiquement sur tous les nouveaux systèmes découverts dansActive Directory au cours des synchronisations ultérieures.

• Supprimer les systèmes d'ePolicy Orchestrator (et supprimer leurs agents) lorsqu'ils sontsupprimés d'Active Directory.

• Empêcher l'ajout de systèmes au groupe si ceux-ci sont déjà présents ailleurs dans l'arborescencedes systèmes. Cela permet d'éviter les doublons lorsqu'un système se retrouve dans un autreemplacement à la suite d'un déplacement manuel ou d'un tri.

• Exclure certains conteneurs Active Directory de la synchronisation. Ces conteneurs et leurssystèmes ne sont pas pris en compte lors de la synchronisation.

Arborescence des systèmesTypes de synchronisation avec Active Directory 9


Systèmes et structureLorsque vous sélectionnez ce type de synchronisation, les modifications apportées à la structure ActiveDirectory seront répercutées sur la structure de votre arborescence des systèmes lors de lasynchronisation suivante. Lorsque des systèmes ou des conteneurs sont ajoutés, déplacés ousupprimés au sein d'Active Directory, ils le sont également dans les emplacements correspondants del'arborescence des systèmes.

Quand utiliser ce type de synchronisationOptez pour ce type de synchronisation pour vous assurer que l'arborescence des systèmes (oucertaines parties de celle-ci) reproduit fidèlement votre structure Active Directory.

Si l'organisation d'Active Directory répond à vos besoins en matière de gestion de la sécurité et si voussouhaitez que l'arborescence des systèmes soit calquée sur la structure Active Directory mappée,utilisez ce type de synchronisation pour les synchronisations suivantes.

Systèmes uniquementUtilisez ce type de synchronisation pour importer des systèmes à partir d'un conteneur ActiveDirectory (y compris ceux figurant dans les sous-conteneurs non exclus), sous la forme d'une liste nonhiérarchique, vers un groupe mappé de l'arborescence des systèmes. Vous pouvez ensuite déplacerces systèmes vers les emplacements appropriés dans l'arborescence des systèmes, en affectant descritères de tri aux groupes.Si vous optez pour ce type de synchronisation, veillez à choisir l'option en vertu de laquelle lessystèmes ne sont pas ajoutés s'ils existent ailleurs dans l'arborescence des systèmes. Vous éviterezainsi la présence de systèmes en double dans l'arborescence.

Quand utiliser ce type de synchronisationSélectionnez ce type de synchronisation lorsque vous souhaitez utiliser Active Directory comme sourcehabituelle de systèmes pour ePolicy Orchestrator. Soyez toutefois conscient que les besoinsspécifiques d'une organisation en matière de gestion de la sécurité ne coïncident pas avecl'organisation des conteneurs et des systèmes dans Active Directory.

Synchronisation avec des domaines NTIl est possible d'alimenter l'arborescence des systèmes en utilisant les domaines NT comme sources.Lorsque vous synchronisez un groupe avec un domaine NT, tous les systèmes du domaine sont placésdans le groupe sous la forme d'une liste non hiérarchique. Vous pouvez gérer ces systèmes dans cegroupe unique ou créer des sous-groupes pour bénéficier d'une organisation plus granulaire et mieuxadaptée à vos besoins. Utilisez une méthode, telle que le tri automatique, pour remplirautomatiquement ces sous-groupes.Si vous déplacez des systèmes vers d'autres groupes ou sous-groupes de l'arborescence dessystèmes, veillez à choisir l'option pertinente, pour éviter d'ajouter à nouveau des systèmes quiexistent déjà à d'autres emplacements de l'arborescence. Vous éviterez ainsi la présence de systèmesen double dans l'arborescence.

Contrairement à la synchronisation avec Active Directory, la synchronisation avec des domaines NTsynchronise uniquement les noms des systèmes et non leur description.

Tri par critèresVous pouvez utiliser les informations d'adresse IP pour trier automatiquement les systèmes managésdans des groupes spécifiques. Vous pouvez également créer des critères de tri en fonction de

9 Arborescence des systèmesSynchronisation avec des domaines NT


marqueurs, qui sont similaires à des étiquettes affectées aux systèmes. Vous pouvez utiliser l'un oul'autre type de critère, ou les deux, pour placer les systèmes où vous souhaitez dans l'Arborescencedes systèmes.

Il suffit que les systèmes répondent à un seul des critères de tri d'un groupe pour être placés dans legroupe.

Après avoir créé des groupes et défini vos critères de tri, exécutez une action Essai de tri pour vérifiersi les critères et l'ordre de tri donnent les résultats escomptés.

Une fois que vous avez ajouté des critères de tri à vos groupes, vous pouvez exécuter l'action Triermaintenant. Cette action déplace automatiquement les systèmes sélectionnés dans le groupeapproprié. Les systèmes qui ne correspondent aux critères de tri d'aucun groupe sont déplacés dans legroupe Collecteur.

Les nouveaux systèmes qui communiquent pour la première fois avec le serveur sontautomatiquement ajoutés au groupe approprié. Cependant, si vous définissez des critères de tri aprèsla communication agent-serveur initiale, vous devez exécuter l'action Trier maintenant sur cessystèmes pour les déplacer immédiatement vers le groupe approprié, ou bien attendre la prochainecommunication agent-serveur.

Etat de tri des systèmes

Vous pouvez activer ou désactiver le tri de l'Arborescence des systèmes sur n'importe quel système ouensemble de systèmes. Si vous désactivez le tri de l'Arborescence des systèmes sur un système,celui-ci est exclu des actions de tri, sauf lors de l'exécution d'une action Essai de tri. Lors de l'exécutionde cette action, l'état de tri du système ou de l'ensemble de systèmes est pris en compte, et cesystème ou cet ensemble de systèmes peut être déplacé ou trié à partir de la page Essai de tri.

Paramètres de tri de l'arborescence des systèmes sur le serveur McAfee ePO

Pour que le tri puisse avoir lieu, l'option doit être activée sur le serveur et sur les systèmes. Pardéfaut, le tri des systèmes n'intervient qu'une seule fois. Par conséquent, les systèmes sont triés lorsde la première communication agent-serveur (ou lors des suivantes dans le cas où des modificationssont apportées aux systèmes existants) et ne sont plus triés ultérieurement.

Essai de tri des systèmes

Cette option permet de visualiser la manière dont les systèmes seraient placés lors d'une action de tri.La page Essai de tri affiche les systèmes ainsi que les chemins d'accès aux emplacements vers lesquelsils seraient déplacés. Cette page n'indique pas l'état de tri des systèmes. Toutefois, vous pouvez ysélectionner des systèmes (même ceux pour lesquels le tri est désactivé) et cliquer sur Déplacer lessystèmes pour déplacer ces systèmes dans les emplacements identifiés.

Arborescence des systèmesTri par critères 9


Impact des paramètres sur le triPour configurer le tri, vous pouvez utiliser trois paramètres serveur. En outre, vous pouvez déterminersi un système donné doit être trié, en activant ou en désactivant le tri de l'Arborescence des systèmespour les systèmes sélectionnés dans l'Arborescence des systèmes.

Paramètres sur le serveur

Trois paramètres sont configurables au niveau du serveur :

• Désactiver le tri de l'arborescence des systèmes : si le tri par critères ne répond pas à vos besoins en matièrede gestion de la sécurité et si vous souhaitez utiliser d'autres fonctionnalités de l'Arborescence dessystèmes pour organiser vos systèmes, sélectionnez ce paramètre pour empêcher d'autresutilisateurs ePolicy Orchestrator de configurer par erreur des critères de tri sur des groupes et dedéplacer des systèmes à des emplacements inappropriés.

• Trier les systèmes lors de chaque communication agent-serveur — Les systèmes sont retriés à chaquecommunication agent-serveur. Lorsque vous modifiez les critères de tri au niveau des groupes, lessystèmes sont déplacés vers le nouveau groupe à la prochaine communication agent-serveur.

• Trier une seule fois les systèmes — Les systèmes sont triés lors de la communication agent-serveursuivante et marqués pour ne plus jamais être triés par la suite tant que cette option est activée.Vous pouvez toujours trier un tel système en le sélectionnant et en cliquant sur Trier maintenant.

Paramètres sur les systèmes

Vous pouvez activer ou désactiver le tri de l'Arborescence des systèmes sur n'importe quel système. Sil'option est désactivée sur un système particulier, ce système ne sera pas trié, quelle que soit l'actionde tri effectuée. Cependant, si vous exécutez l'action Essai de tri, ce système sera trié. Si l'option estactivée sur un système, ce système est toujours trié par l'action manuelle Trier maintenant. Il peutégalement être trié lors de la communication agent-serveur, en fonction des paramètres de tri del'Arborescence des systèmes sélectionnés au niveau du serveur.

Critères de tri par adresse IPDans bon nombre de réseaux, les informations de sous-réseau et d'adresse IP reflètent desdistinctions organisationnelles, telles que l'emplacement géographique ou la fonction au sein del'entreprise. Si l'affectation des adresses IP coïncide avec vos besoins, envisagez de les employer pourcréer et gérer certaines parties ou l'ensemble de votre structure de l'arborescence des systèmes, endéfinissant des critères de tri par adresse IP pour ces groupes.

Cette fonctionnalité a été modifiée dans cette version d'ePolicy Orchestrator, pour permettre de définiraléatoirement des critères de tri par adresse IP au sein de l'arborescence. Il n'est plus nécessaire des'assurer que les critères de tri par adresse IP du groupe enfant constituent un sous-ensemble descritères associés au groupe parent, pour autant qu'aucun critère ne soit affecté au groupe parent. Unefois ces critères configurés, vous pouvez trier les systèmes à chaque communication agent-serveur ouuniquement lors de l'exécution manuelle d'une action de tri.

Les critères de tri par adresse IP ne doivent pas pouvoir s'appliquer à plusieurs groupes. Chaquemasque de sous-réseau ou intervalle d'adresses IP défini dans les critères de tri d'un groupe doit couvrirun seul ensemble d'adresses IP. Si ces critères se chevauchent, le groupe de destination de cessystèmes dépendra de l'ordre des sous-groupes spécifié dans l'onglet Arborescence des systèmes | Détails sur legroupe. Dans cet onglet, vous pouvez vérifier le chevauchement d'adresses IP à l'aide de l'action Contrôlerl'intégrité IP.

9 Arborescence des systèmesTri par critères


Critères de tri par marqueursEn plus d'utiliser les informations d'adresse IP pour trier les systèmes dans le groupe approprié, vouspouvez également définir des critères de tri en fonction des marqueurs attribués aux systèmes.Il est possible d'utiliser à la fois les marqueurs et l'adresse IP comme critères de tri.

Tri et ordre des groupesPour bénéficier d'une gestion encore plus souple de l'arborescence des systèmes, vous pouvezconfigurer l'ordre des sous-groupes d'un groupe, ainsi que l'ordre en fonction duquel ils sont pris encompte pour l'ajout d'un système dans l'arborescence lors du tri.Dans le cas où plusieurs sous-groupes possèdent les mêmes critères de tri, la modification de cetordre peut influer sur l'emplacement de destination d'un système dans l'arborescence des systèmes.

En outre, si vous utilisez des groupes de collecte, ils doivent toujours figurer en fin de liste.

Groupes de collecteLes groupes de collecte sont des groupes dont les critères de tri sont définis sur Tous les autres dans lapage Critères de tri du groupe. Seuls les sous-groupes situés à la fin de l'ordre de tri peuvent être desgroupes de collecte. Ces groupes comprennent tous les systèmes triés dans le groupe parent maisn'ayant pas pu être placés dans les homologues du groupe de collecte.

Comment est ajouté un système dans l'Arborescence dessystèmes lors du tri ?Lorsque McAfee Agent communique avec le serveur pour la première fois, le serveur utilise unalgorithme pour placer le système dans l'Arborescence des systèmes. S'il ne trouve pasd'emplacement adéquat pour un système, il place celui-ci dans le groupe Collecteur.A chaque communication agent-serveur, le serveur tente de localiser le système dans l'Arborescencedes systèmes à l'aide du GUID McAfee Agent (seuls les systèmes dont l'agent a déjà appelé le serveurune première fois ont un GUID McAfee Agent dans la base de données). S'il trouve un systèmecorrespondant, il le laisse dans son emplacement.

S'il ne trouve pas de système correspondant, le serveur utilise un algorithme pour trier les systèmesdans les groupes appropriés. Les systèmes peuvent être triés dans n'importe quel groupe basé sur descritères dans l'Arborescence des systèmes, quelle que soit son niveau dans la structure, à conditionqu'aucun des groupes parents dans le chemin d'accès ne présente des critères non concordants. Lesgroupes parents d'un sous-groupe basé sur des critères doivent soit n'avoir aucun critère, soitprésenter des critères concordants.

L'ordre de tri attribué à chaque sous-groupe (défini dans l'onglet Détails sur le groupe) détermine l'ordredes sous-groupes suivi par le serveur pour rechercher un groupe correspondant aux critères.

1 En l'absence de GUID McAfee Agent (McAfee Agent n'a encore jamais appelé le serveur), le serveurrecherche un système du même nom dans un groupe portant le même nom que le domaine. S'il letrouve, le système est placé dans ce groupe. Cette situation peut se produire après la premièresynchronisation avec des domaines NT ou Active Directory, ou encore si vous avez ajoutémanuellement des systèmes à l'Arborescence des systèmes.

2 Si le serveur ne trouve aucun système correspondant, il recherche un groupe portant le même nomque le domaine dont provient le système. S'il ne trouve aucun groupe de ce nom, il crée unnouveau groupe sous le groupe Lost&Found et y place le système.

3 Les propriétés sont mises à jour pour le système.

4 Le serveur applique au système tous les marqueurs par des critères si le serveur est configuré pourappliquer les critères de tri à chaque communication agent-serveur.

Arborescence des systèmesTri par critères 9


5 Ce qui se produit ensuite varie selon que le tri de l'Arborescence des systèmes est activé ou non àla fois sur le serveur et le système.

• Si le tri de l'Arborescence des systèmes est désactivé sur le serveur ou sur le système, lesystème reste dans son emplacement actuel.

• Si le tri de l'Arborescence des systèmes est activé sur le serveur et le système, le système estdéplacé en fonction des critères de tri définis dans les groupes de l'Arborescence des systèmes.

L'option de tri de l'Arborescence des systèmes est désactivée par défaut sur les systèmes ajoutéspar la synchronisation avec des domaines NT ou Active Directory. Par conséquent, ceux-ci nesont pas triés lors de la première communication agent-serveur.

6 Le serveur examine les critères de tri de tous les groupes de niveau supérieur en fonction de leurordre de tri, défini dans l'onglet Détails sur le groupe du groupe Mon organisation. Le système est placédans le premier groupe ayant des critères correspondants ou dans le premier groupe de collectepris en compte.

• Dès qu'il est trié dans un groupe, le serveur examine tous ses sous-groupes pour identifier ceuxqui présentent des critères concordants, suivant leur ordre de tri indiqué dans l'onglet Détailssur le groupe.

• Il continue de la sorte jusqu'à ce qu'il n'y ait plus de sous-groupe avec des critèrescorrespondant au système, puis il place ce dernier dans le dernier groupe possédant des critèrescorrespondants qu'il a trouvé.

7 Si le serveur ne trouve aucun groupe de niveau supérieur de ce type, il examine les sous-groupesdes groupes de niveau supérieur (sans critères de tri), en fonction de leur tri.

8 S'il ne trouve aucun groupe de deuxième niveau de ce type, il examine les sous-groupes detroisième niveau avec critères parmi les groupes sans restriction de deuxième niveau envisagés.

Les sous-groupes des groupes sans critères correspondants ne sont pas pris en compte. Un groupedoit posséder des critères correspondants ou être un groupe sans critères pour que sessous-groupes soient pris en compte par le serveur.

9 Le serveur continue de descendre dans l'Arborescence des systèmes jusqu'à ce qu'un système soittrié dans un groupe.

Si le paramètre de tri de l'Arborescence des systèmes sur le serveur est configuré pour n'exécuterun tri qu'à la première communication agent-serveur, un indicateur est activé sur le système. Cetindicateur signifie que le système ne peut plus être trié à la prochaine communication à moins quele paramètre serveur soit modifié pour autoriser le tri à chaque communication agent-serveur.

10 Si le serveur ne peut trier le système dans aucun groupe, il le place dans le groupe Lost&Found, ouplus exactement dans un sous-groupe de ce dernier affecté du même nom que le domaine dusystème.

Créer et remplir des groupes dans l'Arborescence des systèmesCréer des groupes dans l'Arborescence des systèmes et y ajouter des systèmes.

Pour remplir un groupe, vous pouvez sélectionner des systèmes et les faire glisser vers un groupe del'Arborescence des systèmes. Vous pouvez également faire glisser des groupes et des sous-groupespour les déplacer dans l'Arborescence des systèmes.

9 Arborescence des systèmesCréer et remplir des groupes dans l'Arborescence des systèmes


Une Arborescence des systèmes peut être organisée de différentes manières. Etant donné que chaqueréseau est unique, l'organisation de votre Arborescence des systèmes sera également unique. Vousn'allez probablement pas adopter toutes les méthodes proposées, mais vous pouvez en utiliserplusieurs.

Par exemple, si vous utilisez Active Directory sur votre réseau, il peut être intéressant d'importer lesconteneurs Active Directory plutôt que les domaines NT. Si l'organisation des domaines NT ou ActiveDirectory n'est pas pertinente pour la gestion de la sécurité, vous pouvez créer l'Arborescence dessystèmes dans un fichier texte, afin de l'importer dans l'Arborescence des systèmes. Si votre réseauest relativement petit, vous pouvez manuellement créer l'Arborescence des systèmes et y ajouterchaque système.

Procédures• Création manuelle de groupes, page 123

Créer des sous-groupes dans l'Arborescence des systèmes. .• Ajout manuel de systèmes à un groupe existant, page 124

Ajout de systèmes spécifiques à un groupe sélectionné.

• Exportation de systèmes depuis l'arborescence des systèmes, page 125Exportez une liste de systèmes de l'arborescence vers un fichier .txt en vue de leurutilisation ultérieure. Procédez à l'exportation au niveau du groupe ou du sous-groupe enconservant l'organisation de l'arborescence des systèmes.

• Importation de systèmes à partir d'un fichier texte, page 125Créez un fichier texte répertoriant des systèmes et des groupes à importer dansl'arborescence des systèmes.

• Tri des systèmes dans des groupes avec critères, page 126Configurez et implémentez le tri pour grouper les systèmes. Pour que les systèmes soienttriés dans des groupes, le tri doit être activé. En outre, vous devez avoir configuré descritères de tri ainsi que l'ordre de tri des groupes.

• Importation de conteneurs Active Directory, page 129Importez des systèmes depuis des conteneurs Active Directory directement vers votrearborescence des systèmes, en mappant les conteneurs sources Active Directory sources avecles groupes de l'arborescence des systèmes.

• Importation de domaines NT vers un groupe existant, page 130Importez des systèmes d'un domaine NT vers un groupe que vous avez créémanuellement.

• Planification de la synchronisation de l'arborescence des systèmes, page 132Planifiez une tâche serveur qui met à jour l'arborescence des systèmes avec lesmodifications apportées au niveau du conteneur Active Directory ou du domaine mappé.

• Mise à jour manuelle d'un groupe synchronisé avec un domaine NT, page 133Mettez à jour un groupe synchronisé pour lui appliquer les modifications apportées audomaine NT associé.

Création manuelle de groupesCréer des sous-groupes dans l'Arborescence des systèmes. .


Arborescence des systèmesCréer et remplir des groupes dans l'Arborescence des systèmes 9


Procédure1 Ouvrez la boîte de dialogue Nouveaux sous-groupes.

a Sélectionnez Menu | Systèmes | Arborescence des systèmes.

b Sélectionnez un groupe.

c Cliquez sur Nouveaux sous-groupes.

Créez plusieurs sous-groupes à la fois.

2 Entrez un nom, puis cliquez sur OK.

Le nouveau groupe apparaît dans l'Arborescence des systèmes.

3 Répétez l'opération si nécessaire pour pouvoir ensuite ajouter des systèmes aux groupes. Suivezl'une des procédures suivantes pour ajouter des systèmes aux groupes de votre Arborescence dessystèmes :• Indiquez implicitement les noms des systèmes en les tapant.

• Importez les systèmes à partir de domaines NT ou de conteneurs Active Directory. Vous pouvezsynchroniser périodiquement un domaine ou un conteneur avec un groupe pour simplifier lamaintenance.

• Définissez des critères de tri par marqueurs ou par adresse IP sur les groupes. Lorsque lesagents installés sur des systèmes répondant aux critères d'adresse IP ou de marqueurscommuniquent avec le serveur, ces systèmes sont automatiquement placés dans le groupeapproprié.

Ajout manuel de systèmes à un groupe existantAjout de systèmes spécifiques à un groupe sélectionné.


Procédure1 Ouvrez la page Nouveaux systèmes.


b Cliquez sur Nouveaux systèmes.

2 Indiquez si vous souhaitez déployer McAfee Agent sur les nouveaux systèmes et si les systèmesdoivent être ajoutés au groupe sélectionné ou à un groupe en fonction de critères de tri.

3 En regard de Systèmes cibles, tapez les noms NetBIOS des systèmes dans la zone de texte, séparéspar des virgules, des espaces ou des sauts de ligne. Vous pouvez également cliquer sur Parcourirpour sélectionner les systèmes.

4 Définissez les options supplémentaires si nécessaire.

Si vous sélectionnez l'option Envoyer les agents en mode Push et ajouter les systèmes au groupe actif, vous pouvezactiver le tri automatique de l'Arborescence des systèmes. Sélectionnez cette option pour appliquer lescritères de tri à ces systèmes.

5 Cliquez sur OK.



Exportation de systèmes depuis l'arborescence des systèmesExportez une liste de systèmes de l'arborescence vers un fichier .txt en vue de leur utilisationultérieure. Procédez à l'exportation au niveau du groupe ou du sous-groupe en conservantl'organisation de l'arborescence des systèmes.Il peut être utile de posséder une liste des systèmes de l'arborescence des systèmes. Vous pouvezimporter cette liste sur votre serveur McAfee ePO afin de restaurer rapidement votre organisation etvotre structure précédentes.

La procédure ne supprime pas les systèmes de l'arborescence des systèmes. Elle crée en fait unfichier .txt qui contient les noms et la structure des systèmes de votre arborescence.


1 Cliquez sur Menu | Systèmes | Arborescence des systèmes. La page Arborescence des systèmes s'ouvre.

2 Sélectionnez le groupe ou le sous-groupe contenant les systèmes à exporter, puis cliquez sur Actionssur les systèmes | Exporter les systèmes. La page Exporter les systèmes s'affiche.

3 Faites votre choix parmi les options suivantes :

• Tous les systèmes de ce groupe — Exporte les systèmes du Groupe source spécifié mais n'exporte pas lessystèmes répertoriés dans les sous-groupes imbriqués sous ce niveau.

• Tous les systèmes de ce groupe et ses sous-groupes — Exporte tous les systèmes situés à ce niveau et auxniveaux inférieurs.

4 Cliquez sur OK.

La page Exporter s'affiche. Vous pouvez cliquer sur le lien systèmes pour consulter la liste de systèmesou cliquer avec le bouton droit pour enregistrer une copie du fichier ExportSystems.txt.

Importation de systèmes à partir d'un fichier texteCréez un fichier texte répertoriant des systèmes et des groupes à importer dans l'arborescence dessystèmes.

Procédures• Création d'un fichier texte de groupes et de systèmes, page 125

Créez un fichier texte contenant les noms NetBIOS des systèmes de votre réseau que voussouhaitez importer dans un groupe. Vous pouvez importer une liste de systèmes nonhiérarchique ou organiser les systèmes en groupes.

• Importation de systèmes et de groupes à partir d'un fichier texte, page 126Importez des systèmes ou des groupes de systèmes dans l'Arborescence des systèmes à partird'un fichier texte que vous avez créé et enregistré.

Création d'un fichier texte de groupes et de systèmesCréez un fichier texte contenant les noms NetBIOS des systèmes de votre réseau que vous souhaitezimporter dans un groupe. Vous pouvez importer une liste de systèmes non hiérarchique ou organiserles systèmes en groupes.Définissez les groupes et leurs systèmes en entrant les noms des groupes et des systèmes dans unfichier texte. puis importez ces informations dans ePolicy Orchestrator. Dans le cas de grands réseaux,utilisez des utilitaires réseau (tels que NETDOM.EXE, fourni dans le Kit de ressources MicrosoftWindows) pour générer des fichiers texte contenant la liste complète des systèmes présents dansvotre réseau. Une fois le fichier texte créé, modifiez-le manuellement pour créer des groupes desystèmes, puis importez l'intégralité de la structure dans l'Arborescence des systèmes.



Indépendamment de la manière dont vous générez le fichier texte, vous devez toujours respecter lasyntaxe requise avant de l'importer.


Procédure1 Chaque système doit figurer sur une ligne distincte. Pour répartir les systèmes dans des groupes,

entrez le nom du groupe suivi d'une barre oblique inverse (\), puis indiquez en dessous lessystèmes qui doivent en faire partie, sur des lignes distinctes.

GroupeA\système1

GroupeA\système2

GroupeA\GroupeB\système3

GroupeC\GroupeD

2 Vérifiez les noms des groupes et des systèmes, ainsi que la syntaxe du fichier texte avantd'enregistrer ce fichier dans un dossier temporaire sur votre serveur.

Importation de systèmes et de groupes à partir d'un fichier texteImportez des systèmes ou des groupes de systèmes dans l'Arborescence des systèmes à partir d'un fichiertexte que vous avez créé et enregistré.


Procédure1 Ouvrez la page Nouveaux systèmes.


b Cliquez sur Nouveaux systèmes.

2 Sélectionnez Importer des systèmes à partir d'un fichier texte dans le groupe sélectionné, mais ne pas distribuer les agents.

3 Sélectionnez ce que le fichier d'importation contient :

• Systèmes et structure de l'arborescence des systèmes

• Systèmes uniquement (liste non hiérarchique)

4 Cliquez sur Parcourir pour sélectionner le fichier texte.

5 Sélectionnez l'action à appliquer aux systèmes existant ailleurs dans l'Arborescence des systèmes.

6 Cliquez sur OK.

Les systèmes sont importés dans le groupe sélectionné de l'Arborescence des systèmes. Si, dans le fichiertexte, les systèmes sont répartis en groupes, le serveur crée les groupes et y importe les systèmes.

Tri des systèmes dans des groupes avec critèresConfigurez et implémentez le tri pour grouper les systèmes. Pour que les systèmes soient triés dansdes groupes, le tri doit être activé. En outre, vous devez avoir configuré des critères de tri ainsi quel'ordre de tri des groupes.



Procédures

• Ajout de critères de tri à des groupes, page 127Les critères de tri des groupes de l'arborescence des systèmes peuvent être basés sur lesinformations d'adresse IP ou les marqueurs.

• Activation du tri de l'arborescence des systèmes sur le serveur, page 127Pour que les systèmes soient triés, le tri de l'Arborescence des systèmes doit être activétant sur le serveur que sur les systèmes.

• Activation ou désactivation du tri de l'arborescence des systèmes sur les systèmes,page 128L'état de tri d'un système détermine s'il peut être trié dans un groupe basé sur des critères.

• Tri manuel des systèmes, page 128Triez des systèmes sélectionnés dans des groupes dont le tri par critères est activé.

Ajout de critères de tri à des groupesLes critères de tri des groupes de l'arborescence des systèmes peuvent être basés sur les informationsd'adresse IP ou les marqueurs.


1 Cliquez sur Menu | Systèmes | Arborescence des systèmes | Détails sur le groupe, puis sélectionnez le groupedans l'arborescence des systèmes.

2 En regard de Critères de tri, cliquez sur Modifier. La page Critères de tri pour le groupe sélectionnés'affiche.

3 Sélectionnez l'option Systèmes correspondant à l'un des critères ci-dessous pour afficher le choix de critères.

Bien que vous puissiez définir plusieurs critères de tri pour le groupe, il suffit qu'un systèmecorresponde à un seul critère pour être placé dans le groupe.

4 Configurez le critère. Plusieurs options sont possibles :

• Adresses IP — Utilisez cette zone de texte pour définir un intervalle d'adresses IP ou un masquede sous-réseau comme critère de tri. Tout système dont l'adresse en fait partie est trié dans cegroupe.

• Marqueurs — Ajoutez des marqueurs spécifiques pour que les systèmes ayant ces marqueurs quisont placés dans le groupe parent soient triés dans ce groupe.

5 Répétez l'opération jusqu'à ce que les critères de tri requis soient configurés pour le groupe, puiscliquez sur Enregistrer.

Activation du tri de l'arborescence des systèmes sur le serveurPour que les systèmes soient triés, le tri de l'Arborescence des systèmes doit être activé tant sur leserveur que sur les systèmes.

Dans la tâche suivante, si effectuez uniquement un tri lors de la première communicationagent-serveur, tous les systèmes pour lesquels le tri est activé seront triés lors de la prochainecommunication de leur agent avec le serveur et ne le seront plus jamais tant que cette option estsélectionnée. En revanche, il est possible de retrier les systèmes manuellement en exécutant l'actionTrier maintenant ou en modifiant ce paramètre afin d'activer le tri à chaque communication agent-serveur.

Dans ce dernier cas, tous les systèmes sur lesquels le tri est activé seront triés à chaquecommunication agent-serveur, tant que cette option est sélectionnée.




1 Cliquez sur Menu | Configuration | Paramètres serveur, sélectionnez Tri de l'arborescence des systèmes in theCatégories de paramètres, puis cliquez sur Modifier.

2 Indiquez si vous souhaitez trier les systèmes uniquement lors de la première communicationagent-serveur ou à chaque communication.

Activation ou désactivation du tri de l'arborescence des systèmes sur lessystèmesL'état de tri d'un système détermine s'il peut être trié dans un groupe basé sur des critères.

Vous pouvez modifier l'état de tri des systèmes dans n'importe quelle liste de systèmes (par exempledans les résultats d'une requête), ou encore automatiquement dans les résultats d'une requêteplanifiée.


Procédure1 Cliquez sur Menu | Systèmes | Arborescence des systèmes | Systèmes, puis sélectionnez les systèmes

souhaités.

2 Cliquez sur Actions | Gestion de répertoire | Modifier l'état de tri, puis choisissez d'activer ou de désactiver letri de l'arborescence des systèmes sur les systèmes sélectionnés.

3 Dans la boîte de dialogue Modifier l'état de tri, choisissez d'activer ou de désactiver le tri del'Arborescence des systèmes sur le système sélectionné.

En fonction du paramètre de tri de l'Arborescence des systèmes, ces systèmes seront triés lors de laprochaine communication agent-serveur. Sinon, ils peuvent uniquement être triés par l'action Triermaintenant.

Tri manuel des systèmesTriez des systèmes sélectionnés dans des groupes dont le tri par critères est activé.


1 Cliquez sur Menu | Systèmes | Arborescence des systèmes | Systèmes, puis sélectionnez le groupe contenantles systèmes.

2 Sélectionnez les systèmes, puis cliquez sur Actions | Gestion de répertoire | Trier maintenant. La boîte dedialogue Trier maintenant s'affiche.

Pour obtenir un aperçu des résultats avant le tri effectif, cliquez sur Essai de tri. (Toutefois, si vousdéplacez des systèmes à partir de la page Essai de tri, l'ensemble des systèmes sont triés, que le tride l'arborescence des systèmes soit activé ou non.)

3 Cliquez sur OK pour trier les systèmes.



Importation de conteneurs Active DirectoryImportez des systèmes depuis des conteneurs Active Directory directement vers votre arborescence dessystèmes, en mappant les conteneurs sources Active Directory sources avec les groupes de l'arborescencedes systèmes.La mise en correspondance des conteneurs Active Directory avec les groupes permet d'effectuer lestâches suivantes :

• Synchroniser la structure de l'arborescence des systèmes avec la structure Active Directory. Ainsi,lorsque des conteneurs sont ajoutés ou supprimés dans Active Directory, le groupe correspondantl'est également dans l'arborescence des systèmes.

• Supprimer des systèmes de l'arborescence des systèmes lorsque ceux-ci sont supprimés d'ActiveDirectory.

• Eviter la création d'entrées en double pour les systèmes qui existent déjà dans d'autres groupes del'arborescence des systèmes.


Procédure

1 Cliquez sur Menu | Systèmes | Arborescence des systèmes | Détails sur le groupe, puis sélectionnez un groupedans l'arborescence des systèmes que vous souhaitez mettre en correspondance avec un conteneurActive Directory.

Il est impossible de synchroniser le groupe Collecteur de l'arborescence des systèmes.

2 En regard de Type de synchronisation, cliquez sur Modifier. La page Paramètres de synchronisation s'affichepour le groupe sélectionné.

3 En regard de Type de synchronisation, sélectionnez Active Directory. Les options de synchronisation avecActive Directory s'affichent.

4 Sélectionnez le type de synchronisation avec Active Directory à exécuter entre ce groupe et leconteneur Active Directory (et ses sous-conteneurs) :

• Systèmes et structure de conteneurs : sélectionnez cette option si vous souhaitez que ce groupereproduise fidèlement la structure Active Directory. Lors de la synchronisation, la structure del'arborescence des systèmes sous ce groupe est modifiée afin de refléter celle du conteneur ActiveDirectory avec lequel elle est mappée. Lorsque des conteneurs sont ajoutés ou supprimés ausein d'Active Directory, ils le sont également dans l'arborescence des systèmes. Lorsque des systèmessont ajoutés, déplacés ou supprimés au sein d'Active Directory, ils le sont également dansl'arborescence des systèmes.

• Systèmes uniquement (liste non hiérarchique) — Sélectionnez cette option si vous souhaitez ajouteruniquement les systèmes du conteneur Active Directory (et des sous-conteneurs non exclus) àce groupe (et uniquement à lui). Aucun sous-groupe n'est créé lors de la reproduction fidèle dela structure Active Directory.

5 Indiquez si vous souhaitez créer une entrée en double pour les systèmes existant dans un autregroupe de l'arborescence des systèmes.

Si vous utilisez la synchronisation avec Active Directory comme point de départ pour gérer lasécurité et que vous comptez utiliser la fonctionnalité de gestion de l'arborescence des systèmes après lamise en correspondance de vos systèmes, ne sélectionnez pas cette option.

6 Dans la section Domaine Active Directory, vous pouvez effectuer les tâches suivantes :

• entrer le nom complet de votre domaine Active Directory ;

• le sélectionner dans une liste de serveurs LDAP déjà enregistrés.



7 En regard de Conteneur, cliquez sur Ajouter et sélectionnez un conteneur source dans la boîte dedialogue Sélectionner un conteneur Active Directory, puis cliquez sur OK.

8 Pour exclure des sous-conteneurs spécifiques, cliquez sur Ajouter en regard de l'option Exceptions,puis sélectionnez un sous-conteneur à exclure avant de cliquer sur OK.

9 Choisir de déployer McAfee Agent automatiquement ou non sur les nouveaux systèmes. Si tel est lecas, configurez les paramètres de déploiement.

McAfee recommande de ne pas déployer McAfee Agent lors de l'importation initiale s'il s'agit d'unconteneur de grande taille. Le déploiement simultané du package McAfee Agent de 3,62 Mo vers ungrand nombre de systèmes peut provoquer une surcharge de trafic réseau. C'est pourquoi il estpréférable d'importer en premier lieu le conteneur et de déployer McAfee Agent sur des groupes desystèmes lors d'une seconde phase. Pensez à revenir à cette page par la suite et à sélectionner cetteoption après le déploiement initial d'McAfee Agent. De cette façon, McAfee Agent sera installéautomatiquement sur tous les nouveaux systèmes ajoutés à Active Directory.

10 Précisez si vous souhaitez supprimer les systèmes de l'arborescence des systèmes lorsque ceux-ci sontsupprimés d'Active Directory. Le cas échéant, vous pouvez choisir de supprimer les agents dessystèmes supprimés.

11 Pour synchroniser immédiatement le groupe avec Active Directory, cliquez sur Synchroniser maintenant.

Cliquer sur Synchroniser maintenant permet d'enregistrer toutes les modifications apportées auxparamètres de synchronisation avant de synchroniser le groupe. Si une règle de notification desynchronisation avec Active Directory est activée, un événement est généré pour chaque systèmeajouté ou supprimé. Ces événements apparaissent dans le journal d'audit et peuvent faire l'objet derequêtes. Si vous avez déployé des agents sur les systèmes ajoutés, le déploiement commence surchaque système ajouté. Lorsque la synchronisation est terminée, la date et l'heure de la dernièresynchronisation sont mises à jour. Notez toutefois qu'il s'agit de la date et de l'heure de la fin de lasynchronisation et non de la fin du déploiement des agents.

Vous pouvez planifier une tâche serveur pour synchroniser le domaine NT avec Active Directory pourla synchronisation initiale. Cette tâche serveur est particulièrement utile si vous déployez des agentssur de nouveaux systèmes lors de la première synchronisation, pour éviter de surcharger la bandepassante.

12 A l'issue de la synchronisation, examinez les résultats avec l'arborescence des systèmes.

Une fois les systèmes importés, déployez les agents sur ceux-ci si vous n'avez pas choisi de le faireautomatiquement.

Envisagez de configurer une tâche serveur récurrente pour synchroniser le domaine NT avec ActiveDirectory pour maintenir votre arborescence des systèmes à jour lorsque des changements sont apportés àvos conteneurs Active Directory.

Importation de domaines NT vers un groupe existantImportez des systèmes d'un domaine NT vers un groupe que vous avez créé manuellement.

Il est possible d'alimenter automatiquement des groupes en synchronisant des domaines NT completsavec des groupes spécifiés. Cette approche permet d'ajouter facilement et en une seule opération tousles systèmes de votre réseau dans l'arborescence des systèmes, sous la forme d'une liste nonhiérarchique sans description de système.



Si le domaine est vaste, vous pouvez créer des sous-groupes afin de simplifier la gestion oul'organisation des stratégies. Pour ce faire, commencez par importer le domaine vers un groupe devotre arborescence des systèmes, puis créez manuellement des sous-groupes logiques.

Pour gérer les mêmes stratégies sur plusieurs domaines, importez chacun de ces domaines vers unsous-groupe du même groupe. Les sous-groupes hériteront des stratégies définies pour le groupe deniveau supérieur.

Lorsque vous utilisez cette méthode :

• Définissez des critères de tri par adresse IP ou par marqueurs au niveau des sous-groupes, afin detrier automatiquement les systèmes importés.

• Planifiez l'exécution périodique d'une tâche serveur permettant de synchroniser les domaines NTavec Active Directory pour simplifier la maintenance.


Procédure1 Cliquez sur Menu | Systèmes | Arborescence des systèmes | Détails sur le groupe puis sélectionnez ou créez un

groupe dans l'arborescence des systèmes.

2 En regard de Type de synchronisation, cliquez sur Modifier. La page Paramètres de synchronisation s'affichepour le groupe sélectionné.

3 En regard de Type de synchronisation, sélectionnez Domaine NT. Les paramètres de synchronisation avecdes domaines s'affichent.

4 En regard de Systèmes existant ailleurs dans l'arborescence des systèmes, sélectionnez l'action à appliquer auxsystèmes qui existent déjà dans un autre groupe de l'arborescence des systèmes.

Nous vous déconseillons de sélectionner Ajouter les systèmes au groupe synchronisé et les laisser à leuremplacement actuel dans l'arborescence des systèmes, surtout si vous utilisez la synchronisation de domaineNT uniquement comme point de départ pour gérer la sécurité.

5 En regard de Domaine, cliquez sur Parcourir et sélectionnez le domaine NT à mapper à ce groupe, puiscliquez sur OK. Vous pouvez également entrer directement le nom du domaine dans la zone detexte.

N'indiquez pas le nom de domaine complet dans ce champ mais le nom de domaine simple.

6 Choisir de déployer McAfee Agent automatiquement ou non sur les nouveaux systèmes. Si vouschoisissez de le faire, configurez les paramètres de déploiement.

Il est conseillé de ne pas déployer McAfee Agent lors de l'importation initiale si le domaine est detaille importante. Le déploiement simultané du package McAfee Agent de 3,62 Mo vers un grandnombre de systèmes peut provoquer une surcharge de trafic réseau. C'est pourquoi il est préférabled'importer en premier lieu le domaine et de déployer l'agent sur des groupes de systèmes pluspetits lors d'une seconde phase. Une fois le déploiement d'McAfee Agent terminé, envisagezd'accéder de nouveau à cette page pour sélectionner cette option après le déploiement d'agentinitial. Ainsi, McAfee Agent sera automatiquement installé sur tout nouveau système ajouté augroupe (ou à ses sous-groupes) grâce à la synchronisation de domaine.

7 Précisez si vous souhaitez supprimer les systèmes de l'arborescence des systèmes lorsque ceux-ci sontsupprimés du domaine NT. Vous pouvez, le cas échéant, choisir de supprimer les agents dessystèmes supprimés.



8 Pour synchroniser immédiatement le groupe avec le domaine, cliquez sur Synchroniser maintenant, puisattendez que les systèmes du domaine soient ajoutés au groupe.

Cliquer sur Synchroniser maintenant permet d'enregistrer les modifications apportées aux paramètres desynchronisation avant de synchroniser le groupe. Si une règle de notification de synchronisation desdomaines NT est activée, un événement est généré pour chaque système ajouté ou supprimé. Cesévénements apparaissent dans le journal d'audit et peuvent faire l'objet de requêtes. Si vous avezchoisi de déployer des agents sur les systèmes ajoutés, le déploiement commence sur chaquesystème ajouté. Au terme de la synchronisation, la date et l'heure de la dernière synchronisation sontmises à jour. Notez qu'il s'agit de la date et de l'heure de la fin de la synchronisation et non de la findu déploiement des agents.

9 Pour synchroniser manuellement le groupe avec le domaine, cliquez sur Comparer et mettre à jour.

Cliquer sur Comparer et mettre à jour permet d'enregistrer toutes les modifications apportées auxparamètres de synchronisation.

a Si vous avez l'intention de supprimer des systèmes du groupe dans cette page, précisez si voussouhaitez également supprimer leurs agents lors de leur suppression.

b Sélectionnez les systèmes à ajouter au ou à supprimer du groupe, puis cliquez sur Mettre à jour legroupe pour ajouter les systèmes sélectionnés. La page Paramètres de synchronisation s'affiche.

10 Cliquez sur Enregistrer, puis consultez les résultats dans l'arborescence des systèmes si vous avez cliquésur Synchroniser maintenant ou Mettre à jour le groupe.

Dès que les systèmes sont ajoutés à l'arborescence des systèmes, déployez des agents sur ceux-ci si vousn'avez pas opté pour le déploiement d'agents dans le cadre de la synchronisation.

Pensez à configurer une tâche serveur récurrente permettant de synchroniser le domaine NT avecActive Directory, afin que ce groupe reste à jour lorsque de nouveaux systèmes sont ajoutés audomaine NT.

Planification de la synchronisation de l'arborescence dessystèmesPlanifiez une tâche serveur qui met à jour l'arborescence des systèmes avec les modificationsapportées au niveau du conteneur Active Directory ou du domaine mappé.

Selon les paramètres de synchronisation de groupe, cette tâche permet d'automatiser les actionssuivantes :

• Ajouter des nouveaux systèmes du réseau au groupe spécifié.

• Ajouter des groupes correspondants lors de la création de nouveaux conteneurs Active Directory.

• Supprimer les groupes correspondants lors de la suppression de conteneurs Active Directory.

• Déployer des agents sur les systèmes récemment ajoutés.

• Supprimer des systèmes qui ne font plus partie du domaine ou du conteneur.

• Applique aux nouveaux systèmes les stratégies de site ou de groupe et des tâches.

• Interdit ou autorise les entrées en double de systèmes qui existent déjà dans l'Arborescence dessystèmes une fois que vous les avez déplacés ailleurs.

McAfee Agent ne peut pas être déployé sur tous les systèmes d'exploitation de cette manière. Il se peutque vous deviez distribuer McAfee Agent manuellement sur certains systèmes.







2 Sur la page Description, attribuez un nom à la tâche et précisez si elle doit être activée dès sacréation, puis cliquez sur Suivant.

3 Dans la liste déroulante, sélectionnez Synchronisation avec Active Directory/domaines NT.

4 Indiquez si vous souhaitez synchroniser tous les groupes ou uniquement des groupes sélectionnés.Si vous choisissez de ne synchroniser que quelques groupes, cliquez sur Sélectionner les groupessynchronisés et sélectionnez les groupes appropriés.

5 Cliquez sur Suivant pour ouvrir la page Planification.

6 Planifiez la tâche, puis cliquez sur Suivant.


La tâche s'exécutera à l'heure planifiée, mais si vous préférez, vous pouvez l'exécuterimmédiatement en cliquant sur Exécuter en regard de la tâche sur la page Tâches serveur.

Mise à jour manuelle d'un groupe synchronisé avec undomaine NTMettez à jour un groupe synchronisé pour lui appliquer les modifications apportées au domaine NTassocié.La mise à jour comprend les modifications suivantes :

• Elle ajoute les systèmes faisant actuellement partie du domaine.

• Elle supprime de l'arborescence des systèmes, les systèmes qui ne font plus partie du domaine.

• Elle désinstalle les agents de tous les systèmes qui n'appartiennent plus au domaine spécifié.


1 Cliquez sur Menu | Systèmes | Arborescence des systèmes | Détails sur le groupe, puis sélectionnez le groupemappé au domaine NT.

2 En regard de Type de synchronisation, cliquez sur Modifier. La page Paramètres de synchronisation s'affiche.

3 Sélectionnez Domaine NT, puis cliquez sur Comparer et mettre à jour au bas de la page. La page Comparer etmettre à jour manuellement s'affiche.

4 Si vous supprimez des systèmes du groupe, précisez si leurs agents doivent aussi être supprimés.

5 Cliquez sur Ajouter tout ou sur Ajouter pour importer les systèmes du domaine réseau vers le groupesélectionné.

Pour supprimer des systèmes du groupe sélectionné, cliquez sur Supprimer tout ou Supprimer.

6 Lorsque vous avez terminé, cliquez sur Mettre à jour le groupe.



Déplacement de systèmes au sein de l'arborescence dessystèmes

Déplacez des systèmes d'un groupe à un autre au sein de l'arborescence des systèmes. Vous pouvezdéplacer des systèmes à partir de n'importe quelle page affichant une liste de systèmes, notammentles résultats d'une requête.

En plus des étapes décrites ci-dessous, vous pouvez également glisser-déplacer des systèmes à partirdu tableau des systèmes vers n'importe quel groupe de l'arborescence des systèmes.

Même si vous possédez une arborescence des systèmes parfaitement organisée reflétant fidèlement lahiérarchie de votre réseau et que vous la synchronisez régulièrement au moyen de tâches et d'outilsautomatisés, il peut arriver que vous deviez déplacer des systèmes manuellement entre des groupes.Ainsi, vous devrez réaffecter périodiquement les systèmes au départ du groupe Collecteur.


1 Cliquez sur Menu | Systèmes | Arborescence des systèmes | Systèmes, puis parcourez l'arborescence poursélectionner les systèmes voulus.

2 Cliquez sur Actions | Gestion de répertoire | Déplacer les systèmes. La page Sélectionner le nouveau groupes'affiche.

3 Précisez si le tri de l'arborescence des systèmes doit être activé ou désactivé sur les systèmessélectionnés lorsqu'ils sont déplacés.

4 Sélectionnez le groupe dans lequel placer les systèmes, puis cliquez sur OK.

Fonctionnement de la commande Transférer les systèmesLa commande Transférer les systèmes permet de déplacer les systèmes managés entre les serveursMcAfee ePO enregistrés.

Il se peut que vous deviez transférer ces systèmes managés si vous mettez à niveau le matériel duserveur et le système d'exploitation ou si vous mettez à niveau le matériel du serveur et le logicielMcAfee ePO.

Cette illustration présente les principaux processus nécessaires pour le transfert des systèmes entreles serveurs McAfee ePO.

Le transfert des systèmes managés entre les serveurs McAfee ePO comprend six étapes, indiquées surla figure ci-dessus.

1 Exportation des clés de communication sécurisée agent-serveur : à partir de l'ancienserveur McAfee ePO, cliquez sur Menu | Paramètres serveur | Clés de sécurité.

2 Importation des clés de communication sécurisée agent-serveur : à partir du nouveauserveur McAfee ePO, cliquez sur Menu | Paramètres serveur | Clés de sécurité.

3 Enregistrement du serveur McAfee ePO secondaire : à partir de l'ancien serveur McAfee ePO,cliquez sur Menu | Configuration | Serveurs enregistrés.

4 Déplacement des systèmes vers le serveur McAfee ePO secondaire : à partir de l'ancienserveur McAfee ePO, cliquez sur Menu | Arborescence des systèmes | onglet Systèmes et Actions | Agent |Transférer les systèmes.

9 Arborescence des systèmesDéplacement de systèmes au sein de l'arborescence des systèmes


5 Vérification de l'arrivée des systèmes : à partir du nouveau serveur McAfee ePO, cliquez surMenu | Arborescence des systèmes | onglet Systèmes.

6 Vérification du déplacement des systèmes : à partir de l'ancien serveur McAfee ePO, cliquezsur Menu | Arborescence des systèmes | onglet Systèmes.

Voir aussi Exportation et importation des clés de communication sécurisée agent-serveur entre lesserveurs McAfee ePO, page 136Enregistrement de serveurs McAfee ePO, page 91Transfert de systèmes entre serveurs McAfee ePO, page 135

Transfert de systèmes entre serveurs McAfee ePOLa commande Transférer les systèmes permet de déplacer les systèmes managés entre les serveursMcAfee ePO enregistrés.

Avant de commencerAvant de pouvoir déplacer les systèmes managés entre deux serveurs McAfee ePO, parexemple entre un ancien serveur McAfee ePO et un nouveau, vous devez impérativementmodifier les configurations des deux serveurs McAfee ePO :

Les étapes suivantes conviennent pour un transfert bidirectionnel. Si vous préférez activeruniquement un transfert unidirectionnel, vous n'êtes pas tenu d'importer les clés decommunication sécurisée agent-serveur depuis le nouveau serveur McAfee ePO versl'ancien serveur McAfee ePO.

• Liez les clés de communication sécurisée agent-serveur entre les deux serveurs McAfeeePO.

1 Exportez les clés de communication sécurisée agent-serveur depuis lesdeux serveurs.

2 Importez les clés de communication sécurisée agent-serveur de l'ancien serveur versle nouveau.

3 Importez les clés de communication sécurisée agent-serveur du nouveau serveurvers l'ancien.

• Enregistrez l'ancien et le nouveau serveur McAfee ePO afin de pouvoir transférer lessystèmes dans les deux directions.

Veillez à activer l'option Transférer les systèmes et à sélectionner Importationautomatique de la liste Sitelist dans la page Détails de l'Assistant Générateur deserveurs enregistrés.

Les étapes de cette tâche décrivent le transfert des systèmes d'un ancien serveur McAfee ePO vers unnouveau serveur.


Arborescence des systèmesFonctionnement de la commande Transférer les systèmes 9


Procédure1 Sur l'ancien serveur McAfee ePO, cliquez sur Menu | Systèmes | Arborescence des systèmes, puis

sélectionnez les systèmes que vous souhaitez transférer.

2 Cliquez sur Actions | Agent | Transférer les systèmes.

3 Dans la boîte de dialogue Transférer les systèmes, sélectionnez le nouveau serveur McAfee ePOdans le menu déroulant, puis cliquez sur OK.

Une fois le système managé sélectionné pour le transfert, deux intervalles de communicationagent-serveur doivent s'écouler avant que le système ne soit affiché dans l'arborescence dessystèmes du serveur cible. Le temps nécessaire à l'exécution de ces deux intervalles decommunication agent-serveur varie en fonction de votre configuration. Par défaut, l'intervalle decommunication agent-serveur est défini sur une heure.

Voir aussi Fonctionnement de la commande Transférer les systèmes, page 134Exportation et importation des clés de communication sécurisée agent-serveur entre lesserveurs McAfee ePO, page 136Enregistrement de serveurs McAfee ePO, page 91

Exportation et importation des clés de communicationsécurisée agent-serveur entre les serveurs McAfee ePOAvant de pouvoir transférer des systèmes entre les serveurs McAfee ePO, vous devez exporter etimporter les clés de communication sécurisée agent-serveur entre les serveurs McAfee ePO.

Les clés de communication sécurisée agent-serveur sont utilisées par les agents pour communiquer entoute sécurité avec le serveur McAfee ePO. Si vous transférez un système managé pourvu d'uncomposant McAfee Agent chiffré vers un autre serveur McAfee ePO sans importer les clés de clientassociées, le système transféré ne peut pas se connecter au nouveau serveur McAfee ePO.

Pour transférer les systèmes managés dans les deux directions, vous devez enregistrer lesdeux serveurs mutuellement, puis exporter et importer les deux ensembles de clés de communicationsécurisée agent-serveur.

Si vous essayez d'enregistrer un serveur McAfee ePO et que vous activez l'option Transférer les systèmesavec l'importation automatique de la liste Sitelist, le message d'erreur suivant s'affiche avant que vousn'exportiez et n'importiez les clés de communication sécurisée agent-serveur entre les serveursMcAfee ePO :

ERREUR : La ou les clés agent-serveur maîtres doivent être importées sur le serveur distant avant d'importer la listeSitelist. Accédez aux paramètres serveur pour exporter les clés de sécurité à partir de ce serveur. Remarque : si vousaccédez à ce lien maintenant, vous perdrez toutes les modifications non enregistrées apportées à ce serveurenregistré.

Vous devez importer les clés de communication sécurisée agent-serveur 1 024 bits et 2 048 bits à partirdu serveur McAfee ePO pour enregistrer et importer automatiquement la liste Sitelist.

Pour exporter et importer les clés de communication sécurisée agent-serveur d'un serveur McAfee ePOvers un autre, procédez comme suit.

Ces étapes décrivent l'exportation des clés de communication sécurisée agent-serveur d'un ancienserveur McAfee ePO vers un nouveau serveur McAfee ePO.

9 Arborescence des systèmesFonctionnement de la commande Transférer les systèmes



1 A partir de l'ancien serveur McAfee ePO, cliquez successivement sur Menu | Configuration | Paramètresserveur, sur Clés de sécurité dans la colonne Catégories de paramètres et sur Modifier.

Pour exporter les deux clés de communication sécurisée agent-serveur, procédez comme suit :

a Pour exporter la clé de communication sécurisée agent-serveur 2 048 bits, dans la liste Clés decommunication sécurisée agent-serveur de la page Modifier les clés de sécurité, sélectionnez laclé 2 048 bits, cliquez sur Exporter, puis, dans la boîte de dialogue Exporter la clé decommunication sécurisée agent-serveur, cliquez sur OK.

b Enregistrez le fichier .ZIP dans un dossier temporaire de votre ordinateur local.

Par défaut, le fichier de clés de communication sécurisée agent-serveur 2 048 bits est nommésr2048<nom-serveur>.zip, où <nom-serveur> représente le nom du serveur McAfee ePO. Parexemple, dans le nom de fichier sr2048serveur_ePO50.zip, « serveur_ePO50 » est le nom duserveur.

c Pour exporter la clé de communication sécurisée agent-serveur 1 024 bits, dans la liste Clés decommunication sécurisée agent-serveur de la page Modifier les clés de sécurité, sélectionnez laclé 1 024 bits, cliquez sur Exporter, puis, dans la boîte de dialogue Exporter la clé decommunication sécurisée agent-serveur, cliquez sur OK et enregistrez le fichier .ZIP dans lemême dossier temporaire sur votre ordinateur local.

2 A partir du nouveau serveur McAfee ePO, cliquez successivement sur Menu | Configuration | Paramètresserveur, sur Clés de sécurité dans la colonne Catégories de paramètres et sur Modifier.

Pour importer les deux clés de communication sécurisée agent-serveur, procédez comme suit :

a Dans la page Modifier les clés de sécurité, en regard du groupe Importer et sauvegarder desclés, cliquez sur Importer.

b Dans la page Importer des clés, accédez à l'emplacement où vous avez enregistré lesfichiers .ZIP des clés de communication sécurisée agent-serveur 2 048 et 1 024 bits que vousavez exportés à l'étape 1.

c Dans la boîte de dialogue Choisir un fichier à charger, sélectionnez le fichier .ZIP des clés 2 048 bits.Dans la page Importer des clés qui s'affiche de nouveau, cliquez sur Suivant.

d Dans la page Synthèse, vérifiez que vous avez sélectionné la clé appropriée, puis cliquez surEnregistrer.

e Pour importer la clé de communication sécurisée agent-serveur 1 024 bits, exécutez de nouveaules étapes a à d.

3 A partir du nouveau serveur McAfee ePO, vérifiez que les deux clés de communication sécuriséeagent-serveur 1 024 et 2 048 bits sont répertoriées dans la liste Clés de communication sécuriséeagent-serveur, puis cliquez sur Enregistrer.

Maintenant que les deux clés sont enregistrées sur votre nouveau serveur McAfee ePO, vous pouvezenregistrer le nouveau serveur McAfee ePO avec votre ancien serveur, puis utiliser Transférer lessystèmes pour déplacer vos systèmes managés.

Arborescence des systèmesFonctionnement de la commande Transférer les systèmes 9


Interaction entre la fonctionnalité Réponses automatiques etl'arborescence des systèmes

Avant de planifier la mise en œuvre de la fonction Réponses automatiques, il est important decomprendre la façon dont celle-ci s'inscrit dans le cadre de l'arborescence des systèmes.

Cette fonctionnalité ne suit pas le modèle d'héritage appliqué lors de la mise en œuvre des stratégies.

La fonction Réponses automatiques utilise les événements qui surviennent sur les systèmes de votreenvironnement, qui sont transmis au serveur, ainsi que les règles de réponse configurées associées augroupe qui contient les systèmes concernés et chaque parent. Si les conditions de l'une ou l'autrerègle sont remplies, les actions spécifiées sont exécutées, conformément aux paramètres de la règle.

Ce modèle de conception vous permet de configurer des règles indépendantes à différents niveaux del'arborescence des systèmes. Ces règles peuvent utiliser :

• Des seuils déclenchant l'envoi d'un message de notification. Par exemple, un administrateurd'un groupe donné voudra recevoir une notification en cas de détection de virus sur 100 systèmesen l'espace de 10 minutes dans le groupe. En revanche, un administrateur estimera qu'il doitseulement être averti si des virus sont détectés sur 1 000 systèmes, au cours de la même période,dans l'ensemble de l'environnement.

• Des destinataires différents pour le message de notification. Par exemple, un administrateurd'un groupe peut souhaiter être averti uniquement si un nombre spécifié de détections de virusinterviennent au sein du groupe. Quant à l'administrateur, il voudra peut-être que chaqueadministrateur de groupe soit informé si les détections de virus dépassent un nombre spécifié dansl'ensemble de l'arborescence des systèmes.

Les événements de serveur ne sont pas filtrés en fonction de l'emplacement des systèmes dansl'arborescence.

Limitation, agrégation et regroupementVous pouvez configurer le moment auquel sont envoyés les messages de notification en définissantdes seuils basés sur l’agrégation, la limitation et le regroupement.

AgrégationUtilisez l'agrégation pour déterminer les seuils s'appliquant aux événements à partir desquels la règledoit envoyer un message de notification. Par exemple, vous pouvez configurer la même règle pourenvoyer un message de notification lorsque le serveur reçoit 1 000 événements de détection de virusprovenant de divers systèmes en une heure ou chaque fois qu'il a reçu 100 événements de détectionde virus provenant de n'importe quel système.

LimitationDès que vous avez configuré la règle destinée à vous avertir d'une attaque probable, vous pouvezrecourir à la limitation pour éviter d'être bombardé par un nombre excessif de messages denotification. Si vous administrez un réseau de grande taille, il est possible que des dizaines de milliersd'événements soient générés en une heure, se traduisant par l'envoi de milliers de messages denotification basés sur une seule règle. La fonctionnalité de réponse permet donc de limiter le nombrede messages de notification engendrés par une même règle. Dès lors, vous pouvez par exempleconfigurer cette dernière de façon à ne jamais recevoir plus d'un message de notification par heure.

RegroupementVous pouvez utiliser la fonctionnalité de regroupement pour combiner plusieurs événements agrégés.Par exemple, des événements de même gravité peuvent être combinés dans un groupe unique. Grâceà la fonctionnalité de regroupement, l'administrateur peut entreprendre des actions au même moment

9 Arborescence des systèmesInteraction entre la fonctionnalité Réponses automatiques et l'arborescence des systèmes


sur tous les événements d'un niveau de gravité égal ou supérieur à un certain seuil. Il peut égalementdéfinir des niveaux de priorités pour les événements générés par les systèmes managés ou lesserveurs.

Règles par défautVous pouvez activer les règles ePolicy Orchestrator par défaut et les utiliser telles quelles, le temps devous familiariser avec les nombreuses possibilités offertes par la fonctionnalité.

Avant d'activer l'une des règles par défaut :

• Spécifiez le serveur de messagerie (cliquez sur Menu | Configuration | Paramètres serveur) à partir duquelles messages de notification doivent être envoyés.

• Assurez-vous que l'adresse e-mail du destinataire est bien celle censée recevoir les messages.Cette adresse est configurée dans la page Actions de l'assistant.

Tableau 9-1 Règles de notification par défaut

Nom de la règle Evénements associés Configuration

Echec de la réplicationdu référentiel distribué


Envoie un message de notification lorsqu'une miseà jour ou une réplication échoue.

Logiciels malveillants(malwares) détectés

Tout événement reçu deproduits inconnus

Envoie un message de notification :• si le nombre d'événements générés en une

heure est au moins égal à 1 000 ;

• une fois toutes les deux heures au plus ;

• avec l'adresse IP du système source, les nomseffectifs des menaces et les noms des produitseffectifs concernés, si ces données sontdisponibles, ainsi que de nombreux autresparamètres ;

• lorsque le nombre de valeurs distinctessélectionnées est de 500.

Echec de la mise àjour ou de laréplication duréférentiel maître

Echec de la mise à jourou de la réplication duréférentiel maître


Ordinateur nonconforme détecté

Evénements Ordinateurnon conforme détecté

Envoie un message de notification lors de laréception d'événements envoyés par la tâcheserveur Générer un événement de conformité.

Arborescence des systèmesInteraction entre la fonctionnalité Réponses automatiques et l'arborescence des systèmes 9


9 Arborescence des systèmesInteraction entre la fonctionnalité Réponses automatiques et l'arborescence des systèmes


10 Marqueurs

Utilisez des marqueurs pour identifier et trier les systèmes. Les marqueurs et groupes de marqueursvous permettent de sélectionner des groupes de systèmes et de simplifier la création des tâches etdes requêtes.

Sommaire Création de marqueurs à l'aide de l'assistant Générateur de marqueurs Gestion des marqueurs Création, suppression et modification des sous-groupes de marqueurs Exclusion de systèmes du marquage automatique Création d'une requête pour répertorier les systèmes en fonction des marqueurs Application de marqueurs à des systèmes sélectionnés Effacez les marqueurs des systèmes Application de marqueurs par critères à tous les systèmes correspondants Application planifiée de marqueurs par critères

Création de marqueurs à l'aide de l'assistant Générateur demarqueurs

L'assistant Générateur de marqueurs permet de créer des marqueurs très rapidement.Les marqueurs peuvent utiliser des critères à comparer sur chaque système :

• Automatiquement lors de la communication agent-serveur

• lors de l'exécution de l'action Rechercher les critères de marquage ;

• manuellement, en exécutant l'action Appliquer le marqueur sur les systèmes sélectionnés(indépendamment des critères).

Les marqueurs sans critères peuvent être uniquement appliqués manuellement à des systèmessélectionnés.


Procédure1 Lancez l'assistant Générateur de marqueurs en cliquant sur Menu | Systèmes | Catalogue de marqueurs | Nouveau

marqueur.

2 Sur la page Description, saisissez un nom et une description pertinente, puis cliquez sur Suivant. Lapage Critères s'affiche.

3 Sélectionnez et configurez les critères, puis cliquez sur Suivant. La page Evaluation s'affiche.

Pour appliquer automatiquement le marqueur, vous devez configurer des critères pour celui-ci.

10


4 Indiquez si les systèmes doivent être comparés aux critères du marqueur uniquement lors del'exécution de l'action Rechercher les critères de marquage ou également à chaque communicationagent-serveur. Cliquez ensuite sur Suivant. La page Aperçu s'affiche.

Ces options ne sont pas disponibles si aucun critère n'a été configuré. Lorsque des systèmes sontcomparés aux critères d'un marqueur, ce dernier est appliqué aux systèmes qui correspondent auxcritères et n'ont pas été exclus du marqueur.

5 Vérifiez les informations indiquées sur la page, puis cliquez sur Enregistrer.

Si le marqueur possède des critères, cette page affiche le nombre de systèmes qui recevront cemarqueur lors de la mise en correspondance.

Le marqueur est ajouté sous le groupe de marqueurs sélectionné, dans l'arborescence des marqueurs, sur lapage Catalogue de marqueurs.

Gestion des marqueursUne fois que les marqueurs ont été créés à l'aide du Générateur de marqueurs, utilisez la liste Actionspour modifier, supprimer et déplacer les marqueurs.


1 Cliquez sur Menu | Systèmes | Catalogue de marqueurs.

2 A partir de la liste Marqueurs, sélectionnez un ou plusieurs marqueurs, cliquez sur Actions, puissélectionnez l'une des actions dans la liste.

10 MarqueursGestion des marqueurs


Action Etapes

Modifier un marqueur

Le nombre desystèmesconcernés figureen haut de lapage.

A partir de Modifier le générateur de marqueurs :1 Sur la page Description, saisissez un nom et une description pertinente,

puis cliquez sur Suivant. La page Critères s'affiche.

2 Sélectionnez et configurez les critères, puis cliquez sur Suivant. La pageEvaluation s'affiche.

Pour appliquer automatiquement le marqueur, vous devez configurerdes critères pour celui-ci.

3 Indiquez si les systèmes doivent être comparés aux critères dumarqueur uniquement lors de l'exécution de l'action Rechercher les critèresde marquage ou également à chaque communication agent-serveur.Cliquez ensuite sur Suivant. La page Aperçu s'affiche.

Ces options ne sont pas disponibles si aucun critère n'a été configuré.Lorsque des systèmes sont comparés aux critères d'un marqueur, cedernier est appliqué aux systèmes qui répondent aux critères et n'ontpas été exclus du marqueur.

4 Vérifiez les informations indiquées sur la page, puis cliquez surEnregistrer.

Si le marqueur possède des critères, cette page affiche le nombre desystèmes qui recevront ce marqueur lors de la mise encorrespondance.

Le marqueur est mis à jour sur la page Catalogue de marqueurs, sous legroupe de marqueurs sélectionné dans l'Arborescence des marqueurs.

Supprimer unmarqueur

Cliquez sur Supprimer. Une boîte de dialogue de confirmation s'affiche.Cliquez sur OK pour supprimer le marqueur.

Exporter un marqueur Cliquez sur Exporter le tableau. La page Exporter les données s'affiche.

Déplacer desmarqueurs

A partir de la boîte de dialogue Déplacer des marqueurs :1 Sélectionnez le groupe de marqueurs vers lequel vous souhaitez

déplacer les marqueurs.

2 Cliquez sur OK pour terminer le déplacement.

Vous pouvez également glisser-déplacer les marqueurs vers les groupesde marqueurs de l'Arborescence des marqueurs.

Création, suppression et modification des sous-groupes demarqueurs

Les sous-groupes de marqueurs permettent d'imbriquer des groupes de marqueurs sur quatre niveau,avec jusqu'à 1 000 sous-groupes de marqueurs sous un seul groupe parent. Ces groupes demarqueurs permettent d'utiliser le tri par critères pour ajouter automatiquement des système auxgroupes appropriés.

Ces étapes permettent de créer, de supprimer ou de modifier un sous-groupe de marqueurs.


MarqueursCréation, suppression et modification des sous-groupes de marqueurs 10


Procédure1 Cliquez sur Menu | Systèmes | Catalogue de marqueurs.

2 Sur la page Catalogue de marqueurs, sélectionnez l'une de ces actions.

Action Etapes

Créer unsous-groupe demarqueurs

1 Dans la liste Arborescence des marqueurs, sélectionnez le groupe de marqueurs (oule groupe de marqueurs parent) dans lequel vous souhaitez créer le nouveausous-groupe de marqueurs.

Par défaut, Mes marqueurs est le groupe de marqueurs de premier niveau aucours de l'installation de ePolicy Orchestrator.

2 Cliquez sur Nouveau sous-groupe pour afficher la boîte de dialogue Nouveausous-groupe.

3 Dans le champ Nom, saisissez un nom descriptif pour le nouveau sous-groupede marqueurs.

4 Cela fait, cliquez sur OK pour créer le nouveau sous-groupe de marqueurs.

Renommer unsous-groupe demarqueurs

1 Dans la liste hiérarchique Arborescence des marqueurs, sélectionnez le sous-groupede marqueurs que vous souhaitez renommer.

2 Cliquez sur Actions sur l'arborescence des marqueurs | Renommer le groupe pour afficherla boîte de dialogue Renommer le sous-groupe.

3 Dans le champ Nom, saisissez le nouveau nom du sous-groupe de marqueurs.

4 Cela fait, il suffit de cliquer sur OK pour que le sous-groupe de marqueurs soitrenommé.

Supprimer unsous-groupe demarqueurs

1 Dans la liste hiérarchique Arborescence des marqueurs, sélectionnez le sous-groupede marqueurs que vous souhaitez supprimer.

2 Cliquez sur Actions | Supprimer pour afficher la boîte de dialogue de confirmationAction : Supprimer.

3 Si vous êtes certain de vouloir supprimer le sous-groupe de marqueurs,cliquez sur OK, et le sous-groupe de marqueurs sera supprimé.

Exclusion de systèmes du marquage automatiqueExcluez des systèmes lors de l'application de marqueurs spécifiques.

Une autre solution consiste à utiliser une requête pour collecter les systèmes, avant d'exclure lesmarqueurs de ces systèmes à partir des résultats de la requête.


Procédure1 Cliquez sur Menu | Systèmes | Arborescence des systèmes | Systèmes, puis sélectionnez le groupe contenant

les systèmes dans l'arborescence des systèmes.

2 Sélectionnez un ou plusieurs systèmes dans le tableau Systèmes, puis cliquez sur Actions | Marqueur |Exclure le marqueur.

10 MarqueursExclusion de systèmes du marquage automatique


3 Dans la boîte de dialogue Exclure le marqueur, sélectionnez le groupe de marqueurs, puis le marqueurà exclure, et cliquez sur OK.

Pour limiter la liste des marqueurs spécifiques, indiquez le nom du marqueur dans la zone de textesous Marqueurs.

4 Vérifiez que les systèmes ont été exclus du marqueur :

a À partir de la page Détails du marqueur : cliquez sur Menu | Systèmes | Catalogue de marqueurs, puissélectionnez le marqueur ou groupe de marqueurs requis dans la liste des marqueurs.

b En regard de Systèmes avec marqueur, cliquez sur le lien permettant d'accéder à la liste dessystèmes exclus de l'application de marqueurs par critères. La page Systèmes exclus du marqueurs'affiche.

c Assurez-vous que les systèmes requis figurent sur la liste.

Création d'une requête pour répertorier les systèmes enfonction des marqueurs

Planifiez une requête pour créer une liste qui affiche, applique ou supprime des marqueurs sur lessystèmes, selon les marqueurs sélectionnés.





2 Dans la page Description, entrez le nom et la description de la tâche, puis cliquez sur Suivant.

3 Dans le menu déroulant Actions, sélectionnez Exécuter une requête.

4 Dans le champ Requête, sélectionnez l'une des requêtes suivantes dans l'onglet Groupes McAfee, puiscliquez sur OK.

• Agents inactifs

• Noms de systèmes en double

• Systèmes présentant un nombre élevé d'erreurs de séquence

• Systèmes sans erreurs de séquence récentes

• Systèmes non managés

5 Sélectionnez la langue d'affichage des résultats.

6 Dans la liste Sous-actions, sélectionnez l'une de ces sous-actions à exécuter en fonction des résultats.

• Appliquer le marqueur : applique un marqueur sélectionné aux systèmes renvoyés par la requête.

• Effacer le marqueur : supprime un marqueur sélectionné sur les systèmes renvoyés par la requête.Sélectionnez Tout effacer pour supprimer tous les marqueurs des systèmes répertoriés dans lesrésultats de la requête.

• Exclure le marqueur : exclut des résultats de la requête les systèmes auxquels le marqueursélectionné est appliqué.

MarqueursCréation d'une requête pour répertorier les systèmes en fonction des marqueurs 10


7 Dans la fenêtre Sélectionner un marqueur, sélectionnez un groupe de marqueurs dans l'Arborescence desgroupes de marqueurs et filtrez éventuellement la liste des marqueurs à l'aide de la zone de texteMarqueurs.

Vous pouvez sélectionner plusieurs actions à appliquer aux résultats de la requête. Cliquez sur lebouton + pour ajouter d'autres actions à exécuter sur les résultats de la requête. Veillez à classer lesactions choisies dans l'ordre d'exécution souhaité. Par exemple, vous pouvez appliquer le marqueurServeur, puis supprimer le marqueur Poste de travail. Vous pouvez également ajouter d'autressous-actions telles que l'affectation d'une stratégie aux systèmes.



10 Vérifiez la configuration de la tâche, puis cliquez sur Enregistrer.

La tâche est ajoutée à la liste de la page Tâches serveur. Si la tâche est activée (elle l'est par défaut),elle est exécutée aux prochaines date et heure planifiées. Si elle est désactivée, la seule manière del'exécuter consiste à cliquer sur l'option Exécuter qui lui est associée, dans la page Tâches serveur.

Application de marqueurs à des systèmes sélectionnésAppliquez un marqueur manuellement aux systèmes sélectionnés dans l'arborescence des systèmes.


Procédure1 Cliquez sur Menu | Systèmes | Arborescence des systèmes | Systèmes, puis sélectionnez le groupe contenant

les systèmes qui vous intéressent.

2 Sélectionnez les systèmes voulus, puis cliquez sur Actions | Marqueur | Appliquer le marqueur.

3 Dans la boîte de dialogue Appliquer le marqueur, sélectionnez le groupe de marqueurs, puis lemarqueur à appliquer, et cliquez sur OK.


4 Vérifiez que les marqueurs ont été appliqués :

a Cliquez sur Menu | Systèmes | Catalogue de marqueurs, puis sélectionnez un marqueur ou groupe demarqueurs dans la liste des marqueurs.

b En regard de Systèmes avec marqueur dans le volet de détails, cliquez sur le lien permettantd'accéder à la liste des systèmes marqués manuellement. La page Systèmes avec marqueur appliquémanuellement s'affiche.

c Vérifiez que les systèmes sont répertoriés dans la liste.

Effacez les marqueurs des systèmesSupprimez les marqueurs des systèmes sélectionnés.

10 MarqueursApplication de marqueurs à des systèmes sélectionnés



1 Cliquez sur Menu | Systèmes | Arborescence des systèmes | Systèmes, puis sélectionnez le groupe contenantles systèmes qui vous intéressent.

2 Sélectionnez les systèmes souhaités, puis cliquez sur Actions | Marqueur | Effacer le marqueur.

3 Dans la boîte de dialogue Effacer le marqueur, effectuez l'une des étapes suivantes, puis cliquez sur OK.

• Supprimez un marqueur spécifique : sélectionnez le groupe de marqueurs, puis le marqueurlui-même.

Pour limiter la liste des marqueurs spécifiques, indiquez le nom du marqueur dans la zone detexte sous Marqueurs.

• Supprimez tous les marqueurs : sélectionnez Tout effacer.

4 Vérifiez que les marqueurs ont été appliqués :

a Cliquez sur Menu | Systèmes | Catalogue de marqueurs, puis sélectionnez un marqueur ou groupe demarqueurs dans la liste.

b Dans le volet de détails, en regard de Systèmes avec marqueur, cliquez sur le lien permettantd'accéder manuellement à la liste des systèmes marqués. La page Systèmes avec marqueur appliquémanuellement s'affiche.

c Vérifiez que les systèmes figurent bien dans la liste.

Application de marqueurs par critères à tous les systèmescorrespondants

Appliquez un marqueur par critère à tous les systèmes non exclus qui répondent aux critères spécifiés.


Procédure1 Cliquez sur Menu | Systèmes | Catalogue de marqueurs, puis sélectionnez un marqueur ou groupe de

marqueurs dans la liste des marqueurs.

2 Cliquez sur Actions | Rechercher les critères de marquage.

3 Dans le volet Action, précisez s'il faut réinitialiser les systèmes exclus et marqués manuellement.

Réinitialiser les systèmes exclus et marqués manuellement supprime le marqueur des systèmes quine correspondent pas aux critères et applique le marqueur aux systèmes qui répondent aux critèresmais sont exclus de l'application du marqueur.

4 Cliquez sur OK.

MarqueursApplication de marqueurs par critères à tous les systèmes correspondants 10


5 Vérifiez que le marqueur a été appliqué aux systèmes :

a Cliquez sur Menu | Systèmes | Catalogue de marqueurs, puis sélectionnez un marqueur ou groupe demarqueurs dans la liste des marqueurs.

b En regard de Systèmes avec marqueur dans le volet de détails, cliquez sur le lien permettantd'accéder à la liste des systèmes marqués sur la base de critères. La page Systèmes avec marqueurappliqué en fonction de critères s'affiche.

c Vérifiez que les systèmes sont répertoriés dans la liste.

Le marqueur est appliqué à tous les systèmes répondant aux critères.

Application planifiée de marqueurs par critèresPlanifiez une tâche périodique permettant d'appliquer un marqueur à tous les systèmes correspondantaux critères définis pour celui-ci.





2 Dans la page Description, entrez un nom et une description pour la tâche, indiquez si celle-ci doitêtre activée après avoir été créée, puis cliquez sur Suivant. La page Actions s'affiche.

3 Sélectionnez l'action Rechercher les critères de marquage dans la liste déroulante, puis sélectionnez unmarqueur dans la liste déroulante Marqueur.

4 Précisez s'il faut réinitialiser les systèmes exclus et marqués manuellement.

Lorsque vous réinitialisez les systèmes exclus et marqués manuellement, deux opérationssuivantes se produisent :

• Suppression du marqueur sur les systèmes qui ne correspondent pas aux critères

• Application du marqueur aux systèmes qui correspondent aux critères, mais qui sont exclus del'application du marqueur

5 Cliquez sur Suivant pour ouvrir la page Planification.

6 Planifiez la tâche aux moments de votre choix, puis cliquez sur Suivant.


La tâche serveur est ajoutée à la liste de la page Tâches serveur. Si vous avez choisi d'activer la tâchedans l'Assistant Générateur de tâches serveur, elle s'exécutera aux date et heure planifiées suivantes.

10 MarqueursApplication planifiée de marqueurs par critères


11 Communication agent-serveur

Les systèmes client utilisent McAfee Agent pour communiquer avec votre serveur McAfee ePO.Surveiller et gérer les agents à partir de la console ePolicy Orchestrator.Pour obtenir des informations sur vos agents spécifiques à une version, consultez le Guide produit deMcAfee Agent .

Sommaire Utilisation de l'agent à partir du serveur McAfee ePO Gestion de la communication agent-serveur

Utilisation de l'agent à partir du serveur McAfee ePOL'interface McAfee ePO comporte des pages permettant de configurer les tâches et les stratégies desagents et de consulter les propriétés système, les propriétés de l'agent et d'autres informations sur lesproduits McAfee.

Sommaire Fonctionnement de la communication agent-serveur SuperAgent et son fonctionnement Fonction de relais de McAfee Agent Communication homologue à homologue Collecte des statistiques de McAfee Agent Modification de la langue de l'interface utilisateur de l'agent et du journal des événements Configuration des systèmes sélectionnés pour la mise à jour Réponse aux événements de stratégie Planification de tâches client Exécution immédiate de tâches client Identification des agents inactifs Propriétés du système Windows et des produits communiquées par l'agent Requêtes fournies par McAfee Agent

Fonctionnement de la communication agent-serveurMcAfee Agent communique régulièrement avec le serveur McAfee ePO pour envoyer des événementset vérifier que tous les paramètres sont à jour.Ce type de communication est appelé communication agent-serveur. Lors de chaque communicationagent-serveur, McAfee Agent collecte ses propriétés système actuelles, ainsi que les événements quin'ont pas encore été transmis, puis il les envoie au serveur. Le serveur transmet des tâches et desstratégies (nouvelles ou modifiées) à McAfee Agent, ainsi que la liste de référentiels (si elle a étémodifiée depuis la dernière communication agent-serveur). McAfee Agent met en œuvre les nouvellesstratégies localement sur le système managé et applique toute tâche ou modification de référentieléventuelle.

11


McAfee ePO utilise le protocole réseau standard TLS (Transport Layer Security) pour effectuer destransmissions réseau sécurisées.

Lorsque McAfee Agent est installé pour la première fois, il appelle le serveur après quelques secondes.Par la suite, McAfee Agent émet un appel lorsque l'une des situations suivantes se présente :

• L'intervalle de communication agent-serveur est écoulé

• Des appels de réactivation de McAfee Agent sont émis par le serveur McAfee ePO ou desgestionnaires d'agents.

• Une tâche de réactivation planifiée est exécutée sur les systèmes clients.

• La communication est initiée manuellement à partir du système managé (à l'aide du moniteurd'état de l'agent ou d'une ligne de commande).

• Appels de réactivation de McAfee Agent envoyés par le serveur McAfee ePO.

Intervalle de communication agent-serveur L'intervalle de communication agent-serveur détermine la fréquence à laquelle McAfee Agent contactele serveur McAfee ePO.

Vous pouvez configurer l'intervalle de communication agent-serveur dans l'onglet Général de la page destratégie de McAfee Agent. La valeur par défaut du paramètre est de 60 minutes, ce qui signifie queMcAfee Agent contacte le serveur McAfee ePO une fois par heure. Au moment de décider si vous allezmodifier l'intervalle, tenez compte du fait que McAfee Agent exécute chacune des actions suivantes àchaque intervalle de communication agent-serveur :

• Il collecte et envoie ses propriétés.

• Il envoie les événements non prioritaires qui sont survenus depuis la dernière communicationagent-serveur.

• Il reçoit de nouvelles tâches et de nouvelles stratégies. Cette action peut déclencher d'autresactions consommatrices de ressources en fonction des tâches et/ou des planifications reçues.

• Il met en œuvre des stratégies.

Les opérations précitées ne suffisent pas à surcharger un ordinateur, mais un certain nombre defacteurs peuvent entraîner une sollicitation assez forte du réseau, des serveurs McAfee ePO ou desgestionnaires d'agents, notamment :

• Le nombre de systèmes gérés par le serveur McAfee ePO

• Si votre organisation a des besoins contraignants en matière de réponse aux menaces

• Si l'emplacement physique ou réseau des clients est fortement distribué par rapport aux serveursou aux gestionnaires d'agents

• Si la bande passante disponible est insuffisante

En règle générale, si votre environnement présente ces variables, il est préférable d'effectuer descommunications agent-serveur moins souvent. Pour les clients individuels assurant des fonctionscritiques, en revanche, il est conseillé de définir un intervalle plus fréquent.

Gestion des interruptions de la communication agent-serveurLa gestion des interruptions permet de résoudre des problèmes qui empêchent un système de seconnecter à un serveur McAfee ePO.Les interruptions de communication peuvent se produire pour de nombreuses raisons ; l'algorithme decommunication agent-serveur est donc conçu pour tenter de rétablir cette communication en casd'échec de la première tentative.

11 Communication agent-serveurUtilisation de l'agent à partir du serveur McAfee ePO


McAfee Agent essaye d'établir une connexion à l'aide d'une des méthodes suivantes. Si toutes cesméthodes échouent, McAfee Agent essaye à nouveau de se connecter lors de la prochainecommunication agent-serveur.

• Adresse IP

• Nom de domaine complet

• Nom NetBIOS

Appels de réactivation et tâchesUn appel de réactivation de McAfee Agent déclenche une communication agent-serveur immédiate,sans attendre l'expiration de l'intervalle de communication agent-serveur actuel.

Utilisez les actions de l'Arborescence des systèmes pour réactiver McAfee Agent sur un système d'exploitationautre que Windows.

Un appel de réactivation peut être émis de deux manières :

• Manuellement à partir du serveur : il s'agit de l'approche la plus répandue, qui nécessite que leport de communication de réactivation de McAfee Agent soit ouvert.

• Planifiée par l'administrateur : cette approche est utile lorsque la communication agent-serveurmanuelle est désactivée par une stratégie. L'administrateur peut créer et déployer une tâche deréactivation, laquelle réactive McAfee Agent et initie la communication agent-serveur.

Vous pouvez émettre un appel de réactivation pour les raisons suivantes :

• Vous apportez une modification à une stratégie qui doit être immédiatement mise en œuvre, sansattendre l'expiration de l'intervalle de communication agent-serveur planifié.

• Vous avez créé une nouvelle tâche que vous souhaitez exécuter immédiatement. L'option Exécuter latâche maintenant crée une tâche, puis l'affecte aux systèmes clients spécifiés et envoie des appels deréactivation.

• Une requête a généré un rapport indiquant qu'un client n'est pas conforme et vous voulez testerl'état de ce client dans le cadre d'une procédure de dépannage.

Si vous avez converti un McAfee Agent particulier en SuperAgent, celui-ci peut émettre des appels deréactivation vers des segments de diffusion réseau désignés. Le SuperAgent répartit l'impact sur labande passante de l'appel de réactivation.

Envoi d'appels de réactivation manuels à des systèmes individuelsL'envoi manuel d'un appel de réactivation de l'agent ou du SuperAgent à des systèmes de l'Arborescencedes systèmes est utile lorsque vous modifiez des stratégies et que vous souhaitez voir les agentscontacter le serveur afin d'envoyer ou de recevoir les informations mises à jour avant la prochainecommunication agent-serveur.


1 Cliquez sur Menu | Systèmes | Arborescence des systèmes, puis sélectionnez le groupe contenant lessystèmes cibles.

2 Sélectionnez les systèmes dans la liste, puis cliquez sur Actions | Agent | Réactiver les agents.

3 Assurez-vous que les systèmes que vous avez sélectionnés figurent dans la section Systèmes cibles.

4 En regard de Type d'appel de réactivation, sélectionnez Appel de réactivation de l'agent ou Appel de réactivation duSuperAgent, le cas échéant.

Communication agent-serveurUtilisation de l'agent à partir du serveur McAfee ePO 11


5 Acceptez l'intervalle d'Exécution aléatoire par défaut (0 minute) ou entrez une autre valeur compriseentre 0 et 60 minutes. Prenez en compte le nombre de systèmes censés recevoir immédiatementl'appel de réactivation par rapport à la bande passante disponible. Si vous entrez la valeur 0, lesagents répondent immédiatement.

6 Pour envoyer les propriétés de produit incrémentielles à la suite de l'appel de réactivation,désélectionnez l'option Obtenir les propriétés de produit complètes. Par défaut, la stratégie est configuréepour l'envoi des propriétés complètes.

7 Pour mettre à jour toutes les stratégies et tâches au cours de cet appel de réactivation,sélectionnez Forcer la mise à jour complète des stratégies et des tâches.

8 Définissez les valeurs des options Nombre de tentatives, Intervalle entre les tentatives et Abandonner après pourcet appel de réactivation, si vous ne souhaitez pas conserver les valeurs par défaut.

9 Précisez si vous souhaitez réactiver l'agent en utilisant Tous les gestionnaires d'agents ou le Derniergestionnaire d'agents connecté.

10 Cliquez sur OK pour envoyer l'appel de réactivation de l'agent ou du SuperAgent.

Envoi d'appels de réactivation manuels à un groupeUn appel de réactivation de l'agent ou du SuperAgent peut être envoyé à un groupe complet del'Arborescence des systèmes à l'aide d'une seule tâche. Cela s'avère utile lorsque vous avez modifié desstratégies et que vous souhaitez voir les agents contacter le serveur afin d'envoyer ou de recevoir lesinformations mises à jour avant la prochaine communication agent-serveur.


1 Cliquez sur Menu | Systèmes | Arborescence des systèmes.

2 Sélectionnez le groupe cible à partir de l'Arborescence des systèmes et cliquez sur l'onglet Détails sur legroupe.

3 Sélectionnez Actions | Réactiver les agents.

4 Vérifiez que le groupe sélectionné s'affiche en regard de Groupe cible.

5 Sélectionnez comme destination de l'appel de réactivation de l'agent Tous les systèmes de ce groupe ouTous les systèmes de ce groupe et ses sous-groupes.

6 En regard de Type, sélectionnez Appel de réactivation de l'agent ou Appel de réactivation du SuperAgent.

7 Acceptez l'intervalle d'Exécution aléatoire par défaut (0 minute) ou entrez une autre valeur compriseentre 0 et 60 minutes. Si vous entrez la valeur 0, les agents répondent immédiatement.

8 Pour envoyer les propriétés de produit minimales à la suite de l'appel de réactivation,désélectionnez l'option Obtenir les propriétés de produit complètes. Par défaut, la stratégie est configuréepour l'envoi des propriétés complètes.

9 Pour mettre à jour toutes les stratégies et tâches au cours de cet appel de réactivation,sélectionnez Forcer la mise à jour complète des stratégies et des tâches.

10 Cliquez sur OK pour envoyer l'appel de réactivation de l'agent ou du SuperAgent.



SuperAgent et son fonctionnementUn SuperAgent est un référentiel distribué dont la réplication de contenu est gérée par le serveurMcAfee ePO.

Le SuperAgent met en cache les informations reçues d'un serveur McAfee ePO, du référentiel maîtreou d'un référentiel HTTP ou FTP, puis les distribue aux agents de son domaine de diffusion. Il estconseillé de configurer un SuperAgent dans chaque domaine de diffusion pour la gestion des agents dansles réseaux de plus grande taille.

La fonctionnalité de Mise en cache différée permet au SuperAgent de récupérer des données deserveurs McAfee ePO uniquement lorsqu'un nœud d'agent local le demande. La création d'unehiérarchie de SuperAgent et la mise en cache différée permettent d'économiser davantage de bandepassante et de réduire la charge sur le serveur McAfee ePO. Pour cela, activez la mise en cache différée surla page des options de stratégie McAfee Agent | SuperAgent, accessible à partir de Menu | Stratégie | Cataloguede stratégies.

Un SuperAgent diffuse également des appels de réactivation à d'autres agents du même sous-réseau.Le SuperAgent reçoit un appel de réactivation du serveur McAfee ePO, puis réactive les agents dansson sous-réseau.

Cela permet d'éviter l'envoi d'appels de réactivation standard à chaque agent sur le réseau ou l'envoid'une tâche de réactivation d'agent à chaque ordinateur.

SuperAgent et appels de réactivation de diffusion Utilisez des appels de réactivation pour établir la communication agent-serveur et envisagez deconvertir l'agent McAfee Agent de chaque domaine de diffusion en SuperAgent.

Le SuperAgent répartit la bande passante liée aux appels de réactivation simultanés. Au lieu d'envoyerdes appels de réactivation à chacun des agents McAfee Agent, le serveur émet des appels deréactivation de SuperAgent aux SuperAgents du segment sélectionné dans l'Arborescence des systèmes.

La procédure est la suivante :

1 Le serveur envoie un appel de réactivation à tous les SuperAgents.

2 Les SuperAgents diffusent un appel de réactivation à tous les agents McAfee Agent du même domainede diffusion.

3 Tous les agents McAfee Agent notifiés (McAfee Agent notifiés par un SuperAgent et tous lesSuperAgents) échangent des données avec le serveur McAfee ePO ou le gestionnaire d'agents.

Lorsque vous envoyez un appel de réactivation du SuperAgent, les agents McAfee Agent qui ne disposentpas d'un SuperAgent actif dans leur domaine de diffusion ne reçoivent pas de demande decommunication avec le serveur.

Conseils sur le déploiement des SuperAgents

Pour déployer un nombre suffisant de SuperAgents dans les emplacements appropriés, commencez paridentifier les domaines de diffusion dans votre environnement, puis sélectionnez un système danschaque domaine (un serveur, de préférence) sur lequel héberger le SuperAgent. Si vous utilisez desSuperAgents, assurez-vous qu'à chaque agent McAfee Agent est affecté un SuperAgent.

Les appels de réactivation d'agent McAfee Agent et de SuperAgent utilisent les mêmes canaux sécurisés.Vérifiez que les ports suivants ne sont pas bloqués par un pare-feu sur le client :

• Le port de communication de réactivation de McAfee Agent (8081 par défaut).

• Le port de communication de diffusion de McAfee Agent (8082 par défaut).



Conversion de McAfee Agent en SuperAgentLors de la procédure de mise à jour globale, lorsque le SuperAgent reçoit une mise à jour du serveurMcAfee ePO, il envoie des appels de réactivation à tous les agents McAfee Agent de son réseau.Configurez les paramètres de stratégie de SuperAgent pour convertir McAfee Agent en SuperAgent.Pour consulter la définition des options, cliquez sur ? dans l'interface.

Procédure1 Cliquez sur Menu | Systèmes | Arborescence des systèmes | Systèmes, puis sélectionnez un groupe sous

l'arborescence des systèmes. Tous les systèmes de ce groupe s'affichent dans le volet de détails.

2 Sélectionnez un système, puis cliquez sur Actions | Agent | Modifier les stratégies sur un seul système. Lapage Affectation de stratégie correspondant à ce système s'affiche.

3 Dans la liste déroulante des produits, sélectionnez McAfee Agent. Les catégories de stratégies sousMcAfee Agent s'affichent avec la stratégie affectée au système.

4 Si la stratégie est héritée, sélectionnez Bloquer l'héritage et affecter la stratégie et les paramètres ci-dessous.

5 Dans la liste déroulante Stratégie affectée, sélectionnez une stratégie de la catégorie Général.

Depuis cet emplacement vous pouvez également modifier la stratégie sélectionnée ou en créer unenouvelle.

6 Indiquez si vous voulez verrouiller l'héritage des stratégies afin d'empêcher qu'un système héritantde cette stratégie reçoive l'affectation d'une autre stratégie.

7 Dans l'onglet SuperAgent, sélectionnez Convertir les agents en SuperAgents pour activer la diffusion desappels de réactivation.


9 Envoyez un appel de réactivation de l'agent.

Mise en cache par le SuperAgent et interruptions de communicationLe SuperAgent met en cache le contenu de son référentiel d'une manière spécifiquement conçue pourréduire la charge sur le serveur McAfee ePO.

Si un agent a été converti en SuperAgent, il peut mettre en cache le contenu du serveur McAfee ePO,du référentiel distribué ou d'autres SuperAgents pour le distribuer localement à d'autres agents,réduisant ainsi la charge sur le serveur McAfee ePO.

• La mise en cache du SuperAgent parallèlement à la réplication de référentiel estdéconseillée.

• Les SuperAgents ne peuvent pas mettre en cache le contenu des référentiels McAfeeHTTP ou FTP.

Fonctionnement du cache

Lorsqu'un système client demande du contenu pour la première fois, le SuperAgent affecté à cesystème télécharge le contenu demandé à partir des référentiels configurés et met ce contenu encache. Le cache est mis à jour chaque fois qu'une nouvelle version du package demandé est disponibledans le référentiel maître. Lorsqu'une structure hiérarchique de SuperAgents est créée, le SuperAgentenfant reçoit la mise à jour de contenu requis depuis le cache de son parent.



Le SuperAgent ne stocke que le contenu demandé par les agents qui lui sont affectés, car il n'extraitpas de contenu depuis les référentiels sans demande de la part d'un client. Cela réduit le trafic entre leSuperAgent et les référentiels. Lorsque le SuperAgent récupère du contenu depuis le référentiel, lesdemandes des systèmes client pour ce contenu sont suspendues.

Le SuperAgent doit avoir accès au référentiel. A défaut, les agents recevant des mises à jour duSuperAgent ne reçoivent jamais de nouveau contenu. Vérifiez que votre stratégie de SuperAgent inclutl'accès au référentiel.

Les agents configurés pour utiliser le SuperAgent en tant que référentiel reçoivent le contenu mis encache dans le SuperAgent et non directement du serveur McAfee ePO. Cela améliore les performancessystème des agents en conservant la majeure partie du trafic local pour le SuperAgent et ses clients.

Si le SuperAgent est reconfiguré pour utiliser un nouveau référentiel, le cache est mis à jour pourrefléter le nouveau référentiel.

Quand le contenu du cache différé est purgé

Vous pouvez configurer le SuperAgent pour qu'il purge le contenu du cache qui n'est pas utilisé. Lecontenu du cache est téléchargé lorsqu'un système client demande une mise à jour. Les fichiers demise à jour de contenu précédents peuvent toujours être disponibles dans le disque local, maispeuvent ne pas s'afficher dans le fichier Replica.log. Si un fichier n'est pas répertorié dans Replica.log, il est purgé parce qu'aucun système client ne le demandera plus.

Le fichier Replica.log contient des informations sur les fichiers et le dossier de son répertoirespécifique. Chaque répertoire du référentiel contient un fichier Replica.log.

Par défaut, le contenu du cache est purgé chaque jour. Vous pouvez configurer l'intervalle de purgeavec la stratégie SuperAgent.

Gestion des interruptions de communication

Lorsqu'un SuperAgent reçoit une demande de contenu qui peut être obsolète, le SuperAgent tente decontacter le serveur McAfee ePO pour vérifier si du nouveau contenu est disponible. Si la tentative deconnexion échoue, le SuperAgent distribue le contenu à partir de son propre référentiel. Ceci permetde garantir que le demandeur reçoit du contenu, même obsolète.

• N'utilisez pas la mise en cache du SuperAgent avec la mise à jour globale. Ces deuxoptions remplissent la même fonction dans l'environnement managé, à savoir la mise àjour des référentiels distribués. Toutefois, elles ne sont pas complémentaires. Utilisez lamise en cache du SuperAgent lorsque vous cherchez essentiellement à limiter l'utilisationde la bande passante. Utilisez la mise à jour globale lorsque votre objectif premier est lamise à jour rapide des systèmes de l'entreprise. Consultez la documentation relative auproduit ePO pour en savoir plus sur la mise à jour globale.

• La mise en cache du SuperAgent parallèlement à la réplication de référentiel estdéconseillée.



Hiérarchie de SuperAgents Une hiérarchie de SuperAgents peut desservir des agents d'un même réseau avec une utilisationminimale du trafic réseau.

Un SuperAgent met en cache les mises à jour de contenu à partir du serveur McAfee ePO ou d'unréférentiel distribué, et les distribue aux agents sur le réseau, ce qui réduit le trafic sur le serveurMcAfee ePO. Il est toujours idéal de disposer de plusieurs SuperAgents pour équilibrer la chargeréseau.

Assurez-vous d'activer la fonctionnalité de mise en cache différée avant de configurer la hiérarchie deSuperAgents.

Création d'une hiérarchie de SuperAgentsLa stratégie Référentiel permet de créer la hiérarchie. McAfee recommande de créer une hiérarchie deSuperAgents à trois niveaux sur votre réseau.

La création d'une hiérarchie de SuperAgents évite le téléchargement à répétition de mises à jour decontenu à partir du référentiel distribué ou du serveur McAfee ePO. Par exemple, dans un réseau clientcomportant plusieurs SuperAgents (SuperAgent 1, SuperAgent 2, SuperAgent 3 et SuperAgent 4) etun référentiel distribué, configurez la hiérarchie de sorte que les systèmes clients reçoivent les mises àjour de contenu depuis leurs SuperAgents respectifs (SuperAgent 2, SuperAgent 3 ou SuperAgent 4).Les SuperAgents 2, 3 et 4 reçoivent et mettent en cache les mises à jour depuis le SuperAgent 1, et leSuperAgent 1 reçoit et met en cache les mises à jour depuis le référentiel distribué.

• Dans les exemples précédents, le SuperAgent 2, le SuperAgent 3 et le SuperAgent 4 sontconfigurés comme des SuperAgents pour les systèmes clients dans leur domaine dediffusion respectif.

• Les SuperAgents ne peuvent pas mettre en cache le contenu des référentiels McAfeeHTTP ou FTP.

Lorsque vous créez une hiérarchie, assurez-vous qu'elle ne forme pas une boucle de SuperAgent (parexemple, le SuperAgent 1 est configuré pour extraire les mises à jour du SuperAgent 2, leSuperAgent 2 est configuré pour extraire les mises à jour du SuperAgent 3, mais le SuperAgent 3 estlui-même configuré pour extraire les mises à jour du SuperAgent 1).

Pour garantir que le SuperAgent parent contient les mises à jour de contenu les plus récentes, ladiffusion des appels de réactivation de SuperAgent doit être activée.

Si les SuperAgents ne proposent pas aux agents les dernières mises à jour de contenu, les agentspassent au référentiel suivant configuré dans la stratégie.

Organisez les SuperAgents selon une hiérarchie. Les stratégies de catégorie Général ou Référentiel peuvent être modifiées pour activer et définir unehiérarchie de SuperAgents.


Procédure1 Cliquez sur Menu | Stratégie | Catalogue de stratégies. Ensuite, sélectionnez McAfee Agent dans le menu

déroulant Produit et Général dans le menu déroulant Catégorie.

2 Cliquez sur la stratégie My Default pour commencer à modifier la stratégie. Pour créer une stratégie,cliquez sur Actions | Nouvelle stratégie.

Il est impossible de modifier la stratégie McAfee Default.



3 Dans l'onglet SuperAgent, sélectionnez Convertir les agents en SuperAgents pour convertir l'agent enSuperAgent et mettre à jour son référentiel avec le contenu le plus récent.

4 Sélectionnez Utiliser des systèmes exécutant des SuperAgents en tant que référentiels distribués pour utiliser lessystèmes hébergeant des SuperAgents comme référentiels de mise à jour pour les systèmes dusegment de diffusion, puis indiquez le chemin d'accès du référentiel.

5 Sélectionnez Activer la mise en cache différée pour permettre aux SuperAgents de mettre en cache lecontenu reçu depuis le serveur McAfee ePO.


La page Catalogue de stratégies répertorie les stratégies de catégorie Général.

7 Changez la catégorie en référentiel, puis cliquez sur la stratégie My Default pour la modifier. Si voussouhaitez créer une stratégie, cliquez sur Actions | Nouvelle stratégie.

8 Dans l'onglet Référentiels, sélectionnez Utiliser l'ordre de la liste de référentiels.

9 Cliquez sur Autoriser automatiquement les clients à accéder à des référentiels nouvellement ajoutés pour ajouter denouveaux référentiels SuperAgent à la liste, puis cliquez sur Déplacer en première position pour organiserles SuperAgents en hiérarchie.

Organisez la hiérarchie de référentiels de sorte que le SuperAgent parent figure toujours en haut dela liste de référentiels.


Une fois que vous avez terminé la configuration de la hiérarchie de SuperAgents, vous pouvez créeret exécuter la tâche Statistiques de McAfee Agent pour générer un rapport sur les économies debande passante.

Fonction de relais de McAfee AgentSi la configuration de votre réseau bloque les communications entre McAfee Agent et le serveurMcAfee ePO, McAfee Agent ne peut pas recevoir de mises à jour de contenu et de stratégies, nienvoyer des événements.

La fonction de relais peut être activée sur les agents McAfee Agent ayant une connectivité directe auserveur McAfee ePO ou au Gestionnaire d'agents afin d'établir une communication entre les systèmesclients et le serveur McAfee ePO. Vous pouvez configurer plusieurs agents McAfee Agent en tant queRelayServer pour équilibrer la charge du réseau.

Communication via un RelayServerL'activation des fonctionnalités de relais sur votre réseau convertit un agent McAfee Agent enRelayServer. Un agent McAfee Agent avec fonction de relais peut accéder au serveur McAfee ePO ouRelayServer répertorié dans le fichier SiteList.xml.

Si McAfee Agent ne parvient pas à se connecter au serveur McAfee ePO, il diffuse un message pourdécouvrir tout McAfee Agent ayant des fonctionnalités de relais sur son réseau. Chaque serveurRelayServer répond au message et McAfee Agent établit une connexion avec le premier RelayServerqui répond.

Par la suite, si un agent McAfee Agent ne parvient pas à se connecter au serveur McAfee ePO, ilessaye de se connecter au premier serveur RelayServer qui a répondu au message de découverte.McAfee Agent lance la découverte des serveurs RelayServer sur le réseau lors de chaquecommunication agent-serveur, puis il met en cache les informations relatives aux cinq premiersserveurs différents qui ont répondu au message de découverte. Si le serveur RelayServer actuel neparvient pas à se connecter au serveur McAfee ePO ou ne dispose pas de la mise à jour de contenu



requise, McAfee Agent se connecte au serveur RelayServer suivant disponible présent dans son cache.Activez l'option de stratégie Activer la communication de relais pour permettre au système client de découvrirles serveurs relais.

Lorsque McAfee Agent utilise les relais pour communiquer avec le serveur McAfee ePO, les connexionssont établies en deux parties ; d'abord, entre McAfee Agent et RelayServer, puis entre RelayServer etle serveur McAfee ePO. Ces connexions sont conservées pendant toute la durée de la communication.

Activation de la fonction de relais Configurez et affectez des stratégies pour activer la fonction de relais sur un agent.

Si vous activez un système autre que Windows en tant que RelayServer, veillez à ajouter manuellementune exception pour le processus macmnsvc et le port du gestionnaire de services vers iptables etip6tables.


Procédure1 Cliquez sur Menu | Systèmes | Arborescence des systèmes | Systèmes, puis sélectionnez le groupe souhaité

sous Arborescence des systèmes. Tous les systèmes de ce groupe s'affichent dans le volet dedétails.

2 Sélectionnez un système, puis cliquez sur Actions | Agent | Modifier les stratégies sur un seul système. Lapage Affectation de stratégie pour ce système s'affiche.

3 Dans la liste déroulante des produits, sélectionnez McAfee Agent. Les catégories de stratégies sousMcAfee Agent s'affichent avec la stratégie affectée du système.




6 Indiquez si vous voulez verrouiller l'héritage des stratégies afin d'empêcher qu'un système héritantde cette stratégie reçoive l'affectation d'une autre stratégie.

7 Sur l'onglet SuperAgent, sélectionnez les options souhaitées parmi les suivantes.

• Sélectionnez Activer la communication de relais pour permettre aux agents de découvrir des serveursrelais sur le réseau.

• Sélectionnez Activer RelayServer pour activer la fonction de relais sur un agent.

• Assurez-vous de configurer le Port du gestionnaire de services sur 8082.

• McAfee recommande l'activation de la fonction de relais au sein du réseau del'organisation.

• Un serveur RelayServer ne peut pas se connecter aux serveurs McAfee ePO à l'aide deparamètres de proxy.




9 Envoyez un appel de réactivation de McAfee Agent.

• Après la première communication agent-serveur, l'état du serveur RelayServer est misà jour sur la page Propriétés de McAfee Agent ou l'interface utilisateur McTray sur lesystème client.

• Le fichier journal Macmnsvc_<nom d'hôte>.log est enregistré à ces emplacements.

• Dans un système client Windows : <ProgramData>\McAfee\Agent\Logs

• Dans un système client autre que Windows : /var/McAfee/agent/logs

Désactivation de la fonction de relaisVous pouvez utiliser la stratégie de la catégorie Général pour désactiver la fonction de relais sur l'agentMcAfee Agent.Pour consulter la définition des options, cliquez sur ? dans l'interface.


sous Arborescence des systèmes. Tous les systèmes de ce groupe s'affichent dans le volet de détails.

2 Sélectionnez le système pour lequel la fonction de relais était activée, puis cliquez sur Actions | Agent| Modifier les stratégies sur un seul système. La page Affectation de stratégie pour ce système s'affiche.

3 Dans la liste déroulante des produits, sélectionnez McAfee Agent. Les catégories de stratégies sousMcAfee Agent s'affichent avec la stratégie affectée du système.

4 Dans la liste déroulante Stratégie affectée, sélectionnez la stratégie Général mise en œuvre sur lesystème client, puis désactivez la stratégie.

5 Dans l'onglet SuperAgent, désélectionnez ces options comme il convient

• Désélectionnez Activer la communication de relais pour empêcher les agents de découvrir les serveursRelayServers sur le réseau.

• Désélectionnez Activer RelayServer pour désactiver la fonction de relais sur l'agent McAfee Agent.



Communication homologue à homologuePour récupérer des mises à jour et installer des produits, McAfee Agent doit communiquer avec leserveur McAfee ePO. Ces mises à jour peuvent être disponibles auprès des agents du même domainede diffusion. Le téléchargement de ces mises à jour depuis les agents homologues du même domainede diffusion réduit la charge sur McAfee ePO.

Téléchargement de mise à jour de contenu à partir d'agents homologuesVous pouvez activer la communication homologue à homologue sur un agent McAfee Agent à l'aide dela stratégie Général.Vous pouvez configurer un agent McAfee Agent en tant que serveur et/ou client homologue àhomologue selon les exigences de la stratégie. La configuration d'un agent McAfee Agent en tant queserveur homologue à homologue permet à celui-ci de fournir des mises à jour aux autres serveurs dudomaine de diffusion, en cas de demande. Un serveur homologue à homologue dispose d'un espacedisque local affecté à la mise en cache des mises à jour. L'espace disque par défaut est de 512 Mo,mais cela peut être configuré à l'aide de la stratégie. Le serveur homologue à homologue par défaut



met en cache les mises à jour dans <dossier de données de l'agent>\data\mcafeeP2P, mais celapeut être personnalisé à l'aide de la stratégie. Vous pouvez également configurer la stratégie de façonà purger les mises à jour mises en cache dans le disque local.

Lorsqu'un agent nécessite une mise à jour de contenu, il essaye de découvrir des serveurs homologueà homologue possédant cette mise à jour de contenu dans son domaine de diffusion. Lorsqu'ilsreçoivent la demande, les agents configurés en tant que serveurs homologue à homologue vérifientqu'ils ont le contenu demandé, puis répondent à l'agent. L'agent qui demande le contenu le téléchargedepuis le serveur homologue à homologue qui a répondu en premier.

Activez l'option de stratégie Activer la communication Homologue à homologue pour permettre au système clientde découvrir les serveurs homologue à homologue du domaine de diffusion.

Le serveur homologue à homologue utilise HTTP pour fournir du contenu aux clients.

Si un agent McAfee Agent ne parvient pas à trouver la mise à jour de contenu parmi ses homologuesdu domaine de diffusion, il fait appel au référentiel, comme configuré dans la stratégie.

La communication homologue à homologue utilise le port 8082 pour découvrir des serveurshomologues et le port 8081 pour fournir des mises à jour aux agents homologues.

Meilleures pratiques pour l'utilisation de la communication homologue àhomologuePrenez compte des recommandations suivantes lorsque vous activez la communication homologue àhomologue sur votre réseau.

• Il est conseillé d'activer les serveurs homologue à homologue sur des ordinateurs ou sur dessystèmes virtuels. Il n'est pas conseillé d'activer de serveur homologue à homologue sur desordinateurs portables ou sur des périphériques mobiles.

• Il est conseillé de désactiver les serveurs homologue à homologue sur les systèmes dont laconnectivité réseau est faible ou qui utilisent une connexion de réseau privé virtuel (VPN).

• Lors du déploiement de McAfee Agent ou de produits managés, ou lors de la mise à jour deproduits sur un grand nombre de systèmes, il est conseillé d'activer les serveurs homologue àhomologue sur tous les systèmes. Cette action limite le trafic réseau dans le sous-réseau localpendant le déploiement ou la mise à jour.

• La communication homologue à homologue est activée par défaut. Si votre organisation limite lacommunication homologue à homologue, désactivez la stratégie Homologue à homologue.

• Il est conseillé de configurer le Quota de disque maxi. sur une valeur toujours supérieure à la taille de lasomme des applications et des mises à jour fréquemment utilisées (par exemple, si la taille dufichier DAT est de 150 Mo et que la taille moyenne des mises à jour du produit est de 100 Mo, lequota de disque homologue à homologue doit être supérieur à 250 Mo).

Activation du service Homologue à homologueActivez le service homologue à homologue dans votre domaine de diffusion pour réduire la charge surle serveur McAfee ePO.

Le service homologue à homologue est activé par défaut.




1 Cliquez sur Menu | Systèmes | Arborescence des systèmes | Systèmes, puis sélectionnez le groupe souhaitésous Arborescence des systèmes. Tous les systèmes de ce groupe s'affichent dans le volet dedétails.

2 Sélectionnez un système, puis cliquez sur Actions | Agent | Modifier les stratégies sur un seul système. Lapage Affectation de stratégie pour ce système s'affiche.

3 Dans la liste déroulante des produits, sélectionnez McAfee Agent. Les catégories de stratégies sousMcAfee Agent s'affichent avec la stratégie affectée au système.




6 Indiquez si vous voulez verrouiller l'héritage des stratégies afin d'empêcher qu'une autre stratégiene soit affectée au système héritant de cette stratégie.

7 Dans l'onglet Homologue à homologue, sélectionnez ces options comme il convient

• Sélectionnez Activer la communication Homologue à homologue pour permettre à l'agent McAfee Agent dedécouvrir et d'utiliser des serveurs homologue à homologue sur le réseau.

• Sélectionnez Activer le service Homologue à homologue pour permettre à l'agent McAfee Agent de fournirdu contenu aux agents homologues.



Collecte des statistiques de McAfee Agent Exécutez la tâche client Statistiques de McAfee Agent sur les nœuds managés pour collecter lesstatistiques RelayServer et de bande passante enregistrées par la communication Homologue à homologue etpar la hiérarchie de SuperAgent.


Procédure

1 Cliquez sur Menu | Systèmes | Arborescence des systèmes | Systèmes, puis sélectionnez le groupe souhaitésous Arborescence des systèmes. Tous les systèmes de ce groupe s'affichent dans le volet de détails.

2 Sélectionnez un système, puis cliquez sur Actions | Agent | Modifier les tâches sur un seul système. Lestâches client affectées pour ce système s'affichent.

3 Cliquez sur Actions | Nouvelle affectation de tâche client.

4 Dans la liste des produits, sélectionnez McAfee Agent, puis Statistiques de McAfee Agent comme Type de tâche.

5 Cliquez sur Créer une tâche. La page Nouvelle tâche client s'affiche.

6 Sélectionnez l'option requise, puis cliquez sur Enregistrer.

Une fois que la tâche a été déployée sur le système client et que l'état a été indiqué à ePolicyOrchestrator, les statistiques sont réinitialisées sur 0.



Pour voir les statistiques collectées par McAfee Agent, créez et exécutez une nouvelle requêteStatistiques de l'agent.

Modification de la langue de l'interface utilisateur de l'agent etdu journal des événementsLorsque les systèmes managés fonctionnent dans une langue que votre équipe d'administration neconnaît pas, il peut être difficile de résoudre les problèmes sur ces systèmes.

Vous pouvez modifier la langue de l'interface utilisateur de l'agent et de la journalisation par le biaisd'une stratégie ePolicy Orchestrator. Ce paramètre force l'agent sur le système cible à exécuter et àpublier les entrées du journal dans la langue sélectionnée.

Certains textes sont contrôlés par les logiciels de sécurité individuels de McAfee (par exemple,VirusScan) et respectent les paramètres régionaux.


1 Cliquez sur Menu | Stratégie | Catalogue de stratégies.

2 Sélectionnez McAfee Agent dans la liste déroulante Produit, puis choisissez Résolution de problèmes dans laliste déroulante Catégorie.

3 Cliquez sur le nom de la stratégie à modifier ou dupliquez une stratégie existante.

La stratégie McAfee Default ne peut pas être modifiée.

4 Sélectionnez Sélectionner la langue utilisée par l'agent et choisissez une langue dans la liste déroulante.


Lorsque vous affectez cette stratégie à un système, l'agent de ce système exécute et publie lesmessages de journal dans la langue sélectionnée. Si cette langue ne correspond pas aux paramètresrégionaux en cours du système Windows, il est possible que les messages de journal affichés dansl'interface utilisateur du Moniteur d'agent soient illisibles.

Indépendamment du choix de la langue, certains messages de journal sont toujours publiés en anglaispour aider McAfee dans ses tâches de résolution de problèmes.

Configuration des systèmes sélectionnés pour la mise à jourVous pouvez choisir un ensemble de packages mis à jour immédiatement lorsque l'option Mettre à jourmaintenant est sélectionnée sur un ou plusieurs systèmes à partir du serveur ePolicy Orchestrator.

Voici des raisons qui justifient le recours à cette fonctionnalité :



• Mise à jour de systèmes sélectionnés lors de la résolution de problèmes

• Distribution immédiate de nouveaux fichiers DAT ou de nouvelles signatures à un grand nombre desystèmes, ou à tous les systèmes

• Mise à jour de produits sélectionnés, de patchs ou de Service Packs ayant déjà été déployésprécédemment


1 Cliquez sur Menu | Systèmes | Arborescence des systèmes, puis sélectionnez les systèmes à mettre à jour.

2 Cliquez sur Actions | Agent | Mettre à jour maintenant.

• Sélectionnez Tous les packages pour déployer tous les packages de mise à jour dans le référentiel.

• Sélectionnez Packages sélectionnés pour spécifier les packages de mise à jour à déployer.Désélectionnez les packages que vous ne voulez pas déployer.

La fonctionnalité permettant de déployer des patchs et des Service Packs à partir des référentielsEvaluation ou Précédents est conçue pour permettre un test de mise à jour sur unsous-ensemble réduit de systèmes avant de procéder à un déploiement plus étendu. McAfeerecommande de déplacer les patchs et les Service Packs approuvés vers le référentiel Actuelslorsqu'ils sont prêts pour le déploiement général.

3 Cliquez sur OK.

Réponse aux événements de stratégieDéfinissez une réponse automatique dans McAfee ePO, filtrée de manière à afficher uniquement lesévénements liés aux stratégies.

Consultez la documentation relative au produit ePO pour en savoir plus sur les réponses automatiques.


Procédure

1 Cliquez sur Menu | Automatisation | Réponses automatiques pour ouvrir la page Réponses automatiques.

2 Cliquez sur Actions | Nouvelle réponse.

3 Entrez le Nom de la réponse et une éventuelle Description.

4 Sélectionnez Evénements de notification ePO comme Groupe d'événements, et Client, Menace ou Serveur commeType d'événement.

5 Cliquez sur Activé pour activer la réponse, puis cliquez sur Suivant.

6 Dans les Propriétés disponibles, sélectionnez Description de l'événement.

7 Cliquez sur ... sur la ligne Description de l'événement, puis choisissez l'une des options suivantes :

• L'agent n'a réussi à collecter des propriétés pour aucun des produits individuels : cet événement est généré ettransféré lors du premier échec de collecte des propriétés. Un événement de réussite ultérieurn'est pas généré. Chaque produit managé en échec génère un événement distinct.

• L'agent n'a réussi à mettre en œuvre des stratégies pour aucun des produits individuels : cet événement est généréet transféré lors du premier échec d'une mise en œuvre de stratégie. Un événement de réussiteultérieur n'est pas généré. Chaque produit managé en échec génère un événement distinct.

8 Indiquez les autres informations pour le filtre comme il convient, puis cliquez sur Suivant.



9 Sélectionnez les options Agrégation, Regroupement et Limitation souhaitées.

10 Choisissez un type d'action, indiquez un comportement souhaité pour ce type d'action, puis cliquezsur Suivant.

11 Passez en revue la synthèse du comportement de la réponse. Si cela vous convient, cliquez surEnregistrer.

La réponse automatique effectue l'action indiquée lorsqu'un événement de stratégie se produit.

Planification de tâches clientLors de l'affectation d'une tâche client à un système ou à un groupe de systèmes dans l'Arborescencedes systèmes, vous pouvez planifier son exécution en fonction de différents paramètres.

Dans l'onglet Planification du Générateur d'affectations de tâche client, vous pouvez configurer si latâche s'exécute en fonction de sa planification. Si la planification est désactivée, la tâche ne peut êtreexécutée qu'à partir de la page Arborescence des systèmes | Systèmes en cliquant sur Actions | Agent | Agent |Exécuter une tâche client maintenant ou en tant qu'action de Tâche serveur.

Les tâches client peuvent être planifiées pour s'exécuter aux intervalles suivants :

• Quotidienne : la tâche est exécutée chaque jour, à une heure spécifique, de façon récurrente entredeux heures précises ou suivant une combinaison des deux.

• Hebdomadaire : la tâche est exécutée une fois par semaine. Une tâche de ce type peut être planifiéepour être exécutée un jour spécifique de la semaine, tous les jours de la semaine, le week-end ousuivant une combinaison des options qui précèdent. Vous pouvez planifier l'exécution de la tâche àune heure spécifique des jours sélectionnés ou de façon récurrente entre deux heures précises desjours sélectionnés.

• Mensuelle : la tâche est exécutée une fois par mois. Une tâche de ce type peut être planifiée pourêtre exécutée un ou plusieurs jours spécifiques de chaque mois à une heure précise.

• Une fois à : démarre la tâche à l'heure et au jour spécifiés.

• Au démarrage du système : démarre la tâche au prochain démarrage du serveur.

• Lors de la connexion : démarre la tâche à la prochaine connexion au serveur.

• Exécuter immédiatement : démarre la tâche immédiatement.

Après que la tâche a été exécutée une première fois, elle n'est pas exécutée à nouveau.

Vous pouvez également :

• Configurer les dates de début et de fin auxquelles la tâche client est disponible et indisponible pours'exécuter aux intervalles planifiés.

• Spécifier l'heure à laquelle la tâche doit commencer.

• Spécifier si la tâche doit être exécutée une seule fois à l'heure de début, ou s'il faut poursuivre sonexécution plus tard. Vous pouvez également spécifier l'intervalle entre les exécutions de la tâchependant cette période.

• Spécifier si la tâche doit s'exécuter en fonction de l'heure locale sur le système managé ou del'heure UTC.

• Configurer le comportement de la tâche et les actions possibles en cas de durée d'exécutionexcessive de la tâche, et spécifier également si une tâche omise doit être exécutée.

Consultez la documentation du produit ePolicy Orchestrator pour plus d'informations sur l'affectationet la planification d'une tâche client.



Exécution immédiate de tâches clientLorsqu'un serveur McAfee ePO communique avec McAfee Agent, vous pouvez exécuter des tâchesclient immédiatement à l'aide de l'action Exécuter une tâche client maintenant.McAfee Agent place les tâches dans une file d'attente lorsque leur exécution est planifiée, au lieu deles exécuter immédiatement. Si une tâche peut être placée dans la file d'attente immédiatement, ellene s'exécutera que si aucune autre tâche n'est devant elle dans la file. Les tâches créées au cours dela procédure Exécuter une tâche client maintenant sont exécutées et la tâche est supprimée du client une foisterminée.


Procédure1 Cliquez sur Menu | Systèmes | Arborescence des systèmes.

2 Sélectionnez un ou plusieurs systèmes sur lesquels exécuter une tâche.

3 Cliquez sur Actions | Agent | Exécuter une tâche client maintenant.

4 Sélectionnez McAfee Agent comme Produit puis le Type de tâche.

5 Pour exécuter une tâche existante, cliquez sur le Nom de la tâche puis sur Exécuter la tâche maintenant.

6 Pour définir une nouvelle tâche, cliquez sur Nouvelle tâche.

a Saisissez les informations qui correspondent à la tâche que vous créez.

Si vous créez une tâche McAfee Agent Déploiement de produit ou Mise à jour de produit au cours de cetteprocédure, l'une des options disponibles est Exécuter à chaque mise en œuvre de stratégie. Cette optionn'a aucun effet, car la tâche est supprimée une fois terminée.

La page Etat d'exécution de la tâche client apparaît et affiche l'état de toutes les tâches en cours d'exécution.Lorsque les tâches sont terminées, les résultats peuvent être consultés dans le journal d'audit et le journaldes tâches serveur.

Identification des agents inactifsUn McAfee Agent inactif est un agent qui n'a pas communiqué avec le serveur McAfee ePO pendantune période définie par l'utilisateur.

Certains agents peuvent devenir inactifs ou être désinstallés par des utilisateurs. Dans d'autres cas, ilse peut que le système hébergeant McAfee Agent ait été supprimé du réseau. McAfee recommande derechercher régulièrement (une fois par semaine) les systèmes hébergeant des agents inactifs.


1 Cliquez sur Menu | Rapports | Requêtes et rapports.

2 Dans la liste Groupes, sélectionnez le groupe partagé Gestion des agents.

3 Cliquez sur Exécuter dans la ligne Agents inactifs pour lancer la requête.

Cette requête est configurée par défaut pour rechercher les systèmes qui n'ont pas communiquéavec le serveur McAfee ePO au cours des 30 derniers jours. Vous pouvez dupliquer cette requêtepar défaut et la modifier afin de spécifier les heures, jours, semaines, trimestres ou années.

Lorsque vous découvrez des agents inactifs, consultez leurs journaux d'activités pour déceler desproblèmes pouvant interférer avec la communication agent-serveur. Les résultats de la requête vouspermettent d'effectuer diverses actions sur les systèmes identifiés, par exemple émettre une requêteping à McAfee Agent ou bien le supprimer, le réactiver ou le redéployer.



Propriétés du système Windows et des produits communiquéespar l'agentMcAfee Agent communique les propriétés de système à ePolicy Orchestrator à partir de ses systèmesmanagés. Ces propriétés varient selon le système d'exploitation. La liste ci-dessous concerne unenvironnement Windows.

Propriétés de système

Cette liste indique les données système communiquées à ePolicy Orchestrator par les systèmesd'exploitation de vos postes. Si vous pensez que les propriétés indiquées pour un système sonterronées, vérifiez les informations sur le système.

GUID de l'agent

Numéro de série du processeur

Vitesse du processeur (en MHz)

Type de processeur

Propriétés personnalisées 1-4

Type de communication

Langue par défaut

Description

Nom DNS

Nom de domaine

Marqueurs exclus

Espace disque disponible

Mémoire disponible

Espace disque disponible sur le système

Produits installés

Adresse IP

Adresse IPX

Est un système d'exploitation 64 bits

Est un ordinateur portable

Dernière erreur de séquence

Dernière communication

Emplacement LDAP

Adresse MAC

Etat managé

Type de gestion

Nombre de processeurs

Système d'exploitation

Numéro de build du système d'exploitation

Identificateur OEM du SE

Plate-forme du SE

Version de Service Pack du SE

Type de SE

Version du SE

Clé serveur

Erreurs de séquence

Adresse de sous-réseau

Masque de sous-réseau

Description du système

Emplacement du système

Nom du système

Tri de l'arborescence des systèmes

Marqueurs

Fuseau horaire

A transférer

Espace disque total

Mémoire physique totale

Espace disque utilisé

Nom de l'utilisateur

Vdi

Propriétés de l'agent

Chaque produit McAfee définit les propriétés à communiquer à ePolicy Orchestrator, ainsi que cellesqui font partie d'un ensemble de propriétés minimales. Cette liste indique les types de données produitqui sont ainsi communiquées à ePolicy Orchestrator par le logiciel McAfee installé sur votre système.Si vous pensez que les valeurs transmises sont erronées, vérifiez les informations relatives à vosproduits avant de conclure à une erreur dans la communication des valeurs.



GUID de l'agent

Hachage de la clé de communication sécuriséeagent-serveur

Intervalle de communication agent-serveur

Appel de réactivation de l'agent

Port de communication de réactivation de l'agent

Nœud du cluster

Etat du service du cluster

Nom du cluster

Hôte du cluster

Nœuds membres du cluster

Chemin de ressource quorum du cluster

Adresse IP du cluster

Version des fichiers DAT

Version de moteur

Forcer le redémarrage automatique après

Version de hotFix/patch

Chemin d'installation

IsLazyCachingEnabled

Langue

Etat de la dernière mise en œuvre de stratégie

Etat de la dernière collecte des propriétés

Statut de licence

Homologue à homologue

Répertoire du référentiel homologue à homologue

Message d'invite à l'utilisateur quand un redémarrage est nécessaire

Intervalle de mise en œuvre de stratégies

Version du produit

Version de plug-in

Exécution immédiate prise en charge

Service Pack

Afficher l'icône McAfee dans la barre d'état système

RelayServer

Fonctionnalité SuperAgent

Référentiel SuperAgent

Mise en cache différée du SuperAgent

Répertoire du référentiel SuperAgent

Port de communication de réactivation du SuperAgent

Affichage des propriétés de McAfee Agent et des produitsUne tâche de dépannage courante consiste à vérifier que les modifications apportées aux stratégiescorrespondent aux propriétés extraites d'un système.


Procédure1 Cliquez sur Menu | Systèmes | Arborescence des systèmes.

2 Dans l'onglet Systèmes, cliquez sur la ligne correspondant au système que vous voulez examiner.

Les informations concernant les propriétés du système, des produits installés et de l'agent s'affichent.La partie supérieure de la page Informations système contient les fenêtres Synthèse, Propriétés etEvénements de menace. Elle contient également les onglets Propriétés du système, Produits,Evénements de menace et McAfee Agent.

Requêtes fournies par McAfee AgentLe serveur McAfee ePO fournit des requêtes standard associées à McAfee Agent.

Les requêtes suivantes sont installées dans le groupe partagé Gestion des agents.



Tableau 11-1 Requêtes fournies par McAfee Agent

Requête Description

Synthèse des communicationsdes agents

Graphique à secteurs des systèmes managés indiquant si chaqueagent McAfee Agent a communiqué avec le serveur McAfee ePO aucours des dernières 24 heures.

Etat des gestionnaires d'agents Graphique à secteurs affichant l'état de la communication desgestionnaires d'agents au cours de la dernière heure.

Statistiques de l'agent Graphique à secteurs affichant les statistiques de McAfee Agent :• Nombre de connexions vers des agents RelayServer ayant échoué

• Nombre de tentatives de connexion au serveur RelayServer unefois le nombre maximal de connexions autorisé atteint

• Informations sur la bande passante économisée par l'utilisation dela hiérarchie de SuperAgent

Synthèse des versions del'agent

Graphique à secteurs indiquant les agents (ordonnés par numéro deversion) qui sont installés sur les systèmes managés.

Agents inactifs Tableau répertoriant tous les systèmes managés dont les agentsn'ont pas communiqué au cours du dernier mois.

Référentiels et pourcentaged'utilisation

Graphique à secteurs indiquant l'utilisation de référentielsindividuels en pourcentage par rapport à tous les référentiels.

Utilisation des référentiels enfonction des extractions defichiers DAT et de moteur

Graphique à barres empilées indiquant le nombre d'extractions defichiers DAT et de moteur effectuées par référentiel.

Systèmes par gestionnaired'agents

Graphique à secteurs indiquant le nombre de systèmes managés pargestionnaire d'agents.

Gestion de la communication agent-serveurModifiez les paramètres de l'ePolicy Orchestrator pour adapter la communication agent-serveur auxbesoins de votre environnement.

Autorisation de la mise en cache des informationsd'identification pour le déploiement de l'agent Les administrateurs doivent fournir des informations d'identification pour déployer des agents à partirde votre serveur McAfee ePO sur des systèmes de votre réseau. Vous pouvez choisir d'autoriser ounon la mise en cache des informations d'identification pour le déploiement de l'agent pour chaqueutilisateur.

Une fois les informations d'identification d'un utilisateur mises en cache, cet utilisateur peut déployerdes agents sans avoir à les préciser à nouveau. Les informations d'identification sont mises en cachepour chaque utilisateur. Par conséquent, un utilisateur qui n'a pas fourni précédemment sesinformations d'identification ne peut pas déployer des agents sans d'abord fournir ces dernières.


Procédure

1 Cliquez sur Menu | Configuration | Paramètres serveur, sélectionnez Informations d'identification pour le déploiementde l'agent dans les Catégories de paramètres, puis cliquez sur Modifier.

2 Activez la case à cocher autorisant la mise en cache des informations d'identification pour ledéploiement de l'agent.

11 Communication agent-serveurGestion de la communication agent-serveur


Changement des ports de communication de l'agent Vous pouvez changer certains des ports utilisés pour la communication sur votre serveur McAfee ePO.

Il est possible de modifier les paramètres des ports de communication de l'agent suivants :

• Port sécurisé de communication agent-serveur

• Port de communication de réactivation de l'agent

• Port de communication de diffusion de l'agent


Procédure1 Cliquez sur Menu | Configuration | Paramètres serveur, sélectionnez Ports dans les Catégories de paramètres, puis

cliquez sur Modifier.

2 Choisissez si vous voulez activer le port 443 en tant que port sécurisé pour les communicationsagent-serveur, entrez les ports à utiliser pour les appels de réactivation de l'agent et les diffusionsde l'agent, puis cliquez sur Enregistrer.

Communication agent-serveurGestion de la communication agent-serveur 11


11 Communication agent-serveurGestion de la communication agent-serveur


12 Clés de sécurité

Les clés de sécurité servent à vérifier et à authentifier les communications et le contenu au sein devotre environnement managé par ePolicy Orchestrator.

Sommaire Description et fonctionnement des clés de sécurité Paire de clés du référentiel maître Clés publiques d'autres référentiels Gestion des clés de référentiel Clés de communication sécurisée agent-serveur Sauvegarde et restauration des clés

Description et fonctionnement des clés de sécuritéLe serveur McAfee ePO utilise trois paires de clés de sécurité.

Les trois paires de clés de sécurité sont utilisées pour :

• authentifier la communication agent-serveur ;

• vérifier le contenu des référentiels locaux ;

• vérifier le contenu des référentiels distants.

La clé secrète de chaque paire signe les messages ou les packages à la source, tandis que la clépublique de la paire vérifie ceux-ci au niveau de la cible.

Clés de communication sécurisée agent-serveur

• La première fois que l'agent communique avec le serveur, il envoie sa clé publique au serveur.

• Après quoi, le serveur utilise la clé publique de l'agent pour vérifier les messages signés avec la clésecrète de l'agent.

• Le serveur utilise sa propre clé secrète pour signer les messages qu'il envoie à l'agent.

• L'agent utilise la clé publique du serveur pour vérifier les messages du serveur.

• Vous pouvez disposer de plusieurs paires de clés de communications sécurisées, mais une seulepeut être désignée comme clé maître.

• Lorsque la tâche client de mise à jour des clés de l'agent est exécutée (McAfee ePO Agent Key Updater),les agents utilisant différentes clés publiques reçoivent la clé publique actuellement employée.

• Lorsque vous effectuez une mise à niveau, les clés existantes sont migrées vers votre serveurMcAfee ePO.

12


Paires de clés du référentiel maître local

• La clé secrète du référentiel signe le package avant que ce dernier ne soit archivé dans leréférentiel.

• La clé publique de référentiel vérifie le contenu des packages de ce dernier.

• L'agent extrait le nouveau contenu disponible chaque fois que la tâche de mise à jour client estexécutée.

• Cette paire de clés est unique pour chaque serveur.

• En exportant et en important les clés d'un serveur à l'autre, vous pouvez utiliser la même paire declés dans un environnement hébergeant plusieurs serveurs.

Autres paires de clés de référentiel

• La clé secrète d'une source approuvée signe son contenu lors de la publication de ce contenu dansson référentiel distant. Parmi les sources approuvées figurent le site de téléchargement McAfee etle référentiel McAfee Security Innovation Alliance (SIA).

Si cette clé est supprimée, vous ne pouvez pas exécuter une tâche d'extraction, même si vousimportez une clé d'un autre serveur. Avant de remplacer ou de supprimer cette clé, veillez à lasauvegarder dans un emplacement sûr.

• La clé publique de McAfee Agent vérifie le contenu récupéré du référentiel distant.

Paire de clés du référentiel maîtreLa clé privée du référentiel maître signe tout le contenu non signé dans le référentiel maître. Cette cléest une fonctionnalité des agents de la version 4.0 ou des versions ultérieures.

Les agents de la version 4.0 ou ultérieure utilisent la clé publique pour vérifier le contenu deréférentiel provenant du référentiel maître du serveur McAfee ePO. Si le contenu n'est pas signé ou s'ilest signé avec une clé privée de référentiel inconnue, le contenu téléchargé n'est pas considérécomme valide et il est supprimé.

Cette paire de clés est unique pour chaque installation de serveur. Toutefois, en exportant et enimportant les clés, vous pouvez utiliser la même paire de clés dans un environnement hébergeantplusieurs serveurs. Cela permet aux agents de toujours se connecter à l'un de vos référentielsmaîtres, même en cas de défaillance d'un référentiel.

Clés publiques d'autres référentielsLes clés autres que la paire de clés maître sont des clés publiques utilisées par les agents pour vérifierle contenu d'autres référentiels maîtres de votre environnement ou de sites sources McAfee. Chaqueagent qui rend compte à ce serveur utilise les clés de la liste Clés publiques d'autres référentiels pour vérifierle contenu provenant d'autres serveurs McAfee ePO de votre organisation ou de sources McAfee.

Si un agent télécharge du contenu émanant d'une source pour laquelle il ne dispose pas de la clépublique appropriée, il supprime ce contenu.

Ces clés constituent une nouvelle fonctionnalité d'ePO et seuls les agents de la version 4.0 ou d'uneversion ultérieure peuvent utiliser les nouveaux protocoles.

12 Clés de sécuritéPaire de clés du référentiel maître


Gestion des clés de référentielVous pouvez utiliser ces procédures pour gérer les clés de référentiel.

Procédures

• Utilisation d'une même paire de clés de référentiel maître pour tous les serveurs, page 173Vous pouvez vous assurer que tous les agents et serveurs McAfee ePO utilisent la mêmepaire de clés de référentiel maître dans un environnement multiserveur en utilisant lesparamètres serveur.

• Utilisation des clés de référentiel maître dans des environnements multiserveurs, page 173Assurez-vous que les agents peuvent utiliser le contenu provenant de n'importe quelserveur McAfee ePO de votre environnement via l'option Paramètres serveur.

Utilisation d'une même paire de clés de référentiel maître pourtous les serveursVous pouvez vous assurer que tous les agents et serveurs McAfee ePO utilisent la même paire de clésde référentiel maître dans un environnement multiserveur en utilisant les paramètres serveur.

Cela consiste, dans un premier temps, à exporter la paire de clés que tous les serveurs doiventutiliser, puis à l'importer vers tous les autres serveurs de votre environnement.


1 Cliquez sur Menu | Configuration | Paramètres serveur, sélectionnez Clés de sécurité dans la liste Catégories deparamètres, puis cliquez sur Modifier.

La page Clés de sécurité : Modifier s'affiche.

2 En regard de Paire de clés du référentiel maître local, cliquez sur Exporter la paire de clés.

3 Cliquez sur OK. La boîte de dialogue Téléchargement de fichier s'affiche.

4 Cliquez sur Enregistrer, accédez à un emplacement accessible par les autres serveurs et dans lequelvous allez enregistrer le fichier ZIP contenant les fichiers de clés de communication sécurisée, puiscliquez sur Enregistrer.

5 En regard de l'option Importer et sauvegarder des clés, cliquez sur Importer.

6 Accédez au fichier ZIP contenant les fichiers de clés du référentiel maître exportés, puis cliquez surSuivant.

7 Assurez-vous qu'il s'agit bien des clés à importer, puis cliquez sur Enregistrer.

La paire de clés du référentiel maître importé remplace la paire de clés existante sur ce serveur. Lesagents commencent à utiliser la nouvelle paire de clés dès la fin de leur tâche de mise à jour suivante.Une fois la paire de clés du référentiel maître modifiée, il faut attendre la prochaine communicationsécurisée agent-serveur pour que l'agent utilise la nouvelle clé.

Utilisation des clés de référentiel maître dans desenvironnements multiserveursAssurez-vous que les agents peuvent utiliser le contenu provenant de n'importe quel serveur McAfeeePO de votre environnement via l'option Paramètres serveur.

Le serveur signe tout le contenu non signé qui est archivé dans le référentiel par l'intermédiaire de laclé privée du référentiel maître. Les agents utilisent les clés publiques des référentiels pour valider lecontenu extrait des référentiels de votre entreprise ou de sites source McAfee.

Clés de sécuritéGestion des clés de référentiel 12


La paire de clés du référentiel maître est propre à chaque installation d'ePolicy Orchestrator. Si vousutilisez plusieurs serveurs, chacun utilise une clé différente. Si vos agents sont autorisés à téléchargerdu contenu provenant de différents référentiels maîtres, vous devez faire en sorte que ce contenu soitreconnu comme étant valide par ces agents.

Pour ce faire, deux options sont possibles :

• Utilisez la même paire de clés de référentiel maître pour tous les serveurs et agents.

• Assurez-vous que les agents sont configurés pour reconnaître toutes les clés publiques deréférentiel utilisées dans votre environnement.

Cette tâche permet d'exporter la paire de clés d'un serveur McAfee ePO vers un serveur McAfee ePOcible, puis sur le serveur McAfee ePO cible, elle importe et remplace la paire existante.


Procédure1 A partir du serveur McAfee ePO hébergeant la paire de clés du référentiel maître, cliquez sur Menu |

Configuration | Paramètres serveur, sélectionnez Clés de sécurité dans la liste Catégories de paramètres, puiscliquez sur Modifier.

2 En regard de Paire de clés du référentiel maître local, cliquez sur Exporter la paire de clés puis cliquez sur OK.

3 Dans la boîte de dialogue Téléchargement de fichier, cliquez sur Enregistrer.

4 Accédez à l'emplacement du serveur McAfee ePO cible dans lequel enregistrer le fichier ZIP. Le caséchéant, modifiez le nom du fichier puis cliquez sur Enregistrer.

5 A partir du serveur McAfee ePO cible sur lequel vous souhaitez charger la paire de clés duréférentiel maître, cliquez sur Menu | Configuration | Paramètres serveur, sélectionnez Clés de sécurité dans laliste Catégories de paramètres, puis cliquez sur Modifier.

6 Sur la page Modifier les clés de sécurité :

a En regard de l'option Importer et sauvegarder des clés, cliquez sur Importer.

b En regard de l'option Sélectionner un fichier, accédez au fichier de la paire de clés maîtreenregistrée, sélectionnez-le puis cliquez sur Suivant.

c Si les informations de synthèse vous semblent correctes, cliquez sur Enregistrer. La nouvelle pairede clés maître s'affiche dans la liste en regard de l'option Clés de communication sécurisée agent-serveur.

7 Dans la liste, sélectionnez le fichier importé lors des étapes précédentes et cliquez sur Convertir enmaître. La paire de clés maître existante est remplacée par la nouvelle paire de clés que vous venezd'importer.

8 Cliquez sur Enregistrer pour terminer la procédure.

12 Clés de sécuritéGestion des clés de référentiel


Clés de communication sécurisée agent-serveurLes agents utilisent des clés de communication sécurisée agent-serveur pour communiquer en toutesécurité avec le serveur.

Vous pouvez configurer n'importe quelle paire de clés de communication sécurisée agent-serveur entant que paire de clés maître, qui est celle actuellement attribuée à tous les agents déployés. Lesagents utilisant d'autres clés de la liste Clés de communication sécurisée agent-serveur n'adopteront pas lanouvelle paire de clés maître, sauf si une tâche client de mise à jour des clés de l'agent est planifiée etexécutée.

Il est important de s'assurer que tous les agents utilisent bien la nouvelle paire de clés maître avant desupprimer les anciennes.

Les agents Windows antérieurs à la version 4.0 ne sont pas pris en charge.

Gestion des clés de communication sécurisée agent-serveurGénérer, exporter, importer ou supprimer des clés de communication sécurisée agent-serveur à partirde la page Paramètres serveur.


1 Ouvrez la page Modifier les clés de sécurité.

a Cliquez sur Menu | Configuration | Paramètres serveur.

b Dans la liste Catégories de paramètres, sélectionnez Clés de sécurité.


Clés de sécuritéClés de communication sécurisée agent-serveur 12


Action Etapes

Générer et utiliserles nouvelles pairesde clés decommunicationsécuriséeagent-serveur

1 En regard de la liste Clés de communication sécurisée agent-serveur, cliquez surNouvelle clé. Dans la boîte de dialogue, entrez le nom de la clé de sécurité.

2 Si vous voulez que les agents existants utilisent la nouvelle clé,sélectionnez-la dans la liste, puis cliquez sur Convertir en maître. Les agentscommencent à utiliser la nouvelle clé à la fin de la tâche suivante de miseà jour McAfee Agent.Vérifiez la présence d'un package Agent Key Updater pour chaque versionde McAfee Agent managé par le serveur McAfee ePO.

Sur les installations de grande taille, il est préférable d'éviter lagénération et l'utilisation de nouvelles paires de clés maîtres lorsque cen'est pas indispensable. Il est conseillé d'effectuer cette procédure parétapes afin de surveiller la progression de près.

3 Lorsque plus aucun agent n'utilise l'ancienne clé, supprimez-la.Dans la liste des clés, à la droite de chaque clé figure le nombre d'agentsqui l'utilisent actuellement.

4 Sauvegardez toutes les clés.

Exportation de clésde communicationsécuriséeagent-serveur

Exportez les clés de communication sécurisée agent-serveur d'un serveurMcAfee ePO vers un autre serveur McAfee ePO afin que les agents puissentaccéder au nouveau serveur McAfee ePO.1 Dans la liste Clés de communication sécurisée agent-serveur, sélectionnez une clé,

puis cliquez sur Exporter.

2 Cliquez sur OK.Votre navigateur vous invite à télécharger le fichier sr<NomServeur>.zipà l'emplacement indiqué.

Si vous avez défini un emplacement par défaut pour les téléchargementseffectués avec le navigateur, ce fichier peut être automatiquementenregistré à cet emplacement.

Importation de clésde communicationsécuriséeagent-serveur

Importez les clés de communication sécurisée agent-serveur qui ont étéexportées depuis un autre serveur McAfee ePO afin que les agents de cedernier puissent accéder à ce serveur McAfee ePO.1 Cliquez sur Importer.

2 Accédez à la clé à l'emplacement où vous l'avez enregistrée (sur leBureau, par défaut). Sélectionnez-la, puis cliquez sur Ouvrir.

3 Cliquez sur Suivant puis vérifiez les informations indiquées dans la pageImporter des clés.


12 Clés de sécuritéClés de communication sécurisée agent-serveur


Action Etapes

Conversion enmaître d'une pairede clés decommunicationsécuriséeagent-serveur

Convertissez en maître la paire de clés indiquée. Définissez une paire declés maître après avoir importé ou généré une paire de clés.1 Dans la liste Clés de communication sécurisée agent-serveur, sélectionnez une clé,

puis cliquez sur Convertir en maître.

2 Créez une tâche de mise à jour pour les agents, à exécuterimmédiatement, afin que les agents soient mis à jour après lacommunication agent-serveur suivante.

Assurez-vous que le package Agent Key Updater est archivé dans leRéférentiel maître d'ePolicy Orchestrator. Les agents commencent àutiliser la nouvelle paire de clés à la fin de la tâche de mise à joursuivante de McAfee Agent. A tout moment, vous pouvez vérifier lesagents qui utilisent les paires de clés de communication sécuriséeagent-serveur répertoriées dans la liste.


Suppression de clésde communicationsécuriséeagent-serveur

Veillez à ne pas supprimer les clés actuellement utilisées par des agents. Eneffet, ces agents ne pourraient plus communiquer avec le serveur McAfeeePO.

1 Dans la liste Clés de communication sécurisée agent-serveur, sélectionnez la clé àsupprimer, puis cliquez sur Supprimer.

2 Cliquez sur OK pour supprimer la paire de clés du serveur.

Affichage des systèmes qui utilisent une paire de clés decommunication sécurisée agent-serveurVous pouvez afficher les systèmes dont les agents utilisent une paire de clés de communicationsécurisée agent-serveur spécifique dans la liste Clés de communication sécurisée agent-serveur.

Après avoir converti une paire de clés spécifique en maître, vous souhaitez peut-être afficher lessystèmes qui utilisent toujours la paire de clés précédente. Ne supprimez pas une paire de clés avantd'être certain qu'aucun agent ne l'utilise.


Procédure1 Cliquez sur Menu | Configuration | Paramètres serveur, sélectionnez Clés de sécurité dans la liste Catégories

de paramètres, puis cliquez sur Modifier.

2 Dans la liste Clés de communication sécurisée agent-serveur, sélectionnez une clé, puis cliquez sur Afficher lesagents.

La page Systèmes utilisant cette clé répertorie tous les systèmes dont les agents utilisent la clé sélectionnée.

Utilisation de la même paire de clés de communicationsécurisée agent-serveur pour tous les serveurs et agentsVérifiez que tous les agents et serveurs McAfee ePO utilisent la même paire de clés de communicationsécurisée agent-serveur.

Si votre environnement comporte un grand nombre de systèmes managés, McAfee conseille d'effectuerces opérations étape par étape afin de surveiller les mises à jour des agents.

Clés de sécuritéClés de communication sécurisée agent-serveur 12


Procédure1 Créez une tâche de mise à jour de l'agent.

2 Exportez les clés requises depuis le serveur McAfee ePO sélectionné.

3 Importez les clés exportées sur tous les autres serveurs.

4 Désignez les clés importées comme clés maîtres sur tous les serveurs.

5 Effectuez deux appels de réactivation de l'agent.

6 Dès que tous les agents utilisent les nouvelles clés, supprimez celles qui sont inutilisées.


Utilisation d'une paire de clés de communication sécuriséeagent-serveur différente sur chaque serveur McAfee ePOVous pouvez utiliser une paire de clés de communication sécurisée agent-serveur différente pourchaque serveur McAfee ePO, dans le but de garantir que tous les agents peuvent communiquer avecles serveurs McAfee ePO requis, dans un environnement où chaque serveur doit posséder une paire declés unique.

Les agents ne peuvent communiquer qu'avec un seul serveur à la fois. Le serveur McAfee ePO peutavoir plusieurs clés pour communiquer avec des agents différents, mais il n'en va pas de même pour lesagents. Ceux-ci ne peuvent pas avoir plusieurs clés pour communiquer avec plusieurs serveurs McAfeeePO.


Procédure1 Depuis chaque serveur McAfee ePO de votre environnement, exportez la paire de clés de

communication sécurisée agent-serveur maître vers un emplacement temporaire.

2 Importez les différentes paires de clés sur chaque serveur McAfee ePO.

Sauvegarde et restauration des clésSauvegardez régulièrement toutes les clés de sécurité et effectuez toujours une sauvegarde avantd'apporter une quelconque modification aux paramètres de gestion des clés.

Il est également recommandé de les enregistrer dans un emplacement réseau sécurisé, de telle sortequ'elles puissent être restaurées facilement dans l'éventualité où certaines clés situées sur le serveurMcAfee ePO seraient irrécupérables.


1 Cliquez sur Menu | Configuration | Paramètres serveur, sélectionnez Clés de sécurité dans la liste Catégories deparamètres, puis cliquez sur Modifier.

La page Clés de sécurité : Modifier s'affiche.


12 Clés de sécuritéSauvegarde et restauration des clés


Action Etapes

Sauvegardertoutes les clésde sécurité.

1 Cliquez ensuite sur Tout sauvegarder au bas de la page.La boîte de dialogue Sauvegarder la banque de clés s'affiche.

2 Vous pouvez soit entrer un mot de passe pour chiffrer le fichier ZIP de labanque de clés, soit cliquer sur OK pour enregistrer les fichiers sous la formede texte non chiffré.

3 Dans la boîte de dialogue de téléchargement de fichier, cliquez sur Enregistrerpour créer un fichier ZIP de toutes les clés de sécurité.La boîte de dialogue Enregistrer sous s'affiche.

4 Accédez à l'emplacement réseau sécurisé où vous souhaitez enregistrer lefichier ZIP, puis cliquez sur Enregistrer.

Restaurer lesclés de sécurité.

1 Cliquez ensuite sur Tout restaurer au bas de la page.La page Restaurer les clés de sécurité s'affiche.

2 Accédez au fichier ZIP contenant les clés de sécurité, sélectionnez-le puiscliquez sur Suivant.La page Synthèse de l'Assistant Restaurer les clés de sécurité s'ouvre.

3 Accédez aux clés qui doivent remplacer votre clé existante, puis cliquez surSuivant.

4 Cliquez sur Restaurer.La page Clés de sécurité : Modifier s'affiche à nouveau.

5 Accédez à l'emplacement réseau sécurisé où vous souhaitez enregistrer lefichier ZIP, puis cliquez sur Enregistrer.

Restaurer lesclés de sécuritéà partir d'unfichier desauvegarde.

1 Cliquez ensuite sur Tout restaurer au bas de la page.La page Restaurer les clés de sécurité s'affiche.

2 Accédez au fichier ZIP contenant les clés de sécurité, sélectionnez-le puiscliquez sur Suivant.La page Synthèse de l'Assistant Restaurer les clés de sécurité s'ouvre.

3 Recherchez le fichier ZIP de sauvegarde et sélectionnez-le, puis cliquez surSuivant.

4 Cliquez ensuite sur Tout restaurer au bas de la page.L'Assistant Restaurer les clés de sécurité s'ouvre.

5 Recherchez le fichier ZIP de sauvegarde et sélectionnez-le, puis cliquez surSuivant.

6 Vérifiez si les clés contenues dans le fichier sont bien celles qui doiventremplacer vos clés existantes, puis cliquez sur Tout restaurer.

Clés de sécuritéSauvegarde et restauration des clés 12


12 Clés de sécuritéSauvegarde et restauration des clés


13 Gestionnaire de logiciels

Utilisez le gestionnaire de logiciels pour passer en revue et acquérir des logiciels et des composantslogiciels McAfee.

Sommaire Présentation du gestionnaire de logiciels Archivage, mise à jour et suppression de logiciels à l'aide du gestionnaire de logiciels Vérification de la compatibilité des produits

Présentation du gestionnaire de logicielsGrâce au gestionnaire de logiciels, vous n'êtes plus obligé d'accéder au site web de téléchargement deproduits McAfee pour obtenir un nouveau logiciel McAfee et des mises à jour de logiciels.

Vous pouvez utiliser le gestionnaire de logiciels pour télécharger les éléments suivants :

• Logiciels sous licence

• Logiciels d'évaluation

• Mises à jour de logiciels

• Documentation sur les produits

Il n'est pas possible de télécharger les fichiers DAT et les moteurs à partir du gestionnaire de logiciels.

Logiciels sous licence

Les logiciels sous licence représentent tous les logiciels McAfee achetés par votre entreprise. Lorsquevous affichez le gestionnaire de logiciels dans la console ePolicy Orchestrator, tous les logiciels souslicence de votre société qui ne sont pas encore installés sur votre serveur sont affichés dans lacatégorie de produits Logiciels non archivés. Le nombre affiché en regard de chaque sous-catégorie dansla liste Catégories de produits représente le nombre de produits disponibles.

Logiciels d'évaluation

Les logiciels d'évaluation sont des logiciels pour lesquels votre entreprise ne possède pas encore delicence. Vous pouvez installer les logiciels d'évaluation sur votre serveur, mais il se peut que lesfonctionnalités offertes restent limitées tant que vous n'avez pas acheté la licence du produit.

Mises à jour de logiciels

Lorsqu'une nouvelle mise à jour pour le logiciel que vous utilisez est distribuée, vous pouvez utiliser legestionnaire de logiciels pour archiver les nouveaux packages et les nouvelles extensions. Les mises àjour de logiciels disponibles sont répertoriées dans la catégorie Mises à jour disponibles.

13


Documentation sur les produits

La documentation produit, nouvelle ou mise à jour, peut être obtenue par l'intermédiaire dugestionnaire de logiciels. Les extensions d'aide peuvent être installées automatiquement. Ladocumentation au format PDF et HTML, par exemple les guides produit et les notes de distribution,peut également être téléchargée à partir du gestionnaire de logiciels.

A propos des dépendances entre composants logiciels

De nombreux logiciels que vous pouvez installer pour les utiliser avec votre serveur McAfee ePO ontdes dépendances prédéfinies par rapport à d'autres composants. Les dépendances pour les extensionsde produit sont installées automatiquement. Pour tous les autres composants, vous devez vérifier laliste des dépendances à la page des informations sur le composant, et les installer au préalable.

Archivage, mise à jour et suppression de logiciels à l'aide dugestionnaire de logiciels

A partir du gestionnaire de logiciels, vous pouvez archiver, mettre à jour et supprimer des composantsde produits managés de votre serveur.

Les logiciels sous licence et les versions d'évaluation sont accessibles dans le gestionnaire de logiciels.

La disponibilité des logiciels ainsi que leur catégorie, telle que Sous licence ou Evaluation, dépendent devotre clé de licence. Pour en savoir plus, contactez votre administrateur.


Procédure1 Cliquez sur Menu | Logiciels | Gestionnaire de logiciels.

2 Dans la liste Catégories de produits de la page Gestionnaire de logiciels, sélectionnez une des catégoriessuivantes, ou utilisez la zone de recherche pour trouver votre logiciel :

• Mises à jour disponibles — Répertorie toutes les mises à jour disponibles de composants logicielssous licence déjà installés ou archivés sur ce serveur McAfee ePO.

• Logiciels archivés — Affiche tous les logiciels (qu'ils soient Sous licence ou en version d'Evaluation)installés ou archivés sur ce serveur.

Si vous avez récemment ajouté la licence d'un produit et que celui-ci apparaît comme Evaluation,cliquez sur Actualiser pour mettre à jour le nombre de licences et afficher le produit comme Souslicence sous Logiciels archivés.

• Logiciels non archivés — Affiche tous les logiciels disponibles qui ne sont pas installés sur ce serveur.

• Logiciels (par étiquette) — Affiche les logiciels par fonction, tels que décrits par les suites de produitsMcAfee.

3 Lorsque vous avez trouvé le logiciel correct, cliquez sur :

• Télécharger pour télécharger la documentation produit sur un emplacement de votre réseau.

• Archiver pour archiver une extension de produit ou un package sur ce serveur.

13 Gestionnaire de logicielsArchivage, mise à jour et suppression de logiciels à l'aide du gestionnaire de logiciels


• Mettre à jour pour mettre à jour un package ou une extension actuellement installés ou archivéssur ce serveur.

• Supprimer pour désinstaller un package ou une extension actuellement installés ou archivés sur ceserveur.

4 Dans la page Récapitulatif de l'archivage des logiciels, passez en revue les détails du produit et l'accord delicence utilisateur final, puis cliquez sur OK pour terminer l'opération.

Vérification de la compatibilité des produitsVous pouvez configurer la fonction Vérification de la compatibilité des produits de manière àtélécharger automatiquement une Liste de compatibilité des produits depuis McAfee.

Cette liste répertorie les produits qui ne sont plus compatibles dans votre environnement McAfee ePO.

McAfee ePO effectue cette vérification chaque fois que l'installation et le démarrage d'une extensionrisquent de placer votre serveur dans un état de vulnérabilité. Cette vérification est effectuée dans lescas suivants :

• lors d'une mise à niveau depuis une version antérieure de McAfee ePO ;

• Lors de l'installation d'une extension à partir du menu Extensions.

• Avant l'extraction d'une nouvelle extension à partir du Gestionnaire de logiciels

• lors de la réception d'une nouvelle liste de compatibilité de la part de McAfee ;

• lors de l'exécution de l'Utilitaire de migration de données.

Pour plus d'informations, reportez-vous au Guide d'installation du logiciel McAfee ePolicy Orchestrator.

Vérification de la compatibilité des produits

Cette fonction Vérification de la compatibilité des produits utilise un fichier XML appelé Liste decompatibilité des produits pour déterminer les extensions de produits dont il est avéré qu'elles ne sontpas compatibles avec une version de McAfee ePO.

Une liste initiale est incluse dans le package logiciel McAfee ePO téléchargé depuis le site web deMcAfee. Lorsque vous exécutez le programme d'installation au cours d'une installation ou d'une mise àniveau, McAfee ePO récupère automatiquement la liste la plus récente des extensions compatibles àpartir d'une source McAfee fiable. Si la source Internet n'est pas disponible ou si la liste ne peut pasêtre vérifiée, McAfee ePO utilise la dernière version disponible.

Le serveur McAfee ePO met à jour la Liste de compatibilité des produits en arrière-plan une fois parjour.

Actions correctives

Lorsque vous consultez la liste des extensions incompatibles depuis le programme d'installation, oul'Utilitaire de compatibilité pour la mise à niveau, vous êtes averti, le cas échéant, de la disponibilitéd'une extension de remplacement connue.

Les situations suivantes peuvent se produire lors d'une mise à niveau :

Gestionnaire de logicielsVérification de la compatibilité des produits 13


• Une extension bloque la mise à niveau et doit être supprimée ou remplacée avant la poursuite del'opération.

• Une extension est désactivée et vous devrez la mettre à jour une fois la mise à niveau de McAfeeePO terminée.

Pour plus d'informations, reportez-vous à la section Extensions bloquées ou désactivées.

Désactivation des mises à jour automatiques

Vous pouvez désactiver les mises à jour automatiques de la Liste de compatibilité des produits pourempêcher le téléchargement d'une nouvelle liste.

Le téléchargement est effectué en arrière-plan, ou lorsque le contenu du Gestionnaire de logiciels estactualisé. Ce paramètre peut s'avérer utile si votre serveur McAfee ePO ne dispose pas d'un accèsInternet entrant. Pour plus d'informations, reportez-vous à la section Modification du téléchargementde la Liste de compatibilité des produits

La réactivation du paramètre de téléchargement de la Liste de compatibilité des produits permetégalement de réactiver les mises à jour automatiques de la Liste de compatibilité des produits à partirdu Gestionnaire de logiciels.

Utilisation d'une Liste de compatibilité des produits téléchargée manuellement

Vous pouvez utiliser une Liste de compatibilité des produits téléchargée manuellement si votre serveurMcAfee ePO ne dispose pas d'un accès Internet.

Vous pouvez télécharger manuellement la liste dans les cas suivants :

• Lorsque vous installez McAfee ePO. Pour plus d'informations, reportez-vous à la section Extensionsbloquées ou désactivées.

• Lorsque vous utilisez Paramètres serveur | Liste de compatibilité des produits pour charger manuellement uneListe de compatibilité des produits. Cette liste prend effet immédiatement après le chargement.

Désactivez la mise à jour automatique de la Liste de compatibilité des produits pour éviter deremplacer la liste téléchargée manuellement. Pour plus d'informations, reportez-vous à la sectionModification du téléchargement de la Liste de compatibilité des produits.

Cliquez sur ProductCompatibilityList.xml pour télécharger manuellement la liste.

Extensions bloquées ou désactivées

Si une extension est bloquée dans la Liste de compatibilité des produits, elle empêche la mise à niveaudu logiciel McAfee ePO. Si une extension est désactivée, la mise à niveau n'est pas bloquée. Toutefois,l'extension n'est pas initialisée après la mise à niveau tant qu'une extension de remplacement connuen'est pas installée.

Options de ligne de commande pour l'installation de la Liste de compatibilité desproduits

Vous pouvez utiliser les options de ligne de commande suivantes avec la commande setup.exe pourconfigurer les téléchargements de la Liste de compatibilité des produits.

13 Gestionnaire de logicielsVérification de la compatibilité des produits


https://epo.mcafee.com/ProductCompatibilityList.xml

Commande Description

setup.exe DISABLEPRODCOMPATUPDATE=1 Désactive le téléchargementautomatique de la Liste decompatibilité des produits àpartir du site web de McAfee.

setup.exePRODCOMPATXML=<nomfichier_complet_comportant_le_chemin>

Spécifie un autre fichier deListe de compatibilité desproduits.

Les deux options de ligne de commande peuvent être utilisées ensemble dans une chaîne decommande.

Reconfiguration du téléchargement de la liste de compatibilitédes produitsVous pouvez télécharger la liste de compatibilité des produits à partir d'Internet ou utiliser une listetéléchargée manuellement dans le but d'identifier les produits qui ne sont plus compatibles dans votreenvironnement ePolicy Orchestrator.

Avant de commencerToute liste de compatibilité des produits téléchargée manuellement doit être un fichier XMLvalide fourni par McAfee.

Toute modification apportée au fichier XML de liste de compatibilité des produits entraînel'invalidation du fichier.


1 Cliquez sur Menu | Configuration | Paramètres serveur, sélectionnez Liste de compatibilité des produits dans lesCatégories de paramètres, puis cliquez sur Modifier.

La liste des extensions incompatibles désactivées s'affiche dans un tableau sur la première page.

2 Cliquez sur Désactivé pour arrêter les téléchargements automatiques et réguliers de la liste decompatibilité des produits de McAfee.

3 Cliquez sur Parcourir et recherchez Charger manuellement la liste de compatibilité des produits, puis cliquez surEnregistrer.

Vous avez à présent désactivé le téléchargement automatique de la liste de compatibilité des produits.Votre serveur McAfee ePO utilise donc la même liste de compatibilité des produits jusqu'à ce que vouschargiez une nouvelle liste, ou jusqu'à ce que vous connectiez le serveur à Internet et activiez letéléchargement automatique.

Gestionnaire de logicielsVérification de la compatibilité des produits 13


13 Gestionnaire de logicielsVérification de la compatibilité des produits


14 Déploiement de produits

ePolicy Orchestrator simplifie le processus de déploiement de produits de sécurité sur les systèmesmanagés du réseau en fournissant une interface utilisateur pour configurer et planifier lesdéploiements.

Vous pouvez déployer des produits à l'aide d'ePolicy Orchestrator en suivant deux procédures :

• Projets Déploiement de produits, qui simplifient le processus de déploiement et procurent plus deflexibilité.

• Tâches et objets Tâche client créés et gérés individuellement.

Sommaire Choix de la méthode de déploiement de produits Avantages des projets de déploiement de produits Explications relatives à la page Déploiement de produits Affichage des journaux d'audit des déploiements de produits Afficher le déploiement de produits Déploiement de produits à l'aide d'un projet de déploiement Surveillance et modification des projets de déploiement Déploiement d'un nouvel exemple de produit Mise à jour globale Déploiement automatique de packages de mise à jour à l'aide de la mise à jour globale

Choix de la méthode de déploiement de produitsLe choix de la méthode de déploiement de produits à suivre dépend des options de configuration déjàprises.

Les projets de déploiement de produits offrent un workflow simplifié et des fonctionnalités supplémentairespour déployer des produits sur vos systèmes managés par ePolicy Orchestrator. Toutefois, un projetde déploiement de produits ne permet pas d'agir sur, ni de gérer des objets Tâche client et des tâches créésavec une version du logiciel antérieure à la version 5.0.

Si vous souhaitez gérer et continuer à utiliser les tâches client et les objets créés sans l'aide d'unprojet de déploiement de produits, utilisez la bibliothèque des objets Tâche client et les interfacesd'affectation. Vous pouvez gérer ces tâches et objets existants tout en utilisant l'interface projetDéploiement de produits pour créer de nouveaux déploiements.

14


Avantages des projets de déploiement de produitsLes projets de déploiement de produits simplifient le déploiement des produits de sécurité sur vossystèmes managés en réduisant le temps et la charge nécessaires à la planification et à lamaintenance des déploiements au sein de votre réseau.

Les projets de déploiement de produits optimisent le processus de déploiement en regroupant ungrand nombre d'étapes nécessaires à la création et à la gestion des tâches de déploiement de produitsprises isolément. Ils offrent également les possibilités suivantes :

• Exécuter un déploiement de manière continue — Vous pouvez configurer votre projet dedéploiement de manière à ce que les produits soient automatiquement déployés lorsque desnouveaux systèmes répondant à vos critères sont ajoutés.

• Arrêter un déploiement en cours d'exécution — Si, pour une raison quelconque, vous devezarrêter un déploiement déjà lancé, vous avez la possibilité de le faire. Vous pouvez ensuitepoursuivre ce déploiement lorsque vous êtes prêt.

• Désinstaller un produit déployé précédemment : lorsqu'un projet de déploiement est terminé,si vous souhaitez désinstaller le produit associé des systèmes affectés à votre projet, sélectionnezDésinstaller dans la liste Action.

Le tableau suivant compare les deux méthodes de déploiement de produits : les objets tâche clientindividuels et les projets de déploiement de produits.

Tableau 14-1 Comparaison des méthodes de déploiement de produits

Objets tâcheclient

Comparaison Projet de déploiement de produits

Nom et description Identique Nom et description

Collecte deslogiciels produits àdéployer

Identique Collecte des logiciels produits à déployer

Utilisation desmarqueurs poursélectionner lessystèmes cibles

Améliorée dans lesprojets de déploiement

de produits

Sélectionnez le moment du déploiement :• Continu : les déploiements continus utilisent des

groupes ou des marqueurs de l'Arborescence dessystèmes, ce qui vous permet de déplacer dessystèmes dans ces groupes ou d'affecter desmarqueurs aux systèmes afin que le déploiement soitappliqué à ces systèmes.

• Fixe : les déploiements fixes utilisent une série desystèmes fixes (ou définis). Les systèmes sontsélectionnés via l'Arborescence des systèmes ou lestableaux de résultats de requêtes sur les systèmesmanagés.

Planification dudéploiement

Similaire La planification simplifiée vous permet de lancerimmédiatement le déploiement ou de le lancer à uneheure planifiée.

Non disponible Nouveauté dans lesprojets de déploiement

de produits

Surveillance de l'état du déploiement en cours, parexemple les déploiements planifiés mais non démarrés,en cours d'exécution, arrêtés, interrompus ou terminés


de produits

Affichage d'un instantané historique des donnéesrelatives au nombre de systèmes destinataires dudéploiement

Pour les déploiements fixes uniquement

14 Déploiement de produitsAvantages des projets de déploiement de produits


Tableau 14-1 Comparaison des méthodes de déploiement de produits (suite)

Objets tâcheclient

Comparaison Projet de déploiement de produits


de produits

Affichage de l'état des déploiements sur un systèmeindividuel, par exemple les systèmes installés, enattente et en échec


de produits

Modification d'une affectation de déploiement existanteà l'aide des fonctions suivantes :• Création pour la modification d'un déploiement

existant

• Modifier

• Dupliquer

• Supprimer

• Arrêter et Mettre en pause le déploiement

• Continuer et Reprendre le déploiement

• Désinstaller

Déploiement de produitsAvantages des projets de déploiement de produits 14


Explications relatives à la page Déploiement de produitsLa page Déploiement de produits vous permet de créer, de surveiller et de gérer vos projets dedéploiement de produits de manière centralisée.

La page est divisée en deux zones principales (zones 1 et 2 dans cette image). La zone 2 estelle-même divisée en cinq zones plus petites.

Figure 14-1 Page Déploiement de produits

Ces zones principales sont les suivantes :

1 Synthèse du déploiement — Répertorie les déploiements de produits et vous permet de les filtrerpar type et par état. Vous pouvez également consulter rapidement leur progression. Lorsque vouscliquez sur un déploiement, les détails le concernant s'affichent dans la zone des détails dudéploiement.

Une icône en forme de point d'exclamation indique soit qu'une désinstallation du déploiement est encours, soit que le package utilisé par le déploiement a été déplacé ou supprimé.

2 Détails du déploiement : répertorie les détails du déploiement sélectionné et comporte les zonessuivantes :

14 Déploiement de produitsExplications relatives à la page Déploiement de produits


2a Moniteur d'état : l'affichage de la progression et de l'état varie en fonction du type dedéploiement et de son état :• Dans le cadre d'un déploiement continu, un calendrier s'affiche si le déploiement est en

attente ou un graphique à barres lorsque le déploiement est en cours.

• Dans le cadre d'un déploiement fixe, un calendrier s'affiche si le déploiement est en attenteou, si le déploiement est en cours, un graphique à barres s'affiche si l'option Actuels estsélectionnée ou un histogramme si l'option Durée est sélectionnée.

Vous pouvez utiliser Action pour modifier un déploiement.

2b Détails : les détails affichés vous permettent de consulter les détails de la configuration dudéploiement et son état. Le cas échéant, cliquez sur Afficher les détails de la tâche pour ouvrir lapage Modifier le déploiement.

2c Nom du système : affiche une liste filtrable de systèmes cibles qui vont recevoir le déploiement.Les systèmes s'affichent en fonction du type de déploiement et du fait que les systèmes ontété sélectionnés individuellement, comme marqueurs, comme groupes de l'Arborescence dessystèmes ou comme tableaux de résultats de requête.

Lorsque vous cliquez sur Actions sur les systèmes, la liste filtrée des systèmes s'affiche dans uneboîte de dialogue plus détaillée et vous avez la possibilité d'effectuer des actions sur lessystèmes, notamment la mise à jour et la réactivation.

2d Etat — Affiche une barre d'état à trois sections indiquant la progression du déploiement et sonétat.

2e Marqueurs — Affiche les marqueurs associés à la ligne de systèmes.

Affichage des journaux d'audit des déploiements de produitsLes journaux d'audit de vos projets de déploiement contiennent des enregistrements de tous lesdéploiements de produits effectués à partir de la console à l'aide de la fonction Déploiement de produits.

Ces entrées de journal d'audit sont affichées sous forme de tableau pouvant être trié dans la zone desdétails de déploiement dans la page Déploiement de produits, ainsi que dans la page Journal d'audit quicontient les entrées de journal de toutes les actions utilisateur contrôlables. Vous pouvez utiliser cesfichiers journaux pour suivre, créer, modifier, dupliquer, supprimer et désinstaller les déploiements deproduits. Cliquez sur une entrée du journal pour en afficher les détails.

Afficher le déploiement de produitsAu cours du processus de déploiement de produit initial, ePolicy Orchestrator crée automatiquementun déploiement de produits. Vous pouvez vous en servir comme base pour créer d'autresdéploiements de produits.

Avant de commencerIl n'existe aucun déploiement de produits par défaut. Vous devez exécuter la Mise en routepour créer un déploiement de produits.

Pour plus d'informations sur le déploiement de produits, consultez la section du même nom.

Déploiement de produitsAffichage des journaux d'audit des déploiements de produits 14



1 Recherchez le déploiement de produits initialement créé : sélectionnez Menu | Déploiement de produits.

Le déploiement de produits créé initialement utilise le nom du groupe Arborescence des systèmes quevous avez configuré pendant la Mise en route et qui figure dans la liste Synthèse du déploiement sousDéploiement initial - Mon groupe. Par exemple, « Déploiement initial - Mon groupe ».

2 Pour afficher les détails du déploiement de produits, sélectionnez le nom du déploiement affecté àl'adresse URL du déploiement de produit initial que vous avez créée. La page affiche alors lesdétails de la configuration du déploiement de produits.

Ne modifiez pas ce déploiement de produits par défaut. Le déploiement s'exécute quotidiennementpour mettre à jour vos systèmes managés si McAfee Agent ou l'un des produits est mis à jour.

Vous connaissez désormais l'emplacement et la configuration du déploiement de produits crééinitialement. Vous pouvez dupliquer ce déploiement de produits, par exemple pour déployer McAfeeAgent sur des plates-formes utilisant des systèmes d'exploitation différents.

Vous pouvez également modifier la tâche client créée initialement nommée, par exemple Déploiementinitial - Mon groupe. Pour rechercher la tâche client, cliquez sur Menu | Catalogue de tâches client, la tâche estrépertoriée dans les Types de tâche client sous Déploiement de produits.

Déploiement de produits à l'aide d'un projet de déploiementLe déploiement de vos produits de sécurité sur les systèmes managés à l'aide d'un projet dedéploiement vous permet de sélectionner facilement les produits à déployer et les systèmes cibles,ainsi que de planifier le déploiement.


Procédure1 Cliquez sur Menu | Logiciels | Déploiement de produits.

2 Cliquez sur Nouveau déploiement pour ouvrir la page Nouveau déploiement et démarrer un nouveau projet.

3 Saisissez le nom et la description de ce déploiement. Ce nom s'affiche sur la page Déploiement deproduits après l'enregistrement du déploiement.

4 Sélectionnez le type de déploiement :

• Continu : pour utiliser vos groupes de l'arborescence des systèmes ou vos marqueurs pourconfigurer les systèmes sur lesquels le déploiement est effectué. Cela permet à ces systèmesd'évoluer dans le temps à mesure qu'ils sont ajoutés ou supprimés des groupes ou desmarqueurs.

• Fixe : pour utiliser un ensemble de systèmes fixe ou défini pour recevoir le déploiement. Lessystèmes sont sélectionnés via l'arborescence des systèmes ou les tableaux de résultats derequêtes sur les systèmes managés.

Si vous souhaitez que vos produits de sécurité soient automatiquement mis à jour, sélectionnez Miseà jour automatique. Cela permet également de déployer automatiquement les correctifs HotFix et lespatches de votre produit.

Vous ne pouvez pas désinstaller un produit si vous avez sélectionné Mise à jour automatique.

14 Déploiement de produitsDéploiement de produits à l'aide d'un projet de déploiement


5 Pour indiquer les logiciels à déployer, sélectionnez un produit dans la liste Package. Cliquez sur + ou -pour ajouter ou supprimer des packages.

Votre logiciel doit être archivé dans le référentiel maître avant de pouvoir être déployé. Les champsLangue et Branche sont renseignés automatiquement en fonction de l'emplacement et de la languespécifiés dans le référentiel maître.

6 Dans le champ texte Ligne de commande, spécifiez les options d'installation via ligne de commande.Consultez la documentation produit du logiciel que vous déployez pour obtenir des informations surles options de ligne de commande.

7 Dans la section Sélectionner les systèmes, cliquez sur Sélectionner des systèmes pour ouvrir la boîte dedialogue Sélection de systèmes.

La boîte de dialogue Sélection de systèmes permet d'utiliser un filtre pour sélectionner des groupesdans l'Arborescence des systèmes, des Marqueurs ou un sous-ensemble de systèmes groupés oumarqués. Les sélections que vous effectuez dans chaque onglet de cette boîte de dialogue sontconcaténées pour filtrer l'ensemble des systèmes cibles pour votre déploiement.

Par exemple, si l'arborescence des systèmes contient le groupe A, qui comporte à la fois desserveurs et des postes de travail, vous pouvez cibler le groupe complet, seulement les serveurs oules postes de travail (s'ils sont marqués comme il convient) ou un sous-ensemble d'un type desystème ou l'autre du groupe A.

Dans le cadre d'un déploiement fixe, le nombre maximal de systèmes cibles du déploiement estde 500.

Le cas échéant, configurez les options suivantes :

• Exécuter à chaque mise en œuvre de stratégies (Windows uniquement)

• Autoriser les utilisateurs finaux à reporter ce déploiement (Windows uniquement)

• Nombre maximum de reports autorisés

• L'option de report expire après

• Afficher ce texte

8 Choisissez une heure de début ou une planification pour le déploiement :

• Exécuter immédiatement — Démarre la tâche de déploiement lors du prochain intervalle decommunication agent-serveur.

• Une fois — Ouvre le planificateur pour vous permettre de configurer la date et l'heure de début etl'exécution aléatoire.

9 Lorsque vous avez terminé, cliquez sur Enregistrer en haut de la page. La page Déploiement de produitss'ouvre avec votre nouveau projet ajouté à la liste des déploiements.

Après la création d'un projet de déploiement, une tâche client est automatiquement créée avec lesparamètres du déploiement.

Surveillance et modification des projets de déploiementUtilisez la page Déploiement de produits pour créer, localiser et modifier des projets de déploiement.

Dans la procédure ci-dessous, les premières étapes décrivent l'utilisation de l'interface poursélectionner et surveiller un projet de déploiement existant, tandis que les dernières étapes décriventla sélection d'Actions pour modifier ce projet de déploiement.

Déploiement de produitsSurveillance et modification des projets de déploiement 14



1 Cliquez sur Menu | Logiciels | Déploiement de produits. La page Déploiement de produits s'affiche.

2 Filtrez la liste des projets de déploiement en utilisant l'une des deux options suivantes, ou lesdeux :

• Type : filtre les déploiements qui s'affichent en fonction des valeurs Tous, Continu ou Fixe.

• Etat : filtre les déploiements qui s'affichent en fonction des valeurs Tous, Terminé, En cours, Enattente, En cours d'exécution ou Arrêté.

3 Cliquez sur un déploiement dans la liste sur le côté gauche de la page pour en afficher les détailssur le côté droit de la page.

4 Utilisez la section de progression de l'affichage détaillé pour afficher :

• Un calendrier affichant la date de début des déploiements continus et fixes en attente

• Un histogramme affichant les systèmes et l'heure de fin des déploiements fixes

• Une barre d'état affichant la progression du déploiement du système et de la désinstallation

5 Cliquez sur Action et sélectionnez l'une des options suivantes pour modifier un déploiement :

• Modifier • Reprendre

• Supprimer • Arrêter

• Dupliquer • Désinstaller

• Marquer comme étant terminé

6 Dans la section des détails, cliquez sur Afficher les détails de la tâche pour ouvrir la page Modifier ledéploiement, dans laquelle vous pouvez afficher et modifier les paramètres du déploiement.

7 Dans le tableau Systèmes, cliquez sur l'une des options suivantes dans la liste Filtre pour changerles systèmes qui s'affichent :

Les options de la liste varient en fonction de l'état actuel du déploiement.

• Pour l'action Désinstaller, les filtres sont : Tous, Packages supprimés, En attente et Echec.

• Pour toutes les autres actions, les filtres comprennent : Tous, Installation réussie, En attente et Echec.

8 Dans le tableau Systèmes, vous pouvez effectuer les actions suivantes :

• Vérifier l'état de chaque ligne des systèmes cibles dans la colonne Etat. Une barre d'état àtrois sections indique la progression du déploiement.

• Vérifier les marqueurs associés aux systèmes cibles dans la colonne Marqueurs.

• Cliquer sur Actions sur les systèmes pour afficher la liste des systèmes sur une nouvelle page danslaquelle vous pouvez effectuer des actions spécifiques sur les systèmes sélectionnés.

14 Déploiement de produitsSurveillance et modification des projets de déploiement


Déploiement d'un nouvel exemple de produitAprès le déploiement de produits initial et l'installation de McAfee ePO, tout autre déploiement deproduits doit être créé soit à l'aide d'un projet Déploiement de produits, soit manuellement à l'aided'un objet Tâche client.

Cet exemple décrit la création d'un projet Déploiement de produits pour McAfee VirusScan Enterprise.

Procédure1 Sélectionnez Menu | Logiciels | Déploiement de produits, puis cliquez sur Nouveau déploiement.

2 Sur la page Nouveau déploiement, configurez les paramètres suivants :

Option Description

Nom etDescription

Saisissez le nom et la description de ce déploiement.

Ce nom s'affiche sur la page Déploiement une fois le déploiement enregistré.

Type Dans la liste, sélectionnez En continu.Ce type utilise vos groupes de l'Arborescence des systèmes ou vos marqueurs pourconfigurer les systèmes sur lesquels le déploiement est effectué. Lorsque voussélectionnez ce type, il est possible de modifier ces systèmes au fur et à mesurequ'ils sont ajoutés ou supprimés des groupes ou des marqueurs.

Pour mettre à jour automatiquement vos produits de sécurité, sélectionnez Mise àjour automatique, qui permet également de déployer automatiquement les correctifsHotFix et les patches de votre produit.

Vous ne pouvez pas désinstaller un produit si vous avez sélectionné Mise à jourautomatique.

Package Dans la liste, sélectionnez VirusScan Enterprise.

Langue etBranche

Si vous n'utilisez pas les valeurs par défaut, sélectionnez la langue et la branche.

Ligne decommande

Dans la zone de texte, définissez les options d'installation de la ligne decommande. Pour plus d'informations, reportez-vous au Guide d'installation deMcAfee VirusScan Enterprise.

Sélectionner lessystèmes

Cliquez sur Sélectionner des systèmes pour afficher la boîte de dialogue Sélection desystèmes.La boîte de dialogue Sélection de systèmes permet d'utiliser un filtre poursélectionner des groupes dans l'Arborescence des systèmes, des marqueurs ou unsous-ensemble de systèmes groupés ou marqués. Les sélections que vouseffectuez dans chaque onglet de cette boîte de dialogue sont concaténées pourfiltrer l'ensemble des systèmes cibles pour votre déploiement.

Le cas échéant, configurez les options suivantes :• Exécuter à chaque mise en œuvre de stratégies (Windows uniquement)

• Autoriser les utilisateurs finaux à reporter ce déploiement (Windows uniquement)

• Nombre maximal de reports autorisés

• L'option de report expire après

• Afficher ce texte

Déploiement de produitsDéploiement d'un nouvel exemple de produit 14


Option Description

Sélectionner uneheure de début

Choisissez une heure de début ou une planification pour le déploiement :• Exécuter immédiatement : démarre la tâche de déploiement après le prochain

intervalle de communication agent-serveur.

• Une fois : ouvre le planificateur pour vous permettre de configurer la date etl'heure de début, ainsi que l'exécution aléatoire.

Enregistrer Lorsque vous avez terminé, cliquez sur Enregistrer en haut de la page. La pageDéploiement de produits s'ouvre avec votre nouveau projet ajouté à la liste desdéploiements.

Après la création d'un projet de déploiement, une tâche client est automatiquement créée avec lesparamètres du déploiement.

3 Sur la page Déploiement de produits, vérifiez que le projet de déploiement de produits fonctionnecorrectement en vérifiant les informations suivantes.

Option Description

Synthèse dudéploiement

Cliquez sur le projet de déploiement de produits que vous avez créé à l'étapeprécédente. Les détails s'affichent à droite de la page.

Puisqu'il s'agit d'un déploiement continu, le symbole de l'infini s'affiche sousEn cours.

Détails dudéploiement

Permet de :• cliquer sur Actions pour modifier le déploiement sélectionné ;

• afficher les informations En cours, Etat, Détails pour le déploiement sélectionné ;

• afficher les systèmes, les actions sur les systèmes, l'état et les marqueurs associés audéploiement sélectionné.

Mise à jour globaleLa mise à jour globale automatise la réplication vers les référentiels distribués et assure la mise à jourde vos systèmes managés.

Les tâches de réplication et de mise à jour ne sont pas nécessaires. L'archivage du contenu dans leRéférentiel maître déclenche une mise à jour globale. Dans la plupart des environnements, leprocessus est effectué dans un délai d'une heure.

Vous pouvez également définir quels packages et quelles mises à jour doivent déclencher une mise àjour globale. Néanmoins, si vous indiquez que seul un contenu spécifique déclenche une mise à jourglobale, veillez à créer une tâche de réplication pour distribuer le contenu non sélectionné afin dedéclencher la mise à jour globale.

Si vous utilisez la mise à jour globale, McAfee recommande de planifier une tâche d'extraction régulière(pour mettre à jour le Référentiel maître) à exécuter lorsque le trafic réseau est faible. Bien que la miseà jour globale soit nettement plus rapide que les autres méthodes, elle accroît le trafic réseau pendantla mise à jour.

Exécution de la mise à jour globale1 Le contenu est archivé dans le Référentiel maître.

2 Le serveur effectue une réplication incrémentielle vers tous les référentiels distribués.

14 Déploiement de produitsMise à jour globale


3 Le serveur émet un appel de réactivation de SuperAgent vers tous les SuperAgents del'environnement.

4 Le SuperAgent diffuse un message de mise à jour globale à tous les agents présents dans lesous-réseau de SuperAgents.

5 Avec le message, l'agent reçoit la version de catalogue minimale requise pour la mise à jour.

6 L'agent recherche dans les référentiels distribués un site contenant cette version de catalogueminimale.

7 Lorsqu'un référentiel approprié est localisé, l'agent exécute la tâche de mise à jour.

Si l'agent ne reçoit pas le message (par exemple, si l'ordinateur client est éteint ou en l'absence d'unSuperAgent), la version minimale du catalogue sera fournie lors de la prochaine communicationagent-serveur, ce qui déclenchera le processus.

Si l'agent reçoit une notification d'un SuperAgent, il reçoit la liste des packages mis à jour. Si l'agentreçoit la nouvelle version de catalogue lors de la prochaine communication agent-serveur, cette liste nelui est pas fournie. Il mettra alors à jour tous les packages disponibles.

Conditions requises

Pour mettre en œuvre la fonctionnalité de mise à jour globale, les conditions suivantes doivent êtreremplies :

• Un SuperAgent doit utiliser la même clé de communication sécurisée agent-serveur (ASSC) que lesagents qui reçoivent son appel de réactivation.

• Un SuperAgent est installé sur chaque segment de diffusion. Les systèmes managés ne peuventpas recevoir d'appel de réactivation émis par un SuperAgent s'il n'existe aucun SuperAgent sur lemême segment de diffusion. La mise à jour globale utilise l'appel de réactivation de SuperAgentpour signaler aux agents que de nouvelles mises à jour sont disponibles.

• Des référentiels distribués sont installés et configurés dans tout votre environnement. McAfeerecommande l'utilisation des référentiels SuperAgent, mais ce n'est pas indispensable. La mise àjour globale fonctionne avec tous les types de référentiel distribué.

• Si vous utilisez des référentiels SuperAgent, les systèmes managés doivent pouvoir accéder auréférentiel qui contient leurs mises à jour. Un SuperAgent est requis sur chaque segment dediffusion pour que les systèmes reçoivent l'appel de réactivation, mais les référentiels SuperAgentne sont pas obligatoires sur chaque segment de diffusion.

Déploiement automatique de packages de mise à jour à l'aidede la mise à jour globale

Vous pouvez activer la mise à jour globale sur le serveur pour déployer automatiquement despackages de mise à jour définis par l'utilisateur sur des systèmes managés.


1 Cliquez sur Menu | Configuration | Paramètres serveur, sélectionnez Mise à jour globale, puis cliquez sur Modifierau bas de la page.

2 Dans la page Mise à jour globale : Modifier, sélectionnez Activé en regard de l'option Etat.

Déploiement de produitsDéploiement automatique de packages de mise à jour à l'aide de la mise à jour globale 14


3 Au besoin, modifiez l'Intervalle d'exécution aléatoire.

Chaque mise à jour des clients a lieu à un moment pris au hasard dans l'intervalle d'exécutionaléatoire, ce qui permet de répartir la charge sur le réseau. La valeur par défaut est 20 minutes.

Si, par exemple, vous mettez à jour 1 000 clients selon l'intervalle d'exécution aléatoire par défautde 20 minutes, environ 50 clients se mettent à jour chaque minute. La charge imposée au réseauet au serveur est donc limitée. Sans ce paramètre d'exécution aléatoire, les 1 000 clientstenteraient de se mettre à jour en même temps.

4 En regard de Types de packages, sélectionnez les packages qui déclenchent une mise à jour.

La mise à jour globale déclenche une mise à jour uniquement lorsque de nouveaux packagescorrespondant aux composants spécifiés ici sont archivés dans le référentiel maître ou déplacésdans une autre branche. Sélectionnez soigneusement ces composants.

• Signatures et moteurs — Sélectionnez le Contenu Host Intrusion Prevention, si nécessaire.

La sélection d'un type de package détermine ce qui déclenche une mise à jour globale (et non ce quiest mis à jour). Les agents reçoivent une liste des packages mis à jour lors de la mise à jourglobale. Ils utilisent cette liste pour n'installer que les mises à jour nécessaires. Par exemple, ilsmettent à jour les packages qui ont subi des modifications depuis la dernière mise à jour, mais pasceux qui n'ont pas été modifiés.

5 Cliquez sur Enregistrer lorsque vous avez terminé.

Dès qu'elle est activée, la mise à jour globale lance une mise à jour au prochain archivage d'un ouplusieurs des packages sélectionnés ou lors de leur déplacement dans une autre branche.

Veillez à exécuter une tâche Extraire maintenant et à planifier une tâche serveur récurrented'extraction de référentiel, dès que vous êtes prêt à commencer les mises à jour automatiques.

14 Déploiement de produitsDéploiement automatique de packages de mise à jour à l'aide de la mise à jour globale


15 Gestion manuelle des packages et desmises à jour

Lorsque vous devez déployer des nouveaux produits en dehors de vos tâches planifiées habituelles,vous pouvez les archiver manuellement.

Sommaire Gestion de produits au travers des extensions Archivage manuel de packages Suppression de packages de fichiers DAT ou de moteur du référentiel maître Déplacement manuel de packages de moteur et de fichiers DAT d'une branche à une autre Archivage manuel des packages de mise à jour de fichiers DAT, ExtraDAT et de moteur

Gestion de produits au travers des extensionsL'extension d'un produit doit être installée pour qu'ePolicy Orchestrator puisse gérer le produit.

Avant de commencerAssurez-vous que le fichier d'extension est hébergé dans un emplacement accessible duréseau.


1 Dans la console ePolicy Orchestrator, cliquez sur Menu | Logiciels | Extensions | Installer une extension.

Une seule tâche à la fois peut mettre à jour le référentiel maître. Si vous tentez d'installer uneextension tandis qu'une mise à jour du référentiel maître est en cours, le message d'erreur suivants'affiche :

Impossible d'installer l'extension com.mcafee.core.cdm.CommandException : Impossible d'archiver lepackage sélectionné pendant l'exécution de la tâche d'extraction.

Attendez la fin de la mise à jour du référentiel maître avant de tenter de réinstallerl'extension.

2 Recherchez le fichier d'extension voulu, sélectionnez-le, puis cliquez sur OK.

3 Vérifiez que le nom du produit est répertorié dans la liste Extensions.

15


Archivage manuel de packagesArchivez les packages de déploiement dans le référentiel maître afin de les déployer à l'aide du logicielePolicy Orchestrator.


Procédure1 Ouvrez l'Assistant Archiver un package.

a Sélectionnez Menu | Logiciels | Référentiel maître.

b Cliquez sur Archiver un package.

2 Sélectionnez le type de package, puis recherchez le fichier de package souhaité et sélectionnez-le.


4 Confirmez ou configurez les options suivantes :

• Informations sur le package — Confirmez qu'il s'agit du package correct.

• Branche : sélectionnez la branche de votre choix. S'il faut impérativement tester les nouveauxpackages avant de les déployer dans l'environnement de production, McAfee recommanded'utiliser la branche Evaluation lors de leur archivage. Dès que les packages ont été validés pardes tests, vous pouvez les déplacer vers la branche Actuels en cliquant sur Menu | Logiciels |Référentiel maître.

• Options : faites votre choix parmi les options suivantes :

• Déplacer le package existant vers la branche Précédents : déplace les packages depuis le référentielmaître de la branche Actuels vers la branche Précédents lorsqu'un package plus récent du mêmetype est archivé. Cette option n'est disponible que si vous sélectionnez Actuels dans Branche.

• Signature de package : indique si le package est signé par McAfee ou s'il s'agit d'un package tiers.

5 Cliquez sur Enregistrer pour commencer l'archivage du package, puis patientez pendant quel'opération est effectuée.

Le nouveau package apparaît dans la liste Packages dans le référentiel maître de l'onglet Référentiel maître.

Suppression de packages de fichiers DAT ou de moteur duréférentiel maître

Supprimez des packages de fichiers DAT ou de moteur du référentiel maître. A mesure que vousarchivez de nouveaux packages de mise à jour, ils remplacent les versions antérieures ou déplacentcelles-ci vers la branche Précédents, si vous utilisez la branche Précédents.


1 Cliquez sur Menu | Logiciel | Référentiel maître.

2 Dans la ligne du package, cliquez sur Supprimer.

3 Cliquez sur OK.

15 Gestion manuelle des packages et des mises à jourArchivage manuel de packages


Déplacement manuel de packages de moteur et de fichiers DATd'une branche à une autre

Déplacez manuellement des packages entre les branches Evaluation, Actuels et Précédents, après leurarchivage dans le référentiel maître.


Procédure1 Cliquez sur Menu | Logiciels | Référentiel maître.

2 Sur la ligne du package, cliquez sur Modifier la branche.

3 Indiquez si vous voulez déplacer ou copier le package vers une autre branche.

4 Sélectionnez la branche de destination du package.

Si McAfee® NetShield®

for NetWare est déployé dans votre réseau, sélectionnez Prise en charge deNetShield for NetWare.

5 Cliquez sur OK.

Archivage manuel des packages de mise à jour de fichiers DAT,ExtraDAT et de moteur

Archivez les packages de mise à jour dans le référentiel maître afin de les déployer à l'aide du logicielePolicy Orchestrator. Certains packages peuvent uniquement être archivés manuellement.


Procédure1 Ouvrez l'Assistant Archiver un package.

a Sélectionnez Menu | Logiciels | Référentiel maître.

b Cliquez sur Archiver un package.

2 Sélectionnez le type de package, puis recherchez et sélectionnez le fichier de package souhaité etcliquez sur Suivant.

3 Sélectionnez une branche :

• Actuels — Pour utiliser les packages sans les tester au préalable.

• Evaluation : pour tester d'abord les packages dans un environnement de laboratoire.

Dès que les packages ont été validés par des tests, vous pouvez les déplacer vers la brancheActuels en cliquant sur Menu | Logiciels | Référentiel maître.

• Précédents — Pour utiliser la version précédente lors de l'ajout du package.

4 En regard d'Options, sélectionnez Déplacer le package existant vers la branche Précédents pour transférer lepackage existant (de même type que celui que vous archivez) vers la branche Précédents.

5 Cliquez sur Enregistrer pour commencer l'archivage du package. Patientez pendant le déroulement del'opération.

Le nouveau package apparaît dans la liste Packages dans le référentiel maître de la page Référentiel maître.

Gestion manuelle des packages et des mises à jourDéplacement manuel de packages de moteur et de fichiers DAT d'une branche à une autre 15


15 Gestion manuelle des packages et des mises à jourArchivage manuel des packages de mise à jour de fichiers DAT, ExtraDAT et de moteur


16 Gestion des stratégies

Les stratégies permettent de garantir que les fonctions des produits sont configurées correctement survos systèmes managés.

La gestion des produits à partir d'un seul emplacement constitue l'un des atouts clés d'ePolicyOrchestrator. Cette gestion est possible grâce à l'application et la mise en œuvre de stratégies enmatière de produits. Ces stratégies garantissent que les fonctionnalités des produits sont correctementconfigurées. Les tâches client correspondent aux actions planifiées qui s'exécutent sur les systèmesmanagés où sont hébergés les logiciels côté client.

Sommaire Stratégies et mise en œuvre de stratégies Attribution de stratégies Création et gestion de stratégies Configuration initiale des stratégies Gestion des stratégies Page Conservation des stratégies et des tâches : Modifier Règles d'affectation de stratégie Création de requêtes Gestion des stratégies Création d'une requête pour définir la conformité Génération d'événements de conformité Affichage des informations des stratégies Partage de stratégies entre serveurs McAfee ePO Distribution d'une stratégie à plusieurs serveurs McAfee ePO Questions sur la gestion des stratégies Page Affecter une stratégie

Stratégies et mise en œuvre de stratégiesUne stratégie est un ensemble de paramètres que vous créez et configurez pour ensuite en imposer lamise en œuvre. Les stratégies garantissent que les produits logiciels de sécurité managés sontconfigurés suivant vos exigences et remplissent efficacement leur rôle.

Catégories de stratégies

Les paramètres de stratégie de la plupart des produits sont regroupés par catégorie. Chaque catégoriede stratégies correspond à un sous-ensemble spécifique de paramètres de stratégie. Les stratégiessont créées suivant des catégories. Sur la page Catalogue de stratégies, les stratégies s'affichent parproduit et par catégorie. Lorsque vous ouvrez une stratégie existante ou en créez une, ses paramètress'organisent en différents onglets.

16


Affichage des stratégiesPour afficher toutes les stratégies par catégorie, cliquez sur Menu | Stratégie | Catalogue de stratégies, puissélectionnez le produit et la catégorie de votre choix dans les listes déroulantes. Sur la page Cataloguede stratégies, les utilisateurs ne peuvent afficher que les stratégies des produits pour lesquels ils ontdes autorisations.

Pour afficher les stratégies, par produit, appliquées à un groupe précis de l'Arborescence dessystèmes, cliquez sur Menu | Section systèmes | Arborescence des systèmes | Stratégies affectées, sélectionnez ungroupe, puis choisissez un produit dans la liste déroulante.

Chaque catégorie contient une stratégie McAfee par défaut. Vous ne pouvez pas supprimer, modifier,exporter ou renommer ces stratégies, mais vous pouvez les dupliquer et modifier la copie.

Configuration de la mise en œuvre des stratégiesPour chaque produit ou composant managé, déterminez si l'agent doit mettre en œuvre toutes lesstratégies sélectionnées ou aucune pour ce produit ou composant.

Sur la page Stratégies affectées, précisez s'il faut mettre en œuvre des stratégies pour des produits oudes composants au niveau du groupe sélectionné.

Sur la page Catalogue de stratégies, vous pouvez afficher les affectations de stratégie, l'emplacementoù elles sont appliquées, ainsi que si elles sont mises en œuvre. Vous pouvez également verrouiller lamise en œuvre de stratégie pour empêcher les modifications dans la mise en œuvre sous le nœudverrouillé.

Si la mise en œuvre de stratégie est désactivée, les systèmes du groupe spécifié ne reçoivent pas leslistes de sites mises à jour lors des communications agent-serveur. En conséquence, les systèmesmanagés du groupe peuvent ne pas fonctionner correctement. Imaginons par exemple que vousconfigurez des systèmes managés pour qu'ils communiquent avec le gestionnaire d'agents A, mais quela mise en œuvre de stratégie est désactivée. Dans ce cas, les systèmes managés ne recevront pas lanouvelle liste de sites avec cette information, et ils vont donc communiquer avec un autre gestionnaired'agents figurant dans une liste de sites expirée.

Moment de mise en œuvre des stratégiesLorsque vous reconfigurez les paramètres de stratégie, les nouveaux paramètres sont transférés etmis en œuvre sur les systèmes managés lors de la communication agent-serveur suivante. Lafréquence de cette communication est déterminée par le paramètre Intervalle de communicationagent-serveur (ASCI) de l'onglet Général des pages de stratégie McAfee Agent ou par la planificationde la tâche client Réactivation de McAfee Agent (en fonction du mode d'implémentation de lacommunication agent-serveur). Par défaut, cet intervalle est défini pour que la communication soitinitiée toutes les 60 minutes.

Lorsque les paramètres de stratégie sont appliqués sur le système managé, l'agent continue de mettreen œuvre les paramètres de stratégie localement selon un intervalle régulier. Cet intervalle de mise enœuvre est déterminé par le paramètre Intervalle de mise en œuvre de stratégie de l'onglet Généraldes pages de stratégie McAfee Agent. Par défaut, cet intervalle est de cinq minutes.

Les paramètres de stratégie des produits McAfee sont mis en œuvre immédiatement à l'intervalle demise en œuvre de stratégie et à chaque communication agent-serveur si les paramètres ont étémodifiés.

Exportation et importation de stratégiesSi vous possédez plusieurs serveurs, vous pouvez exporter et importer les stratégies entre ceux-ci parl'intermédiaire de fichiers XML. Dans ce genre d'environnement, vous ne créez qu'une fois chaquestratégie.

16 Gestion des stratégiesStratégies et mise en œuvre de stratégies


Vous pouvez exporter et importer des stratégies individuelles ou toutes les stratégies associées à unproduit donné.

Cette fonctionnalité permet également de sauvegarder des stratégies en cas de réinstallation duserveur.

Partage de stratégies

Le partage de stratégie constitue une autre manière de transférer des stratégies entre serveurs. Lepartage de stratégies permet de gérer des stratégies sur un serveur et de les utiliser sur de nombreuxautres serveurs via la console McAfee ePO.

Attribution de stratégiesLes stratégies sont attribuées aux systèmes à l'aide d'une des deux méthodes suivantes : l'héritage oul'affectation.

Héritage

L'héritage détermine si les paramètres de stratégie et les tâches client d'un groupe ou d'un systèmesont hérités de son parent. Par défaut, l'héritage est activé dans l'ensemble de l'arborescence dessystèmes.

Si vous bloquez cet héritage en affectant une nouvelle stratégie à un niveau quelconque del'arborescence des systèmes, tous les groupes et systèmes enfants situés sous le point d'affectation etcensés hériter de la stratégie se la voient affecter.

Affectation

Vous pouvez affecter n'importe quelle stratégie du Catalogue de stratégies à n'importe quel groupe ousystème. Les affectations permettent de définir une fois pour toutes les paramètres de stratégie pourun besoin spécifique, puis d'attribuer cette stratégie à plusieurs emplacements.

Si vous affectez une nouvelle stratégie à un groupe quelconque de l'arborescence des systèmes, tousles groupes et systèmes enfants situés sous le point d'affectation et censés hériter de la stratégie se lavoient affecter.

Verrouillage de l'affectation

Vous pouvez verrouiller l'affectation d'une stratégie sur un groupe ou un système. Le verrouillage del'affectation empêche :

• d'autres utilisateurs ayant les autorisations ad hoc au même niveau de l'arborescence des systèmesde remplacer une stratégie par inadvertance ;

• d'autres utilisateurs disposant d'autorisations plus restrictives (ou des mêmes autorisations, mais àun niveau inférieur de l'arborescence des systèmes) de remplacer la stratégie.

Le verrouillage de l'affectation est hérité avec les paramètres de stratégie.

Cette fonction est pratique lorsque vous souhaitez affecter une stratégie spécifique au niveausupérieur de l'arborescence des systèmes, pour vous assurer qu'aucun autre utilisateur ne laremplacera à aucun niveau de l'arborescence des systèmes.

Néanmoins, il s'agit uniquement de verrouiller l'affectation de la stratégie ; cela n'empêche en aucuncas le propriétaire de la stratégie d'en modifier les paramètres. Par conséquent, si vous envisagez deverrouiller l'affectation d'une stratégie, assurez-vous que vous en êtes le propriétaire.

Gestion des stratégiesAttribution de stratégies 16


Propriété des stratégies

Toutes les stratégies sont disponibles dans la page Catalogue de stratégies. Pour empêcher toututilisateur de modifier les stratégies des autres utilisateurs, chaque stratégie appartient à unpropriétaire : l'utilisateur qui l'a créée.

L'attribution d'un propriétaire garantit que personne d'autre que son créateur ne peut modifier ousupprimer une stratégie. Tout utilisateur peut affecter n'importe quelle stratégie de la page Cataloguede stratégies, mais seul son créateur est autorisé à modifier une stratégie.

Si vous affectez une stratégie qui ne vous appartient pas à des systèmes managés, soyez conscient dufait que, si le propriétaire de la stratégie nommée modifie celle-ci, les modifications s'appliqueront àtous les systèmes auxquels cette stratégie est affectée. Par conséquent, si vous souhaitez utiliser unestratégie appartenant à un autre utilisateur, il est conseillé de dupliquer d'abord la stratégie, puisd'affecter cette copie à l'emplacement de votre choix. Vous devenez ainsi propriétaire de la stratégieaffectée.

Vous pouvez définir plusieurs utilisateurs comme propriétaires d'une même stratégie.

Création et gestion de stratégiesCréez et gérez des stratégies à partir de la page Catalogue des stratégies.

Procédures• Création d'une stratégie à partir de la page Catalogue de stratégies, page 206

Les stratégies personnalisées créées à l'aide du catalogue de stratégies ne sont affectées àaucun groupe ou système. Vous pouvez créer des stratégies avant ou après le déploiementd'un produit.

• Gestion d'une stratégie existante à partir de la page Catalogue de stratégies, page 207Vous pouvez modifier, dupliquer, renommer ou supprimer une stratégie.

Création d'une stratégie à partir de la page Catalogue destratégies Les stratégies personnalisées créées à l'aide du catalogue de stratégies ne sont affectées à aucungroupe ou système. Vous pouvez créer des stratégies avant ou après le déploiement d'un produit.Pour consulter la définition des options, cliquez sur ? dans l'interface.

Procédure1 Ouvrez la boîte de dialogue Nouvelle stratégie.

a Cliquez sur Menu | Stratégie | Catalogue de stratégies.

b Sélectionnez le produit et la catégorie de votre choix dans les listes déroulantes.

Toutes les stratégies créées pour la catégorie sélectionnée s'affichent dans le volet Détails.

c Cliquez sur Nouvelle stratégie.

2 Sélectionnez la stratégie que vous souhaitez dupliquer dans la liste déroulante Créer une stratégie baséesur cette stratégie existante.

3 Saisissez le nom de la nouvelle stratégie, puis cliquez sur OK.

La stratégie s'affiche dans le catalogue de stratégies.

16 Gestion des stratégiesCréation et gestion de stratégies


4 Cliquez sur le nom de la nouvelle stratégie.

L'assistant Paramètres de stratégie s'ouvre.

5 Modifiez les paramètres de stratégie comme il convient.


Gestion d'une stratégie existante à partir de la page Cataloguede stratégiesVous pouvez modifier, dupliquer, renommer ou supprimer une stratégie.


1 Pour sélectionner une stratégie existante, cliquez sur Menu | Stratégie | Catalogue de stratégies, puissélectionnez le produit et la catégorie dans les listes déroulantes.

Toutes les stratégies créées pour la catégorie sélectionnée s'affichent dans le volet de détails.


Action Etapes

Modifier les paramètresde stratégie

Le nombre desystèmesconcernés figure enhaut de la page.

1 Recherchez la stratégie, puis cliquez sur son nom.

2 Modifiez les paramètres comme il convient, puis cliquez surEnregistrer.

Dupliquer une stratégie 1 Recherchez la stratégie, puis cliquez sur Dupliquer dans la ligne decette stratégie.La boîte de dialogue Dupliquer la stratégie existante s'affiche.

2 Entrez le nom de la nouvelle stratégie, puis cliquez sur OK.La nouvelle stratégie apparaît dans la page Catalogue de stratégies.

3 Cliquez sur la nouvelle stratégie dans la liste.

4 Modifiez les paramètres comme il convient, puis cliquez surEnregistrer.

La nouvelle stratégie s'affiche dans le volet de détails.

Renommer une stratégie 1 Recherchez la stratégie, puis cliquez sur Renommer dans une ligne destratégie.La boîte de dialogue Renommer la stratégie s'affiche.

2 Entrez le nouveau nom à attribuer à la stratégie, puis cliquez sur OK.

La stratégie renommée apparaît dans le volet de détails.

Supprimer une stratégie 1 Recherchez la stratégie, puis cliquez sur Supprimer dans une ligne destratégie.


La stratégie est supprimée du volet de détails.

Gestion des stratégiesCréation et gestion de stratégies 16


Configuration initiale des stratégiesSuivez les étapes générales décrites ci-dessous lorsque vous configurez les stratégies pour la premièrefois.

1 Planifiez les stratégies des produits pour les segments de votre arborescence des systèmes.

2 Créez et affectez des stratégies à des groupes et systèmes.

Gestion des stratégiesAffectez et gérez les stratégies dans votre environnement.

Le nombre de systèmes concernés figure en haut de la page.

Procédures

• Modification des propriétaires d'une stratégie, page 208Par défaut, le propriétaire est l'utilisateur qui crée la stratégie. Si vous disposez desautorisations requises, vous pouvez changer le propriétaire d'une stratégie.

• Déplacement de stratégies entre serveurs McAfee ePO, page 209Pour partager une stratégie entre différents serveurs McAfee ePO, vous devez exportercelle-ci vers un fichier XML de stratégie à partir de la page Catalogue de stratégies du serveursource, puis l'importer dans la page Catalogue de stratégies du serveur cible.

• Affectation d'une stratégie à un groupe de l'arborescence des systèmes, page 210Vous pouvez affecter une stratégie à un groupe spécifique de l'arborescence des systèmes.Il est possible d'affecter des stratégies avant ou après le déploiement d'un produit.

• Affectation d'une stratégie à un système managé, page 210Affectez une stratégie à un système managé spécifique. Il est possible d'affecter desstratégies avant ou après le déploiement d'un produit.

• Affectation d'une stratégie à des systèmes dans un groupe de l'arborescence des systèmes,page 211Affectez une stratégie à plusieurs systèmes managés au sein d'un groupe. Il est possibled'affecter des stratégies avant ou après le déploiement d'un produit.

• Mise en œuvre de stratégies associées à un produit sur un groupe de l'arborescence dessystèmes, page 211Activez ou désactivez la mise en œuvre de stratégie pour un produit dans un groupe. Lamise en œuvre de stratégie est activée par défaut, et elle est héritée dans l'arborescencedes systèmes.

• Mise en œuvre de stratégies associées à un produit sur un système, page 212Activez ou désactivez la mise en œuvre de stratégie pour un produit sur un systèmemanagé. La mise en œuvre de stratégie est activée par défaut, et elle est héritée dansl'arborescence des systèmes.

• Copie d'affectations de stratégie, page 212Copiez des affectations de stratégie d'un groupe ou système vers un autre. Cette procédurefacilite le partage d'affectations multiples entre des groupes et systèmes appartenant à dessegments différents de l'arborescence des systèmes.

Modification des propriétaires d'une stratégiePar défaut, le propriétaire est l'utilisateur qui crée la stratégie. Si vous disposez des autorisationsrequises, vous pouvez changer le propriétaire d'une stratégie.Pour consulter la définition des options, cliquez sur ? dans l'interface.

16 Gestion des stratégiesConfiguration initiale des stratégies


Procédure

1 Cliquez sur Menu | Stratégie | Catalogue de stratégies, puis sélectionnez le Produit et la Catégorie.


2 Recherchez la stratégie souhaitée, puis cliquez sur le propriétaire de la stratégie.

La page Propriété de la stratégie s'affiche.

3 Choisissez dans la liste les propriétaires souhaités pour la stratégie, puis cliquez sur OK.

Déplacement de stratégies entre serveurs McAfee ePOPour partager une stratégie entre différents serveurs McAfee ePO, vous devez exporter celle-ci vers unfichier XML de stratégie à partir de la page Catalogue de stratégies du serveur source, puis l'importer dansla page Catalogue de stratégies du serveur cible.

Procédures

• Exportation d'une stratégie individuelle, page 209Exportez une stratégie individuelle dans un fichier XML, puis utilisez ce fichier pourimporter la stratégie sur un autre serveur McAfee ePO ou pour conserver une sauvegardede la stratégie.

• Exportation de toutes les stratégies associées à un produit, page 209

• Importation de stratégies, page 210Vous pouvez importer un fichier XML de stratégies. Que vous ayez exporté une stratégieindividuelle ou toutes les stratégies nommées, la procédure d'importation est identique.

Exportation d'une stratégie individuelleExportez une stratégie individuelle dans un fichier XML, puis utilisez ce fichier pour importer lastratégie sur un autre serveur McAfee ePO ou pour conserver une sauvegarde de la stratégie.


Procédure

1 Cliquez sur Menu | Stratégie | Catalogue de stratégies, puis sélectionnez le produit et la catégorie dans leslistes déroulantes.

Toutes les stratégies créées pour la catégorie sélectionnée s'affichent dans le volet Détails.

2 Recherchez la stratégie, puis cliquez sur Exporter en regard de la stratégie.

La page Exporter s'affiche.

3 Cliquez avec le bouton droit de la souris sur le lien pour télécharger et enregistrer le fichier.

4 Donnez un nom au fichier XML de stratégie et enregistrez-le.

Si vous prévoyez d'importer ce fichier sur un autre serveur McAfee ePO, assurez-vous quel'emplacement requis est accessible à partir du serveur McAfee ePO cible.

Exportation de toutes les stratégies associées à un produitPour consulter la définition des options, cliquez sur ? dans l'interface.

Procédure

1 Cliquez sur Menu | Stratégie | Catalogue de stratégies, puis sélectionnez le Produit et la Catégorie.


Gestion des stratégiesGestion des stratégies 16


2 Cliquez sur Exporter en regard de Stratégies pour le produit. La page Exporter s'affiche.

3 Cliquez avec le bouton droit de la souris sur le lien pour télécharger et enregistrer le fichier.

Si vous prévoyez d'importer ce fichier sur un autre serveur McAfee ePO, assurez-vous quel'emplacement requis est accessible à partir du serveur McAfee ePO cible.

Importation de stratégiesVous pouvez importer un fichier XML de stratégies. Que vous ayez exporté une stratégie individuelleou toutes les stratégies nommées, la procédure d'importation est identique.


Procédure1 Cliquez sur Menu | Stratégie | Catalogue de stratégies, puis cliquez sur Importer en regard de Stratégies pour le

produit.

2 Recherchez le fichier XML de stratégie, sélectionnez-le, puis cliquez sur OK.

3 Sélectionnez les stratégies que vous souhaitez importer, puis cliquez sur OK.

Les stratégies sont ajoutées au catalogue de stratégies.

Affectation d'une stratégie à un groupe de l'arborescence dessystèmesVous pouvez affecter une stratégie à un groupe spécifique de l'arborescence des systèmes. Il estpossible d'affecter des stratégies avant ou après le déploiement d'un produit.


Procédure1 Cliquez sur Menu | Systèmes | Arborescence des systèmes | Stratégies affectées, puis sélectionnez un produit.

Chaque stratégie affectée, par catégorie, s'affiche dans le volet de détails.

2 Recherchez la catégorie de stratégies de votre choix, puis cliquez sur Modifier l'affectation.

3 Si la stratégie est héritée, sélectionnez Bloquer l'héritage et affecter la stratégie et les paramètres ci-dessous enregard de Hériter de.

4 Sélectionnez la stratégie dans la liste déroulante Stratégie affectée.

A partir de cet endroit, vous pouvez également modifier les paramètres de la stratégie sélectionnéeou en créer une nouvelle.

5 Précisez s'il faut verrouiller l'héritage des stratégies.

Le verrouillage de l'héritage des stratégies empêche qu'un système héritant de cette stratégiereçoive l'affectation d'une autre stratégie.


Affectation d'une stratégie à un système managéAffectez une stratégie à un système managé spécifique. Il est possible d'affecter des stratégies avantou après le déploiement d'un produit.


16 Gestion des stratégiesGestion des stratégies



sous Arborescence des systèmes.

Tous les systèmes de ce groupe (mais pas ses sous-groupes) s'affichent dans le volet de détails.

2 Sélectionnez un système, puis cliquez sur Actions | Agent | Modifier les stratégies sur un seul système.

La page Affectation de stratégie pour ce système s'affiche.

3 Sélectionnez un produit.

Les catégories du produit sélectionné sont répertoriées avec les stratégies affectées du système.

4 Recherchez la catégorie de stratégies de votre choix, puis cliquez sur Modifier les affectations.

5 Si la stratégie est héritée, sélectionnez Bloquer l'héritage et affecter la stratégie et les paramètres ci-dessous enregard de Hériter de.

6 Sélectionnez la stratégie dans la liste déroulante Stratégie affectée.

A partir de cet endroit, vous pouvez également modifier les paramètres de la stratégie sélectionnéeou en créer une.


Le verrouillage de l'héritage des stratégies empêche qu'un système héritant de cette stratégiereçoive l'affectation d'une autre stratégie.


Affectation d'une stratégie à des systèmes dans un groupe del'arborescence des systèmesAffectez une stratégie à plusieurs systèmes managés au sein d'un groupe. Il est possible d'affecter desstratégies avant ou après le déploiement d'un produit.


Procédure1 Cliquez sur Menu | Systèmes | Arborescence des systèmes | Systèmes, puis sélectionnez un groupe dans

l'arborescence des systèmes.

Tous les systèmes de ce groupe (mais pas ses sous-groupes) s'affichent dans le volet de détails.

2 Sélectionnez les systèmes de votre choix, puis cliquez sur Actions | Agent | Définir la stratégie et l'héritage.

La page Affecter une stratégie s'affiche.

3 Sélectionnez le Produit, la Catégorie et la Stratégie dans les listes déroulantes.

4 Sélectionnez Réinitialiser l'héritage ou Bloquer l'héritage, puis cliquez sur Enregistrer.

Mise en œuvre de stratégies associées à un produit sur ungroupe de l'arborescence des systèmesActivez ou désactivez la mise en œuvre de stratégie pour un produit dans un groupe. La mise enœuvre de stratégie est activée par défaut, et elle est héritée dans l'arborescence des systèmes.




Procédure1 Cliquez sur Menu | Systèmes | Arborescence des systèmes | Stratégies affectées, puis sélectionnez un groupe

dans l'arborescence des systèmes.

2 Sélectionnez le produit de votre choix, puis cliquez sur le lien en regard de Etat de mise en œuvre.

La page Mise en œuvre s'affiche.

3 Pour modifier l'état de mise en œuvre d'une stratégie, sélectionnez d'abord l'option Bloquer l'héritage etaffecter la stratégie et les paramètres ci-dessous.

4 En regard de Etat de mise en œuvre, sélectionnez Mise en œuvre ou Pas de mise en œuvre.


Le verrouillage de l'héritage d'une stratégie empêche le blocage de la mise en œuvre d'unestratégie pour les groupes et les systèmes qui héritent de cette dernière.


Mise en œuvre de stratégies associées à un produit sur unsystèmeActivez ou désactivez la mise en œuvre de stratégie pour un produit sur un système managé. La miseen œuvre de stratégie est activée par défaut, et elle est héritée dans l'arborescence des systèmes.


Procédure1 Cliquez sur Menu | Systèmes | Arborescence des systèmes | Systèmes, puis sélectionnez le groupe où le

système se trouve sous Arborescence des systèmes.

La liste des systèmes appartenant à ce groupe s'affiche dans le volet de détails.

2 Sélectionnez un système, puis cliquez sur Actions | Modifier les stratégies sur un seul système.

La page Affectation de stratégie s'affiche.

3 Sélectionnez un Produit, puis cliquez sur Mise en œuvre en regard d'Etat de mise en œuvre.

La page Mise en œuvre s'affiche.

4 Si vous souhaitez modifier l'état de mise en œuvre, vous devez d'abord sélectionner l'option Bloquerl'héritage et affecter la stratégie et les paramètres ci-dessous.

5 En regard de Etat de mise en œuvre, sélectionnez Mise en œuvre ou Pas de mise en œuvre.


Copie d'affectations de stratégieCopiez des affectations de stratégie d'un groupe ou système vers un autre. Cette procédure facilite lepartage d'affectations multiples entre des groupes et systèmes appartenant à des segments différentsde l'arborescence des systèmes.

16 Gestion des stratégiesGestion des stratégies


Procédures• Copie d'affectations de stratégie depuis un groupe, page 213

Vous pouvez copier des affectations de stratégie d'un groupe vers un autre au sein del'arborescence des systèmes.

• Copie d'affectations de stratégie depuis un système, page 213Copie d'affectations de stratégie depuis un système spécifique

• Collage d'affectations de stratégie dans un groupe, page 213Vous pouvez coller des affectations de stratégie dans un groupe après les avoir copiéesd'un groupe ou système.

• Collage d'affectations de stratégie sur un système spécifique, page 214Vous pouvez coller des affectations de stratégie dans un système spécifique après les avoircopiées d'un groupe ou système.

Copie d'affectations de stratégie depuis un groupeVous pouvez copier des affectations de stratégie d'un groupe vers un autre au sein de l'arborescencedes systèmes.




2 Cliquez sur Actions | Copier des affectations.

3 Sélectionnez les produits ou fonctionnalités pour lesquels vous souhaitez copier les affectations destratégie, puis cliquez sur OK.

Copie d'affectations de stratégie depuis un systèmeCopie d'affectations de stratégie depuis un système spécifique




Les systèmes appartenant au groupe sélectionné s'affichent dans le volet de détails.

2 Sélectionnez un système, puis cliquez sur Actions | Agent | Modifier les stratégies sur un seul système.

3 Cliquez sur Actions | Copier des affectations, sélectionnez les produits ou fonctionnalités pour lesquelsvous souhaitez copier les affectations de stratégie, puis cliquez sur OK.

Collage d'affectations de stratégie dans un groupeVous pouvez coller des affectations de stratégie dans un groupe après les avoir copiées d'un groupe ousystème.




Procédure1 Cliquez sur Menu | Systèmes | Arborescence des systèmes | Stratégies affectées, puis sélectionnez le groupe de

votre choix dans l'arborescence des systèmes.

2 Dans le volet de détails, cliquez sur Actions et sélectionnez Coller des affectations.

Si le groupe possède déjà des stratégies affectées pour certaines catégories, la page Remplacer lesaffectations de stratégie s'affiche.

Lorsque vous copiez les affectations de stratégie, la stratégie Mettre en œuvre les stratégies et les tâchess'affiche dans la liste. Cette stratégie contrôle l'état de mise en œuvre d'autres stratégies.

3 Choisissez les catégories de stratégies que vous souhaitez remplacer par les stratégies copiées etcliquez sur OK.

Collage d'affectations de stratégie sur un système spécifiqueVous pouvez coller des affectations de stratégie dans un système spécifique après les avoir copiéesd'un groupe ou système.




Tous les systèmes appartenant au groupe sélectionné s'affichent dans le volet de détails.

2 Sélectionnez le système sur lequel vous souhaitez coller les affectations de stratégie, puis cliquezsur Actions | Agent | Modifier les stratégies sur un seul système.

3 Dans le volet de détails, cliquez sur Actions | Coller des affectations.

Si le système possède déjà des stratégies affectées pour certaines catégories, la page Remplacer lesaffectations de stratégie s'affiche.

Lorsque vous copiez les affectations de stratégie, la stratégie Mettre en œuvre les stratégies et les tâchesapparaît dans la liste. Cette stratégie contrôle l'état de mise en œuvre d'autres stratégies.

4 Confirmez le remplacement des affectations.

Page Conservation des stratégies et des tâches : ModifierCette page permet de spécifier si les données des stratégies et des tâches client sont suppriméeslorsque vous supprimez une extension de gestion de produit.

Tableau 16-1 Définitions des options

Option Définition

Conservation desstratégies et des tâches

Spécifie si les données des stratégies et des tâches client sontsupprimées lorsque vous supprimez une extension de gestion de produit.Options possibles :• Conserver les stratégies et les données des tâches client

• Supprimer les stratégies et les données des tâches client : cette option par défautsupprime les données des stratégies et des tâches client.

16 Gestion des stratégiesPage Conservation des stratégies et des tâches : Modifier


Règles d'affectation de stratégieLes règles d'affectations de stratégie réduisent la surcharge liée à la gestion de nombreuses stratégiesspécifiques aux utilisateurs ou aux systèmes qui répondent à des critères spécifiques, tout enpermettant la gestion de stratégies plus génériques dans l'arborescence des systèmes.

Ce niveau de granularité dans l'affectation des stratégies limite les cas d'héritage bloqué dansl'arborescence des systèmes, de sorte que les paramètres de stratégie requis par des utilisateurs oudes systèmes particuliers peuvent être définis correctement. Les affectations de stratégie peuvent êtrebasées sur des critères spécifiques aux utilisateurs ou aux systèmes :

• Stratégies basées sur l'utilisateur — Stratégies comprenant au moins un critère propre auxutilisateurs. Vous pouvez, par exemple, créer une règle d'affectation de stratégie qui sera mise enœuvre pour tous les utilisateurs du groupe Ingénierie. Vous pouvez ensuite créer une autre règled'affectation pour les membres du service informatique, afin qu'ils puissent se connecter sur toutordinateur du réseau Ingénierie avec les droits d'accès requis pour résoudre des problèmes sur unsystème spécifique situé dans ce réseau. Les stratégies basées sur l'utilisateur peuvent égalementinclure des critères de type système.

• Stratégies basées sur le système — Stratégies comportant uniquement des critères système. Parexemple, vous pouvez créer une règle d'affectation de stratégie qui est mise en œuvre pour tousles serveurs sur votre réseau en fonction des marqueurs que vous avez appliqués, ou pour tous lessystèmes dans un emplacement spécifique de votre arborescence des systèmes. Les stratégiesbasées sur le système ne peuvent pas inclure des critères de type utilisateur.

Priorité des règles d'affectation de stratégieVous pouvez classer par priorité les règles d'affectation de stratégie pour en simplifier la maintenanceet la gestion. Ainsi, lorsqu'une règle reçoit une priorité élevée, elle est mise en œuvre avant cellesdont la priorité est inférieure.

Il arrive donc dans certains cas que des paramètres de règle soient remplacés. Par exemple,considérons le cas d'un système inclus dans deux règles d'affectation de stratégie, les règles A et B.La règle A est affectée du niveau de priorité 1 et confère aux systèmes inclus un droit d'accès illimité àInternet. La règle B, avec niveau de priorité 2, restreint l'accès à Internet de ce même système. Danscet exemple, la règle A est mise en œuvre parce qu'elle dispose d'un niveau de priorité supérieur. Lesystème en question dispose ainsi d'un accès illimité à Internet.

Stratégies à emplacements multiples et priorité des règles d'affectation destratégie

Les priorités des règles ne sont pas prises en compte pour les stratégies à emplacements multiples.Lorsqu'une règle contenant des stratégies à emplacements multiples pour la même catégorie deproduit est appliquée, tous les paramètres de ces stratégies sont combinés. De même, si plusieursrègles contenant des paramètres de stratégies à emplacements multiples sont appliquées, tous lesparamètres de chaque stratégie sont combinés. En conséquence, la stratégie appliquée constitue unecombinaison des paramètres de chaque règle.

Lorsque des stratégies à plusieurs instances sont agrégées, elles ne le sont qu'avec des stratégies àplusieurs instances de même type. Toutefois, les stratégies à plusieurs instances affectées à l'aide derègles d'affectation de stratégie ne sont pas agrégées avec des stratégies à plusieurs instances dansl'Arborescence des systèmes. Les stratégies à plusieurs instances affectées à l'aide de règlesd'affectation de stratégie remplacent les stratégies affectées dans l'Arborescence des systèmes. Deplus, les stratégies basées sur l'utilisateur sont prioritaires par rapport aux stratégies basées sur lesystème.

Gestion des stratégiesRègles d'affectation de stratégie 16


Scénario : Utilisation de stratégies à emplacements multiples pour contrôlerl'accès à Internet

Dans votre Arborescence des systèmes, un groupe appelé « Ingénierie » est composé de systèmesportant le marqueur « EstUnServeur » ou « EstUnOrdinateurPortable ». Dans l'Arborescence dessystèmes, la stratégie A est affectée à tous les systèmes de ce groupe. L'affectation de la stratégie B àtout emplacement de l'Arborescence des systèmes situé au-dessus du groupe « Ingénierie » à l'aided'une règle d'affectation de stratégie remplace les paramètres de la stratégie A, et autorise lessystèmes portant le marqueur « EstUnOrdinateurPortable » à accéder à Internet. L'affectation de lastratégie C à tout groupe de l'Arborescence des systèmes situé au-dessus du groupe « Ingénierie »autorise les utilisateurs du groupe Admin à accéder à Internet à partir de tous les systèmes, y comprisde ceux du groupe « Ingénierie » portant le marqueur « EstUnServeur ».

Type destratégie

Type d'affectation Nom de lastratégie

Paramètres de stratégie

Stratégiegénérique

Stratégie affectéedans l'Arborescencedes systèmes

A Bloque l'accès à Internet à partir de tous lessystèmes auxquels la stratégie est affectée.

Stratégie baséesur le système

Règle d'affectationde stratégie

B Autorise l'accès à Internet à partir dessystèmes portant le marqueur« EstUnOrdinateurPortable ».

Stratégie baséesur le système


C Autorise un accès illimité à Internet pour tousles utilisateurs du groupe d'utilisateurs Admindepuis tous les systèmes.

Stratégie baséesur l'utilisateur


C Autorise un accès illimité à Internet pour tousles utilisateurs du groupe d'utilisateurs Admindepuis tous les systèmes.

Exclusion d'objets Active Directory à partir de stratégies agrégées

Parce que les règles composées de stratégies à emplacements multiples sont appliquées aux systèmesaffectés indépendamment de toute notion de priorité, vous devrez peut-être empêcher l'agrégation deparamètres de stratégie dans certains cas. Vous pouvez empêcher l'agrégation des paramètres destratégies basées sur l'utilisateur à emplacements multiples à travers plusieurs règles d'affectation destratégie en excluant un utilisateur (ou d'autres objets Active Directory tels qu'un groupe ou une unitéorganisationnelle) lors de la création de la règle. Pour plus d'informations sur les stratégies àemplacements multiples qui peuvent être utilisées dans les règles d'affectation de stratégie, consultezla documentation de votre produit managé.

Affectations de stratégie basée sur l'utilisateurLes règles d'affectation de stratégie basée sur l'utilisateur permettent de créer des affectations destratégie propres à chaque utilisateur.

Ces affectations sont mises en œuvre sur le système cible lors de la connexion des utilisateurs.

Lorsque l'utilisateur se connecte à un système managé pour la première fois, un léger délai peut êtreconstaté lorsque McAfee Agent contacte son serveur affecté pour les affectations de stratégie propres àcet utilisateur. Au cours de cette période, l'utilisateur ne peut accéder qu'aux fonctionnalités autoriséespar la stratégie d'ordinateur par défaut, qui est en général votre stratégie la plus sécurisée.

16 Gestion des stratégiesRègles d'affectation de stratégie


Sur un système managé, l'agent conserve un enregistrement des utilisateurs qui se connectent auréseau. Les affectations de stratégie créées pour chaque utilisateur sont transmises au système surlequel celui-ci se connecte et sont mises en mémoire cache lors de chaque communicationagent-serveur. Le serveur McAfee ePO applique les stratégies que vous avez affectées à chaqueutilisateur.

Pour utiliser les affectations de stratégie basée sur l'utilisateur, enregistrez et configurez un serveurLDAP enregistré à utiliser avec votre serveur McAfee ePO.

Présentation des affectations de stratégie basée sur le systèmeLes stratégies basées sur le système vous permettent d'affecter des stratégies à des systèmes enfonction de critères système.

Il existe deux types de critères système permettant d'affecter une stratégie basée sur le système :

• Emplacement dans l'arborescence des systèmes — Un emplacement dans l'arborescence dessystèmes doit être spécifié pour toutes les règles d'affectation de stratégie.

• Marqueurs — Vous pouvez affecter des stratégies à des systèmes en fonction des marqueurs quevous avez appliqués.

Une fois que vous avez défini et appliqué un marqueur à vos systèmes, vous pouvez créer une règled'affectation de stratégie pour affecter des stratégies à n'importe quel système portant ce marqueur.Cette fonctionnalité est utile lorsque vous souhaitez que tous les systèmes d'un type particulier aientla même stratégie de sécurité, indépendamment de leur emplacement dans l'arborescence dessystèmes.

Utilisation de marqueurs pour affecter des stratégies baséessur le systèmeExploitez les marqueurs pour simplifier l'automatisation de l'affectation de stratégies.

Les stratégies basées sur le système sont affectées en fonction des critères de sélection que vous avezdéfinis à l'aide de l'assistant Générateur d'affectations de stratégie. Vous pouvez appliquer unestratégie spécifique par marqueur sur tout système comportant ce marqueur.

Scénario : Création de nouveaux SuperAgents à l'aide de marqueurs

Vous avez décidé de créer un nouvel ensemble de SuperAgents dans votre environnement, mais vousn'avez pas le temps d'identifier manuellement les systèmes de votre arborescence des systèmes quihébergeront ces SuperAgents. Au lieu de cela, vous pouvez utiliser l'assistant Générateur demarqueurs pour marquer tous les systèmes qui satisfont à un ensemble de critères spécifiques avecun nouveau marqueur, « estSuperAgent». Une fois le marqueur défini, vous pouvez créer une règled'affectation de stratégie qui applique vos paramètres de stratégie de SuperAgent à chaque systèmecomportant le marqueur « estSuperAgent ».

Une fois le marqueur créé, vous pouvez utiliser l'action Rechercher les critères de marquage à partir de lapage Catalogue de marqueurs, et puisque chaque système comportant le nouveau marqueur lance unappel à intervalles réguliers, une nouvelle stratégie lui est affectée, basée sur votre règle d'affectationde stratégie « estSuperAgent ».

Création de règles d'affectation de stratégieLa création de règles d'affectation de stratégie vous permet de mettre en œuvre des stratégies pourdes utilisateurs ou des systèmes en fonction des critères de règle définis.


Gestion des stratégiesRègles d'affectation de stratégie 16


Procédure1 Ouvrez l'assistant Générateur d'affectations de stratégie.

a Cliquez sur Menu | Stratégie | Règles d'affectation de stratégie.

b Cliquez sur Nouvelle règle d'affectation.

2 Spécifiez diverses informations au sujet de cette règle d'affectation de stratégie, notamment :

• Un Nom et une Description uniques.

• le type de règle. Le type de règle que vous spécifiez détermine les critères disponibles sur la pageCritères de sélection.

Par défaut, la priorité des nouvelles règles d'affectation de stratégie est définie séquentiellementselon le nombre de règles existantes. Une fois la règle créée, vous pouvez modifier son ordre depriorité en cliquant sur Modifier la priorité sur la page Règles d'affectation de stratégie.


4 Cliquez sur Ajouter une stratégie pour sélectionner les stratégies qui doivent être mises en œuvre àl'aide de cette règle d'affectation de stratégie.


6 Spécifiez les critères à utiliser dans cette règle. Votre sélection de critères détermine à quelssystèmes ou utilisateurs cette stratégie est affectée.

7 Passez en revue les données, puis cliquez sur Enregistrer.

Gestion des règles d'affectation de stratégieVous pouvez effectuer des tâches habituelles de gestion lorsque vous travaillez avec des règlesd'affectation de stratégie.

16 Gestion des stratégiesRègles d'affectation de stratégie


Procédure1 Cliquez sur Menu | Stratégie | Règles d'affectation de stratégie.

2 Sélectionnez l'une des actions suivantes :

Action Etapes

Suppression d'une règled'affectation destratégie

Cliquez sur Supprimer dans la ligne de l'affectation sélectionnée.

Modification d'une règled'affectation destratégie

Cliquez sur l'affectation sélectionnée. L'assistant Générateurd'affectations de stratégie s'affiche. Passez en revue chaque page del'assistant pour modifier la règle d'affectation de stratégie.

Exportation de règlesd'affectation destratégie

Cliquez sur Actions | Exporter. Dans la page de téléchargement des règlesd'affectation de stratégie qui s'affiche, vous pouvez consulter outélécharger le fichier PolicyAssignmentRules.xml.

Importation de règlesd'affectation destratégie

Cliquez sur Actions | Importer. Dans la boîte de dialogue Importer les règlesd'affectation de stratégie qui s'affiche, vous pouvez accéder à un fichierPolicyAssignmentRules.xml préalablement téléchargé. Vous êtesinvité à choisir les règles à inclure dans le fichier à importer. Vouspouvez sélectionner les règles à importer et, si certaines règles dufichier ont le même nom que celles présentes dans votre liste des Règlesd'affectation de stratégie, vous pouvez conserver celles que vous souhaitez.

Modification de lapriorité d'une règled'affectation destratégie

Cliquez sur Actions | Modifier la priorité. Dans la page Modifier la priorité quis'affiche, vous pouvez modifier la priorité des règles d'affectation destratégie à l'aide de la poignée Glisser-déposer.

Affichage de lasynthèse d'une règled'affectation destratégie

Cliquez sur > dans la ligne de l'affectation sélectionnée.

Création de requêtes Gestion des stratégiesRécupérez les stratégies affectées à un système managé ou les stratégies dont l'héritage est bloquédans la hiérarchie des systèmes.Vous pouvez créer les requêtes de Gestion des stratégies suivantes :

• Stratégies appliquées — Extrait les stratégies affectées à des systèmes managés spécifiques.

• Héritage bloqué — Extrait des informations relatives aux stratégies dont l'héritage est bloqué dans lahiérarchie des systèmes.


1 Sélectionnez Menu | Génération de rapports | Requêtes et rapports, puis cliquez sur Nouvelle requête.

Le Générateur de requêtes s'ouvre.

2 Sur la page Type de résultat, sélectionnez Gestion des stratégies dans la liste Groupe de fonctionnalités.

3 Sélectionnez un Type de résultat, puis cliquez sur Suivant pour afficher la page Graphique :

• Tâches client appliquées

• Stratégies appliquées

Gestion des stratégiesCréation de requêtes Gestion des stratégies 16


• Héritage bloqué pour l'affectation de tâche client

• Héritage bloqué pour l'affectation de stratégie

4 Choisissez le type de graphique ou de tableau à utiliser pour l'affichage des principaux résultats dela requête, puis cliquez sur Suivant.

La page Colonnes s'affiche.

Si vous sélectionnez un Graphique à secteurs booléen, vous devez configurer les critères que vous voulezinclure à la requête.

5 Sélectionnez les colonnes à inclure à la requête, puis cliquez sur Suivant.

La page Filtre s'affiche.

6 Sélectionnez des propriétés pour limiter les résultats de la recherche, puis cliquez sur Exécuter.

La page Requête non enregistrée affiche les résultats de la requête, lesquels sont directementexploitables.

Les propriétés sélectionnées s'affichent dans le volet de contenu, avec les opérateurs permettant dedéfinir les critères pour limiter les données renvoyées pour ces propriétés.

7 Sur la page Requête non enregistrée, vous pouvez effectuer toute action disponible sur leséléments d'un tableau ou d'un tableau de détails.

• Si la requête n'a pas renvoyé les résultats attendus, cliquez sur Modifier la requête pour revenir àl'Assistant Générateur de requêtes et modifier la requête.

• S'il n'est pas nécessaire d'enregistrer cette requête, cliquez sur Fermer.

• Pour utiliser cette requête par la suite, cliquez sur Enregistrer et passez à l'étape suivante.

8 Sur la page Enregistrer la requête, entrez le nom de la requête, des commentaires si nécessaire, etchoisissez l'une des options suivantes :

• Nouveau groupe — Indiquez le nom du groupe et sélectionnez l'une des options suivantes :

• Groupe privé (Mes groupes)

• Groupe public (Groupes partagés)

• Groupe existant — Sélectionnez le groupe dans la liste des Groupes partagés.


Création d'une requête pour définir la conformitéLes requêtes de conformité sont requises sur les serveurs McAfee ePO dont les données sont utiliséesdans des requêtes sur données cumulées.


1 Sélectionnez Menu | Génération de rapports | Requêtes et rapports, puis cliquez sur Nouvelle requête.

2 Dans la page Type de résultat, sélectionnez Gestion du système pour Groupe de fonctionnalités et Systèmesmanagés pour Types de résultats, puis cliquez sur Suivant.

3 Sélectionnez Graphique à secteurs booléen dans la liste Afficher les résultats sous forme de, puis cliquezsur Configurer les critères.

16 Gestion des stratégiesCréation d'une requête pour définir la conformité


4 Sélectionnez les propriétés à inclure dans la requête, puis définissez les opérateurs et les valeurspour chacune d'entre elles. Cliquez sur OK. Dans la page Graphique qui s'affiche, cliquez sur Suivant.

Ces propriétés définissent les éléments conformes aux systèmes managés par ce serveur McAfeeePO.

5 Sélectionnez les colonnes à inclure dans la requête, puis cliquez sur Suivant.

6 Sélectionnez les filtres à appliquer à la requête, cliquez sur Exécuter, puis sur Enregistrer.

Génération d'événements de conformitéLes événements de conformité sont utilisés dans les requêtes sur des données cumulées pourregrouper les données dans un seul rapport.


1 Cliquez sur Menu | Automatisation | Tâches serveur, puis sur Actions | Nouvelle tâche.

2 Dans la page Description, saisissez un nom pour la nouvelle tâche, puis cliquez sur Suivant.


4 Cliquez sur Parcourir (...) en regard du champ Requête pour sélectionner une requête. L'onglet Mesgroupes de la boîte de dialogue Sélectionner une requête dans la liste s'affiche.

5 Sélectionnez la requête définissant la conformité. Il peut s'agir d'une requête par défaut, telle queSynthèse de conformité de McAfee Agent (section Groupes McAfee), ou d'une requête créée par un utilisateur,telle celle décrite dans la section Création d'une requête pour définir la conformité.

6 Dans la liste déroulante Sous-actions, sélectionnez Générer un événement de conformité et spécifiez lepourcentage ou le nombre de systèmes cibles, puis cliquez sur Suivant.

Les événements peuvent être générés par la tâche Générer un événement de conformité si le nombre ou lepourcentage de systèmes non conformes dépasse les valeurs définies.

7 Planifiez la tâche pour qu'elle s'exécute dans le même intervalle de temps que le rapport Historique deconformité. Par exemple, si les données relatives à la conformité sont collectées une fois parsemaine, planifiez la tâche pour qu'elle s'exécute une fois par semaine. Cliquez sur Suivant.

8 Vérifiez les données, puis cliquez sur Enregistrer.

Affichage des informations des stratégiesConsultez les informations détaillées sur vos stratégies, notamment leurs propriétaires, leursaffectations et leurs héritages.

Gestion des stratégiesGénération d'événements de conformité 16


Procédures• Affichage des groupes et systèmes auxquels une stratégie est affectée, page 222

Affichez les groupes et systèmes auxquels une stratégie est affectée. Cette liste répertorieuniquement les points d'affectation. Elle n'indique pas chacun des groupes ou systèmes quihéritent de la stratégie.

• Afficher les paramètres de stratégie, page 222Consultez les détails d'une stratégie affectée à une catégorie de produits ou un système.

• Affichage du propriétaire d'une stratégie, page 223Affichez les propriétaires d'une stratégie.

• Affichage des affectations pour lesquelles la mise en œuvre des stratégies est désactivée,page 223Consultez les affectations pour lesquelles la mise en œuvre des stratégies, par catégorie destratégies, est désactivée.

• Affichage des stratégies affectées à un groupe, page 223Consultez les stratégies affectées à un groupe de l'arborescence des systèmes, triées parproduit.

• Affichage des stratégies affectées à un système spécifique, page 223Affichez les stratégies de produit affectées à un système de l'arborescence des systèmes.

• Affichage de l'héritage des stratégies d'un groupe, page 224Consultez l'héritage des stratégies d'un groupe spécifique.

• Affichage et réinitialisation des héritages bloqués, page 224Identifiez les groupes et les systèmes dont l'héritage des stratégies est bloqué.

• Comparaison de stratégies, page 224Comparez les stratégies similaires avec la fonction Comparaison de stratégies. Cela vouspermet de déterminer quels paramètres sont différents et quels paramètres sontidentiques.

Affichage des groupes et systèmes auxquels une stratégie estaffectéeAffichez les groupes et systèmes auxquels une stratégie est affectée. Cette liste répertorie uniquementles points d'affectation. Elle n'indique pas chacun des groupes ou systèmes qui héritent de la stratégie.


Procédure1 Cliquez sur Menu | Stratégie | Catalogue de stratégies, puis sélectionnez un produit et une catégorie.


2 Sous Affectations, dans la ligne de la stratégie, cliquez sur le lien qui indique le nombre de groupesou de systèmes auxquels la stratégie est affectée (par exemple, 6 affectations).

Dans la page Affectations, chaque groupe ou système auquel la stratégie est affectée est affiché avecle nom du nœud et le type de nœud.

Afficher les paramètres de stratégieConsultez les détails d'une stratégie affectée à une catégorie de produits ou un système.




16 Gestion des stratégiesAffichage des informations des stratégies


2 Cliquez en regard d'une stratégie.

Les pages de configuration de la stratégie et leurs divers paramètres s'affichent.

Vous pouvez également visualiser ces informations lors de l'accès aux stratégies affectées d'ungroupe spécifique. Pour accéder à ces informations, cliquez sur Menu | Systèmes | Arborescence dessystèmes | Stratégies affectées, puis cliquez sur le lien de la stratégie sélectionnée dans la colonneStratégie.

Affichage du propriétaire d'une stratégieAffichez les propriétaires d'une stratégie.




2 Les propriétaires de la stratégie s'affichent sous Propriétaire.

Affichage des affectations pour lesquelles la mise en œuvre desstratégies est désactivéeConsultez les affectations pour lesquelles la mise en œuvre des stratégies, par catégorie de stratégies,est désactivée.




2 Cliquez sur le lien situé en regard de Etat de mise en œuvre pour le produit, qui indique (le cas échéant) lenombre d'affectations pour lesquelles la mise en œuvre est désactivée.

La page Mise en œuvre pour <nom de la stratégie> s'affiche.

3 Cliquez sur une entrée de la liste pour accéder à la page Stratégies affectées correspondante.

Affichage des stratégies affectées à un groupeConsultez les stratégies affectées à un groupe de l'arborescence des systèmes, triées par produit.




Toutes les stratégies affectées, organisées par produit, apparaissent dans le volet de détails.

2 Cliquez sur une stratégie pour en afficher les paramètres.

Affichage des stratégies affectées à un système spécifiqueAffichez les stratégies de produit affectées à un système de l'arborescence des systèmes.


Gestion des stratégiesAffichage des informations des stratégies 16




Tous les systèmes appartenant au groupe s'affichent dans le volet de détails.

2 Sélectionnez le système, puis cliquez sur Actions | Agent | Modifier les stratégies sur un seul système.

3 Sélectionnez le produit.

Les stratégies du produit affectées à ce système apparaissent.

4 Cliquez sur une stratégie pour en afficher les paramètres.

Affichage de l'héritage des stratégies d'un groupeConsultez l'héritage des stratégies d'un groupe spécifique.Pour consulter la définition des options, cliquez sur ? dans l'interface.

Procédure1 Cliquez sur Menu | Systèmes | Arborescence des systèmes | Stratégies affectées.

Toutes les stratégies affectées, organisées par produit, apparaissent dans le volet de détails.

2 Dans la ligne de la stratégie, sous Hériter de, figure le nom du groupe à partir duquel la stratégie esthéritée.

Affichage et réinitialisation des héritages bloquésIdentifiez les groupes et les systèmes dont l'héritage des stratégies est bloqué.Pour consulter la définition des options, cliquez sur ? dans l'interface.

Procédure1 Cliquez sur Menu | Systèmes | Arborescence des systèmes | Stratégies affectées.

Toutes les stratégies affectées, organisées par produit, apparaissent dans le volet de détails. Dansla ligne de la stratégie, sous Héritage bloqué, figure le nombre de groupes et systèmes où l'héritage decette stratégie a été bloqué.

Il s'agit du nombre de groupes ou systèmes pour lesquels l'héritage de la stratégie a été bloqué, etnon du nombre de systèmes qui n'héritent pas de la stratégie. Par exemple, si seul un groupen'hérite pas de la stratégie, cet état est représenté par 1 n'hérite pas, indépendamment du nombre desystèmes présents dans le groupe.

2 Cliquez sur le lien indiquant le nombre de groupes ou systèmes enfants pour lesquels l'héritage estbloqué.

La page Héritage bloqué affiche la liste des noms de ces groupes et systèmes.

3 Pour réinitialiser l'héritage pour l'un de ces groupes ou systèmes, activez la case à cocher enregard de son nom, puis cliquez sur Actions et sélectionnez Réinitialiser l'héritage.

Comparaison de stratégiesComparez les stratégies similaires avec la fonction Comparaison de stratégies. Cela vous permet dedéterminer quels paramètres sont différents et quels paramètres sont identiques.Un grand nombre des valeurs et variables répertoriées sur la page Comparaison de stratégies sontpropres à chaque produit. Pour obtenir les définitions des options ne figurant pas dans le tableau,reportez-vous à la documentation du produit dont provient la stratégie à comparer.

16 Gestion des stratégiesAffichage des informations des stratégies



Procédure

1 Cliquez sur Menu | Comparaison de stratégies, puis sélectionnez un produit, une catégorie et Afficher lesparamètres dans les listes.

Ces paramètres permettent de remplir les listes Stratégie 1 et Stratégie 2 avec les stratégies àcomparer.

2 Sélectionnez les stratégies à comparer dans la ligne Comparer les stratégies des listes des colonnesStratégie 1 et Stratégie 2.

Les deux premières lignes du tableau affichent le nombre de paramètres différents et identiques.Vous pouvez également modifier le paramètre Afficher afin de limiter les données affichées auxDifférences entre les stratégies et aux Correspondances entre les stratégies, plutôt que Tous les paramètres de stratégie.

3 Cliquez sur Imprimer pour ouvrir une version imprimable de cette comparaison.

Partage de stratégies entre serveurs McAfee ePOLes administrateurs utilisent le partage de stratégies pour désigner des stratégies élaborées sur unserveur afin de les transmettre à d'autres serveurs pour implémentation.

Les administrateurs doivent effectuer trois étapes uniquement pour partager des stratégies entreserveurs.

1 Désigner la stratégie à partager.

2 Enregistrer les serveurs qui vont partager cette stratégie.

3 Planifier une tâche serveur pour distribuer la stratégie partagée.

Distribution d'une stratégie à plusieurs serveurs McAfee ePOConfigurez le partage de stratégies entre plusieurs serveurs McAfee ePO. McAfee conseille de leseffectuer en suivant l'ordre dans lequel elles sont décrites.

Si vous devez modifier une stratégie après l'avoir partagée, effectuez les modifications, puis exécutezde nouveau la tâche de distribution de stratégies partagées. Il est alors préférable de prévenir lesadministrateurs locaux de la modification.

Procédures

• Enregistrement des serveurs pour le partage des stratégies, page 225Vous pouvez enregistrer des serveurs pour partager une stratégie.

• Désignation des stratégies à partager, page 226Vous pouvez désigner une stratégie à partager entre plusieurs serveurs McAfee ePO.

• Planification des tâches serveur pour le partage des stratégies, page 226Vous pouvez planifier une tâche serveur en vue de partager des stratégies entre plusieursserveurs McAfee ePO.

Enregistrement des serveurs pour le partage des stratégiesVous pouvez enregistrer des serveurs pour partager une stratégie.


Gestion des stratégiesPartage de stratégies entre serveurs McAfee ePO 16


Procédure1 Cliquez sur Menu | Configuration | Serveurs enregistrés, puis cliquez sur Nouveau serveur. L'assistant Générateur

de serveurs enregistrés s'ouvre à la page Description.

2 Dans le menu Type de serveur, sélectionnez ePO, spécifiez un nom, ainsi que des commentaireséventuels, puis cliquez sur Suivant. La page Détails s'affiche.

3 Indiquez les détails de votre serveur, cliquez sur Activer dans le champ Partage de stratégies, puis surEnregistrer.

Désignation des stratégies à partagerVous pouvez désigner une stratégie à partager entre plusieurs serveurs McAfee ePO.


Procédure1 Cliquez sur Menu | Stratégie | Catalogue de stratégies, puis sur Produit et sélectionnez le produit dont vous

voulez partager la stratégie.

2 Dans la colonne Actions de la stratégie à partager, cliquez sur Partager.

Les stratégies partagées sont automatiquement diffusées aux serveurs McAfee ePO lorsque le partagede stratégies est activé. Lorsque vous cliquez sur Partager à l'étape 2, la stratégie est immédiatementdiffusée à tous les serveurs McAfee ePO enregistrés pour lesquels le partage des stratégies et activé.Les modifications apportées aux stratégies partagées sont diffusées de la même façon.

Planification des tâches serveur pour le partage des stratégiesVous pouvez planifier une tâche serveur en vue de partager des stratégies entre plusieurs serveursMcAfee ePO.





2 Dans la page Description, spécifiez le nom de la tâche, ainsi que d'éventuels commentaires, puiscliquez sur Suivant.

Les nouvelles tâches serveur sont activées par défaut. Si vous ne souhaitez pas activer cette tâche,sélectionnez Désactivé dans le champ Etat de planification.

3 Dans le menu déroulant Actions, sélectionnez Partager les stratégies, puis cliquez sur Suivant.

4 Définissez la planification de la tâche, puis cliquez sur Suivant.

5 Passez en revue les paramètres, puis cliquez sur Enregistrer.

16 Gestion des stratégiesDistribution d'une stratégie à plusieurs serveurs McAfee ePO


Questions sur la gestion des stratégies

Qu'est-ce qu'une stratégie ?

Une stratégie est un sous-ensemble personnalisé de paramètres de produit correspondant à unecatégorie de stratégies. Vous pouvez créer, modifier ou supprimer autant de stratégies nommées quenécessaire pour chaque catégorie de stratégies.

Que sont les stratégies McAfee Default et My Default ?

A l'installation, chaque catégorie de stratégies contient au moins deux stratégies. Celles-ci sontappelées McAfee Default et My Default. Il s'agit des seules stratégies présentes lors de l'installationinitiale. Au départ, leur configuration est identique.

Les stratégies nommées McAfee Default ne peuvent être ni modifiées, ni renommées, ni supprimées.Les stratégies My Default, en revanche, peuvent être modifiées, renommées et supprimées.

Qu'advient-il des groupes et systèmes enfants du groupe auquel une nouvellestratégie a été affectée ?

Pour autant qu'ils soient configurés de manière à hériter de la catégorie de stratégies spécifique, tousles groupes et systèmes enfants héritent de la stratégie attribuée à un groupe parent.

En cas de modification d'une stratégie dans le catalogue de stratégies, quel estl'impact sur les groupes et systèmes auxquels cette stratégie est attribuée ?

Tous les groupes et systèmes auxquels une stratégie est attribuée reçoivent les modificationsapportées à cette stratégie lors de la communication agent-serveur suivante. La stratégie est ensuitemise en œuvre à chaque intervalle de mise en œuvre des stratégies.

J'ai affecté une nouvelle stratégie, mais elle n'est pas mise en œuvre auxsystèmes managés. Pourquoi ?

Les nouvelles affectations de stratégie sont seulement mises en œuvre lors de la communicationagent-serveur suivante.

J'ai collé des affectations de stratégie d'un groupe ou système (source) sur unautre (cible), mais les stratégies affectées à l'emplacement cible ne sont pas lesmêmes que celles de l'emplacement source. Pourquoi ?

Lorsque vous copiez et collez des affectations de stratégie, seules les véritables affectations sontdupliquées. Si l'une des stratégies à copier était le fait d'un héritage à l'emplacement source, c'estcette caractéristique d'héritage qui a été collée sur la cible. Par conséquent, la cible hérite de lastratégie (appartenant à cette catégorie) de son propre parent. Or, la stratégie du parent peut êtredifférente de celle de la source.

Gestion des stratégiesQuestions sur la gestion des stratégies 16


Page Affecter une stratégieCette page permet d'affecter une stratégie de configuration McAfee ePO à un groupe ou un système del'arborescence des systèmes.

Tableau 16-2 Définitions des options

Option Définition

Stratégie Spécifie la stratégie qui est affectée au groupe ou aux systèmes sélectionnés pour lacatégorie et le produit donnés. Sélectionnez la stratégie dans les trois zones de listesuivantes :• Produit — Spécifie le produit dont il est possible de gérer les stratégies.

• Catégorie — Indique la catégorie dans laquelle vous souhaitez sélectionner une stratégie deconfiguration. Les catégories disponibles varient selon le produit ou composantsélectionné.

• Stratégie — La stratégie spécifique que vous voulez affecter.

Héritage Détermine les stratégies définies au niveau Mon organisation dans l'arborescence dessystèmes dont héritent les groupes des niveaux inférieurs. Les sous-groupes et les systèmesindividuels d'un groupe héritent des stratégies définies pour le groupe.

Voir aussi Stratégies et mise en œuvre de stratégies, page 203Attribution de stratégies, page 205Création et gestion de stratégies, page 206Configuration initiale des stratégies, page 208Affectation d'une stratégie à un groupe de l'arborescence des systèmes, page 210Affectation d'une stratégie à un système managé, page 210Affectation d'une stratégie à des systèmes dans un groupe de l'arborescence des systèmes,page 211

16 Gestion des stratégiesPage Affecter une stratégie


17 Tâches client

Créez et planifiez des tâches client pour automatiser la gestion des systèmes sur votre réseau.

Les tâches client sont généralement utilisées pour les activités suivantes :

• le déploiement de produits ;

• Fonctionnalités du produit

• les mises à jour et les mises à niveau.

Pour plus d'informations sur les tâches client disponibles ainsi que leur utilité, consultez ladocumentation de vos produits managés.

Sommaire Fonctionnement du catalogue de tâches client Tâches de déploiement Utilisation de la tâche Déploiement de produits pour l'installation de produits sur des systèmesmanagés Tâches de mise à jour Gestion des tâches client

Fonctionnement du catalogue de tâches clientUtilisez le catalogue de tâches client pour créer des objets tâche client qui vous serviront à gérer lessystèmes de votre réseau.

Le catalogue de tâches client applique le concept d'objets logiques aux tâches client ePolicyOrchestrator. Vous pouvez créer des objets tâche client à diverses fins sans qu'il soit nécessaire de lesaffecter dans l'immédiat. Vous pouvez donc traiter ces objets comme des composants réutilisables lorsde l'affectation et de la planification d'une tâche client.

Les tâches client peuvent être affectées à n'importe quel niveau de l'arborescence des systèmes. Ellessont héritées par les groupes et les systèmes de l'arborescence situés à un niveau inférieur. A l'instardes stratégies et des affectations de stratégie, vous pouvez bloquer l'héritage d'une tâche clientaffectée.

Les objets tâche client peuvent être partagés par plusieurs serveurs McAfee ePO enregistrés de votreenvironnement. Lorsque le partage des objets tâche client est activé, chaque serveur enregistré reçoitune copie après l'exécution de votre tâche serveur Partager la tâche client. Toute modification apportée à latâche est mise à jour à chaque exécution de la tâche serveur. Lorsqu'un objet tâche client est partagé,seul le propriétaire de l'objet peut modifier ses paramètres.

Un administrateur sur le serveur de destination d'une tâche partagée n'est pas propriétaire de cettedernière. Aucun des utilisateurs du serveur de destination n'est propriétaire des tâches partagéesenvoyées à ce serveur.

17


Tâches de déploiementLes tâches de déploiement sont des tâches client qui permettent de déployer des produits de sécuritégérés sur vos systèmes managés à partir du référentiel maître.

Vous pouvez créer et gérer des objets Tâche de déploiement individuels à l'aide du catalogue detâches client, puis les affecter afin qu'ils s'exécutent sur des groupes ou sur un système individuel. Ou,si vous préférez, vous pouvez créer des projets Déploiement de produits pour déployer des produitssur vos systèmes. Les projets Déploiement de produit permettent d'automatiser le processus decréation et de programmation des objets Tâche client individuellement. Ils fournissent également desfonctionnalités de gestion automatisée supplémentaires.

Remarques importantes

Lorsque vous décidez de l'organisation de votre déploiement de produits, prenez en considération lespoints suivants :

• La taille du package et la bande passante disponible entre le référentiel maître et les systèmesmanagés. Un déploiement simultané de produits sur un grand nombre de systèmes pourrait nonseulement submerger le serveur McAfee ePO ou votre réseau, mais aussi compliquer les éventuelsdépannages nécessaires.

• Un déploiement graduel pour n'installer les produits que sur quelques groupes de systèmes à lafois. Si vous disposez de liaisons rapides sur le réseau, vous pouvez envisager un déploiementsimultané sur plusieurs centaines de clients. Formez par contre des groupes de systèmes de pluspetite taille si votre réseau comporte des connexions plus lentes ou peu fiables. Pour chaquegroupe, surveillez le déploiement, assurez-vous de la réussite des installations en générant lesrapports adéquats et résolvez tout problème qui pourrait survenir au niveau de chaque système.

Déploiement de produits sur les systèmes sélectionnés

Pour déployer des composants ou des produits McAfee installés sur un sous-ensemble de systèmesmanagés, procédez comme suit :

1 Utilisez un marqueur pour identifier les systèmes en question.

2 Déplacez les systèmes marqués vers un groupe.

3 Configurez une tâche client Déploiement de produit pour ce groupe.

Packages de déploiement de produit et de mise à jourL'infrastructure de déploiement du logiciel McAfee ePO prend en charge le déploiement de produits etde composants, ainsi que leur mise à jour respective.

Chaque produit pouvant être déployé par McAfee ePO fournit un package de déploiement de produit,sous forme de fichier ZIP. Ce fichier ZIP contient les fichiers d'installation du produit, compressés dansun format sécurisé. McAfee ePO peut déployer ces packages sur chacun de vos systèmes managés.

Ces fichiers ZIP sont utilisés pour les packages de mise à jour de moteur et de fichiers de signatures(DAT).

Vous pouvez configurer les paramètres de stratégie de produit avant ou après le déploiement. Il estconseillé de configurer ces paramètres de stratégie avant de déployer le produit sur les systèmes duréseau. Outre le gain de temps que cela représente, vous êtes assuré que vos systèmes sont protégésdès que possible.

Ces types de package peuvent être archivés dans le référentiel maître soit manuellement, soit aumoyen de tâches d'extraction.

17 Tâches clientTâches de déploiement


Types de packages pris en charge

Type de package Description Provenance

Fichiers SuperDAT(SDAT.exe)

Type de fichier :SDAT.exe

Les fichiers SuperDAT regroupent lesfichiers DAT et de moteur dans un mêmepackage de mise à jour. Pour éviter desurcharger la bande passante, il estconseillé de mettre à jour les fichiersDAT et de moteur séparément.

Site web McAfee. Téléchargez etarchivez manuellement lesfichiers SuperDAT dans leréférentiel maître.

Fichiers de signaturessupplémentaires(Extra.DAT)

Type de fichier :Extra.DAT

Les fichiers ExtraDAT concernent une ouplusieurs menaces précises apparuesdepuis la mise à disposition du dernierfichier DAT. Si le niveau de gravité de lamenace est élevé, distribuezimmédiatement le fichier ExtraDAT.N'attendez pas que la signaturecorrespondante soit ajoutée au prochainfichier DAT.Les fichiers ExtraDAT sont disponiblessur le site web de McAfee. Vous pouvezles distribuer via McAfee ePO. Les tâchesd'extraction ne récupèrent pas lesfichiers ExtraDAT.

Site web McAfee. Téléchargez etarchivez manuellement lesfichiers DAT supplémentairesdans le référentiel maître.

Packages dedéploiement de produitset de mise à jour

Type de fichier : ZIP

Un package de déploiement de produitcontient le logiciel d'installation.

CD du produit ou fichier ZIP duproduit téléchargé. Archivezmanuellement les packages dedéploiement de produit dans leréférentiel maître. Pour lesemplacements spécifiques,consultez la documentation dece produit.

Packages de langueMcAfee Agent

Type de fichier : ZIP

Un package de langue McAfee Agentcontient les fichiers nécessaires àl'affichage des informations de McAfeeAgent dans une langue locale.

Référentiel maître : archivagelors de l'installation. Pour lesversions ultérieures de l'agentMcAfee Agent, vous devezarchiver manuellement lespackages de langue McAfeeAgent dans le référentielmaître.

Sécurité et signature des packages

Tous les packages créés et distribués par McAfee sont signés à l'aide d'une paire de clés utilisant lesystème de vérification de signatures DSA (Digital Signature Algorithm) et soumis au chiffrement168 bits 3DES. Une clé est utilisée pour chiffrer ou déchiffrer les données confidentielles.

Lorsque vous archivez des packages qui ne sont pas signés par McAfee, un message vous le signale.Si vous êtes sûr du contenu et de la validité du package, poursuivez l'archivage. Ces packages sontsécurisés de la manière décrite ci-dessus, mais ils sont signés par McAfee ePO lors de leur archivage.

L'agent McAfee Agent accepte uniquement les fichiers de package signés par McAfee ePO ou McAfee.Ainsi, votre réseau ne risque pas d'être mis en péril par des packages provenant de sources nonfiables ou non signées.

Classement des packages et dépendances

Si la mise à jour d'un produit dépend d'une autre mise à jour, vous devez archiver les packages demise à jour correspondants dans le référentiel maître selon l'ordre qui convient. Par exemple, si lePatch 2 nécessite le Patch 1, vous devez archiver le Patch 1 avant le Patch 2. Les packages ne peuvent

Tâches clientTâches de déploiement 17


plus être réorganisés lorsqu'ils ont été archivés. Vous devez les déplacer, puis les archiver à nouveau,dans le bon ordre. Si vous archivez un package qui remplace un package existant, ce dernier est retiréautomatiquement.

Déploiement de produits et de mises à jourL'infrastructure de référentiels de McAfee ePO permet de déployer des packages d'installation deproduit et des packages de mise à jour sur les systèmes managés, depuis un point central. Le mêmeréférentiel est utilisé, mais il existe quelques différences.

Packages de déploiement de produits et packages de mise à jour

Packages de déploiement de produit Packages de mise à jour

Ils doivent être archivés manuellementdans le référentiel maître.

Les packages de mise à jour de fichiers DAT et demoteur peuvent être automatiquement copiés à partirdu site source à l'aide d'une tâche d'extraction. Tous lesautres packages de mise à jour doivent être archivésmanuellement dans le référentiel maître.

Ils peuvent être répliqués vers leréférentiel maître et installésautomatiquement sur les systèmesmanagés à l'aide d'une tâche dedéploiement.

Ils peuvent être répliqués vers le référentiel maître etinstallés automatiquement sur les systèmes managés àl'aide de la mise à jour globale.

Si vous ne mettez pas en œuvre la mise àjour globale pour le déploiement deproduit, il est nécessaire de configurer etde planifier une tâche de déploiement pourque les systèmes managés puissentobtenir le package.

Si vous ne mettez pas en œuvre la mise à jour globalepour la mise à jour du produit, il est nécessaire deconfigurer et de planifier une tâche client de mise à jourpour la récupération du package sur les systèmesmanagés.

Procédure de déploiement de produit et de mise à jour

Suivez la procédure ci-dessous pour distribuer des packages de mise à jour de moteur et de fichiersDAT.

1 Archivez le package de mise à jour dans le référentiel maître soit manuellement, soit au moyend'une tâche d'extraction.

2 Effectuez l'une des actions suivantes :

• Si vous utilisez la mise à jour globale, créez et planifiez une tâche de mise à jour pour lessystèmes d'ordinateurs portables qui sont utilisés en dehors du réseau.

• Si vous n'utilisez pas la mise à jour globale, effectuez les tâches suivantes.

1 Utilisez une tâche de réplication pour copier le contenu du référentiel maître.

2 Créez et planifiez une tâche de mise à jour pour que les agents récupèrent le package etl'installent sur les systèmes managés.

17 Tâches clientTâches de déploiement


Configuration initiale des déploiements de produits et de misesà jourSuivez cette procédure pour garantir que vos déploiements de mises à jour et de produits sonteffectués correctement.

Lorsque vous déployez des produits pour la première fois :

1 Configurez les tâches serveur pour l'extraction de référentiel et la réplication de référentiel.

2 Archivez des packages de produit et de mise à jour dans le référentiel maître à l'aide dugestionnaire de logiciels.

3 Configurez des tâches client de déploiement de produits et de mise à jour.

Marqueurs de déploiementLors de la création d'une tâche de déploiement, un marqueur portant le nom de la tâche est créé etappliqué automatiquement aux systèmes sur lesquels la tâche est mise en œuvre.

Ces marqueurs sont ajoutés au groupe Marqueurs de déploiement figurant sur la page Catalogue de marqueurspour chaque création et mise en œuvre d'une tâche de déploiement sur les systèmes. Ce groupe esten lecture seule, ses marqueurs ne peuvent donc pas être appliqués, modifiés, supprimés ou utilisésmanuellement dans le cadre d'une configuration des critères pour filtrer les systèmes.

Utilisation de la tâche Déploiement de produits pourl'installation de produits sur des systèmes managés

Ces procédures permettent de déployer des produits sur les systèmes managés à l'aide de la tâcheclient Déploiement de produits.Vous pouvez créer cette tâche pour un seul système ou pour des groupes de l'arborescence dessystèmes.

Procédures• Configuration d'une tâche de déploiement pour des groupes de systèmes managés,

page 233Configurez une tâche Déploiement de produits pour déployer des produits sur des groupesde systèmes managés dans l'arborescence des systèmes.

• Configuration d'une tâche de déploiement pour l'installation de produits sur un systèmemanagé, page 235Déployez des produits sur un seul système à l'aide de la tâche Déploiement de produits.

Configuration d'une tâche de déploiement pour des groupes desystèmes managésConfigurez une tâche Déploiement de produits pour déployer des produits sur des groupes desystèmes managés dans l'arborescence des systèmes.


Tâches clientUtilisation de la tâche Déploiement de produits pour l'installation de produits sur des systèmes managés 17


Procédure1 Ouvrez la boîte de dialogue Nouvelle tâche.

a Sélectionnez Menu | Stratégie | Catalogue de tâches client.

b Sous Types de tâche client, sélectionnez un produit.

c Cliquez sur Nouvelle tâche.

2 Sélectionnez Déploiement de produits, puis cliquez sur OK.

3 Entrez un nom pour la tâche que vous créez et ajoutez toute information pertinente.

4 En regard de Plates-formes cibles, sélectionnez les types de plates-formes sur lesquelles ledéploiement sera effectué.

5 En regard de Produits et composants, définissez ce qui suit :

• Sélectionnez un produit dans la première liste déroulante. Les produits répertoriés sont lesproduits que vous avez archivés dans le référentiel maître. Si le produit que vous souhaitezdéployer ne figure pas sur la liste, archivez au préalable le package qui lui correspond.

• Sélectionnez Installer comme Action, puis choisissez la version de Langue du package, ainsi que laBranche.

• Pour spécifier des options d'installation de ligne de commande, saisissez ces options dans lazone de texte Ligne de commande. Pour plus d'informations sur les options de ligne de commandedu produit en cours d'installation, consultez la documentation relative à ce dernier.

Cliquez sur le signe + ou – pour ajouter ou supprimer des produits et des composants dans la listeaffichée.

6 Si vous souhaitez que vos produits de sécurité soient automatiquement mis à jour, sélectionnez Miseà jour automatique.

Cela permet également de déployer automatiquement les correctifs HotFix et les patches de votreproduit.

Si vous choisissez la mise à jour automatique du produit de sécurité, vous ne pouvez pas définirl'Action sur Supprimer.

7 (Windows uniquement) En regard d'Options, indiquez si vous souhaitez exécuter cette tâche pourchaque processus de stratégie, puis cliquez sur Enregistrer.

8 Cliquez sur Menu | Section systèmes | Arborescence des systèmes | Tâches client affectées, puis sélectionnez legroupe requis dans l'arborescence des systèmes.

9 Définissez le filtre Prédéfinis sur Déploiement de produits (McAfee Agent).

Chaque tâche client affectée, par catégorie sélectionnée, s'affiche dans le volet de détails.


11 Sur la page Sélectionner une tâche, définissez le champ Produit sur McAfee Agent et le champ Type detâche sur Déploiement de produits, puis sélectionnez la tâche que vous avez créée pour déployer votreproduit.

17 Tâches clientUtilisation de la tâche Déploiement de produits pour l'installation de produits sur des systèmes managés


12 En regard de Marqueurs, sélectionnez les plates-formes sur lesquelles vous déployez les packages,puis cliquez sur Suivant :• Envoyer cette tâche à tous les ordinateurs

• Envoyer cette tâche seulement aux ordinateurs répondant aux critères suivants : cliquez sur Modifier en regard descritères à configurer, sélectionnez le groupe de marqueurs et les marqueurs à utiliser dans lescritères, puis cliquez sur OK.


13 Sur la page Planification, vérifiez que la planification est activée et spécifiez-en les détails, puiscliquez sur Suivant.

14 Passez en revue les informations, puis cliquez sur Enregistrer.

A chaque exécution planifiée, la tâche de déploiement installe le dernier package de capteurs sur lessystèmes qui remplissent des critères précis.

Configuration d'une tâche de déploiement pour l'installation deproduits sur un système managéDéployez des produits sur un seul système à l'aide de la tâche Déploiement de produits.Créez une tâche client Déploiement de produits pour un système spécifique dans les cas suivants :

• Vous devez installer sur ce système un produit dont les autres systèmes du même groupe n'ont pasbesoin.

• Vous voulez définir pour ce système une planification différente de celle des autres systèmes dugroupe (par exemple, s'il est situé dans un fuseau horaire différent des autres membres dugroupe).






2 Vérifiez que Déploiement de produits est sélectionné, puis cliquez sur OK.


4 En regard de Plates-formes cibles, sélectionnez le ou les types de plates-formes sur lesquelles ledéploiement sera effectué.

Tâches clientUtilisation de la tâche Déploiement de produits pour l'installation de produits sur des systèmes managés 17


5 En regard de Produits et composants, définissez ce qui suit :

• Sélectionnez un produit dans la première liste déroulante. Les produits répertoriés sont ceuxpour lesquels vous avez déjà archivé un package dans le référentiel maître. Si le produit quevous souhaitez déployer ne figure pas sur la liste, archivez au préalable le package qui luicorrespond.

• Sélectionnez Installer comme Action, puis choisissez la version de Langue du package, ainsi que laBranche.

• Pour spécifier des options d'installation de ligne de commande, entrez ces options dans la zonede texte Ligne de commande. Pour plus d'informations sur les options de ligne de commande duproduit à installer, consultez la documentation relative à ce dernier.

Cliquez sur + ou – pour ajouter ou supprimer des produits et des composants dans la liste affichée.

6 Si vous souhaitez que les produits de sécurité déjà déployés soient automatiquement mis à jour,sélectionnez Mise à jour automatique.

Cela permet également de déployer automatiquement les correctifs HotFix et les patches de vosproduits.

Si vous choisissez la mise à jour automatique du produit de sécurité, vous ne pouvez pas définirl'Action sur Supprimer.

7 En regard d'Options, indiquez si vous voulez exécuter cette tâche lors de chaque procédure de miseen œuvre de stratégies (Windows uniquement), puis cliquez sur Enregistrer.

8 Cliquez sur Menu | Systèmes | Arborescence des systèmes | Systèmes, puis sélectionnez le système surlequel vous souhaitez déployer un produit et cliquez sur Actions | Agent | Modifier les tâches sur un seulsystème.


10 Sur la page Sélectionner une tâche, définissez le champ Produit sur McAfee Agent et le champ Type de tâchesur Déploiement de produits, puis sélectionnez la tâche que vous avez créée pour déployer le produit.

11 En regard de Marqueurs, sélectionnez les plates-formes sur lesquelles vous souhaitez déployer lespackages, puis cliquez sur Suivant :• Envoyer cette tâche à tous les ordinateurs





17 Tâches clientUtilisation de la tâche Déploiement de produits pour l'installation de produits sur des systèmes managés


Tâches de mise à jourSi vous n'utilisez pas de mise à jour globale, déterminez le moment où les agents des systèmesmanagés lancent les mises à jour.

Vous pouvez créer et configurer des tâches client de mise à jour pour contrôler quand et de quellemanière les systèmes managés reçoivent les packages de mise à jour.

Si vous avez recours à la mise à jour globale, cette tâche n'est pas nécessaire (mais vous pouvez encréer une sur une base quotidienne pour la redondance).

Facteurs à prendre en compte lors de la création de tâches client de mise à jour

Prenez en considération les éléments suivants lors de la planification des tâches de mise à jour client :

• Créez une tâche client de mise à jour quotidienne au niveau supérieur de l'Arborescence dessystèmes, afin que tous les systèmes héritent de cette tâche. Dans le cas d'une organisation degrande taille, des intervalles d'exécution aléatoire peuvent être appliqués afin de limiter l'impactsur la bande passante. Pour les réseaux d'entreprises qui disposent de bureaux ayant des fuseauxhoraires différents, équilibrez la charge réseau en exécutant la tâche à l'heure locale du systèmemanagé, plutôt qu'à la même heure pour tous les systèmes.

• Si vous avez recours à des tâches de réplication planifiées, organisez-vous pour exécuter la tâcheau moins une heure après ces dernières.

• Exécutez les tâches de mise à jour des fichiers DAT et de moteur au moins une fois par jour. Il peutarriver que des systèmes managés soient déconnectés du réseau lors de l'exécution d'une tâcheplanifiée. C'est pourquoi il est recommandé de programmer une exécution fréquente de cettedernière pour garantir la mise à jour de ces systèmes.

• Pour optimiser l'efficacité de la bande passante, créez plusieurs tâches planifiées de mise à jourclient, qui sont chargées de mettre à jour des composants distincts et s'exécutent à des momentsdifférents. Vous pouvez, par exemple, créer une tâche portant uniquement sur les fichiers DAT, puisune autre qui met à jour à la fois les fichiers DAT et de moteur une fois par semaine ou une fois parmois (les packages de moteur sont distribués moins souvent).

• Créez et planifiez des tâches supplémentaires pour mettre à jour les produits qui n'utilisent pasl'agent McAfee Agent pour Windows.

• Créez une tâche de mise à jour pour vos applications de poste de travail principales afin de vousassurer que toutes reçoivent les fichiers de mise à jour. Planifiez cette tâche pour qu'elle soitexécutée une ou plusieurs fois par jour.

Afficher les tâches client affectéesAu cours du processus de déploiement de produit initial, ePolicy Orchestrator crée automatiquementune tâche client de déploiement de produits. Vous pouvez vous en servir comme base pour créerd'autres tâches client de déploiement de produits.

Avant de commencerIl n'existe aucune tâche client de déploiement de produits par défaut. Vous devez exécuterl'option Déploiement de produit initial pour créer la tâche client de déploiement de produitinitial.

Tâches clientTâches de mise à jour 17



1 Pour afficher la tâche client de déploiement de produit initial, cliquez sur Menu | Catalogue de tâchesclient.

2 Recherchez la tâche client de déploiement de produit initial : dans la liste Types de tâche client,sélectionnez McAfee Agent | Déploiement de produits.

La tâche client de déploiement de produit initialement créée utilise le nom du groupe Arborescence dessystèmes que vous avez défini dans l'adresse URL de déploiement d'agent surInitialDeployment_<NomGroupe>. Par exemple, « InitialDeployment_TousSystèmesWindows ». Cettetâche s'affiche dans la colonne Nom du tableau McAfee Agent | Déploiement de produits.

3 Pour ouvrir la tâche client, cliquez sur le nom de la tâche configurée dans l'adresse URL de déploiementd'agent pour afficher les détails de tâche client.

4 Pour fermer la page, cliquez sur Annuler.

Vous connaissez désormais l'emplacement et la configuration de la tâche client de déploiement deproduits par défaut. Vous pouvez dupliquer cette tâche client pour déployer McAfee Agent sur desplates-formes utilisant des systèmes d'exploitation différents, par exemple.

Mise à jour périodique de systèmes managés à l'aide d'unetâche de mise à jour planifiéeCréer et configurer des tâches de mise à jour. Si vous utilisez l'option de mise à jour globale, il estconseillé d'utiliser une tâche client de mise à jour quotidienne pour vous assurer que les systèmessont à jour avec les fichiers DAT et de moteur les plus récents.Pour consulter la définition des options, cliquez sur ? dans l'interface.





2 Vérifiez que Mise à jour du produit est sélectionné, puis cliquez sur OK.


4 En regard de la boîte de dialogue Mise à jour en cours, indiquez si les utilisateurs doivent êtreavertis qu'une mise à jour est en cours et s'ils sont autorisés à reporter la procédure à plus tard.

5 Sélectionnez un type de package, puis cliquez sur Enregistrer.

Lors de la configuration de signatures et de moteurs individuels, si vous sélectionnez Moteur etdésélectionnez Fichiers DAT, un nouveau fichier DAT est automatiquement mis à jour en même tempsque le nouveau moteur pour garantir une protection complète.

6 Cliquez sur Menu | Systèmes | Arborescence des systèmes | Systèmes, puis sélectionnez le système surlequel vous souhaitez déployer la mise à jour du produit et cliquez sur Actions | Agent | Modifier lestâches sur un seul système.


17 Tâches clientTâches de mise à jour


8 Sur la page Sélectionner une tâche, effectuez les sélections suivantes :

• Produit : sélectionnez McAfee Agent.

• Type de tâche : sélectionnez Mise à jour de produit.

Sélectionnez ensuite la tâche que vous avez créée pour déployer la mise à jour du produit.

9 En regard de Marqueurs, sélectionnez les plates-formes sur lesquelles vous déployez les packages,puis cliquez sur Suivant :• Envoyer cette tâche à tous les ordinateurs





Cette tâche est ajoutée à la liste des tâches client pour les groupes et systèmes auxquels elle estappliquée. Les agents recevront les nouvelles informations de tâche lors de leur prochaine connexionau serveur. Si la tâche est activée, la tâche de mise à jour s'exécutera aux prochaines date et heureprévues dans la planification.

Chaque système effectue la mise à jour à partir du référentiel approprié, selon les stratégies définiespour l'agent de ce client.

Evaluation de nouveaux moteurs et fichiers DAT avant leurdistributionVous pouvez décider de tester les fichiers DAT et de moteur sur quelques systèmes avant de lesdéployer dans toute l'organisation. Vous pouvez tester des packages de mise à jour à l'aide de labranche Evaluation de votre référentiel maître.

Le logiciel ePolicy Orchestrator fournit à cette fin trois branches de référentiel.


Procédure1 Créez une tâche planifiée d'extraction de référentiel qui copie les packages de mise à jour dans la

branche Evaluation du référentiel maître. Planifiez-la pour qu'elle s'exécute après la mise àdisposition des fichiers DAT mis à jour par McAfee.

2 Dans l'arborescence des systèmes, créez ou sélectionnez un groupe qui servira de groupe de test.Créez ensuite une stratégie McAfee Agent pour que les systèmes de ce groupe utilisent uniquementla branche Evaluation (en sélectionnant cette option dans la section Branche du référentiel à utiliser pourchaque type de mise à jour de l'onglet Mises à jour).

Les stratégies sont appliquées lors du prochain appel de McAfee Agent au serveur. A la prochainemise à jour de l'agent, celui-ci les extrait de la branche Evaluation.

Tâches clientTâches de mise à jour 17


3 Créez une tâche planifiée de mise à jour client pour les systèmes qui font l'objet du test. Elle doitmettre à jour les fichiers DAT et de moteur uniquement à partir de la branche Evaluation de votreréférentiel. Planifiez-la pour qu'elle s'exécute une ou deux heures après le début prévu de la tâcheplanifiée d'extraction de référentiel.

La création d'une tâche de mise à jour d'évaluation au niveau du groupe de test limite sonexécution à ce seul groupe.

4 Surveillez les systèmes du groupe de test jusqu'à ce que les résultats se révèlent satisfaisants.

5 Déplacez les packages de la branche Evaluation vers la branche Actuels du référentiel maître.Cliquez sur Menu | Logiciel | Référentiel maître pour ouvrir la page Référentiel maître.

En les ajoutant à la branche Actuels, vous les rendez disponibles dans votre environnement deproduction. A sa prochaine exécution, toute tâche client de mise à jour qui extrait des packages dela branche Actuels distribuera à tous les systèmes concernés les nouveaux fichiers DAT et demoteur.

Gestion des tâches clientCréez et gérez des tâches client.

Procédures

• Création de tâches client, page 240Utilisez les tâches client pour effectuer automatiquement les mises à jour de produits. Laprocédure est similaire pour toutes les tâches client.

• Modification de tâches client, page 241Vous pouvez modifier tous les paramètres et toutes les informations de planification destâches client déjà configurées.

• Suppression des tâches client, page 241Vous pouvez supprimer n'importe quelle tâche client configurée précédemment.

• Comparaison de tâches client, page 241Vous pouvez comparer des tâches client à l'aide de l'outil Comparaison de tâches client. Cela vouspermet de déterminer quels paramètres sont différents et lesquels sont identiques.

Création de tâches clientUtilisez les tâches client pour effectuer automatiquement les mises à jour de produits. La procédureest similaire pour toutes les tâches client.

Dans certains cas, vous devez créer une nouvelle affectation de tâche client pour associer une tâcheclient à un groupe de l'Arborescence des systèmes.


Procédure

1 Ouvrez la boîte de dialogue Nouvelle tâche.




2 Sélectionnez un type de tâche dans la liste, puis cliquez sur OK.

L'assistant Générateur de tâches client s'ouvre.

17 Tâches clientGestion des tâches client


3 Saisissez le nom de la tâche, ajoutez une description, puis configurez les paramètres propres autype de la tâche que vous créez.

Les options de configuration varient en fonction du type de tâche sélectionné.


La tâche est ajoutée à la liste des tâches client pour le type sélectionné.

Modification de tâches clientVous pouvez modifier tous les paramètres et toutes les informations de planification des tâches clientdéjà configurées.


1 Cliquez sur Menu | Stratégie | Catalogue de tâches client pour ouvrir la boîte de dialogue Catalogue de tâchesclient.

2 Sélectionnez le type de tâche client dans l'arbre de navigation sur le côté gauche et les tâchesclient disponibles apparaissent dans la fenêtre sur la droite.

3 Double-cliquez sur le nom de la tâche client pour l'afficher dans la boîte de dialogue Catalogue detâches client.

4 Modifiez les paramètres de la tâche comme il convient, puis cliquez sur Enregistrer.

Les systèmes managés reçoivent ces modifications lors de la prochaine communication entre lesagents et le serveur.

Suppression des tâches clientVous pouvez supprimer n'importe quelle tâche client configurée précédemment.


Procédure1 Cliquez sur Menu | Stratégie | Catalogue de tâches client et la boîte de dialogue Catalogue de tâches client

s'affiche.

2 Sélectionnez le type de tâche client dans l'arbre de navigation sur le côté gauche et les tâches clientdisponibles apparaissent dans la fenêtre sur la droite.

3 Dans la colonne Actions, cliquez sur Supprimer en regard de la tâche client.

4 Cliquez sur OK.

Comparaison de tâches clientVous pouvez comparer des tâches client à l'aide de l'outil Comparaison de tâches client. Cela vous permet dedéterminer quels paramètres sont différents et lesquels sont identiques.

Un grand nombre des valeurs et variables répertoriées sur cette page sont propres à chaque produit.Pour obtenir la description des options qui ne figurent pas dans le tableau, consultez la documentationdu produit relatif à la tâche client que vous souhaitez comparer.


Tâches clientGestion des tâches client 17


Procédure1 Cliquez sur Menu | Comparaison de tâches client, puis sélectionnez un Produit, un Type de tâche client, puis

choisissez d'Afficher les paramètres des listes.

Ces paramètres permettent de remplir les listes Tâche client 1 et Tâche client 2 avec les tâches client àcomparer.

2 Sélectionnez les tâches client à comparer dans la ligne Comparer les tâches client des listes des colonnesTâche client 1 et Tâche client 2.

Les deux premières lignes du tableau indiquent le nombre de paramètres différents et identiques.Pour réduire la quantité de données affichées, vous pouvez également modifier le paramètreAfficher : au lieu d'afficher Tous les paramètres de tâche client, vous pouvez afficher les Différences entre lestâches client et les Correspondances entre les tâches client.

3 Cliquez sur Imprimer pour ouvrir une version imprimable de cette comparaison.

17 Tâches clientGestion des tâches client


18 Tâches serveur

Les tâches serveur sont des actions configurables qui s'exécutent sur McAfee ePO selon des dates ouintervalles planifiés. Utilisez les tâches serveur pour automatiser les tâches répétitives.

McAfee ePO inclut des actions et des tâches serveur préconfigurées. La plupart des produitssupplémentaires que vous gérez avec McAfee ePO ajoutent également des tâches serveur prédéfinies.

Sommaire Création d'une tâche serveur Syntaxe cron admise pour la planification d'une tâche serveur Journal des tâches serveur

Création d'une tâche serveurCréez des tâches serveur pour planifier une série d'actions à exécuter suivant une planificationspécifique.

Si vous souhaitez que McAfee ePO exécute certaines actions sans intervention manuelle, une tâcheserveur constitue la meilleure approche.


1 Cliquez sur Menu | Automatisation | Tâches serveur, puis sur Actions | Nouvelle tâche.

L'assistant Générateur de tâches serveur s'ouvre à la page Description.

2 Attribuez à la tâche un nom approprié, puis déterminez si la tâche possède un Etat de planification.Cliquez sur Suivant.

Si vous souhaitez que la tâche s'exécute automatiquement, définissez la valeur de l'Etat de planificationsur Activé.

La page Actions s'affiche.

3 Sélectionnez et configurez l'action de la tâche, puis cliquez sur Suivant.

La page Planification s'affiche.

4 Sélectionnez le Type de planification (la fréquence), la Date de début, la Date de fin et l'heure de laPlanification pour l'exécution de la tâche. Cliquez sur Suivant.

Les informations de planification ne sont utilisées que si vous activez l'Etat de planification.

La page Synthèse s'affiche.

5 Cliquez sur Enregistrer pour enregistrer la tâche serveur.

18


La nouvelle tâche s'affiche dans la liste Tâches serveur.

Syntaxe cron admise pour la planification d'une tâche serveurSi vous sélectionnez l'option Avancé lorsque vous planifiez une tâche serveur, vous pouvez spécifier uneplanification à l'aide de la syntaxe cron.

La syntaxe cron se compose de six ou sept champs, séparés par un espace. Vous trouverez dans letableau ci-dessous la syntaxe cron autorisée, par champ et par ordre décroissant. La plupart desoptions de syntaxe cron sont admises, à quelques exceptions près. Ainsi, vous ne pouvez pas spécifierà la fois des valeurs « jour de la semaine » et « jour du mois ».

Nom du champ Valeurs admises Caractères spéciaux autorisés

Secondes 0–59 , - * /

Minutes 0–59 , - * /

Heures 0–23 , - * /

Jour du mois 1–31 , - * ? / L W C

Mois 1–12 ou JAN - DEC , - * /

Jour de la semaine 1–7 ou SUN - SAT , - * ? / L C #

Année (facultatif) Vide ou 1970–2099 , - * /

Caractères spéciaux autorisés

• Les virgules (,) sont autorisées pour spécifier des valeurs supplémentaires. Par exemple,« 5,10,30 » ou « MON,WED,FRI ».

• Les astérisques (*) représentent « chaque », ou encore « tous/toutes les ». Par exemple, « * »dans le champ des minutes signifie « toutes les minutes ».

• Les points d'interrogation (?) sont utilisés pour représenter « aucune valeur spécifique » dans leschamps du jour du mois ou de la semaine.

Le point d'interrogation peut être utilisé dans l'un ou l'autre de ces champs, mais jamais dans lesdeux à la fois.

• Les barres obliques (/) identifient les incréments. Par exemple, « 5/15 » dans le champ desminutes signifie que la tâche s'exécute à la 5e, 20e, 35e et 50e minute.

• La lettre « L » (last) signifie « dernier » dans les champs du jour de la semaine ou du mois. Parexemple, « 0 15 10 ? * 6L » représente le dernier vendredi de chaque mois à 10h15.

• La lettre « W » (weekday) signifie « jour de la semaine ». Si, par exemple, vous avez créé le jourdu mois « 15W », il représente le jour de la semaine le plus proche du 15e jour du mois. De lamême façon, vous pouvez spécifier « LW » pour représenter le dernier jour de la semaine du mois.

• Le signe dièse « # » identifie le énième jour du mois. Par exemple, la valeur « 6#3 » dans le champdu mois de la semaine représente le troisième vendredi de chaque mois, « 2#1 » le premier lundiet « 4#5 » le cinquième mercredi.

Si le mois ne compte pas un cinquième mercredi, la tâche ne s'exécute pas.

18 Tâches serveurSyntaxe cron admise pour la planification d'une tâche serveur


Journal des tâches serveur A partir du Journal des tâches serveur, vous pouvez afficher les résultats détaillés des tâches serveurplanifiées qui sont en cours d'exécution ou qui ont été exécutées sur votre serveur.Les entrées de ce journal fournissent des détails sur les éléments suivants :

• Etat de la tâche (échec ou réussite)

• Toute sous-tâche exécutée lors de l'exécution de la tâche planifiée

Vous pouvez également annuler une tâche qui est en cours d'exécution.

Afficher les informations de la tâche serveur dans le journaldes tâches serveurCherchez dans le journal des tâches serveur des informations concernant vos tâches serveur. Lejournal des tâches serveur fournit l'état de la tâche et toute erreur pouvant s'être produite.

• Informations d'accès concernant les tâches serveur : cliquez sur Menu | Automatisation | Journal destâches serveur.

Les informations de tâches qui s'affichent sont les suivantes :

• Date de début et durée de la tâche

• Erreurs ou avertissements et leurs codes

• Etat de chaque package archivé dans le référentiel maître

• Informations relatives aux nouveaux packages archivés dans le référentiel maître

• Etat de la tâche sur chaque site (lorsque l'arborescence est développée)

• Erreurs ou avertissements et leurs codes, ainsi que le site auquel ils s'appliquent

Gestion du Journal des tâches serveur Ouvrez le journal des tâches serveur, pour afficher, filtrer et purger les entrées du journal comme ilconvient.L'état de chaque tâche serveur est affiché dans la colonne Etat :• En attente — La tâche attend la fin de l'exécution d'une autre tâche pour démarrer.

• En cours — La tâche a démarré mais n'est pas encore terminée.

• Suspendue — La tâche a été suspendue par une action de tâche serveur.

• Arrêtée — La tâche a été arrêtée par une action de tâche serveur.

• Echec — La tâche a démarré mais elle n'a pas pu s'exécuter correctement.

• Terminé — La tâche a été effectuée sans problème.

• Arrêt en attente — Une requête d'arrêt a été envoyée.

• Interrompue — La tâche a été arrêtée manuellement avant qu'elle ne s'achève.


Procédure1 cliquez sur Menu | Automatisation | Journal des tâches serveur. Le journal des tâches serveur s'affiche.


Tâches serveurJournal des tâches serveur 18


Action Etapes

Consulter le journaldes tâches serveur

1 Cliquez sur un titre de colonne pour trier les événements selon cette colonne.

2 Sélectionnez des entrées du journal des tâches serveur, cliquez sur Actions, puissélectionnez l'une des actions suivantes pour modifier le journal des tâchesserveur :

• Choisir les colonnes — La page Sélectionner les colonnes à afficher s'affiche.

• Exporter le tableau — La page Exporter s'affiche.

• Purger : la boîte de dialogue Purger s'affiche. Entrez un nombre et une unité detemps pour définir les entrées du journal des tâches à supprimer, puiscliquez sur OK.

• Arrêter la tâche — Cette option permet d'arrêter une tâche en cours d'exécution.

Filtrer le journal destâches serveur

Sélectionnez un filtre dans la liste déroulante Filtre.

Purger le journaldes tâches serveur


2 Dans la boîte de dialogue Purger, indiquez le nombre de jours, de semaines, demois ou d'années d'ancienneté requis. Tous les éléments présentant au moinsl'ancienneté définie sont supprimés.

3 Cliquez sur OK.

18 Tâches serveurJournal des tâches serveur


19 Gestion des bases de données SQL

Vous pouvez sauvegarder, restaurer et gérer vos bases de données SQL Server et en assurer lamaintenance.

Sommaire Maintenance des bases de données SQL Utilisation d'une commande à distance pour identifier le nom et le serveur de base de donnéesMicrosoft SQL Configuration d'un instantané et restauration de la base de données SQL Utilisation d'une commande à distance pour identifier le nom et le serveur de base de donnéesMicrosoft SQL Utilisation de Microsoft SQL Server Management Studio pour trouver les informations relatives auserveur McAfee ePO Journal des événements de menace

Maintenance des bases de données SQLVos bases de données ePolicy Orchestrator doivent faire l'objet d'une maintenance régulière afin degarantir des performances optimales, mais également de protéger vos données.Utilisez l'outil de gestion Microsoft correspondant à la version de SQL Server dont vous disposez :

Version de SQL Server Outil de gestion

SQL Server 2008 et 2012 SQL Server Management Studio

SQL Server Express SQL Server Management Studio Express

Selon la façon dont le logiciel ePolicy Orchestrator est déployé dans votre environnement, vous devezconsacrer quelques heures chaque semaine à la réalisation de sauvegardes et à la maintenance devotre base de données. Réalisez ces tâches de manière régulière, chaque semaine ou chaque jour.Cependant, il ne s'agit pas des seules tâches de maintenance disponibles. Pour plus de détails sur lesautres possibilités, reportez-vous à la documentation de SQL Server.

Utilisation d'une commande à distance pour identifier le nom etle serveur de base de données Microsoft SQL

La commande à distance ePolicy Orchestrator suivante est utilisée pour identifier le serveur de base dedonnées Microsoft SQL et le nom de la base de données.


1 Saisissez cette commande à distance dans la barre d'adresse du navigateur :

19


https://localhost:8443/core/config


• localhost — Correspond au nom de votre serveur McAfee ePO.

• :8443 — Correspond au numéro de port par défaut du serveur McAfee ePO. Votre serveur estpeut-être configuré pour utiliser un numéro de port différent.

2 Notez les informations suivantes qui s'affichent dans la page Configurer les paramètres de base de données :• Nom d'hôte ou adresse IP

• Nom de la base de données

Configuration d'un instantané et restauration de la base dedonnées SQL

Pour réinstaller rapidement un serveur McAfee ePO, configurez un instantané pour la reprise sursinistre qu'il faudra enregistrer, ou assurez-vous qu'un instantané est bien enregistré dans la base dedonnées SQL. Sauvegardez ensuite cette base de données SQL (comprenant l'instantané) et copiez lefichier de sauvegarde de la base de données sur un serveur SQL de restauration.

Une réinstallation rapide du serveur McAfee ePO nécessite l'exécution des procédures ci-dessous.

Procédures• Configuration de la tâche serveur Instantané de serveur pour reprise sur sinistre,

page 248Utilisez la tâche serveur Instantané de serveur pour reprise sur sinistre pour modifier lesinstantanés automatiques planifiés capturant la configuration de votre serveur McAfee ePOet enregistrés dans la base de données SQL.

• Utilisation de Microsoft SQL pour sauvegarder et restaurer une base de données, page 249Pour enregistrer l'instantané pour la reprise sur sinistre contenant les informations deconfiguration du serveur McAfee ePO, utilisez des procédures Microsoft SQL Server.

Configuration de la tâche serveur Instantané de serveur pourreprise sur sinistreUtilisez la tâche serveur Instantané de serveur pour reprise sur sinistre pour modifier les instantanésautomatiques planifiés capturant la configuration de votre serveur McAfee ePO et enregistrés dans labase de données SQL.

L'état préconfiguré de votre tâche serveur Instantané de serveur pour reprise sur sinistre dépend de labase de données SQL utilisée par votre serveur McAfee ePO. L'instantané pour la reprise sur sinistreest activé par défaut sur tous les serveurs Microsoft SQL Server, sauf sur la version Express Edition.

McAfee ne recommande pas d'activer la planification de la tâche Instantané de serveur pour reprise sursinistre avec la version Microsoft SQL Server Express Edition, en raison des limitations de la taille dufichier de données. La taille maximale du fichier de données pour Microsoft SQL Server 2005 ExpressEdition est seulement de 4 Go, contre 10 Go pour les versions Microsoft SQL Server 2008 et 2012Express Edition.

Vous ne pouvez exécuter qu'un seul instantané pour la reprise sur sinistre à la fois. Si vous exécutezplusieurs instantanés, seul le dernier crée un résultat et remplace tous les instantanés précédents.

Si nécessaire, vous pouvez modifier la tâche serveur Instantané de serveur pour reprise sur sinistrepar défaut.

19 Gestion des bases de données SQLConfiguration d'un instantané et restauration de la base de données SQL



1 Cliquez sur Menu | Tâches serveur, sélectionnez Instantané de serveur pour reprise sur sinistre dans la liste destâches serveur, puis cliquez sur Modifier.

L'Assistant de la tâche serveur Instantané de serveur pour reprise sur sinistre s'affiche.

2 Dans l'onglet Descriptions, définissez l'option Etat de planification sur Activé ou Désactivé comme il convient.

3 Dans l'onglet Planification, modifiez les paramètres suivants comme il convient :

• Type de planification — Définit la fréquence à laquelle l'instantané est enregistré.

• Date de début et Date de fin — Définissez les dates de début et de fin d'enregistrement desinstantanés ou cliquez sur Aucune date de fin pour que la tâche s'exécute en continu.

• Planification — Définit l'heure à laquelle l'instantané est enregistré. Par défaut, la tâche Instantanés'exécute à 1h59 du matin tous les jours.

McAfee vous recommande d'exécuter la tâche serveur Instantané de serveur pour reprise sursinistre en dehors des heures de bureau afin de limiter les modifications apportées à la base dedonnées au cours de la procédure de création de l'instantané.

4 Dans l'onglet Synthèse, vérifiez que la tâche serveur est configurée correctement et cliquez surEnregistrer.

Utilisation de Microsoft SQL pour sauvegarder et restaurer unebase de donnéesPour enregistrer l'instantané pour la reprise sur sinistre contenant les informations de configuration duserveur McAfee ePO, utilisez des procédures Microsoft SQL Server.

Avant de commencerPour effectuer cette procédure, vous devez disposer de la connectivité requise et del'autorisation de copier des fichiers entre votre serveur SQL McAfee ePO principal et votreserveur SQL de restauration. Reportez-vous à l'Annexe A : Maintenance des bases dedonnées ePolicy Orchestrator pour plus de détails.

Une fois que vous avez créé un instantané de la configuration du serveur McAfee ePO, vous devezeffectuer les tâches suivantes :

Procédure1 Créez une sauvegarde Microsoft SQL Server de la base de données en utilisant :

• Microsoft SQL Server Management Studio

• Microsoft Transact-SQL

Pour plus de détails sur la réalisation de ces procédures, reportez-vous à la documentation relativeà Microsoft SQL Server.

2 Copiez le fichier de sauvegarde créé sur votre serveur SQL de restauration.

Gestion des bases de données SQLConfiguration d'un instantané et restauration de la base de données SQL 19


3 Restaurez la sauvegarde de la base de données SQL principale qui contient les enregistrementsd'instantané pour la reprise sur sinistre en utilisant :

• Microsoft SQL Server Management Studio

• Microsoft Transact-SQL

Pour plus de détails sur la réalisation de ces procédures, reportez-vous à la documentation relativeà Microsoft SQL Server.

Ces procédures permettent de créer un serveur SQL dupliqué prêt pour la restauration, si nécessaire,en le connectant à une nouvelle installation du logiciel ePolicy Orchestrator et en utilisant l'optionRestaurer.

Utilisation d'une commande à distance pour identifier le nom etle serveur de base de données Microsoft SQL

La commande à distance ePolicy Orchestrator suivante est utilisée pour identifier le serveur de base dedonnées Microsoft SQL et le nom de la base de données.


1 Saisissez cette commande à distance dans la barre d'adresse du navigateur :

https://localhost:8443/core/config


• localhost — Correspond au nom de votre serveur McAfee ePO.

• :8443 — Correspond au numéro de port par défaut du serveur McAfee ePO. Votre serveur estpeut-être configuré pour utiliser un numéro de port différent.

2 Notez les informations suivantes qui s'affichent dans la page Configurer les paramètres de base de données :• Nom d'hôte ou adresse IP

• Nom de la base de données

Utilisation de Microsoft SQL Server Management Studio pourtrouver les informations relatives au serveur McAfee ePO

Dans Microsoft SQL Server Management Studio, définissez les informations de votre serveur McAfeeePO existant.

Procédure

1 Utilisez une connexion Bureau à distance pour vous connecter au nom d'hôte ou à l'adresse IP duserveur de base de données Microsoft SQL.

2 Ouvrez Microsoft SQL Server Management Studio et connectez-vous au serveur SQL.

3 Dans la liste de l'explorateur d'objets, cliquez sur <Nom du serveur de base de données> | Bases de données | <Nomde la base de données> | Tables.

4 Faites défiler vers le bas pour rechercher la table EPOServerInfo, cliquez avec le bouton droit sur lenom de la table et sélectionnez Modifier les 200 lignes du haut dans la liste.

19 Gestion des bases de données SQLUtilisation d'une commande à distance pour identifier le nom et le serveur de base de données Microsoft SQL


5 Recherchez et enregistrez les informations dans ces enregistrements de base de données.

• ePOVersion : par exemple, 5.1.0 • LastKnownTCPIP — Par exemple, 172.10.10.10

• DNSName : par exemple,epo-2k8-epo51.server.com

• RmdSecureHttpPort — Par exemple, 8443

• ComputerName : par exemple, EPO-2K8-EPO51

Assurez-vous de disposer de ces informations au cas où vous devriez restaurer votre logiciel ePolicyOrchestrator.

Journal des événements de menaceLe journal des événements de menace permet de consulter et de trier rapidement les événements dela base de données. Il ne peut être purgé qu'en fonction de l'ancienneté des entrées.

Vous pouvez choisir les colonnes affichées dans le tableau, dont vous pouvez par ailleurs trier lecontenu, parmi une grande variété de données d'événements.

Selon les produits managés, les événements peuvent être soumis à différentes actions. Ces actionssont disponibles dans le menu Actions au bas de la page.

Format d'événement commun

Désormais, la plupart des produits managés utilisent un même format d'événement. Les champs de ceformat peuvent être utilisés comme colonnes dans le journal des événements de menace. En voici laliste :

• Action entreprise — Action entreprise par le produit en réponse à la menace.

• GUID de l'agent — Identificateur unique de l'agent qui a transmis l'événement.

• Version des fichiers DAT — Version des fichiers DAT sur le système qui a envoyé l'événement.

• Nom d'hôte du produit de détection — Nom du système qui héberge le produit de détection.

• ID du produit de détection — Identificateur du produit de détection.

• Adresse IPv4 du produit de détection — Adresse IPv4 du système qui héberge le produit de détection (lecas échéant).

• Adresse IPv6 du produit de détection — Adresse IPv6 du système qui héberge le produit de détection (lecas échéant).

• Adresse MAC du produit de détection — Adresse MAC du système qui héberge le produit de détection.

• Nom du produit de détection — Nom du produit de détection managé.

• Version du produit de détection — Numéro de version du produit de détection.

• Version du moteur — Numéro de version du moteur du produit de détection (le cas échéant).

• Catégorie d'événements — Catégorie de l'événement. Les catégories possibles dépendent du produit.

• Heure de génération de l'événement (UTC) — Heure UTC à laquelle l'événement a été détecté.

• ID d'événement — Identificateur unique de l'événement.

• Heure de réception de l'événement (UTC) — Heure UTC à laquelle l'événement a été reçu par le serveurMcAfee ePO.

• Chemin d'accès au fichier — Chemin d'accès du fichier sur le système qui a envoyé l'événement.

Gestion des bases de données SQLJournal des événements de menace 19


• Nom d'hôte — Nom du système qui a envoyé l'événement.

• Adresse IPv4 — Adresse IPv4 du système qui a envoyé l'événement.

• Adresse IPv6 — Adresse IPv6 du système qui a envoyé l'événement.

• Adresse MAC — Adresse MAC du système qui a envoyé l'événement.

• Protocole réseau — Protocole cible de la menace dans le cas de classes de menaces réseau.

• Numéro de port — Port cible de la menace dans le cas de classes de menaces réseau.

• Nom du processus — Nom du processus cible (le cas échéant).

• ID du serveur — ID du serveur qui a envoyé l'événement.

• Nom de la menace — Nom de la menace.

• Nom de l'hôte source de la menace — Nom du système dont provient la menace.

• Adresse IPv4 de la source de la menace — Adresse IPv4 du système dont provient la menace.

• Adresse IPv6 de la source de la menace — Adresse IPv6 du système dont provient la menace.

• Adresse MAC de la source de la menace — Adresse MAC du système dont provient la menace.

• URL de la source de la menace — URL dont provient la menace.

• Nom d'utilisateur de la source de la menace — Nom d'utilisateur à l'origine de la menace.

• Type de menace — Classe de la menace.

• Nom d'utilisateur — Nom d'utilisateur ou adresse e-mail de la source de la menace.

Consultation et purge du journal des événements de menace Vous devez régulièrement consulter et purger les événements de menace.


1 Cliquez sur Menu | Rapports | Journal des événements de menace.


19 Gestion des bases de données SQLJournal des événements de menace


Action Etapes

Afficher le journaldes événements demenace.

1 Cliquez sur un titre de colonne pour trier les événements selon cette colonne.Vous pouvez également cliquer sur Actions | Choisir les colonnes pour afficher lapage Sélectionner les colonnes à afficher.

2 Dans la liste Colonnes disponibles, sélectionnez les colonnes qui conviennent puiscliquez sur Enregistrer.

3 Choisissez les événements dans le tableau, puis cliquez sur Actions etsélectionnez Afficher les systèmes liés pour afficher les détails des systèmes àl'origine des événements sélectionnés.

Purger lesévénements demenace.


2 Dans la boîte de dialogue Purger située en regard de Purger les enregistrements de plusde, entrez un nombre et sélectionnez une unité de temps.

3 Cliquez sur OK.

Les enregistrements plus anciens que la date indiquée sont supprimés demanière définitive.

Planification de la purge du Journal des événements de menaceVous pouvez créer une tâche serveur en vue de purger automatiquement le Journal des événementsde menace.





2 Saisissez un nom et une description de la tâche. En regard de l'Etat de planification, sélectionnezActivé, puis cliquez sur Suivant.

3 Sélectionnez Purger le journal des événements de menace dans la liste déroulante.

4 Indiquez si vous souhaitez que la purge soit exécutée par ancienneté ou d'après le résultat d'unerequête. En cas de purge par requête, vous devez sélectionner une requête qui donne pour résultatun tableau d'événements.


6 Planifiez la tâche comme il convient, puis cliquez sur Suivant.


Gestion des bases de données SQLJournal des événements de menace 19


19 Gestion des bases de données SQLJournal des événements de menace


Surveillance et génération derapports sur l'état de sécurité devotre réseauUtilisez les tableaux de bord personnalisables pour surveiller l'état desécurité critique d'un simple coup d'œil et pour générer des rapports àl'intention des décideurs et parties prenantes à l'aide de requêtes et derapports prédéfinis et personnalisables.

Chapitre 20 Tableaux de bord et moniteursChapitre 21 Requêtes et rapportsChapitre 22 Evénements et réponsesChapitre 23 ProblèmesChapitre 24 Reprise sur sinistre


Surveillance et génération de rapports sur l'état de sécurité de votre réseau


20 Tableaux de bord et moniteurs

Les tableaux de bord vous permettent de surveiller à tout moment votre environnement.

Les tableaux de bord sont composés de moniteurs. Les moniteurs regroupent des informations survotre environnement sous forme de graphiques et de tableaux simple à interpréter. En général, lesmoniteurs sont regroupés sur un tableau de bord spécifique. Par exemple, le tableau de bordEvénements de menace contient 4 moniteurs qui affichent des informations sur les menaces de votreréseau.

Pour afficher ou modifier un tableau de bord ou un moniteur, vous devez disposer des autorisationsnécessaires.

Sommaire Utilisation des tableaux de bord et des moniteurs Gestion des tableaux de bord Exportation et importation des tableaux de bord Gestion des moniteurs de tableau de bord Déplacement et redimensionnement des moniteurs de tableau de bord Tableaux de bord par défaut et moniteurs associés Spécification initiale des tableaux de bord et des intervalles d'actualisation des tableaux de bord

Utilisation des tableaux de bord et des moniteursPersonnalisez vos tableaux de bord et moniteurs pour obtenir les informations nécessaires à votre rôleet votre environnement.

La console McAfee ePO comporte un tableau de bord qui s'affiche lors de votre première connexion. Ala connexion suivante, la page Tableaux de bord affiche le dernier tableau de bord que vous avezutilisé.

Si vous avez supprimé tous les tableaux de bord par défaut, lorsque vous lancez McAfee ePO, le textesuivant s'affiche au milieu de la page de tableau de bord : Aucun tableau de bord n'est configuré. Créez untableau de bord ou importez-en un. Pour créer ou importer un tableau de bord, consultez la sectionGestion des tableaux de bord ou Exportation et importation des tableaux de bord.

Pour accéder à un autre tableau de bord, vous pouvez le sélectionner dans le menu déroulant. Vouspouvez choisir parmi trois types de tableau de bord.

1 Tableaux de bord McAfee : les tableaux de bord McAfee ne sont pas modifiables, mais tous lesutilisateurs peuvent les consulter. Vous pouvez dupliquer un Tableau de bord McAfee et l'utilisercomme point de départ pour créer des tableaux de bord personnalisés.

2 Tableaux de bord publics : les tableaux de bord publics sont créés et partagés par les utilisateurs.

3 Tableaux de bord privés : tableaux de bord que vous avez créés pour vous. Les tableaux privés ne sontpas partagés par les utilisateurs.

20


Si vous créez un tableau de bord privé ou public, vous pouvez faire glisser les moniteurs souhaités dela Galerie de moniteurs vers le nouveau tableau de bord.

Voir aussi Gestion des tableaux de bord, page 258Gestion des moniteurs de tableau de bord, page 260

Gestion des tableaux de bordCréez, modifiez, dupliquez, supprimez des tableaux de bord, et affectez-leur des autorisations.

Avant de commencerPour modifier un tableau de bord, vous devez disposer des autorisations appropriées.

Les tableaux de bord et les requêtes prédéfinies par défaut, fournis avec ePolicyOrchestrator, ne peuvent pas être modifiés ni supprimés. Pour les modifier, vous pouvez lesdupliquer, les renommer, puis modifier le nouveau tableau de bord ou la nouvelle requête.


Procédure1 Cliquez sur Menu | Rapports | Tableaux de bord pour accéder à la page Tableaux de bord.


20 Tableaux de bord et moniteursGestion des tableaux de bord


Action Etapes

Créer untableau de bord

Pour créer une vue différente de votre environnement, créez un nouveautableau de bord.1 Cliquez sur Actions sur les tableaux de bord | Nouveau.

2 Saisissez un nom, sélectionnez une option de visibilité du tableau de bord,puis cliquez sur OK.

Un nouveau tableau de bord vide s'affiche. Vous pouvez y ajouter des moniteursselon vos besoins.

Modifier etaffecter desautorisations àun tableau debord

Seuls les utilisateurs ayant les autorisations appropriées peuvent afficher lestableaux de bord. Des autorisations sont affectées aux tableaux de bord, de lamême manière que les requêtes ou les rapports. Ils peuvent être entièrementprivés, entièrement publics ou partagés avec un ou plusieurs ensemblesd'autorisations.1 Cliquez sur Actions sur les tableaux de bord | Modifier.

2 Sélectionnez une autorisation :

• Ne pas partager ce tableau de bord

• Partager ce tableau de bord avec tout le monde

• Partager ce tableau de bord avec les ensembles d'autorisations suivants

Avec cette option, vous devez également choisir un ou plusieurs ensemblesd'autorisations.

3 Cliquez sur OK pour modifier le tableau de bord.

Il est possible de créer un tableau de bord avec des autorisations plus étenduesqu'une ou plusieurs requêtes contenues dans le tableau de bord. Si tel est lecas, les utilisateurs qui ont accès aux données sous-jacentes verront la requêteen ouvrant le tableau de bord. Les utilisateurs ne disposant pas de l'accès auxdonnées sous-jacentes recevront un message leur indiquant qu'ils ne bénéficientpas de l'autorisation requise pour visualiser la requête. Si la requête est privéepour le créateur du tableau de bord, il est le seul à pouvoir la modifier ou lasupprimer du tableau de bord.

Dupliquer untableau de bord

Parfois, la méthode la plus simple pour créer un tableau de bord consiste àcopier un tableau de bord existant, similaire à celui que vous souhaitez créer.

1 Cliquez sur Actions sur les tableaux de bord | Dupliquer.

2 ePolicy Orchestrator nomme le tableau de bord dupliqué en ajoutant (copie) aunom d'origine. Vous pouvez modifier ce nom, cliquez ensuite sur OK.Le tableau de bord dupliqué s'ouvre.

Il s'agit d'une copie fidèle du tableau de bord d'origine, y compris toutes lesautorisations liées. Seul le nom est différent.

Supprimer untableau de bord

1 Cliquez sur Actions sur les tableaux de bord | Supprimer.

2 Cliquez sur OK pour supprimer le tableau de bord.

Le tableau de bord est supprimé et le système affiche le tableau de bord pardéfaut. Les utilisateurs qui ont consulté ce tableau de bord en dernier verronts'afficher le tableau de bord par défaut du système lors de leur prochaineconnexion.

Voir aussi Utilisation des tableaux de bord et des moniteurs, page 257

Tableaux de bord et moniteursGestion des tableaux de bord 20


Exportation et importation des tableaux de bordDès que vous avez terminé de définir vos tableaux de bord et moniteurs, la solution la plus rapidepour les faire migrer vers d'autres serveurs McAfee ePO consiste à les exporter puis à les importer surd'autres serveurs.

Avant de commencerPour importer un tableau de bord, vous devez avoir accès au tableau de bordprécédemment exporté inclus dans le fichier XML.

Un tableau de bord exporté au format de fichier XML peut être importé sur le même système ou unsystème différent.


1 Cliquez sur Menu | Génération de rapports | Tableaux de bord.


Action Etapes

Exporter untableau debord

1 Cliquez sur Actions sur les tableaux de bord | Exporter.Votre navigateur tente de télécharger un fichier XML en fonction de sesparamètres.

2 Enregistrez le fichier XML exporté dans un emplacement approprié.

Importer untableau debord

1 Cliquez sur Actions sur les tableaux de bord | Importer.La boîte de dialogue Importer le tableau de bord s'affiche.

2 Cliquez sur Parcourir et sélectionnez le fichier XML contenant un tableau de bordexporté. Cliquez sur Ouvrir.

3 Cliquez sur Enregistrer.La boîte de dialogue de confirmation Importer le tableau de bord s'affiche. Le nomdu tableau de bord présent dans le fichier est affiché ainsi que le nom sous lequel ilsera nommé dans le système. Par défaut, il s'agit du nom du tableau de bordexporté suivi de la mention « (importé) ».

4 Cliquez sur OK. Si vous ne souhaitez pas importer le tableau de bord, cliquez surFermer.

Le tableau de bord importé s'affiche. Quelles que soient les autorisations qui luiétaient associées au moment de l'exportation, le tableau de bord importé est affectéd'autorisations privées. Vous devez définir explicitement ses autorisations aprèsl'importation.

Gestion des moniteurs de tableau de bordVous pouvez créer, ajouter et supprimer des moniteurs dans les tableaux de bord.

Avant de commencerVous devez disposer d'autorisations en écriture sur le tableau de bord que vous modifiez.

Si vous n'avez pas les autorisations ou les licences de produit nécessaires pour afficher un moniteur,ou si la requête sous-jacente du moniteur n'est plus disponible, un message s'affiche pour vousl'indiquer à la place du moniteur.

20 Tableaux de bord et moniteursExportation et importation des tableaux de bord



Procédure1 Cliquez sur Menu | Génération de rapports | Tableaux de bord. Sélectionnez un tableau de bord dans la liste

déroulante Tableau de bord.


Action Etapes

Ajouter unmoniteur

1 Cliquez sur Ajouter un moniteur.La Galerie de moniteurs apparaît en haut de l'écran.

2 Sélectionnez une catégorie de moniteurs dans la liste déroulante Afficher.Les moniteurs disponibles dans cette catégorie s'affichent dans la galerie.

3 Faites glisser un moniteur vers le tableau de bord. Lorsque vous déplacez lecurseur sur le tableau de bord, l'emplacement disponible le plus proche s'afficheen surbrillance. Déposez le moniteur à l'emplacement de votre choix.La boîte de dialogue Nouveau moniteur s'affiche.

4 Configurez le moniteur comme il convient (chaque moniteur comportant sonpropre ensemble d'options de configuration), puis cliquez sur OK.

5 Après avoir ajouté les moniteurs requis à ce tableau de bord, cliquez sur Enregistrerpour enregistrer le tableau de bord que vous venez de configurer.

6 Une fois vos modifications terminées, cliquez sur Fermer.

Si vous ajoutez à un tableau de bord un moniteur Visionneuse d'URL personnaliséecomportant du contenu Adobe Flash ou des contrôles ActiveX, il se peut que cecontenu masque les menus d'ePolicy Orchestrator, rendant des parties de menuinaccessibles.

Modifier unmoniteur

Chaque type de moniteur prend en charge différentes options de configuration.Ainsi, un moniteur de requête permet de modifier la requête, la base de données etla fréquence d'actualisation.1 Sélectionnez le moniteur à gérer, cliquez sur la flèche dans son coin supérieur

gauche et sélectionnez Modifier le moniteur.La boîte de dialogue de configuration du moniteur s'affiche.

2 Après avoir terminé de modifier les paramètres du moniteur, cliquez sur OK. Sivous décidez de ne pas appliquer les modifications, cliquez sur Annuler.

3 Si vous choisissez de conserver les modifications apportées au tableau de bord,cliquez sur Enregistrer, sinon cliquez sur Ignorer.

Supprimerun moniteur

1 Sélectionnez le moniteur à supprimer, cliquez sur la flèche dans son coinsupérieur gauche et sélectionnez Supprimer le moniteur.La boîte de dialogue de configuration du moniteur s'affiche.

2 Lorsque vous avez terminé de modifier le tableau de bord, cliquez sur Enregistrer.Pour rétablir la configuration précédente du tableau de bord, cliquez sur Ignorer.

Voir aussi Utilisation des tableaux de bord et des moniteurs, page 257

Tableaux de bord et moniteursGestion des moniteurs de tableau de bord 20


Déplacement et redimensionnement des moniteurs de tableaude bord

Les moniteurs peuvent être déplacés et redimensionnés pour mieux exploiter l'espace de l'écran.

Avant de commencerVous devez disposer d'autorisations en écriture sur le tableau de bord que vous modifiez.

Vous pouvez modifier la taille de nombreux moniteurs de tableau de bord. La présence de petiteslignes diagonales dans le coin inférieur droit du moniteur indique que vous pouvez le redimensionner.Les moniteurs sont déplacés et redimensionnés grâce à la fonction glisser-déposer du tableau de bordactif.


1 Pour déplacer ou redimensionner un moniteur :

• Pour déplacer un moniteur de tableau de bord :

1 Faites glisser le moniteur par sa barre de titre jusqu'à l'emplacement de votre choix.

Lorsque vous déplacez le curseur, le contour en arrière-plan du moniteur glisse versl'emplacement disponible le plus proche.

2 Lorsque vous avez fait glisser le contour du moniteur à l'emplacement de votre choix,déposez-le.

Si vous tentez de le déposer à un endroit inadapté, il revient à son emplacement précédent.

• Pour redimensionner un moniteur de tableau de bord :

1 Faites glisser l'icône de dimensionnement dans le coin inférieur droit du moniteur vers unemplacement approprié.

Lorsque vous déplacez le curseur, le contour en arrière-plan du moniteur change de formepour refléter la taille prise en charge la plus proche de l'emplacement actuel du curseur. Lesmoniteurs peuvent être associés à une taille minimale ou maximale.

2 Dès que le contour en arrière-plan présente les dimensions requises, déposez le moniteur.

Si les dimensions choisies pour le moniteur ne sont pas prises en charge à l'emplacementactuel du moniteur, il reprend sa taille précédente.

2 Cliquez sur Enregistrer les modifications. Pour rétablir la disposition précédente, cliquez sur Ignorer.

Tableaux de bord par défaut et moniteurs associés ePolicy Orchestrator comprend plusieurs tableaux de bord par défaut, chacun incluant des moniteurspar défaut.

Hormis le tableau de bord par défaut (en général Synthèse McAfee ePO), tous les tableaux de bordappartiennent à l'administrateur qui a installé McAfee ePO. Pour que les autres utilisateurs de McAfeeePO puissent consulter ces tableaux de bord, l'administrateur qui a effectué l'installation doit modifierles autorisations d'accès aux tableaux de bord.

De même, pour afficher certains moniteurs inclus aux tableaux de bord, des autorisationssupplémentaires peuvent être nécessaires.

20 Tableaux de bord et moniteursDéplacement et redimensionnement des moniteurs de tableau de bord


Tableau de bord Audit

Le tableau de bord Audit présente les activités liées aux accès sur votre serveur McAfee ePO. Lesmoniteurs inclus à ce tableau de bord sont les suivants :

• Tentatives de connexion ayant échoué au cours des 30 derniers jours — Affiche une liste, groupée par utilisateur,de toutes les tentatives de connexion qui ont échoué au cours des 30 derniers jours.

• Tentatives de connexion réussies au cours des 30 derniers jours — Affiche une liste, groupée par utilisateur, detoutes les tentatives de connexion ayant abouti au cours des 30 derniers jours.

• Historique des modifications d'affectations de stratégie par utilisateur : affiche un rapport de toutes lesaffectations de stratégie des 30 derniers jours consignées dans le Journal d'audit, groupées parutilisateur.

• Modifications de configuration par utilisateur : affiche un rapport de toutes les actions des 30 derniers joursconsidérées comme sensibles consignées dans le Journal d'audit, groupées par utilisateur.

• Configurations serveur par utilisateur : affiche un rapport de toutes les actions de configuration serveur des30 derniers jours consignées dans le Journal d'audit, groupées par utilisateur.

• Recherche rapide de systèmes — Permet la recherche de systèmes en fonction du nom du système, del'adresse IP, de l'adresse MAC, du nom d'utilisateur ou du GUID de l'agent.

Tableau de bord Synthèse McAfee ePO

Le tableau de bord Synthèse McAfee ePO regroupe un ensemble de moniteurs présentant desinformations générales et des liens d'accès à des informations supplémentaires fournies par McAfee.Les moniteurs inclus à ce tableau de bord sont les suivants :

• Systèmes par groupe de niveau supérieur — Affiche un graphique à barres représentant vos systèmesmanagés, organisés par groupe de niveau supérieur de l'Arborescence des systèmes.


• Liens McAfee : affiche des liens d'accès au Support technique McAfee, à des outils d'escalade, à labibliothèque d'informations sur les virus, etc.

• Synthèse de conformité de McAfee Agent et VirusScan Enterprise (pour Windows) : affiche un graphique à secteursbooléen représentant les systèmes managés de votre environnement (qu'ils soient conformes ounon), en fonction de la version de VirusScan Enterprise (pour Windows), de McAfee Agent et desfichiers DAT utilisés.

• Historique des détections de programmes malveillants — Affiche un graphique linéaire du nombre de détectionsde virus internes au cours du dernier trimestre.

Tableau de bord de gestion

Le Tableau de bord de gestion regroupe un ensemble de moniteurs présentant des rapports générauxsur les menaces de sécurité, ainsi que des liens d'accès à des informations plus détaillées sur lesproduits McAfee. Les moniteurs inclus à ce tableau de bord sont les suivants :

• Historique des détections de programmes malveillants — Affiche un graphique linéaire du nombre de détectionsde virus internes au cours du dernier trimestre.

• Déploiements de produits au cours des dernières 24 heures — Affiche un graphique à secteurs booléen de tousles déploiements de produits des dernières vingt-quatre heures. Les déploiements réussis sontaffichés en vert.

• Mises à jour de produit au cours des dernières 24 heures — Affiche un graphique à secteurs booléen de toutesles mises à jour de produit des dernières vingt-quatre heures. Les mises à jour réussies sontaffichées en vert.

Tableaux de bord et moniteursTableaux de bord par défaut et moniteurs associés 20


Le tableau de bord Mise en route d'ePolicy Orchestrator s'affiche.

Le tableau de bord Mise en route d'ePolicy Orchestrator regroupe un ensemble de moniteurs qui vouspermettent d'obtenir des informations sur McAfee ePO et de créer l'URL d'installation de logiciels. Pardéfaut, le tableau de bord Mise en route d'ePolicy Orchestrator est celui que les utilisateurs voientquand ils se connectent pour la première fois à McAfee ePO. Les moniteurs inclus à ce tableau de bordsont les suivants :

• Bienvenue dans ePolicy Orchestrator : affiche un diaporama qui présente le logiciel et son fonctionnement.

• Mise en route : affiche la liste des produits que vous pouvez installer sur vos ordinateurs managés.

Tableau de bord Déploiement de produits

Le tableau de bord Déploiement de produits présente les déploiements et les mises à jour de produits sur leréseau. Les moniteurs composant ce tableau de bord sont les suivants :

• Déploiements de produits au cours des dernières 24 heures — Affiche un graphique à secteurs booléen de tousles déploiements de produits des dernières vingt-quatre heures. Les déploiements réussis sontaffichés en vert.

• Mises à jour de produit au cours des dernières 24 heures — Affiche un graphique à secteurs booléen de toutesles mises à jour de produit des dernières vingt-quatre heures. Les mises à jour réussies sontaffichées en vert.

• Echecs de déploiement de produit au cours des dernières 24 heures : affiche un graphique à barres pour un seulgroupe, groupé par code produit, de tous les échecs de déploiement de produit qui ont eu lieu aucours des dernières vingt-quatre heures.


• Echecs de mise à jour de produit au cours des dernières 24 heures — Affiche un graphique à barres, groupé parcode produit, de tous les échecs de mise à jour de produit qui ont eu lieu les dernières vingt-quatreheures.

• Tentatives de désinstallation d'agent au cours des 7 derniers jours — Affiche un graphique à barres, groupé parjour, de tous les événements de client de type désinstallation d'agent qui ont eu lieu les septderniers jours.

Spécification initiale des tableaux de bord et des intervallesd'actualisation des tableaux de bord

Le paramètre serveur Tableaux de bord indique le tableau de bord qui s'affiche lorsqu'un utilisateur seconnecte pour la première fois, ainsi que la fréquence d'actualisation de tous les tableaux de bord.

Vous pouvez préciser quel tableau de bord afficher lorsqu'un utilisateur se connecte pour la premièrefois en mappant le tableau de bord avec l'ensemble d'autorisations de l'utilisateur. Le mappage destableaux de bord aux ensembles d'autorisations garantit que les utilisateurs munis d'un rôle précisvoient automatiquement les informations dont ils ont besoin. Les utilisateurs ayant l'autorisation deconsulter d'autres tableaux de bord que celui qui leur est affecté par défaut verront le dernier tableaude bord affiché chaque fois qu'ils accèderont à la page Tableaux de bord.

En utilisant le paramètre serveur Tableaux de bord, vous pouvez effectuer les actions suivantes :

20 Tableaux de bord et moniteursSpécification initiale des tableaux de bord et des intervalles d'actualisation des tableaux de bord


• Configurer le tableau de bord qui est affiché pour les utilisateurs dont l'ensemble d'autorisationsn'est pas associé à un tableau de bord par défaut.

• contrôler la fréquence d'actualisation automatique des tableaux de bord.

Les tableaux de bord sont actualisés automatiquement. A chaque actualisation, la requêtesous-jacente est exécutée et les résultats sont affichés dans le tableau de bord. Lorsque lesrésultats d'une requête contiennent un grand nombre de données, un intervalle d'actualisation courtrisque d'affecter la bande passante disponible. Il est conseillé de choisir un intervalle d'actualisationassez fréquent pour garantir que des informations pertinentes sont rapidement affichées sansconsommer des ressources réseau inutilement. Par défaut, cet intervalle est de cinq minutes.


Procédure1 Cliquez sur Menu | Configuration | Paramètres serveur, sélectionnez Tableaux de bord dans les Catégories de

paramètres, puis cliquez sur Modifier.

2 Sélectionnez un ensemble d'autorisations et un tableau de bord par défaut dans les menus.

Utilisez et pour ajouter ou supprimer plusieurs tableaux de bord pour chaque ensembled'autorisations, ou pour effectuer des affectations pour plusieurs ensembles d'autorisations.

3 Indiquez une valeur comprise entre 1 minute et 60 heures pour l'intervalle d'actualisation dumoniteur de tableau de bord (5 minutes par défaut), puis cliquez sur Enregistrer.

Tableaux de bord et moniteursSpécification initiale des tableaux de bord et des intervalles d'actualisation des tableaux de bord 20


20 Tableaux de bord et moniteursSpécification initiale des tableaux de bord et des intervalles d'actualisation des tableaux de bord


21 Requêtes et rapports

ePolicy Orchestrator comporte des fonctionnalités de génération de requêtes et de rapportsspécifiques.

Notamment, le Générateur de requêtes et le Générateur de rapports, qui permettent de créer etd'exécuter des requêtes et des rapports pour obtenir des données définies par l'utilisateur dans desgraphiques et des tableaux personnalisables. Les données utilisées pour ces requêtes et rapportspeuvent provenir de n'importe quelle base de données interne ou externe de votre système ePolicyOrchestrator.

Outre les systèmes de génération de requêtes et de rapports, vous pouvez utiliser les journauxsuivants pour collecter des informations sur les événements qui se produisent sur votre serveurMcAfee ePO et sur l'ensemble de votre réseau :

• Journal d'audit

• Journal des tâches serveur

• Journal des événements de menace

Sommaire Autorisations sur les requêtes et les rapports Requêtes Générateur de requêtes Configuration initiale des requêtes et des rapports Utilisation des requêtes Requêtes avec données cumulées multiserveurs Présentation des rapports Structure d'un rapport Utilisation des rapports

Autorisations sur les requêtes et les rapportsVous pouvez limiter l'accès aux requêtes et aux rapports de différentes manières.

Pour exécuter une requête ou un rapport, vous devez disposer d'autorisations non seulement sur cetterequête ou ce rapport, mais aussi sur les ensembles de fonctionnalités associés à leurs types derésultats. Dans les pages de résultats d'une requête, vous n'aurez accès qu'aux actions qui vous sontpermises en vertu de vos ensembles d'autorisations.

21


Les groupes et les ensembles d'autorisations contrôlent l'accès aux requêtes et aux rapports. Toutesles requêtes et tous les rapports doivent appartenir à un groupe, et l'accès à ce rapport ou à cetterequête est contrôlé par le niveau d'autorisation du groupe. Les groupes de requêtes et de rapportspeuvent avoir l'un des niveaux d'autorisation suivants :

• Privé — Le groupe est uniquement accessible à l'utilisateur qui l'a créé.

• Public — Le groupe est partagé globalement.

• Par ensemble d'autorisations — Le groupe est uniquement accessible aux utilisateurs affectés desensembles d'autorisations sélectionnés.

Les ensembles d'autorisations possèdent quatre niveaux d'accès aux requêtes et aux rapports. Cesniveaux d'accès sont les suivants :

• Aucune autorisation — L'onglet Requête ou Rapport est inaccessible à l'utilisateur qui ne possède aucuneautorisation.

• Utiliser des requêtes publiques — L'utilisateur est autorisé à utiliser les requêtes ou les rapports placésdans un Groupe public.

• Utiliser des requêtes publiques, créer et modifier des requêtes personnelles — L'utilisateur est autorisé à utiliser lesrequêtes ou rapports placés dans un Groupe public. Il peut également employer le Générateur de requêtespour créer et modifier des requêtes ou des rapports dans les Groupes privés.

• Modifier des requêtes publiques, créer et modifier des requêtes personnelles, rendre publiques des requêtes personnelles —L'utilisateur est autorisé à exécuter et à modifier les requêtes ou rapports placés dans des Groupespublics, ainsi qu'à créer et à modifier des requêtes ou rapports figurant dans des Groupes privés. Il estégalement autorisé à déplacer les requêtes et rapports placés dans des Groupes privés vers desGroupes publics ou des Groupes partagés.

RequêtesLes requêtes sont pour l'essentiel des questions posées à ePolicy Orchestrator et les réponses sontrenvoyées sous diverses formes de graphiques et de tableaux.

Une requête peut être utilisée individuellement pour obtenir une réponse immédiate. Il est possibled'exporter les résultats d'une requête dans différents formats, ceux-ci pouvant être téléchargés ouenvoyés en tant que pièce jointe d'un e-mail. La plupart des requêtes peuvent également être utiliséesen tant que moniteur de tableau de bord, ce qui permet une surveillance des systèmes quasiment entemps réel. Les requêtes peuvent aussi être combinées dans des rapports afin d'obtenir une visionplus étendue et systématique de votre système logiciel ePolicy Orchestrator.

Les tableaux de bord et les requêtes prédéfinies par défaut, fournis avec ePolicy Orchestrator, nepeuvent pas être modifiés ni supprimés. Pour les modifier, vous pouvez les dupliquer, les renommer,puis modifier le nouveau tableau de bord ou la nouvelle requête.

Des résultats de requêtes pleinement exploitables

Les résultats des requêtes sont pleinement exploitables. Diverses actions disponibles peuvent ainsiêtre exécutées sur les éléments sélectionnés des tableaux (et tableaux de détails) affichant lesrésultats des requêtes. Par exemple, vous pouvez déployer des agents sur des systèmes à partir d'untableau de résultats de requête. Les actions possibles sont indiquées au bas de chaque page derésultats.

21 Requêtes et rapportsRequêtes


Requêtes et moniteurs de tableau de bord

La plupart des requêtes peuvent être utilisées en tant que moniteurs de tableau de bord (à l'exceptionde celles dont les résultats initiaux sont présentés sous forme de tableaux). Les moniteurs de tableaude bord sont actualisés automatiquement. La fréquence de cette actualisation (toutes les cinq minutespar défaut) peut être définie par l'utilisateur.

Résultats exportés

Les résultats d'une requête peuvent être exportés dans quatre formats différents. Les résultatsexportés représentent un ensemble de données historiques et ne peuvent pas être actualisés,contrairement aux autres moniteurs lorsqu'ils sont utilisés en tant que moniteurs de tableau de bord.Comme dans le cas des résultats de requêtes et des moniteurs basés sur des requêtes affichés dans laconsole, vous pouvez accéder aux détails des exportations HTML.

Contrairement aux résultats de requêtes affichés dans la console, par contre, les données figurantdans les rapports exportés ne peuvent pas être exploitées directement par l'application d'actions.

Les rapports sont disponibles dans les formats suivants :

• CSV — Utilisez les données dans un tableur (par exemple, Microsoft Excel).

• XML — Transformez les données pour une autre utilisation.

• HTML — Affichez les résultats exportés sous forme de page web.

• PDF — Imprimez les résultats.

Combinaisons des requêtes dans des rapports

Les rapports peuvent contenir un grand nombre de requêtes, d'images, de texte statique et d'autreséléments. Ils peuvent être exécutés à la demande ou selon un calendrier régulier, et leur conversionau format PDF permet de les consulter en dehors d'ePolicy Orchestrator.

Partage de requêtes entre serveurs

Toute requête peut être importée ou exportée, vous permettant ainsi de partager des requêtes entredifférents serveurs. Dans un environnement multiserveur, il n'est nécessaire de créer une requêtequ'une seule fois.

Récupération des données à partir de sources différentes

Les requêtes peuvent récupérer des données à partir de n'importe quel serveur enregistré, y comprisdes bases de données externes à ePolicy Orchestrator.

Générateur de requêtesePolicy Orchestrator propose un Assistant convivial, articulé en quatre étapes, vous permettant decréer et de modifier vos requêtes personnalisées. L'Assistant vous permet de configurer les données àextraire ou à afficher, ainsi que leur mode d'affichage.

Types de résultats

Les premiers éléments à définir dans l'assistant Générateur de requêtes sont le schéma et le type derésultat, à choisir dans un groupe de fonctionnalités. La sélection effectuée à cette étape permet despécifier le type et l'origine des données extraites par la requête et détermine les options qui serontdisponibles aux étapes suivantes de l'assistant.

Requêtes et rapportsGénérateur de requêtes 21


Types de graphiqueePolicy Orchestrator propose une sélection de tableaux et de graphiques pour l'affichage des donnéesextraites. Ces tableaux et graphiques, ainsi que leurs tableaux de détail, sont configurables dans unelarge mesure.

Les tableaux n'incluent pas de tableaux de détails.

Les types de graphique disponibles sont les suivants :

Tableau 21-1 Types de graphiques par groupe

Type Graphique ou tableau

Barres • Graphique à barres

• Graphique à barres groupées

• Graphique à barres empilées

Secteurs • Graphique à secteurs booléen

• Graphique à secteurs

Bulle • Graphique à bulles

Synthèse • Tableau de synthèse pour plusieurs groupes

• Tableau de synthèse pour un seul groupe

Ligne • Graphique à plusieurs lignes

• Graphique à une seule ligne

Liste • Tableau

Colonnes de tableauDéfinissez les colonnes du tableau. Si vous avez sélectionné Tableau comme affichage principal desdonnées, cela permet de configurer ce tableau. Si vous sélectionnez un type de graphique commeaffichage principal des données, cela permet de configurer le tableau de détails.

Les résultats de la requête affichés dans un tableau sont directement exploitables. Si, par exemple, letableau contient des systèmes, vous pouvez déployer ou réactiver des agents sur ces systèmesdirectement à partir du tableau.

FiltresLimitez le nombre de données extraites par une requête en définissant des critères de filtre sur lespropriétés et les opérateurs.

Configuration initiale des requêtes et des rapportsSuivez les étapes générales décrites ci-dessous lorsque vous configurez des requêtes et des rapportspour la première fois.

1 Familiarisez-vous avec les fonctionnalités des requêtes, des rapports et avec le Générateur derequêtes.

2 Examinez les requêtes et les rapports par défaut et modifiez-les en fonction de vos besoins.

3 Créez des requêtes et des rapports lorsqu'aucune requête par défaut ne correspond à vos besoins.

21 Requêtes et rapportsConfiguration initiale des requêtes et des rapports


Utilisation des requêtesVous pouvez créer et exporter des requêtes et effectuer d'autres actions selon vos besoins.

Procédures• Gestion des requêtes personnalisées, page 271

Vous pouvez créer, modifier ou supprimer les requêtes en fonction de vos besoins.

• Exécuter une requête, page 273Vous pouvez exécuter des requêtes enregistrées à la demande.

• Exécution d'une requête suivant une planification, page 273Une tâche serveur est utilisée pour exécuter une requête de façon régulière. Les requêtespeuvent comporter des sous-actions qui vous permettent de réaliser différentes tâches,comme envoyer par e-mail les résultats de la requête ou utiliser des marqueurs.

• Création d'un groupe de requêtes, page 274Les groupes de requêtes permettent d'enregistrer des requêtes ou des rapports sansdonner à d'autres utilisateurs la possibilité d'y accéder.

• Déplacement d'une requête vers un autre groupe, page 274Vous pouvez modifier les autorisations sur une requête en la déplaçant vers un groupedifférent.

• Exportation et importation de requêtes, page 275Les informations sur le réseau sont structurées. L'exportation et l'importation des requêtesd'un serveur vers un autre assurent une plus grande cohérence sur tous les serveursMcAfee ePO.

• Exportation des résultats d'une requête dans d'autres formats, page 276Les résultats d'une requête peuvent être exportés dans les formats suivants : HTML, PDF,CSV et XML.

Gestion des requêtes personnaliséesVous pouvez créer, modifier ou supprimer les requêtes en fonction de vos besoins.


1 Ouvrez la page Requêtes et rapports : cliquez sur Menu | Génération de rapports | Requêtes et rapports.


Requêtes et rapportsUtilisation des requêtes 21


Action Etapes

Créer unerequêtepersonnalisée

1 Cliquez sur Nouvelle requête pour afficher le Générateur de requêtes.

2 Dans la page Type de résultat, sélectionnez le Groupe de fonctionnalités et le Typede résultat pour cette requête, puis cliquez sur Suivant.

3 Choisissez le type de graphique ou de tableau à utiliser pour l'affichage desrésultats principaux de la requête, puis cliquez sur Suivant.

Si vous avez sélectionné Graphique à secteurs booléen, vous devez configurer lescritères à inclure dans la requête avant de poursuivre.

4 Sélectionnez les colonnes à inclure à la requête, puis cliquez sur Suivant.

Si vous avez sélectionné Tableau sur la page Graphique, les colonnes que voussélectionnez ici représentent les colonnes de ce tableau. Sinon, il s'agit descolonnes du tableau de détails de la requête.

5 Sélectionnez des propriétés pour limiter les résultats de la recherche, puiscliquez sur Exécuter.La page Requête non enregistrée affiche les résultats de la requête, lesquelssont directement exploitables pour exécuter toute action disponible sur leséléments d'un tableau ou d'un tableau de détails.

Les propriétés sélectionnées s'affichent dans le volet de contenu, avec lesopérateurs permettant de définir les critères pour limiter les donnéesrenvoyées pour ces propriétés.

• Si la requête n'a pas renvoyé les résultats attendus, cliquez sur Modifier larequête pour revenir à l'Assistant Générateur de requêtes et modifier la requête.

• S'il n'est pas nécessaire d'enregistrer cette requête, cliquez sur Fermer.

• Si vous voulez utiliser cette requête par la suite, cliquez sur Enregistrer etpassez à l'étape suivante.

6 La page Enregistrer la requête s'affiche. Entrez le nom de la requête, descommentaires si nécessaire, puis sélectionnez l'une des options suivantes :

• Nouveau groupe — Indiquez le nom du groupe et sélectionnez l'une des optionssuivantes :

• Groupe privé (Mes groupes)

• Groupe public (Groupes partagés)

• Groupe existant — Sélectionnez le groupe dans la liste des Groupes partagés.


La nouvelle requête apparaît alors dans la liste Requêtes.

Dupliquer unerequête

1 Dans la liste, sélectionnez une requête à copier, puis cliquez sur Actions |Dupliquer.

2 Dans la boîte de dialogue Dupliquer, entrez le nom et sélectionnez le groupe dela copie de la requête, puis cliquez sur OK.

La requête dupliquée apparaît alors dans la liste Requêtes.

21 Requêtes et rapportsUtilisation des requêtes


Action Etapes

Modifier larequête

1 Dans la liste, sélectionnez une requête à modifier, puis cliquez sur Actions |Modifier.

2 Modifiez les paramètres de la requête, puis cliquez sur Enregistrer lorsque vousavez terminé.

La requête modifiée apparaît alors dans la liste Requêtes.

Supprimer unerequête

1 Dans la liste, sélectionnez une requête à supprimer, puis cliquez sur Actions |Supprimer.

2 Dans la boîte de dialogue de confirmation, cliquez sur Oui.

La requête n'apparaît plus dans la liste Requêtes. Tous les rapports ou tâchesserveur qui utilisaient cette requête sont désormais considérés comme nonvalides tant que vous n'avez pas supprimé la référence à la requête supprimée.

Exécuter une requêteVous pouvez exécuter des requêtes enregistrées à la demande.


Procédure1 Cliquez sur Menu | Rapports | Requêtes et rapports, puis sélectionnez une requête dans la liste Requêtes.

2 Cliquez sur Actions | Exécuter. Les résultats de la requête s'affichent. Accédez aux détails du rapportet appliquez les actions appropriées aux éléments que vous sélectionnez.

Les actions disponibles varient selon les autorisations octroyées à l'utilisateur.

3 Cliquez sur Fermer pour terminer.

Exécution d'une requête suivant une planificationUne tâche serveur est utilisée pour exécuter une requête de façon régulière. Les requêtes peuventcomporter des sous-actions qui vous permettent de réaliser différentes tâches, comme envoyer pare-mail les résultats de la requête ou utiliser des marqueurs.



a Dans la page Requêtes et rapports, sélectionnez une requête.

b Sélectionnez Actions | Planification.

2 Dans la page Description, entrez le nom et la description de la tâche, puis cliquez sur Suivant.


4 Dans le champ Requête, recherchez la requête à exécuter.

5 Sélectionnez la langue d'affichage des résultats.



6 Dans la liste des Sous-actions, sélectionnez une action à exécuter sur les résultats. Les sous-actionsdisponibles varient selon les autorisations de l'utilisateur et les produits managés par votre serveurMcAfee ePO.

Vous pouvez sélectionner plusieurs actions à appliquer aux résultats de la requête. Cliquez sur lebouton + pour ajouter des actions à exécuter sur les résultats de la requête. Assurez-vous de classerles actions choisies dans l'ordre d'exécution souhaité.



9 Vérifiez la configuration de la tâche, puis cliquez sur Enregistrer.

La tâche est ajoutée à la liste de la page Tâches serveur. Si la tâche est activée (elle l'est par défaut),elle s'exécute aux prochaines date et heure prévues dans la planification. Si elle est désactivée, laseule manière de l'exécuter consiste à cliquer sur l'option Exécuter qui lui est associée, dans la pageTâches serveur.

Création d'un groupe de requêtesLes groupes de requêtes permettent d'enregistrer des requêtes ou des rapports sans donner àd'autres utilisateurs la possibilité d'y accéder.

La création d'un groupe vous permet de classer les requêtes et les rapports dans des catégories enfonction de leurs fonctionnalités ou du contrôle d'accès. La liste des groupes affichée dans le logicielePolicy Orchestrator contient les groupes que vous avez créés et ceux que vous avez l'autorisation deconsulter.

Vous pouvez également créer des groupes de requêtes privées lors de l'enregistrement de requêtespersonnalisées.


Procédure1 Cliquez sur Menu | Rapports | Requêtes et rapports, puis sur Actions de groupes | Nouveau groupe.

2 Dans la page Nouveau groupe, saisissez le nom du groupe.

3 Dans Visibilité du groupe, sélectionnez l'une des options suivantes :

• Groupe privé — Ajoute le nouveau groupe sous Mes groupes.

• Groupe public — Ajoute le nouveau groupe sous Groupes partagés. Les requêtes et rapports présentsdans le groupe peuvent être consultés par tout utilisateur disposant d'un accès aux requêtes etrapports publics.

• Partagé par ensemble d'autorisations — Ajoute le nouveau groupe sous Groupes partagés. Seuls lesutilisateurs bénéficiant des ensembles d'autorisations sélectionnés pourront accéder auxrapports et requêtes de ce groupe.

Les administrateurs disposent d'un accès total à toutes les requêtes Par ensemble d'autorisations etde type Public.


Déplacement d'une requête vers un autre groupeVous pouvez modifier les autorisations sur une requête en la déplaçant vers un groupe différent.Pour consulter la définition des options, cliquez sur ? dans l'interface.



Procédure1 Cliquez sur Menu | Rapports | Requêtes et rapports. Dans la liste Requêtes, sélectionnez la requête à

déplacer.

2 Cliquez sur Actions et sélectionnez l'une des options suivantes :

• Déplacer vers un autre groupe — Sélectionnez le groupe souhaité dans le menu Sélectionner le groupe cible.

• Dupliquer — Spécifiez le nouveau nom et sélectionnez le groupe souhaité dans le menu Groupe dedestination de la copie.

3 Cliquez sur OK.

Exportation et importation de requêtesLes informations sur le réseau sont structurées. L'exportation et l'importation des requêtes d'unserveur vers un autre assurent une plus grande cohérence sur tous les serveurs McAfee ePO.


1 Ouvrez l'onglet Requêtes en sélectionnant Menu | Génération de rapports | Requêtes et rapports.


Action Etapes

Exporterunerequête

1 Sélectionnez le groupe contenant la requête à exporter dans la liste Groupes, puissélectionnez la requête à exporter.

2 Cliquez sur Actions | Exporter les requêtes.Le serveur McAfee ePO envoie un fichier XML à votre navigateur. Par défaut, laplupart des navigateurs vous invitent à enregistrer le fichier.

Le fichier XML exporté contient une description complète de tous les paramètresnécessaires à la réplication de la requête exportée.

Importerunerequête

1 Cliquez sur Importer des requêtes.

2 Cliquez sur Parcourir pour sélectionner le fichier XML contenant le tableau de bord àimporter.

3 Sélectionnez un groupe existant pour la requête ou créez-en un nouveau.

• Nouveau : attribuez un nom au groupe et spécifiez s'il s'agit d'un groupe publicou privé.

• Existant : sélectionnez le groupe auquel appartiendra la requête importée.

4 Cliquez sur Enregistrer.L'écran de confirmation affiche les informations sur la requête telle qu'elle existedans le fichier XML et son nom après l'importation. Si le fichier sélectionné necontient aucune requête valide, le système affiche un message d'erreur.

5 Cliquez sur OK pour finaliser l'importation.

La requête récemment importée hérite des autorisations du groupe dans lequel elle aété importée.



Exportation des résultats d'une requête dans d'autres formatsLes résultats d'une requête peuvent être exportés dans les formats suivants : HTML, PDF, CSV et XML.

L'exportation des résultats d'une requête diffère de la création d'un rapport de deux façons. Toutd'abord, aucune information supplémentaire n'est ajoutée à la sortie comme il est possible de le faireau sein d'un rapport ; seules les données de résultats sont incluses. En outre, un plus grand nombrede formats sont pris en charge. Les résultats de requête exportés sont susceptibles d'être utilisés pourdes traitements futurs : c'est pourquoi des formats faciles à traiter tels que XML et CSV sont pris encharge. Les rapports sont conçus pour être consultés par une personne : ils sont donc fournis sous laforme de fichiers PDF uniquement.

Contrairement aux résultats de requêtes affichés dans la console, il est impossible d'appliquerdirectement une action aux données exportées.


Procédure1 Cliquez sur Menu | Rapports | Requêtes et rapports, sélectionnez une requête, puis cliquez sur Exécuter.

2 Après l'exécution de la requête, cliquez sur Options | Exporter les données.

La page Exporter s'affiche.

3 Sélectionnez les éléments à exporter. Pour les requêtes de type graphique, sélectionnez soit Donnéesdu graphique uniquement, soit Données du graphique et tableaux de détails.

4 Précisez si vous souhaitez exporter les fichiers de données individuellement ou dans un mêmefichier archive (ZIP).

5 Sélectionnez le format du fichier exporté.

• CSV — Utilisez ce format pour exploiter les données dans un tableur (par exemple, MicrosoftExcel).

• XML — Utilisez ce format pour transformer les données à d'autres fins.

• HTML : utilisez ce format de rapport pour afficher les résultats exportés sous la forme d'une pageweb.

• PDF — Utilisez ce format de rapport lorsque vous devez imprimer les résultats.

6 Si vous exportez vers un fichier PDF, configurez les options suivantes :

• Indiquez le Format de la page et l'Orientation de la page.

• (Facultatif) Vous pouvez Afficher les critères de filtre.

• (Facultatif) Vous pouvez Inclure une page de couverture affichant ce texte et saisir le texte souhaité.

7 Spécifiez si les fichiers doivent être envoyés en tant que pièces jointes d'un e-mail à desdestinataires sélectionnés ou s'ils doivent être enregistrés dans un emplacement sur le serveuravec un lien pointant vers ce dernier. Vous pouvez ouvrir ou enregistrer le fichier dans un autreemplacement en cliquant avec le bouton droit sur celui-ci.

Lorsque vous entrez les adresses e-mail de plusieurs destinataires, séparez les entrées par unevirgule ou un point-virgule.

8 Cliquez sur Exporter.

Les fichiers sont envoyés en tant que pièces jointes d'un e-mail aux destinataires, ou le système ouvreune page qui vous permet d'accéder aux fichiers en cliquant sur des liens.



Requêtes avec données cumulées multiserveursePolicy Orchestrator offre la possibilité d'exécuter des requêtes qui génèrent des rapports sur desdonnées de synthèse provenant de plusieurs bases de données.

Utilisez l'assistant Générateur de requêtes pour ce type de requêtes :

• Evénements de menace cumulés • Systèmes managés cumulés

• Evénements de client cumulés • Stratégies appliquées cumulées

• Historique de conformité cumulé

Il n'est pas possible de générer des commandes d'action à partir des résultats impliquant des donnéescumulées.

Fonctionnement

Pour cumuler les données à utiliser dans le cadre des requêtes sur des données cumulées, vous devezenregistrer chaque serveur (y compris le serveur local) que vous souhaitez inclure dans la requête.

Une fois les serveurs enregistrés, vous devez configurer des tâches serveur Données cumulées sur leserveur de rapports (celui qui exécute la génération de rapports multiserveurs). Les tâches serveurDonnées cumulées extraient les informations de toutes les bases de données concernées par lerapport et remplissent les tables EPORollup_ sur le serveur de rapports. Les requêtes sur les donnéescumulées sont exécutées sur ces tables de base de données, au niveau du serveur de rapports.

Avant l'exécution d'une requête de type Historique de conformité cumulé, vous devez effectuer lesdeux opérations suivantes sur chaque serveur dont les données doivent être incluses :

• Créer une requête pour définir la conformité

• Générer un événement de conformité

Création d'une tâche serveur Données cumuléesLes tâches serveur Données cumulées récupèrent des données de plusieurs serveurs simultanément.

Avant de commencerEnregistrez chaque serveur de génération de rapports McAfee ePO à inclure dans lesrapports avec données cumulées. Vous devez enregistrer chaque serveur afin d'en extraireles données de synthèse qui serviront à remplir les tables EPORollup_ du serveur degénération de rapports avec données cumulées.

Le serveur de génération de rapports doit également être enregistré afin que ses donnéesde synthèse soient incluses dans les rapports avec données cumulées.

Vous ne pouvez pas cumuler des données provenant des serveurs McAfee ePO enregistrés dont lesversions ne sont plus prises en charge. Par exemple, vous ne pouvez pas agréger des données desserveurs McAfee ePO version 4.5 ou version ultérieure.





Requêtes et rapportsRequêtes avec données cumulées multiserveurs 21


2 Dans la page Description, entrez le nom et la description de la tâche, indiquez si elle doit êtreactivée, puis cliquez sur Suivant.

3 Cliquez sur Actions, puis sélectionnez Cumuler les données.

4 Dans la liste déroulante Cumuler les données de, sélectionnez Tous les serveurs enregistrés ou Sélectionner lesserveurs enregistrés.

5 Si vous avez choisi Sélectionner les serveurs enregistrés, cliquez sur Sélectionner. Dans la boîte de dialogueSélectionner les serveurs enregistrés, sélectionnez les serveurs dont vous voulez obtenir les données, puiscliquez sur OK.

6 Sélectionnez le type des données à cumuler, puis cliquez sur Suivant. Pour sélectionner plusieurstypes de données, cliquez sur + à la fin de l'en-tête du tableau.

Il est possible de configurer plus en détail les types de données Evénements de menace,Evénements de client et Stratégies appliquées pour y inclure les propriétés Purger, Filtrer et Méthodede cumul. Pour cela, cliquez sur Configurer dans la ligne indiquant les propriétés disponibles.


La page Synthèse s'affiche.

Si vous générez des rapports sur des données cumulées d'historique de conformité, assurez-vousque l'unité de temps de la requête Historique de conformité cumulé est identique au type deplanification des tâches serveur Générer un événement de conformité sur les serveurs enregistrés.

8 Contrôlez les paramètres, puis cliquez sur Enregistrer.

Présentation des rapportsLes rapports associent des requêtes et d'autres éléments au sein de documents PDF, fournissant ainsides informations détaillées à des fins d'analyse.

Vous exécutez des rapports pour évaluer l'état de votre environnement (vulnérabilités, utilisation etévénements par exemple) afin d'effectuer les modifications nécessaires pour maintenir votreenvironnement sécurisé.

Les requêtes fournissent des informations similaires, mais ne peuvent être utilisées que lorsque vousinteragissez directement avec un serveur McAfee ePO. Les rapports vous permettent d'incorporer uneou plusieurs requêtes au sein d'un seul document PDF et offrir des possibilités d'analyse ciblée, horsligne.

Les rapports sont des documents configurables affichant des données d'une ou de plusieurs requêtesqui extraient des données d'une ou plusieurs bases de données. Le résultat de l'exécution la plusrécente de chaque rapport est stocké dans le système et immédiatement disponible pour consultation.

Vous pouvez, au même titre que les requêtes, limiter l'accès aux rapports à l'aide de groupes etd'ensembles d'autorisations. Les rapports et les requêtes peuvent utiliser les mêmes groupes. Enoutre, comme les rapports sont principalement générés à partir de requêtes, vous pouvez bénéficierd'un contrôle d'accès cohérent.

21 Requêtes et rapportsPrésentation des rapports


Structure d'un rapportLes rapports contiennent des éléments présentés dans un format de base.

Si les rapports offrent de nombreuses possibilités de personnalisation, ils possèdent tous une structurede base qui comprend les différents éléments.

Format et orientation de la page

ePolicy Orchestrator prend actuellement en charge six combinaisons de format et d'orientation. Asavoir :

Formats :

• Lettre US (216 x 279 mm)

• Légal US (216 x 356 mm)

• A4 (210 x 297 mm)

Orientation :

• Paysage

• Portrait

En-têtes et pieds de page

Vous pouvez également sélectionner l'option système par défaut pour les en-têtes et les pieds de pageou les personnaliser de diverses façons, notamment par des logos. Les éléments actuellement pris encharge pour les en-têtes et les pieds de page sont les suivants :

• Logo • Nom de l'utilisateur

• Date/heure • Texte personnalisé

• Numéro de page

Eléments de page

Les éléments de page fournissent le contenu du rapport. Il est possible de les combiner de multiplesfaçons et de les dupliquer si nécessaire. ePolicy Orchestrator fournit les éléments de page suivants :

• Images • Tableaux de requête

• Texte statique • Graphiques de requête

• Sauts de page

Utilisation des rapportsVous pouvez créer, modifier et gérer des rapports associant des requêtes et d'autres éléments au seinde documents PDF détaillés.Ces documents peuvent fournir quantité de données pertinentes, mais vous devez préalablementréaliser plusieurs procédures afin de créer une série de rapports véritablement utiles et exploitables.

Requêtes et rapportsStructure d'un rapport 21


Procédures• Création d'un rapport, page 280

Vous pouvez créer des rapports, puis les enregistrer dans McAfee ePO.

• Modification d'un rapport existant, page 280Vous pouvez modifier le contenu d'un rapport existant ou l'ordre de la présentation.

• Affichage de la sortie d'un rapport, page 285Vous pouvez afficher la dernière version exécutée de chaque rapport.

• Regroupement des rapports, page 286Chaque rapport doit être affecté à un groupe.

• Exécution de rapports, page 286Les rapports doivent être exécutés avant de pouvoir examiner les résultats.

• Exécution d'un rapport suivant une planification, page 286Créez une tâche serveur pour exécuter un rapport automatiquement.

• Exportation et importation de rapports, page 287Les rapports contiennent des informations structurées. Vous pouvez donc les exporter etles importer d'un serveur à un autre pour assurer une plus grande cohérence des processusd'extraction des données et de génération de rapports sur tous les serveurs McAfee ePO.

• Configuration du modèle et de l'emplacement des rapports exportés, page 288Vous pouvez définir l'apparence et l'emplacement de stockage des tableaux et des tableauxde bord que vous exportez sous la forme de documents.

• Suppression de rapports, page 289Vous pouvez supprimer des rapports qui ne sont plus utilisés.

Création d'un rapportVous pouvez créer des rapports, puis les enregistrer dans McAfee ePO.


1 Cliquez sur Menu | Rapports | Requêtes et rapports, puis sélectionnez l'onglet Rapport.

2 Cliquez sur Nouveau rapport.

3 Cliquez sur Nom, description et groupe. Entrez le nom et la description du rapport, puis sélectionnez legroupe approprié. Cliquez sur OK.

4 Vous pouvez désormais ajouter, supprimer et réorganiser des éléments, personnaliser l'en-tête etle pied de page et modifier la disposition de la page. A tout moment, cliquez sur Exécuter pourvérifier l'état de vos modifications.

5 Lorsque vous avez terminé, cliquez sur Enregistrer.

Modification d'un rapport existantVous pouvez modifier le contenu d'un rapport existant ou l'ordre de la présentation.

Si vous créez un nouveau rapport, vous accédez à cet écran après avoir cliqué sur Nouveau rapport.

21 Requêtes et rapportsUtilisation des rapports




2 Pour sélectionner un rapport de la liste, activez la case à cocher en regard de son nom.

3 Cliquez sur Modifier.

La page Disposition du rapport s'affiche.

Toutes les procédures suivantes peuvent être réalisées dans le rapport :

Procédures• Ajout d'éléments à un rapport, page 281

Vous pouvez ajouter de nouveaux éléments à un rapport existant.

• Configuration des éléments Image d'un rapport, page 282Chargez de nouvelles images et modifiez les images utilisées dans un rapport.

• Configuration des éléments Texte d'un rapport, page 282Vous pouvez insérer du texte statique dans un rapport afin d'expliquer son contenu.

• Configuration des éléments Tableau de requête d'un rapport, page 283Pour bénéficier d'un rapport plus lisible, il est préférable d'afficher certaines requêtes sousla forme d'un tableau.

• Configuration des éléments Graphique d'un rapport, page 283Pour bénéficier d'un rapport plus lisible, il est préférable d'afficher certaines requêtes sousla forme d'un graphique.

• Personnalisation des en-têtes et des pieds de page de rapport, page 284Les en-têtes et les pieds de page contiennent des informations relatives au rapport.

• Suppression d'éléments d'un rapport, page 284Vous pouvez supprimer, dans un rapport, les éléments dont vous n'avez plus besoin.

• Réorganisation des éléments d'un rapport, page 285Vous pouvez modifier l'ordre dans lequel les éléments apparaissent au sein d'un rapport.

Ajout d'éléments à un rapportVous pouvez ajouter de nouveaux éléments à un rapport existant.

Avant de commencerLe rapport doit être ouvert dans la page Disposition du rapport pour pouvoir réaliser cetteprocédure.


1 Sélectionnez un élément dans la Boîte à outils et faites-le glisser vers la Disposition du rapport.

2 Lorsque l'élément se trouve à l'emplacement souhaité, déposez-le.

Les éléments de rapport autres que Saut de page nécessitent une configuration. La page deconfiguration des éléments apparaît.

3 Après avoir configuré l'élément, cliquez sur OK.

Requêtes et rapportsUtilisation des rapports 21


Configuration des éléments Image d'un rapportChargez de nouvelles images et modifiez les images utilisées dans un rapport.

Avant de commencerLe rapport doit être ouvert dans la page Disposition du rapport.


Procédure1 Pour configurer une image déjà incorporée à un rapport, cliquez sur la flèche dans le coin supérieur

gauche de l'image. Cliquez sur Configuration.

La page Configurer Image s'affiche. Si vous ajoutez une image au rapport, la page Configurer Imageapparaît dès que vous déposez l'élément Image dans le rapport.

2 Pour utiliser une image existante, sélectionnez-la dans la galerie.

3 Pour utiliser une nouvelle image, cliquez sur Parcourir et sélectionnez l'image sur votre ordinateur.Cliquez sur OK.

4 Pour spécifier une largeur d'image spécifique, indiquez une valeur dans le champ Largeur d'image.

Par défaut, l'image affichée conserve sa largeur existante sans être redimensionnée sauf si cettelargeur est supérieure à la largeur disponible dans la page. Dans ce cas, elle est redimensionnée enfonction de la largeur disponible en conservant son ratio d'aspect.

5 Indiquez si l'image doit être alignée à gauche, à droite ou si elle doit être centrée.

6 Cliquez sur OK.

Configuration des éléments Texte d'un rapportVous pouvez insérer du texte statique dans un rapport afin d'expliquer son contenu.



1 Pour configurer du texte déjà inséré dans un rapport, cliquez sur la flèche dans le coin supérieurgauche de l'élément Texte. Cliquez sur Configurer.

La page Configurer Texte s'affiche. Si vous ajoutez un nouveau texte au rapport, la page Configurer Texteapparaît dès que vous déposez l'élément Texte dans le rapport.

2 Modifiez le texte existant dans la zone modifiable Texte ou ajoutez un nouveau texte.

3 Modifiez, le cas échéant, la taille de police

La valeur par défaut est 12 points.

4 Sélectionnez l'alignement de texte : à gauche, au centre ou à droite.

5 Cliquez sur OK.

Le texte saisi apparaît dans l'élément Texte au sein de la disposition du rapport.



Configuration des éléments Tableau de requête d'un rapportPour bénéficier d'un rapport plus lisible, il est préférable d'afficher certaines requêtes sous la formed'un tableau.



1 Pour configurer un tableau déjà incorporé à un rapport, cliquez sur la flèche dans le coin supérieurgauche du tableau. Cliquez sur Configuration.

La page Configurer Tableau de requête s'affiche. Si vous ajoutez un tableau de requête au rapport, lapage Configurer Tableau de requête apparaît dès que vous déposez l'élément Tableau de requête dans lerapport.

2 Sélectionnez une requête dans la liste déroulante Requête.

3 Dans la liste déroulante Base de données, sélectionnez la base de données sur laquelle exécuter larequête.

4 Sélectionnez la taille de police utilisée pour afficher les données du tableau.


5 Cliquez sur OK.

Configuration des éléments Graphique d'un rapportPour bénéficier d'un rapport plus lisible, il est préférable d'afficher certaines requêtes sous la formed'un graphique.



1 Pour configurer un graphique déjà incorporé à un rapport, cliquez sur la flèche dans le coinsupérieur gauche du graphique. Cliquez sur Configuration.

La page Configurer Graphique de requête s'affiche. Si vous ajoutez un graphique de requête au rapport, lapage Configurer Graphique de requête apparaît dès que vous déposez l'élément Graphique de requête dans lerapport.

2 Sélectionnez une requête dans la liste déroulante Requête.

3 Indiquez si vous souhaitez afficher uniquement le graphique, la légende ou les deux.

4 Si vous avez décidé d'afficher le graphique et la légende, définissez leurs positions respectives l'unpar rapport à l'autre.

5 Sélectionnez la taille de police utilisée pour afficher la légende.




6 Sélectionnez la hauteur de l'image du graphique en pixels.

La valeur par défaut correspond à un tiers de la hauteur de page.

7 Cliquez sur OK.

Personnalisation des en-têtes et des pieds de page de rapportLes en-têtes et les pieds de page contiennent des informations relatives au rapport.L'en-tête et le pied de page comportent six emplacements fixes pouvant contenir différents champs dedonnées : trois dans l'en-tête et trois dans le pied de page.

L'en-tête contient un logo aligné à gauche et deux champs alignés à droite l'un au-dessus de l'autre.Ces champs peuvent inclure l'une des quatre valeurs suivantes :

• Rien

• Date/heure

• Numéro de page

• Nom de l'utilisateur qui exécute le rapport

Le pied de page comporte trois champs. Le premier est aligné à gauche, le deuxième est centré et letroisième est aligné à droite. Ces trois champs peuvent inclure les mêmes valeurs que celles décritesci-dessus ainsi qu'un texte personnalisé.


1 Cliquez sur Menu | Rapports | Requêtes. Sélectionnez l'onglet Rapport.

2 Sélectionnez un rapport et cliquez sur Actions | Modifier.

3 Cliquez sur En-tête et pied de page.

4 Par défaut, les rapports utilisent le paramètre système pour les en-têtes et les pieds de page. Sivous ne souhaitez pas utiliser le paramètre système par défaut, désactivez l'option Utiliser le paramètreserveur par défaut.

Pour modifier les paramètres système des en-têtes et des pieds de page, cliquez sur Menu |Configuration | Paramètres serveur, puis sélectionnez Impression et exportation et cliquez sur Modifier.

5 Pour modifier le logo, cliquez sur Modifier le logo.

a Si vous souhaitez remplacer le logo par du texte, sélectionnez Texte et entrez le texte dans lazone modifiable.

b Pour charger un nouveau logo, sélectionnez Image puis recherchez et sélectionnez l'image survotre ordinateur et cliquez sur OK.

c Pour utiliser un logo précédemment chargé, sélectionnez-le.

d Cliquez sur Enregistrer.

6 Modifiez les champs de l'en-tête et du pied de page de la façon requise, puis cliquez sur OK.

7 Cliquez sur Enregistrer pour enregistrer les modifications apportées au rapport.

Suppression d'éléments d'un rapportVous pouvez supprimer, dans un rapport, les éléments dont vous n'avez plus besoin.






3 Cliquez sur la flèche dans le coin supérieur gauche de l'élément à supprimer, puis cliquez surSupprimer.

L'élément est supprimé du rapport.

4 Pour enregistrer les modifications apportées au rapport, cliquez sur Enregistrer.

Réorganisation des éléments d'un rapportVous pouvez modifier l'ordre dans lequel les éléments apparaissent au sein d'un rapport.



2 Sélectionnez un rapport dans la liste, puis cliquez sur Actions | Modifier.

3 Pour déplacer un élément, cliquez sur sa barre de titre et faites-le glisser jusqu'à son nouvelemplacement.

Le positionnement des éléments sous l'élément déplacé change lorsque vous déplacez le curseur ausein du rapport. Des barres rouges apparaissent de part et d'autre du rapport si le curseur estplacé à un endroit non autorisé.

4 Lorsque l'élément est placé à l'endroit souhaité, déposez-le.

5 Cliquez sur Enregistrer pour enregistrer les modifications apportées au rapport.

Affichage de la sortie d'un rapportVous pouvez afficher la dernière version exécutée de chaque rapport.

A chaque exécution d'un rapport, les résultats sont stockés sur le serveur et affichés dans la liste derapports.

Les résultats précédents sont effacés et ne peuvent plus être récupérés. Si vous souhaitez comparer lesrésultats générés par différentes exécutions du même rapport, il est recommandé d'archiver cesrésultats dans un emplacement quelconque.


Procédure1 Cliquez sur Menu | Rapports | Requêtes et rapports, puis sélectionnez l'onglet Rapport.

2 La liste de rapports contient une colonne Résultat de la dernière exécution. Les entrées de cette colonnesont des liens qui permettent d'extraire le PDF généré au terme de l'exécution du rapport. Cliquezsur un lien de la colonne pour extraire un rapport.

Un fichier PDF s'ouvre dans votre navigateur qui se comporte comme configuré pour ce type de fichier.



Regroupement des rapportsChaque rapport doit être affecté à un groupe.

Les rapports sont affectés à un groupe lors de leur création mais cette affectation peut être modifiéepar la suite. Les rapports sont placés dans les groupes pour réunir des rapports similaires ou pourgérer collectivement les autorisations affectées à certains rapports.


Procédure1 Cliquez sur Menu | Rapports | Requêtes et rapports, puis sélectionnez l'onglet Rapport.


3 Cliquez sur Nom, description et groupe.

4 Sélectionnez un groupe dans la liste déroulante Groupe de rapports et cliquez sur OK.

5 Cliquez sur Enregistrer pour enregistrer les éventuelles modifications apportées au rapport.

Lorsque vous sélectionnez le groupe de votre choix dans la liste Groupes dans le volet gauche de lafenêtre des rapports, le rapport apparaît dans la liste de rapports.

Exécution de rapportsLes rapports doivent être exécutés avant de pouvoir examiner les résultats.Vous pouvez exécuter des rapports à partir de trois emplacements différents d'ePolicy Orchestrator :

• Dans la liste des rapports

• A partir d'une tâche serveur

• Dans la page Disposition du rapport lors de la création d'un rapport ou de la modification d'un rapportexistant

Cette section décrit l'exécution de rapports à partir de la liste de rapports.



2 Sélectionnez un rapport dans la liste des rapports, puis cliquez sur Actions | Exécuter.

Au terme de l'exécution du rapport, le PDF généré est envoyé à votre navigateur. Selon lesparamètres de votre navigateur, il sera affiché ou téléchargé.

L'exécution de certains rapports peut prendre un certain temps. Il est possible que plusieurs rapportssoient en cours d'exécution simultanément, mais vous ne pouvez exécuter qu'un rapport à la fois vial'interface. Au terme de l'exécution du rapport, la colonne Résultat de la dernière exécution de la liste desrapports est mise à jour avec un lien vers le PDF contenant ces résultats.

Exécution d'un rapport suivant une planificationCréez une tâche serveur pour exécuter un rapport automatiquement.

Si vous souhaitez exécuter un rapport sans intervention manuelle, une tâche serveur constitue lameilleure approche. La procédure ci-dessous permet de créer une tâche serveur destinée à l'exécutionautomatique et planifiée d'un rapport donné.





a Dans la page Requêtes et rapports, sélectionnez un rapport.

b Sélectionnez Actions | Planification.

2 Saisissez le nom et la description de la tâche, affectez-lui un état de planification, puis cliquez surSuivant.

Si vous souhaitez que la tâche s'exécute automatiquement, sélectionnez la valeur Activé pour l'Etat deplanification.

3 Dans le menu déroulant Actions, sélectionnez Exécuter le rapport. Sélectionnez le rapport à exécuter etla langue cible, puis cliquez sur Suivant.

4 Sélectionnez un type de planification (la fréquence), la date et l'heure d'exécution du rapport, puiscliquez sur Suivant.

Les informations de planification ne sont utilisées que si vous activez l'Etat de planification.

5 Cliquez sur Enregistrer pour enregistrer la tâche serveur.

La nouvelle tâche apparaît désormais dans la liste Tâches serveur.

Exportation et importation de rapportsLes rapports contiennent des informations structurées. Vous pouvez donc les exporter et les importerd'un serveur à un autre pour assurer une plus grande cohérence des processus d'extraction desdonnées et de génération de rapports sur tous les serveurs McAfee ePO.


1 Ouvrez la page Rapports : sélectionnez Menu | Génération de rapports | Requêtes et rapports, puis sélectionnezl'onglet Rapports.




Action Etapes

Exporter unrapport

1 Sélectionnez le groupe contenant le rapport à exporter dans la liste Groupes.

2 Sélectionnez le rapport que vous souhaitez exporter, puis cliquez sur Actions |Exporter les rapports.Le serveur McAfee ePO envoie un fichier XML à votre navigateur. Par défaut, laplupart des navigateurs vous invitent à enregistrer le fichier.

Le rapport exporté contient les définitions de tous les éléments composant cerapport. Cela comprend notamment les définitions de base de données externe, lesrequêtes et les graphiques.

Importer unrapport

1 Sur la page Rapport, cliquez sur Importer des rapports.

2 Cliquez sur Parcourir pour sélectionner le fichier XML contenant le rapport àimporter.

3 Sélectionnez un groupe existant pour le rapport ou créez-en un nouveau.

• Nouveau : attribuez un nom au groupe et spécifiez s'il s'agit d'un groupe publicou privé.

• Existant : sélectionnez le groupe auquel appartiendra le rapport importé.

4 Cliquez sur OK.

5 Cliquez sur Importer pour finaliser l'importation.

Le rapport récemment importé hérite des autorisations du groupe dans lequel il aété importé.

Configuration du modèle et de l'emplacement des rapportsexportésVous pouvez définir l'apparence et l'emplacement de stockage des tableaux et des tableaux de bordque vous exportez sous la forme de documents.En utilisant le paramètre serveur Impression et exportation, vous pouvez configurer :

• En-têtes et pieds de page, y compris un logo personnalisé, le nom, la numérotation des pages, etc.

• Format et orientation de la page à l'impression

• Répertoire dans lequel stocker les tableaux et tableaux de bord exportés


1 Cliquez sur Menu | Configuration | Paramètres serveur, puis sélectionnez Impression et exportation dans la listeCatégories de paramètres.

2 Cliquez sur Modifier. La page Impression et exportation : Modifier s'affiche.

3 Dans la section En-têtes et pieds de page pour les documents exportés, cliquez sur Modifier le logo pour afficher lapage Modifier le logo.

a Dans Texte, indiquez le texte à afficher dans l'en-tête du document, ou effectuez l'une desopérations suivantes :

• Sélectionnez Image et recherchez le fichier image, par exemple le logo de votre entreprise.

• Sélectionnez le logo McAfee, par défaut.

b Cliquez sur OK pour revenir à la page Impression et exportation : Modifier.



4 Dans les listes déroulantes, sélectionnez les métadonnées de votre choix à afficher dans l'en-tête etle pied de page.

5 Indiquez le Format de la page et l'Orientation de la page.

6 Entrez un nouvel emplacement ou acceptez l'emplacement par défaut dans lequel les documentsexportés seront enregistrés.


Suppression de rapportsVous pouvez supprimer des rapports qui ne sont plus utilisés.

Avant de commencerPour supprimer un rapport, vous devez disposer d'autorisations de modification sur cedernier.



2 Sélectionnez un ou plusieurs rapports à supprimer de la liste de rapports.

3 Cliquez sur Actions | Supprimer. Si vous êtes certain de vouloir effectuer l'opération, cliquez sur Oui.

Les rapports sont supprimés. Toutes les tâches serveur se rapportant à des rapports supprimés nesont plus valides.



22 Evénements et réponses

Configurez votre serveur McAfee ePO pour déclencher une action en réponse à des événements demenace, de client ou de serveur.

Sommaire Utilisation des réponses automatiques Limitation, agrégation et regroupement Règles par défaut Planification des réponses Configuration initiale des réponses Définition des modalités de transmission des événements Configuration de la fonction Réponses automatiques Définition des événements à transmettre au serveur Sélectionnez un intervalle pour les événements de notification Création et modification des règles de réponse automatique Questions sur les événements et les réponses

Utilisation des réponses automatiquesL'ensemble complet des types d'événements pour lesquels vous pouvez configurer une réponseautomatique dépend des logiciels que vous gérez avec votre serveur McAfee ePO.

Par défaut, la réponse peut comprendre les actions suivantes :

• Création de problèmes • Exécution de commandes système

• Exécution de tâches serveur • Envoi d'e-mails

• Exécution de commandes externes • Envoi d'interruptions SNMP

22


Cette fonctionnalité est très souple en termes de configuration et offre de nombreuses possibilitésquant à la définition des catégories d'événements générant un message de notification ou quant à lafréquence d'envoi de ces messages.

Les réponses sont conçues pour créer des notifications et des actions spécifiées par l'utilisateur dèsque les conditions définies par une règle sont remplies. Voici quelques-unes des conditions pouvantêtre précisées :

• La détection de menaces par votre logiciel antivirus. Même si la fonctionnalité prend en charge ungrand nombre de logiciels antivirus, les événements générés par VirusScan Enterprise indiquentl'adresse IP de l'attaquant source de sorte que vous pouvez isoler le système responsable de lacontamination de votre environnement.

• Epidémies virales. Par exemple, 1 000 événements de détection de virus peuvent être reçus enl'espace de cinq minutes.

• Conformité de haut niveau pour les événements du serveur McAfee ePO, par exemple, l'échecd'une mise à jour de référentiel ou dune tâche de réplication.

Limitation, agrégation et regroupementVous pouvez configurer le moment auquel sont envoyés les messages de notification en définissantdes seuils basés sur l’agrégation, la limitation et le regroupement.

Agrégation

Utilisez l'agrégation pour déterminer les seuils s'appliquant aux événements à partir desquels la règledoit envoyer un message de notification. Par exemple, vous pouvez configurer la même règle pourenvoyer un message de notification lorsque le serveur reçoit 1 000 événements de détection de virusprovenant de divers systèmes en une heure ou chaque fois qu'il a reçu 100 événements de détectionde virus provenant de n'importe quel système.

Limitation

Dès que vous avez configuré la règle destinée à vous avertir d'une attaque probable, vous pouvezrecourir à la limitation pour éviter d'être bombardé par un nombre excessif de messages denotification. Si vous administrez un réseau de grande taille, il est possible que des dizaines de milliersd'événements soient générés en une heure, se traduisant par l'envoi de milliers de messages denotification basés sur une seule règle. La fonctionnalité de réponse permet donc de limiter le nombrede messages de notification engendrés par une même règle. Dès lors, vous pouvez par exempleconfigurer cette dernière de façon à ne jamais recevoir plus d'un message de notification par heure.

Regroupement

Vous pouvez utiliser la fonctionnalité de regroupement pour combiner plusieurs événements agrégés.Par exemple, des événements de même gravité peuvent être combinés dans un groupe unique. Grâceà la fonctionnalité de regroupement, l'administrateur peut entreprendre des actions au même momentsur tous les événements d'un niveau de gravité égal ou supérieur à un certain seuil. Il peut égalementdéfinir des niveaux de priorités pour les événements générés par les systèmes managés ou lesserveurs.

22 Evénements et réponsesLimitation, agrégation et regroupement


Règles par défautVous pouvez activer les règles ePolicy Orchestrator par défaut et les utiliser telles quelles, le temps devous familiariser avec les nombreuses possibilités offertes par la fonctionnalité.

Avant d'activer l'une des règles par défaut :

• Spécifiez le serveur de messagerie (cliquez sur Menu | Configuration | Paramètres serveur) à partir duquelles messages de notification doivent être envoyés.

• Assurez-vous que l'adresse e-mail du destinataire est bien celle censée recevoir les messages.Cette adresse est configurée dans la page Actions de l'assistant.

Tableau 22-1 Règles de notification par défaut

Nom de la règle Evénements associés Configuration




Logiciels malveillants(malwares) détectés

Tout événement reçu deproduits inconnus

Envoie un message de notification :• si le nombre d'événements générés en une

heure est au moins égal à 1 000 ;

• une fois toutes les deux heures au plus ;

• avec l'adresse IP du système source, les nomseffectifs des menaces et les noms des produitseffectifs concernés, si ces données sontdisponibles, ainsi que de nombreux autresparamètres ;

• lorsque le nombre de valeurs distinctessélectionnées est de 500.

Echec de la mise àjour ou de laréplication duréférentiel maître

Echec de la mise à jourou de la réplication duréférentiel maître


Ordinateur nonconforme détecté

Evénements Ordinateurnon conforme détecté

Envoie un message de notification lors de laréception d'événements envoyés par la tâcheserveur Générer un événement de conformité.

Planification des réponsesAvant de créer les règles d'envoi des notifications, il est utile de planifier certains éléments.

Vérifiez que vous disposez d'un plan d'action pour les éléments suivants.

• Le type et le groupe d'événements (produit et serveur) déclenchant l'envoi de messages denotification dans votre environnement.

• Les destinataires des notifications. Il n'est probablement pas utile, par exemple, d'avertirl'administrateur du groupe B de l'échec d'une réplication dans le groupe A. En revanche, il estpossible que vous souhaitiez informer tous les administrateurs de la détection d'un fichier infectédans le groupe A.

• Les types et les niveaux de seuils à configurer pour chaque règle. Il peut être superflu d'être avertipar e-mail de chaque détection d'un fichier infecté pendant une attaque. Par contre, vous pouvezchoisir de recevoir ce type de message toutes les cinq minutes au plus, indépendamment de lafréquence de réception de l'événement au niveau du serveur.

Evénements et réponsesRègles par défaut 22


• Les commandes ou fichiers exécutables enregistrés à exécuter lorsque les conditions d'une règlesont remplies.

• Les tâches serveur à exécuter lorsque les conditions d'une règle sont remplies.

Configuration initiale des réponsesSuivez les étapes générales décrites ci-dessous lorsque vous configurez des événements et desréponses automatiques pour la première fois.

Lorsque vous créez pour la première fois une règle de réponse automatique :

1 Familiarisez-vous avec la fonction Réponses automatiques et son interaction avec l'arborescencedes systèmes et le réseau.

2 Planifiez la mise en œuvre. Déterminez les utilisateurs qui doivent être informés de la survenued'événements donnés.

3 Préparez les composants et les autorisations utilisés par les réponses automatiques :

• Autorisations relatives aux réponses automatiques — Créez ou modifiez les ensemblesd'autorisations pertinents, et affectez-les aux utilisateurs McAfee ePO appropriés.

• Serveur de messagerie — Configurez le serveur de messagerie (SMTP) dans Paramètres serveur.

• Liste de contacts de messagerie — Indiquez la liste d'où sont extraits les destinataires desmessages de notification dans Contacts.

• Fichiers exécutables enregistrés — Etablissez une liste de fichiers exécutables enregistrés àexécuter lorsque les conditions d'une règle sont remplies.

• Tâches serveur — Créez des tâches serveur qui seront utilisées comme actions à exécuter enrésultat d'une règle de réponse.

• Serveurs SNMP — Spécifiez une liste de serveurs SNMP à utiliser lors de la création des règles.Vous pouvez configurer les règles pour l'envoi d'interruptions SNMP aux serveurs SNMP lorsqueles conditions d'envoi d'un message de notification sont satisfaites.

Définition des modalités de transmission des événementsDéfinissez quand les événements sont transmis et quels événements sont immédiatement transmis.

Le serveur reçoit les notifications d'événements envoyées des agents. Vous pouvez configurer lesstratégies de McAfee Agent de sorte que les événements soient immédiatement transmis au serveurou uniquement lors des intervalles de communication agent-serveur.

Si vous optez pour l'envoi immédiat des événements (option par défaut), McAfee Agent transmet tousles événements dès leur réception.

L'intervalle par défaut pour le traitement des notifications d'événements est d'une minute. Parconséquent, il peut y avoir un délai avant que les événements ne soient traités. Vous pouvez modifier lavaleur par défaut de l'intervalle dans les paramètres serveur des notifications d'événements (Menu |Configuration | Serveur).

Si vous ne souhaitez pas que tous les événements soient envoyés immédiatement, McAfee Agent netransmet sans délai que les événements désignés comme prioritaires par le produit à l'origine deceux-ci. Tous les autres événements sont uniquement expédiés lors de la communicationagent-serveur.

22 Evénements et réponsesConfiguration initiale des réponses


Procédures• Définition des événements à transmettre immédiatement, page 295

Définissez les événements à transmettre immédiatement ou uniquement lors de lacommunication agent-serveur.

• Définition des événements à transmettre, page 295Utilisez la page Paramètres serveur pour définir les événements à transmettre au serveur.

Définition des événements à transmettre immédiatementDéfinissez les événements à transmettre immédiatement ou uniquement lors de la communicationagent-serveur.

Si la stratégie attribuée actuellement n'est pas configurée pour la transmission immédiate desévénements, modifiez-la ou créez une nouvelle stratégie McAfee Agent. Vous pouvez configurer ceparamètre dans la page Journal des événements de menace.


Procédure1 Cliquez sur Menu | Stratégie | Catalogue de stratégies. Ensuite, sélectionnez McAfee Agent comme Produit et

Général comme Catégorie.

2 Cliquez sur une stratégie d'agent existante.

3 Dans l'onglet Evénements, sélectionnez Activer la transmission des événements prioritaires.

4 Sélectionnez le niveau de gravité.

Les événements correspondant à ce niveau de gravité (ou à un niveau supérieur) sontimmédiatement transmis au serveur.

5 Pour contrôler la fréquence d'envoi, définissez un Intervalle entre les chargements (exprimé en minutes).

6 Pour contrôler le volume des envois, indiquez un Nombre maximal d'événements par chargement.


Définition des événements à transmettreUtilisez la page Paramètres serveur pour définir les événements à transmettre au serveur.


Procédure1 Cliquez sur Menu | Configuration | Paramètres serveur, sélectionnez Filtrage des événements, puis cliquez sur

Modifier.

2 Sélectionnez les événements, puis cliquez sur Enregistrer.

Ces paramètres ne sont appliqués qu'une fois que tous les agents ont établi une communication.

Configuration de la fonction Réponses automatiquesConfigurez les ressources nécessaires pour exploiter pleinement la fonction Réponses automatiques.

Evénements et réponsesConfiguration de la fonction Réponses automatiques 22


Procédures• Affectation d'ensembles d'autorisations pour les notifications, page 296

Ces autorisations permettent aux utilisateurs de consulter, de créer et de modifier desfichiers exécutables enregistrés.

• Affectation d'autorisations pour la fonction Réponses automatiques, page 297Ces autorisations permettent aux utilisateurs de créer des règles de réponse pour différentstypes d'événements et groupes.

• Gestion des serveurs SNMP, page 297Vous pouvez configurer des réponses pour l'utilisation de votre serveur SNMP (SimpleNetwork Management Protocol).

• Gestion des fichiers exécutables enregistrés et des commandes externes, page 299Les fichiers exécutables que vous configurez sont exécutés lorsque les conditions d'unerègle sont remplies. Les réponses automatiques déclenchent l'exécution des commandesdes fichiers exécutables enregistrés.

Affectation d'ensembles d'autorisations pour les notificationsCes autorisations permettent aux utilisateurs de consulter, de créer et de modifier des fichiersexécutables enregistrés.


Procédure1 Cliquez sur Menu | Gestion des utilisateurs | Ensembles d'autorisations, puis créez un ensemble d'autorisations

ou sélectionnez-en un.

2 En regard de Notifications d'événements, cliquez sur Modifier.

3 Sélectionnez l'autorisation requise sur les notifications de votre choix :

• Aucune autorisation

• Afficher des fichiers exécutables enregistrés

• Créer et modifier des fichiers exécutables enregistrés

• Afficher les règles et notifications de l'ensemble de l'arborescence des systèmes (remplace les autorisations d'accès auniveau des groupes de l'arborescence des systèmes)


5 Si vous avez créé un ensemble d'autorisations, cliquez sur Menu | Gestion des utilisateurs | Utilisateurs.

6 Sélectionnez un utilisateur auquel vous souhaitez affecter ce nouvel ensemble d'autorisations, puiscliquez sur Modifier.

7 En regard d'Ensembles d'autorisations, activez la case à cocher correspondant à l'ensembled'autorisations défini avec les autorisations de notification de votre choix, puis cliquez sur Enregistrer.

22 Evénements et réponsesConfiguration de la fonction Réponses automatiques


Affectation d'autorisations pour la fonction RéponsesautomatiquesCes autorisations permettent aux utilisateurs de créer des règles de réponse pour différents typesd'événements et groupes.

Les utilisateurs doivent disposer d'autorisations pour que les fonctionnalités suivantes créent une règlede réponse.

• Journal des événements de menace

• Arborescence des systèmes

• Tâches serveur

• Systèmes détectés


Procédure1 Cliquez sur Menu | Gestion des utilisateurs | Ensembles d'autorisations, puis créez un ensemble d'autorisations

ou sélectionnez-en un.

2 En regard de Réponse automatique, cliquez sur Modifier.

3 Sélectionnez une autorisation pour la fonction de réponse automatique :• Aucune autorisation

• Afficher les réponses, afficher les résultats des réponses dans le journal des tâches serveur

• Créer, modifier, afficher et annuler les réponses, afficher les résultats des réponses dans le journal des tâches serveur


5 Si vous avez créé un ensemble d'autorisations, cliquez sur Menu | Gestion des utilisateurs | Utilisateurs.

6 Sélectionnez un utilisateur auquel vous souhaitez affecter ce nouvel ensemble d'autorisations, puiscliquez sur Modifier.

7 En regard d'Ensembles d'autorisations, activez la case à cocher correspondant à l'ensembled'autorisations défini avec les autorisations de réponse automatique de votre choix, puis cliquez surEnregistrer.

Gestion des serveurs SNMPVous pouvez configurer des réponses pour l'utilisation de votre serveur SNMP (Simple NetworkManagement Protocol).

Vous pouvez configurer la fonction de réponse afin d'envoyer des interruptions SNMP à votre serveurSNMP. Vous pourrez ainsi recevoir des interruptions SNMP à l'emplacement même où vous utilisezvotre application de gestion réseau afin de visualiser des informations détaillées sur les systèmes devotre environnement.

Aucune autre configuration préalable n'est nécessaire, et aucun service ne doit être démarré.

Procédures• Modification de serveurs SNMP, page 298

Modifier les entrées de serveur SNMP existantes.

• Suppression d'un serveur SNMP, page 298Supprimez un serveur SNMP de la liste Serveurs enregistrés.



Modification de serveurs SNMPModifier les entrées de serveur SNMP existantes.Pour consulter la définition des options, cliquez sur ? dans l'interface.

Procédure1 Cliquez sur Menu | Configuration | Serveurs enregistrés.

2 Dans la liste des serveurs enregistrés, sélectionnez un serveur SNMP, puis cliquez sur Actions |Modifier.

3 Modifiez les données du serveur comme il convient, puis cliquez sur Enregistrer.

Suppression d'un serveur SNMPSupprimez un serveur SNMP de la liste Serveurs enregistrés.Pour consulter la définition des options, cliquez sur ? dans l'interface.

Procédure1 Cliquez sur Menu | Configuration | Serveurs enregistrés.

2 Dans la liste des serveurs enregistrés, sélectionnez un serveur SNMP, puis cliquez sur Actions |Supprimer.

3 A l'invite, cliquez sur Oui.

Ce serveur SNMP n'apparaît alors plus dans la liste Serveurs enregistrés.

Importation de fichiers .MIBImportez des fichiers .MIB avant de définir des règles d'envoi pour les messages de notification versun serveur SNMP par le biais d'une interruption SNMP.Vous devez importer trois fichiers .mib à partir de \Program Files\McAfee\ePolicy Orchestrator\MIB. Ces fichiers doivent être importés dans l'ordre suivant :

1 NAI-MIB.mib

2 TVD-MIB.mib

3 EPO-MIB.mib

Ils permettent au programme de gestion réseau de décoder les données contenues dans lesinterruptions SNMP en texte compréhensible. EPO-MIB.mib utilise les deux autres fichiers pour définirles interruptions suivantes :

• epoThreatEvent : cette interruption est envoyée lorsqu'une réponse automatique à un événementde menace McAfee ePO est déclenchée. Elle contient des variables qui correspondent auxpropriétés de l'événement de menace.

• epoStatusEvent : cette interruption est envoyée lorsqu'une réponse automatique à un événementd'état McAfee ePO est déclenchée. Elle contient des variables qui correspondent aux propriétés del'événement d'état (serveur).

• epoClientStatusEvent : cette interruption est envoyée lorsqu'une réponse automatique à unévénement d'état client McAfee ePO est déclenchée. Elle contient des variables qui correspondentaux propriétés de l'événement d'état client.

• epoTestEvent : cette interruption test est envoyée lorsque vous cliquez sur Envoyer l'interruption de testdans les pages Nouveau serveur SNMP ou Modifier le serveur SNMP.

Pour des instructions sur l'importation et la mise en œuvre des fichiers .mib, consultez ladocumentation produit de votre programme de gestion réseau.

22 Evénements et réponsesConfiguration de la fonction Réponses automatiques


Gestion des fichiers exécutables enregistrés et des commandesexternesLes fichiers exécutables que vous configurez sont exécutés lorsque les conditions d'une règle sontremplies. Les réponses automatiques déclenchent l'exécution des commandes des fichiers exécutablesenregistrés.

Vous pouvez exécuter des commandes de fichiers exécutables enregistrés uniquement sur desapplications de console.


Procédure1 Cliquez sur Menu | Configuration | Fichiers exécutables enregistrés.


Action Etapes

Ajouter un fichierexécutableenregistré

1 Cliquez sur Actions | Fichier exécutable enregistré.

2 Entrez un nom pour le fichier exécutable enregistré.

3 Saisissez le chemin d'accès et sélectionnez le fichier exécutable enregistréque la règle doit exécuter lorsqu'elle est déclenchée.

4 Le cas échéant, modifiez les informations d'identification de l'utilisateur.

5 Testez le fichier exécutable et vérifiez son bon fonctionnement dans le Journald'audit.


Le nouveau fichier exécutable enregistré apparaît dans la liste Fichiers exécutablesenregistrés.

Modifier unfichier exécutableenregistré

1 Recherchez le fichier exécutable enregistré à modifier dans la page Fichierexécutable enregistré, puis cliquez sur Modifier.

2 Modifiez les informations comme il convient, puis cliquez sur Enregistrer.

Dupliquer unfichier exécutableenregistré

1 Recherchez le fichier exécutable enregistré à dupliquer dans la page Fichierexécutable enregistré, puis cliquez sur Dupliquer.

2 Saisissez le nom du fichier exécutable enregistré, puis cliquez sur OK.

Le fichier exécutable enregistré dupliqué apparaît dans la liste Fichiers exécutablesenregistrés.

Supprimer unfichier exécutableenregistré

1 Recherchez le fichier exécutable enregistré à supprimer dans la page Fichierexécutable enregistré, puis cliquez sur Supprimer.


Le fichier exécutable enregistré supprimé n'apparaît plus dans la liste Fichiersexécutables enregistrés.



Définition des événements à transmettre au serveurVous pouvez déterminer les événements à transmettre au serveur à l'aide des paramètres serveur etdu filtrage des événements.

Avant de commencer

Ces paramètres influenceront la bande passante utilisée dans votre environnement ainsique les résultats des requêtes basées sur les événements.


1 Cliquez sur Menu | Configuration | Paramètres serveur, sélectionnez Filtrage des événements, puis cliquez surModifier au bas de la page. La page Filtrage des événements : Modifier s'affiche.

2 Sélectionnez les événements que l'agent doit transmettre au serveur, puis cliquez sur Enregistrer.

Les modifications apportées à ces paramètres sont mises en vigueur après que tous les agents ontcommuniqué avec le serveur McAfee ePO.

Sélectionnez un intervalle pour les événements de notification Ce paramètre détermine la fréquence à laquelle les événements de notification ePO sont envoyés ausystème de réponse automatique.

Il existe trois types d'événements de notification :

• Evénements de client — Evénements qui se produisent sur des systèmes managés. Par exemple,Réussite de la mise à jour du produit.

• Evénements de menace — Evénements indiquant qu'une menace potentielle a été détectée. Parexemple, Virus détecté.

• Evénements de serveur — Evénements qui se produisent sur le serveur. Par exemple, Echec del'extraction du référentiel.

Une réponse automatique peut uniquement être déclenchée lorsque le système de réponseautomatique reçoit une notification. McAfee recommande de spécifier un intervalle relativement courtpour l'envoi de ces événements de notification. McAfee conseille d'opter pour un intervalle d'évaluationsuffisamment court pour garantir que le système de réponses automatiques puisse répondre à unévénement assez rapidement, mais suffisamment long pour éviter une consommation excessive de labande passante.


Procédure1 Cliquez sur Menu | Configuration | Paramètres serveur, sélectionnez Notifications d'événements dans les Catégories

de paramètres, puis cliquez sur Modifier.

2 Indiquez une valeur comprise entre 1 et 9 999 minutes pour l'Intervalle d'évaluation (1 minute pardéfaut), puis cliquez sur Enregistrer.

22 Evénements et réponsesDéfinition des événements à transmettre au serveur


Création et modification des règles de réponse automatiquePermet de définir quand et comment une réponse peut être entreprise pour un événement survenantsur le serveur ou sur un système managé.

Les règles de réponse automatique ne sont pas organisées suivant un ordre de dépendance.

Procédures• Description d'une règle, page 301

Lorsque vous créez une nouvelle règle, vous pouvez ajouter une description, spécifier lalangue, préciser le type d'événement et le groupe qui déclenchent la réponse, et activer oudésactiver la règle.

• Définition de filtres pour la règle, page 301Définissez des filtres pour la règle de réponse dans la page Filtres de l'assistant Générateur deréponses.

• Définition de seuils pour les règles, page 302Vous pouvez définir, dans la page Agrégation de l'assistant Générateur de réponses, le moment oùla règle est déclenchée par l'événement.

• Configuration de l'action déclenchée par les règles de réponse automatique, page 302Vous pouvez configurer les réponses déclenchées par la règle dans la page Réponses del'assistant Générateur de réponses.

Description d'une règleLorsque vous créez une nouvelle règle, vous pouvez ajouter une description, spécifier la langue,préciser le type d'événement et le groupe qui déclenchent la réponse, et activer ou désactiver la règle.


Procédure1 Cliquez sur Menu | Automatisation | Réponses automatiques, puis cliquez sur Actions | Nouvelle réponse ou sur

Modifier en regard d'une règle existante.

2 Dans la page Description, entrez un nom unique et des commentaires pour la règle.

Les noms de règle doivent être uniques sur chaque serveur. Si, par exemple, un utilisateur crée unerègle nommée Alerte d'urgence, aucun autre utilisateur (y compris les administrateurs) ne peutcréer une règle du même nom.

3 Sélectionnez la langue utilisée par la règle dans le menu Langue.

4 Sélectionnez le Groupe d'événements et le Type d'événement qui déclenche cette réponse.

5 Sélectionnez si la règle est Activée ou Désactivée à côté de l'Etat.


Définition de filtres pour la règleDéfinissez des filtres pour la règle de réponse dans la page Filtres de l'assistant Générateur de réponses.


Evénements et réponsesCréation et modification des règles de réponse automatique 22


Procédure1 Dans la liste Propriétés disponibles, sélectionnez la propriété et spécifiez la valeur à utiliser pour filtrer

les résultats de la réponse.

Les propriétés disponibles varient selon le type et le groupe d'événements sélectionnés dans la pageDescription de l'assistant.


Définition de seuils pour les règlesVous pouvez définir, dans la page Agrégation de l'assistant Générateur de réponses, le moment où la règle estdéclenchée par l'événement.Les seuils d'une règle correspondent à un ensemble de paramètres d'agrégation, de limitation et deregroupement.


Procédure1 Dans la section Agrégation, choisissez si vous souhaitez Déclencher cette réponse pour chaque événement ou

Déclencher cette réponse si plusieurs événements se produisent en l'espace de la période définie. Si vous optez pourcette dernière solution, définissez le délai en minutes, heures ou jours.

2 Si vous avez sélectionné Déclencher cette réponse si plusieurs événements se produisent en l'espace de, vouspouvez également choisir de déclencher une réponse lorsque les conditions spécifiées sontremplies. Toute combinaison des conditions est autorisée :

• Lorsque le nombre de valeurs distinctes pour une propriété d'événement est au moins égal à une valeur donnée. Cettecondition est utilisée lorsqu'une valeur distincte d'occurrences d'une propriété d'événement estsélectionnée.

• Lorsque le nombre d'événements est au moins égal à. Entrez un nombre d'événements.

Vous pouvez sélectionner une seule option ou les deux. Vous pouvez, par exemple, configurer larègle afin de déclencher une réponse si les valeurs distinctes du nombre d'occurrences de lapropriété d'événement sélectionnée dépassent 300 ou si le nombre d'événements dépasse 3 000, lepremier des deux seuils dépassé déclenchant la réponse.

3 En regard de Regroupement, choisissez si vous souhaitez regrouper les événements agrégés. Si vouschoisissez de les regrouper, spécifiez la propriété d'événement sur laquelle le regroupement porte.

4 Le cas échéant, en regard de Limitation, sélectionnez Au plus, déclencher cette réponse tou(te)s les etdéfinissez le délai d'attente avant que cette règle puisse à nouveau envoyer des messages denotification.

Ce délai peut être défini en minutes, en heures ou en jours.


Configuration de l'action déclenchée par les règles de réponseautomatiqueVous pouvez configurer les réponses déclenchées par la règle dans la page Réponses de l'assistantGénérateur de réponses.Vous pouvez configurer la règle pour qu'elle déclenche plusieurs actions en utilisant les boutons + et -situés en regard de la liste déroulante des types de notification.


22 Evénements et réponsesCréation et modification des règles de réponse automatique


Procédure1 Pour envoyer le message de notification par e-mail ou pager, sélectionnez Envoyer un e-mail dans la

liste déroulante.

a En regard de Destinataires, cliquez sur ... pour sélectionner les destinataires du message. La listedes destinataires disponibles correspond à vos contacts (Menu | Gestion des utilisateurs | Contacts).Vous pouvez également entrer les adresses e-mail séparées par des virgules.

b Sélectionnez l'importance du message de notification.

c Entrez l'Objet du message. Facultativement, vous pouvez insérer directement dans la ligned'objet une ou plusieurs des variables disponibles.

d Tapez le texte constituant le Corps de votre message. Facultativement, vous pouvez insérerdirectement dans le corps du message une ou plusieurs des variables disponibles.

e Cliquez sur Suivant lorsque vous avez terminé ou cliquez sur + pour ajouter une autre notification.

2 Si vous souhaitez que votre message de notification soit envoyé sous forme d'interruption SNMP,sélectionnez Envoyer l'interruption SNMP dans la liste déroulante.

a Sélectionnez un serveur SNMP dans la liste déroulante.

b Sélectionnez le type de valeur à envoyer dans l'interruption SNMP.

• Valeur

• Nombre de valeurs distinctes

• Liste de valeurs distinctes

• Liste de toutes les valeurs

Certains événements ne fournissent pas ce genre d'informations. Si une de vos sélections n'yfigure pas, cela signifie que l'information n'est pas disponible dans le fichier de l'événement.

c Cliquez sur Suivant lorsque vous avez terminé ou cliquez sur + pour ajouter une autre notification.

3 Si vous souhaitez que la notification consiste en l'exécution d'une commande externe, sélectionnezExécuter la commande externe dans la liste déroulante.

a Sélectionnez les Fichiers exécutables enregistrés et entrez les Arguments de la commande.

b Cliquez sur Suivant lorsque vous avez terminé ou cliquez sur + pour ajouter une autre notification.

4 Si vous souhaitez que la notification consiste en la création d'un problème, sélectionnez Créer unproblème dans la liste déroulante.

a Sélectionnez le type de problème que vous voulez créer.

b Entrez un nom unique, ainsi que des commentaires éventuels, pour le problème.Facultativement, vous pouvez insérer directement dans le nom et la description une ou plusieursdes variables disponibles.

c Dans les listes déroulantes respectives, sélectionnez l'Etat, la Priorité, la Gravité et la Résolution duproblème.

d Entrez le nom de l'utilisateur affecté dans la zone de texte.

e Cliquez sur Suivant lorsque vous avez terminé ou cliquez sur + pour ajouter une autre notification.

Evénements et réponsesCréation et modification des règles de réponse automatique 22


5 Si vous souhaitez que la notification entraîne l'exécution d'une tâche planifiée, sélectionnez Exécuterla tâche serveur dans la liste déroulante.

a Sélectionnez la tâche à exécuter dans la liste déroulante Tâche à exécuter.

b Cliquez sur Suivant lorsque vous avez terminé ou cliquez sur + pour ajouter une autre notification.

6 Vérifiez les informations indiquées sur la page Synthèse, puis cliquez sur Enregistrer.

La nouvelle réponse apparaît dans la liste Réponses.

Questions sur les événements et les réponses

Si je définis une règle de réponse pour les détections de virus, est-il obligatoire derecevoir un message de notification pour chaque événement émis lors d'uneattaque ?

Non. Vous pouvez configurer les règles pour qu'une notification ne soit envoyée qu'une seule fois, surla base d'un nombre d'événements spécifié dans un délai défini, ou pour qu'elle soit envoyée uneseule et unique fois au cours d'une période spécifiée.

Puis-je créer une règle qui génère des notifications adressées à plusieursdestinataires ?

Oui. Vous pouvez indiquer plusieurs adresses e-mail de destination dans l'Assistant Générateur deréponses.

Puis-je créer une règle qui génère plusieurs types de notifications ?

Oui. ePolicy Orchestrator Les notifications prennent en charge, pour chaque règle, n'importe quellecombinaison des cibles de notification suivantes :

• Message électronique (y compris SMTP standard, SMS et pager texte)

• Serveurs SNMP (interruptions SNMP)

• N'importe quel outil externe installé sur le serveur McAfee ePO

• Problèmes

• Tâches serveur planifiées

22 Evénements et réponsesQuestions sur les événements et les réponses


23 Problèmes

Les problèmes sont des éléments d'action qui peuvent être hiérarchisés, attribués et suivis.

Sommaire Description et fonctionnement des problèmes Utilisation des problèmes Purge des problèmes fermés

Description et fonctionnement des problèmesLes modalités de la gestion des problèmes sont définies par les utilisateurs disposant des autorisationsadéquates et les extensions des produits managés installées.

Le statut, la priorité, la gravité, la résolution, l'utilisateur affecté et la date limite sont autant d'optionsdéfinies par l'utilisateur et modifiables à n'importe quel moment. Vous pouvez également spécifier desréponses par défaut aux problèmes dans la page Réponses automatiques. Ces réponses par défaut sontautomatiquement appliquées lors de la création d'un problème, en fonction d'une réponse configuréepar l'utilisateur. Les réponses permettent également de regrouper plusieurs événements en un seulproblème afin d'éviter de surcharger le serveur McAfee ePO par un nombre excessif de problèmes.

Il est possible de supprimer manuellement les problèmes, de purger manuellement les problèmesfermés en fonction de leur ancienneté et de les purger automatiquement en recourant à une tâcheserveur configurée par l'utilisateur.

Utilisation des problèmesVous pouvez créer, affecter, modifier, supprimer et purger des problèmes ou encore en afficher lesdétails.

Procédures• Création manuelle de problèmes de base, page 306

Les problèmes de base peuvent être créés manuellement. Les autres doivent être créésautomatiquement.

• Configuration des réponses pour déclencher la création automatique de problèmes,page 307Vous pouvez utiliser les réponses pour créer automatiquement des problèmes lorsquecertains événements se produisent.

• Gestion des problèmes, page 307Vous pouvez ajouter des commentaires aux problèmes, affecter, supprimer et modifier lesproblèmes ou encore en afficher les détails.

23


Création manuelle de problèmes de baseLes problèmes de base peuvent être créés manuellement. Les autres doivent être créésautomatiquement.


1 Cliquez sur Menu | Automatisation | Problèmes, puis sur Actions | Nouveau problème.

2 Dans la boîte de dialogue Nouveau problème, sélectionnez De base dans la liste déroulante Créer unproblème de type, puis cliquez sur OK.

3 Configurez le nouveau problème.

Option Procédure

Nom Spécifier un nom pertinent et compréhensible pour le problème.

Description Spécifier une description pertinente du problème.

Etat Affecter un état au problème :• Inconnu • Résolu

• Nouveau • Fermé

• Affecté

Priorité Affecter une priorité au problème :• Inconnue • Moyenne

• La plus faible • Elevée

• Faible • La plus élevée

Gravité Affecter une gravité au problème :• Inconnue • Moyenne

• La plus faible • Elevée

• Faible • La plus élevée

Résolution Affecter une résolution au problème. La résolution du problème peut être affectéeune fois le problème traité :• Néant

• Corrigé

• Ignoré

• Ne sera pas corrigé

Utilisateur affecté Indiquez le nom d'utilisateur de la personne affectée au problème ou choisissez-leen cliquant sur ....

Date limite Préciser si le problème doit avoir une date limite et, si c'est le cas, affecter unedate et une heure d'échéance du problème. Les dates limites dépassées ne sontpas autorisées.


23 ProblèmesUtilisation des problèmes


Configuration des réponses pour déclencher la créationautomatique de problèmesVous pouvez utiliser les réponses pour créer automatiquement des problèmes lorsque certainsévénements se produisent.


1 Ouvre le Générateur de réponses.

a Sélectionnez Menu | Automatisation | Réponses automatiques.

b Cliquez sur Nouvelle réponse.

2 Complétez les champs, puis cliquez sur Suivant.

3 Sélectionnez des propriétés pour limiter les événements déclenchant la réponse, puis cliquez surSuivant.

4 Fournissez ces informations supplémentaires, puis cliquez sur Suivant.• La fréquence des événements requis pour générer une réponse.

• Une méthode de regroupement des événements.

• La période maximale pendant laquelle vous souhaitez que cette réponse soit générée.

5 Sélectionnez Créer un problème dans la liste déroulante, puis sélectionnez le type de problème à créer.

Cette sélection détermine les options présentes dans cette page.

6 Entrez le nom et la description du problème. Le cas échéant, vous pouvez sélectionner une ouplusieurs variables pour le nom et la description.

Cette fonctionnalité propose une série de variables qui fournissent des informations pour résoudrele problème.

7 Entrez ou sélectionnez des options supplémentaires pour la réponse, puis cliquez sur Suivant.

8 Contrôlez les paramètres de la réponse, puis cliquez sur Enregistrer.

Gestion des problèmesVous pouvez ajouter des commentaires aux problèmes, affecter, supprimer et modifier les problèmesou encore en afficher les détails.Pour consulter la définition des options, cliquez sur ? dans l'interface.

Procédure1 Cliquez sur Menu | Automatisation | Problèmes.

2 Exécuter les tâches souhaitées.

ProblèmesUtilisation des problèmes 23


Option Définition

Ajout de commentairesaux problèmes

1 Activez la case à cocher en regard de chaque problème auquel voussouhaitez associer un commentaire, puis cliquez sur Action | Ajouter uncommentaire.

2 Dans le volet Ajouter un commentaire, entrez le commentaire à ajouter auxproblèmes sélectionnés.

3 Cliquez sur OK pour ajouter le commentaire.

Affectation desproblèmes

Activez la case à cocher en regard de chaque problème à affecter, puiscliquez sur Affecter à l'utilisateur.

Affichage des colonnesrequises dans la pageProblèmes

Cliquez sur Actions | Choisir les colonnes. Sélectionnez les colonnes dedonnées à afficher dans la page Problèmes.

Suppression desproblèmes

1 Activez la case à cocher en regard de chaque problème à supprimer,puis cliquez sur Supprimer.

2 Cliquez sur OK dans le volet Action pour supprimer les problèmessélectionnés.

Modification desproblèmes

1 Activez la case à cocher en regard d'un problème, puis cliquez surModifier.

2 Modifiez le problème comme il convient.


Exportation de la listedes problèmes

Cliquez sur Actions | Exporter le tableau. Ouvre la page Exporter. Dans la pageExporter, vous pouvez indiquer le format des fichiers à exporter, s'ilsdoivent être compressés (dans un fichier ZIP par exemple) et les actionsà effectuer sur les fichiers (par exemple, les envoyer par e-mail en tantque pièce jointe).

Affichage des détailsdu problème

Cliquez sur un problème.

La page Problème : Détails apparaît. Cette page affiche tous lesparamètres du problème ainsi que le Journal d'activité des problèmes.

Purge des problèmes fermésVous pouvez purger les problèmes fermés de la base de données pour les supprimer définitivement.

Procédures• Purge manuelle des problèmes fermés, page 308

Purger régulièrement les problèmes fermés de la base de données empêche cette dernièrede devenir trop volumineuse.

• Purge des problèmes fermés suivant une planification, page 309Vous pouvez planifier une tâche pour purger régulièrement les problèmes fermés de la basede données. La purge des problèmes fermés empêche la base de données de devenir tropvolumineuse.

Purge manuelle des problèmes fermésPurger régulièrement les problèmes fermés de la base de données empêche cette dernière de devenirtrop volumineuse.

23 ProblèmesPurge des problèmes fermés



1 Cliquez sur Menu | Automatisation | Problèmes, puis sur Actions | Purger.

2 Dans la boîte de dialogue Purger, entrez un nombre, puis sélectionnez une unité de temps.

3 Cliquez sur OK pour purger les problèmes fermés plus anciens que la date spécifiée.

Cette fonction affecte tous les problèmes fermés, pas uniquement ceux affichés dans la vue active.

Purge des problèmes fermés suivant une planificationVous pouvez planifier une tâche pour purger régulièrement les problèmes fermés de la base dedonnées. La purge des problèmes fermés empêche la base de données de devenir trop volumineuse.





2 Entrez un nom et une description pour la tâche serveur.

3 Activez ou désactivez la planification pour la tâche serveur.

La tâche serveur ne s'exécute qu'à partir du moment où vous l'avez activée.


5 Dans la liste déroulante, sélectionnez Purger les problèmes fermés.

6 Entrez un nombre, puis sélectionnez une unité de temps.


8 Planifiez la tâche serveur, puis cliquez sur Suivant.

9 Passez en revue les détails de la tâche serveur, puis cliquez sur Enregistrer.

Les problèmes fermés sont purgés au moment de l'exécution prévue de la tâche planifiée.

ProblèmesPurge des problèmes fermés 23


23 ProblèmesPurge des problèmes fermés


24 Reprise sur sinistre

La fonctionnalité de reprise sur sinistre vous permet de restaurer rapidement ou de réinstaller votrelogiciel ePolicy Orchestrator. La reprise sur sinistre fait appel à la fonctionnalité Instantané qui enregistrerégulièrement la configuration d'ePolicy Orchestrator, les extensions, les clés et bien plus encore dansdes enregistrements d'instantané stockés dans la base de données ePolicy Orchestrator.

Sommaire Présentation de la reprise sur sinistre Composants de la reprise sur sinistre Fonctionnement de la reprise sur sinistre Création d'un instantané Configuration des paramètres serveur pour la reprise sur sinistre

Présentation de la reprise sur sinistre La fonction de reprise sur sinistre d'ePolicy Orchestrator fait appel à un processus de créationd'instantané pour enregistrer des enregistrements de base de données précis du serveur McAfee ePOdans la base de données Microsoft SQL d'ePolicy Orchestrator.

Ces enregistrements effectués par l'instantané contiennent l'intégralité de la configuration d'ePolicyOrchestrator au moment précis auquel l'instantané est capturé. Une fois que les enregistrementsd'instantané sont stockés dans la base de données, vous pouvez utiliser la fonction de sauvegardeMicrosoft SQL pour enregistrer l'ensemble de la base de données ePolicy Orchestrator et la restaurerdans un autre serveur SQL en vue d'une restauration d'ePolicy Orchestrator.

Exemples de connexion pour la base de données SQL de restauration

En utilisant le serveur de base de données SQL ePolicy Orchestrator restauré, qui contient l'instantanépour la reprise sur sinistre, vous pouvez le connecter avec :

• Le matériel serveur McAfee ePO restauré, avec le nom et l'adresse IP du serveur d'origine — Celavous permet de récupérer, par exemple, d'une mise à niveau du logiciel ePolicy Orchestrator qui aéchoué.

• Un nouveau matériel serveur McAfee ePO, avec le nom et l'adresse IP du serveur d'origine — Celavous permet de mettre à niveau, ou de restaurer, votre matériel serveur et de reprendrerapidement la gestion des systèmes sur le réseau.

24


• Un nouveau matériel serveur McAfee ePO avec de nouveaux nom et adresse IP du serveur — Celavous permet, par exemple, de déplacer votre serveur d'un domaine vers un autre.

Cet exemple peut offrir une solution de gestion du réseau temporaire pendant que vousreconstruisez et réinstallez votre matériel et logiciel serveur McAfee ePO dans son domained'origine.

• Un matériel serveur McAfee ePO restauré ou nouveau comportant plusieurs cartes réseau — Vousdevez vérifier que l'adresse IP correcte est configurée pour la carte réseau du serveur McAfee ePO.

La création de l'instantané est configurée, selon la version de votre base de données SQL, pours'exécuter automatiquement tous les jours. Si vous configurez un script pour exécuterautomatiquement la sauvegarde SQL et pour copier le fichier de sauvegarde SQL sur votre serveur debase de données SQL de restauration, vous pourrez plus facilement restaurer votre serveur McAfeeePO. En outre, vous pouvez capturer un instantané ou exécuter vos scripts manuellement pourenregistrer et sauvegarder rapidement des modifications particulièrement complexes ou importantesapportées à ePolicy Orchestrator.

Le moniteur Instantané de serveur pour reprise sur sinistre, situé sur votre tableau de bord ePolicy Orchestrator,vous permet de gérer et de surveiller vos instantanés de manière centralisée.

Composants de la reprise sur sinistre L'utilisation de la fonction de reprise sur sinistre pour restaurer votre logiciel ePolicy Orchestratornécessite certains matériels, logiciels, privilèges d'accès et informations.

Vous devez disposer de deux plates-formes serveur matérielles :

24 Reprise sur sinistreComposants de la reprise sur sinistre


• Votre matériel serveur McAfee ePO existant, désigné comme votre serveur McAfee ePO« principal ».

• Un matériel serveur SQL dupliqué, désigné comme votre « serveur de restauration », exécutantMicrosoft SQL qui correspond à la base de données de votre serveur McAfee ePO principal. Ceserveur de restauration doit être maintenu à jour avec la configuration serveur de la base dedonnées SQL McAfee ePO principale la plus récente, à l'aide des procédures de créationd'instantané et de sauvegarde Microsoft SQL.

Pour éviter des problèmes de sauvegarde et de restauration, le matériel et les versions SQL de votreserveur principal et de votre serveur de restauration doivent être les plus proches possible.

Moniteur de tableau de bord Instantané de serveur

Le moniteur Instantané de serveur, situé sur votre tableau de bord ePolicy Orchestrator, vous permetde gérer et de surveiller vos instantanés de manière centralisée.

Si le moniteur Instantané de serveur ne s'affiche pas sur votre tableau de bord, créez un tableau debord et ajoutez le moniteur de reprise sur sinistre.

Figure 24-1 Moniteur Instantané de serveur de tableau de reprise sur sinistre

L'utilisation du moniteur Instantané de serveur vous permet d'effectuer les actions suivantes :

• Cliquez sur Capture de l'instantané pour enregistrer manuellement un Instantané de serveur McAfeeePO.

• Cliquez sur Afficher les détails de la dernière exécution pour ouvrir la page Journal des tâches serveur : Détails.Cette page affiche les informations et les messages de journalisation relatifs au dernier instantanéenregistré.

• Vérifiez la date et l'heure auxquelles le dernier instantané a été enregistré dans la base de donnéesSQL, en regard de l'option Dernière exécution.

• Cliquez sur le lien Reprise sur sinistre pour lancer la page d'aide relative à la reprise sur sinistre.

La couleur et le titre du moniteur Instantané de serveur vous indique l'état du dernier instantané. Parexemple :

Reprise sur sinistreComposants de la reprise sur sinistre 24


• Bleu, Enregistrement de l'instantané dans la base de données — Le traitement del'instantané est en cours d'exécution.

• Vert, Instantané enregistré dans la base de données — Le traitement de l'instantané estterminé et ce dernier est à jour.

• Rouge, Echec de l'instantané — Une erreur est survenue au cours du traitement de l'instantané.

• Gris, Aucun instantané disponible — Aucun instantané pour la reprise sur sinistre n'a étéenregistré.

• Orange, Instantané obsolète — Des modifications ont été apportées à la configuration et aucuninstantané récent n'a été enregistré. Les modifications entraînant l'état obsolète de l'instantanésont notamment :

• Toute modification d'extension. Par exemple, une extension mise à jour, supprimée, mise àniveau ou revenue à une version antérieure.

• Modification du dossier « Keystore ».

• Modification du dossier « conf ».

• Modification de l'expression secrète pour la reprise sur sinistre dans les paramètres serveur.

Tâche Instantané de serveur pour reprise sur sinistre

Vous pouvez utiliser la tâche Instantané de serveur pour ] reprise sur sinistre pour désactiver ouactiver la planification de la tâche Instantané de serveur.

La planification de la tâche Instantané de serveur est activée par défaut pour la base de donnéesMicrosoft SQL Server et désactivée par défaut pour la base de données Microsoft SQL Server ExpressEdition.

Exigences liées à la reprise sur sinistre

Pour utiliser la fonction de Reprise sur sinistre, vous devez disposer du matériel, des logiciels et desinformations indiqués dans le tableau suivant.

Critère Description

Configuration matérielle requise

Matériel du serveur McAfeeePO principal

La configuration matérielle requise pour le serveur dépend du nombrede systèmes managés.

Le serveur McAfee ePO et la base de données SQL Server peuvent êtreinstallés sur le même matériel serveur ou sur des serveurs différents.Pour plus de détails, consultez le Guide d'installation d'ePolicyOrchestrator 5.1.0.

Matériel du serveur McAfeeePO de restauration

Ce matériel serveur doit être très proche de celui de votre serveurMcAfee ePO principal.

Serveur McAfee ePOprincipal

Ce serveur principal doit être sous tension, fonctionner correctement etcontenir un instantané récent enregistré dans la base de données SQL.

Base de données SQLprincipale

La base de données SQL principale stocke la configuration du serveurMcAfee ePO, les informations côté client et les enregistrementsd'instantané pour la reprise sur sinistre.

Logiciels

24 Reprise sur sinistreComposants de la reprise sur sinistre


Critère Description

Fichier de sauvegarde de labase de données SQLprincipale

En utilisant Microsoft SQL Server Management Studio ou la ligne decommande BACKUP (Transact-SQL), vous pouvez créer un fichier desauvegarde de la base de données principale, y compris lesenregistrements d'instantané.

Restauration de la base dedonnées SQL

En utilisant Microsoft SQL Server Management Studio ou la ligne decommande RESTORE (Transact-SQL), vous pouvez restaurer la base dedonnées principale, y compris les enregistrements d'instantané, sur leserveur de base de données SQL de restauration pour dupliquer laconfiguration de la base de données SQL principale.

Logiciel ePolicy Orchestrator Ce logiciel, téléchargé à partir du site web de McAfee, est utilisé pourinstaller et configurer le serveur McAfee ePO de restauration.

Informations requises

Expression secrète dechiffrement de la banque declés pour la reprise sursinistre

Cette expression secrète a été ajoutée au cours de l'installation initialedu logiciel ePolicy Orchestrator. Elle sert à déchiffrer les informationssensibles stockées dans l'instantané pour reprise sur sinistre.

Privilèges d'administrateur Vous devez être capable d'accéder à la fois aux serveurs principal et derestauration et à la base de données SQL en tant que, par exemple,DBOwner et DBCreator.

Dernier nom DNS, adresseIP ou nom NetBIOS connudu serveur McAfee ePOprincipal

Si vous changez l'une de ces informations au cours de la restaurationdu serveur McAfee ePO, vérifiez que McAfee Agent dispose d'un moyende localiser le serveur. Le plus simple est de créer un enregistrementCNAME (nom canonique) dans DNS redirigeant les requêtes émanantde l'ancienne adresse IP ou de l'ancien nom DNS ou NetBIOS duserveur McAfee ePO principal vers les nouvelles informations duserveur McAfee ePO de restauration.

Fonctionnement de la reprise sur sinistrePour réinstaller rapidement le logiciel ePolicy Orchestrator, il est nécessaire d'exécuter régulièrementdes instantanés de la configuration d'ePolicy Orchestrator. Vous devez alors sauvegarder et restaurerla base de données sur un serveur de restauration et réinstaller le logiciel ePolicy Orchestrator à l'aidede l'option Restaurer.

Présentation de l'instantané pour la reprise sur sinistre et de lasauvegardeL'instantané pour la reprise sur sinistre, la sauvegarde de la base de données SQL et les procédures decopie créent une base de données ePolicy Orchestrator dupliquée sur un serveur de base de donnéesSQL de restauration.

Cette section présente l'instantané pour la reprise sur sinistre, la sauvegarde de la base de donnéesSQL et les procédures de copie. Pour obtenir des détails, consultez :

Reprise sur sinistreFonctionnement de la reprise sur sinistre 24


• Création d'un instantané

• Utilisation de Microsoft SQL pour sauvegarder et restaurer une base de données

L'illustration suivante donne un aperçu général du processus de reprise sur sinistre du logiciel ePolicyOrchestrator et du matériel nécessaire.

Sur cette figure, la base de données SQL est installée sur le même matériel serveur que le serveurMcAfee ePO. Le serveur McAfee ePO et la base de données SQL pourraient être installés sur desmatériels serveur différents.

Figure 24-2 Instantané de serveur McAfee ePO pour la reprise sur sinistre et sauvegarde

La configuration de la reprise sur sinistre du logiciel ePolicy Orchestrator comprend les étapesgénérales décrites ci-dessous et effectuées sur le serveur McAfee ePO principal :

1 Capturez un instantané de la configuration du serveur McAfee ePO et enregistrez-le dans la base dedonnées SQL principale. Vous pouvez soit effectuer cette opération manuellement, soit utiliser unetâche serveur par défaut fournie dans ce but.

Une fois l'instantané capturé, les fichiers de base de données suivants sont enregistrés :

• C:\Program Files\McAfee\ePolicy Orchestrator\Server\extensions — Chemin d'accès par défautaux informations des extensions du logiciel ePolicy Orchestrator.

• C:\Program Files\McAfee\ePolicy Orchestrator\Server\conf — Chemin d'accès par défaut auxfichiers requis utilisés par les extensions du logiciel ePolicy Orchestrator.

• C:\Program Files\McAfee\ePolicy Orchestrator\Server\keystore — Ces clés serventspécifiquement pour la communication agent-serveur d'ePolicy Orchestrator et les référentiels.

24 Reprise sur sinistreFonctionnement de la reprise sur sinistre


• C:\Program Files\McAfee\ePolicy Orchestrator\Server\DB\Keystore — Chemin d'accès par défautaux certificats de serveur d'installation de produits McAfee.

• C:\Program Files\McAfee\ePolicy Orchestrator\Server\DB\Software — Chemin d'accès par défautaux fichiers d'installation de produits McAfee.

Les enregistrements d'instantané pour reprise sur sinistre enregistrés comportent les cheminsque vous avez configurés pour vos fichiers exécutables enregistrés. Les fichiers exécutablesenregistrés ne sont pas sauvegardés et vous devez les remplacer lorsque vous restaurez leserveur McAfee ePO. Après la restauration du serveur McAfee ePO, tous les fichiers exécutablesenregistrés avec des chemins rompus sont marqués en rouge dans la page Fichiers exécutablesenregistrés.

Vous devez tester les chemins d'accès aux fichiers exécutables enregistrés après la restaurationdu serveur McAfee ePO. Certains fichiers exécutables enregistrés peuvent ne pas s'afficher enrouge, mais être tout de même incorrects en raison de problèmes de dépendance.

2 Sauvegardez la base de données SQL en utilisant Microsoft SQL Server Management Studio ou laligne de commande BACKUP (Transact-SQL).

3 Copiez le fichier de sauvegarde de la base de données SQL, créé à l'étape 2, sur le serveur SQL derestauration dupliqué.

Il est essentiel que vous réalisiez les étapes 2 et 3 pour copier vos instantanés à partir de votreserveur SQL principal sur votre serveur SQL de restauration pour pouvoir utiliser la fonction dereprise sur sinistre.

Les procédures relatives à l'instantané pour la reprise sur sinistre du serveur McAfee ePO et à lasauvegarde sont à présent achevées. Vous ne devez pas poursuivre avec l'installation suivante duserveur McAfee ePO de restauration sauf si vous réinstallez le logiciel ePolicy Orchestrator.

Présentation de l'installation de restauration du serveur McAfeeePO La réinstallation du logiciel ePolicy Orchestrator représente la dernière étape de la restauration rapidedu serveur McAfee ePO.

Cette section présente la réinstallation du logiciel ePolicy Orchestrator sur le serveur McAfee ePO derestauration. Pour plus d'informations, reportez-vous au Guide d'installation.

Reprise sur sinistreFonctionnement de la reprise sur sinistre 24


L'illustration suivante donne un aperçu général de la réinstallation du serveur McAfee ePO.

Sur cette figure, la base de données SQL est installée sur le même matériel serveur que le serveurMcAfee ePO. Le serveur McAfee ePO et la base de données SQL pourraient être installés sur desmatériels serveur différents.

Figure 24-3 Installation de restauration du serveur McAfee ePO

L'installation du logiciel ePolicy Orchestrator à l'aide du fichier d'instantané pour la reprise sur sinistrecomprend les étapes générales décrites ci-dessous et exécutées sur le serveur McAfee ePO derestauration :

1 Recherchez le fichier de sauvegarde de la base de données SQL, copié à l'étape 3 de la sectionprécédente, et utilisez Microsoft SQL Server Management Studio ou la ligne de commandeRESTORE (Transact-SQL) pour restaurer la configuration du serveur SQL principal sur le serveurSQL de restauration.

2 Au cours de l'installation de la base de données du logiciel ePolicy Orchestrator, effectuez lesactions suivantes :

a Dans la boîte de dialogue de bienvenue du logiciel, cliquez sur Restaurer ePO à partir d'un instantané debase de données existant.

b Sélectionnez Microsoft SQL Server pour relier le logiciel ePolicy Orchestrator à la base de donnéesSQL de restauration sur laquelle la configuration du serveur McAfee ePO principal a étérestaurée à l'étape 1.

Une fois l'installation du logiciel ePolicy Orchestrator lancée, les enregistrements de base dedonnées enregistrés au cours de la création de l'instantané sont utilisés dans la configuration dulogiciel au lieu de créer de nouveaux enregistrements dans la base de données.

3 Si vous avez modifié la dernière adresse IP connue ou les derniers noms DNS ou NetBIOS connusdu serveur McAfee ePO principal, lors de la création du serveur McAfee ePO de restauration, lesagents McAfee Agent ne pourront pas se connecter au serveur McAfee ePO restauré. Le plus simpleest de créer un enregistrement CNAME dans DNS redirigeant les requêtes émanant de l'adresse IPou du nom DNS ou NetBIOS du serveur McAfee ePO principal vers les nouvelles informations duserveur McAfee ePO de restauration.

Consultez la section Présentation de la reprise sur sinistre qui contient plusieurs exemples derestauration de la connexion de la base de données SQL vers le serveur McAfee ePO.

24 Reprise sur sinistreFonctionnement de la reprise sur sinistre


Le serveur McAfee ePO de restauration s'exécute à présent avec la même configuration que le serveurprincipal. Les clients peuvent se connecter au serveur de restauration et vous pouvez les gérerexactement comme avant que le serveur McAfee ePO principal soit supprimé.

Création d'un instantanéCréer fréquemment des instantanés pour la reprise sur sinistre de votre serveur McAfee ePO principalconstitue la première étape de la restauration rapide d'un serveur McAfee ePO.

Après avoir apporté de nombreux changements de configuration au logiciel McAfee, vous devezcapturer manuellement un instantané pour reprise sur sinistre à l'aide d'une des tâches suivantes.

Créez une tâche Instantané de serveur pour reprise sur sinistre pour automatiser les instantanés deserveur.

Procédures

• Création d'un instantané à partir d'un tableau de bord, page 319Le tableau de bord ePolicy Orchestrator permet de capturer des instantanés pour la reprisesur sinistre de votre serveur McAfee ePO principal et de surveiller le processus de créationd'instantanés à mesure que l'état du tableau de bord change.

• Création d'un instantané à partir de l'API web, page 320Utilisez l'API web d'ePolicy Orchestrator pour capturer les instantanés pour la reprise sursinistre de votre serveur McAfee ePO principal. Une chaîne de commande suffit alors pourréaliser la procédure.

Création d'un instantané à partir d'un tableau de bordLe tableau de bord ePolicy Orchestrator permet de capturer des instantanés pour la reprise sur sinistrede votre serveur McAfee ePO principal et de surveiller le processus de création d'instantanés à mesureque l'état du tableau de bord change.


1 Cliquez sur Menu | Rapports | Tableaux de bord pour afficher le moniteur Instantané de serveur ePO.

Le cas échéant, cliquez sur Ajouter un moniteur, sélectionnez Instantané de serveur ePO dans la liste etfaites-le glisser dans le tableau de bord.

2 Cliquez sur Capture de l'instantané pour lancer l'enregistrement de la configuration du serveur McAfeeePO.

Au cours du processus de création d'instantanés, la barre de titre du moniteur d'instantané change pourrefléter la progression. Consultez la section Moniteur de tableau de bord d'instantané pour ensavoir plus sur les indicateurs d'état du moniteur d'instantané.

La création d'instantané peut prendre de 10 minutes à plus d'une heure, en fonction de lacomplexité et de la taille de votre réseau managé par ePolicy Orchestrator. Cette opération nedevrait pas affecter les performances de votre serveur McAfee ePO.

3 Le cas échéant, cliquez sur Afficher les détails de l'exécution en cours pour consulter les détails du journal destâches serveur du dernier instantané enregistré.

Une fois la création d'instantané terminée, cliquez sur Afficher les détails de l'exécution en cours pourconsulter les détails du journal des tâches serveur du dernier instantané enregistré.

Reprise sur sinistreCréation d'un instantané 24


L'instantané pour la reprise sur sinistre le plus récent est enregistré dans la base de données SQLprincipale du serveur McAfee ePO. La base de données peut désormais être sauvegardée et copiéevers le serveur de base de données SQL de restauration.

Création d'un instantané à partir de l'API webUtilisez l'API web d'ePolicy Orchestrator pour capturer les instantanés pour la reprise sur sinistre devotre serveur McAfee ePO principal. Une chaîne de commande suffit alors pour réaliser la procédure.

Toutes les commandes décrites dans cette tâche sont saisies dans la barre d'adresses de votrenavigateur web pour accéder à votre serveur McAfee ePO à distance.

Vous êtes invité à indiquer le nom d'utilisateur et le mot de passe administrateur avant que le résultats'affiche.

Consultez le Guide de création de scripts de McAfee ePolicy Orchestrator 5.1.0 pour obtenir desinformations détaillées sur l'utilisation de l'API web et des exemples.


Procédure1 Utilisez la commande d'aide suivante de l'API web d'ePolicy Orchestrator pour déterminer les

paramètres nécessaires à la capture d'un instantané :

https://localhost:8443/remote/core.help?command=scheduler.runServerTaskDans cette commande :

• localhost : nom de votre serveur McAfee ePO.

• 8443 — Port de destination, identifié comme « 8443 » (valeur par défaut) dans cet exemple.

• /remote/core.help?command= — Appelle l'aide de l'API web.

• scheduler.runServerTask — Appelle l'aide sur la tâche serveur spécifique.

La commande runServerTask est sensible à la casse.

La commande de l'exemple précédent renvoie le texte d'aide suivant.

OK:scheduler.runServerTask taskNameExécute une tâche serveur et renvoie l'ID du journal des tâches. Utilisez l'ID du journal des tâches avec la commande 'tasklog.listTaskHistory' pour afficher l'état de la tâche en cours. Renvoie l'ID du journal des tâches ou génère une erreur.Nécessite l'autorisation d'exécuter des tâches serveur.Paramètres : [taskName (param 1) | taskId] - ID ou nom unique de la tâche

24 Reprise sur sinistreCréation d'un instantané


2 Utilisez la commande suivante pour afficher la liste de toutes les tâches serveur et déterminer leparamètre taskName nécessaire pour l'exécution de la tâche serveur Instantané :

https://localhost:8443/remote/scheduler.listAllServerTasks?:output=terse

La commande de l'exemple précédent renvoie une liste similaire à ce qui suit. La liste exacteaffichée varie en fonction de vos autorisations et des extensions installées.

3 En utilisant le nom de la tâche Instantané de serveur pour reprise sur sinistre (Disaster RecoverySnapshot Server) identifié à l'étape précédente, exécutez la tâche serveur Instantané à l'aide dela commande suivante :

https://localhost:8443/remote/scheduler.runServerTask?taskName=Disaster%20Recovery%20Snapshot%20Server

Si la tâche réussit, une sortie similaire à ce qui suit s'affiche.

OK: 102

La création de l'instantané peut prendre de 10 minutes à plus d'une heure, en fonction de lacomplexité et de la taille de votre réseau managé par ePolicy Orchestrator. Cette opération nedevrait pas affecter les performances de votre serveur McAfee ePO.

4 Vérifiez que la tâche serveur Instantané de l'API web s'est exécutée correctement.

a Utilisez la commande suivante pour identifier l'ID du journal des tâches Instantané de serveurpour reprise sur sinistre :

https://localhost:8443/remote/tasklog.listTaskHistory?taskName=Disaster%20Recovery%20Snapshot%20ServerCette commande affiche toutes les tâches Instantané de serveur pour reprise sur sinistre.Recherchez la tâche la plus récente et notez le numéro de l'identificateur. Par exemple, ID : 102dans ce qui suit :

ID : 102 Nom : Instantané de serveur pour reprise sur sinistre Date de début : 8/7/12 11:00:34 AM Date de fin : 8/7/12 11:01:18 AM Nom d'utilisateur : admin Etat : Terminée Source : planificateur Durée : Moins de une minute

Reprise sur sinistreCréation d'un instantané 24


b Utilisez la commande suivante et le numéro d'identificateur de tâche 102 pour afficher tous lesmessages du journal des tâches.

https://localhost:8443/remote/tasklog.listMessages?taskLogId=102Faites défiler les messages jusqu'à la fin et repérez ce qui suit :

OK: Date : 8/7/12 11:00:34 AM Message : Instantané de serveur enregistré dans la base de données

Date : 8/7/12 11:00:34 AM Message : Début de l'enregistrement de l'instantané de serveur dans la base de données...

. . .

Date : 8/7/12 11:01:18 AM Message : L'instantané de serveur a été enregistré dans la base de données

Date : 8/7/12 11:01:18 AM Message : Instantané de serveur enregistré dans la base de données

Configuration des paramètres serveur pour la reprise sursinistre

Vous pouvez modifier l'expression secrète de chiffrement de la banque de clés utilisée lors del'installation du logiciel ePolicy Orchestrator et la relier à une base de données SQL restaurée avec desinstantanés pour la reprise sur sinistre.

Avant de commencerVous devez disposer de droits d'administrateur pour modifier l'expression secrète dechiffrement de la banque de clés.

L'utilisation de la fonction Reprise sur sinistre pour créer un instantané de serveur McAfee ePO vouspermet de restaurer rapidement le serveur McAfee ePO.

En tant qu'administrateur, ce paramètre est utile si vous avez perdu ou oublié l'expression secrète dechiffrement de la banque de clés, qui a été configurée lors de l'installation du logiciel ePolicyOrchestrator. Vous pouvez modifier l'expression secrète sans connaître celle qui avait étéprécédemment configurée.


24 Reprise sur sinistreConfiguration des paramètres serveur pour la reprise sur sinistre


Procédure1 Cliquez sur Menu | Configuration | Paramètres serveur, sélectionnez Reprise sur sinistre dans les Catégories de

paramètres, puis cliquez sur Modifier.

2 Dans Expression secrète de chiffrement de la banque de clés, cliquez sur Modifier l'expression secrète, saisissez lanouvelle expression et confirmez-la.

L'expression secrète de chiffrement de la banque de clés est utilisée pour chiffrer et déchiffrer lesinformations sensibles stockées dans l'instantané de serveur. Cette expression secrète est requiseau cours du processus de restauration du serveur McAfee ePO. Notez cette expression secrète.

La base de données ePolicy Orchestrator doit être régulièrement copiée sur un serveur de base dedonnées Microsoft SQL de restauration pour en créer une sauvegarde actuelle. Reportez-vous à lasection Configuration de la fonction Instantané et restauration de la base de données SQL pour plusd'informations sur les processus de sauvegarde et de restauration du serveur de base de données.

Reprise sur sinistreConfiguration des paramètres serveur pour la reprise sur sinistre 24


24 Reprise sur sinistreConfiguration des paramètres serveur pour la reprise sur sinistre


A Présentation des ports

Suivez les instructions ci-après relatives aux ports si vous devez personnaliser les ports utilisés par leserveur McAfee ePO.

Sommaire Modification du port de communication console-serveur d'applications Modification du port de communication agent-serveur Ports requis pour les communications via un pare-feu Référence rapide en matière de trafic

Modification du port de communication console-serveurd'applications

Si le port de communication console McAfee ePO-serveur d'applications est utilisé par une autreapplication, procédez comme suit pour spécifier un autre port.

Avant de commencer

Cette rubrique contient des informations sur l'ouverture et la modification du Registre, quisont destinées uniquement aux administrateurs réseau et système.

• Il est vivement conseillé de sauvegarder votre Registre et de bien comprendre leprocessus de restauration. Pour plus d'informations, consultez la documentationMicrosoft.

• Veillez à exécuter uniquement les fichiers .reg qui sont les authentiques fichiersd'importation de Registre.

Les modifications du Registre sont irréversibles et peuvent provoquer une défaillance système si ellessont effectuées de façon incorrecte.


1 Arrêtez les services McAfee ePO :

a Fermez toutes les consoles McAfee ePO.

b Cliquez sur Démarrer | Exécuter, tapez services.msc, puis cliquez sur OK.


c Cliquez avec le bouton droit sur chacun des services suivants, puis sélectionnez Arrêter :• Serveur d'applications McAfee ePolicy Orchestrator

• Analyseur d'événements McAfee ePolicy Orchestrator

• Serveur McAfee ePolicy Orchestrator

2 Dans l'Editeur du Registre, sélectionnez la clé suivante :

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{ 53B73DFD‑AFBE‑4715‑88A1‑777FE404B6AF}].

3 Dans le volet de droite, double-cliquez sur TomcatSecurePort.SQL, puis modifiez la valeur pour qu'ellereflète le numéro de port requis (la valeur par défaut est définie sur 8443).

4 Ouvrez un éditeur de texte, puis collez la ligne suivante dans un document vide :

UPDATE EPOServerInfo SET rmdSecureHttpPort =8443

Remplacez le port 8443 par le nouveau port.

5 Nommez le fichier TomcatSecurePort.sql et enregistrez-le à un emplacement temporaire duserveur SQL Server.

6 Utilisez Microsoft SQL Server Management Studio pour installer le fichier TomcatSecurePort.SQLque vous avez créé.

a Cliquez sur Démarrer | Tous les programmes | Microsoft SQL Server Management Studio.

b Dans la boîte de dialogue Se connecter au serveur, cliquez sur Se connecter.

c Développez Bases de données, puis sélectionnez Base de données ePO.

d Dans la barre d'outils, sélectionnez Nouvelle requête.

e Cliquez sur Fichier | Ouvrir | Fichier..., puis accédez au fichier TomcatSecurePort.sql.

f Sélectionnez le fichier, puis cliquez sur Ouvrir | Exécuter.

7 Dans l'Explorateur Windows, accédez au répertoire suivant :

\Program Files (x86)\McAfee\ePolicy Orchestrator\Server\conf\

8 Dans le Bloc-notes, ouvrez Server.xml et remplacez toutes les entrées du port 8443 par celles dunouveau port.

9 Cliquez sur Démarrer | Exécuter, tapez services.msc, puis cliquez sur OK.

10 Cliquez avec le bouton droit sur chacun des services suivants, puis sélectionnez Démarrer :• Serveur d'applications McAfee ePolicy Orchestrator



A Présentation des portsModification du port de communication console-serveur d'applications


Modification du port de communication agent-serveurPour modifier le port de communication agent-serveur, procédez comme suit.

Avant de commencer

Cette rubrique contient des informations sur l'ouverture et la modification du Registre, quisont destinées uniquement aux administrateurs réseau et système.

• Il est vivement conseillé de sauvegarder votre Registre et de bien comprendre leprocessus de restauration. Pour plus d'informations, consultez la documentationMicrosoft.

• Veillez à exécuter uniquement les fichiers .REG qui sont les authentiques fichiersd'importation de Registre.

Les modifications du Registre sont irréversibles et peuvent provoquer une défaillance système si ellessont effectuées de façon incorrecte.


1 Arrêtez les services McAfee ePO :

a Fermez toutes les consoles McAfee ePO.

b Cliquez sur Démarrer | Exécuter, tapez services.msc, puis cliquez sur OK.

c Cliquez avec le bouton droit sur chacun des services suivants, puis sélectionnez Arrêter :• Serveur d'applications McAfee ePolicy Orchestrator



2 Modifiez la valeur du port dans le Registre :

a Cliquez sur Démarrer | Exécuter, tapez regedit, puis cliquez sur OK.

b Naviguez jusqu'à la clé qui correspond à McAfee ePO version 5.3.0 :

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{ 53B73DFD-AFBE-4715-88A1-777FE404B6AF}].

3 Modifiez la valeur de chaîne AgentPort pour qu'elle reflète le port approprié, puis fermez l'Editeurdu Registre. La valeur par défaut de ce port est 80.

4 Modifiez la valeur dans la base de données McAfee ePO :

a Ouvrez un éditeur de texte, puis ajoutez les lignes suivantes au document vide :

UPDATE EPOServerInfo SET

ServerHTTPPort=80

b Enregistrez le fichier sous le nom DefaultAgentPort.SQL dans un emplacement temporaire duserveur SQL Server.

c Cliquez sur Démarrer | Tous les programmes | Microsoft SQL Server Management Studio pour pouvoir utiliserMicrosoft SQL Server Management Studio afin d'installer le fichier DefaultAgentPort.sql.

Présentation des portsModification du port de communication agent-serveur A


d Dans la boîte de dialogue Se connecter au serveur, cliquez sur Se connecter.

e Développez Bases de données, puis sélectionnez Base de données ePO.

f Dans la barre d'outils, sélectionnez Nouvelle requête.

g Cliquez sur Fichier | Ouvrir | Fichier, recherchez le fichier DefaultAgent.SQL, sélectionnez-le, puiscliquez sur Ouvrir | Exécuter.

5 Collez la ligne suivante dans un document vide :

UPDATE EPOServerInfo SET rmdSecureHttpPort =8443

Remplacez le port 8443 par le nouveau port.

6 Nommez le fichier TomcatSecurePort.SQL et enregistrez-le à un emplacement temporaire duserveur SQL Server.

7 Utilisez Microsoft SQL Server Management Studio pour installer le fichier TomcatSecurePort.SQL.

a Cliquez sur Démarrer | Tous les programmes | Microsoft SQL Server Management Studio.

b Dans la boîte de dialogue Se connecter au serveur, cliquez sur Se connecter.

c Développez Bases de données, puis sélectionnez Base de données ePO.

d Dans la barre d'outils, sélectionnez Nouvelle requête.

e Cliquez sur Fichier | Ouvrir | Fichier, recherchez le fichier TomcatSecurePort.SQL, sélectionnez-le,puis cliquez sur Ouvrir | Exécuter.

8 Modifiez la valeur du port dans les fichiers de configuration de McAfee ePO :

a Naviguez jusqu'à C:\Program Files (x86)\McAfee\ePolicy Orchestrator\DB\...

b Dans un éditeur de texte, ouvrez Server.ini, modifiez la valeur du paramètre HTTPPort=80 pourqu'elle reflète le nouveau numéro, puis enregistrez le fichier.

c Dans un éditeur de texte, ouvrez Siteinfo.ini, modifiez la valeur du paramètre HTTPPort=80 pourqu'elle reflète le nouveau numéro, puis enregistrez le fichier.

d Naviguez jusqu'à C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\..., ouvrez httpd.conf, puis modifiez les lignes suivantes pour qu'elles reflètent le nouveaunuméro de port :

Listen 80

ServerName<Nom_votre_serveur>: 80

9 Si vous utilisez VirtualHost, modifiez :

NameVirtualHost *:80

<VirtualHost *:80>

10 Enregistrez le fichier et quittez l'éditeur de texte.

A Présentation des portsModification du port de communication agent-serveur


11 Redémarrez les services McAfee ePO :

a Cliquez sur Démarrer | Exécuter, tapez services.msc, puis cliquez sur OK.

b Cliquez avec le bouton droit sur chacun des services suivants, puis sélectionnez Arrêter :• Analyseur d'événements McAfee ePolicy Orchestrator


12 (Facultatif) Modifiez les paramètres des gestionnaires d'agents distants :

a Assurez-vous que toutes les consoles McAfee ePO sont fermées, cliquez sur Démarrer | Exécuter,tapez services.msc, puis cliquez sur OK.

b Cliquez avec le bouton droit sur chacun des services suivants, puis sélectionnez Arrêter :• Analyseur d'événements McAfee ePolicy Orchestrator


Ce serveur peut être répertorié sous le nom MCAFEEAPACHESRV s'il n'a pas été redémarrédepuis l'installation du gestionnaire d'agents.

13 Naviguez jusqu'à C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\..., ouvrez httpd.conf dans unéditeur de texte, puis modifiez les lignes suivantes pour qu'elles reflètent le nouveau numéro deport :

Listen 80

ServerName<Nom_votre_serveur>: 80

Si vous utilisez VirtualHost, modifiez :

NameVirtualHost *:80

<VirtualHost *:80>

14 Enregistrez le fichier et quittez l'éditeur de texte.

15 Cliquez sur Démarrer | Exécuter, saisissez services.msc, puis cliquez sur OK.

16 Cliquez avec le bouton droit sur chacun des services suivants, puis sélectionnez Arrêter :• Analyseur d'événements McAfee ePolicy Orchestrator


Ce serveur peut être répertorié sous le nom MCAFEEAPACHESRV s'il n'a pas été redémarrédepuis l'installation du gestionnaire d'agents.

Si vous avez précédemment déployé des agents sur les clients, réinstallez l'agent sur l'ensembledes clients en utilisant le commutateur /forceinstall afin de remplacer le fichier Sitelist.xml existant.Pour plus d'informations sur les versions spécifiques du composant McAfee Agent qui permettent lebon fonctionnement du commutateur /forceinstall, consultez l'article KB60555 de la base deconnaissances McAfee.

Présentation des portsModification du port de communication agent-serveur A


HTTPS://KC.MCAFEE.COM/CORPORATE/INDEX?PAGE=CONTENT&ID=KB60555

Ports requis pour les communications via un pare-feuUtilisez les ports suivants pour configurer un pare-feu afin de permettre le trafic vers et depuis votreserveur McAfee ePO.

Termes appropriés

• Bidirectionnelle : la connexion peut être établie dans l'une ou l'autre direction.

• Entrante : la connexion est établie par un système distant.

• Sortante : la connexion est établie par un système local.

Tableau A-1 Serveur McAfee ePO

Port Pardéfaut

Description Direction du trafic

Port de communicationagent-serveur

80 Port TCP ouvert par le serviceServeur McAfee ePO pour recevoirles demandes des agents.

Birectionnelle entre legestionnaire d'agents et leserveur McAfee ePO, etentrante du composantMcAfee Agent vers lesgestionnaires d'agents et leserveur McAfee ePO.

Agent communiquantvia SSL (agents 4.5 etultérieurs uniquement)

443 Par défaut, les agents 4.5 doiventcommuniquer via SSL (443 pardéfaut). Ce port est égalementutilisé pour la communication dugestionnaire d'agents distant avecle référentiel maître McAfee ePO.

Connexion entrante vers leserveur McAfee ePO à partirdes agents ou vers leréférentiel maître à partir desgestionnaires d'agents.Connexion entrante :

• Agent vers McAfee ePO

• Gestionnaire d'agents versréférentiel maître

• McAfee ePO vers référentielmaître

• Agent vers gestionnaired'agents

Port de communicationde réactivation del'agent Port deréférentiel SuperAgent

8081 Port TCP ouvert par les agentspour recevoir les demandes deréactivation d'agent du serveurMcAfee ePO. Port TCP ouvert pourrépliquer le contenu du référentielvers un référentiel SuperAgent.

Connexion sortante depuis leserveur McAfee ePO et legestionnaire d'agents vers lecomposant McAfee Agent.

Port de communicationde diffusion de l'agent

8082 Port UDP ouvert par le SuperAgentpour transférer les messagesdepuis le serveur McAfee ePO et legestionnaire d'agents.

Connexion sortante depuis leSuperAgent vers les autresagents.

Port de communicationconsole-serveurd'applications

8443 Port HTTPS ouvert par le serviceServeur d'applications McAfee ePOpour permettre l'accès à la consoledu navigateur web.

Connexion entrante vers leserveur McAfee ePO à partirde la console McAfee ePO.

Port de communicationauthentifiéeclient-serveur

8444 Utilisé par le gestionnaire d'agentspour communiquer avec le serveurMcAfee ePO afin d'obtenir lesinformations requises (parexemple les serveurs LDAP).

Connexion sortante depuisles gestionnaires d'agentsdistants vers le serveurMcAfee ePO.

A Présentation des portsPorts requis pour les communications via un pare-feu


Tableau A-1 Serveur McAfee ePO (suite)

Port Pardéfaut

Description Direction du trafic

Port TCP duserveur SQL

1433 Port TCP utilisé pour communiqueravec le serveur SQL Server. Ceport est spécifié ou identifiéautomatiquement pendant laconfiguration.

Connexion sortante depuis leserveur McAfee ePO et legestionnaire d'agents vers leserveur SQL Server.

Port UDP duserveur SQL

1434 Port UDP utilisé pour demander leport TCP utilisé par l'instance SQLhébergeant la base de donnéesMcAfee ePO.

Connexion sortante depuis leserveur McAfee ePO et legestionnaire d'agents vers leserveur SQL Server.

Port du serveur LDAPpar défaut

389 Connexion LDAP pour rechercherdes ordinateurs, des utilisateurs,des groupes et des unitésorganisationnelles correspondantaux stratégies basées sur lesutilisateurs.

Connexion sortante depuis leserveur McAfee ePO et legestionnaire d'agents vers unserveur LDAP.

Port duserveur LDAP SSL pardéfaut

636 Les stratégies basées sur lesutilisateurs utilisent laconnexion LDAP pour rechercherdes utilisateurs, des groupes etdes unités organisationnelles.

Connexion sortante depuis leserveur McAfee ePO et legestionnaire d'agents vers unserveur LDAP.

Référence rapide en matière de traficUtilisez les informations suivantes liées aux ports et à la direction du trafic pour configurer un pare-feuafin de permettre le trafic vers et depuis votre serveur McAfee ePO.

Termes appropriés

• Bidirectionnelle : la connexion peut être établie dans l'une ou l'autre direction.

• Entrante : la connexion est établie par un système distant.

• Sortante : la connexion est établie par un système local.

Tableau A-2 Gestionnaire d'agents

Port pardéfaut

Protocole Direction du trafic sur le serveurMcAfee ePO

Direction du trafic dans legestionnaire d'agents

80 TCP Connexion bidirectionnelle vers etdepuis le serveur McAfee ePO.

Connexion bidirectionnelle vers etdepuis le gestionnaire d'agents.

389 TCP Connexion sortante à partir du serveurMcAfee ePO.

Connexion sortante à partir dugestionnaire d'agents.

443 TCP Connexion entrante vers le serveurMcAfee ePO.

Connexion entrante vers legestionnaire d'agents.





1434 UDP Connexion sortante à partir du serveurMcAfee ePO.



Présentation des portsRéférence rapide en matière de trafic A


Tableau A-2 Gestionnaire d'agents (suite)

Port pardéfaut

Protocole Direction du trafic sur le serveurMcAfee ePO

Direction du trafic dans legestionnaire d'agents



8444 TCP Connexion entrante vers le serveurMcAfee ePO.


Tableau A-3 McAfee Agent

Port par défaut Protocole Direction du trafic

80 TCP Connexion sortante vers le serveur McAfee ePO et le gestionnaired'agents.

443 TCP Connexion sortante vers le serveur McAfee ePO et le gestionnaired'agents.

8081 TCP Connexion entrante à partir du serveur McAfee ePO et du gestionnaired'agents.

Si l'agent est un référentiel SuperAgent, la connexion entranteprovient des autres agents.

8082 UDP Connexion entrante vers les agents.

Les connexions entrante et sortante sont établies depuis et vers unréférentiel SuperAgent.

Tableau A-4 SQL Server

Port par défaut Protocole Direction du trafic

1433 TCP Connexion entrante à partir du serveur McAfee ePO et du gestionnaired'agents.

1434 UDP Connexion entrante à partir du serveur McAfee ePO et du gestionnaired'agents.

A Présentation des portsRéférence rapide en matière de trafic


B Etablissement d'une connexion à laconsole distante

En utilisant le nom ou l'adresse IP de votre serveur McAfee ePO et le numéro de port decommunication du serveur, vous pouvez vous connecter à ePolicy Orchestrator et le configurer à partirde n'importe quel navigateur Internet pris en charge.

Lorsque vous vous connectez à ePolicy Orchestrator à l'aide d'une connexion distante, certainesmodifications de la configuration ne sont pas autorisées. Par exemple, vous ne pouvez pas lancer defichiers exécutables enregistrés via une connexion distante.

Pour configurer une connexion distante, vous devez identifier le nom de votre serveur McAfee ePO, ouson adresse IP, ainsi que le numéro de port de communication du serveur. Lorsque vous lancez ePolicyOrchestrator, en étant connecté sur votre serveur McAfee ePO physique, notez l'adresse qui apparaîtdans le navigateur. Elle doit être similaire à ce qui suit :

https://win-2k8-epo50:8443/core/orionSplashScreen.do

Dans cette URL donnée en exemple :

• win-2k8-epo51 : nom du serveur McAfee ePO

• :8443 — Numéro du port de communication console-serveur d'applications utilisé par ePolicyOrchestrator.

Si vous ne l'avez pas modifié, le numéro de port par défaut est 8443.

Procédure1 Ouvrez n'importe quel navigateur Internet pris en charge par ePolicy Orchestrator. Consultez le

Guide d'installation de McAfee ePolicy Orchestrator pour obtenir la liste des navigateurs pris encharge.

2 Dans la barre d'adresse du navigateur, saisissez l'une des adresses suivantes, puis appuyez surEntrée :https://<nom_serveur>:8443

https://<adresseip_du_serveur>:8443

Par exemple, https://win-2k8-epo51:8443

3 Connectez-vous à ePolicy Orchestrator. Vous avez établi une connexion à la console distante.

Consultez le Guide de création de scripts de ePolicy Orchestrator pour obtenir des exemples decommandes développées que vous pouvez exécuter à partir d'une connexion à la console distante.


B Etablissement d'une connexion à la console distante


Index

Aaction Contrôler l'intégrité IP 120

activation de la fonction de relais d'un agent 159

Active Directoryapplication d'ensembles d'autorisations 45

configuration de l'autorisation Windows 47

connexion de l'utilisateur 43

conteneurs, mappage à des groupes de l'arborescence dessystèmes 129

stratégies d'implémentation 45

synchronisation des systèmes uniquement 118

administrateursautorisations 60

création de groupes 113

gestion des comptes d'utilisateur 42

présentation 60

sites sources, configuration 70

administrateurs globauxautorisation requise pour la reprise sur sinistre 312

adresse IPcontrôle du chevauchement d'adresses IP 120

critère de regroupement 115

critères de tri 122, 127

intervalle, critère de tri 127

IPv6 29

masque de sous-réseau, critère de tri 127

tri 120

affectation de stratégieaffichage 222, 223

catalogue de stratégies 205

copier-coller 212–214

groupe, affectation 210

mise en œuvre désactivée, affichage 223

systèmes, affectation 210, 211

verrouillage 205

affectation des problèmes 307

affectations de gestionnaireaffichage du résumé 103

gestion 103

modification de la priorité 103, 106

affichage des détails des problèmes 307

agentappel initial au serveur 121

appels de réactivation 151

agentconfiguration de stratégies pour l'emploi de référentiels 75

configuration des paramètres de serveur proxy 74

convertir en SuperAgent 154

fonction de relais 157

fonction de relais, activation 159

fonction de relais, désactivation 158

GUID et emplacement dans l'arborescence des systèmes121

maintenance 149

McAfee Agent, composants d'ePolicy Orchestrator 15

regroupement 105

regroupement par règles d'affectation 105

réponses et transmission des événements 294

requêtes fournies par 167

agents inactifs 165

agrégation, voir notifications ajout de commentaires aux problèmes 307

appels de réactivationdescription 151

groupes de l'arborescence des systèmes 152

manuels 151

SuperAgents 151, 153

tâches 151

Appliquer le marqueur, action 141

arborescence des systèmesaffectation de stratégie à un groupe 210

alimentation des groupes en systèmes 122

contraintes en termes d'accès 114

création, automatisée 115

ensembles d'autorisations 114

groupes et appels de réactivation manuels 152

regroupement des agents 107

tri par critères 118

Arborescence des systèmesdéfini 113

groupe Collecteur 112

groupes enfants et héritage 113

groupes parents et héritage 113

niveau Mon organisation 112

structure 111

suppression de systèmes 113

authentificationconfiguration pour Windows 46


authentification par certificatconversion de fichier PVK en PEM 59

création d'un certificat autosigné 56

mise à jour du fichier de liste de révocation de certificats 53

modification de l'authentification par certificat du serveur51

signé par une autorité de certification tierce 56

utilisation de commandes OpenSSL 59

authentification par certificat clientactivation 51

configuration d'ePolicy Orchestrator 51

configuration des utilisateurs 52

désactivation 52

présentation 50

résolution de problèmes 54

stratégies d'utilisation 50

authentification Windowsactivation 46

stratégies 45

autorisationsadministrateur 60

affectation pour les notifications 296

affectation pour les réponses 297

requêtes 267

stratégies 45

tableaux de bord 258

Bbande passante

considérations liées à la transmission d'événements 300

facteurs à prendre en compte pour les tâches d'extraction87

référentiels distribués 65

tâches de réplication 88

bande passante réseau, voir organisation de l'arborescence dessystèmes 114

base de donnéesrestauration SQL 248

base de données SQLplanification de l'instantané 248

présentation de la restauration 317

présentation de la sauvegarde 315

reprise sur sinistre 312

restauration de la base de données 248

restauration et sauvegarde 249

bases de donnéesplanification de l'instantané 248

ports et communication 20




requêtes et extraction de données 268

requêtes multiserveurs 277


bonnes pratiquesduplication des stratégies avant l'affectation 205

branche Actuelsarchivage de packages de mise à jour 201

définition 68

branche Evaluationdéfinition 68

utilisation pour les nouveaux fichiers DAT et moteurs 239

branche Précédentsdéfinition 68

déplacement de packages de fichiers DAT et de moteur 200

enregistrement des versions de package 200

branchesActuels 201

déplacement manuel des packages 201

Evaluation 239

Modifier la branche, action 239

Précédents 200

suppression de packages de fichiers DAT et de moteur 200

types, référentiels 68

Ccatalogue de marqueurs 141

catalogue de stratégiesaffichage de la page 203

utilisation 206

certificat de sécuritécréation d'un certificat autosigné 56

installation 55, 56

organisme de certification 54

certificat de serveurremplacement 55

suppression 52

certificats SSLdescription 54

clé de licence 38

clés, voir clés de sécurité clés ASSC, voir clés de communication sécurisée agent-serveur

134

clés de communication sécurisée agent-serveuravec le transfert des systèmes 134

exporter et importer des clés 136

clés de sécuritéclés maîtres dans des environnements multiserveurs 173

communication sécurisée agent-serveur 171, 175

communication sécurisée agent-serveur, utilisation 175

contenu d'autres référentiels 172

généralités 171

gestion 173

paramètres serveur 20

privée et publique 172

utilisation d'une clé maître 173

communication agent-serveurclés de communication sécurisée agent-serveur 175

description 149

Index


communication agent-serveur (suite)gestion 168

tri de l'arborescence des systèmes 120

communication sécurisée agent-serveuraffichage des systèmes utilisant une paire de clés 177

description 171

utilisation d'une même paire de clés 177

utilisation de paires de clés différentes pour les serveurs178

utilisation des clés 175

comparaison de stratégies 224

comparaison de tâches client 241

composantsePolicy Orchestrator, description 15

référentiels, description 65


Serveur McAfee ePO, à propos 15

comptestypes d'utilisateur 41

comptes d'utilisateurgestion 42

modification des mots de passe 42

types 41

configuration 25

fonctionnalités essentielles 34

liste de systèmes dans les groupes de marqueurs 145

présentation 31

configuration de l'authentification pour Windows 43

conformitécréation d'une requête 220

génération d'événements 221

connexion à la console distante 333

connexions LAN (réseau local) et limites géographiques 114

connexions VPN (réseau privé virtuel) et limites géographiques114

connexions WAN (réseau étendu) et limites géographiques 114

contactsréponses 302

contraintes en termes d'accès pour l'arborescence dessystèmes 114

conventions et icônes utilisées dans ce guide 11

convertir des agents en SuperAgents 154

création de problèmes 306

critères de triadresse IP 120

configuration 127

groupes 127

groupes, automatisation 116

par adresse IP 127

par marqueurs 116, 121, 127

tri des systèmes dans des groupes 118

critères de tri par marqueurs 116, 121

Ddépannage

authentification par certificat client 54

vérification des propriétés de McAfee Agent et des produits167

déploiementaffichage 191

affichage de tâche client affectée 237

archivage manuel de packages 200

d'un nouvel exemple de produit 195

installation de produits 233, 235

mise à jour globale 197

packages pris en charge 230

procédures 230

produits et mises à jour 232

produits et mises à jour, première fois 233

sécurité des packages 230

tâches, systèmes managés 233

déploiement de produitsaffichage 191

affichage de tâche client affectée 237

comparaison avec la méthode de déploiement par tâcheclient 188

création 192

méthodes 187

projets 188

surveillance et modification 190, 193

désactivation de la fonction de relais d'un agent 158

documentationconventions typographiques et icônes 11

produit, obtention d'informations 12

public visé 11

domaines NTimportation dans des groupes créés manuellement 130

mise à jour des groupes synchronisés 133

synchronisation 118, 130

Eéléments de rapport

configuration des graphiques 283

configuration des images 282

configuration des tableaux 283

configuration du texte 282

réorganisation 285

suppression 284

enregistrement de serveurs de base de données 95


affectation à des rapports 286

application à des groupes Active Directory 45

arborescence des systèmes 114

exemple 60

interaction avec les utilisateurs et les groupes 60

mappage à des groupes Active Directory 43

Ensembles d'autorisationsgestion 61

Index


Ensembles d'autorisations (suite)importation et exportation 61

entrées en double dans l'arborescence des systèmes 130

ePolicy Orchestratorconnexion à la console distante 333

connexion et déconnexion 19

fonctionnalités essentielles 35

fonctionnement du logiciel 16

Introduction 13

Essai de tri, action 118

événementsdéfinition des événements à transmettre 300

événements de conformité 221

filtrage, paramètres serveur 20

intervalles pour les notifications 300


transmission et notifications 295

événements de stratégieen réponse aux 163

évolutivitédescription 27

horizontale 27

planification 27

utilisation de gestionnaires d'agents 28

utilisation de plusieurs serveurs 28

verticale 27

Exemple de VirusScan Enterprisedéploiement 195

exportationaffectations des stratégies 97


marqueurs 97

objets tâche client 97

procédures 97

rapports 287

référentiels 97

réponses 97, 297

requêtes 97

stratégies 97

systèmes 97

tableaux de bord 97

exportation des systèmes 125

expression secrète de chiffrement de la banque de clésconfiguration 322


Ffichier de liste de révocation de certificats, mise à jour pour

l'authentification par certificat 53

fichiers d'extensioninstallation 199

fichiers DATVoir aussi fichiers de signatures de détection

branches de référentiel 201

fichiers DATVoir aussi fichiers de signatures de détection

évaluation 239

suppression du référentiel 200

fichiers de liste de référentielsajout d'un référentiel distribué 79

description 69

exportation 86

importation 87

priorité des gestionnaires d'agents 101

SiteList.xml, utilisation 69

utilisation 85

fichiers de signatures de détection 15

fichiers exécutablesgestion 299

fichiers journauxjournal des tâches serveur 245

fichiers Sitelist 101

filtresdéfinition, pour les règles de réponse 301

journal des tâches serveur 245

liste 23

paramètres du filtrage des événements 20

résultats de requête 269

fonction de relais 157

fonction de relais, activation 159

fonction de relais, désactivation 158

fonctionnalités, ePolicy Orchestratorcomposants 15

GGénérateur de marqueurs, Assistant 141

Générateur de rapportscréation de rapports personnalisés 267

Générateur de réponses, Assistant 302

Générateur de requêtescréation de requêtes personnalisées 267

description 269

types de résultats 269

Générateur de requêtes, Assistantcréation de requêtes personnalisées 271

Générateur de tâches serveur, Assistant 148

gestion de la sécurité 109

gestion des problèmes 305

gestion des stratégiescréation de requêtes 219

utilisation de groupes 113

utilisation des tâches client 240

gestion du cloudfonctionnement du logiciel 16

gestionnaire de logiciels 181

compatibilité des produits 183

contenu 181

description 181

Index


Gestionnaire de logicielsarchivage d'extensions 182

archivage de packages 182

logiciels d'évaluation 182

logiciels sous licence 182

suppression d'extensions 182

suppression de packages 182

gestionnairescréation de groupes 104

déplacement d'agents 105

priorité 101

regroupement des agents 107

gestionnaires d'agentsaffectation des agents 102

configuration et gestion 102

déplacement d'agents 105

description 99

évolutivité 28

fonctionnement 99

modes d'authentification 99

multiples 99

priorité d'affectation 106

priorité dans le fichier Sitelist 101

quand ne pas utiliser 28

quand utiliser 28

graphiques, voir requêtes 269

groupe Collecteur 112

groupe Mon organisation de l'arborescence des systèmes 112

groupesaffichage de l'affectation de stratégie 223

collage des affectations de stratégie 213

collecte 121

configuration des critères de tri 127

contrôle de l'accès 60

création manuelle 123

critères de tri 126

défini 113

définition à l'aide de l'adresse IP 115

déplacement manuel des systèmes 134

importation de domaines NT 130

mise à jour manuelle avec les domaines NT 133

mise en œuvre des stratégies pour un produit 211

par critères 121

stratégies, héritage 113

systèmes d'exploitation 115

tri, automatisation 116

groupes de collecte 121

groupes de gestionnairescréation 104

description 101

modification des paramètres 104

suppression 104

guide, présentation 11

Hhéritage

bloqué, réinitialisation 224

consultation des stratégies 224

défini 113

paramètres de stratégie 205

héritage bloquécréation de requêtes 219

hiérarchie de SuperAgents 156

homologue à homologue ; meilleures pratiques 160

IID global unique (GUID) 121

importationaffectations des stratégies 97


marqueurs 97

objets tâche client 97

principes de base 97

procédures 97

rapports 287

référentiels 97

réponses 97, 297

requêtes 97

stratégies 97

systèmes 97

tableaux de bord 97

informations d'identificationmise en cache pour le déploiement 168

modification des enregistrements de base de données 96

informations d'identification pour le déploiement de l'agent 168

installationplanification 27

installation de produitconfiguration des tâches de déploiement 233, 235

installation de fichiers d'extension 199

instantanécomposant de la reprise sur sinistre 311

configuration 248

création 319

création à partir de l'API web 320

création depuis le tableau de bord 319

détails du journal des tâches serveur 319

enregistrements dans la base de données 315

moniteur de tableau de bord 312

planification par défaut 248

présentation 315

interfacebarre de favoris 19

menu 19

Menu 20

navigation 19

Internet Explorerconfiguration des paramètres de serveur proxy 74

Index


intervalle de communication agent-serveur 150

intervalle pour les événements de notification 300

intervallesentre notifications 300

Jjournal d'audit

affichage et purge de l'historique des actions 48

description 48

purge automatique 49

utilisation avec le déploiement de produits 191

journal des événements de menaceconsultation et purge 252

description 251

journal des tâches serveurafficher, supprimer et purger les tâches 245

description 245

KKit de ressources Microsoft Windows 125

LLiens McAfee, moniteur par défaut 262

ligne de tableau, sélection de case à cocher 24

limitation, voir notifications limites géographiques, avantages 114

limites, voir organisation de l'arborescence des systèmes 114

liste de compatibilité des produitsconfiguration de la source du téléchargement 185

présentation 183

listesfiltrage 23

recherche 23

listes, utilisation 22

logiciel ePolicy Orchestratordescription 15

Mmarqueurs 97

application 147, 148

application manuelle 146

création à l'aide de l'Assistant Générateur de marqueurs141

création, suppression et modification des sous-groupes 143

critères de tri des groupes 116

édition, suppression, exportation et déplacement 142

exclusion de systèmes du marquage automatique 144

par critères 118

tri par critères 127

marqueurs par critèresapplication 147, 148

tri 127

marqueurs, sous-groupescréation, suppression et modification 143

McAfee Agentpropriétés, affichage 167

statistiques 161

McAfee Agent, voir agent 15

McAfee Product Improvement Programconfiguration 38

suppression du programme 39

McAfee ServicePortal, accès 12

meilleures pratiquescréation de l'arborescence des systèmes 122

déploiement de produits 230

importation de conteneurs Active Directory 129

intervalle de communication agent-serveur 149

verrouillage de l'affectation de stratégie 205

Menunavigation dans l'interface 20

messagepersonnalisé pour la connexion 43

messages de connexion 43

messages de connexion personnalisés 43

Microsoft Internet Information Services (IIS) 67

mise à jourautomatique, au moyen de la mise à jour globale 197

description du processus 232

fichiers DAT et moteur 232

globale, processus 196

planification d'une tâche de mise à jour 238

tâches de déploiement 230

mise à jour des fichiers DATà partir de sites sources 70

archivage manuel 201

déploiement 232

éléments à prendre en compte lors de la création de tâches237

planification d'une tâche 238

référentiel maître 68

tâche quotidienne 238

mise à jour du moteurà partir de sites sources 70

planification d'une tâche 238

référentiel maître 68

Mise à jour du moteurarchivage manuel 201

packages de déploiement 232

mise à jour globaleactivation 197

conditions requises 196

contenu 75


mise en œuvre des stratégiesactivation et désactivation 211

affichage des affectations avec mise en œuvre désactivée223

modalités de mise en œuvre des stratégies 203

Index


mise en œuvre des stratégies (suite)pour un produit 211, 212

mises à jourarchivage manuel 200

facteurs à prendre en compte pour la création de tâches237

packages de déploiement 232

packages et dépendances 230

planification d'une tâche de mise à jour 238

pour les systèmes sélectionnés 162

sécurité et signature des packages 230

sites sources 65

tâches client 237

mises à jour de produitsarchivage manuel de packages 200

déploiement 232



sites sources 65

types de packages pris en charge 230

mode d'évaluation 38

modification des enregistrements de serveur de base dedonnées 96

modification des problèmes 307

Modifier la branche, action 239

moniteur, reprise sur sinistreétat de l'instantané 312

moniteurs 257

configuration 260

inclus dans les tableaux de bord 262

moniteurs de tableau de bordconfiguration 260

déplacement et redimensionnement 262

moteursbranches de référentiel 201

suppression du référentiel 200

mots de passeformats pris en charge 43

modification dans les comptes d'utilisateur 42

Nnavigation

barre de navigation 20

Menu 20

par menu 19

par menus 20

navigation par menu 19

NETDOM.EXE, création d'un fichier texte 125

notificationsaffectation d'autorisations 296

destinataires 138

fichiers exécutables enregistrés, gestion 299

fonctionnement 138

limitation, agrégation et regroupement 138, 292

serveurs SNMP 94, 298

notificationstransmission des événements 295

Nouveau groupe, Assistantcréation de groupes 274

Oorganisation de l'arborescence des systèmes

ajout de systèmes aux groupes 124

bande passante réseau 114

considérations relatives à la planification 114

création de groupes 122

déplacement manuel des systèmes dans des groupes 134

entrées en double 130

fichiers texte, importation des systèmes et des groupes 125

importation de conteneurs Active Directory 129

importation des systèmes et des groupes 126

limites de votre réseau 114

mappage des groupes à des conteneurs Active Directory129

systèmes d'exploitation 115

utilisation de sous-groupes 130

Ppackages


configuration de la tâche de déploiement 235

déplacement entre les branches de référentiel 201

sécurité 230

packages de déploiement de produitmises à jour 230

packages pris en charge 230


packages de déploiement de produitsarchivage 200


packages de langue, voir agent 114

packages sélectionnésdésactivation de la réplication 82

éviter la réplication 81

paramètres de proxyagent 74

configuration pour le référentiel maître 73


paramètres serveurcatégories par défaut 20

certificats SSL 54

Internet Explorer 74

mise à jour globale 75, 197

notifications 139, 293

paramètres de proxy 38

ports et communication 20

proxy, référentiels maîtres 65


tableaux de bord 20

Index


paramètres serveur (suite)types 20

partage de stratégiesaffectation 225

désignation 226

plusieurs serveurs McAfee ePO 226

serveur enregistré 225

utilisation de serveur enregistré 225

utilisation des tâches serveur 225, 226

planificationapplication de marqueurs par critères 148

instantané pour la reprise sur sinistre 248

tâches serveur avec la syntaxe cron 244

planification de tâche serveurstratégie à partager 226

plusieurs serveurs McAfee ePOpartage de stratégies 226

port de communication de l'agent 169

portscommunication de l'agent 169


paramètres serveur et communication 20

problèmesaffectation 307

affichage des détails 307

ajout de commentaires 307

création 306

création automatique à partir des réponses 307

description 305

gestion 305

modification 307

suppression 307

utilisation 305

problèmes, purgeproblèmes fermés 308

problèmes fermés suivant une planification 309

product improvement programconfiguration 38

suppression du programme 39

propriétésMcAfee Agent, affichage à partir de la console 167

produit 166

système 166

vérification des modifications apportées à la stratégie 167

propriétés de produit 166

purge des problèmes fermés 308

manuelle 308

Rrapports 255

affichage de la sortie 285

ajout à un groupe 286

ajout d'éléments 281

configuration 270

rapports 255

configuration d'un modèle ou d'un emplacement 288

configuration des éléments Graphique 283

configuration des éléments Image 282

configuration des éléments Tableau 283

configuration des éléments Texte 282

création 267, 280

description 278

en-têtes et pieds de page 284

exécution 286

exécution à l'aide d'une tâche serveur 286

formats 268

importation et exportation 287

modification 280

planification 286

réorganisation des éléments 285

résultats de requête exportés 268

structure et taille de page 279

suppression 289

suppression d'éléments 284

utilisation 279

Recherche rapide 23

Recherche rapide de systèmes, moniteur par défaut 262

Rechercher les critères de marquage, action 141

recommandations de McAfeecréation d'une tâche serveur Données cumulées 277

déploiement des agents lors de l'importation de grandsdomaines 130

évaluation des limites de l'organisation 114

planification de l'arborescence des systèmes 114

planification des tâches de réplication 88

utilisation de la mise à jour globale 196

utilisation des adresses IP pour le tri 115

utilisation des critères de tri par marqueurs 116

Recommandations de McAfeedéploiement graduel de produits 230

duplication des stratégies avant affectation 205

référentiel maîtrearchivage manuel de packages 201

clés de sécurité dans des environnements multiserveurs173

ePolicy Orchestrator, composants 15

mise à jour à l'aide de tâches d'extraction 87

paire de clés pour le contenu non signé 172

référentiels 97

branches 68, 201, 239

clés de sécurité 171, 173

concept 65

création d'un référentiel SuperAgent 76

création d'une hiérarchie de SuperAgents 156

importation à partir du fichier de liste de référentiels 87

interactions 70

maîtres, configuration des paramètres de serveur proxy 73

non managés, copie du contenu 84

réplication et sélection 89

site source 65

Index


référentiels 97 (suite)types 65

UNC 83

référentiels de partage UNCactivation du partage de dossier 82

création et configuration 78

description 67

modification 82

référentiels de partage UNCutilisation

recommandations 83

référentiels distribuésactivation du partage de dossier 82

ajout à ePolicy Orchestrator 79

bande passante limitée 65


description 65, 67

dossier, création 79

ePolicy Orchestrator, composants 15

modification 82

non managés 67

non managés, copie du contenu 84

réplication des packages dans les référentiels SuperAgents77

sélection par les agents 89

SuperAgent, procédures 76

suppression 83

suppression de référentiels SuperAgents 78

types 67

référentiels distribués locaux 84

référentiels FTPactivation du partage de dossier 82


description 67

modification 82

référentiels HTTPactivation du partage de dossier 82


description 67

modification 82

référentiels maîtrescommunication avec les sites sources 73

configuration des paramètres de serveur proxy 73

description 65

utilisation des tâches de réplication 88

référentiels non managés 67

référentiels SuperAgentsconditions de la mise à jour globale 196

création 76

description 67

procédures 76

réplication des packages 77

suppression 78

règlesconfiguration des contacts pour les réponses 302

règlesconfiguration pour les notifications, serveurs SNMP 298

par défaut pour les notifications 139, 293

règles d'affectationagents et gestionnaires 105

règles d'affectation de stratégie 215

affichage de la synthèse 218

basées sur l'utilisateur 215

basées sur le système 215

création 217

critères de règle 215

description 215


modification de la priorité 218

priorité 215

stratégies à emplacements multiples 215

stratégies basées sur l'utilisateur 216

stratégies basées sur le système 217

suppression et modification 218

règles de notificationimportation de fichiers .MIB 298

par défaut 139, 293

règles de réponsecréation et modification 301

définition de filtres 301

définition de seuils 302

page Description 301

regroupement, voir notifications Répertoire, voir arborescence des systèmes 129

réplicationdésactivation pour les packages sélectionnés 82

éviter pour les packages sélectionnés 81

réponses 97, 297

affectation d'autorisations 297

configuration 294, 295, 299, 302

configuration pour créer automatiquement des problèmes307

contacts 302

planification 293

questions fréquemment posées (FAQ) 304

règles de déclenchement 302

serveurs SNMP 297, 298

transmission des événements 294

réponses automatiques 163, 291

reprise sur sinistrecomposants 312

configuration des instantanés 248

expression secrète de chiffrement de la banque de clés 312

instantané 311


présentation 311, 315

tâches serveur 248

Reprise sur sinistreinformations requises pour 250

Index


requêtes 97

actions sur les résultats 268

agent 167

autorisations 267

changement de groupes 274

configuration 270

création d'une requête de conformité 220

cumul, de plusieurs serveurs 277

description 268

exécution 273

exportation sous la forme de rapports 268

exportation vers d'autres formats 276

filtres 269

formats de rapport 268

groupe de requêtes personnelles 274


personnalisées, gestion 271

planifiées 273

résultats affichés sous forme de tableau 269

résultats et moniteurs de tableau de bord 268

sous-action 273

type de résultats 277

types de graphique 269

utilisation 271

utilisation dans une tâche serveur 221

utilisation des résultats pour exclure des systèmes dumarquage 144

résolution de problèmesdéploiement de produits 230

restauration automatique sur votre serveur d'origine 317

restauration et sauvegardepour la base de données SQL 249

Sserveurs

base de données 95

enregistrement de serveurs supplémentaires 91

importation de stratégies 210

importation et exportation de requêtes 275

mise à niveau matérielle à l'aide de la reprise sur sinistre311

paire de clés du référentiel maître 172

paramètres et comportement contrôlé 20

partage d'objets entre 97

partage de stratégies 209

présentation de la configuration 31



quand utiliser plusieurs serveurs 28


Reprise sur sinistre 250


Serveur McAfee ePO, composants 15

serveurs LDAP, enregistrement 93

SNMP, notifications 298

serveursSNMP, réponses 297

transfert de systèmes 135

types à enregistrer 91

types de serveurs pris en charge 91

serveurs de base de donnéesà propos de l'utilisation 95

enregistrement 95

modification des enregistrements 96

suppression 96

serveurs de messagerieconfiguration des réponses 295

serveurs enregistrésactivation du partage de stratégies 225

ajout de serveurs SNMP 94

enregistrement 91

pris en charge par ePolicy Orchestrator 91

serveurs LDAP, ajout 93

serveurs LDAPstratégies d'authentification 45

serveurs LDAP, enregistrement 93

serveurs SNMPVoir aussi réponses

enregistrement 94

serveurs SQL Server, voir bases de données ServicePortal, obtention de documentation sur le produit 12

sitesde secours 65, 70

inversion des sites sources et de secours 72

modification 72

suppression de sites sources ou de secours 72

sites de secoursconfiguration 70

conversion en sites sources 72

description 65

modification 72

suppression 72

sites sourcesconfiguration 70

conversion en sites de secours 72

création 71

de secours 65

description 65

importation à partir de SiteMgr.xml 87

mises à jour de produits 65

modification 72

packages de mise à jour 232

suppression 72

sous-groupesgestion des stratégies 130

par critères 121

sous-réseaux, critère de regroupement 115

SPIPE 149

Index


stratégie McAfee Defaultquestions fréquemment posées (FAQ) 227

stratégie My Defaultquestions fréquemment posées (FAQ) 227

stratégies 97

affectation et gestion 208

affichage 203, 221

attribution aux systèmes 205

catégories 203

comparaison 224

configuration 208

contrôle, dans la page Catalogue de stratégies 206

description 203

en réponse aux événements 163

gestion, dans la page Catalogue de stratégies 207

héritage 205

héritage bloqué, réinitialisation 224

héritage d'un groupe, affichage 224

importation et exportation 203, 209, 210

modification du propriétaire 208

paramètres, affichage 222

partage entre serveurs McAfee ePO 209

propriété 205, 223

questions fréquemment posées (FAQ) 227

réponse automatique 163

utilisation de marqueurs pour l'affectation 217

utilisation du catalogue de stratégies 206

vérification des modifications 167

stratégies appliquéescréation de requêtes 219

stratégies basées sur l'utilisateurcritères 216

description 216

stratégies basées sur le systèmecritères 217

description 217

stratégies mises en œuvre, voir mise en œuvre des stratégies211

SuperAgentsappels de réactivation 151, 153

appels de réactivation envoyés à des groupes del'arborescence des systèmes 152

convertir des agents 154

hiérarchie 156

mise en cache 154

présentation 153

référentiels distribués 67

support technique, recherche d'informations sur un produit 12

suppression des enregistrements de serveur de base dedonnées 96

suppression des problèmes 307

synchronisationActive Directory 118

déploiement automatique d'agents 117

domaines NT 118

exclusion de conteneurs Active Directory 117

synchronisationplanification 132

sans entrées en double 118

Synchroniser maintenant, action 116

systèmes et structures 118

systèmes uniquement, avec Active Directory 118

valeurs par défaut 121

synchronisation avec Active Directorygestion des entrées en double 116

limites 114

structure de l'arborescence des systèmes 129

suppression de systèmes 116, 117

Synchroniser maintenant, action 116

systèmes et structure 118

tâches 116

types 117

synchronisation avec des domaines 114

synchronisation de l'arborescence des systèmesplanification 132

structure Active Directory 129

systèmes 97

affectation de stratégie 210, 211

affichage de l'affectation de stratégie 223

collage des affectations de stratégie 214

exportation depuis l'arborescence des systèmes 125

mise en œuvre des stratégies pour un produit 212

propriétés 166

tri dans des groupes 128

systèmes d'exploitationanciens systèmes (Windows 95, Windows 98) 115

filtres de règle de réponse 301

regroupement 115

systèmes managésaffectation de stratégie 223

communication agent-serveur 149

gestion des stratégies 203

installation de produits 235

mise à jour globale 65

requêtes avec données cumulées 277

tâches 233

tâches de déploiement 233

tri, par critères 118

Ttableaux de bord 97

configuration des moniteurs 260

configuration des rapports exportés 288

création d'instantané 319

déplacement et redimensionnement des moniteurs 262

descriptions 262

gestion 258


initiale 264

intervalles d'actualisation 264

Index


tableaux de bord 97 (suite)introduction 257

McAfee 257

moniteurs inclus 262

moniteurs par défaut 262

octroi d'autorisations 258


privés 257

publics 257

tables, utilisation 22

tâches clientaffichage 237

catalogue de tâches client 229

comparaison 241

comparaison avec les projets de déploiement de produits188

création 240

description 229

exécution immédiate 165

modification des paramètres 241

objets 229

partage 229

suppression 241

utilisation 240

tâches client, à la demande 165

tâches d'extractionfacteurs à prendre en compte pour la planification 87


mise à jour du référentiel maître 87

tâches de réplicationcomplète et incrémentielle 88


mise à jour du référentiel maître 88

tâches serveurcréer 243

description 243

Données cumulées 277

exécution de rapports 286

fichier journal, purge 245

tâches serveurjournal des tâches serveur 245

planification avec la syntaxe cron 244

planification d'une requête 273

remplacement du certificat de serveur 55


requête avec sous-action 273

stratégie à partager 225

Synchronisation avec Active Directory/domaines NT 116

syntaxe cron permise 244

tâches serveur Données cumulées 277

tri de l'arborescence des systèmesactivation 127, 128

adresse IP 120

classement des sous-groupes 121

communication agent-serveur 120

critères basés sur les marqueurs 121

paramètres des systèmes et des serveurs 20, 120

paramètres par défaut 121

tri des systèmes une seule fois 120

Trier maintenant, action 118

types de serveurspris en charge par ePolicy Orchestrator 91

Uutilisateurs


utilitaire de migration de donnéesutilisé pour la vérification de la compatibilité des produits

183

utilitairesNETDOM.EXE, création d'un fichier texte 125

WWindows

authentification, configuration 43, 46

autorisation, configuration 47

Index


mcafee epolicy orchestrator 5.3.0 logiciel guide produit · créer et remplir des groupes dans...

Documents