KL 002.98 FR Student's Guide Unlocked

Formation Technique KL 002.
98
Kaspersky
Guide de l'tudiant
Endpoint Security for Windows. Dmarrage
Version 1.0
Kaspersky Lab www.kaspersky.com
I1
Unit I. Dploiement
Unit I. Dploiement
Chapitre 1. Problmatiques organisationnelles .......................................................... 4 1.1 Dfinition du problme ........................................................................................................................................... 4 1.2 Procdure ................................................................................................................................................................ 6 Difficults potentielles ............................................................................................................................................ 6 Procdure ............................................................................................................................................................... 8 Tests ..................................................................................................................................................................... 10 Chapitre 2. Installation de Kaspersky Security Center ............................................. 11
2.1 Systmes requis pour le Serveur dadministration ................................................................................................ 11 Configuration logicielle requise........................................................................................................................... 11 Configuration matrielle ncessaire .................................................................................................................... 13 2.2 Installation par dfaut ........................................................................................................................................... 15 Fichiers dinstallation .......................................................................................................................................... 15 Processus dinstallation ....................................................................................................................................... 15 Installation des plug-ins ....................................................................................................................................... 19 Rsultats de linstallation ..................................................................................................................................... 21 2.3 Installation personnalise ...................................................................................................................................... 23 Composants .......................................................................................................................................................... 23 Chemin dinstallation ........................................................................................................................................... 23 Compte du service du Serveur dadministration .................................................................................................. 23 Serveur SQL ......................................................................................................................................................... 25 Dossier partag .................................................................................................................................................... 29 Ports de connexion ............................................................................................................................................... 31 Adresse de connexion ........................................................................................................................................... 31 Plug-ins dadministration .................................................................................................................................... 33 2.4 Configuration initiale ............................................................................................................................................ 33 Cl ........................................................................................................................................................................ 33 Kaspersky Security Network ................................................................................................................................ 35 Notifications ......................................................................................................................................................... 35 Serveur Proxy....................................................................................................................................................... 37 Stratgies et tches............................................................................................................................................... 37 Fin de lassistant .................................................................................................................................................. 39 2.5 Autres composants de Kaspersky Security Center ................................................................................................ 41 Composants .......................................................................................................................................................... 41 Console dadministration ..................................................................................................................................... 41 Console Web ........................................................................................................................................................ 49 Chapitre 3. Installation sur les ordinateurs ............................................................... 61
3.1 Configuration ncessaire ....................................................................................................................................... 61 Conditions pralables pour linstallation de Kaspersky Endpoint Security 8 for Windows ................................ 61
I2
Unit I. Dploiement
Conditions dinstallation pour lAgent dadministration ..................................................................................... 63 3.2 Installation par dfaut au moyen de lassistant ..................................................................................................... 65 Choix du produit................................................................................................................................................... 65 Slection des ordinateurs ..................................................................................................................................... 67 Mthode dinstallation ......................................................................................................................................... 67 Cl ........................................................................................................................................................................ 69 Redmarrage ........................................................................................................................................................ 69 Dplacement des ordinateurs ............................................................................................................................... 70 Spcification du compte........................................................................................................................................ 71 Surveillance du processus dinstallation .............................................................................................................. 71 3.3 Problmes dinstallation ventuels ........................................................................................................................ 75 Spcificits de linstallation ................................................................................................................................. 75 Obstacles probables ............................................................................................................................................. 77 Prparation de lordinateur avec lutilitaire Riprep.exe ..................................................................................... 79 Configuration de laccs au moyen de la stratgie de domaine ........................................................................... 79 3.4 Suppression des outils de protection dautres diteurs .......................................................................................... 85 Outils de dsinstallation ....................................................................................................................................... 85 Dsinstallation laide du programme dinstallation de KES 8.......................................................................... 85 Dsinstallation au moyen de lAgent dadministration ........................................................................................ 88 3.5 Autres mthodes dinstallation .............................................................................................................................. 94 Mthode dinstallation : vue densemble.............................................................................................................. 94 Installation au moyen de paquets autonomes ....................................................................................................... 94 Installation automatique dans un groupe ........................................................................................................... 102 Installation au moyen dActive Directory .......................................................................................................... 108 3.6 Paquets dinstallation .......................................................................................................................................... 110 Paramtres dinstallation de lAgent dadministration ...................................................................................... 112 Paramtres dinstallation de Kaspersky Endpoint Security ............................................................................... 116 Crer des paquets dinstallation ........................................................................................................................ 122 3.7 Surveillance du dploiement ............................................................................................................................... 124 Rapport sur les versions des logiciels ................................................................................................................ 124 Rapport sur le dploiement de la protection ...................................................................................................... 126 tat gnral du dploiement............................................................................................................................... 126 Trouver de nouveaux ordinateurs ...................................................................................................................... 126 Chapitre 4. Gestion de la structure du parc dordinateurs ...................................... 128
4.1 Dtection des ordinateurs .................................................................................................................................... 128 Gestion des ordinateurs dcouverts ................................................................................................................... 128 Analyse du rseau Microsoft .............................................................................................................................. 130 Analyse Active Directory .................................................................................................................................... 134 Analyse des sous-rseaux IP .............................................................................................................................. 138 4.2 Crer la structure des groupes ............................................................................................................................. 142 Groupes dordinateurs ....................................................................................................................................... 142 Administration des groupes ................................................................................................................................ 144 Comment ajouter des ordinateurs aux groupes .................................................................................................. 146 Importer des groupes ......................................................................................................................................... 148 4.3 Rgles de dplacement des ordinateurs ............................................................................................................... 150 O dplacer ........................................................................................................................................................ 152 Quand dplacer .................................................................................................................................................. 152 Quoi dplacer ..................................................................................................................................................... 152 Exemple dutilisation des rgles ......................................................................................................................... 158
I3
Unit I. Dploiement
I4
Unit I. Dploiement
Chapitre 1. Problmatiques organisationnelles

1.1 Dfinition du problme
Dans un dploiement, tous les ordinateurs du rseau doivent tre protgs et ladministrateur doit tre capable de grer la protection de manire centralise. Pour y parvenir, il est ncessaire dinstaller Kaspersky Security Center 9 (KSC 9) et Kaspersky Endpoint Security 8 for Windows (KES 8) sur les ordinateurs. Afin dassurer une administration centralise de la protection et de simplifier le processus de dploiement, il doit y avoir au moins un Serveur dadministration de Kaspersky Security Center install. Les grands rseaux ou les rseaux ayant une architecture inhabituelle peuvent exiger plus dun Serveur dadministration. La Console dadministration Kaspersky est installe automatiquement avec le Serveur dadministration. Des Consoles supplmentaires peuvent tre installes sur les ordinateurs des administrateurs et se connecter distance au Serveur. Toutefois, les administrateurs se connectent souvent la Console installe localement sur le Serveur dadministration via le Bureau distance. Kaspersky Endpoint Security doit tre install sur chaque ordinateur admissible afin de protger le rseau. Kaspersky Endpoint Security seul ne peut interagir avec Kaspersky Security Center. Cest pourquoi lAgent dadministration doit tre install sur chaque ordinateur pour permettre ladministration centralise.
I5
Unit I. Dploiement
I6
Unit I. Dploiement
1.2 Procdure
Difficults potentielles
Linstallation de lantivirus prend du temps, et celui-ci est toujours rare. Dans les grands rseaux composs de nombreux ordinateurs, davantage de temps est ncessaire, mme sil existe un administrateur responsable de la protection antivirus temps plein. Dans les rseaux de taille moyenne, moins de temps est ncessaire. Habituellement, de tels rseaux nont pas dadministrateur antivirus ddi. Les employs du service informatique responsables du dploiement excutent simultanment dautres tches de maintenance des infrastructures TI. Dans les petits rseaux, relativement peu de temps est ncessaire, et lexistence dun administrateur plein temps est peu probable. Un employ ordinaire qui a dj un autre travail faire peut se voir confier le dploiement ou il peut y avoir un administrateur temps partiel qui soccupe du rseau plusieurs heures par semaine. Le problme dun dploiement gourmand en heures de travail est attnu par linstallation distance, laquelle peut son tour susciter de nouveaux problmes. Tout dabord, linstallation distance suppose le transfert de donnes via le rseau, ce qui a pour effet une augmentation de la charge du rseau. Ensuite, linstallation distance fonctionne trs rarement pour 100 % des ordinateurs du rseau. Certains ordinateurs peuvent tre temporairement hors du rseau de lorganisation, teints ou inaccessibles via le rseau, laccs distance peut tre limit par une stratgie de scurit ou dautres outils de protection. Des problmes de compatibilit peuvent galement survenir lors du dploiement. Les outils de protection dautres diteurs peuvent gner linstallation ou le fonctionnement de Kaspersky Endpoint Security. Ces outils de protection doivent tre dsinstalls avant linstallation de Kaspersky Endpoint Security, ce qui rend le dploiement encore plus gourmand en temps. Kaspersky Endpoint Security dans sa configuration par dfaut peut parfois gner dautres programmes. Ce nest pas le cas avec les programmes standard les plus rpandus, mais des applications moins frquentes, un logiciel mdical ou dautres systmes spciaux par exemple peuvent prsenter des risques. Ces problmes dinteraction doivent tre identifis pendant la phase de prparation et pris en considration lors de lajustement des paramtres de Kaspersky Endpoint Security.
I7
Unit I. Dploiement
I8
Unit I. Dploiement
Procdure
La procdure recommande en ce qui concerne le dploiement de Kaspersky Endpoint Security dans un rseau est la suivante : 1. 2. Tester. Cest ltape au cours de laquelle les administrateurs tudient les possibilits de KES et essaient didentifier les problmes de compatibilit au moyen de tests prliminaires. Installer le Serveur dadministration de Kaspersky Security Center. Le Serveur dadministration peut servir doutil dinstallation distance et est ncessaire pour administrer la protection sur les ordinateurs aprs la fin du dploiement. Connecter et protger les postes clients a. Distribuer et installer les Agents dadministration. Ceux-ci rendront les ordinateurs administrables via Kaspersky Security Center. Ils permettent en particulier aux administrateurs de supprimer les outils de protection dautres diteurs et dinstaller Kaspersky Endpoint Security. Les Agents dadministration nentrent presque jamais en conflit avec dautres programmes. Dsinstaller les outils de protection dditeurs tiers. Nous recommandons lutilisation des outils de dsinstallation du systme dexploitation ou du programme dsinstaller. En dernier recours, vous pouvez dsinstaller les logiciels tiers au moyen des fonctionnalits correspondantes du programme dinstallation de Kaspersky Security Center et de Kaspersky Endpoint Security Installer Kaspersky Endpoint Security. Dans les cas simples, cette tape peut tre effectue simultanment avec les tapes 3a et 3b, cest--dire que vous pouvez supprimer les outils de protection par dautres diteurs et installer lAgent dadministration et Kaspersky Endpoint Security dans le cadre de la mme procdure. La dcision dassocier ou de dissocier ces tapes doit tre prise au stade de la prparation.
3.
b.
c.
4.
Crer la structure des groupes. Tous les ordinateurs sont placs dans un groupe unique aprs le dploiement, ce qui peut tre peu pratique, surtout dans les grands rseaux. Les principes et mthodes de ventilation des ordinateurs dans les groupes de Kaspersky Security Center sont dcrits plus loin dans cette unit.
I9
Unit I. Dploiement
I10
Unit I. Dploiement
Tests
Des tests prliminaires sont effectus pendant la phase de prparation afin de dtecter les problmes et de les rsoudre ou de trouver des solutions de rechange lavance. Le temps consacr la phase pr-tests permet dconomiser le temps qui devrait tre consacr rsoudre le mme problme lchelle du rseau. Selon la taille et les ressources disponibles de lorganisation, les tests prliminaires peuvent tre obligatoires ou facultatifs et peuvent tre dcomposs en plusieurs tapes prenant des formes diverses. Dans la plupart des cas, les tests comportent deux tapes cls : 1. Ltude des possibilits. Effectue au mieux sur des machines virtuelles ou, faute de ressources, sur les ordinateurs des administrateurs. Au cours de cette tape, ladministrateur apprend installer, administrer et maintenir le produit. Cette tape permet galement ladministrateur de tester les facettes du plan de dploiement : ordre, mthodes et aspects techniques. Tests de fonctionnement. Effectus au mieux sur plusieurs ordinateurs de production ou encore sur les ordinateurs des administrateurs. Pendant cette tape, ladministrateur teste les mthodes de dploiement prvues et surveille le fonctionnement de Kaspersky Endpoint Security. Le but de cette tape est de rencontrer tous les problmes possibles avant que le produit ne soit dploy lchelle de lentreprise. Au terme de cette tape, ladministrateur doit avoir un plan de dploiement plus dtaill et, si ncessaire, une liste des changements apporter aux paramtres par dfaut de Kaspersky Endpoint Security avant linstallation.
2.
Dans les petits rseaux, les tests prliminaires sont souvent ngligs car le cot des tests est comparable au cot de rsolution des problmes rels survenant dans le rseau. Dans les grandes entreprises, cest linverse qui est vrai et des tests prliminaires doivent gnralement tre effectus avant quun nouveau logiciel ne soit dploy ou que dautres changements ne soient introduits dans le rseau.
I11
Unit I. Dploiement
Chapitre 2. Installation de Kaspersky Security Center

2.1 Systmes requis pour le Serveur dadministration
Configuration logicielle requise
Les systmes dexploitation compatibles et leurs exigences sont numrs ci-dessous : Windows XP Professional Windows Server 2003 (y compris R2, Small Business Server) Windows Vista Windows Server 2008 (y compris R2, Core, Small Business Server) Windows 7 Professional, Enterprise, Ultimate Windows Small Business Server 2011
Les versions 64 bits sont compatibles. Le Serveur dadministration peut tre install sur toutes les ditions majeures de Windows Server, Standard, Enterprise, Datacenter. Les versions client de Windows (XP, Vista, 7) comportent des restrictions quant au nombre de connexions simultanment tablies qui peuvent affecter les performances du Serveur dadministration de faon ngative dans un grand rseau. Par consquent, si le nombre dordinateurs administrs dpasse 1000, il est prfrable dutiliser des serveurs htes pour le Serveur dadministration. Pour les petits rseaux, une station de travail puissante conviendra. Outre le systme dexploitation, les logiciels suivants sont ncessaires : Microsoft.NET Framework 2.0 (inclus dans le kit de distribution) Composants Microsoft Data Access 2.8 (inclus dans le kit de distribution) Composants Windows Data Access 6.0 Windows Installer 4.5
Un serveur SQL est galement ncessaire au fonctionnement du Serveur dadministration. Le support de distribution de Kaspersky Security Center 9 comprend Microsoft SQL Server 2005 Express Edition, une version gratuite de Microsoft SQL Server. Elle est automatiquement installe lors de linstallation par dfaut du Serveur dadministration et suffit aux besoins des tests et de lutilisation quotidienne dans les petits rseaux. Des informations dtailles sur les serveurs SQL sont fournies plus loin dans ce chapitre. Remarquez que lordinateur choisi pour accueillir le Serveur dadministration ne doit pas comporter dAgent dadministration prinstall. Le programme dinstallation dtecte automatiquement lAgent dadministration et rappelle ladministrateur de le dsinstaller.
I12
Unit I. Dploiement
I13
Unit I. Dploiement
Configuration matrielle ncessaire

La configuration matrielle minimale ncessaire est la suivante : Processeur 1,4 GHz or suprieur (1,4 GHz pour les systmes 64 bits) 512 Mo de RAM (en plus de la mmoire ncessaire au systme dexploitation et aux autres applications installes sur lordinateur) 1 Go despace libre sur le disque dur Les conditions pralables spcifies pour lquipement sont vritablement minimales. Un serveur plus puissant sera ncessaire pour un nombre plus important de postes clients. Des recommandations faites sur la base de tests synthtiques sont disponibles dans le Guide de dploiement. Lexprience pratique dutilisation du Serveur dadministration dans les grands rseaux est rsume dans lunit V, Monte en charge .
I14
Unit I. Dploiement
I15
Unit I. Dploiement
2.2 Installation par dfaut

Fichiers dinstallation
Les fichiers dinstallation de KSC 9 peuvent tre tlchargs depuis le site Web de Kaspersky Lab (http://www.kaspersky.com/fr/downloads-security-center) ou partir de la page du produit sur le site de lassistance technique (http://support.kaspersky.com/fr/ksc9?level=2). Plusieurs fichiers de distribution sont disponibles : ksc9.2.69.0fr.exe : le fichier de distribution complet de Kaspersky Security Center comprenant tous les composants de KSC 9, les paquets dinstallation de lAgent dadministration et KES 8 for Windows, SQL Server 2005 Express, .NET Framework et dautres logiciels, ainsi que les plug-ins dadministration de tous les produits compatibles. La taille du fichier de distribution est denviron 600 Mo. ksc9.2.69.0lite_fr.exe : une version simplifie du fichier de distribution sans paquets dinstallation de KES 8 for Windows, SQL Server 2005 Express, .NET framework et de certains autres logiciels, comprenant uniquement les plug-ins indispensables pour administrer les composants de KSC 9 et les outils de protection Windows. La taille du fichier de distribution est denviron 120 Mo. Ce fichier de distribution peut tre utilis pour effectuer la mise jour des composants. kscwc9.0.27.0fr.exe: fichier de distribution de la Console Web de KSC 9, non compris dans les fichiers de distribution indiqus ci-dessus. Linstallation et lutilisation de la Console Web sont dcrites en dtail plus loin dans cette unit. Lorsque la version complte ou simplifie du fichier de distribution est excute, les fichiers dinstallation sont dcompacts dans le dossier spcifi par ladministrateur. Les fichiers dinstallation sont regroups en trois sousdossiers : Server : fichiers dinstallation du Serveur dadministration Console : fichiers dinstallation de la Console dadministration installer sparment du Serveur dadministration NapShvui : fichiers dinstallation de Kaspersky Security Center SHV, le composant permettant linteraction avec Microsoft NAP (protection daccs rseau)
Processus dinstallation
Linstallation du Serveur dadministration peut tre personnalise ou par dfaut. Lors de linstallation par dfaut, ladministrateur est invit : accepter le contrat de licence de Kaspersky Security Center, slectionner le type dinstallation (par dfaut), spcifier la taille du rseau, accepter le contrat de licence de Kaspersky Endpoint Security (condition ncessaire pour en installer le plugin).
Si linstallation est dmarre sur un systme dexploitation de type Windows Server en mode minimal, linstallation personnalise est toujours effectue, car linstallation par dfaut utilise SQL Server 2005 Express, lequel nest pas support par le programme dinstallation du Serveur dadministration en mode minimal.
I16
Unit I. Dploiement
I17
Unit I. Dploiement
Quatre options sont disponibles en ce qui concerne la taille du rseau : Moins de 100 ordinateurs dans le rseau De 100 1000 ordinateurs dans le rseau De 1000 5000 ordinateurs dans le rseau Plus de 5000 ordinateurs dans le rseau
Les paramtres suivants du Serveur dadministration dpendent de loption choisie : Nombre dordinateurs dans le rseau Affichage des Serveurs dadministration secondaires Affichage des sections de paramtres de scurit Cration dune stratgie de lAgent dadministration Dmarrage alatoire de la tche de mise jour de KES 8 (intervalle) Moins de 100 De 100 1000 5 minutes De 1000 5000 + + + 10 minutes Plus de 5000 + + + 10 minutes
Les paramtres des Serveurs dadministration secondaires et les paramtres de scurit sont dcrits dans lunit V, Monte en charge . Ces fonctions sont rarement utilises dans les rseaux de petite et de moyenne taille. La stratgie par dfaut de lAgent dadministration ne modifie pas les paramtres de lAgent. Les paramtres par dfaut de lAgent concident avec ceux prciss dans la stratgie de lAgent. Le but du dmarrage alatoire de la tche de mise jour est de rduire le pic de charge du rseau lors de la distribution des mises jour. Lorsque trop dordinateurs essaient de tlcharger simultanment les mises jour depuis le Serveur dadministration, le Serveur dadministration ou lquipement rseau peuvent se trouver dans lincapacit de faire face aux nombreuses requtes et certains ordinateurs peuvent recevoir une erreur de dpassement de temps. Par ailleurs, une charge rseau leve peut gner dautres applications rseau. Les paramtres par dfaut sont les mmes lorsque ladministrateur slectionne De 1000 5000 ordinateurs ou Plus de 5000 ordinateurs dans le rseau . La seule diffrence est que lorsque loption Plus de 5000 ordinateurs dans le rseau est slectionne, lassistant dinstallation signale que lutilisation de versions gratuites de MS SQL Server est dconseille et que ladministrateur doit se familiariser avec la documentation relative au dploiement du systme dadministration dans de grands rseaux. Lunit V de notre cours, Monte en charge , aborde ces questions.
I18
Unit I. Dploiement
I19
Unit I. Dploiement
Installation des plug-ins

Lors de linstallation par dfaut, les plug-ins dadministration des composants de KSC 9 et KES 8 for Windows sont installs. Lorsque le plug-in de KES 8 est install, ladministrateur est cens accepter le contrat de licence. Cest la dmarche standard pour tous les composants de KES 8 for Windows, y compris le plug-in. Les plug-ins sont installs tout la fin de linstallation du Serveur dadministration. Aprs linstallation du plug-in de KES 8, linstallation est termine. Sur la dernire page, ladministrateur peut accepter de dmarrer la Console dadministration.
I20
Unit I. Dploiement
I21
Unit I. Dploiement
Rsultats de linstallation
Aprs la fin de linstallation par dfaut, la configuration suivante est cre : Kaspersky Security Center est install, savoir le Serveur dadministration, lAgent dadministration et la Console dadministration Serveur SQL : une instance locale de Microsoft SQL Server 2005 Express est installe (elle est incluse dans le kit de distribution de Kaspersky Administration Kit). Linstance est nomme KAV_CS_ADMIN_KIT et la base de donnes KAV Les fichiers programme de Kaspersky Security Center se trouvent dans le dossier %Program Files% 1\Kaspersky Lab\Kaspersky Security Center Les fichiers de donnes de Kaspersky Security Center se trouvent dans le dossier %ProgramData%, dans le rpertoire %ProgramData%\KasperskyLab\adminkit Le dossier partag du Serveur dadministration : le sous-rpertoire Share du dossier de fichiers programme (dont le nom de partage est KLSHARE) Les services du Serveur dadministration, de lAgent dadministration et du proxy de Kaspersky Security Network sont crs et tous dmarrs pour le compte du systme local Adresse de connexion du Serveur dadministration : nom NetBIOS de lordinateur Ports de connexion du Serveur dadministration : 13000 - pour les connexions SSL des Agents dadministration et des Consoles dadministration 14000 - pour les connexions non SSL des Agents dadministration et des Consoles dadministration 13291 - pour les connexions SSL des Consoles dadministration et de la Console Web Plug-ins dadministration Serveur dadministration de Kaspersky Security Center 9 Agent dadministration de Kaspersky Security Center 9 Kaspersky Endpoint Security 8 for Windows Paquets dinstallation Kaspersky Endpoint Security 8 for Windows Agent dadministration de Kaspersky Security Center 9 La plupart de ces paramtres peuvent tre modifis la fois lors de linstallation personnalise et dans les crans de configuration du produit aprs installation. Le chemin daccs aux fichiers de donnes ne peut absolument pas tre modifi et est conforme aux exigences Microsoft. Le chemin daccs aux fichiers programme et au serveur SQL ne peut tre modifi moins de rinstaller Kaspersky Security Center. Si les valeurs par dfaut ne correspondent pas vos besoins, choisissez linstallation personnalise. Celle-ci est dcrite ci-dessous.
Sur les systmes 64 bits, les fichiers programme sont installs dans le dossier %ProgramFiles(x86)%
I22
Unit I. Dploiement
I23
Unit I. Dploiement
2.3 Installation personnalise

Composants
Dans le cadre de linstallation du Serveur dadministration, vous pouvez galement installer les composants suivants : Agent SNMP Kaspersky Lab Cisco NAC Posture Validation Server Prise en charge des priphriques mobiles Lagent SNMP est ncessaire pour que le Serveur dadministration puisse envoyer des notifications via SNMP. Ce composant a besoin du service SNMP (un composant Windows) pour tre install sur lordinateur. Si le service SNMP est absent de lordinateur, lagent SNMP ne sera pas affich dans la liste des composants du Serveur dadministration lors de linstallation. Kaspersky Lab Cisco NAC Posture Validation Server permet dutiliser des informations sur ltat de protection de lordinateur lors de la prise de dcision en ce qui concerne laccs rseau via Cisco NAC. Des informations dtailles sur lintgration avec les systmes de contrle daccs au rseau sont disponibles dans lunit VI. Loption Prise en charge des priphriques mobiles ajoute les composants ncessaires ladministration de Kaspersky Mobile Security Enterprise Edition via Kaspersky Security Center. Toutefois, ce sujet dpasse le cadre de notre cours. Ici, nous nnumrerons que les composants de Kaspersky Security Center qui peuvent tre slectionns dans le programme dinstallation du Serveur dadministration. Certains composants disposent de programmes dinstallation distincts dcrits plus loin dans ce chapitre.
Chemin dinstallation
Sous la liste des composants, vous pouvez changer lemplacement des fichiers programme du Serveur dadministration. Si la seule raison du dplacement des fichiers programme est de leur volume, envisagez de ne dplacer que le dossier partag. Celui-ci peut tre dplac indpendamment des fichiers programme et consomme beaucoup plus despace que les autres fichiers programme. Rappelez-vous galement du dossier %ProgramData%\KasperskyLab qui contient les donnes du Serveur dadministration. En particulier, les copies de sauvegarde du Serveur dadministration sont enregistres cet emplacement par dfaut et consomment beaucoup plus despace que le dossier partag.
Compte du service du Serveur dadministration

Le compte du service du Serveur dadministration doit disposer des droits dadministrateur sur lordinateur slectionn pour linstallation. Si la base de donnes doit tre stocke sur un serveur Microsoft SQL Server install sur un ordinateur distant, le compte doit avoir les droits dadministrateur pour le serveur MS SQL. Si le compte du Serveur dadministration a des droits dadministrateur de domaine, certaines oprations seront simplifies, linstallation distance par exemple. Dans les autres cas, les droits nont pas grande importance. Le compte slectionn sera utilis uniquement pour dmarrer le service du Serveur dadministration. Le service de lAgent dadministration local et le service du proxy KSN sont toujours dmarrs par le compte systme local par dfaut.
I24
Unit I. Dploiement
I25
Unit I. Dploiement
Serveur SQL
Conditions pralables pour le serveur SQL
Le Serveur dadministration utilise une base de donnes pour laquelle un serveur SQL est ncessaire. Les versions suivantes de serveurs SQL sont prises en charge : Microsoft Microsoft SQL Server 2005 Service Pack 2 or ultrieur Microsoft SQL Server 2008 Microsoft SQL Server 2008 R2 MySQL MySQL Enterprise Server 5.0.60 SP1, 5.0.70, 5.0.82 SP1, 5.0.90 MySQL Community Server 5.0.67, 5.0.77, 5.0.85, 5.0.87 SP1, 5.0.91 Les ditions Express de Microsoft SQL Server sont prises en charge. Par ailleurs, Microsoft SQL Server 2005 Express est inclus dans le kit de distribution de Kaspersky Security Center et est automatiquement install lors de linstallation par dfaut. Rappelez-vous que les ditions Express comportent des limitations significatives et ne doivent pas tre utilises pour administrer un grand nombre dordinateurs. Des informations dtailles ce sujet sont fournies dans lunit V, Monte en charge . Les versions de serveurs MySQL prises en charge ne sont pas les plus rcentes. Nous recommandons lutilisation de MS SQL Server dans la mesure du possible. Le serveur SQL peut tre install soit sur le mme ordinateur que le Serveur dadministration, soit sur tout autre ordinateur du rseau. La seule chose importante est que le Serveur dadministration doit tre capable daccder au serveur SQL avec des privilges dadministrateur. Si le Serveur dadministration et le serveur SQL sont installs sur le mme ordinateur, il nexiste alors aucun problme daccs.
I26
Unit I. Dploiement
I27
Unit I. Dploiement
Microsoft SQL Server

Pour avoir accs MS SQL Server via le rseau : Spcifiez ladresse Spcifiez le port Spcifiez linstance du serveur SQL Spcifiez le nom et mot de passe dun compte ayant des privilges dadministrateur pour le serveur SQL 2
Le programme dinstallation de Kaspersky Administration Kit teste la connexion au serveur MS SQL avant de dmarrer linstallation. Pendant linstallation, le programme dinstallation se connecte au serveur SQL et cre une base de donnes pour le Serveur dadministration. Le programme dinstallation agit au nom du compte de lutilisateur qui lexcute. Par consquent, linstallation doit dmarrer sous un compte ayant les privilges dadministrateur du serveur SQL 3. Pour que le Serveur dadministration soit en mesure de fonctionner avec un serveur SQL distant, spcifiez son nom et son adresse dans lassistant dinstallation. Le programme dinstallation peut dtecter automatiquement les serveurs SQL disponibles. Pour les afficher, cliquez sur le bouton Parcourir. Toutefois, le serveur SQL ncessaire peut ne pas tre dtect automatiquement. Il est galement possible que programme dinstallation ne soit pas capable den dtecter les instances. Ladministrateur entrera alors manuellement le nom de linstance. Mme si le nom et ladresse du serveur SQL sont correctement spcifis et si un compte dadministrateur du SQL Server est utilis pour laccs, il est possible que le programme dinstallation ne puisse tablir une connexion. Les raisons possibles comprennent : Le pare-feu Windows : par dfaut, il bloque laccs aux ports du serveur SQL. Crez des rgles autorisant laccs ces ports. Le partage de fichiers simple : il gne lauthentification correcte de ladministrateur. Si le partage de fichiers simple est utilis, des privilges dinvit sont accords tous les utilisateurs connects au rseau. Le service du navigateur de SQL Server : sil nest pas dmarr, il est possible que les connexions distantes SQL Server chouent. Il est dsactiv par dfaut dans MS SQL Server 2005/2008. Paramtres de SQL Server : par dfaut, MS SQL Server 2005/2008 nautorise que laccs local. Activez laccs distance via TCP/IP. De la mme manire que lors de linstallation par dfaut, ladministrateur peut installer une nouvelle instance locale de Microsoft SQL 2005 Express. Cette possibilit est absente lors de linstallation sur Windows Server en mode minimal car le programme dinstallation ne peut installer SQL Server automatiquement. Toutefois, ladministrateur peut linstaller manuellement partir du mme fichier de distribution et spcifier ensuite le serveur SQL local dans lassistant dinstallation du Serveur.
Les droits dadministrateurs sont suffisants, mais des droits de moindre niveau peuvent galement suffire. Au stade de linstallation, les droits doivent tre suffisants pour crer une base de donnes. Pour que le Serveur dadministration fonctionne, les droits doivent tre suffisants pour apporter des changements la base de donnes. 3 Voir la note de bas de page 2.
I28
Unit I. Dploiement
I29
Unit I. Dploiement
Serveur MySQL
Utiliser un serveur MySQL est plus simple. Indiquez de faon explicite ladresse du serveur et son port ainsi que le nom et le mot de passe de ladministrateur. Assurez-vous que laccs distant au serveur MySQL est autoris et que le port de connexion (habituellement 3306) nest pas bloqu par le pare-feu local. Comme le serveur MySQL lui-mme, et non Windows, est responsable de lauthentification, les droits accords au compte utilis pour linstallation ou le partage de fichiers simple activ sur lhte du serveur MySQL nont pas grande importance.
Dossier partag
Par dfaut, le programme dinstallation cre le dossier partag du Serveur dadministration dans le dossier contenant les fichiers programme. Le nom local de ce dossier est Share et son nom rseau est KLSHARE. Le dossier partag contient les fichiers de mise jour et les paquets dinstallation, y compris les paquets dinstallation autonomes (sils ont t crs). Juste aprs linstallation et la configuration initiale, le dossier partag consomme environ 500 Mo despace disque. Sa taille peut augmenter jusqu plusieurs giga-octets en fonction de la manire dont Kaspersky Security Center est utilis. Cest pourquoi il peut tre judicieux de placer le dossier partag du Serveur dadministration sur un lecteur autre que celui du systme. Lemplacement du dossier partag peut tre modifi ultrieurement au moyen de la Console dadministration.
I30
Unit I. Dploiement
I31
Unit I. Dploiement
Ports de connexion
Le Serveur dadministration accepte des connexions en provenance des Agents dadministration sur deux ports TCP : un pour les connexions SSL cryptes, lautre pour les connexions non cryptes. Par dfaut, toutes les connexions sont cryptes dans Kaspersky Administration Kit et le port SSL est donc habituellement utilis. Lautre port sera utilis uniquement si ladministrateur dsactive le cryptage de la connexion pour certains ordinateurs. Le cryptage peut tre dsactiv ultrieurement dans le paquet dinstallation ou dans la stratgie de lAgent dadministration. Les ports standards sont : 13000 : pour les connexions SSL 14000 : pour les connexions non SSL Si vous projetez dutiliser dautres ports, pour des raisons de scurit par exemple, ou cause de restrictions rseau, il vaut mieux effectuer ces changements lors de linstallation de Kaspersky Security Center. Modifier les ports aprs avoir effectu la connexion des postes clients est une opration possible, mais consommatrice de temps. Un port TCP supplmentaire, 13291 par dfaut, est utilis pour accepter les connexions de la Console dadministration. Il ne peut tre spcifi dans lassistant dinstallation, mais vous pouvez le modifier dans la configuration du Serveur dadministration. Les Consoles peuvent galement se connecter au port 13000, mais si des problmes de connexion surviennent, utilisez le port 13291. Pour pouvoir tablir des connexions SSL, le Serveur dadministration gnre un nouveau certificat lors de linstallation (valide pendant 10 ans). Pour sauvegarder et restaurer le certificat suite des dfaillances ou la rinstallation du Serveur dadministration, utilisez la procdure de sauvegarde (voir lunit IV, Maintenance ).
Adresse de connexion
Les postes clients sur lesquels lAgent dadministration est install se connecteront au Serveur dadministration au moyen de ladresse et du port spcifis pendant linstallation. Ladresse du Serveur peut tre spcifie en tant quadresse IP (IPv4 uniquement), DNS ou nom NetBIOS. Ce choix dpend de la configuration du rseau. Si le Serveur dadministration a une adresse IP statique qui ne sera pas modifie dans un avenir proche, cest le meilleur choix. Dans ce cas, la possibilit de se connecter dpend uniquement des routeurs et non du systme de rsolution des noms. Si ladresse IP du serveur est configure de manire dynamique (ou est statique mais souvent change), vous ne devez pas lutiliser comme adresse de connexion, car vous aurez souvent besoin de modifier les paramtres de connexion des postes clients. Dans ce cas, il est prfrable de spcifier le nom du serveur soit sous forme DNS, soit sous forme NetBIOS. Si le service DNS fonctionne de faon fiable dans le rseau, utilisez le nom DNS tant donn que la rsolution de noms DNS nest habituellement pas bloque par les pare-feu locaux. La rsolution de noms NetBIOS est base sur les requtes et rponses de diffusion, lesquelles sont susceptibles dtre bloques par les pare-feu locaux. Par consquent, le nom NetBIOS doit tre utilis pour les connexions en dernier recours, si les autres mthodes ne donnent pas de rsultats. Aprs linstallation, ladresse de connexion au Serveur peut tre modifie dans les proprits du paquet dinstallation de lAgent dadministration. Ladresse de connexion au Serveur par dfaut, automatiquement remplace dans de nouveaux paquets de lAgent dadministration, est spcifie dans les proprits du stockage des paquets dinstallation.
I32
Unit I. Dploiement
I33
Unit I. Dploiement
Plug-ins dadministration
Le kit de distribution de Kaspersky Security Center comprend les plug-ins dadministration de tous les produits de Kaspersky Lab. Linstallation personnalise permet ladministrateur de slectionner les plug-ins des produits qui sont ou seront utiliss dans le rseau. Les plug-ins manquants peuvent tre installs ultrieurement partir du dossier Plugins du kit de distribution du Serveur dadministration. Les programmes dinstallation des plug-ins sont galement compris dans les fichiers de distribution des produits correspondants. Larticle suivant de la base de connaissances explique comment supprimer les plug-ins inutiles : http://support.kaspersky.com/faq/?qid=208280749
2.4 Configuration initiale

Lorsque la Console se connecte au Serveur pour la premire fois, lAssistant de dmarrage rapide est lanc. Il poursuit linstallation en crant les tches et les stratgies ncessaires.
Cl
La premire tape de lAssistant de dmarrage rapide est lajout dune cl. Ladministrateur ajoute une cl pour Kaspersky Endpoint Security 8 sur le Serveur dadministration. Plus tard, elle sera utilise pour activer automatiquement la protection des Ordinateurs administrs. Les composants de Kaspersky Security Centre ne ncessitent habituellement pas de cl. La seule exception est la cl destine aux fournisseurs de services permettant de crer plus de 10 Serveurs dadministration virtuels dans Kaspersky Security Center. Cette opration est dcrite en dtail dans lunit V, Monte en charge . Une cl peut tre ajoute soit partir dun fichier de cl ou reue via Internet au moyen dun code dactivation. Vous pouvez galement choisir dajouter une cl ultrieurement.
I34
Unit I. Dploiement
I35
Unit I. Dploiement
Kaspersky Security Network

La prochaine tape consiste autoriser lutilisation des services de Kaspersky Security Network (KSN). KSN est le nom commun pour les technologies de protection du nuage Kaspersky Lab. KSN offre une protection supplmentaire aux ordinateurs en recevant les dernires informations en date sur les nouvelles menaces avant que ces informations ne soient ajoutes dans la base de donnes antivirus traditionnelle. En retour, Kaspersky Lab recevra des informations sur les fichiers et les adresses URL traites sur les postes clients. Le service KSN est dcrit en dtail dans lunit II, Administration de la protection . Si vous acceptez dutiliser KSN dans lAssistant de dmarrage rapide, loption relative au proxy KSN sera active dans le Serveur dadministration. En outre, les options dutilisation de KSN et du proxy KSN seront actives dans la stratgie de KES 8 for Windows cre par lAssistant de dmarrage rapide. Si vous nacceptez pas dutiliser KSN, le mode proxy KSN sera dsactiv sur le Serveur, ainsi que les deux options de la stratgie de KES 8. Au niveau du Serveur dadministration, la fonctionnalit proxy KSN est implmente en tant que service nomm Kaspersky Security Network Proxy.
Notifications
Ltape suivante est la configuration des notifications par courrier lectronique. Pour que des notifications sur les vnements importants soient envoyes dans la bote aux lettres de ladministrateur, spcifiez ladresse de courrier lectronique et les paramtres du serveur SMTP (adresse, port et donnes dautorisation si ncessaires). Les paramtres spcifis seront utiliss pour envoyer les notifications et les rapports. Par dfaut, les notifications dvnements sont dsactives. Pour recevoir les informations relatives un vnement par courrier lectronique, activez les notifications dans les proprits de lvnement. Les paramtres des vnements de Kaspersky Security Center sont disponibles dans les proprits du Serveur dadministration et les paramtres des vnements de Kaspersky Endpoint Security dans la stratgie de Kaspersky Endpoint Security.
I36
Unit I. Dploiement
I37
Unit I. Dploiement
Serveur Proxy
La dernire tape invitant ladministrateur fournir des donnes est celle des paramtres du serveur proxy pour laccs Internet. Le Serveur dadministration se connecte lInternet pour tlcharger les mises jour et communiquer avec les serveurs KSN de Kaspersky Lab. Ces deux fonctionnalits utilisent des paramtres de serveur proxy communs.
Stratgies et tches
Aprs avoir spcifi tous les paramtres, lAssistant de dmarrage rapide cre les stratgies et les tches ncessaires la protection du rseau. Les stratgies et les tches suivantes sont cres : Stratgie de protection : une stratgie de protection cre pour le groupe Ordinateurs administrs dfinit les paramtres par dfaut de Kaspersky Endpoint Security 8 Mise jour : une tche cre pour le groupe Ordinateurs administrs qui dfinit les paramtres de mise jour de Kaspersky Endpoint Security 8, utilise Kaspersky Security Center en tant que source par dfaut et la planification Lors du tlchargement des mises jour dans le stockage. Lutilisation du dmarrage de tche alatoire dpend de la taille du rseau slectionne pendant linstallation Recherche de virus : une tche cre pour le groupe Ordinateurs administrs qui dfinit les paramtres et la planification des tches danalyse la demande rgulires sexcutant sur les ordinateurs protgs. Par dfaut, elle analyse les zones critiques chaque vendredi 19 h 00 Recherche de vulnrabilits : une tche cre pour le groupe Ordinateurs administrs qui dfinit les paramtres et la planification des tches danalyse rgulires sexcutant sur les ordinateurs protgs (voyez lunit III, Contrle pour de plus amples dtails). Par dfaut, elle dmarre tous les jeudis 19 h 00 Tlchargement des mises jour dans le rfrentiel : une tche du Serveur dadministration qui dfinit les paramtres et la planification du tlchargement des mises jour vers le Serveur dadministration (pour distribution ultrieure sur les Ordinateurs administrs). Par dfaut, elle utilise les serveurs de mise jour de Kaspersky Lab en tant que source primaire et est prvue pour dmarrer toutes les heures. La liste des mises jour est automatiquement configure Sauvegarde des donnes du Serveur dadministration : une tche du Serveur dadministration qui dfinit les paramtres et la planification de cration dune copie de la base de donnes et de la configuration du Serveur dadministration. Par dfaut, elle enregistre les copies dans le dossier %ProgramData%\KasperskySC\SC_Backup tous les jours 2 h 00 Les deux objets suivants sont crs en fonction des paramtres spcifis prcdemment : Envoi des rapports : une tche du Serveur dadministration est cre lorsque les paramtres de notification par courrier lectronique sont spcifis. Elle dfinit la planification et la liste des rapports qui doivent tre envoys par courrier lectronique. Par dfaut, elle envoie le Rapport sur ltat de la protection standard chaque jour 8 h 00 Stratgie de lAgent dadministration de Kaspersky Security Center : une stratgie cre dans le groupe Ordinateurs administrs si ladministrateur spcifie que le rseau contient plus de 1000 ordinateurs. Dfinit les paramtres par dfaut des Agents dadministration
I38
Unit I. Dploiement
I39
Unit I. Dploiement
Fin de lassistant
La tche de tlchargement des mises jour dans le rfrentiel dmarre immdiatement aprs sa cration afin de fournir les dernires mises jour aux postes clients. LAssistant de dmarrage rapide affiche la progression de la tche, mais vous ntes pas tenu dattendre quelle se termine. Si vous passez la page suivante de lassistant, la mise jour continuera seffectuer en arrire-plan. La dernire page de lAssistant de dmarrage rapide affiche une case cocher qui permet de lancer lassistant dinstallation distance en vue du dploiement de Kaspersky Endpoint Security sur les ordinateurs du rseau. Par dfaut, loption est active. Si ncessaire, ladministrateur peut nouveau lancer lAssistant de dmarrage rapide partir du menu contextuel du Serveur dadministration. Dans ce cas, lassistant crera uniquement les tches et les stratgies qui ont t supprimes ou renommes. Des copies des objets existants ne seront pas cres.
I40
Unit I. Dploiement
I41
Unit I. Dploiement
2.5 Autres composants de Kaspersky Security Center

Composants
Les composants suivants sont inclus dans le kit de distribution de Kaspersky Security Center mais sont installs indpendamment du Serveur dadministration : Console dadministration de Kaspersky Security Center Console Web de Kaspersky Security Center Kaspersky Security Center SHV SHV est le programme de validation de lintgrit du systme, un composant qui permet linteraction de Kaspersky Security Center et de Microsoft NAP. Avec ce composant, le systme de protection de laccs rseau Microsoft NAP dfinit le niveau daccs en tenant compte de ltat de Kaspersky Endpoint Security. KSC SHV est similaire Kaspersky Lab Cisco NAC Posture Validation Server : les deux permettent lintgration aux systmes externes de contrle daccs rseau. Pour de plus amples dtails, reportez-vous lunit VI. La Console dadministration et la Console Web de Kaspersky Administration Kit sont dcrites ci-dessous.
Console dadministration
Utilisation
La Console dadministration de Kaspersky Security Center vous permet de travailler distance avec le Serveur dadministration de Kaspersky Security Center : vous pouvez afficher des rapports, modifier des paramtres, excuter des tches, etc. Le Serveur dadministration accepte des connexions en provenance de la Console sur les ports13000 et 13291. Linterface de la console distante est absolument la mme que celle de la console locale de Kaspersky Security Center. La Console dadministration nest pas la seule mthode dadministration dun serveur distant. De nombreux administrateurs prfrent se connecter au Bureau distance de lordinateur sur lequel le Serveur dadministration est install et travailler dans la console locale. La connexion Bureau distance utilise le port 3389 4. Cette mthode dadministration distance alternative tend gnrer plus de trafic que la Console dadministration distance. Dautre part, une Console dadministration doit tre installe et ne fonctionne que sous Windows, tandis que laccs au Bureau distance nimplique pas linstallation doutils supplmentaires et est indpendant de la plateforme. Un Serveur dadministration est souvent install sur une machine virtuelle. Dans ce cas, il est possible daccder au bureau de lordinateur virtuel via la console de linfrastructure virtuelle correspondante.
Il sagit ici du Bureau distance Windows. Il existe galement dautres outils aux fonctionnalits similaires qui se connectent au moyen dautres protocoles et dautres ports. Par exemple, les programmes utilisant le protocole VNC utilisent gnralement le port 5900.
I42
Unit I. Dploiement
I43
Unit I. Dploiement
Conditions pralables dinstallation

La Console dadministration peut tre installe sous les mmes systmes dexploitation que le Serveur dadministration : de Windows XP SP2 Windows Server R2, y compris la plupart des versions Windows intermdiaires. Comme la Console dadministration est un composant logiciel enfichable MMC, Microsoft Management Console 2.0 ou une version ultrieure doit tre install sur lordinateur. Cette condition est automatiquement satisfaite sur tous les systmes dexploitation compatibles. Les composants suivants sont galement ncessaires linstallation de la console : Windows Installer 3.1 Analyseur syntaxique Microsoft XML Parser 4.0 Les deux sont inclus dans le kit de distribution de la Console dadministration et sont installs automatiquement si ncessaire. Internet Explorer 7 ou une version ultrieure est ncessaire pour la reprsentation correcte de linterface du Serveur dadministration. Toutefois, ce nest pas une obligation. Si Internet Explorer 6 est install sur lordinateur, la Console peut nanmoins tre installe et utilise comme dhabitude, mais son interface graphique HTML sera ventuellement reprsente de manire incorrecte. La configuration matrielle requise pour la Console dadministration est la suivante : Processeur 1,4 GHz or plus 512 Mo de RAM 1 Go despace libre sur le disque dur
I44
Unit I. Dploiement
I45
Unit I. Dploiement
Installation
Les fichiers dinstallation de la Console dadministration se trouvent dans le dossier Console du kit de distribution de Kaspersky Security Center. Lassistant dinstallation ne permet que la modification de lemplacement par dfaut du dossier des fichiers programme : %ProgramFiles% 5\Kaspersky Lab\Kaspersky Security Center Console. En outre, lassistant dinstallation vous invitera accepter le contrat de licence et vous informera sur le dmarrage de linstallation des composants ncessaires et de la Console. Le support de distribution de la Console comprend le jeu complet de plug-ins dadministration de tous les produits Kaspersky Lab, mais ninstalle que les plug-ins dadministration des composants de KSC et de KES 8 for Windows. Linstallation personnalise nest pas possible. Les plug-ins manquants peuvent tre installs plus tard partir du dossier Plugins du support de distribution de la Console.
%ProgramFiles(x86)% sur les systmes 64 bits.
I46
Unit I. Dploiement
I47
Unit I. Dploiement
Connexion au Serveur dadministration

Lorsque la console dmarre, la fentre des paramtres de connexion souvre. Entrez ladresse du Serveur dadministration et le compte de ladministrateur. Afin dadministrer adquatement le Serveur, spcifiez un compte dadministrateur local sur lordinateur o le serveur est install, ou un compte inclus dans le groupe KLAdmins (automatiquement cr lors de linstallation du Serveur). Le systme de contrle daccs est dcrit en dtail dans lunit V, Monte en charge . Par dfaut, la Console tente de se connecter au nom de lutilisateur en cours, mais permet de spcifier un autre nom dutilisateur et un autre mot de passe. Le Serveur dadministration accepte des connexions en provenance de la Console via les ports13000 et 13291. Ces ports peuvent tre modifis dans les proprits du Serveur. Si vous faites cela, spcifiez le port de connexion aprs ladresse du Serveur suivie de deux points dans la fentre de connexion. Cliquez sur le bouton Options pour spcifier les paramtres de connexion supplmentaires : dsactivez le cryptage et la compression du trafic, et/ou spcifiez les paramtres du serveur proxy sil existe un serveur proxy entre lordinateur sur lequel la Console est installe et le Serveur. Si le cryptage est dsactiv, la Console ne permet pas de spcifier lutilisateur dans la fentre de connexion et se connecte toujours pour le compte de lutilisateur local pour des raisons de scurit. Cest pourquoi dsactiver le cryptage na gure de sens. Il en va de mme en ce qui concerne la compression : le seul rsultat de sa dsactivation est une augmentation du trafic entre la Console et le Serveur. Ces cases cocher ont t conues pour permettre dtablir des diagnostics. Si la connexion ne peut tre tablie pour une raison quelconque, ladministrateur peut essayer de changer ces paramtres tout en recherchant la cause du problme. Une Console peut tre utilise pour se connecter plusieurs Serveurs dadministration. Cette fonctionnalit est utile dans les rseaux contenant plusieurs Serveurs dadministration, quils soient hirarchiss ou non. Pour ajouter un Serveur dadministration dans la Console, slectionnez le nud Kaspersky Security Center et cliquez sur Nouveau, Kaspersky Administration Server dans son menu contextuel. Ensuite, vous serez invit entrer ladresse du Serveur, les paramtres de connexion et les paramtres supplmentaires.
I48
Unit I. Dploiement
I49
Unit I. Dploiement
Certificat
Les connexions cryptes sont tablies via SSL. La phase dauthentification repose sur le certificat du Serveur dadministration. Un certificat unique est gnr lors de linstallation du Serveur dadministration et est utilis pour lauthentification de chaque connexion crypte. Ce certificat est valable pendant 10 ans. Lors de la premire connexion crypte, lordinateur de la Console ne possde pas le certificat du Serveur et lauthentification est impossible. La meilleure faon de rsoudre le problme est de tlcharger le certificat depuis le Serveur et de lutiliser pour les connexions suivantes. Dans ce cas, le certificat garantit que la Console se connecte au mme Serveur partir duquel le certificat a t tlcharg. Pour viter la substitution du Serveur lorsque la premire connexion est tablie, ladministrateur peut copier le certificat du Serveur sur un support amovible et spcifier son chemin daccs lorsquil y est invit. Le certificat du Serveur est situ dans le dossier Cert du catalogue dinstallation du Serveur et est nomm klserver.cer.
Console Web
Utilisation
Une Console Web est une Console dadministration fonctionnant via un navigateur. Officiellement, seul Internet Explorer est compatible. Dans la pratique, nimporte quel navigateur peut tre utilis, mais la reprsentation graphique peut en souffrir dans une certaine mesure. En comparaison avec la console MMC par dfaut, la Console Web a deux avantages : Elle ne ncessite pas linstallation de composants supplmentaires. Les navigateurs Web sont installs sur la plupart des ordinateurs Elle est indpendante de la plateforme et peut tre ouverte dans un navigateur sous Mac OS, Linux ou tout autre systme dexploitation o le navigateur utilise Javascript Il ny a quun seul inconvnient, mais il est majeur. Les fonctionnalits de la Console Web sont considrablement rduites par rapport celles de la console MMC de Kaspersky Security Center. La Console Web est principalement conue pour crer des rapports et effectuer des oprations simples sur les ordinateurs : affichage de ltat, installation de lantivirus.
I50
Unit I. Dploiement
I51
Unit I. Dploiement
Architecture et configuration systme requises

Pour lessentiel, une Console Web est un site Web. Celui-ci fonctionne en utilisant un serveur Web et un programme qui prsente les donnes du Serveur dadministration sous forme de pages dans la Console Web. Il transfre galement les commandes de lutilisateur au Serveur dadministration. La structure de la Console Web comprend le serveur Web qui affiche les pages Web et le service de la Console Web qui interagit avec le Serveur dadministration. KSC nest compatible quavec le serveur Web Apache 2.2. Cette version est incluse dans le kit de distribution de la Console Web et peut tre installe automatiquement. Pour une reprsentation correcte des pages de la Console Web, un navigateur rcent compatible JavaScript est ncessaire. Sont officiellement compatibles : Internet Explorer 7 ou version ultrieure Mozilla Firefox 3.6 ou version ultrieure (sous Windows et Linux) Apple Safari 4 ou version ultrieure (sous Mac OS X) Les autres navigateurs compatibles JavaScript, Google Chrome ou Apple Safari sous Windows par exemple, fonctionnent tout aussi bien, mais ne sont pas officiellement compatibles. Les composants interagissent de la manire suivante : Ladministrateur utilise un navigateur pour se connecter la Console Web via HTTPS (port TCP 443). Pour la connexion, il utilise ladresse Web de lordinateur sur lequel Apache est install. Cela peut tre nimporte quel ordinateur et pas ncessairement celui sur lequel le Serveur dadministration est install. Le serveur Web Apache envoie les actions de ladministrateur au service de la Console Web via le port TCP 9000 (configur pendant linstallation). Le service de la Console Web ne peut tre install que sur lordinateur accueillant le Serveur dadministration. Le service de la Console Web traduit les actions de ladministrateur en commandes du Serveur dadministration et interagit avec le Serveur via le port TCP 13291. Les rsultats de laction sont convertis en donnes destines aux pages Web et sont renvoys vers le serveur web pour tre affichs dans le navigateur.
I52
Unit I. Dploiement
I53
Unit I. Dploiement
Installation
Pendant linstallation, ladministrateur accepte le contrat de licence, choisit lemplacement des fichiers programme de la Console Web et configure linteraction avec le serveur Web Apache et le Serveur dadministration de Kaspersky Security Center. Par dfaut, les fichiers programme de la Console Web sont copis dans le dossier %ProgramFiles%\Kaspersky Lab\Kaspersky Security Center Web Console. Ils ne requirent pas beaucoup despace disque. Le service de la Console Web de Kaspersky Security Center est responsable de linteraction de tous les composants de la Console Web. Dune part, il interagit avec le serveur de Kaspersky Security Center, et dautre part, avec le serveur Web Apache, lequel permet la communication avec ladministrateur. Spcifiez les ports de communication lors de linstallation de la Console Web. Le port utilis pour linteraction avec le Serveur dadministration doit tre le mme que celui utilis pour les consoles MMC, par dfaut TCP 13291 (du ct du Serveur dadministration). En ce qui concerne linteraction avec le serveur Web, nimporte quel port peut tre slectionn. Le port par dfaut est 9000 (du ct du service de la Console Web). Ltape suivante de linstallation est la slection de lemplacement du serveur Web. Le serveur Web peut tre situ soit sur le mme ordinateur que le service de la Console Web KSC, soit sur un ordinateur distant. La premire solution est plus simple configurer, alors que linstallation distance offre des avantages en termes de scurit. Si vous choisissez linstallation distance, prenez garde ce quApache 2.2 soit install ladresse indique. Si vous choisissez linstallation locale, vous pouvez soit installer Apache 2.2, soit refuser son installation si Apache 2.2 ou une version ultrieure est dj install sur le serveur. Dans le premier cas, le programme dinstallation configurera automatiquement Apache pour la reprsentation de la Console Web. Si vous choisissez dutiliser un serveur Web existant, vous devrez le configurer manuellement. Pour de plus amples instructions, veuillez consulter le fichier LISEZMOI.TXT situ dans le dossier des fichiers programme de la Console Web.
I54
Unit I. Dploiement
I55
Unit I. Dploiement
Pour des raisons de scurit, la Console Web est uniquement accessible via le protocole HTTPS. Pour tablir une connexion scurise et authentifier le serveur Web, un certificat est ncessaire. Vous pouvez spcifier ici un certificat dj prt ou en gnrer un nouveau. Un nouveau certificat est auto-sign lors de sa cration. Il permet dtablir une connexion scurise, mais le navigateur ne le reconnatra pas et affichera un avertissement. Pour viter cela, commandez un certificat sign auprs dune autorit de certification et spcifiez-le lors de linstallation de la Console Web. Pour gnrer correctement un nouveau certificat, spcifiez ladresse de la Console Web, le nom de domaine et ladresse de courrier lectronique de ladministrateur. Lassistant dinstallation renseigne ces donnes automatiquement. Si vous projetez daccder la Console Web en utilisant une autre adresse, son adresse IP par exemple, modifiez les donnes du certificat en consquence.
I56
Unit I. Dploiement
I57
Unit I. Dploiement
Connexion
Pour vous connecter la Console Web, dmarrez le navigateur et entrez lURL de la Console Web dans la ligne dadresse. Gnralement, cest le nom de domaine de lordinateur sur lequel le serveur Web Apache est install, security-center.abc.lab par exemple. Vous pouvez tenter de vous connecter via HTTP. Le serveur Web redirigera automatiquement la requte vers le protocole scuris. Si un certificat auto-sign a t gnr lors de linstallation, le navigateur affichera un avertissement et lutilisateur aura besoin de confirmer une connexion scurise la source non approuve. Ensuite, la premire connexion, lutilisateur sera invit accepter le contrat de licence, suite quoi le nom dutilisateur et le mot de passe pourront tre entrs. Spcifiez un compte qui a accs au Serveur dadministration. Le scnario principal utilis par Console Web suppose la connexion dun utilisateur interne du Serveur dadministration de KSC. Ceci est dcrit en dtail dans lunit V, Monte en charge . Vous pouvez galement vous connecter en tant quutilisateur Windows, mais dans ce cas le format <domaine>\<utilisateur> ne peut tre utilis. Vous pouvez uniquement entrer le nom dutilisateur, et le compte local et le compte de domaine peuvent tre confondus. Pour pouvoir accder au Serveur, le compte Windows spcifi doit avoir les droits correspondants, savoir les mmes que pour la connexion via la Console ordinaire. Vous pouvez slectionner le serveur virtuel ncessaire ici. Cette fonctionnalit est brivement dcrite dans lunit V, Monte en charge . Des informations dtailles sur les serveurs virtuels sont disponibles dans le cours Kaspersky Security Center Service Provider Edition .
I58
Unit I. Dploiement
I59
Unit I. Dploiement
Aprs avoir reu lautorisation, lutilisateur se voit accorder laccs la Console Web dans laquelle il peut consulter les tats et les rapports sur les ordinateurs. Sur longlet Ordinateurs, vous pouvez publier des paquets dinstallation autonomes et installer lAgent dadministration et les outils de protection distance. Longlet Rapports est la partie la plus fonctionnelle de la Console Web. Il prsente les mmes rapports sur la protection du rseau et le fonctionnement du Serveur dadministration que la Console ordinaire. Ces rapports peuvent tre exports vers des fichiers de diffrents formats.
I60
Unit I. Dploiement
I61
Unit I. Dploiement
Chapitre 3. Installation sur les ordinateurs

3.1 Configuration ncessaire
Conditions pralables pour linstallation de Kaspersky Endpoint Security 8 for Windows
Kaspersky Endpoint Security peut tre install sur les systmes dexploitation Microsoft Windows suivants : Client Windows XP SP3 Windows XP x64 SP2 Windows Vista SP2 Windows 7 Professional, Enterprise, Ultimate
Embarqu Windows Embedded POSReady 2009 Windows Embedded Standard 7 SP1 Windows Embedded POSReady 7 Serveur Windows SBS 2008 Standard, Premium Windows SBS 2011 Essentials, Standard Windows Server 2008 R2 SP1 Standard, Enterprise Windows Server 2008 SP2 Standard, Enterprise Windows Server 2003 R2 SP2 Standard, Enterprise Windows Server 2003 SP2 Standard
Cette liste comprend la plupart des versions de Windows depuis Windows XP SP3 Windows Server 2008 R2 ainsi que les versions embarques de Windows qui ne sont essentiellement que des modifications de Windows XP et Windows 7. Une chose importante retenir est que les ditions Datacenter de Windows Server ne sont pas compatibles. Kaspersky Anti-Virus 8 for Windows Servers Enterprise Edition est conu pour leur protection. Internet Explorer 7.0 et Windows Installer 3.0 sont galement ncessaires pour linstallation.
I62
Unit I. Dploiement
I63
Unit I. Dploiement
Pour installer Kaspersky Endpoint Security, des droits dadministrateur sont ncessaires et les outils de protection dautres diteurs doivent tre dsinstalls des ordinateurs. La configuration matrielle minimale requise pour linstallation de Kaspersky Endpoint Security dpend du systme dexploitation : Systme dexploitation Embarqu Windows XP Autres Processeur 800 MHz 1 GHz 2 GHz RAM 256 Mo 512 Mo 1 Go Espace disque libre 1 Go 1 Go 1 Go
Les valeurs de RAM indiques sont des valeurs minimales et non des recommandations. Si moins de mmoire est disponible sur lordinateur, le programme dinstallation informe lutilisateur de linsuffisance de la configuration du systme et annule linstallation.
Conditions dinstallation pour lAgent dadministration

LAgent dadministration de Kaspersky Security Center peut tre install sous les mmes systmes dexploitation que les produits administrables via Kaspersky Security Center. Ainsi, il peut, entre autres, tre install sous tous les systmes prenant KES 8 for Windows en charge. La configuration matrielle requise pour installer lAgent dadministration est la suivante : Processeur 1,4 GHz RAM 512 Mo Espace disque 32 Mo Dans le cas prsent, les besoins en RAM sont en fait des recommandations. LAgent dadministration peut tre install sur un ordinateur avec moins de RAM.
I64
Unit I. Dploiement
I65
Unit I. Dploiement
3.2 Installation par dfaut au moyen de lassistant

Lassistant de dploiement est la meilleure mthode dinstallation. Il dmarre lorsque vous cliquez sur le lien Installer Kaspersky Anti-Virus de la page Dbut du fonctionnement. Il peut galement tre lanc depuis la dernire page de lAssistant de dmarrage rapide et il existe beaucoup dautres faons de dmarrer lassistant de dploiement dans la Console dadministration Kaspersky. Lassistant de dploiement utilise des invites tape par tape pour dfinir le produit installer, les ordinateurs cibles et la mthode dinstallation.
Choix du produit
Le produit installer est slectionn dans la liste des paquets dinstallation disponibles. La version standard de Kaspersky Security Center comprend les paquets dinstallation des versions actuelles de lAgent dadministration et de Kaspersky Endpoint Security for Windows. Vous pouvez grer les paquets dinstallation, supprimer ou crer de nouveaux paquets dans le stockage Paquets dinstallation (du nud Stockages). Consultez les sections suivantes pour de plus amples dtails. Si Kaspersky Endpoint Security est slectionn dans lassistant de dploiement, il sera install avec lAgent dadministration. En dautres termes, lassistant installe non seulement le paquet choisi, mais connecte galement les ordinateurs au Serveur dadministration en y installant lAgent dadministration. Si les ordinateurs sont dj connects, lAgent dadministration nest pas rinstall (cras). Les paquets dinstallation de KES 8 for Windows et de lAgent dadministration peuvent tre installs sous nimporte quel systme dexploitation compatible. La mme tche dinstallation peut installer les produits sur des ordinateurs avec diffrents systmes dexploitation. En partie en raison de cette universalit, le paquet dinstallation de KES 8 est assez volumineux : environ 320 Mo. Il nexiste aucun moyen standard den rduire la taille. Le paquet de lAgent dadministration est beaucoup plus petit : environ 15 Mo.
I66
Unit I. Dploiement
I67
Unit I. Dploiement
Slection des ordinateurs

Vous pouvez slectionner des groupes ou des ordinateurs individuels en vue de linstallation. Les groupes sont constitus dordinateurs administrs. Pour installer les produits sur des ordinateurs non dfinis ou mme inconnus, cliquez sur Slectionner les ordinateurs installer. Ensuite, vous pourrez soit slectionner les ordinateurs dtects par le Serveur dadministration, soit spcifier les adresses des ordinateurs manuellement. Lorsquun groupe est slectionn, lassistant naffiche pas son contenu et ladministrateur doit donc se rappeler quel groupe les ordinateurs cibles appartiennent. Ladministrateur peut slectionner des ordinateurs parmi ceux qui ont t dcouverts et ajouter galement des noms, des adresses et des plages dadresses IP arbitraires la liste. Le Serveur dadministration essaiera deffectuer linstallation sur tous les ordinateurs spcifis. Comme vous le verrez plus tard, lassistant dinstallation distance cre une tche dinstallation distance sur la base des donnes recueillies. Si un groupe est slectionn, une tche de groupe sera cre, si ce sont des ordinateurs individuels, une tche pour slection dordinateurs sera cre.
Mthode dinstallation
Lassistant essaie toujours dinstaller les produits en utilisant lAgent dadministration. Si lAgent dadministration nest pas encore install sur lordinateur, linstallation est tente au moyen des outils Windows. La prsente section dcrit chaque mthode dinstallation. Si Kaspersky Endpoint Security et lAgent dadministration doivent tre installs sur lordinateur, lassistant installe lAgent dadministration en premier au moyen des outils Windows, puis installe KES 8 en utilisant lAgent dadministration.
I68
Unit I. Dploiement
I69
Unit I. Dploiement
Cl
Contrairement lAgent dadministration, Kaspersky Endpoint Security a besoin dune cl pour fonctionner correctement. Dans lassistant dinstallation, vous pouvez slectionner explicitement la cl utiliser pour activer le produit parmi les cls du stockage Cls du Serveur dadministration. Si ncessaire, vous pouvez y ajouter une cl sans quitter lassistant. Cette tape peut tre ignore si le stockage contient une cl configure pour tre distribue automatiquement. Elle sera automatiquement installe sur tous les ordinateurs sur lesquels Kaspersky Endpoint Security doit tre activ. Les cls sont dcrites en dtail dans lunit IV, Maintenance .
Redmarrage
Lassistant vous propose de slectionner les paramtres de redmarrage. Cependant, dans la plupart des cas, ni linstallation de lAgent dadministration ni celle de KES 8 ne ncessite le redmarrage de lordinateur. Linstallation de lAgent dadministration ne le ncessite presque jamais. Pendant linstallation de Kaspersky Endpoint Security, la ncessit de redmarrer lordinateur survient si un autre programme de protection y a t install auparavant. Le choix par dfaut, Demander auprs de lutilisateur, convient aux postes de travail. Lors de linstallation du produit sur des serveurs, il est recommand de choisir Ne pas redmarrer lordinateur. Sur un serveur, lutilisateur est probablement absent et personne ne pourra ragir linvite. Les paramtres de redmarrage sont dcrits plus en dtail dans la section relative la dsinstallation des applications incompatibles.
I70
Unit I. Dploiement
Dplacement des ordinateurs

En consquence de linstallation de lAgent dadministration et des outils de protection, les ordinateurs deviennent administrables. Cest pourquoi, si des ordinateurs (et non des groupes) sont slectionns, lassistant demande sil est ncessaire de les dplacer dans un groupe dadministration, et si oui, dans lequel. La slection affecte uniquement les ordinateurs non dfinis. Si des ordinateurs administrs et des ordinateurs non dfinis sont sur la liste dinstallation, les ordinateurs administrs resteront dans leurs groupes. Cette tape saffiche uniquement si lAgent dadministration est install avec KES 8.
I71
Unit I. Dploiement
Spcification du compte
Initialement, lAgent dadministration est install au moyen des outils Windows et ncessite un compte pour accder aux ordinateurs cibles. Lassistant de dploiement permet de spcifier plusieurs comptes, au cas o diffrents mots de passe dadministrateurs seraient utiliss sur les ordinateurs cibles. Le programme dinstallation essaie les comptes les uns aprs les autres. Si le premier compte a des privilges insuffisants, le suivant est test et ainsi de suite. Avant que les comptes spcifis soient tests, le programme dinstallation tente dagir au nom du compte du service du Serveur dadministration, que vous ne voyez pas sur la liste des comptes. Cependant, si ladministrateur a utilis les paramtres par dfaut lors de linstallation du Serveur, le compte du service Serveur ne peut pas tre utilis pour linstallation distance : En consquence de linstallation par dfaut, le service Serveur dmarre avec les droits du systme local et na aucun droit sur les ordinateurs distants. En consquence de linstallation personnalise avec les paramtres par dfaut, le service Serveur dmarre au nom du compte KL-AK-<combinaison alphanumrique> cr automatiquement et reoit les droits dun administrateur local, mais na ici non plus aucun droit sur les ordinateurs distants. Ainsi, dans la plupart des cas, vous devez spcifier explicitement les comptes daccs aux ordinateurs cibles. Dans un environnement de domaine, un compte dadministrateur de domaine est le meilleur choix pour effectuer linstallation distance.
Surveillance du processus dinstallation

Lassistant dinstallation utilise les paramtres spcifis par ladministrateur pour crer et dmarrer immdiatement la tche dinstallation du produit sur les ordinateurs slectionns. Ensuite, il ouvre automatiquement la page de tches dans la Console dadministration. La page de tches affiche la progression de la tche sur les ordinateurs slectionns. Une installation peut tre prte lexcution, en cours dexcution, en attente de redmarrage, acheve avec succs ou renvoyer une erreur. Le nombre dordinateurs est affich pour chaque tat sur le graphique et dans le tableau.
I72
Unit I. Dploiement
I73
Unit I. Dploiement
Pour afficher les rsultats complets de la tche, cliquez sur le lien Dtails situ sous les statistiques de la page de tches. La partie suprieure de la fentre de rsultats contient la liste de tous les ordinateurs traits et ltat de la tche en cours pour chacun dentre eux. La partie infrieure affiche le journal des tches pour lordinateur slectionn. Le journal des tches contient lhistorique de chaque changement dtat de la tche sur lordinateur. Ltat peut tre le mme, alors que sa description peut varier. Par exemple, un journal de tches dinstallation contient gnralement plusieurs enregistrements de ltat En cours dexcution . Le premier est relatif au dmarrage de la copie de fichier sur lordinateur distant, le deuxime est relatif au dmarrage du programme dinstallation et le troisime indique lachvement de linstallation. Lhistorique dinstallation dun ordinateur montre que lAgent dadministration est install en premier, puis Kaspersky Endpoint Security. Pour installer lAgent, ses fichiers sont copis dans le dossier partag admin$ de lordinateur, puis le Serveur dadministration attend la connexion avec lAgent install pour dmarrer linstallation des outils de protection.
I74
Unit I. Dploiement
I75
Unit I. Dploiement
3.3 Problmes dinstallation ventuels

Une installation distance comporte deux tapes principales : la copie des fichiers sur lordinateur, le dmarrage de linstallation distance. La plupart des problmes surviennent pendant la premire tape et sont gnralement des problmes daccs. Les problmes types dpendent de la mthode de copie, ou en dautres termes, de la mthode dinstallation.
Spcificits de linstallation
Installation au moyen des outils Windows
Ce terme implique la squence dactions suivante : le Serveur dadministration copie les fichiers dinstallation dans le dossier partag admin$ de lordinateur distant via le rseau, le Serveur dadministration envoie la commande de dmarrage du fichier copi setup.exe avec les paramtres ncessaires via RPC. Les ports TCP 139 et 445 sont utiliss pour la copie et le port TCP 135 est utilis pour le dmarrage. Ces oprations sont effectues soit au nom du compte du service du Serveur dadministration, ou au nom des comptes spcifis par ladministrateur dans lassistant dinstallation.
Installation au moyen de lAgent dadministration

Dans ce scnario, lAgent dadministration fait tout : il tlcharge les fichiers dinstallation depuis le serveur et les sauvegarde dans le dossier temporaire Windows, il dmarre le fichier setup.exe avec ses paramtres pour le compte du systme local 6. Pour tlcharger les fichiers, lAgent se connecte au Serveur dadministration via le port TCP 13000 (par dfaut).
6 Cette approche ne fonctionne pas pour linstallation distance sur un serveur de services Bureau distance (services de terminaux). Sur de tels serveurs, le compte systme local na pas de droits administratifs. Nous vous recommandons dinstaller Kaspersky Anti-Virus for Windows Servers Enterprise Edition manuellement sur les serveurs de terminaux.
I76
Unit I. Dploiement
I77
Unit I. Dploiement
Obstacles probables
Une installation faite au moyen de lAgent rencontre rarement des problmes. Si lagent ne peut se connecter au Serveur, il peut habituellement tlcharger les fichiers et installer le produit 7. Un chec dinstallation faite au moyen des outils Windows est gnralement li des problmes daccs. Le systme dexploitation Windows ne permet pas nimporte qui de copier des fichiers et de lancer des programmes distance sur un ordinateur. Il existe plusieurs obstacles ce niveau. Les ditions personnelles de Windows ne crent pas le dossier partag Admin$. De manire gnrale, linstallation distance nest pas prise en charge par ces systmes. Dans les dtails de la tche, il y aura une erreur daccs en raison de droits daccs au dossier partag insuffisants. Et de toute manire, les ditions personnelles de Windows ne sont pas compatibles avec KES 8 for Windows. Le pare-feu Windows bloque par dfaut laccs aux fichiers et imprimantes partags de lordinateur. Dans les dtails de la tche, lerreur daccs est explique par limpossibilit de se connecter lordinateur via le rseau. Dans certains cas, le Serveur dadministration ne peut pas rsoudre le nom de lordinateur en son adresse IP et cette information est galement enregistre dans les dtails de la tche dinstallation. Le contrle de compte utilisateur de Windows Vista et Windows 7 invite lutilisateur confirmer laction, ce qui est impossible faire distance, et par consquent les fichiers ne sont pas copis. Ici encore, la tche renvoie une erreur de droits daccs au dossier insuffisants. Le partage de fichiers simple de Windows XP a le mme effet. Dans ce mode, tous les utilisateurs connects via le rseau se voient accorder des droits dinvits. En rsultat, ils ont des droits insuffisants pour copier les fichiers. Parfois, lerreur de droits daccs insuffisants provient du fait que ladministrateur na pas spcifi un compte utilisateur ayant des droits dadministrateur sur lordinateur distant au niveau de lassistant ou a mal entr le mot de passe. Il existe aussi deux obstacles plutt inhabituels auxquels il convient de faire attention : Le service Serveur nest pas install ou nest pas dmarr. Sans ce service, laccs aux fichiers et aux dossiers partags est impossible. Un compte avec un mot de passe vide est utilis pour linstallation. La stratgie de scurit par dfaut refuse laccs rseau aux comptes utilisateurs dont le mot de passe est vide. Dans ces deux cas, la tche renvoie la mme erreur de droits daccs au dossier partag insuffisants. Vous pouvez ainsi voir que divers obstacles ont pour consquence les mmes problmes au niveau de la tche dinstallation. Habituellement, ils ne peuvent pas tre rsolus distance car la plupart dentre eux sont lis des paramtres de lordinateur local. Une erreur dinstallation signifie souvent que linstallation distance au moyen des outils Windows est impossible. Une autre mthode doit tre teste. De toute vidence, cela ne sapplique pas aux situations dans lesquelles lordinateur est momentanment hors tension ou lorsque ladministrateur a mal entr le nom dutilisateur et le mot de passe.
Voir la note en page prcdente.
I78
Unit I. Dploiement
I79
Unit I. Dploiement
Prparation de lordinateur avec lutilitaire Riprep.exe

Si linstallation distance est impossible sur un ordinateur, linstallation locale est la solution habituelle. En alternative linstallation locale, les ordinateurs peuvent tre prpars pour linstallation distance. Pour cela, Kaspersky Security Center comprend lutilitaire riprep.exe (RIPrep = Remote Installation Preparation, prparation de linstallation distance). Cet utilitaire doit tre lanc localement et rsout la plupart des problmes daccs : il dsactive le partage de fichiers simple, il dmarre le service du Serveur, il ouvre les ports ncessaires du pare-feu Windows, il cre un compte ayant les droits ncessaires pour linstallation distance, il dsactive le contrle des comptes utilisateurs.
riprep.exe affranchit ladministrateur de la ncessit de chercher savoir pourquoi le Serveur dadministration ne peut pas accder au dossier admin$. Lutilitaire fait disparatre les obstacles potentiels les plus probables. Parfois, les administrateurs envoient lutilitaire par courrier lectronique aux utilisateurs afin que ceux-ci prparent leurs ordinateurs en vue de linstallation distance. Cela ne fonctionnera que si les utilisateurs ont des droits dadministrateur local. Si les utilisateurs nont pas de droits dadministrateur, les administrateurs systme doivent disposer des bases permettant le dploiement des programmes sur les ordinateurs.
Configuration de laccs au moyen de la stratgie de domaine

Les problmes dcrits surviennent habituellement sur les ordinateurs qui ne font pas partie du domaine. Ladministrateur a davantage le contrle des ordinateurs du domaine et peut les prparer pour linstallation distance au moyen des stratgies de domaine. Le contrle des comptes utilisateurs, le partage de fichiers simple et les pare-feu peuvent tre mis en place par le biais de stratgies de groupe.
I80
Unit I. Dploiement
I81
Unit I. Dploiement
Pour dsactiver le partage de fichiers simple dans une stratgie, ouvrez Configuration des ordinateurs, Stratgies, Paramtres Windows, Paramtres de scurit, et trouvez Accs rseau : modle de partage et de scurit pour les comptes locaux et slectionnez Classique - les utilisateurs locaux sauthentifient eux-mmes. Le partage de fichiers simple sera dsactiv sur les ordinateurs du domaine. Les paramtres du contrle de compte utilisateur sont galement situs cet endroit, en fin de liste. Si ncessaire, vous pouvez dsactiver le contrle, mais mme avec les paramtres par dfaut, une installation sous un compte dadministrateur de domaine se fera sans problme.
I82
Unit I. Dploiement
I83
Unit I. Dploiement
Les paramtres du pare-feu Windows XP sont situs dans Configuration ordinateur, Modles dadministration, Rseau, Connexions rseau. Dans les paramtres du pare-feu Windows, autorisez une exception de partage de fichiers et dimprimantes dans le profil du domaine. Dans Windows Vista et Windows 7, les paramtres du pare-feu sont situs dans Configuration ordinateur, Stratgies, Paramtres Windows, Paramtres de scurit. Ici, la cration de lexception ncessaire est plus difficile. Vous pouvez ouvrir les ports ou exporter les rgles ncessaires partir des paramtres du pare-feu local et les importer dans la stratgie, mais il est en gnral plus facile de dsactiver le pare-feu pour le profil du domaine.
I84
Unit I. Dploiement
I85
Unit I. Dploiement
3.4 Suppression des outils de protection dautres diteurs

Outils de dsinstallation
Kaspersky Endpoint Security nest pas compatible avec dautres outils de protection. Avant linstallation, les programmes en conflit doivent tre dsinstalls. Si, pour une raison ou une autre, les applications incompatibles ne peuvent tre supprimes au moyen des outils habituels, ladministrateur peut utiliser une fonctionnalit de Kaspersky Security Center pour cela : loption Supprimer les applications incompatibles de lassistant dinstallation de Kaspersky Endpoint Security, ou une tche de dsinstallation distance.
Dsinstallation laide du programme dinstallation de KES 8

Le programme dinstallation de KES 8 for Windows dsinstalle toujours les applications incompatibles (celles quil peut reconnatre et supprimer). Le programme dinstallation ne peut dsinstaller que certaines des applications incompatibles quil peut trouver. Si une application incompatible est trouve lors de linstallation de KES 8, le programme dinstallation la supprime et renvoie une erreur. La description de lerreur explique quune application incompatible a t trouve et dsinstalle, mais lutilisateur doit redmarrer lordinateur et lancer nouveau le programme dinstallation pour tre en mesure de poursuivre linstallation de KES 8. Si linstallation de KES 8 et de lAgent dadministration est effectue simultanment, lAgent doit nanmoins tre install. Les outils de protection dautres diteurs nentrent pas en conflit avec lAgent et ne gnent pas son installation. Lassistant dinstallation distance comporte une tape laquelle la dsinstallation des applications incompatibles est configure. cette tape, loption de dsinstallation semble dsactive et non disponible. En fait, les applications incompatibles sont dsinstalles au moyen du comportement dcrit ci-dessus.
I86
Unit I. Dploiement
I87
Unit I. Dploiement
I88
Unit I. Dploiement
Dsinstallation au moyen de lAgent dadministration

Dtection des applications incompatibles
Une autre approche de la dsinstallation des applications incompatibles est la suivante : 1. 2. 3. 4. 5. installer lAgent dadministration sans KES 8 for Windows, gnrer le rapport sur les applications incompatibles, crer une requte dordinateurs relative aux applications incompatibles, crer et excuter une tche de suppression des applications incompatibles pour les ordinateurs de la requte, installer Kaspersky Endpoint Security.
LAgent dadministration dtecte galement les applications incompatibles et en informe le Serveur dadministration. Ces informations sont disponibles dans les proprits de lordinateur : Infos systme, Registre des applications. LAgent dadministration signale tous les programmes installs et non seulement les programmes incompatibles, mais il est possible de nafficher que les applications incompatibles dans la fentre des proprits de lordinateur. Pour afficher les informations relatives aux applications incompatibles se trouvant sur tous les ordinateurs administrs, ouvrez le rapport correspondant du nud Rapports et notifications.
I89
Unit I. Dploiement
I90
Unit I. Dploiement
Crer une requte dordinateurs

Pour supprimer les applications incompatibles, crez une requte dordinateurs et excutez-la sur les ordinateurs sur lesquels ces programmes sont installs. La manire la plus facile de le faire est dutiliser les requtes dordinateurs. Les requtes dordinateurs par dfaut sont conues dautres fins. Il sera donc ncessaire de crer une nouvelle requte dordinateurs pour les ordinateurs comportant des applications incompatibles. Dans les proprits de cette nouvelle requte dordinateurs, modifiez ses conditions : dans la section Registre des applications, spcifiez le nom de lapplication incompatible. Les rsultats de la requte dordinateurs ne contiendront que les ordinateurs sur lesquels ce programme est dtect. Pour inclure des ordinateurs avec diffrentes applications incompatibles dans une requte, spcifiez plusieurs conditions de recherche dans les proprits de la requte.
Tche de dsinstallation des applications incompatibles

Ltape suivante consiste crer une tche de dsinstallation pour cette requte en utilisant son menu contextuel. Cette tche sappliquera aux ordinateurs renvoys par la requte au moment de la cration de la tche. Pour supprimer les applications incompatibles, slectionnez le type Tche de dsinstallation distance de lapplication parmi les tches de Kaspersky Security Center. La tche de dsinstallation se trouve dans le dossier Avanc. Cette tche permet de supprimer presque nimporte quel programme. Pour plus de commodit, tous les programmes sont ventils en trois catgories : programmes de Kaspersky Lab, applications incompatibles et autres programmes. Slectionnez Dsinstaller lapplication incompatible.
I91
Unit I. Dploiement
I92
Unit I. Dploiement
Aprs cette tape, spcifiez le nom de lapplication incompatible supprimer. Vous pouvez slectionner plusieurs programmes ou mme tous. Cela augmentera toutefois le temps dexcution de la tche, car elle excutera tape par tape les scripts de dsinstallation de tous les programmes slectionns. La dsinstallation est effectue pour le compte de lAgent dadministration avec les droits du systme local. Bien que les outils Windows soient galement utilisables, ce scnario est rarement mis en uvre. La tche de dsinstallation comporte galement des paramtres de redmarrage de lordinateur. Le redmarrage est souvent ncessaire pour achever la dsinstallation. Si la tche sexcute pendant les heures de bureau, un redmarrage soudain peut gner le travail des utilisateurs ou mme provoquer une perte de donnes prcieuses. Pour viter de telles consquences, le redmarrage peut tre suspendu : la plupart des ordinateurs sont teints en fin de journe et la dsinstallation des applications incompatibles devrait ainsi tre termine au dbut de la journe suivante. Une autre solution est dafficher une invite de redmarrage sur lcran de lutilisateur. Dans ce cas, lavertissement peut tre affich quelques minutes dintervalle et une dure dattente limite peut tre spcifie, suite quoi le redmarrage de lordinateur sera forc. Pour configurer cela, cliquez sur le lien Modifier. Vous pouvez galement modifier la notification destine aux utilisateurs. Aprs la dsinstallation des programmes dditeurs tiers, Kaspersky Endpoint Security peut tre dploy en excutant lassistant dinstallation distance ou une tche dinstallation automatique tel que dcrit plus loin dans ce chapitre.
I93
Unit I. Dploiement
I94
Unit I. Dploiement
3.5 Autres mthodes dinstallation

Mthode dinstallation : vue densemble
Linstallation distance au moyen des outils Windows ne fonctionne pas dans de nombreux cas. Cela signifie que le dploiement initial de Kaspersky Endpoint Security par lassistant dinstallation distance standard de Kaspersky Security Center peut chouer. En outre, Kaspersky Endpoint Security nest gnralement pas le seul programme tre dploy sur un rseau. Les administrateurs installent et mettent jour des programmes sur les ordinateurs rgulirement, et ils doivent disposer des outils et des mthodes en consquence. Ceux-ci varient beaucoup : installations locales accomplies par les employs du service informatique, utilisation de systmes de gestion dinfrastructure TI tels que Microsoft SCCM ou installation au moyen des outils Active Directory ou de scripts de connexion. La prise en charge de Kaspersky Security Center nest pas particulirement importante si ces mthodes alternatives sont utilises, mais est trs pratique si elle est disponible. Par exemple, en ce qui concerne linstallation manuelle, Kaspersky Security Center permet dintgrer tous les paramtres dinstallation en un seul fichier dinstallation. Par ailleurs, linstallation au moyen des outils Active Directory peut tre slectionne directement dans lassistant dinstallation.
Installation au moyen de paquets autonomes

Un paquet dinstallation autonome de Kaspersky Security Center est un fichier contenant les fichiers dinstallation et les paramtres de linstallation du produit (Kaspersky Endpoint Security par exemple). Un paquet dinstallation autonome peut comprendre les fichiers dinstallation de lAgent dadministration et les paramtres de connexion du Serveur dadministration. Un tel paquet est conu pour une installation locale par des utilisateurs ayant des droits suffisants ou par les administrateurs et les employs du service informatique. Il permet de gagner du temps et de limiter les erreurs.
I95
Unit I. Dploiement
I96
Unit I. Dploiement
La procdure dinstallation extrmement simple est un avantage vident des paquets dinstallation autonomes. Aucun paramtre ne doit tre spcifi lors de linstallation car ils sont tous dj inclus dans le paquet. Cela permet dconomiser du temps et dviter les erreurs, lorsque vous spcifiez ladresse de connexion du Serveur par exemple. En outre, comme un paquet dinstallation autonome est un fichier unique, il est plus facile manipuler que les fichiers de distribution standard. Il ny a aucun risque de fichiers manquants et moins de temps est ncessaire dans lensemble.
Crer un paquet dinstallation autonome

Les paquets dinstallation autonomes sont crs partir des paquets dinstallation ordinaires disponibles sur le Serveur dadministration. Un assistant spcial utilis dans ce but invite la personne crant le paquet entrer les paramtres dinstallation. Lorsque le paquet dinstallation autonome de Kaspersky Endpoint Security est cr, lassistant propose dy inclure lAgent dadministration, de sorte que lordinateur cible puisse immdiatement se connecter au Serveur dadministration. Indpendamment du produit choisi, les ordinateurs doivent tre dplacs dans la catgorie des ordinateurs administrs juste aprs linstallation. En effet, laisser les ordinateurs protgs dans la catgorie des ordinateurs non dfinis na pas grand sens. Cette tape saffiche dans lassistant si lAgent dadministration est install avec le produit principal. Sil est ncessaire de modifier les paramtres par dfaut de Kaspersky Endpoint Security ou de slectionner des composants spcifiques installer, cela doit tre fait au pralable dans les proprits du paquet ordinaire, avant de lancer lassistant de cration de paquets dinstallation autonomes. Les paramtres des paquets dinstallation sont dcrits plus loin dans ce chapitre.
I97
Unit I. Dploiement
I98
Unit I. Dploiement
Aprs avoir spcifi tous les paramtres, lassistant gnre le fichier dinstallation excutable et le place dans le sous-rpertoire PkgInst du dossier partag situ sur le Serveur dadministration. Lassistant suggre alors que ladministrateur effectue une des actions suivantes : Ouvrir le dossier contenant le paquet dinstallation pour le copier sur un lecteur flash ou le dplacer vers une autre ressource partage par exemple. Adresser un courrier lectronique aux utilisateurs pour les inviter excuter le paquet. Le Serveur dadministration dmarre le client de messagerie par dfaut et remplit automatiquement lobjet et le corps du message en fournissant un lien vers le paquet situ dans le dossier partag. La seule chose que doit faire ladministrateur est spcifier les adresses des destinataires. Placer un lien vers le paquet dinstallation sur une ressource Web. Une fentre texte souvre et affiche le code HTML du lien vers le paquet dinstallation autonome, lequel peut tre ajout une page Web. Plus tard, la liste des paquets dinstallation autonomes crs peut tre ouverte au moyen du menu contextuel du stockage des paquets dinstallation. Vous pouvez supprimer les paquets inutiles ou envoyer un autre courrier lectronique aux utilisateurs. Si lassistant de cration des paquets dinstallation autonomes est dmarr de faon rpte pour un mme paquet, ladministrateur peut soit recrer le paquet dinstallation autonome, soit en crer un autre.
I99
Unit I. Dploiement
I100
Unit I. Dploiement
Publier un paquet dinstallation autonome via la Console Web

Le lien HTML envoyer par courrier lectronique propos par lassistant contient le chemin daccs vers le dossier partag situ sur le Serveur dadministration. Si des utilisateurs hors du domaine et non enregistrs sur le Serveur dadministration essaient de cliquer, ils ne pourront pas accder la ressource. Ce problme peut tre rsolu si la ressource Web contient non seulement un lien vers le paquet, mais aussi le paquet lui-mme. Pour cela, ladministrateur doit installer un serveur Web, placer le paquet dans un catalogue virtuel et publier une page Web contenant un lien HTTP vers le paquet dinstallation. Tous les utilisateurs pourront tlcharger le paquet, sauf si des restrictions daccs sont volontairement mises en place sur la page Web par ladministrateur. Dans Kaspersky Security Center, la Console Web simplifie ces actions car la publication des paquets dinstallation autonomes est une de ses fonctionnalits. Pour publier un paquet dinstallation via la Console Web de Kaspersky Security Center, ouvrez longlet Ordinateurs dans la fentre de la console et cliquez sur le lien Ajouter un paquet situ sur la gauche. Dans la fentre contenant la liste des paquets autonomes crs sur le Serveur, slectionnez les paquets ncessaires et cliquez sur le bouton Publier. La publication prend quelque temps. La liste des paquets autonomes disponibles pour la publication ne contient pas ceux qui ont dj t publis, ni les paquets de lAgent dadministration. Elle contient les paquets non publis de tous les produits, sauf ceux de lAgent dadministration. Les paquets dautres produits comprenant lAgent dadministration sont galement disponibles. Lorsquil est publi, un paquet dinstallation autonome est copi sur le serveur Web. Le paquet dinstallation autonome sera ensuite tlcharg depuis le serveur Web, en non depuis le dossier partag du Serveur dadministration. Le lien Liste des paquets ouvre la fentre contenant les paquets publis. Pour chacun dentre eux, un Lien permanent vers le paquet dinstallation est affich. Il peut tre copi et envoy par courrier lectronique aux utilisateurs au lieu du lien vers le dossier partag, ce qui aura pour effet de diminuer la probabilit de problmes daccs. La Console Web enregistre les associations entre les paquets dinstallation publis sur le serveur Web et les paquets autonomes sources situs dans le dossier partag du Serveur dadministration. Si ladministrateur met jour un paquet dinstallation autonome sur le Serveur dadministration, le bouton Mettre jour apparatra ct du paquet correspondant dans la liste des paquets publis de la Console Web.
I101
Unit I. Dploiement
I102
Unit I. Dploiement
Installation partir dun paquet autonome

Lorsque les utilisateurs sont invits installer un paquet, ils doivent pouvoir tlcharger le paquet dinstallation autonome au moyen du lien indiqu, lexcuter et attendre que linstallation soit termine. Si Kaspersky Endpoint Security est install par-dessus une version prcdente ou la place dun outil de protection dun diteur tiers, lutilisateur peut tre invit redmarrer lordinateur. Aprs le redmarrage de lordinateur, le paquet dinstallation autonome dmarrera une fois de plus pour indiquer la russite de linstallation 8.
Installation automatique dans un groupe

Nous avons dj abord la situation dans laquelle ladministrateur slectionne les ordinateurs non dfinis dans lassistant dinstallation distance. Aprs linstallation, les ordinateurs non dfinis sont automatiquement dplacs dans le groupe Ordinateurs administrs. Une autre approche est possible : ladministrateur dplace dabord les ordinateurs dans le groupe souhait, puis y installe lAgent dadministration et Kaspersky Endpoint Security. Dans cette approche, lassistant dinstallation distance peut tre utilis, mais il existe une mthode plus rapide : crer une tche de groupe. Dplacer les ordinateurs dans des groupes est dcrit plus loin dans ce chapitre. Pour excuter une installation au sein dun groupe, ouvrez la section dinstallation automatique dans les proprits du groupe et slectionnez les paquets dinstallation des produits installer. Tous les paquets stocks dans le stockage Paquets dinstallation y sont disponibles. Si Kaspersky Endpoint Security et lAgent dadministration sont slectionns, une tche dinstallation unique est cre pour installer les deux produits. La plupart des paramtres de la tche (mais pas tous) ont dj t dcrits dans lassistant dinstallation distance. Les autres paramtres sont disponibles dans les proprits de la tche.
Dans certains cas, aprs avoir dsinstall une application tierce partie et redmarr lordinateur, lutilisateur doit relancer le paquet dinstallation autonome pour achever linstallation de Kaspersky Endpoint Security.
I103
Unit I. Dploiement
I104
Unit I. Dploiement
Planification
Par dfaut, la tche dinstallation automatique dmarre toutes les heures. La rinstallation tant dsactive par dfaut, lexcution de la tche na pas pour consquence la rinstallation permanente des produits. Toutefois, si certains ordinateurs taient teints ou nont pas t prpars pour linstallation distance initiale, le dmarrage priodique garantit que la tche tentera linstallation jusqu ce que celle-ci russisse. Kaspersky Security Center permet de configurer nimporte quelle planification raisonnable pour une tche dinstallation : Manuellement, sans planification Immdiatement aprs la cration Une fois, la date et lheure indique Toutes les N heures, y compris toutes les heures Tous les N jours, y compris chaque jour, lheure indique Chaque jour, lheure indique Chaque semaine, pendant un jour de la semaine spcifi, lheure indique Une fois par mois, la date et lheure indique la fin dune autre tche
En rgle gnrale, le lancement unique est utilis pour linstallation, Manuellement le plus souvent. Loption Immdiatement peut aussi galement tre utilise (comme dans lassistant de dploiement), ou Une fois, pour excuter linstallation sur les serveurs la nuit par exemple. Le dmarrage priodique est utilis pour linstallation automatise de lAgent dadministration et de Kaspersky Endpoint Security sur les nouveaux ordinateurs. Le fait que la tche dinstallation ne dmarre pas sur les ordinateurs o les produits sont dj installs permet de crer une tche de groupe pour installer lAgent dadministration et les outils de protection avec un dmarrage quotidien ou mme horaire. Une telle tche naffectera pas les ordinateurs dj protgs. Mais si un nouvel ordinateur apparat dans le rseau, ladministrateur devra simplement lajouter au groupe correspondant et la tche dinstallation y installera les produits ncessaires en fonction de la planification. Cette approche fonctionne au mieux dans un domaine car le compte de ladministrateur du domaine peut tre utilis pour effectuer linstallation sur tous les ordinateurs. Si un nouvel ordinateur nappartient pas au domaine, il est possible que les comptes spcifis dans la tche naient pas les privilges insuffisants et linstallation chouera. Si certains des ordinateurs choisis pour linstallation sont arrts, mais prennent en charge la fonction Wake-onLAN, le Serveur dadministration peut envoyer un signal de mise sous tension ces ordinateurs avant dexcuter la tche. Pour utiliser cette technologie, activez loption correspondante dans les paramtres de planification de la tche dinstallation. Vous pouvez arrter une tche aprs un certain temps. Une tche peut se bloquer en tat En excution si lordinateur sur lequel elle sexcute est mis hors tension de faon inattendue. Avec loption darrt automatique active, la tche sera arrte et reprendra plus tard, selon la planification, et ritrera la tentative dinstallation.
I105
Unit I. Dploiement
I106
Unit I. Dploiement
Stockage des rsultats

Les informations que ladministrateur peut consulter dans la fentre de rsultats de la tche sont transfres au Serveur dadministration et stockes dans la base de donnes des vnements. Dans un premier temps, cest le programme dinstallation qui transfre les vnements, mais aprs linstallation de lAgent dadministration, cest ce dernier qui gre le transfert des informations. Les vnements de linstallation distance sont stocks dans la base de donnes du Serveur dadministration pendant 7 jours. Cette dure de conservation peut tre modifie dans les proprits de la tche, ainsi que les autres paramtres de stockage. Les rsultats peuvent tre stocks dans la base de donnes du Serveur dadministration et dans le journal des vnements Windows. Par dfaut, tous les vnements de la tche sont enregistrs. Vous pouvez choisir de nenregistrer que les vnements dexcution : dans ce cas, les tats Appliqu et Prt pour lexcution ne seront pas enregistrs. Vous pouvez galement choisir de ne stocker que les rsultats de la tche. En outre, vous pouvez activer ici les notifications dachvement de la tche. Ces notifications seront envoyes en utilisant les paramtres de notification gnraux spcifis au niveau du Serveur dadministration.
Transfert de fichiers via le rseau

Si une installation dmarre sur 1000 ordinateurs simultanment et quils essaient tous de tlcharger le paquet dinstallation depuis le Serveur dadministration au mme moment, le rseau peut tre surcharg au point que certains ordinateurs ne pourront pas se connecter au Serveur et installer le produit. Dautres applications rseau utilises dans lorganisation peuvent galement rencontrer des problmes en raison du volume important de donnes transitant par le rseau. Pour viter cela, vous pouvez limiter le nombre de paquets dinstallation tlchargeables simultanment. Par dfaut, ce nombre est limit 5. tout instant, le paquet ne sera pas tlcharg par plus de 5 ordinateurs. Les autres ordinateurs attendront leur tour. Lorsque le paquet dinstallation est tlcharg sur un des ordinateurs, lordinateur suivant est autoris dmarrer le tlchargement. Parfois, linstallation est interrompue en raison dobstacles temporaires et son redmarrage immdiat permet de lachever avec succs. Afin de ne pas obliger ladministrateur redmarrer la tche manuellement, la tche effectue plusieurs tentatives dinstallation avant de renvoyer un message derreur. Par dfaut, elle fait 3 tentatives. Si linstallation est interrompue 3 fois, un problme permanent existe probablement.
Rinstallation du programme
Par dfaut, la rinstallation est dsactive. La tche reoit les informations concernant les programmes installs de la base de donnes du Serveur dadministration. Si la base de donnes signale que la version de Kaspersky Endpoint Security installe sur lordinateur est la mme que celle qui doit tre installe par la tche, linstallation se terminera par le verdict Programme dj install. linverse, si les donnes du Serveur indiquent que Kaspersky Endpoint Security nest pas install sur lordinateur, le programme dinstallation installera Kaspersky Endpoint Security, mme si la mme version est dj installe sur lordinateur. Dans certains cas, ladministrateur peut vouloir rinstaller un programme dj install. Par exemple, lAgent dadministration peut tre rinstall dans le but de modifier ses paramtres de connexion. Pour effectuer la rinstallation, dsactivez le paramtre Ne pas installer lapplication sur des postes dj quips. Linstallation dune version du produit plus rcente que celle qui est dj installe sur lordinateur nest pas considre comme une rinstallation et est toujours autorise. Linstallation dune version antrieure est traite comme une rinstallation et est rgie par la mme option.
I107
Unit I. Dploiement
I108
Unit I. Dploiement
Installation au moyen dActive Directory

Le principe est le suivant : le paquet dinstallation en format Microsoft Installer (.msi) est plac dans un dossier partag sur lequel les ordinateurs du domaine ont des droits de lecture. Dans Active Directory, le paquet est affect une stratgie de groupe applique aux ordinateurs du domaine. Lorsquun poste client dmarre et se connecte au domaine, la stratgie est applique et le paquet dinstallation est automatiquement install, avant mme que lutilisateur ne se connecte au systme. Cette mthode dinstallation peut tre relativement facile lorsquelle est applique manuellement. Nanmoins, Kaspersky Security Center la rend encore plus pratique. Il suffit dactiver la case cocher Fixer linstallation du paquet dinstallation dans les stratgies de groupe dActive Directory dans la tche. Cette mthode est applicable lAgent dadministration uniquement, car aprs avoir install lAgent, les autres programmes sont censs tre installs au moyen de lAgent. Si cette option est slectionne, le Serveur dadministration cre un nouveau groupe dans Active Directory nomm AK-<squence alphanumrique> et y inclut les comptes des ordinateurs auxquels la tche sapplique. En outre, le Serveur dadministration cre un nouvel objet de stratgie de groupe nomm AK-<autre squence alphanumrique> au niveau du domaine dans Active Directory et laffecte linstallation du paquet MSI de lAgent dadministration situ dans le dossier partag du Serveur. Lautorisation dappliquer la stratgie est uniquement accorde au groupe cr et contenant les comptes des ordinateurs cibles. Ainsi, la stratgie de niveau domaine sera applique aux ordinateurs du domaine slectionns et non tous les ordinateurs du domaine. Suite cela, linstallation standard est effectue. La stratgie est finalement applique aux ordinateurs. Au prochain redmarrage, les ordinateurs tlchargent le paquet MSI de lAgent depuis le dossier partag du Serveur dadministration et linstallent. Les paramtres dinstallation, y compris ladresse et les ports du Serveur, sont tirs du fichier de rponses situ dans le mme dossier que le paquet dinstallation MSI. Ainsi, les ordinateurs se connectent automatiquement au Serveur dadministration. Si la tche est configure pour installer non seulement lAgent, mais aussi un autre programme, Kaspersky Endpoint Security par exemple, linstallation reprendra aprs la connexion de lAgent au Serveur. Active Directory et dautres systmes similaires permettent daffecter aux utilisateurs des scripts automatiquement excuts lorsque ceux-ci se connectent au systme. Ce genre de script peut contenir la commande dinstallation de lAgent dadministration. Dans la console de Kaspersky Security Center, la page du groupe contient un lien vers larticle de la base de connaissances expliquant comment ajouter correctement la commande dinstallation de lAgent un script douverture de session.
I109
Unit I. Dploiement
I110
Unit I. Dploiement
3.6 Paquets dinstallation

Les paquets dinstallation de Kaspersky Security Center reprsentent les produits prts tre installs. Un paquet comprend les fichiers dinstallation, les paramtres dinstallation et certains paramtres de configuration du produit. Dans un sens, les paramtres du paquet dinstallation remplacent lassistant dinstallation local et lassistant de configuration local. Chaque produit a ses propres paramtres. Comme vous le savez, les paquets dinstallation sont utiliss par les assistants et les tches dinstallation distance, ainsi que pour la cration de paquets dinstallation autonomes. Mis part les paquets dinstallation des produits de Kaspersky Lab, qui installent uniquement ces produits, vous pouvez galement crer des paquets dinstallation pour des fichiers excutables de votre choix. De tels paquets dmarrent le fichier spcifi, qui nest pas ncessairement un programme dinstallation. Kaspersky Security Center comprend tous les paquets dinstallation ncessaires au dploiement du systme de protection : Agent dadministration Kaspersky Endpoint Security for Windows Les paquets disponibles se trouvent dans le stockage Paquets dinstallation. Ce nud affiche les informations suivantes pour chaque paquet : nom, version du produit et nom unique du paquet. Les paquets peuvent tre crs, modifis et supprims. Si un paquet est utilis par une tche dinstallation, il ne peut tre supprim.
I111
Unit I. Dploiement
I112
Unit I. Dploiement
Paramtres dinstallation de lAgent dadministration

La section Gnral des proprits dun paquet dinstallation affiche la version du programme et la taille du fichier, ainsi que le chemin daccs vers le fichier du paquet dans le dossier partag du Serveur dadministration. Si ncessaire, un employ du service informatique peut tlcharger les fichiers dinstallation via le rseau et installer lAgent dadministration localement. Le seul paramtre dinstallation configurable pour lAgent dadministration est son dossier dinstallation. Sil nest pas spcifi explicitement, le chemin daccs standard est utilis : %ProgramFiles%\Kaspersky Lab\NetworkAgent La dsinstallation de lAgent peut tre protge par un mot de passe quil est possible de spcifier dans les proprits du paquet. Dans ce cas, mme les utilisateurs ayant des droits dadministrateur ne pourront pas dsinstaller lAgent au moyen des outils ordinaires, moins de connatre le mot de passe. Cependant, un utilisateur ayant des droits dadministrateur peut rendre lAgent inoprant sil le veut vraiment. La mme fonction de protection par mot de passe est galement disponible dans la stratgie de lAgent dadministration.
I113
Unit I. Dploiement
I114
Unit I. Dploiement
Le paquet dinstallation de lAgent dadministration contient les paramtres de connexion au Serveur dadministration. Lassistant dinstallation de lAgent dadministration demande ces paramtres lors de linstallation interactive locale. Les principaux paramtres de connexion sont ladresse et les ports du Serveur dadministration. Initialement, ils adoptent les valeurs spcifies lors de linstallation du Serveur dadministration. Si les postes clients et le Serveur dadministration appartiennent diffrents sous-rseaux connects via un serveur proxy, les paramtres du serveur proxy peuvent galement tre spcifis dans les proprits du paquet dinstallation. Ces paramtres standard comprennent ladresse et le port du serveur proxy ainsi que le nom dutilisateur et le mot de passe dautorisation. Rappelez-vous que ces paramtres seront utiliss par les Agents dadministration pour la connexion au Serveur, et non linverse. Lorsque cest le Serveur qui initie une connexion un poste client, pour appliquer une stratgie par exemple, il utilise un port UDP. Pour que le pare-feu Windows ne bloque pas les requtes sur ce port, lAgent dadministration peut automatiquement crer lexception ncessaire. Pour modifier ce comportement, dsactivez la case cocher Ouvrir les ports de lAgent dadministration dans le pare-feu Microsoft Windows. Par dfaut, lAgent dadministration accepte les connexions sur le port UDP 15000. Cette valeur peut tre modifie la fois dans les proprits du paquet dinstallation et plus tard dans la stratgie de lAgent dadministration. Tout comme la Console dadministration Kaspersky, les Agents dadministration peuvent tablir des connexions cryptes ou non cryptes avec le Serveur. Par dfaut, le cryptage est activ. Les Agents dadministration tlchargent et utilisent automatiquement le certificat du Serveur dadministration. Le certificat peut tre spcifi manuellement dans les rseaux ayant des exigences de scurit strictes afin dexclure la possibilit de substitution du Serveur dadministration. Aucun des paramtres de lAgent dadministration nest spcifi dans lassistant de dploiement. LAgent dadministration est install et connect au Serveur en utilisant les paramtres standard du paquet dinstallation. Les paramtres avancs du paquet dinstallation de lAgent dadministration sont utiles dans les rseaux linfrastructure complexe. Ils seront donc dcrits dans le chapitre 5.
I115
Unit I. Dploiement
I116
Unit I. Dploiement
Paramtres dinstallation de Kaspersky Endpoint Security

Les proprits gnrales du paquet dinstallation de Kaspersky Endpoint Security sont similaires celles du paquet de lAgent dadministration. La seule diffrence est le bouton Mettre jour les bases. Pour que Kaspersky Endpoint Security soit en mesure de fonctionner juste aprs linstallation, son paquet dinstallation comprend les bases de donnes antivirus. Elles ne sont pas automatiquement mises jour dans le paquet et deviennent rapidement obsoltes. Ce nest pas vritablement un problme, car juste aprs linstallation de loutil de protection, la tche de mise jour dmarre et tlcharge les nouvelles bases de donnes. Mais si les bases de donnes du paquet sont suffisamment anciennes, lordinateur peut avoir besoin dtre redmarr pour utiliser les nouvelles bases de donnes. Pour viter cela, vous pouvez mettre jour les bases de donnes dans les proprits du paquet avant installation. Comme cette mise jour vise viter tout redmarrage inutile, le bouton Mettre jour les bases ajoute au paquet un sous-ensemble de bases de donnes ncessitant un redmarrage ventuel. Les bases de donnes sont copies partir du rfrentiel du Serveur. Dautres paramtres du paquet dinstallation de Kaspersky Endpoint Security sont la rplique des paramtres de linstallation interactive. Les principaux paramtres sont la liste des composants et le dossier des fichiers programme. Si ce dossier nest pas spcifi explicitement, le chemin daccs standard est utilis : %ProgramFiles%\Kaspersky Lab\Kaspersky Endpoint Security 8 for Windows Par dfaut, tous les composants sont slectionns, mais cela ne signifie pas quils seront tous installs. Le rsultat de linstallation dpend de la nature du systme dexploitation. Sur les systmes serveur, seuls les composants suivants peuvent tre installs : Antivirus Fichiers Pare-feu Dtection des intrusions En plus des composants, certaines tches locales sont installes. Elles ne peuvent tre slectionnes dans les proprits du paquet dinstallation et sont installes sur tous les systmes dexploitation : Mise jour Tches de recherche de virus Analyse complte Analyse des zones critiques Analyse personnalise Analyse en arrire-plan Analyse des disques amovibles la connexion Recherche de vulnrabilits Les administrateurs utilisant souvent linterface de la ligne de commande peuvent activer lajout automatique du dossier dinstallation dans la variable denvironnement %PATH%. Ensuite, ils pourront excuter les commandes dadministration du produit au moyen davp.com, sans avoir spcifier le chemin daccs complet.
I117
Unit I. Dploiement
I118
Unit I. Dploiement
Le paquet dinstallation comporte deux paramtres de compatibilit supplmentaires. Le premier dsactive lautodfense pendant la procdure dinstallation. Il est activ par dfaut, cest--dire que lautodfense ne fonctionne pas pendant linstallation. Lorsque lautodfense est dsactive, les fichiers dinstallation peuvent tre modifis par des programmes ou des utilisateurs malveillants. Lautre paramtre dsactive linstallation dun des pilotes utiliss pour intercepter les connexions rseau NDIS5. Ce paramtre ne concerne que les anciens systmes dexploitation tels que Windows XP et Windows 2003. Si loption Ne pas installer le pilote NDIS5 est active, les pilotes rseau kiln.sys et klick.sys seront installs sur ces systmes dexploitation et assureront les mmes fonctions : intercepter les paquets rseau. Cette option est utilise si le pilote NDIS5 provoque des problmes de compatibilit. Sur Windows Vista/2008/7/2008 R2, cette option ne joue aucun rle et le pilote NDIS est install de toute faon. Le fichier de configuration est un paramtre supplmentaire. Ce fichier dfinit les paramtres utiliss par Kaspersky Endpoint Security aprs linstallation. Pour le crer, installez le produit sur un ordinateur et sauvegardez sa configuration au moyen de la fonction de gestion des paramtres de lapplication dans linterface locale. Un fichier de configuration se substitue lAssistant de dmarrage rapide de Kaspersky Endpoint Security. Si le fichier de configuration nest pas spcifi, le produit fonctionnera avec sa configuration par dfaut. Cependant, ds que lAgent dadministration se connectera au Serveur, la stratgie de Kaspersky Endpoint Security sera applique et remplacera les paramtres de protection. Ainsi, le fichier de configuration est ncessaire si la stratgie na aucune incidence sur certains paramtres du produit ou pour les ordinateurs non administrs.
I119
Unit I. Dploiement
I120
Unit I. Dploiement
Cl
Kaspersky Endpoint Security ne fonctionne pas sans cl. Dans le cadre dune installation interactive, la cl peut tre spcifie dans lassistant de configuration. Linstallation distance suppose plusieurs faons de fournir une cl pour le produit install. Lune dentre elles consiste spcifier le fichier de la cl dans les proprits du paquet dinstallation. Bien que ce ne soit pas le moyen le plus commode de distribuer les cls, il est fiable. La gestion des cls est dcrite en dtail dans lunit IV, Maintenance .
Supprimer les applications incompatibles

Le but de la dsinstallation des applications incompatibles et les outils de Kaspersky Security Center correspondants ont t dcrits prcdemment.
I121
Unit I. Dploiement
I122
Unit I. Dploiement
Crer des paquets dinstallation

Les paquets dinstallation compris dans Kaspersky Security Center sont gnralement suffisants pour protger la plupart des rseaux. Des paquets supplmentaires peuvent tre ncessaires dans les cas suivants : Une nouvelle version des outils de protection a t publie. Un paquet dinstallation est ncessaire pour la mise jour vers la nouvelle version, tout comme pour linstallation initiale. Ladministrateur peut soit crer le paquet manuellement, soit tlcharger la nouvelle version de Kaspersky Security Center comprenant les nouveaux outils de protection et rinstaller le Serveur dadministration par-dessus lancien (tous les paramtres seront sauvegards). Il est ncessaire dinstaller distance un produit Kaspersky Lab qui nest pas inclus dans la version standard de Kaspersky Security Center, Kaspersky Anti-Virus for Windows Servers par exemple. Un tel paquet dinstallation doit tre cr manuellement. Diffrents paramtres sont ncessaires dans certaines parties de votre rseau. Par exemple, selon le plan de dploiement, certains ordinateurs nont pas besoin des composants Antivirus Internet et Antivirus Courrier. Pour tre pouvoir dployer le systme simultanment sur les deux catgories dordinateurs, crez un paquet dinstallation supplmentaire avec ces paramtres non standard. Un paquet dinstallation est cr partir des fichiers dinstallation par un assistant dmarr depuis le stockage Paquets dinstallation. Lassistant demande le nom du paquet dinstallation et le chemin daccs au catalogue contenant les fichiers dinstallation. Les fichiers dinstallation peuvent tre dcompacts (cest ainsi quils sont gnralement fournis sur CD) ou compresss dans une archive auto-extractible (cest dans cette forme quils sont disponibles en tlchargement partir du site Web de Kaspersky Lab). Lassistant de cration de paquets dinstallation prend en charge le format compress uniquement pour Kaspersky Anti-Virus 6.0 MP4 et Kaspersky Enterprise Security 8. Si une archive autoextractible est spcifie, lassistant la dcompressera automatiquement dans un rpertoire temporaire et en extraira tous les fichiers ncessaires. Les paquets dinstallation des produits Kaspersky Lab sont crs sur la base de fichiers de description ayant une extension .kpd ou .kud. Les fichiers sont identiques, sauf en ce qui concerne le codage : les fichiers .kpd utilisent un codage ANSI, les fichiers .kud un codage Unicode. Les fichiers contiennent la version du produit, le nom du programme dinstallation, les paramtres dinstallation et les descriptions derreurs. Un fichier .kpd/.kud nest pas suffisant pour crer un paquet dinstallation. Ces fichiers se trouvent dans le paquet dinstallation de distribution et ne doivent pas en tre spars. Pour crer correctement un paquet dinstallation, slectionnez le fichier .kpd/.kud se trouvant dans le paquet de distribution correspondant. Vous pouvez utiliser cet assistant pour crer des paquets dinstallation pour dautres programmes que les produits Kaspersky Lab. Un paquet dinstallation peut tre cr partir de nimporte quel fichier excutable. De tels paquets peuvent tre utiliss pour dmarrer un utilitaire distance, installer des correctifs pour des programmes dditeurs tiers, installer des programmes dditeurs tiers et dmarrer nimporte quel fichier excutable. Lorsque vous crez un paquet dinstallation pour un programme dditeur tiers, ne slectionnez pas de fichier .kpd/.kud, mais le fichier excutable du programme concern. Un tel paquet naura aucun paramtre, mais ladministrateur pourra spcifier des arguments de ligne de commande utilisables pour dmarrer le fichier excutable lors de la cration du paquet.
I123
Unit I. Dploiement
I124
Unit I. Dploiement
3.7 Surveillance du dploiement

Les rsultats des tches et les donnes disponibles relatives au groupe Ordinateurs administrs ne fournissent pas toujours des informations compltes sur le dploiement de la protection dans le rseau. Le dploiement sur tous les ordinateurs au moyen dune seule tche ainsi que ladministration de tous les ordinateurs dans un groupe unique sont caractristiques des rseaux de petite taille. Les rapports sont la source dinformation naturelle pour disposer dinformations exhaustives. Rapport sur les applications incompatibles Rapport sur les versions des logiciels de Kaspersky Lab Rapport sur le dploiement de la protection Ces rapports sont disponibles dans le nud Rapports et notifications. Les requtes sont galement trs utiles lors du dploiement : Nouveaux ordinateurs trouvs Kaspersky Anti-Virus non install Ordinateurs non dfinis avec Agent dadministration
Rapport sur les versions des logiciels

Le Rapport sur les versions des logiciels affiche le nombre de programmes Kaspersky Lab installs sur les ordinateurs administrs. En particulier, le nombre dAgents dadministration installs, de Serveurs dadministration et doutils de protection de Kaspersky Endpoint Security. Les diffrentes versions (builds) des produits sont reprsentes sparment, ce qui est pratique pour la mise jour des produits. Le rapport affiche le nombre dordinateurs utilisant les versions jour des programmes et le nombre dordinateurs utilisant des anciennes versions. La partie graphique du rapport prsente le tableau des statistiques rpertoriant toutes les versions des produits administrs et le nombre dinstallations pour chacun dentre eux. Le tableau Dtails donne des informations sur chaque ordinateur : produits installs, versions, etc.
I125
Unit I. Dploiement
I126
Unit I. Dploiement
Rapport sur le dploiement de la protection

Ce rapport affiche trois catgories : Ordinateurs avec Agent dadministration et outils de protection Ordinateurs avec Agent dadministration mais sans outil de protection Ordinateurs sans Agent dadministration Les ordinateurs comportant des outils de protection, mais sans Agent dadministration, sont inclus dans la dernire catgorie. Si lAgent dadministration nest pas install, le Serveur dadministration na pas la possibilit den connatre les outils de protection. Cette catgorie comprend aussi les ordinateurs sur lesquels lAgent dadministration est install, mais qui ne sont pas connects au Serveur dadministration. Le graphique et le tableau rcapitulatif affichent le nombre dordinateurs dans chaque catgorie. Le tableau Dtails, tout comme dans le Rapport sur les versions des logiciels, affiche la version de lAgent dadministration et de Kaspersky Endpoint Security sur chaque ordinateur. Ce rapport est particulirement utile si ladministrateur dplace dabord tous les ordinateurs dans le groupe Ordinateurs administr, puis dmarre les tches de dploiement tape par tape. Dans ce cas, le rapport affiche explicitement le nombre dordinateurs administrs qui ne sont pas connects au Serveur et le nombre de ceux qui sont connects mais non encore protgs par Kaspersky Endpoint Security. Si ladministrateur utilise lassistant dinstallation distance pour effectuer le dploiement et slectionne toujours les ordinateurs de la zone des ordinateurs non dfinis, ce rapport est moins utile car il ne couvre pas les ordinateurs non dfinis.
tat gnral du dploiement

Les informations relatives au dploiement de protection sont galement disponibles sur la page Dbut du fonctionnement qui souvre lorsque vous vous connectez au Serveur. La zone Dploiement prsente le nombre dordinateurs administrs sur lesquels Kaspersky Endpoint Security nest pas install. Si ce nombre est diffrent de zro, le lien vers la requte renvoyant tous ces ordinateurs est galement affich.
Trouver de nouveaux ordinateurs

Ladministrateur peut configurer des notifications en ce qui concerne les nouveaux ordinateurs trouvs dans le rseau. Trouvez lvnement correspondant dans les proprits du Serveur dadministration et activez la notification par courrier lectronique dans ses proprits.
I127
Unit I. Dploiement
I128
Unit I. Dploiement
Chapitre 4. Gestion de la structure du parc dordinateurs

4.1 Dtection des ordinateurs
Dans lassistant de dploiement ou lors de la cration dune tche de dploiement, ladministrateur peut slectionner des ordinateurs dans une liste. Le Serveur dadministration constitue cette liste en analysant le rseau. Les analyses sont effectues priodiquement de plusieurs manires diffrentes. Analyse du rseau Microsoft Analyse Active Directory Analyse des sous-rseaux IP
Gestion des ordinateurs dcouverts

Les rsultats de lanalyse sont prsents dans le nud Ordinateurs non dfinis et catgoriss par mthode de dtection : Domaines : ordinateurs dtects lors de lanalyse rseau du Microsoft. Les groupes de travail et les domaines sont reprsents par des dossiers contenant des ordinateurs. Active Directory : les domaines et les units organisationnelles sont reprsents par des dossiers contenant des ordinateurs. Plages IP : les sous-rseaux IP sont reprsents sous forme de dossiers. Un ordinateur peut apparatre dans plus dune zone de dtection. Si un ordinateur est dtect dans le domaine HQ et si son adresse est 192.168.0.1, il peut tre trouv dans le dossier correspondant du nud Domaines et du nud Plages IP. Par ailleurs, le Serveur dadministration utilise les donnes reues dune analyse et les ajoute aux rsultats dtects par les autres mthodes. Par exemple, si lanalyse du rseau Microsoft dtecte que lordinateur Desktop ladresse IP 192.168.0.3, il sera affich dans les nuds Domaines et Plages IP, mme sil na pas t dtect lors de lanalyse prcdente des sous-rseaux IP et mme si le sondage des plages IP est dsactiv. Pour modifier les paramtres danalyse de chaque mthode, cliquez sur le nud Ordinateurs non dfinis puis cliquez sur Modifier les paramtres du sondage dans la section correspondante. Vous pouvez galement dmarrer nimporte quel type danalyse manuellement sur cette page.
I129
Unit I. Dploiement
I130
Unit I. Dploiement
Analyse du rseau Microsoft

Analyse rapide
Le Serveur dadministration recueille la liste des ordinateurs du rseau de Microsoft, tout comme le systme dexploitation lui-mme. Lorsquun utilisateur ouvre les favoris rseau de lordinateur, la liste des ordinateurs voisins regroups par domaine et par groupe de travail est affiche. Le Serveur dadministration peut acqurir la mme liste. Cette mthode danalyse est appele lanalyse rapide du rseau Microsoft. Elle nimpose pas de charge supplmentaire au rseau. Le service Explorateur dordinateurs est responsable de la constitution et de la reprsentation de la liste des ordinateurs. Dans chaque segment du rseau, il existe un ordinateur principal qui stocke la liste gnrale et la fournit sur demande. Pour recevoir la liste, le Serveur dadministration doit simplement envoyer une requte. Lanalyse rapide est effectue toutes les 15 minutes. Les rsultats sont les noms des domaines, des groupes de travail et leurs ordinateurs.
Analyse complte
Pendant lanalyse complte du rseau Microsoft, le Serveur dadministration parcourt la liste reue en rsultat de lanalyse rapide, puis tente de se connecter chaque ordinateur au moyen du protocole NetBIOS. Le but de cette analyse est didentifier les adresses IP et les systmes dexploitation des ordinateurs. Le nombre de requtes tant proportionnel au nombre dordinateurs, lactivit du rseau est beaucoup plus leve que pour lanalyse rapide. Cest pourquoi lanalyse complte est effectue toutes les heures par dfaut.
I131
Unit I. Dploiement
I132
Unit I. Dploiement
Paramtres danalyse du rseau Microsoft

Les principaux paramtres de chaque type de sondage sont lintervalle danalyse et la case cocher permettant dactiver le sondage. Si la case cocher est dsactive, cette mthode de sondage ne sera pas utilise. Aprs que tous les ordinateurs aient t dtects et lorsquaucun changement dans le rseau nest attendu, lanalyse du rseau peut tre dsactive. Par ailleurs, en ce qui concerne lanalyse du rseau Microsoft, ladministrateur peut spcifier la dure de conservation des informations relatives aux ordinateurs dtects. Par dfaut, cette dure est de 7 jours. Si en 7 jours, un ordinateur ne peut plus tre dtect par lanalyse du rseau Microsoft, les informations relatives cet ordinateur sont supprimes de la base de donnes du Serveur. Cet intervalle peut tre spcifi de manire indpendante pour chaque domaine ou groupe de travail. Vous pouvez galement spcifier une dure de conservation commune et lutiliser pour lensemble du rseau Microsoft. Cette flexibilit est obtenue en configurant des paramtres dhritage.
I133
Unit I. Dploiement
I134
Unit I. Dploiement
Analyse Active Directory

En principe, cette mthode ne diffre pas beaucoup de lanalyse rapide du rseau Microsoft. Le Serveur dadministration envoie une requte au contrleur de domaine et reoit la structure Active Directory des ordinateurs. Pour que cette mthode danalyse fonctionne correctement, le Serveur dadministration doit disposer dautorisations administratives sur le contrleur de domaine. Sinon, il doit tre install sur le contrleur de domaine (ce qui arrive rarement dans la pratique) ou sexcuter sous un compte dadministrateur de domaine. Lanalyse Active Directory est effectue toutes les heures.
I135
Unit I. Dploiement
I136
Unit I. Dploiement
Paramtres de lanalyse Active Directory

Des paramtres danalyse analogues sont disponibles pour Active Directory. La dure de conservation des informations trouves est gale lintervalle danalyse. Les donnes reues lors de lanalyse suivante remplacent compltement les anciennes donnes. Dans les paramtres avancs de lanalyse, ladministrateur peut slectionner ltendue de lanalyse : domaine Active Directory auquel le Serveur dadministration appartient, fort de domaines laquelle le Serveur dadministration appartient, liste arbitraire de domaines Active Directory. Pour ajouter un domaine ltendue de lanalyse, spcifiez ladresse du contrleur de domaine et le nom et le mot de passe du compte administrateur permettant dy accder.
I137
Unit I. Dploiement
I138
Unit I. Dploiement
Analyse des sous-rseaux IP

Lanalyse des plages IP est plus complique quelle ne semble. Pour chaque adresse de la plage spcifie, le Serveur dadministration essaie deffectuer une rsolution de nom inverse en nom DNS au moyen de requtes DNS standard. Si lopration russit, le Serveur envoie une demande dcho ICMP (quivalente une commande ping) au nom reu. Si lordinateur rpond, les informations le concernant sont ajoutes dans la base de donnes du Serveur. La rsolution de nom inverse est ncessaire pour exclure les priphriques rseau autres que les ordinateurs : imprimantes rseau, routeurs et autres priphriques susceptibles davoir une adresse IP. Cette mthode danalyse repose sur un service DNS local correctement configur. Elle doit avoir une zone de recherche inverse. Si cette zone nest pas configure, lanalyse des plages IP ne donnera aucun rsultat. Simultanment, une telle zone nest pas tellement ncessaire pour de nombreux services rseau et elle est souvent nglige dans les petits rseaux. Dans les rseaux utilisant Active Directory, une telle zone est maintenue automatiquement. Mais dans ces rseaux, lanalyse des plages IP ne donne pas plus dinformations que lanalyse Active Directory. En raison de toutes ces complications, lanalyse des plages IP est dsactive par dfaut. Initialement, le Serveur dadministration reoit des plages IP analyser en fonction des paramtres rseau de lordinateur sur lequel il est install. Si par exemple, ladresse de lordinateur est 192.168.0.1 et si le masque de sous-rseau est 255.255.255.0, le Serveur dadministration inclut automatiquement le sous-rseau 192.168.0.0/24 la liste danalyse et sonde toutes les adresses de 192.168.0.1 192.168.0.254.
Paramtres danalyse du sous-rseau IP

Les paramtres danalyse des sous-rseaux IP comportent des plages dadresses IP et une case cocher dactivation. La dure de vie des adresses IP collectes lors dune analyse est de 24 heures. Si une adresse IP nest pas vrifie par lanalyse en 24 heures, elle est supprime de la base de donnes. Une telle brivet de la dure de conservation est cause par la rception des adresses IP via le protocole DHCP, avec des adresses IP susceptibles de changer frquemment. Nanmoins, assurez-vous que la dure de conservation des informations dpasse lintervalle dinterrogation. Lorsquelle est active, lanalyse est effectue une fois toutes les 420 minutes (7 heures).
I139
Unit I. Dploiement
I140
Unit I. Dploiement
Configuration des sous-rseaux

Afin danalyser les sous-rseaux auxquels le Serveur dadministration nappartient pas, vous devez les ajouter manuellement. Vous pouvez spcifier un sous-rseau en utilisant soit son adresse et son masque, ou la premire et la dernire adresse dune plage dadresses IP. De plus, le nom du sous-rseau doit tre spcifi. Un sous-rseau peut contenir plusieurs plages dadresses IP : ouvrez les proprits du sous-rseau et ajoutez les plages voulues. Vous pouvez activer et dsactiver lanalyse de manire indpendante pour chaque plage. Kaspersky Security Center ne permet pas dajouter des sous-rseaux qui se chevauchent. Cependant, des plages dadresses IP peuvent se chevaucher lintrieur dun sous-rseau.
Statistiques danalyse
La page Ordinateurs non dfinis affiche la progression du sondage du rseau. Des informations dtailles sont disponibles dans les statistiques du Serveur dadministration. Vous pourrez y trouver lheure de la dernire analyse effectue par mthode, le pourcentage de progression du sondage et le nom du domaine analys pour les rseaux Microsoft.
I141
Unit I. Dploiement
I142
Unit I. Dploiement
4.2 Crer la structure des groupes

Groupes dordinateurs
Au terme de linstallation initiale, il nexiste quun seul groupe sur le Serveur dadministration : Ordinateurs administrs. Avec un seul groupe, la mme stratgie de protection est applique tous les ordinateurs, ce qui nest pas toujours pratique. Mme dans les petits rseaux, il peut tre ncessaire dutiliser des paramtres de protection diffrents pour les serveurs et les postes de travail. Dans les grands rseaux, o diffrents groupes dutilisateurs utilisent diffrents types de logiciels, la possibilit de crer des stratgies avec diffrentes exclusions pour diffrents utilisateurs est extrmement utile. Les ordinateurs doivent tre placs dans des groupes diffrents pour faire lobjet de stratgies diffrentes. Dun point de vue pratique, il est prfrable que la structure des groupes dordinateurs de Kaspersky Security Center soit la mme que celle des groupes dActive Directory ou que les groupes correspondent aux sous-rseaux IP utiliss dans lorganisation. Dans ce cas, lappartenance dun ordinateur un groupe permet ladministrateur den connatre lemplacement physique. Il existe dautres exemples dutilisation des groupes. Souvent, surtout dans les grands rseaux, les administrateurs crent des groupes afin dorganiser le dploiement. Les ordinateurs sans Agent et outils de protection sont placs dans le groupe Dployer lAgent, dans lequel la tche dinstallation automatique de lAgent dadministration est cre. Les ordinateurs sur lesquels lAgent est install sont dplacs dans le groupe Supprimer les applications incompatibles, dans lequel la tche de dsinstallation des applications incompatibles est configure. Les ordinateurs ne comportant pas dapplications incompatibles sont dplacs dans le groupe Dployer KES, dans lequel la tche Installation automatique de Kaspersky Endpoint Security est cre. Enfin, les ordinateurs entirement protgs sont dplacs dans la structure dadministration permanente.
I143
Unit I. Dploiement
I144
Unit I. Dploiement
Administration des groupes

La cration de groupes dans la Console dadministration est aussi simple que la cration de dossiers dans lExplorateur Windows. Tout dabord, les groupes sont crs au sein du nud Ordinateurs administrs. Vous pouvez ensuite crer de nouveaux groupes, soit dans le mme nud ou lintrieur des groupes dj crs. Dans linterface de la Console dadministration, vous pouvez utiliser une des mthodes suivantes pour crer un nouveau groupe : Slectionnez le nud Ordinateurs administrs ou un groupe existant et cliquez sur le bouton Ajouter un nouveau groupe dans la barre doutils Slectionnez le nud Ordinateurs administrs ou un groupe existant et cliquez sur le lien Crer un sousgroupe situ sur longlet Groupes de la page dadministration des groupes Dans le menu contextuel du nud choisi, cliquez sur Nouveau, Groupe Entrez le nom du groupe dans la fentre qui saffiche : il apparatra ensuite comme un sous-dossier dans la hirarchie des ordinateurs administrs. Chaque page de groupe contient des onglets permettant dadministrer les htes compris dans le groupe, les tches de groupe et les stratgies de groupe. Si un groupe nest plus ncessaire, vous pouvez le supprimer. Pour cela, il doit tre vide. Les groupes peuvent galement tre dplacs au sein de la hirarchie des ordinateurs administrs. Par exemple, si la structure des groupes reflte les emplacements physiques des ordinateurs et si le service RH dmnage du btiment 1 au btiment 2, le sous-groupe RH peut tre facilement dplac avec ses ordinateurs depuis le groupe Btiment 1 vers le groupe Btiment 2. Cette tche peut tre accomplie par une opration traditionnelle de couper-coller ou de glisser-dplacer.
I145
Unit I. Dploiement
I146
Unit I. Dploiement
Comment ajouter des ordinateurs aux groupes

Dans la Console dadministration, vous pouvez utiliser une des mthodes suivantes pour dplacer les ordinateurs : Glisser-dplacer : slectionnez un ordinateur parmi les ordinateurs administrs ou non dfinis et faites-le glisser vers le groupe voulu au moyen de la souris. Vous pouvez dplacer plusieurs ordinateurs simultanment sils ont t slectionns au pralable. Couper-coller : la procdure est presque la mme, mais vous coupez les ordinateurs slectionns (au moyen du menu contextuel, de la barre doutils ou du raccourci Ctrl+X) puis vous les collez dans le groupe voulu (encore une fois au moyen du menu contextuel, de la barre doutils ou du raccourci Ctrl+V). Slectionnez un ou plusieurs ordinateurs non dfinis (la mthode ne fonctionne pas pour les postes administrs), ouvrez le menu contextuel, slectionnez la commande Dplacer vers un groupe et spcifiez le groupe voulu. Slectionnez le groupe de destination et lancez lassistant Ajout de postes clients au moyen du lien Ajouter des ordinateurs de longlet Ordinateurs de la page dadministration du groupe. Dans lassistant, vous pouvez soit slectionner les ordinateurs affichs sur larborescence, soit spcifier leurs noms ou leurs adresses manuellement. Quelle que soit la mthode choisie, vous ne pouvez ajouter que les ordinateurs dcouverts par le Serveur lorsque du sondage du rseau. Mme si vous spcifiez le nom ou ladresse dun ordinateur absent de la base de donnes du Serveur dadministration dans lassistant dAjout de postes clients, lassistant vous informera de son incapacit ajouter lordinateur non identifi. Si un ordinateur existe dans le rseau mais ne peut tre dcouvert, si son pare-feu autorise uniquement les connexions sortantes par exemple, installez-y lAgent dadministration. Ds que lAgent dadministration se connectera au Serveur, lordinateur sera ajout la base de donnes.
I147
Unit I. Dploiement
I148
Unit I. Dploiement
Importer des groupes

Si le rseau est suffisamment grand et si la hirarchie planifie des ordinateurs administrs ncessite un grand nombre de groupes, la cration dune telle hirarchie au moyen des mthodes dcrites ci-dessus peut tre trs laborieuse. Dans certains cas, vous pouvez utiliser les outils dautomatisation disponibles dans Kaspersky Security Center pour limiter la quantit de travail ncessaire. Les administrateurs souhaitent souvent placer les ordinateurs administrs dans le mme ordre que dans leur rseau afin de les combiner dans des groupes de travail ou des domaines et des subdivisions identiques. Ladministrateur peut utiliser la fonctionnalit dimportation de structure cet effet. Vous pouvez importer la structure de votre rseau Windows, Active Directory ou une structure dfinie par un fichier texte. Dans les deux premiers cas, vous pouvez importer soit lintgralit de la structure (les groupes et leurs ordinateurs), soit simplement les groupes. Lors de limportation de la topologie au moyen dun fichier texte, seuls les groupes peuvent tre crs. Limportation des ordinateurs ne concerne que les postes non dfinis. Si certains ordinateurs dun groupe de travail ou dune unit Active Directory imports sont dj prsents dans un groupe dordinateurs administrs, lassistant ne les dplacera pas. Pour lancer lassistant, slectionnez le groupe Ordinateurs administrs puis cliquez sur le lien Importer une structure des groupes. Dans lassistant, spcifiez la structure importer et le groupe de destination. Vous pouvez dsactiver limportation des ordinateurs lors de limportation dune structure du rseau Windows ou dActive Directory. La topologie dun rseau Windows et une structure dfinie au moyen dun fichier texte sont toujours importes entirement. Lors de limportation dune structure Active Directory, vous pouvez slectionner le domaine ou lunit importer. Les autres domaines et units seront ignors. Une importation de structure via un fichier texte doit tre prpare manuellement. Chaque groupe ou sous-groupe doit tre spcifi sur une ligne distincte du fichier texte. Les sous-groupes sont spcifis au moyen de leurs chemins daccs complets. Utilisez la barre oblique inverse en tant que dlimiteur de chemin, par exemple : Office1\Subdivision1\Department1 Office1\Subdivision1\Department2 Office2 Office3\Subdivision1 Si un chemin daccs un sous-groupe contient des groupes qui nexistent pas encore, ceux-ci sont crs. Les groupes crs pendant limportation sont identiques aux groupes crs manuellement. Vous pouvez les renommer, les dplacer, les supprimer, etc. Lassistant de cration de structure est conu pour la cration initiale de la structure des ordinateurs administrs. Il nest pas destin la synchronisation rgulire des structures de Kaspersky Security Center et dActive Directory (par exemple). Si vous devez synchroniser, configurez des rgles de dplacement des ordinateurs.
I149
Unit I. Dploiement
I150
Unit I. Dploiement
4.3 Rgles de dplacement des ordinateurs

Si les groupes de Kaspersky Security Center correspondent aux sous-rseaux IP ou aux units dActive Directory, ladministrateur peut facilement automatiser la ventilation des ordinateurs dans les groupes. Les rgles de dplacement des ordinateurs ont cet objectif. Une rgle de dplacement comporte les paramtres de base suivants : Quoi dplacer : un ensemble de conditions que les ordinateurs doivent satisfaire pour tre dplacs. O dplacer : le nom du groupe de la structure des ordinateurs administrs o les postes satisfaisant les conditions de la rgle seront dplacs. Quand dplacer : les conditions de dclenchement du dplacement automatique. Pour ouvrir la liste des rgles de dplacement, cliquez sur Proprits dans le menu contextuel du nud Ordinateurs non dfinis ou sur le lien Configurer les rgles du dplacement des ordinateurs vers le groupe dadministration dans la partie infrieure de la page du nud. Dans de nombreux cas, Kaspersky Security Center cre automatiquement des rgles de dplacement des ordinateurs. Par exemple, lorsque ladministrateur choisit de dplacer les ordinateurs non dfinis dans un groupe au niveau de lassistant dinstallation distance ou de crer un paquet dinstallation autonome, le Serveur dadministration cre une rgle de dplacement pour cette opration. Ces rgles peuvent tre consultes sous forme de liste et peuvent tre dsactives, mais non supprimes ou modifies. Le Serveur les supprime automatiquement lorsque la tche ou le paquet dinstallation autonome correspondant est supprim.
I151
Unit I. Dploiement
I152
Unit I. Dploiement
O dplacer
Spcifiez le nom dune rgle lors de sa cration. Utilisez un nom qui explique lobjet de la rgle, car seuls les noms sont affichs dans la liste des rgles. Vous devrez galement slectionner le groupe de destination, savoir o dplacer les ordinateurs.
Quand dplacer
Ensuite, dcidez quand appliquer la rgle aux ordinateurs. Il existe trois possibilits : Excution une fois pour chaque ordinateur : ds sa cration, la rgle sera applique tous les ordinateurs de la base de donnes du Serveur, puis elle ne sera applique quaux nouveaux ordinateurs lorsque ceux-ci seront dcouverts. Excution une fois pour chaque ordinateur, ensuite chaque fois aprs la rinstallation de lAgent dadministration : similaire loption prcdente, mais si lAgent dadministration est rinstall sur un ordinateur, la rgle y sera applique nouveau. Excution permanente : la rgle est permanente. Si un ordinateur remplissant ses conditions est dplac manuellement dans un autre groupe, le Serveur dadministration le ramne immdiatement lemplacement spcifi dans la rgle. Si les attributs de lordinateur sont modifis, une rgle permanente ragit en consquence, ce qui nest pas le cas dune rgle application unique. Les rgles cres par le Serveur dadministration pour les tches dinstallation et les paquets dinstallation autonomes sont Excution une fois pour chaque ordinateur, ensuite chaque fois aprs la rinstallation de lAgent dadministration. Dans la pratique, les rgles permanentes sont utilises plus souvent.
Quoi dplacer
Les autres paramtres de la rgle prcisent les conditions que lordinateur doit remplir pour que la rgle y soit applique. La premire condition se trouve dans la section Gnral et se nomme Transfrer uniquement les postes non inclus dans des groupes dadministration. Lorsque cette condition est active, une rgle (mme permanente) nempchera pas ladministrateur de dplacer manuellement les ordinateurs dans les groupes voulus. Elle naffectera que les ordinateurs non dfinis. Pour appliquer une telle rgle un ordinateur appartenant un groupe, il suffit de supprimer lordinateur du groupe. Lorsquil est supprim de la structure, lordinateur devient non dfini et la rgle sy applique. Si cette case nest pas coche, la rgle sapplique tous les ordinateurs de la base de donnes du Serveur et les ordinateurs correspondants sont dplacs dans le groupe spcifi indpendamment des consquences. Cela nempche pourtant pas ladministrateur de supprimer ces ordinateurs de la base de donnes du Serveur dadministration sil le souhaite.
I153
Unit I. Dploiement
I154
Unit I. Dploiement
La plupart des conditions de dplacement sont relatives aux attributs rseau des ordinateurs : nom NetBIOS, nom du domaine ou du groupe de travail, nom DNS, domaine DNS, adresse IP, adresse IP de connexion au serveur (si un ordinateur se trouve derrire une passerelle NAT, ladresse de connexion est celle de la passerelle).
Pour pouvoir appliquer une rgle plusieurs ordinateurs, les adresses IP peuvent tre spcifies sous forme de plages et les noms peuvent tre spcifis en tant que masques au moyen des caractres gnriques * et ? . Si la rgle doit tre applique aux ordinateurs non dfinis, les conditions peuvent tre spcifies en termes de reprsentation des ordinateurs non dfinis dans Kaspersky Security Center : sous-rseaux IP spcifis dans le nud Ordinateurs non dfinis, sous-groupes dans la structure Domaines du nud Ordinateurs non dfinis (en fait ce sont les noms des domaines et des groupes de travail dtects par le Serveur dadministration lors du sondage du rseau). Il existe des conditions similaires pour les ordinateurs se trouvant au sein de la structure Active Directory : nom dunit Active Directory, nom de groupe Active Directory. Les rgles de dplacement permettent de configurer la synchronisation avec Active Directory. Pour cela, activez quelques options supplmentaires sous la condition Le poste se trouve dans la division Active Directory : Inclure les organisations enfants : si lunit slectionne a des units enfant, leurs ordinateurs seront dplacs dans le groupe de destination. Dplacer les ordinateurs des units dorganisation enfants dans les sous-groupes correspondants : si lunit slectionne a des units enfant et si le groupe de destination contient les sous-groupes correspondants, les ordinateurs des units enfant seront dplacs dans les sous-groupes correspondants. Crer les sous-groupes absents : si lunit slectionne a des units enfant et si le groupe de destination na pas de sous-groupes correspondants, le Serveur dadministration crera ces sous-groupes et y dplacera les ordinateurs de lunit enfant. Si les trois options sont actives, une copie actualisable de la structure Active Directory sera cre dans le groupe de destination. Si une nouvelle unit est cre dans Active Directory ou si les ordinateurs sont dplacs dune unit lautre, Kaspersky Security Center reproduira automatiquement ces changements dans la structure de ses groupes. Quand une unit est supprime dans Active Directory, la seule chose que cette rgle ne peut pas faire est supprimer automatiquement le sous-groupe correspondant dans Kaspersky Security Center. Ladministrateur devra le supprimer manuellement.
I155
Unit I. Dploiement
I156
Unit I. Dploiement
Les conditions relatives aux ordinateurs peuvent galement inclure la version du systme dexploitation. Une seule version peut tre spcifie dans chaque rgle. Si ladministrateur veut dplacer automatiquement tous les serveurs dans le groupe Serveurs, il lui faudra crer une rgle distincte pour chaque version serveur de Windows utilise dans le rseau. Pour Windows Server 2008 R2 et Windows Server 2003 par exemple. On rencontre galement la condition Existence dun Agent dadministration actif. Cette condition permet de distinguer les ordinateurs dj connects au Serveur dadministration de ceux qui ont besoin dy tre connects. Les rgles cres sont organises sous forme de liste et leur ordre a son importance. Les rgles permanentes ont une priorit suprieure celle des autres rgles. Parmi les rgles dun mme type, plus la rgle se trouve vers le haut de la liste, plus grande est sa priorit. En dautres termes, si un ordinateur remplit les conditions de plusieurs rgles, seule celle du haut sera applique. Lordre des rgles peut tre modifi au moyen des flches situes sur la droite. En outre, une rgle peut tre applique manuellement au moyen du bouton Forcer situ en bas de la fentre.
I157
Unit I. Dploiement
I158
Unit I. Dploiement
Exemple dutilisation des rgles

Dans de nombreuses organisations, les employs utilisent des ordinateurs portables en tant que postes de travail. Ils les emmnent chez eux et dans leurs dplacements professionnels. Hors du primtre de lentreprise, ils se connectent au rseau local via VPN. En rgle gnrale, des plages dadresses diffrentes sont alloues aux ordinateurs lintrieur du primtre de lentreprise et aux postes connects via VPN. Ce fait peut tre utilis pour configurer les rgles de dplacement correspondantes. Si une adresse de poste est dans la plage des adresses IP internes, le poste pourra tre ajout un groupe comportant des restrictions de scurit moins svres parce que lordinateur sera galement protg par les outils de protection installs sur les passerelles et les serveurs de messagerie. Si, au contraire, une adresse appartient une plage VPN, un tel ordinateur sera automatiquement transfr dans un groupe aux paramtres de scurit plus stricts.
I159
Unit I. Dploiement
I160
Unit I. Dploiement
II1
Unit II. Administration de la protection

Chapitre 1. Notions fondamentales de Kaspersky Endpoint Security 8.0 .................... 4 1.1 Outils de protection et dadministration .................................................................................................................. 4 Composants de la protection.................................................................................................................................. 4 Stratgies................................................................................................................................................................ 6 Tches .................................................................................................................................................................. 10 1.2 Paramtres de protection gnraux ....................................................................................................................... 12 Dmarrage automatis et autodfense de la protection ....................................................................................... 12 Catgories de menaces dtectables ...................................................................................................................... 14 Kaspersky Security Network ................................................................................................................................ 16 Chapitre 2. Protection du systme de fichiers ............................................................ 20 2.1 Antivirus Fichiers ................................................................................................................................................. 20 Technologies danalyse ........................................................................................................................................ 22 Paramtres danalyse .......................................................................................................................................... 24 Actions.................................................................................................................................................................. 31 Configurer les exclusions ..................................................................................................................................... 33 2.2 Tches de recherche de virus ................................................................................................................................ 37 Analyse : paramtres et spcificits ..................................................................................................................... 39 Paramtres communs des tches danalyse ......................................................................................................... 49 Tches danalyse locales et de groupe ................................................................................................................. 51 2.3 Technologie de rparation de linfection active .................................................................................................... 55 Chapitre 3. Protection du rseau ................................................................................. 59 3.1 Interception du trafic rseau.................................................................................................................................. 61 3.2 Antivirus Courrier ................................................................................................................................................. 65 Niveau de scurit ................................................................................................................................................ 67 Actions.................................................................................................................................................................. 73 Configurer les exclusions ..................................................................................................................................... 73 3.3 Antivirus Internet .................................................................................................................................................. 75 Niveau de scurit ................................................................................................................................................ 77 Actions.................................................................................................................................................................. 79 Configurer les exclusions ..................................................................................................................................... 81 3.4 Antivirus IM ......................................................................................................................................................... 83 Paramtres ........................................................................................................................................................... 83
II2
KASPERSKY LAB KL 002.98. Kaspersky Endpoint Security for Windows
3.5 Dtection des intrusions ........................................................................................................................................ 85 Paramtres ........................................................................................................................................................... 85 3.6 Pare-feu ................................................................................................................................................................. 87 Paramtres ........................................................................................................................................................... 89 Rgles de filtrage standard................................................................................................................................... 99 Paramtres supplmentaires ................................................................................................................................ 99 Chapitre 4. Surveillance du systme .......................................................................... 101 Objectif et principes ........................................................................................................................................... 101 Paramtres ......................................................................................................................................................... 103 Exclusions .......................................................................................................................................................... 105 Chapitre 5. Diagnostics de menaces .......................................................................... 107 5.1 Gnration et transfert des vnements ............................................................................................................... 107 vnements de dtection locaux ......................................................................................................................... 107 Catgories dvnements .................................................................................................................................... 109 Transfert des vnements vers le Serveur........................................................................................................... 111 Notifications ....................................................................................................................................................... 111 5.2 Traitement centralis des vnements de dtection............................................................................................. 113 Rapports ............................................................................................................................................................. 113 Statistiques antivirus .......................................................................................................................................... 121 Requtes dvnements ....................................................................................................................................... 123 vnements dordinateurs .................................................................................................................................. 127 Attaque de virus.................................................................................................................................................. 129 5.3 tats de traitement des menaces .......................................................................................................................... 131 tats relatifs au traitement des menaces ............................................................................................................ 133 tats globaux et requtes globales ..................................................................................................................... 135 5.4 Stockages ............................................................................................................................................................ 137 Stockages locaux ................................................................................................................................................ 137 Stockages centraliss.......................................................................................................................................... 141 Chapitre 6. Diagnostics de ltat de la protection ..................................................... 146 6.1 tats des ordinateurs et tats globaux ................................................................................................................. 146 tats possibles .................................................................................................................................................... 146 Hritage des conditions dtat............................................................................................................................ 150 Relation entre tats des ordinateurs et tat gnral de la protection ................................................................. 150 Comment vnements et tats son lis ................................................................................................................ 150 6.2 Requtes dtat des ordinateurs ........................................................................................................................... 152 6.3 Statistiques et Rapport sur ltat de la protection ................................................................................................ 154 6.4 Normalisation des tats ....................................................................................................................................... 156 Afficher la raison dun changement dtat ......................................................................................................... 156 Comment rinitialiser les tats ........................................................................................................................... 158
II3
II4
Chapitre 1. Notions fondamentales de Kaspersky Endpoint Security 8.0

1.1 Outils de protection et dadministration
Composants de la protection
Kaspersky Endpoint Security est constitu de composants. Chaque composant est responsable de la protection contre un type de menace particulier. Pour plus de commodit, les composants de protection peuvent tre classs en quatre groupes : Protection du systme de fichiers Protection du rseau et analyse du trafic Dfense proactive Composants de contrle Postes de travail Protection du systme de fichiers Antivirus Fichiers Recherche de virus Protection du rseau et analyse du trafic Antivirus Courrier Antivirus Internet Antivirus IM Pare-feu Dtection des intrusions Dfense proactive Surveillance du systme Composants de contrle Contrle du lancement des applications Contrle de lactivit des applications Surveillance des vulnrabilits Recherche des vulnrabilits Contrle des priphriques Contrle Internet + + + + + + + + + + + + + + + + + + + Systmes dexploitation du serveur
II5
Comme vous pouvez le constater dans le tableau, certains composants de Kaspersky Endpoint Security ne sont pas utilisables sur les systmes dexploitation serveurs. Cela est d au fait que les systmes serveurs sont moins vulnrables certaines menaces (menaces Web par exemple) dans un environnement dentreprise et ont simultanment des exigences plus strictes en matire de compatibilit logicielle. Cette unit est consacre aux composants des groupes Protection du systme de fichiers, Protection rseau et Dfense proactive. Ils sont directement responsables de la protection antivirus, cest--dire quils empchent linfection des ordinateurs et rduisent les dommages probables. Le but principal des Composants de contrle est de mettre en uvre une stratgie de scurit configure par ladministrateur. Les restrictions spcifies dans les composants de contrle sont appliques tous les programmes et non seulement aux programmes malveillants. Reportez-vous lunit III pour de plus amples dtails.
II6
Stratgies
Les stratgies sont le principal outil dadministration distance de Kaspersky Endpoint Security. Les stratgies dfinissent les paramtres gnraux du produit, de linterface et des composants de protection. Une stratgie est utilise pour configurer les paramtres et pour les appliquer aux ordinateurs. Aprs que ladministrateur ait verrouill un paramtre dans la stratgie, lutilisateur ne peut modifier ce paramtre au moyen de linterface locale du produit. LAgent dadministration transfre les paramtres de la stratgie sur les postes clients dans le cadre dune procdure spciale appele synchronisation. La synchronisation peut tre planifie (une fois toutes les 15 minutes) ou non (une synchronisation non planifie a lieu si les paramtres de la stratgie sont modifis sur le Serveur dadministration.
Stratgies actives et inactives

Une stratgie concerne toujours un groupe dordinateurs et peut tre soit active, soit inactive. Les paramtres de la stratgie active sont enregistrs sur les postes clients lors de la synchronisation. Ainsi, aprs la fin de la synchronisation, les paramtres spcifis dans la politique active sont appliqus indpendamment de la connexion de lordinateur au Serveur dadministration. Un produit ne peut pas appliquer plus dune stratgie simultanment. Par consquent, il ne peut y avoir quune seule stratgie active pour chaque produit dans chaque groupe. Il peut exister un nombre quelconque de stratgies inactives. Les paramtres des stratgies inactives naffectent pas les paramtres des ordinateurs du rseau mais permettent ladministrateur de prparer et denregistrer lavance les paramtres en vue de diverses situations durgence telles que les attaques de virus. Diffrentes stratgies inactives peuvent tre prpares pour diffrentes situations dattaques de virus. Par exemple, une stratgie de blocage daccs aux lecteurs USB peut tre prpare pour les attaques de logiciels malveillants se propageant par lintermdiaire des disques amovibles. Une stratgie inactive peut facilement tre rendue active. Dans ce cas, la stratgie active jusqu prsent deviendra automatiquement inactive. Ainsi, avec un peu de travail de prparation, ladministrateur peut ragir rapidement aux situations durgence en changeant certains paramtres de scurit. Mme en cas de situation imprvue, il est plus facile et plus rapide de crer une nouvelle stratgie avec des paramtres spcifiques plutt que de modifier la stratgie active en cours. Ensuite, pour revenir la configuration habituelle aprs que le problme ait t rsolu, il suffit dactiver lancienne stratgie au lieu dannuler les modifications.
II7
II8
Hritage de stratgies
Par dfaut, une stratgie sapplique tous les ordinateurs dun groupe et de ses sous-groupes. Par exemple, la stratgie de Kaspersky Endpoint Security situe dans le groupe Ordinateurs administrs cr par lAssistant de dmarrage rapide sapplique initialement tous les ordinateurs administrs. Si des politiques actives de Kaspersky Endpoint Security existent dans les groupes parent et enfant, la politique du groupe enfant est utilise. Toutefois, les paramtres verrouills au niveau de la stratgie parent seront appliqus la stratgie du sous-groupe. Ainsi, la stratgie du groupe enfant hrite de tous les paramtres verrouills du groupe parent et il nest possible de spcifier que des restrictions supplmentaires au niveau du sous-groupe. Ce comportement nest pas toujours souhaitable. Lquilibre optimal entre protection et convivialit peuvent varier considrablement en fonction des ordinateurs. Si vous voulez que les valeurs de la stratgie dun groupe enfant remplacent les valeurs des paramtres verrouills de la stratgie du groupe parent, dsactivez la case cocher Hriter des paramtres de la stratgie de niveau suprieur dans ses paramtres. Suite cela, vous pourrez modifier les paramtres de la stratgie du groupe enfant comme sil nexistait aucun groupe parent.
II9
II10
Tches
Les stratgies concernent tous les composants de protection sauf la recherche de virus et la recherche de vulnrabilits. Lanalyse est effectue par les tches respectives analysant les ordinateurs selon des paramtres spcifis et peut tre lance par une commande ou de manire planifie. Il existe deux types de tches : Les tches pour les slections dordinateurs sappliquent une slection dordinateurs administrs et sont situes dans le conteneur correspondant. Les Tches de groupe, tout comme les stratgies, sappliquent par dfaut tous les ordinateurs de leurs groupes et sous-groupes respectifs. Plusieurs tches danalyse peuvent sexcuter simultanment sur un ordinateur et le nombre de tches danalyse de mme type dans un groupe est illimit. Parfois, les paramtres danalyse ne conviennent pas tous les ordinateurs administrs. Ladministrateur doit alors spcifier les sous-groupes pour lesquels la tche ne doit pas sexcuter dans la liste des Exclusions du champ dapplication de la tche dans les proprits de la tche. Tout comme pour les stratgies, les paramtres de la tche sont enregistrs sur les postes clients lors de la synchronisation. Aprs le transfert des paramtres, la tche sexcute indpendamment de la connexion de lordinateur au Serveur dadministration.
II11
II12
1.2 Paramtres de protection gnraux

Par paramtres gnraux , nous entendons les paramtres qui affectent Kaspersky Endpoint Security en gnral ainsi que les paramtres communs tous les composants de protection. Ces paramtres sont spcifis dans la stratgie de Kaspersky Endpoint Security.
Dmarrage automatis et autodfense de la protection

Le paramtre Lancer Kaspersky Anti-Virus au dmarrage de lordinateur contrle le dmarrage automatique du produit aprs chaque redmarrage. Il doit tre activ et verrouill. Une technologie dautodfense mise en uvre dans Kaspersky Endpoint Security empche toute dsactivation non autorise du produit et dautres tentatives dentraver son fonctionnement. Lautodfense est contrle par deux options : Le paramtre Activer lautodfense est charg de protger les processus du produit au niveau de la mmoire du systme, ses fichiers sur le disque dur et ses cls de Registre. Le paramtre Dsactiver la gestion externe du service systme bloque les tentatives darrt du service Kaspersky Endpoint Security, sauf si une telle tentative est faite au moyen de linterface du produit. Si lautodfense est dsactive, le niveau de protection de lordinateur chute. Cest pourquoi les deux paramtres sont activs et verrouills par dfaut. Il est judicieux de dsactiver lautodfense uniquement si des problmes de compatibilit surviennent (avec des utilitaires dadministration distance par exemple) ou pour des besoins de dpannage.
II13
II14
Catgories de menaces dtectables

Cest un paramtre commun aux composants qui utilisent les bases de donnes antivirus pour dtecter les logiciels malveillants (Antivirus Fichiers, Recherche de virus, Antivirus Courrier, Antivirus Internet, Antivirus IM). Kaspersky Endpoint Security peut dtecter non seulement les programmes malveillants, mais aussi les programmes potentiellement indsirables . Ceux-ci comprennent par exemple des modules affichant des messages publicitaires dans les logiciels contribution volontaire (shareware). Il est frquent quun logiciel contribution volontaire ait dj t dsinstall mais que le module publicitaire soit rest dans le systme et importune lutilisateur en lui envoyant des messages. Afin damliorer lquilibre entre protection et efficacit sur les ordinateurs administrs, la dtection de certaines catgories de programmes peut tre dsactive. Les catgories de programmes dtectables sont divises en trois groupes. Le groupe Programmes malveillants comporte trois catgories : virus, vers, chevaux de Troie, outils potentiellement malveillants. Les programmes compris dans les deux premires catgories sont toujours dtects. Mme ladministrateur ne peut dsactiver la dtection des virus, des vers ou des chevaux de Troie. Les outils malveillants incluent les constructeurs de virus, des programmes qui automatisent la cration de nouveaux virus. De tels programmes ne sont pas des virus et ne sont pas rpandus, mais ils doivent nanmoins tre dtects et supprims. Le deuxime groupe comprend les catgories suivantes : logiciels publicitaires, numroteurs automatiques, autres. En rgle gnrale, les logiciels publicitaires ne constituent aucune menace directe pour lordinateur. Toutefois, ils peuvent interfrer avec le travail de lutilisateur. Les numroteurs automatiques sont utiliss pour connecter les ordinateurs des rseaux distants via le rseau tlphonique au moyen dun modem. Cette technologie est pratiquement obsolte aujourdhui. Cette catgorie comprend galement les logiciels pornographiques. Contrairement aux logiciels malveillants, ces programmes informent lutilisateur des actions quils effectuent. La catgorie Autres programmes comprend en particulier des utilitaires dadministration distance, par exemple des utilitaires de bureau distance tels que Radmin, UltraVNC, DameWare et autres. Ces outils lgitimes peuvent tre installs sur un ordinateur au moyen dun cheval de Troie et utiliss ensuite par des intrus pour obtenir un accs non autoris lordinateur. Pour vous en protger, vous pouvez activer la fonctionnalit de lantivirus permettant la dtection de tels utilitaires. Par ailleurs, les grands rseaux font souvent appel des outils de bureau distant pour contrler les ordinateurs et rsoudre les problmes distance. Pour viter que ces outils ne provoquent des conflits avec KES, crez des exclusions en ce qui les concerne. Comme de tels conflits sont trs probables, la dtection des programmes de cette catgorie est dsactive par dfaut. Le groupe Compacteurs comprend deux catgories supplmentaires : Objets compresss suspects Objets compresss plusieurs reprises Les logiciels malveillants utilisent souvent des outils de compression de fichiers afin de tromper les programmes antivirus. En utilisant la compression avec divers paramtres, des intrus peuvent crer un ensemble de copies dun logiciel malveillant apparemment diffrentes, mais en fait identiques. Il nest pas inhabituel quun logiciel malveillant subisse plusieurs tapes de compression.
II15
De nombreux programmes lgitimes utilisent galement la compression, mais en rgle gnrale, ils font appel des utilitaires commerciaux ou gratuits ne disposant pas dune fonction de compression paramtrable. Par consquent, les programmes compresss au moyen dintgrateurs non standard, en particulier ceux qui sont compacts de nombreuses fois, suscitent des doutes comprhensibles. Kaspersky Endpoint Security considre plutt ces objets comme suspects et non malveillants. Le choix des catgories de programmes que KES doit ignorer ou analyser ne doit bien entendu pas tre laiss lutilisateur. Par consquent, quels que soient les paramtres spcifis dans la zone Objets dtecter, ceux-ci doivent tre verrouills.
II16
Kaspersky Security Network

Kaspersky Security Network (KSN) est une nouvelle technologie de nuage permettant daccrotre la prcision des verdicts de plusieurs composants : Antivirus Fichiers, Recherche de virus, Antivirus Internet, Antivirus IM et System Watcher. En un mot, la technologie analyse les informations reues des utilisateurs des versions grand public des produits Kaspersky Lab et des serveurs partenaires Kaspersky Lab, dresse une liste de programmes et de ressources Web, et dfinit leur niveau de fiabilit. Plus tard, ces informations sont utilises par diffrents composants de Kaspersky Endpoint Security pour tablir leurs verdicts. Cette technologie nest une nouveaut que pour les produits entreprise de Kaspersky Lab. Elle a t utilise dans les produits grand public depuis plusieurs annes et a prouv sa valeur. Une partie de la base de donnes de KSN est stocke localement, sur lordinateur comportant Kaspersky Endpoint Security. Si les informations relatives un fichier excutable ou une ressource Web sont absentes de la base de donnes locale, une requte est envoye au nuage KSN , cest--dire aux serveurs KSN de Kaspersky Lab. Lorsquun fichier est vrifi, la requte contient sa somme de contrle MD5. Lorsque cest une adresse URL, la requte contient le masque crypt de ladresse. La rponse est enregistre dans la base de donnes locale. Chaque enregistrement a une date dexpiration. Si celle-ci est dpasse et si le fichier ou le lien correspondant est utilis, une nouvelle requte est envoye au nuage. Lordinateur peut tre dconnect du rseau lorsquune requte est envoye vers les serveurs KSN. Aprs lcoulement du temps dattente, le composant ayant envoy la requte recevra une rponse indiquant que le programme ou la ressource Web ne peut tre class. Lutilisation des informations reues de KSN est dcrite en dtail dans les sections consacres aux composants de protection. Les informations destines aux bases de donnes KSN sont recueillies partir des produits grand public de Kaspersky Lab et grce des accords de partenariat avec certains diteurs de logiciels. Les produits entreprise envoient uniquement les sommes de contrle des objets aux serveurs KSN et ne contribuent pas aux statistiques. Ainsi, KSN ne compromet pas les informations confidentielles des entreprises et nentre pas en conflit avec la politique de scurit de la plupart des socits. Ladministrateur dcide dabord dutiliser ou non KSN au niveau de lAssistant de dmarrage rapide. En outre, les paramtres correspondants sont accessibles dans les proprits de la stratgie de Kaspersky Endpoint Security.
II17
II18
Proxy KSN
Pour rduire le volume du trafic induit par les requtes envoyes aux serveurs KSN, le Serveur dadministration peut agir en tant que proxy KSN 1. En tant que proxy KSN, le Serveur dadministration devient un intermdiaire entre les ordinateurs administrs et les serveurs KSN de Kaspersky Lab. Les informations demandes par un ordinateur administr sont sauvegardes dans le cache du Serveur dadministration et lorsque les autres ordinateurs ont besoin de cet enregistrement, il est lu partir du cache du Serveur sans besoin daccder aux serveurs externes. Contrairement aux postes clients pour lesquels le cache KSN est stock sur le disque dur, le Serveur dadministration stocke le cache KSN dans la RAM et il est remis zro lorsque le Serveur est rinitialis. Si lutilisation de KSN est active dans la stratgie, ladministrateur peut soit compltement interdire aux ordinateurs administrs de se connecter directement aux serveurs KSN de Kaspersky Lab, soit autoriser lutilisation de serveurs externes lorsque le Serveur dadministration est inaccessible. Lors de lutilisation de KSN via le proxy du Serveur dadministration, les postes clients se connectent au Serveur dadministration via TCP et le port 13111 2. Vous pouvez changer le numro de port dans les proprits du Serveur dadministration. Les Agents dadministration transmettent ces informations aux ordinateurs en complment de la stratgie. Dans le cas de connexions client-serveur, lAgent dadministration nest pas utilis et Kaspersky Endpoint Security se connecte directement au serveur.
Statistiques du proxy KSN

La section Statistiques du proxy KSN se trouve proximit des paramtres de KSN dans les proprits du Serveur dadministration. Cette section indique : le nombre denregistrements du cache KSN sur le Serveur, le nombre de requtes envoyes par les postes clients, le nombre de requtes traites dans le cache sans avoir t envoyes au nuage KSN. La somme des enregistrements en cache et des requtes traites dans le cache nest pas toujours gale au nombre des requte reues par le Serveur car mme le nuage peut manquer dinformations sur certains programmes.
1 2
Le proxy KSN est activ automatiquement si ladministrateur choisit dutiliser KSN dans lAssistant de dmarrage rapide. Le port UDP 15111 est utilis par lancienne version du module Kaspersky Security Network et est incompatible avec le module KSN implment dans Kaspersky Endpoint Security 8.0.
II19
II20
Chapitre 2. Protection du systme de fichiers

Le niveau de protection du systme de fichiers influe considrablement sur la scurit globale des ordinateurs. Dans la plupart des cas, les logiciels malveillants enregistrent leur code dans le systme de fichiers de lordinateur. Cest pourquoi une protection adquate du systme de fichiers protge lordinateur de la plupart des virus. Dans Kaspersky Endpoint Security, les composants Antivirus Fichiers et Recherche de virus sont responsables de la protection du systme de fichiers.
2.1 Antivirus Fichiers

LAntivirus Fichiers intercepte toutes les oprations (telles que la lecture, la copie ou le dmarrage) au moyen du pilote klif.sys et analyse les fichiers accds. Si un fichier est infect, lopration est bloque et le fichier est soit rpar, soit supprim par dfaut. Mme si les composants Antivirus Courrier et Antivirus Internet sont dsactivs, lutilisateur ne peut excuter un fichier infect reu par courrier lectronique ou tlcharg depuis lInternet parce quaprs enregistrement sur le disque dur, le fichier sera dtect et bloqu par lAntivirus Fichiers. Vous ne pouvez pas excuter un fichier en pice jointe ou situ sur un site Web sans lenregistrer sur le disque dur au pralable. Ainsi, le composant Antivirus Fichiers est dune importance essentielle pour la protection du systme de fichiers, ce qui en fait simultanment le composant de protection le plus important en gnral.
II21
II22
Technologies danalyse
Le composant Antivirus Fichiers utilise les technologies danalyse suivantes : Analyse de signature. Une mthode de dtection de virus utilisant les signatures. Une signature est une partie de code excutable, une somme de contrle ou une autre chane binaire permettant de dtecter si le fichier est infect par le virus correspondant. Des contrles de fichier conscutifs par comparaison aux signatures de virus connus renvoient en gnral le verdict dinfection ou de non-infection dun fichier. Cette mthode danalyse est trs fiable, mais permet uniquement de dtecter les virus dont les signatures ont t ajoutes aux bases de donnes antivirus. Analyse heuristique. Cette mthode danalyse sapplique uniquement aux fichiers excutables. Kaspersky Endpoint Security dmarre le fichier analys dans un environnement virtuel isol du systme dexploitation et analyse son comportement. Cette mthode exige plus de temps que lanalyse de signatures, mais permet la dtection de certains nouveaux virus. Vrification par comparaison aux listes KSN. Cette mthode danalyse sapplique galement aux seuls fichiers excutables. Une somme de contrle est calcule pour chaque fichier analys et compare aux enregistrements de la base de donnes KSN locale. partir de l, les alternatives suivantes sont possibles : Si ni lanalyse de signature ni lanalyse heuristique ne dtectent aucune infection, la dcision est prise sur la base des informations disponibles dans le cache KSN local du poste client. Si le cache local manque dinformations propos du fichier, laccs au fichier est autoris et une requte darrire-plan est simultanment envoye au nuage KSN. Si la rponse reue indique que le fichier est dangereux, lAntivirus Fichiers lanalyse nouveau. Si KSN indique que le fichier est inoffensif ou si les serveurs KSN ne peuvent tre atteints, lanalyse du fichier est termine. Si lanalyse de signature ou lanalyse heuristique dtecte que le fichier est infect, lAntivirus Fichiers envoie la requte KSN. Si la base de donnes locale manque dinformations propos du fichier, lAntivirus Fichiers attend la rponse du nuage KSN. Si KSN considre le fichier comme sain, il est trait comme un fichier non-infect indpendamment des verdicts de lanalyse de signature et de lanalyse heuristique. Si le verdict est confirm ou si les informations ne peuvent tre reues de SN (la connexion avec les serveurs KSN ne peut tre tablie), le fichier est trait comme un fichier infect. Comme vous pouvez le voir dans lalgorithme danalyse, la vrification par comparaison la base de donnes KSN vient en complment de lanalyse de signature et contribue diminuer la probabilit de faux positifs.
II23
II24
Paramtres danalyse
Les paramtres de lAntivirus Fichiers dfinissant ltendue de la protection et les autres paramtres danalyse sont runis dans le groupe de paramtres Niveau de scurit. Dans la stratgie, ces paramtres ont un verrou commun, cest--dire quils sont verrouills ou dverrouills ensemble. Considrant limportance de lAntivirus Fichiers, les utilisateurs ne doivent pas tre autoriss modifier les paramtres de lanalyse et le verrou de la zone Niveau de scurit doit tre ferm.
tendue de la protection
Par dfaut, la Zone de protection de lAntivirus Fichiers comprend : tous les disques amovibles, tous les disques durs, tous les disques rseau. En dautres termes, tous les disques depuis lesquels un logiciel malveillant peut tre excut. Une zone de protection permet dajouter des disques et dossiers individuels au lieu de groupes de disques. Cependant, la dsactivation de toute tendue danalyse standard diminue considrablement le niveau de protection. Cest pourquoi ce groupe de paramtres doit tre modifi avec beaucoup de prudence. Par exemple, si Cisco NAC ou Microsoft NAP garantit que tous les nuds du rseau sont protgs par des antivirus, tous les lecteurs rseau peuvent tre retirs de la zone de protection. Dans ce cas, si un fichier est accd partir dun lecteur rseau, il sera analys par lantivirus install sur lordinateur sur lequel se trouve le lecteur.
Types de fichiers analyser

Le paramtre Types de fichiers peut prendre une des trois valeurs suivantes : Tous les fichiers Fichier analyss selon le contenu, cest--dire fichiers susceptibles de contenir du code malveillant excutable 3. Dans ce cas, le contenu du fichier sera dtermin par lanalyse de son en-tte plutt que par celle de son extension Fichiers analyss selon lextension, cest--dire fichiers dont les extensions sont caractristiques de formats infects La valeur optimale pour lAntivirus Fichiers est celle du milieu. Lanalyse de tous les fichiers requiert des ressources considrables sans apporter damlioration significative de la protection. Lanalyse selon les extensions de fichiers prsente le danger dignorer un objet malveillant renomm ou dentraner ventuellement louverture ou mme lexcution dun fichier lextension atypique.
3 Ceux-ci comprennent non seulement les fichiers excutables mais galement les documents Microsoft Office susceptibles de contenir des macros infectes et certains formats graphiques pouvant contenir des lments excutables actifs (par exemple).
II25
II26
Analyse heuristique
Les paramtres de lanalyse heuristique sont configurs dans le groupe Mthodes danalyse. Les niveaux danalyse heuristique, Superficielle, Moyenne ou Minutieuse dfinissent la priode dobservation de lobjet en environnement virtuel. Dans le contexte du fonctionnement de lAntivirus Fichiers, cela signifie une augmentation du dlai dexcution des programmes. Par consquent, la dsactivation totale de lanalyse heuristique dans lAntivirus Fichiers reste acceptable.
Optimisation de lanalyse
Loption Analyser uniquement les nouveaux fichiers et les fichiers modifis diminue le nombre danalyses effectues par lAntivirus Fichiers. Si un objet a t analys et na jamais t modifi par la suite, il ne sera pas analys nouveau. Kaspersky Endpoint Security reoit des informations sur les changements de fichiers au moyen des technologies iSwift et iChecker, dont les paramtres sont situs sur longlet Avanc. Il est dconseill danalyser les fichiers composs au moyen de lAntivirus Fichiers. Le dcompactage de tels fichiers consomme beaucoup de ressources alors que ceux-ci ne constituent pas une menace directe. Mme si une archive contient un virus, vous ne pouvez pas excuter un fichier infect sans le dcompacter. Pendant le dcompactage, il sera dtect et bloqu comme un fichier ordinaire. Il suffit danalyser les fichiers composs au moyen de tches danalyse la demande 4.
Ces tches danalyse sont dcrites plus loin dans ce chapitre.
II27
II28
iSwift et iChecker
Les technologies danalyse iSwift et iChecker sont responsables de la collecte des donnes relatives aux changements apports aux fichiers. La technologie iSwift extrait les donnes relatives aux changements du systme de fichiers NTFS. Par consquent, la technologie iSwift est utilise pour les fichiers situs sur les disques NTFS. La technologie iChecker est efficace pour les fichiers excutables situs sur les disques dont les systmes de fichiers sont non-NTFS, FAT32 par exemple. La technologie iChecker calcule et enregistre les sommes de contrle des fichiers excutables analyss. Si la somme de contrle reste la mme lors de la vrification suivante, cela signifie que le fichier na pas t modifi. Les deux technologies enregistrent des informations relatives la date danalyse des fichiers et la version des bases de donnes utilises pour lanalyse. Si la case cocher Analyser uniquement les nouveaux fichiers et les fichiers modifis est active, ltat des cases cocher Technologie iSwift et Technologie iChecker na aucune incidence. Mme si vous les dsactivez, ces technologies seront utilises, car sans elles Kaspersky Endpoint Security ne serait pas en mesure de dterminer quels fichiers ont dj t analyss et lesquels dentre eux nont pas chang depuis la dernire analyse. Si le paramtre Analyser uniquement les nouveaux fichiers et les fichiers modifis est dsactiv, la configuration des paramtres Technologie iSwift et Technologie iChecker a une incidence. Dans ce cas, une quarantaine 5 ou une priode de confiance est associe chaque fichier. Pendant la priode de quarantaine, le fichier sera analys mme sil na pas t modifi, alors que pendant la priode de confiance, il ne sera pas analys. La priode de quarantaine est applique aux fichiers qui nont pas encore t analyss ou qui ont t modifis depuis la dernire analyse. Pendant la priode de quarantaine le fichier ne sera pas analys sil a dj t analys avec la mme version de la base de donnes. Pour cela, les technologies iSwift et iChecker enregistrent la version des bases de donnes antivirus utilises pour lanalyse. Dans tous les autres cas, une analyse standard est effectue. Lorsque la priode de quarantaine est termine, le fichier se voit attribuer une priode de confiance. Pendant la priode de confiance, le fichier ne sera pas analys sil na pas t modifi. Lorsque la priode de confiance est termine, le fichier sera analys une fois de plus en cas de ncessit. Sil nest pas infect, il se verra attribuer un nouvelle priode de confiance plus longue que la prcdente. En cas de modification, le fichier se verra attribuer une priode de quarantaine et tout recommencera depuis le dbut. Lorsque le paramtre Analyser uniquement les nouveaux fichiers et les fichiers modifis est activ, la priode de confiance nest pas limite dans le temps. La priode de confiance ne prendra fin que si le fichier est modifi. Dsactiver les technologies iSwift et iChecker au niveau de lAntivirus Fichiers na aucun sens. Soit cela naura aucun effet (si la fonctionnalit Analyser uniquement les nouveaux fichiers et les fichiers modifis est active), soit cela aura pour consquence un plus grand nombre danalyses et une diminution globale des performances de lordinateur.
Le terme quarantaine na ici aucun rapport avec le stockage Quarantaine.
II29
II30
Mode danalyse
Mode danalyse dtermine les oprations effectues sur les fichiers qui dclencheront lanalyse. Il est plus simple de les dcrire par ordre dapparition inverse : Excution : les fichiers excutables sont analyss, seulement lorsquils sont dmarrs. La copie dun fichier excutable infect restera inaperue. Basculer lAntivirus Fichiers dans ce mode diminue considrablement le niveau de scurit. Accs : les fichiers sont analyss quand ils sont ouverts pour lecture ou excution. Lutilisateur peut tlcharger un code malveillant depuis un site Web mais ne pourra rien faire avec ce fichier. Ouverture et modification : les fichiers sont analyss lors de toute opration les concernant. Cest le mode le plus scuris mais le plus gourmand en ressources. Mode intelligent : lordre des oprations effectues sur le fichier est analys. Si un fichier est ouvert en criture, lanalyse sera effectue aprs quil soit ferm et que toutes les modifications y soient appliques. Les modifications intermdiaires apportes au fichier ne seront pas analyses. Si un fichier est ouvert en lecture, il sera analys une fois lors de son ouverture mais ne sera pas analys nouveau lors des oprations de lecture intermdiaires jusqu sa fermeture. Globalement, le Mode intelligent assure la mme protection que le mode Ouverture et modification, mais consomme moins de ressources. Par consquent, il est recommand pour la plupart des ordinateurs. Les modes Accs et Excution peuvent tre utiliss sur des ordinateurs pour lesquels lefficacit est plus importante que la scurit, en comprenant que dans ce cas, la probabilit dinfection ou de propagation de virus augmente.
Suspendre lAntivirus Fichiers

LAntivirus Fichiers peut tre suspendu pour les besoins dexcution dune opration gourmande en ressources. Pour cela, vous utiliserez les paramtres de la section Suspension de la tche : Selon la programmation : la planification (journalire uniquement) est dfinie en indiquant lheure laquelle lAntivirus Fichiers sera suspendu et lheure laquelle il reprendra son fonctionnement normal. Lheure est spcifie en heures et minutes. Au lancement des applications : lAntivirus Fichiers sera suspendu lorsquun programme slectionn sera charg en mmoire et reprendra son fonctionnement lorsque ce programme sera dcharg de la mmoire.
II31
Niveau de scurit standard

Les niveaux de scurit peuvent tre grs au moyen dun commutateur trois positions : Faible, Recommand et lev. Selon la position du commutateur, les paramtres de lAntivirus Fichiers prendront les valeurs suivantes : Niveau Faible Fichiers analyss selon lextension Tous les disques amovibles Tous les disques durs Tous les disques de rseau Dsactive + Recommand Fichiers analyss selon le contenu Tous les disques amovibles Tous les disques durs Tous les disques de rseau Superficielle + lev Tous les fichiers Tous les disques amovibles Tous les disques durs Tous les disques de rseau Moyenne
Paramtre Types de fichiers
Analyse heuristique Analyser uniquement les nouveaux fichiers et les fichiers modifis Analyser les fichiers compos
Analyser les objets OLE incorpors
Analyser les archives Analyser les paquets dinstallation Analyser les objets OLE incorpors
Mode danalyse Technologies danalyse
Intelligent Technologie iSwift Technologie iChecker
Suspendre une tche
Si un paramtre quelconque est modifi, le niveau de scurit sera bascul sur Autre. Pour retourner au niveau standard, cliquez sur le bouton Par dfaut.
Actions
Les logiciels malveillants dtects par lAntivirus Fichiers ne doivent pas rester non traits. Cest la raison pour laquelle les paramtres des actions de lAntivirus Fichiers doivent tre verrouills. Le meilleur choix est de rparer et si la rparation est impossible, de supprimer les fichiers 6. La plupart des fichiers infects ne peuvent tre rpars car ils ne contiennent rien dautre que le code infect. Avant de dsinfecter ou de supprimer un fichier, une copie est place dans le stockage de sauvegarde. Ainsi, si le fichier contient des informations importantes ou est supprim en raison dun faux positif, il pourra tre rcupr. Dans certains cas, il est impossible de dire avec certitude si un fichier est infect ou non. Si la menace est dtecte au moyen de lanalyse heuristique ou est semblable une signature de virus, le fichier reoit le verdict suspect .
Loption Slectionner laction automatiquement est quivalente Rparer. Supprimer si la rparation est impossible.
II32
Au lieu dtre rpars, les fichiers suspects sont dplacs de leur emplacement dorigine vers un stockage distinct nomm Quarantaine. Les fichiers en quarantaine peuvent tre analyss nouveau afin de mettre leur tat jour 7. Si loption Annuler les actions des applications malveillantes lors de la rparation est active dans les proprits du composant System Watcher, aprs avoir supprim lobjet infect, KES annule ses actions 8.
7 8
La Quarantaine est dcrite en dtail dans le chapitre 5 de cette unit. La procdure de restauration est dcrite en dtail dans le chapitre 4 de cette unit.
II33
Configurer les exclusions

Exclusions dobjets
LAntivirus Fichiers renvoie parfois le verdict infect de manire errone. De tels cas sont rares et concernent habituellement des applications spcifiques. Ce problme est limit par la cration de rgles dexclusion pour les objets. Les exclusions sont configures dans un groupe de paramtres distinct utilis par tous les composants de protection. Une rgle dexclusion dobjets comporte trois attributs : Objet : le nom du fichier ou du dossier auquel lexclusion sapplique. Le nom de lobjet peut inclure des variables denvironnement (%systemroot%, %userprofile% et autres) ainsi que les caractres de substitution * et ? . Type de menace : le nom de la menace ignorer (correspondant habituellement au nom du logiciel malveillant), quil est galement possible dindiquer au moyen de caractres de substitution. Composant : la liste des composants de protection auxquels la rgle sapplique. Parmi ces trois attributs, un des deux premiers et le troisime sont obligatoires. Vous pouvez crer une rgle dexception part entire pour un fichier ou un dossier particulier sans indiquer le type de menace. Les composants slectionns ignoreront toutes les menaces pour les objets spcifis. linverse, vous pouvez crer une rgle dexception pour certains types de menaces, par exemple, pour loutil dadministration distance UltraVNC, de manire ce que les composants slectionns ne ragissent pas cette menace, indpendamment de lendroit o elle est dtecte. Les trois attributs peuvent galement tre spcifis simultanment. Par exemple, la liste des exceptions contient un ensemble de rgles pour des outils dadministration distance largement rpandus : UltraVNC, RAdmin, etc. Dans ces rgles, le type de menace et lobjet (lemplacement par dfaut du fichier excutable) sont tous deux spcifis. Dans ce cas, KES ne ragira pas aux outils dadministration excuts depuis le dossier Programmes. Toutefois, si lutilisateur lance UltraVNC depuis un autre dossier, Kaspersky Endpoint Security le considrera comme une menace.
II34
II35
Exclusions dapplications
Les paramtres du Niveau de scurit peuvent tre ajusts de manire parvenir un quilibre optimal entre performances et fiabilit pour un ordinateur moyen. Mais si lordinateur excute des programmes gourmands en ressources, leur fonctionnement peut tre ralenti par lAntivirus Fichiers. Cest particulirement vrai pour les programmes effectuant de nombreuses oprations sur les fichiers tels que les programmes de sauvegarde ou de dfragmentation. Il est possible de prendre des mesures spciales afin dviter les ralentissements. La premire chose faire est de configurer une exclusion pour que lAntivirus Fichiers ignore les oprations sur les fichiers effectues par le programme. En ajoutant des exclusions sur longlet Applications de confiance, dans la fentre Exclusions pour lapplication, spcifiez le chemin daccs complet ou partiel du fichier excutable du programme et slectionnez laction Ne pas analyser les fichiers ouverts. Si le programme comporte de nombreux processus et si les fichiers de donnes sont situs dans un rpertoire, il peut tre utile dexclure ce rpertoire du champ danalyse de lAntivirus Fichiers : Sur longlet Rgles dexclusion, ajoutez la rgle, spcifiez le rpertoire ncessaire en tant quobjet de la rgle, ne spcifiez aucun type de menace et slectionnez Antivirus Fichiers dans la liste des composants afin dappliquer la rgle. Si leffet souhait ne peut tre obtenu par la mise en place dexclusions, en dernier recours vous pouvez configurer la suspension de lAntivirus Fichiers lors de lexcution du programme (dans les paramtres du Niveau de scurit, sur longlet Avanc). Les paramtres dexclusion doivent tre verrouills. Les utilisateurs sont souvent incapables de configurer correctement les exclusions. Ils sont susceptibles dabuser dune telle possibilit et daffaiblir considrablement la protection de lordinateur. Quand une stratgie est applique, toutes les exclusions locales sont dsactives et remplaces par des exclusions centralises. Les exclusions par dfaut configures dans la stratgie standard sappliquent seulement aux outils dadministration distance. En outre, elles sont dsactives. Par consquent, afin de crer un ensemble utile dexclusions, ladministrateur doit savoir quelles exclusions sont ncessaires pour minimiser limpact sur les utilisateurs et les mettre en place dans la stratgie. La meilleure manire de le faire est de crer des exclusions dans linterface locale de KES et de les importer dans la stratgie.
II36
II37
2.2 Tches de recherche de virus

Les tches de recherche de virus vrifient les objets en utilisant les mmes mthodes que lAntivirus Fichiers : analyse de signature, analyse heuristique et KSN. La diffrence est que lAntivirus Fichiers vrifie les fichiers la vole lors de leur accs alors que les tches de recherche de virus inspectent les fichiers de manire planifie ou la demande. LAntivirus Fichiers travaille en synchronisation avec lutilisateur. Plus les applications utilisateur fonctionnent, plus lAntivirus Fichiers doit analyser de fichiers et plus il consomme de ressources. Par consquent, il est recommand doptimiser les paramtres de lAntivirus Fichiers pour assurer uniquement la protection contre les menaces immdiates. Si une archive est copie, il nexiste aucun risque dinfection immdiat et larchive peut tre ignore. Les tches de recherche de virus peuvent tre dmarres en dehors des heures ouvres, alors que davantage de ressources sont disponibles et quune analyse plus exhaustive peut tre effectue. Cest pourquoi la tche danalyse attendra la rponse de KSN pour renvoyer le verdict final, indpendamment des rsultats de lanalyse de signature et de lanalyse heuristique. En outre, la tche peut vrifier des objets exclus du champ danalyse de lAntivirus Fichiers tels que des archives, des paquets dinstallation, des fichiers de formats non infectables, etc. Un autre aspect de lAntivirus Fichiers est quil analyse les fichiers sur le disque avant leur lancement, mais ne vrifie par les processus dj prsents en mmoire. Ainsi, si un nouveau virus russit charger son code en mmoire avant que le produit ne tlcharge les mises jour contenant les signatures correspondantes, lAntivirus Fichiers sera incapable de faire quoi que ce soit jusquau prochain lancement du virus. Une tche de recherche de virus peut tre configure pour vrifier les processus en mmoire et tre programme pour sexcuter aprs chaque mise jour de la base de donnes.
II38
II39
Analyse : paramtres et spcificits

tendue de lanalyse
Ltendue de lanalyse est configure dans la tche, indpendamment du niveau de scurit. Le niveau de scurit dtermine simplement les types de fichiers analyser et les mthodes danalyse. Ltendue de lanalyse est une liste de chemins daccs aux dossiers et fichiers que la tche doit analyser. Les variables systme sont autorises dans les noms de fichiers (%systemroot% par exemple), ainsi que les caractres gnriques * et ? . En ce qui concerne les dossiers, vous pouvez choisir danalyser tout le contenu, y compris les sous-dossiers. Si les sous-dossiers ne sont pas slectionns pour lanalyse, licne de lobjet est marque par le signe - (moins). En plus des fichiers et des rpertoires, les objets danalyse suivants peuvent tre spcifis : Mon courrier : fichiers de donnes Outlook (.pst et .ost) Mmoire systme : les fichiers excutables de tous les processus en cours dexcution sont analyss Objets de dmarrage : fichiers excutables des programmes lancs au dmarrage du systme. En outre, si lobjet est slectionn dans les proprits de la tche, une analyse rootkit sera galement effectue (les rootkits ou outils de dissimulation dactivit sont des objets cachs du systme de fichiers) Secteurs damorage: secteurs damorage des disques durs et amovibles Dossier de restauration systme : dossiers dinformation sur le volume systme Tous les disques amovibles : disques amovibles couramment connects lordinateur Tous les disques durs : disques durs des ordinateurs Tous les disques de rseau : tous les lecteurs rseau connects lordinateur Ordinateur : tous les objets ci-dessus, sauf pour Ma bote aux lettres et Tous les lecteurs rseau
II40
II41
Niveau de scurit
Les paramtres spcifiques aux tches de recherche de virus comprennent : Ignorer les fichiers si lanalyse dure plus de N secondes : ce dlai dattente est ncessaire pour viter le blocage de la tche lorsquelle analyse des archives dlibrment endommages par des criminels dans ce but. Analyser les fichiers au format de messagerie : analyser les messages enregistrs sur le disque dur comme des objets composs contenant des pices jointes. Analyser les archives protges par un mot de passe : la tche affichera une invite dentre de mot de passe lorsquelle rencontrera de telles archives. Cette option est dconseille dans le cas dune analyse centralise car elle est souvent effectue en dehors des heures de travail, lorsque personne nest disponible pour rpondre ces invites. Les tches de recherche de virus sont galement utilises pour vrifier les archives. Ce point est important car lAntivirus Fichiers nanalyse habituellement pas les archives. Outre les fichiers aux formats de messagerie, une tche de recherche de virus peut vrifier les mmes objets que lAntivirus Fichiers : archives, paquets dinstallation, objets OLE incorpors. Le traitement des objets composs est contrl au moyen dune autre option devenant disponible aprs avoir cliqu sur le bouton Avanc : Ne pas dcompacter les fichiers composs de grande taille.
II42
II43
Vous pouvez galement changer les paramtres danalyse en utilisant le curseur de niveau danalyse. Dans ce cas, les paramtres suivants seront utiliss : Niveau Faible Fichiers analyss selon le format + 180 secondes Nouvelles Nouveaux Nouveaux Recommand Tous les fichiers Tous Tous Tous Moyenne + + lev Tous les fichiers Tous Tous Tous + Minutieuse + +
Paramtre Types de fichiers
Analyser uniquement les nouveaux fichiers et les fichiers modifis Ignorer les fichiers si lanalyse dure plus de Analyser les archives Analyser les paquets dinstallation Analyser les objets OLE incorpors
Analyser les fichiers au format de messagerie Analyser les archives protges par un mot de passe Ne pas dcompacter les fichiers composs de grande taille Analyse heuristique Technologie iChecker Technologie iSwift Superficielle + +
Actions
Une tche de recherche de virus peut effectuer les mmes actions que lAntivirus Fichiers. Il existe deux options de neutralisation : Rparer et Supprimer (cette dernire option est remplace par Quarantaine pour les objets suspects). Nous vous recommandons dutiliser les valeurs par dfaut.
Compte
Par dfaut, les tches danalyse sont dmarres sur les postes clients sous le compte systme local. Si ltendue de lanalyse comprend des lecteurs rseau ou dautres objets accs restreint, la tche ne pourra pas les analyser. Pour rsoudre ce problme, un compte possdant les droits ncessaires doit tre spcifi dans les proprits de la tche.
II44
II45
Planification
Les tches de recherche de virus peuvent tre planifies selon tout intervalle de temps : toutes les N minutes, toutes les N heures, tous les N jours, chaque semaine, chaque mois. Elles peuvent galement tre dmarres une fois : soit automatiquement lheure indique, soit manuellement. En outre, des planifications spciales sont possibles : Aprs la mise jour de lapplication : la tche dmarrera aprs que de nouvelles signatures de menaces aient t tlcharges et appliques. Une telle planification est pratique pour analyser la mmoire et les autres emplacements o des menaces actives sont susceptibles dapparatre. Au lancement de lapplication : la tche dmarrera immdiatement aprs le lancement de KES (ou quelques minutes plus tard). Ce moment est lui aussi propice lanalyse des zones les plus vulnrables de lordinateur. la fin dune autre tche : une planification universelle qui permet denchaner les tches. Dun point de vue pratique, la meilleure approche serait denchaner la recherche de virus aprs la fin de la mise jour, mais il existe dj une option de planification spciale cet effet. Lors dune attaque de virus : lorsque lvnement Attaque de virus est enregistr sur le Serveur dadministration 9. Il existe galement une option permettant de lancer les tches non excutes. Si un ordinateur est hors tension un instant planifi, la tche dmarrera ds que lordinateur sera remis sous tension. Si lordinateur nest pas accessible au moment du dmarrage manuel dune tche, elle sexcutera lorsque lordinateur se reconnectera au Serveur. Veuillez remarquer que lexcution des tches manques comporte des inconvnients. Si une tche danalyse dordinateur devant tre excute pendant le week-end na pu tre dmarre, elle dmarrera le lundi matin et pourra gner lutilisateur travaillant sur cette machine. Si des tches danalyse sont excutes simultanment sur de nombreux ordinateurs, de nombreux vnements sont envoys au Serveur dadministration. La case cocher Dmarrage alatoire de la tche avec intervalle (min) permet de rduire la charge du Serveur dadministration. Si un intervalle suffisant est spcifi, les tches dmarreront des moments diffrents et le nombre de connexions simultanes au Serveur sera rduit.
Ceci est dcrit en dtail dans le chapitre 5 de cette unit.
II46
II47
La fentre Avanc contient quelques autres paramtres utiles : Activer les ordinateurs avant le lancement de la tche par la fonction Wake On LAN (min) : vous permet de planifier le dmarrage de lanalyse pendant la nuit ou le week-end sans ncessiter de vous assurer que lordinateur est sous tension. Toutefois, pour utiliser cette fonctionnalit, vous devez activer sa prise en charge dans le BIOS des ordinateurs concerns. teindre lordinateur aprs lexcution de la tche : cette option peut venir en complment de la prcdente. Si une analyse est planifie pour la nuit ou le week-end, lordinateur peut tre mis hors tension aprs son achvement. Arrter si la tche prend plus de (min) : cette option permet de garantir lachvement de la tche avant le dbut de la journe de travail. Ainsi, excuter une analyse ninterfrera pas avec les activits de lutilisateur. Les paramtres danalyse ont galement une incidence sur la planification de la tche : Suspendre lanalyse planifie lorsque lcran de veille est inactif et si lordinateur nest pas verrouill (sur longlet Paramtres) : cette option signifie que la recherche de virus ne sera effectue que si lordinateur est inutilis (sil est verrouill ou si lconomiseur dcran est actif). Dans les autres cas, la tche sera bascule en mode Pause.
II48
II49
Paramtres communs des tches danalyse

Certains paramtres influencent toutes les tches danalyse. Ils sont spcifis dans la stratgie de Kaspersky Endpoint Security 8.0, dans la section Paramtres complmentaires : Ne pas lancer les tches planifies en cas dalimentation par batterie : ce paramtre est conu pour les ordinateurs portables et est activ par dfaut. Si lordinateur portable nest pas sur secteur, la tche danalyse ne dmarrera pas afin de prolonger la dure de vie de la batterie. Cder les ressources aux autres applications : la tche attendra plus de temps avant de passer au fichier suivant en cas de charge importante de lUC. Permettre le dmarrage et laffichage des tches locales (sauf analyse personnalise) : si cette case cocher est dsactive, toutes les tches danalyse et de mise jour locales seront caches lorsque la stratgie sera applique lordinateur. Seule la tche danalyse personnalise restera visible. Les tches danalyse locales sont dcrites plus en dtail dans la section suivante. Autoriser ladministration des tches de groupe : permet lutilisateur de dmarrer et darrter les tches danalyse et de mise jour de groupe, sil souponne que lordinateur est infect ou si lanalyse interfre avec son travail par exemple. Par dfaut, les tches locales et ladministration des tches de groupe sont dsactives et lutilisateur ne peut administrer les tches danalyse. Ladministrateur est responsable de la protection des ordinateurs. Les utilisateurs ne doivent se soucier de la protection et doivent avoir la possibilit de se concentrer sur leur propre travail.
II50
II51
Tches danalyse locales et de groupe

Tches locales
Kaspersky Endpoint Security comprend un ensemble de tches danalyse standard administres au moyen de linterface locale : Analyse complte : analyse complte de lordinateur, sauf disques de rseau et fichiers de donnes de courrier lectronique (tendue danalyse Ordinateur). Analyse personnalise : tche permettant danalyser les fichiers choisis par lutilisateur. Par dfaut, ltendue de lanalyse est vide. Cette tche est utilise pour analyser les fichiers ou dossiers au moyen de la commande disponible dans le menu contextuel Windows. Analyse rapide : analyse de la mmoire de lordinateur, des objets de dmarrage et des secteurs de damorage du disque. Analyse en mode veille : tche spciale dmarrant lorsque lconomiseur dcran est actif ou lorsque lordinateur est verrouill. Analyse les objets de dmarrage, la mmoire systme et la partition systme du disque dur. Lanalyse est effectue au niveau de scurit Recommand. Analyse des disques amovibles la connexion : autre tche danalyse spciale. Elle dmarre lorsquun lecteur amovible est connect lordinateur. Ltendue de la tche danalyse comprend les secteurs damorage et les fichiers situs sur le disque amovible. Deux variantes sont possibles en ce qui concerne lanalyse. Complte : lanalyse est effectue avec les mmes paramtres que ceux de la tche Analyse complte locale. Rapide : lanalyse est effectue avec les mmes paramtres que ceux de la tche Analyse rapide (en particulier, les archives et les paquets dinstallation ne sont pas analyss). Analyser des lecteurs de grande taille peut prendre beaucoup de temps. Limitez la taille des lecteurs analyser afin dviter les longs dlais dattente. Comme nous lavons mentionn plus haut, aprs lapplication dune stratgie, toutes les tches locales (sauf la tche Analyse personnalise) sont masques par dfaut. Lanalyse au moyen de paramtres semblables ceux des tches Analyse complte et Analyse rapide peut tre effectue en utilisant les tches de groupe ou les tches pour slections dordinateurs. Les tches locales Analyse en mode veille et Analyse des disques amovibles la connexion sont administres au moyen de la stratgie de Kaspersky Endpoint Security.
II52
II53
Utilisation centralise
Les tches de recherche de virus peuvent tre affectes des groupes ou des slections dordinateurs. Des analyses de virus rgulires doivent tre effectues sur tous les ordinateurs. Les tches de groupe sont les mieux adaptes pour cela. En particulier, il est recommand dexcuter une tche danalyse vrifiant les zones les plus sensibles une fois par semaine. Si le temps et les ressources le permettent, vous pouvez galement excuter une tche danalyse complte de lordinateur. Une tche danalyse de la mmoire et des autres zones susceptibles de contenir des virus actifs (quivalente la tche locale Analyse rapide) effectue aprs chaque mise jour de la base de donnes sera galement utile. Si vous avez besoin de crer une tche pour un ordinateur isol, il est prfrable de crer une tche pour les slections dordinateurs. Cela est plus pratique que de crer et surveiller une tche locale. Cest galement plus efficace que de crer un sous-groupe part pour ce seul ordinateur. Les tches pour les requtes dordinateurs peuvent aussi tre utilises pour rsoudre les problmes courants. Par exemple, ladministrateur peut avoir un besoin urgent danalyser les ordinateurs sur lesquels de nombreux virus sont dtects ou ceux qui nont pas t analyss depuis longtemps.
Tche de groupe standard

La tche de recherche de virus standard est cre par lAssistant de dmarrage rapide dans le groupe Ordinateurs administrs avec les paramtres suivants : Paramtre Planification Objets Valeur Chaque vendredi 7 h 00 Lancer les tches non excutes Mmoire systme Objets de dmarrage Secteurs damorage %systemroot%\ %systemroot%\system\ %systemroot%\system32\ %systemroot%\system32\drivers\ %systemroot%\syswow64\ %systemroot%\syswow64\drivers\ 10 Recommand Rparer, supprimer si la rparation est impossible
Niveau de scurit Action
10
savoir, les zones constituant ltendue danalyse de lordinateur.
II54
II55
2.3 Technologie de rparation de linfection active

Si le logiciel malveillant dtect est dj en cours dexcution, il peut entraver la dsinfection, bloquer laccs et cacher les fichiers infects. Il existe une procdure spciale pour ce type de cas : la Technologie de rparation de linfection active. Elle est active par un paramtre distinct de la stratgie de Kaspersky Endpoint Security. La technologie de rparation de linfection active est dmarre lorsque lAntivirus Fichiers ou la tche danalyse dtecte un programme malveillant et quau moins une des conditions suivantes est vrifie : le fichier infect est dtect sur le poste de travail, le fichier infect a dj t dmarr, le dmarrage automatique du fichier infect est configur dans le Registre.
II56
II57
Si au moins une des conditions ci-dessus est remplie, la dsinfection avance dmarre : 1. 2. 3. 4. 5. 6. Sur le poste client, lutilisateur est invit dmarrer la procdure de dsinfection avance et il est averti que lordinateur devra tre redmarr au cours de la dsinfection. Si lutilisateur accepte, le systme est bascul dans un mode de fonctionnement restreint spcial : le dmarrage de nouveaux programmes est bloqu et les changements de Registre sont interdits. Le produit tente de rparer le fichier. Sil choue mais si le fichier peut potentiellement tre trait, une copie est cre au mme emplacement et dsinfecte. Lanalyse de la mmoire dmarre pour trouver des copies en cours dexcution du logiciel malveillant et les arrter. Les entres permettant le dmarrage automatique du fichier infect sont supprimes du Registre et des fichiers de configuration. Lordinateur est redmarr. Si les fichiers nont pas t rpars ltape 3, lorsque le systme commence lamorage, le fichier infect est soit remplac par sa copie rpare, soit supprim (si la rparation est impossible).
Le principal inconvnient de la dsinfection avance est la ncessit de redmarrer lordinateur, ce qui ne peut tre fait sans le consentement de lutilisateur. Cest pourquoi la Technologie de rparation de linfection active est dsactive par dfaut. Lorsquelle est active et doit tre applique, lutilisateur est averti lavance de la procdure et du redmarrage.
II58
II59
Chapitre 3. Protection du rseau

Un rseau est un des principaux moyens de propagation des virus. Cest pourquoi la protection du rseau et lanalyse du trafic rseau sont dune si grande importance pour la scurit informatique. Les composants Antivirus Courrier, Antivirus Internet, Antivirus IM, Dtection des intrusions et Pare-feu sont responsables de la protection du rseau dans Kaspersky Endpoint Security. Ces composants excutent les tches suivantes : ils bloquent et suppriment les programmes malveillants aux stades prcoces de pntration, avant quils ne soient sauvegards dans le systme de fichiers des ordinateurs, ils bloquent les attaques rseau, y compris les attaques excutant du code infect sans enregistrer celui-ci dans le systme de fichiers, ils prviennent les pidmies et les fuites de donnes, si lordinateur a t infect.
II60
II61
3.1 Interception du trafic rseau

Kaspersky Endpoint Security intercepte le trafic rseau au moyen dun filtre NDIS. Sous Windows XP et Windows Server 2003, les pilotes klick.sys et klin.sys peuvent tre utiliss la place du filtre NDIS : dans les proprits du paquet dinstallation de KES, cochez la case Ne pas installer le pilote NDIS5 11. Indpendamment du pilote utilis pour linterception, Kaspersky Endpoint Security agit comme un serveur proxy local. En dautres termes, les paquets rseau entrants sont traits par KES avant dtre transfrs aux programmes et services. Pour leur part, les paquets sortants sont intercepts et traits avant dtre envoy vers le rseau. Tout dabord, le trafic entrant est trait par les composants Pare-feu et Dtection des intrusions. Pare-feu bloque les paquets en fonction des rgles configures pour les paquets et les applications. Dtection des intrusions analyse les paquets rseau et bloque les attaques rseau. Lanalyse considre les paquets bloqus par le Pare-feu, ce qui signifie que Pare-feu et Dtection des intrusions fonctionnent en parallle. Puis les composants Antivirus Internet, Antivirus Courrier et Antivirus IM analysent les donnes au niveau du protocole. Lordre dinterception du protocole est configur pour tous les composants simultanment, dans la zone Ports contrls de la section Paramtres gnraux de la stratgie.
11
Ce paramtre est dcrit en dtail dans lunit I.
II62
II63
Par dfaut, le trafic autoris par les composants Pare-feu et Dtection des intrusions est analys par Kaspersky Endpoint Security en ce qui concerne la correspondance avec les protocoles pris en charge. Le trafic Web, le trafic de courrier lectronique et le trafic de messagerie instantane sont redirigs vers les composants correspondants pour analyse. Les autres paquets sont envoys leurs programmes et applications cibles. Si ncessaire, afin de rduire la charge, il existe un moyen de ne pas analyser tout le trafic, mais seulement les paquets reus par des ports spcifis ou envoys des programmes spcifis. Les ports et les programmes standard sont spcifis dans la liste des Ports contrls. Si des ports ou des programmes non standards sont utiliss, ajoutezles la liste.
II64
II65
3.2 Antivirus Courrier

Antivirus Courrier protge lordinateur des menaces que les messages lectroniques peuvent contenir. Les messages sont intercepts au niveau du protocole (POP3, SMTP, etc.) et par incorporation dans les clients de messagerie les plus rpandus tels que Microsoft Office Outlook. Antivirus Courrier peut dtecter et bloquer des logiciels malveillants en utilisant des signatures de virus et un analyseur heuristique. En outre, Antivirus Courrier permet de bloquer les pices jointes des courriers lectroniques correspondant des masques spcifis. La case cocher Activer lAntivirus Courrier permet dactiver et de dsactiver le composant Antivirus Courrier. Les autres options permettent de dfinir les paramtres de scurit et les actions, exactement comme pour Antivirus Fichiers.
II66
II67
Niveau de scurit
Les paramtres de scurit dterminent la Zone de protection. Antivirus Courrier peut traiter soit le courrier lectronique entrant et sortant, soit uniquement le courrier entrant. Pour assurer une protection minimale de lordinateur, il suffit danalyser les messages entrants. Lanalyse de messages sortants peut empcher lenvoi involontaire dun fichier infect contenu dans une archive. De plus, lanalyse des messages sortants peut servir bloquer lchange de pices jointes de types dtermins, musique ou vido par exemple.
Connectivit
Le groupe de paramtres Intgration au systme dfinit la zone de protection dune manire plus prcise : Trafic POP3/SMTP/NNTP/IMAP permet dactiver lanalyse des messages de courrier et de news transfrs via les protocoles spcifis. En supplment : le plug-in Microsoft Office Outlook permet deffectuer lanalyse dobjets 12 au niveau du client Microsoft Office Outlook. En plus de lanalyse des objets reus et envoys, les messages sont analyss lorsque lutilisateur les ouvre pour les lire. En supplment : le plug-in The Bat! permet lanalyse de courrier reus ou envoys via The Bat! Lavantage de lanalyse effectue au niveau du protocole est que celle-ci opre indpendamment du client de messagerie utilis. Dautre part, les messages transfrs par dautres moyens ne seront pas analyss (serveurs Microsoft Exchange ou Lotus Notes par exemple). linverse, lanalyse effectue au niveau du client fonctionne indpendamment de la manire dont le message a t reu. Toutefois, la liste des clients de messagerie lectronique pris en charge est plutt limite. Si lorganisation limite strictement les applications utilises, ladministrateur peut dsactiver lanalyse des plug-ins ou protocoles inutiles. Dans les autres cas, il est recommand de laisser tous les paramtres activs. Antivirus Courrier diminue la consommation de ressources plus quil ne laugmente. Si vous dsactivez lanalyse des objets par lAntivirus Courrier, ceux-ci seront finalement analyss par lAntivirus Fichiers.
12
Non seulement les messages de courrier lectronique sont analyss, mais galement les objets des dossiers publics et du calendrier, soit tout objet reu via MAPI partir du rfrentiel Microsoft Exchange.
II68
II69
Mthodes danalyse
Les autres paramtres concernent les mthodes danalyse des objets. Lanalyseur heuristique peut tre utilis lors de lanalyse des pices jointes. Il dispose des mmes paramtres que lAntivirus Fichiers. Si les messages comportent des archives en pice jointe, elles peuvent tre dcompactes et analyses. Ce comportement est contrl au moyen de deux paramtres : Analyser les archives jointes : ce paramtre permet lanalyse des archives. En rgle gnrale, il est prfrable de laisser cette case cocher active et danalyser les archives la vole au moyen de lAntivirus Courrier. Il est bien plus facile de ne pas permettre une archive infecte de pntrer dans la base de donnes du courrier que de la supprimer de la base de donnes ultrieurement au moyen dune tche danalyse la demande. Ne pas analyser les archives jointes NN Mo : limite le volume des archives analyser. Les logiciels malveillants sont rarement rpandus dans de grands fichiers. Activez cette limitation afin dviter une longue attente lors de la rception des fichiers composs de grande taille. Ne pas analyser les archives plus de NN sec : cette option constitue une protection contre les bombes darchives dont lanalyse demande beaucoup de temps et de ressources, et ralentissent lordinateur. Habituellement, un dlai de trois minutes est plus que suffisant pour analyser une archive normale.
II70
II71
Filtrage des pices jointes

Dautres paramtres ne concernent que les fichiers en pice jointe. Ladministrateur peut : Dsactiver le filtrage : utilis par dfaut. Renommer les pices jointes du type indiqu 13 : peut tre utilis pour combattre les attaques de nouveaux virus. Si les noms des pices jointes utilises par un virus sont connus, ils peuvent tre ajouts la liste puis renomms afin que les utilisateurs ne puissent ouvrir ces pices jointes comme des fichiers ordinaires. Renommer peut vritablement prvenir une infection. Simultanment, si une pice jointe inoffensive correspond au masque spcifi, la renommer naura pas de consquences graves. Lutilisateur pourra consulter ladministrateur et recevoir des instructions afin de rtablir le nom dorigine. Supprimer les pices jointes du type indiqu : une manire sre de prvenir les infections galement utilisable pour empcher lchanger de certains types de fichiers, musique ou vido par exemple. Initialement, la liste de filtres contient les masques dextensions de fichiers frquemment utiliss. Outre les extensions, les masques dfinis par les utilisateurs peuvent contenir des parties de noms. Il est possible dutiliser les caractres de substitution * et ? . Les masques ajouts figureront en dbut de liste et seront immdiatement activs.
Niveaux de scurit standard

La zone de protection et les paramtres danalyse des messages peuvent tre administrs au moyen du commutateur Niveau de scurit trois positions standard : Faible, Recommand et lev. Les valeurs des paramtres pour chacun de ces niveaux sont dtailles dans le tableau ci-dessous : Niveau Faible Analyser uniquement le courrier entrant Analyse superficielle Dsactiver le filtre Recommand Courrier entrant et sortant Analyse moyenne + Dsactiver le filtre lev Courrier entrant et sortant Analyse minutieuse + Dsactiver le filtre
Paramtre Mode danalyse
Analyse heuristique Analyser les archives jointes Ne pas analyser les archives jointes de plus de 8 Mo Ne pas analyser les archives plus de 5 s Filtrage des pices jointes
Les paramtres danalyse du trafic POP3/SMTP/NNTP/IMAP et lutilisation des plug-ins sont indpendants du niveau de scurit. Quils soient activs et dsactivs, le niveau de scurit affich dans la configuration ne changera pas. Si un autre paramtre est modifi, le niveau de scurit sera bascul sur Autre. Mme si plus tard les paramtres sont rinitialiss aux valeurs spcifies dans le tableau ci-dessus, le niveau de scurit affich restera Autre. Pour retourner au niveau de scurit standard, cliquez sur le bouton Par dfaut.
13
Le renommage se fait de la manire suivante : le dernier caractre de lextension est remplac par un trait de soulignement.
II72
II73
Actions
LAntivirus Courrier peut prendre les mesures standard Rparer et Supprimer en ce qui concerne les objets dangereux dcouverts. Avant la rparation ou la suppression, une copie de lobjet est place dans le stockage Sauvegarde. Les fichiers suspects sont mis en quarantaine. Les fichiers supprims par le filtre de pices jointes sont galement placs dans le stockage Sauvegarde. Si une action est effectue sur un message de courrier lectronique, son objet sera modifi et laction effectue sera dcrite dans lobjet du message.
Des rgles dexclusion peuvent tre spcifies pour lAntivirus Courrier. Elles sont configures de faon similaire celles de lAntivirus Fichiers. Un objet peut tre spcifi en tant que nom ou masque dun fichier joint exclure de lanalyse. La mme exclusion doit tre configure pour lAntivirus Fichiers, faute de quoi les pices jointes reues ne seront ni enregistres ni ouvertes.
II74
II75
3.3 Antivirus Internet

LAntivirus Internet assume deux fonctions importantes : il analyse les adresses des sites et bloque laccs aux sites dangereux, il analyse les objets tlchargs via HTTP (les objets tlchargs via HTTPS ne sont pas analyss). Quatre technologies sont utilises pour analyser les liens : Vrification par rapport la base de donnes des sites suspects : un simple comparaison de ladresse du site accde aux adresses des ressources Web connues pour hberger des logiciels malveillants, attaquer les ordinateurs ou effectuer dautres activits nuisibles. Vrification par rapport la base de donnes des sites dhameonnage (phishing) : similaire la vrification prcdente, mais avec comparaison la base de donnes des sites sur lesquels des pages dhameonnage ont t trouves. Analyse heuristique pour dtecter les sites dhameonnage : analyse du contenu du site (code HTML caractristique de lhameonnage). Vrification KSN : les adresses des sites ouverts sont vrifies par rapport aux donnes du cache local KSN. Les liens dangereux sont bloqus. Si le cache local manque dinformations propos du site, une requte darrire-plan est envoye au nuage KSN. La rponse est enregistre dans le cache local et est utilise pour les vrifications suivantes. Les objets sont uniquement analyss au moyen de lanalyse de signature et de lanalyse heuristique (KSN nest pas utilis).
II76
II77
Niveau de scurit
Le comportement de lAntivirus Internet est dtermin par un nombre trs restreint de paramtres : Analyser les liens selon la base des adresses URL suspectes : nous recommandons de ne pas dsactiver ce paramtre. Si un site Web a t ajout la liste des adresses suspectes par erreur, nous vous recommandons de crer une exception en ce qui le concerne. Analyser les liens selon la base des adresses URL dhameonnage : ce paramtre doit galement rester activ. Analyse heuristique pour dtecter les virus : permet lutilisation de lanalyse heuristique. Lanalyse est la mme analyse que celle de lAntivirus Fichiers : les fichiers excutables sont dmarrs dans lenvironnement virtuel et leurs oprations sont supervises. La profondeur de lanalyse dfinit la dure de la surveillance. Analyse heuristique pour dtecter des liens dhameonnage : analyse heuristique pour la dtection de sites dhameonnage. La profondeur de lanalyse dfinit la partie du code HTML analyse et les mthodes utilises. En cas danalyse minutieuse, la dure et le degr de dtail de lanalyse augmentent. Limiter le temps de mise en cache du trafic Internet : fixe le dlai de tlchargement complet de lobjet analyser (une seconde). Si un objet nest pas entirement tlcharg dans la limite spcifie, il est transfr vers le navigateur sans tre analys et sera analys par lAntivirus Fichiers lors de sa sauvegarde sur le disque dur dans le dossier des fichiers temporaires du navigateur. Si ce paramtre est dsactiv, lAntivirus Internet attendra que les objets analyser soient tlchargs 14. Cela peut causer des problmes en ce qui concerne les flux audio et vido et de telles adresses Web ncessiteront la cration dexceptions. Les paramtres de lAntivirus Internet peuvent tre modifis en utilisant le commutateur Niveau de scurit. Le tableau ci-dessous rsume les changements des valeurs des paramtres en fonction du niveau slectionn : Niveau Faible + + Superficielle + Recommand + + Moyenne + + lev + + Minutieuse + +
Paramtre
Analyser les liens selon la base des adresses URL suspectes Analyser les liens selon la base des adresses URL dhameonnage Analyse heuristique pour dtecter les virus Analyse heuristique pour dtecter les liens dhameonnage Limiter le temps de mise en cache du trafic Internet Analyser les archives
Analyser les archives est un paramtre cach. Si le Niveau de scurit est Faible, en plus des changements de configuration visibles, lanalyse des archives est dsactive.
14
Cela ne provoquera pas de dpassement de temps car en attendant que lobjet soit charg, lAntivirus Internet transfrera la partie dj charge par petits fragments, simulant ainsi un tlchargement lent.
II78
II79
Actions
Vous pouvez slectionner laction effectuer en ce qui concerne tous les objets dangereux dtects : Bloquer le chargement 15 Autoriser le chargement Vous devez slectionner laction Bloquer le chargement dans la stratgie et la verrouiller de manire ce que les utilisateurs ne puissent tlcharger des objets ou visiter des sites Web dangereux. Quand un utilisateur tente douvrir une ressource Web sur liste noire ou de tlcharger un objet infect, une notification sera affiche dans le navigateur afin dexpliquer que le tlchargement a t bloqu par Kaspersky Endpoint Security.
15
Loption Slectionner laction automatiquement a le mme effet que Bloquer le chargement.
II80
II81

Les exclusions disponibles dans lAntivirus Internet sont de trois types : URL de confiance : sont spcifies sur un onglet distinct des paramtres du Niveau de scurit (cette liste ne change pas le niveau de scurit). Les adresses des sites rpertoris et les objets qui en sont tlchargs ne sont pas analyss par lAntivirus Internet. Il est possible dutiliser les caractres de substitution * et ? dans les adresses Web. Exclusions dobjets : configures laide des Rgles dexclusion, de la mme manire que les exclusions de lAntivirus Courrier. Exclusions dapplications : tout comme les rgles dexclusion, elles sont spcifies dans la Zone de confiance. Une exclusion peut sappliquer soit toutes les connexions tablies par un programme, soit uniquement des adresses IP et des ports spcifis.
II82
II83
3.4 Antivirus IM
LAntivirus IM excute les mmes tches que lAntivirus Courrier pour des applications de messagerie instantane telles quICQ, MSN, AIM, Mail.ru agent, IRC. Les messages instantans sont analyss en ce qui concerne : les liens vers les sites dhameonnage et les sites suspects (ces paramtres sont dcrits dans la section Antivirus Internet), le code infect dans le texte du message (lanalyse de signature et lanalyse heuristique sont utilises). Antivirus IM nanalyse pas les fichiers envoys via les clients de messagerie instantane.
Paramtres
Initialement, Antivirus IM analyse les messages entrants et sortants. Les messages sortants peuvent tre exclus de lanalyse, mais cela napporte rien de particulier car lanalyse des messages ne diminue en rien les performances de lordinateur. Les autres paramtres dAntivirus IM dfinissent les mthodes danalyse des messages : Analyser les liens selon la base des adresses URL suspectes : permet de bloquer les liens vers les sites connus pour propager des logiciels malveillants (comme dans lAntivirus Internet). Analyser les liens selon la base des adresses URL dhameonnage : bloquer les liens vers des sites dhameonnage. Analyse heuristique : contrle lutilisation et la profondeur de lanalyse heuristique lors de la recherche de code infect dans le texte du message. Si un lien vers un site dangereux ou un code infect est dtect, Antivirus IM remplace le texte du message par la notification sur laction effectue (lien bloqu ou code supprim). Par dfaut, tous les paramtres de lAntivirus IM sont requis. Ladministrateur peut choisir de les dverrouiller. Le niveau de scurit global ne diminuera pas, mme si Antivirus IM est dsactiv, car toute tentative douvrir un lien vers une ressource Web potentiellement dangereuse sera bloque par lAntivirus Internet et lAntivirus Fichiers ne permettra pas la sauvegarde et lexcution de code malveillant.
II84
II85
3.5 Dtection des intrusions

Le but du composant Dtection des intrusions est de bloquer les attaques rseau, y compris lanalyse de ports, les attaques par dni de service, les attaques par dpassement de mmoire tampon et autres actions malveillantes distance nuisibles aux programmes et aux services fonctionnant au niveau du rseau. Dtection des intrusions utilise des signatures et bloque toutes les connexions correspondant aux descriptions dattaques rseau connues. Comme nous lavons indiqu plus haut, les logiciels malveillants nenregistrent pas ncessairement le code excutable dans le systme de fichiers afin dinfecter un ordinateur. Par exemple, les logiciels malveillants attaquant par dpassement de mmoire tampon peuvent modifier un processus dj tlcharg en mmoire et excuter ainsi le code malveillant. Dtection des intrusions est le seul composant capable de prvenir ce type de propagation des infections. Cest pourquoi il doit tre activ et ses paramtres verrouills.
Paramtres
Dtection des intrusions dispose de quelques paramtres configurables. Si le composant est activ, les attaques sont bloques automatiquement. En outre, Kaspersky Endpoint Security peut bloquer tous les paquets provenant de lordinateur attaquant pendant une dure spcifie. La case cocher Bloquer lordinateur lorigine de lattaque pendant contrle ce comportement. Par dfaut, la case est active et bloque les ordinateurs pendant 60 minutes. Si ncessaire, un ordinateur bloqu peut tre dbloqu manuellement, mais seulement partir de linterface locale de Kaspersky Endpoint Security. Des programmes spciaux analysant les ordinateurs du rseau pour en dtecter les vulnrabilits sont utiliss dans certaines entreprises. Leur activit peut ressembler des attaques rseau et les ordinateurs lorigine de ces analyses peuvent ventuellement tre bloqus. Pour viter cela, ajoutez ladresse des ordinateurs lorigine de ces analyses la liste des exclusions de Dtection des intrusions. Les attaques provenant de ces adresses ne seront pas bloques.
II86
II87
3.6 Pare-feu
Le composant Pare-feu surveille les connexions du rseau et les couches de transport. Les principaux outils de surveillance sont les rgles de paquets. Le pare-feu analyse les paquets entrants et sortants selon les rgles existantes et excute une des deux actions suivantes : Autoriser Interdire Du point de vue de la scurit, le Pare-feu assume deux fonctions : Il bloque les connexions rseau non autorises vers lordinateur, rduisant ainsi la probabilit dinfection. Il bloque lactivit rseau non autorise des programmes sur le poste client. Cela diminue les risques dpidmie et limite galement les actions de lutilisateur contrevenant consciemment ou inconsciemment la stratgie de scurit.
II88
II89
Paramtres
Ordre de traitement des paquets
La dcision dautoriser ou dinterdire un paquet spcifique est prise sur la base de trois listes : la liste de rgles pour les paquets rseau, la liste des rgles de contrle des applications, la liste des rseaux. Aprs avoir intercept un paquet rseau, les rgles de paquets sont appliques du haut vers le bas. Pare-feu compare squentiellement les paramtres du paquet aux rgles spcifies. En cas de concordance, le paquet est trait conformment la rgle correspondante. Si aucune des rgles de paquets ne convient, les rgles de contrle des applications sont testes 16. La liste des rseaux ne contient aucune rgle et na aucune influence directe sur le traitement des paquets. Cest une liste supplmentaire qui contribue prciser ltendue des rgles de paquets et dapplications.
16
Les rgles de contrle des applications sont conues de faon ce quun paquet corresponde toujours une rgle.
II90
II91
Rgles de paquets
Une rgle de paquets contient les attributs suivants : Action : laction effectuer propos du paquet auquel la rgle sapplique. Trois options sont disponibles :
Autoriser Interdire Selon les rgles de lapplication : le paquet est trait selon les rgles spcifies pour lapplication qui
envoie ou reoit le paquet Protocole : les valeurs suivantes sont disponibles : TCP, UDP, ICMP, ICMPv6, IGMP et GRE. Pour les protocoles de transport TCP et UDP, vous pouvez galement spcifier les Ports locaux et les Ports distants. Pour les protocoles ICMP et ICMPv6 : Type ICMP (EchoRequest par exemple) et Code ICMP. Direction : les valeurs suivantes sont disponibles :
Entrant (flux) : sapplique tous les paquets transfrs pendant une session initie par un ordinateur
distant Entrant : sapplique tous les paquets entrants Entrant/Sortant : sapplique tous les paquets entrants et sortants Sortant : sapplique tous les paquets sortants Sortant (flux) : sapplique tous les paquets transfrs pendant une session initie par un ordinateur distant
Adresse : liste des adresses locales et distantes. Valeurs possibles :
Adresse quelconque Adresse du sous-rseau : tous les rseaux appartenant une des catgories suivantes : De confiance,
Local, Public 17 Adresses de la liste : liste des adresses DNS, adresses IP et adresses de sous-rseaux distants auxquelles la rgle sapplique. Toute adresse peut tre spcifie au format IPv4 ou IPv6. En outre, si lordinateur dispose de plusieurs adresses IP, vous pouvez spcifier les adresses locales auxquelles la rgle sapplique.
Pour plus de commodit, le protocole, les ports et la direction peuvent tre spcifis par modles (par exemple : Nimporte quelle activit de rseau, Consultation de pages Web, Activit de rseau pour le fonctionnement de la technologie Bureau distance, etc.) Comme nous lavons indiqu plus haut, une rgle sapplique un paquet dont les paramtres (protocole, direction et adresse) correspondent aux conditions de la rgle. Lapplication de la rgle sera enregistre dans le journal du Parefeu si la case cocher Consigner dans le rapport est active.
17
Les tats rseau sont dcrits en dtail plus loin dans ce cours.
II92
II93
Rgles dapplications
Les rgles dapplications sont similaires aux rgles de paquets mais disposent dun attribut supplmentaire : le nom du fichier excutable envoyant ou recevant le paquet sur lordinateur local. Il y a une diffrence cependant : lAdresse IP locale ne peut pas tre spcifie. Les rgles dapplications sappliquent automatiquement toutes les adresses IP de lordinateur local. Par dfaut, le Pare-feu affecte une catgorie chaque programme qui dmarre sur le poste client : De confiance Restrictions faibles Restrictions leves Douteuses
La catgorie est slectionne laide des informations reues de KSN. Si les serveurs KSN ne peuvent tre contacts ou si linformation sur le programme en question est absente de KSN, la catgorie est dtermine au moyen dun algorithme heuristique spcial 18. En outre, trois rgles rseau standard pour applications sont cres pour chaque programme en cours dexcution. Elles ont les attributs suivants : Toute activit rseau, Rseaux de confiance Toute activit rseau, Rseaux locaux Toute activit rseau, Rseaux publics Pour les programmes des groupes De confiance et Restrictions faibles, les trois rgles utilisent par dfaut laction Autoriser. Pour les programmes des groupes Restrictions leves et Douteuses, elles utilisent laction Interdire. Les rgles standard ne peuvent pas tre supprimes ou modifies, lexception de lattribut Action qui peut tre chang par ladministrateur. En ce qui concerne le traitement des paquets rseau, mme si un paquet ne correspond aucune des rgles de paquets, il existe toujours une rgle applicable aux applications. Ainsi, indpendamment des paramtres spcifis, une rgle sera toujours utilise et le Pare-feu autorisera ou interdira le paquet.
18
Les zones de confiance des applications sont dcrites en dtail dans lunit III.
II94
II95
Administrer les rgles dapplications dans la stratgie

Les rgles de contrle des applications sont administres diffremment des autres paramtres de la stratgie de Kaspersky Endpoint Security. Le problme est que la liste des programmes dmarrs sur les ordinateurs administrs subit des changements au fil du temps. Cest pourquoi il est impossible de spcifier et dappliquer des rgles tous les programmes ncessaires. Pour grer cela au mieux, les rgles dapplications sont spcifies au niveau des groupes de confiance (De confiance, Restrictions faibles, etc.) dans la stratgie. En consquence, ladministrateur dfinit des rgles pour des groupes de la stratgie et le Pare-feu du poste client dfinit le groupe de confiance du programme puis applique les rgles du groupe au programme. Les rgles de groupes sont les mmes que les rgles dapplications. En dautres termes, la liste contient trois rgles standard de type Toute activit rseau pour les rseaux de confiance, locaux et publics, o seule laction peut tre change et ladministrateur peut ajouter dautres rgles sa discrtion. Si les rgles gnrales de groupes ne sont pas suffisantes, ladministrateur peut explicitement spcifier des rgles relatives des programmes spcifiques dans la stratgie. Cliquez sur le bouton Ajouter, puis dans la fentre qui souvre, slectionnez la valeur Pour toute la priode du champ Priode dajout et cliquez sur le bouton Mettre jour. La liste des programmes affichera tous les programmes dmarrs sur les postes clients depuis leur mise en service. KES recueille ces informations sur tous les ordinateurs du rseau et les transfre au Serveur dadministration lors des synchronisations 19 . Pour trouver le programme voulu, vous pouvez filtrer la liste par application, diteur, groupe de confiance ou date de mise jour (dajout du programme la liste).
19
Lunit III explique comment les informations relatives aux fichiers excutables sont recueillies.
II96
II97
Rseaux
Pour tre en mesure de configurer facilement des rgles de paquets et dapplications, vous pouvez affecter des tats aux rseaux locaux. Cela vous permettra de spcifier un tat de rseau au lieu de spcifier explicitement tous les rseaux lors de la mise en place des rgles de filtrage. Un rseau peut avoir les tats suivants : De confiance Local Public Si un tat de sous-rseau est spcifi au lieu dune adresse dans une rgle de paquets, le systme vrifie si le paquet est relatif au moins un sous-rseau correspondant cet tat. Si tel est le cas, la rgle est applique au paquet. La liste locale des rseaux contient la liste de toutes les connexions rseau. Kaspersky Endpoint Security reoit des informations leur sujet en provenance du systme dexploitation. Kaspersky Security Center dtecte automatiquement ltat de ces rseaux. Si ncessaire, il peut tre modifi manuellement, mais seulement partir de linterface locale de Kaspersky Endpoint Security. En outre, la liste des rseaux comprend un rseau Internet spcial dont ladresse est 0.0.0.0/0 et qui couvre toutes les adresses (y compris nimporte quel autre rseau) et qui dispose dun tat Rseau public permanent. Ainsi, tout paquet est relatif au moins un rseau. Aprs lapplication de la stratgie au poste client, la liste des rseaux spcifis dans la stratgie est compare la liste des rseaux localement dtects par KES. Si un rseau dtect localement concide avec ou est inclus en tant que sous-rseau dans un rseau spcifi dans la stratgie, son tat est ignor lors du traitement des paquets.
II98
II99
Rgles de filtrage standard

Une stratgie standard ne contient pas de rseaux et de rgles dapplications (sauf les stratgies standards lies au groupe de confiance). Cest pourquoi, par dfaut, ltat du rseau et le niveau de confiance des applications sont dfinis localement dans le Pare-feu. Les rgles de paquets sont hrites de la stratgie et les paquets sont donc filtrs de la manire suivante : 1. Les trois premires rgles contrlent la capacit denvoyer des requtes DNS (via les protocoles TCP et UDP, port externe 53) et des courriers lectroniques (via le protocole TCP et les ports externes 25, 465, 143 et 993). Laction Selon les rgles de lapplication est slectionne dans ces rgles. Cela signifie que les programmes des zones De confiance et Restrictions faibles pourront envoyer des requtes DNS et des requtes de messagerie lectronique, alors que les autres ne le pourront pas. La rgle suivante sur la liste autorise nimporte quelle activit rseau tous les programmes pour les rseaux de confiance. Ainsi, dans les rseaux de confiance, toute activit est autorise par dfaut, sauf en ce qui concerne les limitations de DNS et de messagerie lectronique des programmes douteux. La rgle suivante dfinit lordre de traitement des paquets dans les rseaux dont ltat est Local. Ces paquets sont traits par les rgles dapplications. Compte tenu des rgles prcdentes, les programmes des zones De confiance et Restrictions faibles nont aucune limitation dans les rseaux locaux alors que dautres programmes ne peuvent y accder. Les trois rgles suivantes de la liste contrlent le fonctionnement dans les rseaux dont ltat est Public. Tout dabord, il existe un groupe bloquant les connexions de bureau distance lordinateur depuis les rseaux publics et bloquant galement les connexions au service local DCOM, les paquets NetBIOS, laccs aux dossiers partags de Windows et laccs aux priphriques Universal Plug & Play. Les deux rgles suivantes autorisent les flux TCP et UDP entrants uniquement pour les programmes des zones De confiance et Restrictions faibles. Comme par dfaut les rgles de filtrage ne rgissent pas les flux sortants, ceux-ci sont galement filtrs selon les rgles dapplications. En dautres termes, les programmes des zones Restrictions leves et Douteuses ne peuvent initialement pas accder aux rseaux publics. Le dernier groupe de rgles bloque les requtes de diagnostic ICMP entrantes tout en autorisant lenvoi de paquets ICMP pour tester la connexion aux ordinateurs distants.
2.
3.
4.
5.
6.
Pour rsumer, nous pouvons dire que dans les rseaux De confiance, nimporte quelle activit est autorise pour tous les programmes. Dans les rseaux Locaux et Publics, seuls les programmes des groupes De confiance et Restrictions faibles peuvent changer des paquets. Dans les rseaux publics, laccs certains services des ordinateurs est galement bloqu (voir n 4). La plupart des applications rseau sont automatiquement incluses dans les groupes De confiance ou Restrictions faibles et sont autorises changer des donnes via le rseau.
Paramtres supplmentaires
Longlet sur lequel les rgles de paquets sont rpertories contient galement le bouton Avanc permettant douvrir une fentre avec les paramtres de Pare-feu suivants : Autoriser le mode FTP actif : une exclusion spciale permettant aux serveurs FTP de se connecter un poste client via TCP mme si les connexions TCP entrantes doivent tre bloques en vertu des rgles de filtrage spcifies. Lexclusion est active par dfaut. Bloquer les connexions sil est impossible dafficher une demande daction : ce paramtre na aucune incidence sur le filtrage de paquets rseau car le Pare-feu de KES 8.0 ninvite pas les utilisateurs choisir laction effectuer. Ne pas dsactiver le Pare-feu avant larrt complet du systme : si loption est active, KES ignorera lordre darrt des services et des pilotes recommand par Microsoft. Cela permet dviter les situations dans
II100
lesquelles le Pare-feu cesse de fonctionner alors que les services rseau du systme sont encore en cours dexcution et peuvent recevoir et envoyer des donnes larrt du systme.
II101
Chapitre 4. Surveillance du systme

Les composants et les technologies permettant de prvenir les infections ou de minimiser les consquences de nouveaux programmes malveillants sont appels Dfense proactive. Les nouveaux programmes malveillants sont ceux qui nont pas encore t ajouts aux bases de donnes antivirus et Kaspersky Security Network. Parmi les composants dcrits dans les chapitres prcdents, Dfense proactive comprend lanalyse heuristique. Le rle principal de cet aspect de la protection appartient System Watcher et aux composants de contrle dans une certaine mesure. Les composants de contrle sont dcrits dans lunit suivante de notre cours et le prsent chapitre est consacr au composant System Watcher.
Objectif et principes
System Watcher assure plusieurs fonctions : il journalise lactivit des applications dans la base de donnes BSS 20, il dtecte les programmes malveillants et bloque leurs actions, il annule les actions des logiciels malveillants dtectes par les autres composants (Antivirus Fichiers et tches danalyse). La dtection de logiciels malveillants est sa tche principale. Pour cela, System Watcher surveille les actions des programmes et les compare aux modles dactivits dangereuses de la base BSS. La base de donnes BSS est actualisable, mais ses mises jour sont rares. Toutefois, lefficacit de System Watcher ne dpend pas essentiellement de mises jour rgulires de la base de donnes. Divers composants recueillent des donnes sur lactivit des applications destines System Watcher : La principale source dinformation est le pilote klif.sys interceptant les oprations de fichiers (galement utilis par lAntivirus Fichiers). Le pilote recueille des informations sur les oprations de fichiers et les modifications apportes au Registre. Pare-feu recueille des informations sur lactivit rseau des applications. System Watcher a son propre module, lequel ragit aux vnements systme complexes (installation des pilotes, crochets, etc.)
20
Behavior Stream Signatures (modles de comportement dangereux)
II102
II103
Paramtres
System Watcher comporte quelques paramtres permettant lactivation ou la dsactivation des composants de tches mentionns ci-dessus : Enregistrer lhistorique de lactivit des applications pour la base BSS : ce paramtre contrle la sauvegarde du journal dactivit des programmes sur le disque dur. Lenregistrement de la journalisation permet une meilleure dtection car lanalyse de lactivit peut tudier toutes les actions des programmes, y compris celles effectues avant le dernier dmarrage du systme. La taille maximale du fichier de journalisation est denviron 200 Mo. Ne pas surveiller lactivit des applications qui possdent une signature numrique : ne pas enregistrer les vnements des programmes qui ont une signature numrique valide ou se trouvent sur la liste des programmes autoriss du KSN. Annuler les actions des applications malveillantes lors de la rparation : annule les actions effectues par les programmes supprims par les tches de lAntivirus Fichiers, les tches danalyse ou mis en quarantaine par System Watcher. Lannulation signifie la restauration du systme de fichiers (cration, dplacement, renommage de fichiers) et des cls de Registre ltat antrieur aux modifications apportes (les enregistrements crs par le programme sont supprims). En outre, une copie de sauvegarde de certains fichiers et de certaines cls est cre au moment du dmarrage du systme pour permettre le retour la version prcdente au cas o un virus effectuerait des modifications de ces fichiers et de ces cls. Ces objets spciaux comprennent les fichiers hosts et boot.ini et les cls de Registre utilises pour dmarrer les programmes et les services lors du dmarrage du systme. Actualiser les modles des comportements dangereux (BSS) permet de dtecter les comportements dangereux au moyen de BSS et deffectuer les actions suivantes : Ignorer : aucune action nest excute, seule la dtection dactivit malveillante est enregistre dans le rapport. Arrter le programme malveillant : arrte le logiciel malveillant et le dcharge de la mmoire. Placer le fichier en quarantaine : arrter le programme et placer son fichier excutable dans le stockage Quarantaine. Slectionner laction automatiquement : identique Placer le fichier en quarantaine.
II104
II105
Exclusions
Si une activit dangereuse est dtecte parmi les actions dun programme lgitime, ladministrateur peut configurer une rgle dexclusion pour System Watcher. Les exclusions sont configures dans la Zone de confiance au moyen de deux mthodes : Application de confiance : dsactive la dtection des activits malveillantes dans les actions du programme. Rgle dexclusion : permet de spcifier le type dactivit autoris pour ce programme. Dans ce cas, si des actions dangereuses dun autre type sont dtectes, System Watcher ragira comme dhabitude.
II106
II107
Chapitre 5. Diagnostics de menaces

Aprs le dploiement du systme de protection sur les ordinateurs du rseau, la cration de la structure des ordinateurs administrs et la configuration des paramtres de protection, une nouvelle phase dmarre : le maintien de la protection. Un des aspects les plus importants de la protection du rseau est la surveillance et la suppression des objets non traits. Le prsent chapitre dcrit les outils qui permettent ladministrateur de recevoir des informations sur les objets infects dtects sur les postes clients, de reprer les points faibles du systme de protection et dajuster les paramtres en consquence.
5.1 Gnration et transfert des vnements

vnements de dtection locaux
Kaspersky Endpoint Security journalise les informations sur les objets infects dtects sous forme dvnements. Chaque dtection suscite une chane dvnements relatifs au traitement de lobjet, par exemple : Menaces dtectes Une copie de sauvegarde de lobjet est cre Rparation impossible Objet supprim
Localement, les vnements peuvent tre stocks dans le journal de Kaspersky Endpoint Security, dans le journal Windows et galement affichs sous forme de notifications contextuelles. Les vnements peuvent dclencher des notifications par courrier lectronique envoyes par lordinateur local, mais cette fonctionnalit nest pas souvent utilise parce que les notifications par courrier lectronique sont gnralement envoyes par le Serveur dadministration. Par dfaut, les notifications locales relatives aux dtections de logiciels malveillants ne sont pas affiches. Si un programme malveillant est arrt avec succs, la situation nest pas critique et lutilisateur ne doit pas tre drang. Mme si une menace na pas t limine, elle doit rester la responsabilit de ladministrateur car lutilisateur final na souvent pas lexpertise ncessaire pour rsoudre ce genre de problme.
II108
II109
Catgories dvnements
Dans Kaspersky Security Center, les vnements sont classs de la manire suivante : Critique Erreur Avertissement Message dinformation
La catgorie dun vnement est une caractristique prdfinie qui ne peut tre modifie. La dtection de logiciels malveillants est un vnement critique. La dtection de logiciels publicitaires dun programme lgitime susceptible de nuire lutilisateur est un Avertissement.
II110
II111
Transfert des vnements vers le Serveur

La plupart des vnements des catgories Critique, Erreur et Avertissement, ainsi que certains vnements dinformation sont envoys au Serveur dadministration et enregistrs dans sa base de donnes. Aprs cela, ils peuvent tre affichs dans la Console dadministration. Ladministrateur peut dcider au niveau de la stratgie si les vnements doivent ou non tre envoys au Serveur dadministration et stocks dans la base de donnes. Les vnements peuvent tre enregistrs : dans la base de donnes du Serveur dadministration, dans le journal des vnements Windows du poste client (dans un journal dvnements Kaspersky distinct), dans le journal des vnements Windows du Serveur dadministration (dans un journal dvnements Kaspersky distinct). Initialement, tous les vnements envoys au Serveur dadministration sont stocks dans la base de donnes pendant 30 jours.
Notifications
Les paramtres du stockage (inscription) des vnements jouxtent les paramtres de notification. Les notifications sont ncessaires pour informer ladministrateur des vnements importants en temps opportun, en particulier de ceux qui peuvent ncessiter une raction immdiate. Si les vnements sont simplement enregistrs dans la base de donnes du Serveur et dans les journaux du systme dexploitation, ladministrateur nen sera pas ncessairement inform avant douvrir lvnement correspondant 21. Des notifications sont envoyes simultanment linscription des vnements dans la base de donnes du Serveur. Il existe trois types de notifications : par courrier lectronique, par excution dun fichier ou script excutable, via SNMP. Les notifications par courrier lectronique sont faciles configurer et utiliser dans la mesure o ladministrateur dispose dune adresse de courrier lectronique valide et de ladresse du serveur de messagerie. Une notification par courrier lectronique peut tre configure dans presque nimporte quel rseau sans dispositions supplmentaires particulires. Si ladministrateur vrifie sa bote de rception plus souvent que la Console dadministration, lobjectif de la notification est atteint. La notification SNMP est base sur le protocole standard de gestion des ressources du rseau SNMP. Pour que ladministrateur puisse utiliser ces notifications dans Kaspersky Security Center, les outils prenant ce protocole en charge doivent tre installs sur le Serveur dadministration. Dmarrer un fichier excutable ou un script nest pas vritablement une mthode de notification. Cest une raction amliore certains vnements. Elle permet ladministrateur dexcuter automatiquement nimporte quelle commande quand un vnement particulier se produit. Rappelez-vous que la commande est effectue sur le Serveur dadministration, et non sur lordinateur sur lequel lvnement est enregistr. Cest une mthode de niveau expert que la plupart des administrateurs nutilisent pas. Les paramtres de notification globaux du Serveur dadministration sont spcifis dans les proprits du nud Rapports et notifications. Les paramtres de notification par courrier lectronique sont spcifis dans lAssistant de dmarrage rapide. Pour configurer les notifications par dautres moyens ou modifier les paramtres denvoi indiqus, ouvrez longlet Notification dans la fentre de proprits du nud Rapports et notifications.
21 Cela ne signifie pas que ladministrateur ne sera pas inform du tout propos des incidents. Les incidents importants modifient ltat de lordinateur (dcrit plus bas).
II112
II113
5.2 Traitement centralis des vnements de dtection

La Console dadministration offre plusieurs outils conus pour divers besoins de gestion des vnements.
Rapports
Les rapports sont les outils les plus pratiques en ce qui concerne la surveillance des vnements. Dune part, un rapport affiche les rsultats de dtection des menaces et de traitement lchelle du rseau entier, dautre part, il permet dexaminer les dtails des incidents au niveau dun vnement.
Rapport sur les virus

Le Rapport sur les virus affiche les rsultats du traitement des logiciels malveillants dtects sur les ordinateurs administrs au cours des 30 derniers jours. La priode du rapport peut tre modifie dans les proprits du rapport. Toutefois, dans sa configuration par dfaut, le Rapport sur les virus ne fournit que peu dinformations en raison du fait que lvnement Objet supprim nest pas envoy au Serveur dadministration et que les objets supprims sont affichs comme des objets non traits dans le rapport. Pour modifier cela, activez lenvoi de cet vnement au Serveur dans les proprits de la stratgie de Kaspersky Endpoint Security. Ensuite, la colonne Non dsinfect doit afficher 0 , ce qui signifie que tous les objets malveillants ont t soit rpars, soit supprims. Sil existe des objets qui nont pas t rpars, ladministrateur doit examiner la liste des ordinateurs correspondants. Pour cela, il est possible de filtrer le rapport sur les proprits du champ Action, afin que le rapport ne contienne que les vnements relatifs laction Non dsinfect. Aprs avoir appliqu le filtre, les noms des ordinateurs correspondants seront affichs dans la colonne Poste client du tableau Dtails.
II114
II115
Rapport sur les ordinateurs les plus infects

Ce rapport affiche le nombre de virus trouvs sur les ordinateurs du rseau les plus frquemment infects. Si certains ordinateurs ont t infects beaucoup plus souvent que les autres, il peut tre utile den connatre la raison et de prendre les mesures appropries. La protection de lordinateur peut tre affaiblie cause de labsence de mises jour de scurit. Ce problme est facilement rsolu en installant les mises jour. Une autre raison possible de la dtection de nombreux virus est le rle de lordinateur. Par exemple, il peut tre utilis comme station de travail temporaire lusage des employs externes lentreprise. Dans ce cas, il peut tre utile dutiliser des paramtres de protection plus svres.
Rapport sur les utilisateurs des ordinateurs infects

Le rapport sur les utilisateurs prsente des informations sur les utilisateurs dont les actions ont abouti de nombreuses dtections de logiciels malveillants. Ce rapport est similaire au Rapport sur les ordinateurs les plus infects. Si certains utilisateurs sont infects beaucoup plus souvent que les autres, il peut tre utile den comprendre la raison et de leur fournir une assistance en consquence.
II116
II117
Rapport dattaques rseau

Un autre rapport affichant ltat de la protection du rseau est le Rapport dattaques rseau. Il affiche les types des attaques dtectes, et plus important encore, les adresses IP des ordinateurs ayant effectu les attaques. Sachant ces adresses, ladministrateur peut examiner les incidents et mieux rsoudre les problmes. Le Rapport dattaques rseau est inexistant par dfaut, mais il peut tre facilement cr. Les nouveaux rapports sont crs laide dun assistant spcial qui peut tre dmarr partir du menu contextuel du nud Rapports et notifications. Vous pouvez y spcifier le nom du modle et le type de rapport, puis selon le type choisi, la priode du rapport et les ordinateurs viss.
Paramtres des rapports

Par dfaut, le tableau Dtails dun rapport peut contenir jusqu 1000 lignes. Plus le tableau contient denregistrements, plus il faut de temps pour lafficher. Vous pouvez limiter le nombre denregistrements affichs afin dacclrer la gnration des rapports. Ce paramtre se trouve dans la section Gnral du modle. Si des donnes importantes sont absentes du fait de la limitation, vous pouvez crer un modle qui filtrera les donnes de manire inclure les informations vous intressant dans le rapport. Ladministrateur peut aussi configurer les champs affichs dans le tableau Dtails et la manire dont les vnements y sont tris. Chaque type de rapport dispose de ses propres champs.
II118
II119
Sauvegarder les rapports

Non seulement les rapports peuvent tre consults dans la Console dadministration, mais ils peuvent galement tre sauvegards au format PDF, HTML ou XML (Microsoft Excel) ou imprims. Si un rapport particulier doit tre sauvegard pour analyse ultrieure ou en tant que rfrence, il est possible de le faire au moyen du menu contextuel du modle de rapport. La commande Enregistrer dmarre un assistant permettant de sauvegarder le rapport dans un des formats suivants : HTML XML (Microsoft Excel) PDF Si le besoin denregistrer un rapport particulier se prsente rgulirement, cette action peut tre automatise au moyen dune tche. Pour crer cette tche, utilisez la commande Caractristiques denvoi automatique de rapports situe dans le menu contextuel du modle ou cliquez sur le lien Cration dune tche dans le nud Tches du Serveur dadministration. Une telle tche est automatiquement cre par lAssistant de dmarrage rapide, condition que ladministrateur ait dfini les paramtres denvoi par courrier lectronique au pralable.
II120
II121
Statistiques antivirus
Ltat gnral de la protection peut tre valu en utilisant non seulement les rapports, mais galement les statistiques. Les statistiques sont affiches dans le nud Rapports et notifications. Dans la partie suprieure du panneau de statistiques se trouvent les onglets permettant de basculer sur les pages de statistiques. Chaque page comporte plusieurs panneaux dinformation, chacun affichant un aspect particulier de ltat de la protection. Les menaces dtectes sont affiches sur la page Statistiques antivirus. Celle-ci contient 4 panneaux par dfaut : Historique de lactivit des virus : la distribution de la dtection des logiciels malveillants dans le temps. Par dfaut, les dernires 24 heures sont affiches. Cliquez sur licne modifier cette priode. dans les proprits du graphique pour
Virus les plus rpandus : graphique affichant les virus les plus frquemment dtects sur les postes clients. Ordinateurs les plus infects : graphique affichant les ordinateurs du rseau le plus souvent infects (similaire au Rapport sur les ordinateurs les plus infects). Utilisateurs les plus infects : graphique affichant les utilisateurs ayant provoqu le plus grand nombre de dtections de virus (similaire au Rapport sur les utilisateurs des ordinateurs infects). Pour modifier la composition des graphiques figurant sur la page Statistiques antivirus, ouvrez ses proprits au moyen du bouton situ proximit de son nom. Voici quelques-uns des panneaux de graphiques disponibles :
Historique des attaques rseau : permet dvaluer rapidement la situation relative aux attaques rseau sur une priode dtermine. Historique du placement des fichiers en quarantaine : compte tenu du fait quil nexiste pas de rapports sur les fichiers suspects, ce panneau de statistiques est le seul outil permettant dexaminer la situation en ce qui concerne les objets suspects dtects dans le rseau. Virus irrparables les plus rpandus : affiche les types de virus causant la plupart des problmes, ce qui est particulirement utile lorsque le systme de protection est dploy sur un rseau infect.
II122
II123
Requtes dvnements
Les informations prsentes dans les statistiques et les rapports sont dun niveau gnral. Par exemple, pour savoir pourquoi un fichier na pas t rpar, il est ncessaire dafficher des informations dtailles sur les vnements enregistrs lors du traitement de lobjet.
Requtes standard
Le premier endroit o rechercher des vnements est parmi les requtes du nud Evnements situ sous le nud Requtes dvnements et dordinateurs. Une requte dvnements est en fait un filtre enregistr affichant les vnements correspondant aux critres de recherche spcifis. Dans les requtes standards, les conditions de recherche sont simples : tous les vnements au cours des derniers jours, ou les vnements appartenant une des catgories suivantes : Derniers vnements : par dfaut, tous les vnements des 7 derniers jours (la priode peut tre modifie), Evnements critiques, Dfaillances de fonctionnement, Avertissements, Audit : une sous-catgorie dvnements dinformation comprenant les enregistrements des changements de la configuration du systme, Evnements dinformation.
II124
II125
Slection des vnements de dtection

Bien que les requtes standard filtrent les vnements par niveau de svrit, il se peut quil y ait encore beaucoup trop dvnements analyser. Dans ce cas, ladministrateur peut crer une requte avec des paramtres de recherche plus prcis. Il vous suffit dexcuter la commande Nouveau, Nouvelle requte dans le menu contextuel du nud Evnements et de spcifier le nom de la requte. Une nouvelle requte contient initialement tous les vnements des 7 derniers jours (cette priode peut tre modifie dans les proprits de la requte). Pour ne laisser dans la liste que les seuls vnements relatifs la dtection de virus, ouvrez la section Evnements dans les proprits de la requte et slectionnez les vnements correspondants dans la liste : Critique : Objet infect dcouvert Objet suspect dcouvert Rparation impossible Impossible de supprimer lobjet Erreur de traitement Interdit Le lien dhameonnage, ouverte prcdemment, a t dtecte Le processus est termin Impossible darrter le processus Attaque rseau dtecte Avertissement : Certains objets nont pas t traits Objet dissimul dtect Impossible de crer la copie de sauvegarde de lobjet Impossible de mettre lobjet en quarantaine Objet non trait Objet chiffr Objet endommag Lobjet sera supprim au redmarrage Lobjet sera rpar au redmarrage Une menace potentielle a t dtecte Info : Objet rpar Objet supprim La copie de sauvegarde de lobjet est cre Objet plac en quarantaine Objet cras par une copie rpare antrieurement Archive protge par mot de passe dtecte Lobjet sera plac en quarantaine au redmarrage Objet renomm La valeur du registre a t restaure La valeur du registre est supprime La slection de ces vnements permet de surveiller facilement les dtections de menaces et les vnements ultrieurs relatifs leur traitement.
II126
II127
vnements dordinateurs
Si des menaces sont souvent dtectes, une requte dvnements nest peut-tre pas la meilleure solution de suivi du traitement des objets. Les vnements relatifs diffrents incidents seront mlangs, ce qui gnera la comprhension des liens entre les vnements et les objets. Ladministrateur peut ouvrir la fentre Evnements dun poste client particulier et prendre connaissance des rsultats de traitement dun objet. Pour ouvrir la fentre vnements, cliquez sur Evnements dans le menu contextuel de lordinateur. Vous ne pouvez pas crer de requtes ce niveau-l mais vous pouvez filtrer les donnes en utilisant les mmes paramtres que dans les requtes. Vous pouvez galement effectuer un double clic sur un vnement pour en afficher la description dtaille.
II128
II129
Attaque de virus
En plus des vnements de dtection de menaces sur les ordinateurs administrs, Kaspersky Security Center dispose de lvnement de niveau serveur Attaque de virus. Cet vnement est enregistr lorsque de nombreux virus sont dtects dans le rseau sur une courte priode. Les paramtres denregistrement de lvnement Attaque de virus sont spcifis dans les proprits du Serveur dadministration. Une attaque de virus signifie que lpidmie peut se rpandre ou se rpand dj travers le rseau. Afin de prvenir toute nouvelle propagation du virus dans le rseau, il peut tre utile de renforcer provisoirement les paramtres de protection, en autorisant les connexions rseau aux seuls programmes de confiance par exemple. Pour cela, il est ncessaire de crer lavance une stratgie ayant des paramtres de protection stricts et de la dsigner dans les proprits de lvnement Attaque de virus : ouvrez les Proprits du Serveur dadministration et dans la section Attaque de virus, cliquez sur Configurer lactivation des stratgies suite Attaque de virus . Outre les stratgies, certaines tches peuvent tre dmarres lorsque lvnement Attaque de virus est enregistr (elles disposent dune option de planification spciale pour cela : Lors de la dtection dune attaque de virus). Par exemple, une tche peut mettre jour les bases de donnes antivirus sur le Serveur dadministration puis une tche enchane peut analyser les dossiers systme, la mmoire systme et les objets de dmarrage sur les ordinateurs administrs.
II130
II131
5.3 tats de traitement des menaces

Les statistiques, les rapports et les requtes dvnements sont utiles pour surveiller ltat de la protection du rseau. Cependant, pour prendre connaissance des informations quils prsentent, ladministrateur doit dabord ouvrir le rapport ou la requte correspondante. Pour que les incidents de virus restent en vidence, Kaspersky Security Center dispose dun indicateur de protection visible : les tats. Dans Kaspersky Security Center, un ordinateur peut avoir un de ces trois tats de protection : OK, Avertissement ou Critique. Les tats dterminent la couleur de licne de lordinateur dans la Console dadministration Kaspersky. Cela permet ladministrateur de remarquer facilement les ordinateurs qui posent problme en balayant les groupes du regard. Ltat OK correspond une icne verte, Avertissement une icne jaune, Critique une icne rouge. De plus, ltat est un des champs affichs proximit du nom de lordinateur sur longlet Ordinateurs, de sorte quil peut tre facilement observ.
II132
II133
tats relatifs au traitement des menaces

Il existe plusieurs critres dattribution dun tat un ordinateur, mais seulement deux dentre eux sont lis la dtection des logiciels malveillants : Des objets non-traits ont t dtects Beaucoup de virus ont t dtects
Des objets non-traits ont t dtects

Cet tat est attribu aux ordinateurs sur lesquels des programmes malveillants ont t dtects et nont pas t limins. Cet tat ne dpend pas des vnements transfrs de KES au Serveur dadministration. Les informations relatives aux objets non traits sont envoyes au serveur lors des synchronisations. La catgorie des objets non traits comprend des objets trs diffrents. Il peut sagir dun virus en mmoire qui contre activement les tentatives faites pour le supprimer. Cela peut tre un fichier malveillant dans une ancienne archive dtect par une tche danalyse la demande pour laquelle le traitement automatique des objets est dsactiv. Il peut galement sagir dun objet infect sur un lecteur rseau pour lequel KES na pas lautorisation dcriture qui lui permettrait de rparer ou de supprimer le fichier. En dautres termes, tout objet dangereux qui na pas t supprim ou rpar et se trouve toujours l o il a t dtect est considr comme non trait. Potentiellement, il peut reprsenter une infection active ncessitant lattention. Cest pourquoi un objet non trait est un incident potentiellement plus important que les virus dtects. Si tous les objets dtects sont supprims automatiquement, il ny a gnralement pas de problme. Par dfaut, un ordinateur sur lequel se trouve au moins un objet non trait est bascul en tat Avertissement. La valeur seuil pour cet tat, savoir le nombre dobjets non traits, peut tre augmente, mais na gure de sens. Par ailleurs, il peut tre judicieux de dsactiver ltat de niveau Avertissement et dactiver ltat au niveau Critique, tant donn que les objets non traits peuvent tre un motif srieux de proccupation. Pour rinitialiser cet tat, neutralisez les objets dtects. Si un objet ne peut tre dsinfect, par exemple parce quil ne peut pas tre ouvert, il suffit de supprimer lenregistrement correspondant de la liste des objets non traits dans linterface locale de KES et ltat changera.
Beaucoup de virus ont t dtects

Cet tat est li au paramtre compteur de virus. Chaque fois quun logiciel malveillant est dtect sur lordinateur, la valeur du compteur est augmente dune unit. La valeur du compteur est transfre au Serveur dadministration lors de la synchronisation. Ltat est activ si la valeur du compteur du virus dpasse le seuil spcifi. Par dfaut, ltat Beaucoup de virus rencontrs est dsactiv. Comme le compteur de virus ne peut quaugmenter, sans interfrence externe, la seule mthode pour changer cet tat est de rinitialiser le compteur manuellement. Pour cela, cliquez sur Toutes les tches, RAZ compteur de virus dans le menu contextuel.
II134
II135
tats globaux et requtes globales

Si au moins un ordinateur du rseau est bascul en tat Des Objets non-traits ont t dtects ou Beaucoup de virus ont t dtects, ltat global de la protection affich sur la page Dbut du fonctionnement change galement. La cause du changement dtat est affiche dans la mme zone. Sil existe des ordinateurs ayant les deux tats dans le rseau, la zone Protection affichera ltat Des Objets non-traits ont t dtects car cest le plus critique. proximit du message expliquant la cause du changement de ltat global, se trouve le lien Consulter les ordinateurs. Cliquez dessus pour ouvrir la requte des ordinateurs ayant le statut affich dans la zone Protection. Une requte est une liste temporaire dordinateurs slectionns selon un attribut. Les requtes standards, Des Objets non-traits ont t dtects et Beaucoup de virus rencontrs, tout comme les autres requtes, sont cres automatiquement lors de linstallation du Serveur dadministration. Vous pouvez excuter des actions de groupe sur les ordinateurs renvoys par une requte. Par exemple, vous pouvez excuter des tches de mise jour et de recherche, rinitialiser les compteurs de virus, dplacer les ordinateurs dans un groupe, etc. Ainsi, les requtes sont trs utiles lorsquil faut soccuper dordinateurs ayant un tat indiquant un problme.
II136
II137
5.4 Stockages
Stockages locaux
Stockage de sauvegarde
Avant que les objets malveillants ne soient supprims ou rpars, ils sont copis dans le stockage Sauvegarde. Cette copie est effectue par mesure de prcaution, au cas o un fichier supprim devrait tre restaur pour complment danalyse. Les copies sont stockes dans le dossier\ProgramData\Kaspersky Lab\KES8\QB de Kaspersky Endpoint Security. Les copies de fichiers dangereux sont codes, ce qui explique pourquoi le code malveillant quelles contiennent nest pas dtect lorsque le lecteur est analys par KES ou un autre antivirus. Les objets peuvent tre rcuprs ou supprims du stockage Sauvegarde. En outre, par dfaut, tous les objets sont automatiquement supprims de ce dossier aprs 30 jours. Pour modifier cette priode, modifiez la stratgie : ouvrez la section Rapports et stockages puis dans la zone Quarantaine et sauvegarde, modifiez le paramtre Supprimer les objets aprs. Pour la plupart des ordinateurs, il est suffisant de limiter le temps de stockage. Toutefois, si les objets du dossier occupent trop despace disque, vous pouvez galement activer le paramtre Taille maximale du stockage. La taille par dfaut du stockage est limite 100 Mo.
Quarantaine
Les objets suspects dtects sont mis en quarantaine. Habituellement, de tels objets sont malveillants, mais tant que les enregistrements correspondants ne sont pas ajouts la base de donnes de signatures, cela nest pas totalement sr. La Quarantaine est un stockage similaire au stockage Sauvegarde et se trouve dans le mme dossier sur le disque dur. Le temps de conservation des objets et la limite de taille du stockage sont spcifis pour les deux stockages simultanment. Comme certains objets suspects peuvent savrer inoffensifs, il peut tre utile de les vrifier nouveau aprs la mise jour des bases de donnes antivirus. Cela peut se faire automatiquement en activant la case cocher Analyser les fichiers en quarantaine aprs une mise jour situe proximit des options de limitation. Une autre possibilit est danalyser priodiquement et manuellement les objets en quarantaine. Ladministrateur peut galement rcuprer ou supprimer les objets en quarantaine dune manire similaire aux oprations pratiques dans le stockage Sauvegarde. De plus, ladministrateur peut mettre manuellement un objet en quarantaine si celui-ci semble suspect. Cela simplifie la surveillance de lobjet. Il sera analys nouveau aprs chaque mise jour et si les nouvelles bases de donnes permettent dy dtecter un code malveillant, ladministrateur en sera immdiatement inform.
II138
II139
Fichiers avec un traitement diffr

Les objets dtects mais non rpars sont appels objets avec un traitement diffr. Leurs niveaux de risque varient largement. Il peut sagir dun virus dans la mmoire systme bloquant les tentatives de supprimer son fichier du disque dur ou un fichier malveillant dtect dans une archive lors dune analyse la demande et pour lequel laction Ignorer a t slectionne. La liste des objets non traits nest pas un stockage similaire aux stockages Sauvegarde ou Quarantaine. Les objets dtects restent leurs emplacements respectifs et la liste affiche uniquement les informations les concernant. Si vous voulez essayer de rparer ou de supprimer un objet non trait, cliquez sur Nouvelle analyse dans son menu contextuel. Cette tentative peut aboutir si lobjet est considr comme un objet non trait parce que laction Ignorer lui a t applique. Mais si cest un virus en mmoire, il est possible que ni la rparation, ni la suppression ne russissent. Dans ce cas, ladministrateur peut ouvrir lemplacement o se trouve le fichier en utilisant la commande Ouvrir le dossier dorigine du fichier et essayer de le traiter au moyen dutilitaires spciaux. Une autre action disponible, Supprimer, peut tre applique aux objets quil est impossible de traiter au moyen de Kaspersky Endpoint Security pour une autre raison. Par exemple, si lobjet se trouve dans un dossier rseau pour lequel lantivirus na pas dautorisation dcriture.
II140
II141
Stockages centraliss
Modle dadministration
Il serait fastidieux de traiter les objets non traits et les objets des stockages uniquement au niveau local. Dautre part, si tous les objets taient envoys vers le stockage du Serveur dadministration, cela susciterait un surcrot de trafic et entranerait des besoins supplmentaires en matire despace disque sur le Serveur. Kaspersky Security Center utilise une autre approche : seules les informations relatives aux stockages locaux et aux objets non traits sont envoyes vers le Serveur afin que ladministrateur puisse consulter les dtails relatifs ces objets dans la Console dadministration Kaspersky et lancer des commandes pour les traiter. Pour leur part, les commandes sont envoyes au poste client concern, sur lequel elles sont excutes. Lenvoi dinformations relatives aux objets locaux est contrl par la stratgie de Kaspersky Endpoint Security. La section Rapports et stockages permet de slectionner les types dinformations envoyer au Serveur dadministration ainsi que les paramtres de limitation de la taille du stockage et de la dure de conservation des objets. La zone est nomme Informer le Serveur dadministration et ses paramtres permettent dactiver ou de dsactiver de manire indpendante lenvoi dinformations pour chaque catgorie dobjets : Objets en quarantaine Objets de la sauvegarde Fichiers avec un traitement diffr Les fichiers avec un traitement diffr sont appels objets non traits dans linterface locale. La seule diffrence porte sur leur nom. Ce sont en fait les mmes objets. Dans la stratgie standard, lenvoi dinformations est activ pour tous les objets. Lenvoi dinformations sur les objets des stockages des versions plus anciennes de Kaspersky Anti-Virus est configur dans la stratgie de lAgent dadministration, dans la zone spciale Paramtres de compatibilit avec la version 6.0 MP3 de la section Stockages.
II142
II143
Affichage des objets

Dans la Console dadministration Kaspersky, les informations sur les objets locaux sont affiches dans le nud Stockages. Chaque catgorie dobjets dispose dun stockage correspondant : Copie de sauvegarde, Quarantaine et Fichiers avec un traitement diffr. La Console affiche plus dinformations sur les objets que linterface locale. Par dfaut, les donnes suivantes sont affiches pour chaque objet : Ordinateur sur lequel lobjet a t dtect et est stock, Nom du fichier (de lobjet), tat de lobjet, par exemple Infect, Suspect ou Ajout par lutilisateur, Action en cours, si ladministrateur a lanc une commande pour analyser, rcuprer ou supprimer lobjet, Date de placement de lobjet dans le stockage (ou sur la liste, sil sagit de fichiers avec un traitement diffr qui ne sont dplacs nulle part), Nom du virus, Taille de lobjet, en octets, Chemin de restauration, cest--dire le chemin daccs complet vers lemplacement dorigine de lobjet, Utilisateur connect au systme lors de la dtection de lobjet, Description ajoute par ladministrateur pour cet objet dans la Console dadministration Kaspersky. La description peut tre ajoute dans la fentre de proprits de lobjet. De plus, cette fentre prsente lintgralit des informations sur lobjet de manire compacte.
Traiter les objets

La Console dadministration permet dappliquer aux objets les mmes actions que linterface locale. La commande est transfre au poste client et laction en cours est affiche dans la colonne correspondante jusqu rception des rsultats de la commande. Abordons maintenant les actions qui ne peuvent tre effectues partir de la Console. Tout dabord, vous ne pouvez pas mettre un fichier en quarantaine manuellement. Toutefois, vous pouvez le faire dans linterface locale de lantivirus. Ensuite, vous ne pouvez pas analyser un fichier en quarantaine spcifique. Vous ne pouvez analyser que lensemble des objets en quarantaine sur lordinateur. En fait, la commande Analyser les objets en quarantaine lance la tche systme danalyse du stockage Quarantaine. Cest une tche masque dmarrant galement aprs la mise jour si la case cocher correspondante est active. Cette tche nest visible ni dans linterface locale, ni dans la Console dadministration Kaspersky. Son existence ne peut tre constate que dans les rapports locaux. En outre, vous ne pouvez pas ouvrir le dossier contenant un fichier non trait. Toutefois, certaines actions susceptibles dapporter des informations supplmentaires sur un objet dplac dans le stockage sont disponibles dans la Console. Ces actions sont Passer lordinateur et Proprits de lordinateur. La premire permet douvrir le groupe auquel appartient lordinateur ayant lobjet correspondant. La seconde permet douvrir les proprits de cet ordinateur sans quitter le stockage. Laction effectuer dpend de la situation. Depuis les proprits de lordinateur, vous pouvez ouvrir la liste des derniers vnements de cet ordinateur et examiner le contexte de lincident. Ceci est particulirement important pour les fichiers non traits. Si les
II144
vnements de lordinateur indiquent que la commande Ignorer a t applique au fichier, il vous suffira de lancer la commande Rparer. Dautre part, si les vnements indiquent que la rparation et la suppression ont dj t tentes, mais sans rsultat, il sagit certainement dune infection active et lincident requiert une attention particulire.
II145
II146
Chapitre 6. Diagnostics de ltat de la protection

Les principaux outils de surveillance de ltat gnral de la protection sont les tats et leurs requtes, rapports et statistiques respectives. Outre les tats relatifs la dtection des menaces, il existe dautres tats dordinateurs significatifs de leur protection. Ltat dun poste est dtermin sur la base des informations transfres lors de la synchronisation avec le Serveur dadministration et ne dpend pas des vnements 22.
6.1 tats des ordinateurs et tats globaux

tats possibles
Comme nous lavons indiqu prcdemment, les ordinateurs ne prsentant aucun problme de protection ont un tat OK. Si des conditions montrant un fonctionnement anormal de la protection sont vrifies, lordinateur voit son tat basculer sur Critique ou Avertissement. Les critres relatifs aux tats sont configurs dans les proprits du nud Ordinateurs administrs. Les conditions suivantes sont utilises pour dfinir ltat dun ordinateur : Kaspersky Anti-Virus non install, Beaucoup de virus ont t dtects, Ltat de la protection en temps rel est diffrent de celui dfini par ladministrateur, La recherche de virus na pas t excute depuis longtemps, Les bases sont dpasses, Ne sest pas connect depuis longtemps, Des objets non-traits ont t dtects, Redmarrage requis, Application incompatible installe, Vulnrabilits dtectes dans les applications, La dure de validit de la licence est coule, La recherche de mises jour Windows na pas eu lieu depuis longtemps, Contrle perdu, La protection est inactive, Kaspersky Anti-Virus nest pas en excution.
22
Sauf pour ltat Beaucoup de virus rencontrs.
II147
II148
La plupart des conditions sont claires. Beaucoup de virus ont t dtects et Des objets non-traits ont t dtects ont t dcrites dans le chapitre prcdent. Certaines autres conditions ncessitent des explications. La recherche de virus na pas t excute depuis longtemps. Lanalyse mentionne ici fait rfrence lanalyse des zones critiques, savoir : Mmoire systme Objets utiliss lors du dmarrage Secteurs de dmarrage Dossiers : %systemroot%\ %systemroot%\system\ %systemroot%\system32\ %systemroot%\system32\drivers\ %systemroot%\syswow64\ %systemroot%\syswow64\drivers\
o %systemroot% est une variable systme spcifiant le chemin daccs au dossier Windows. La tche prcise analysant les zones spcifies na pas dimportance. Cela peut tre une tche locale prdfinie lance manuellement par lutilisateur, une tche de groupe standard ou toute autre tche danalyse dont ltendue comprend les objets ci-dessus. Redmarrage requis. KES peut ncessiter un redmarrage pour diverses raisons. Par exemple, pour terminer une installation, complter une mise jour ou neutraliser une infection active. Parfois, le produit peut ne pas fonctionner correctement sans un redmarrage pralable de lordinateur et cela peut constituer un problme grave dont ladministrateur doit avoir conscience. Contrle perdu. Cet tat attribu un ordinateur si lAgent dadministration y est install (selon les informations disponibles sur le Serveur dadministration), mais si la connexion cet Agent dadministration choue alors que lordinateur est visible dans le rseau. La mme condition peut tre utilise pour attribuer les tats Avertissement et Critique. La diffrence rside dans les valeurs de seuil. Par exemple, la valeur de la condition La recherche de virus na pas t excute depuis longtemps peut tre gale 7 jours pour ltat Avertissement et 14 jours pour ltat Critique.
II149
II150
Hritage des conditions dtat

Il nest pas toujours appropri dutiliser les mmes conditions pour tous les ordinateurs. Par exemple, sur des ordinateurs appartenant un sous-rseau interne protg et sans accs direct lInternet, la dtection dun seul virus est un incident de scurit grave, alors que sur des ordinateurs servant une navigation Internet intensive, plusieurs dtections par jour sont tout fait ordinaires. Un autre exemple : certains ordinateurs ne satisfont pas aux exigences du systme et leur protection en temps rel nest donc pas assure. Seul un module de recherche de virus planifie y est install. Pour ces ordinateurs, un tat conditionn par la dsactivation de la protection est absurde, alors quil est important pour dautres ordinateurs. Dans ce genre de cas, vous pouvez spcifier des conditions dtat diffrentes pour diffrents groupes. Les proprits de nimporte quel groupe comprennent longlet Etat du poste. Par dfaut, les sous-groupes hritent des paramtres dtat du groupe parent, mais la case cocher Hrite peut tre dsactive et les paramtres reconfigurs.
Relation entre tats des ordinateurs et tat gnral de la protection

Ltat gnral affich dans la zone Protection de la page Dbut du fonctionnement dpend directement de ltat de la protection de chaque ordinateur. Sil existe des ordinateurs en tat Critique dans le rseau, ltat gnral de la protection est galement Critique et lindicateur est rouge. Sil nexiste pas dordinateurs en tat Critique dans le rseau, mais si certains ordinateurs ont un tat Avertissement, ltat gnral de la protection est galement Avertissement et lindicateur est jaune. Ltat gnral est OK uniquement si tous les ordinateurs ont ltat OK. Si ltat gnral nest pas OK, sa description contient le nombre dordinateurs qui posent problme et la condition qui a provoqu ltat. Si les raisons des problmes signals sont diverses, la description gnrale naffiche que lune dentre elles (la plus grave). Si le principal problme est rsolu et sil y a encore dautres problmes dans le rseau, la description indiquera une autre raison. Le lien Consulter les ordinateurs apparaissant lorsque ltat gnral nest pas OK, ouvre la requte renvoyant les ordinateurs dont ltat nest pas OK pour la raison indique dans la description de ltat gnral.
Comment vnements et tats son lis

Certains vnements et tats se font miroir. Par exemple, lvnement Bases de donnes obsoltes et ltat Bases de donnes primes, lvnement Priode de validit de la licence expire et ltat Licence expire, lvnement Un objet malveillant a t identifi et ltat Les bases sont dpasses. Dans Kaspersky Security Center, les tats des ordinateurs sur le Serveur ne dpendent pas des vnements transfrs. Mme si le transfert des vnements est entirement dsactiv, les informations dtat seront nanmoins transfres depuis les postes clients.
II151
II152
6.2 Requtes dtat des ordinateurs

Les requtes dordinateurs, tout comme les requtes dvnements, sont des paramtres de recherche sauvegards. Si vous ouvrez une requte, tous les ordinateurs remplissant les conditions spcifies sont affichs dans le panneau de dtails. La Console dadministration Kaspersky comporte une vaste palette de requtes standard, chacune affichant les ordinateurs prsentant un problme de protection particulier. En fait, les requtes standard correspondent aux conditions dtat de la protection : Ordinateurs avec lindicateur dtat Critique Ordinateurs avec lindicateur dtat Attention Les bases sont dpasses Kaspersky Anti-Virus non install Beaucoup de virus ont t dtects Nouveaux ordinateurs dans le rseau Ne sest pas connect depuis longtemps La recherche de virus na pas t excute depuis longtemps Contrle perdu La protection est inactive Des objets non-traits ont t dtects Ordinateurs non dfinis avec lagent dadministration
Il nexiste pas de requtes standard pour les tats Ltat de la protection en temps rel est diffrent de celui dfini par ladministrateur, Redmarrage requis et quelques autres tats. En outre, il existe une requte supplmentaire qui ne correspond aucune condition dtat de la protection : Ordinateurs non dfinis avec Agent dadministration. Les tats de protection ne sont pas attribus aux ordinateurs non dfinis. Veuillez remarquer que si des ordinateurs connects (cest--dire les ordinateurs sur lesquels lAgent dadministration est install et en cours dexcution) se trouvent parmi les ordinateurs non dfinis, ils doivent tre dplacs vers un groupe dordinateurs administrs pour que les stratgies et les tches de groupe puissent sappliquer eux. Dans les requtes, les ordinateurs sont affichs de la mme manire que dans les groupes dadministration. De plus, les mmes outils dadministration peuvent tre utiliss : le menu contextuel et le panneau de tches contiennent les mmes commandes que celles qui sont disponibles dans les groupes. Les conditions de recherche ne peuvent tre modifies dans les requtes standard. Toutefois, ladministrateur peut crer des requtes supplmentaires et les configurer afin quelles affichent les ordinateurs voulus.
II153
II154
6.3 Statistiques et Rapport sur ltat de la protection

Outre les requtes, les statistiques et le Rapport sur ltat de la protection sont bass sur les tats des ordinateurs. Le rapport affiche le nombre dordinateurs du rseau par tat de protection. Le rapport considre tous les tats des ordinateurs et non seulement les plus critiques. Si vous cliquez sur un nom dtat dans le tableau Rcapitulatif ou dans le tableau Dtails, une fentre de navigateur souvre et prsente le rapport sur tous les ordinateurs ayant cet tat. Sur longlet Statistiques, la page tat de protection affiche les graphiques suivants : Etat actuel des ordinateurs Historique de ltat des ordinateurs tat de la protection en temps rel : la protection est considre comme active si au moins un composant de protection ou de contrle est activ. Diffusion des ordinateurs selon les niveaux de vulnrabilit : affiche la distribution des ordinateurs par niveau de svrit des vulnrabilits dapplications dtectes. Un autre panneau, non affich par dfaut mais potentiellement intressant pour ladministrateur : Etat actuel de la protection antivirus : la protection est considre comme active si au moins un composant de protection ou de contrle est activ. Les composants de contrle ne sont pas pris en compte dans ce graphique.
II155
II156
6.4 Normalisation des tats

Afficher la raison dun changement dtat
Ltat dtermine la couleur de licne dun ordinateur. Cependant, bien que certaines icnes aient la mme couleur, un tat peut changer pour diverses raisons. Les dtails relatifs la raison du changement dtat sont affichs dans la section Protection des proprits de lordinateur. Celle-ci contient la liste des conditions que lordinateur doit satisfaire pour que son tat soit normalis. En outre, les informations suivantes sont disponibles : tat de la protection en temps rel de lordinateur, date et heure de la dernire analyse complte effectue, compteur des virus trouvs. Ces indicateurs suivent la liste des conditions et sont tris par ordre dimportance de changement dtat. Ces donnes aident ladministrateur comprendre limportance du problme. Outre les paramtres ci-dessus, les conditions dpendent des lments suivants : tat gnral du produit (en excution/inactif), date et heure de la dernire mise jour, date dexpiration de la licence. Ces donnes peuvent tre trouves dans les proprits de Kaspersky Endpoint Security. Pour les consulter, ouvrez longlet Applications, slectionnez Kaspersky Endpoint Security 8.0 for Windows dans la liste et cliquez sur le bouton Proprits. Longlet Gnral affiche ltat du produit et les informations suivantes relatives la base de donnes de signatures utilise : date de cration, nombre denregistrements, date et heure de la dernire mise jour. Les informations relatives la cl (ou aux cls si une cl de sauvegarde est installe) sont disponibles sur longlet correspondant. Vous pouvez y voir quand expire la cl de licence de lordinateur slectionn. Comme lexpiration de la licence dpend de la date dactivation, la date dexpiration dune mme cl peut varier dun ordinateur lautre.
II157
II158
Comment rinitialiser les tats

Si un ordinateur est en tat Avertissement ou Critique, ladministrateur doit traiter la situation et rinitialiser ltat de lordinateur OK. Pour rinitialiser la plupart des tats, il suffit dliminer la raison du changement dtat. Par exemple, si la condition La protection est inactive est prsente, activez la protection. Si les bases de donnes sont primes, mettez-les jour. Si des objets non traits sont prsents, traitez-les. Ltat de lordinateur sera mis jour sur le Serveur dadministration lors de la prochaine synchronisation.
Dmarrage de Kaspersky Endpoint Security distance

Ltat Kaspersky Anti-Virus nest pas en excution est un des tats de protection les plus critiques. Pour rsoudre ce problme, lancez la commande de lAgent dadministration permettant de dmarrer Kaspersky Endpoint Security, depuis longlet Applications des proprits de lordinateur par exemple. Une autre mthode pour dmarrer KES est la tche Lancement et arrt de lapplication. Cette tche est une tche avance de Kaspersky Security Center qui peut tre cre pour les groupes et pour les slections dordinateurs. Une tche de groupe est trs pratique si lvnement Attaque de virus est enregistr. Elle peut dmarrer la protection sur tous les ordinateurs du rseau au cas o la protection est arrte sur certains ordinateurs. Une tche pour les slections dordinateurs peut tre plus adapte aux corrections dtats. Vous pouvez crer une requte pour les ordinateurs sur lesquels Kaspersky Endpoint Security nest pas en cours dexcution et une tche pour les slections dordinateurs afin de dmarrer la protection.
II159
II160
III1
Unit III. Contrle
Unit III. Contrle

Chapitre 1. Contrle des applications ......................................................................... 4 1.1 Contrle du lancement des applications.................................................................................................................. 4 Principes de fonctionnement .................................................................................................................................. 4 Paramtres ............................................................................................................................................................. 6 Rsultats du contrle de dmarrage..................................................................................................................... 18 Scurisation renforce du contrle de dmarrage ............................................................................................... 20 1.2 Contrle de lactivit des applications .................................................................................................................. 22 Principes de fonctionnement ................................................................................................................................ 22 Catgorisation automatique ................................................................................................................................. 22 Spcificits des stratgies ..................................................................................................................................... 25 Interaction avec les programmes ......................................................................................................................... 27 Accs aux ressources ........................................................................................................................................... 29 Renforcer le contrle de lactivit des applications ............................................................................................. 31 Configurer les exclusions ..................................................................................................................................... 33 Chapitre 2. Contrle des priphriques ..................................................................... 35 2.1 Ce qui peut tre bloqu et comment...................................................................................................................... 35 2.2 Paramtres complmentaires ................................................................................................................................ 39 2.3 Priphriques de confiance ................................................................................................................................... 41 2.4 Accs temporaire .................................................................................................................................................. 43 Comment envoyer une demande........................................................................................................................... 43 Comment crer un code dactivation ................................................................................................................... 45 Comment activer un accs temporaire ................................................................................................................. 47 2.5 Configurer les interactions avec lutilisateur ........................................................................................................ 49 2.6 Contrle daccs aux priphriques interdits ........................................................................................................ 51 Chapitre 3. Contrle Internet ..................................................................................... 55 3.1 Critres de blocage................................................................................................................................................ 55 3.2 Configurer des exclusions et des serveurs de confiance ....................................................................................... 61 3.3 Diagnostics et tests................................................................................................................................................ 63 3.4 Configurer les interactions avec lutilisateur ........................................................................................................ 65 3.5 Statistiques de Contrle Internet ........................................................................................................................... 69 3.6 Rapport du Contrle Internet ................................................................................................................................ 71 3.7 Contrle Internet en dehors du rseau de lentreprise ........................................................................................... 71 Chapitre 4. Corriger les vulnrabilits ....................................................................... 73 4.1 Corriger les vulnrabilits de Windows ................................................................................................................ 73 Dtecter les vulnrabilits.................................................................................................................................... 73 Corriger les vulnrabilits ................................................................................................................................... 77 4.2 Corriger la vulnrabilit des programmes ............................................................................................................. 79 Analyse des vulnrabilits des programmes ........................................................................................................ 79 Corriger les vulnrabilits ................................................................................................................................... 89
III2
Outre la protection antivirus, KES dispose de composants de contrle permettant de limiter les actions nuisibles aux ordinateurs ou lentreprise en gnral. Principalement, le contrle des applications peut tre utilis pour interdire jeux, films et autres activits sans grand rapport avec le travail. Le contrle des priphriques permet ladministrateur de mettre lutilisation de divers priphriques en conformit avec la politique de lentreprise. En particulier, le blocage des disques amovibles entrave considrablement la copie non autorise des donnes. Linterdiction de connecter des tlphones mobiles et des lecteurs audio permet de rduire la tentation dcouter et de copier de la musique. De mme, les connexions Wi-Fi et les cartes rseau externes peuvent tre bloques. Si les connexions rseau sont autorises, elles peuvent tre contrles par le contrle Internet, lequel permet de restreindre laccs aux rseaux sociaux et aux interfaces de courrier lectronique extrieures lentreprise, les communications avec les agences de recrutement ou la navigation sur les sites de recherche demploi. En outre, Kaspersky Security Center 8 comporte un module permettant de surveiller distance vulnrabilits des programmes installs sur les postes clients et dy apporter des correctifs en temps opportun.
III3
Unit III. Contrle
III4
Chapitre 1. Contrle des applications

Le contrle des applications permet dappliquer la stratgie de scurit et la stratgie de consommation des ressources de la socit en contrlant les programmes dmarrs sur les postes clients. Simultanment, le contrle des applications diminue le risque dinfection des ordinateurs, la surface dattaque et les dgts causs par les logiciels malveillants si les ordinateurs sont infects. Dans KES, deux composants contrlent les applications : Contrle du lancement des applications Contrle de lactivit des applications
1.1 Contrle du lancement des applications

Principes de fonctionnement
Le contrle du lancement des applications permet ladministrateur de restreindre le dmarrage des programmes sur les postes client. Les autorisations de dmarrage des programmes sont spcifies dans des rgles spciales. Lorsquun programme dmarre, les conditions suivantes sont vrifies : la catgorie laquelle appartient le programme, le compte dmarrant le programme, les rgles rgissant le dmarrage pour cette catgorie de programme et pour ce compte. Si au moins une rgle autorisant le dmarrage du programme est satisfaite et si aucune rgle de blocage nest satisfaite, le dmarrage est autoris. Sil nexiste pas de rgles dautorisation ou sil existe la fois des rgles dautorisation et de blocage de dmarrage de programmes pour ce compte et cette catgorie, le dmarrage est interdit.
III5
Unit III. Contrle
III6
Paramtres
Les paramtres de Contrle du lancement des applications sont organiss de la manire suivante : Catgorie de programme : spcifie au niveau du Serveur dadministration dans le conteneur Applications et vulnrabilits, Catgories des applications Liste des rgles : spcifie au niveau du groupe dordinateurs dans la stratgie de KES
Catgories dapplications
Une catgorie dapplications est un ensemble dattributs permettant didentifier un programme ou un groupe de programmes. La liste des catgories dapplications est affiche dans le conteneur correspondant. Elle est vide par dfaut. Les nouvelles catgories sont cres au moyen dun assistant spcial. Il existe deux types de catgories : Remplies manuellement : les paramtres des programmes appartenant cette catgorie sont spcifis manuellement. Remplies automatiquement : ladministrateur slectionne uniquement le rpertoire dans lequel se trouvent les fichiers excutables des programmes appartenant cette catgorie. Lorsque le Serveur dadministration est redmarr, il vrifie ce rpertoire, calcule les sommes de contrle des fichiers excutables (MD5) et les ajoute la liste des critres de la catgorie. Le contenu dune catgorie automatiquement remplie est mis jour lorsque le contenu du dossier source change (fichiers excutables supprims ou ajouts). Vous pouvez galement planifier une mise jour de catgorie.
III7
Unit III. Contrle
III8
En ce qui concerne les catgories remplies manuellement, les conditions relatives aux programmes sont spcifies dans la liste. Chaque condition peut contenir plusieurs paramtres. Si un programme remplit au moins une condition, il est inclus dans la catgorie. Les conditions peuvent tre dfinies en utilisant diverses mthodes : Hachage MD5 des fichiers du dossier : la somme de contrle renvoye par la fonction de hachage MD5 permet didentifier le fichier sans ambigut (les sommes de contrle de fichiers diffrents sont diffrentes). Donnes mta: nom de fichier, version, nom du programme et diteur. La version na pas besoin dtre spcifie exactement. Vous pouvez slectionner tous les fichiers plus anciens ou plus rcents que la version spcifie. Dossier de lapplication : chemin daccs au dossier contenant les fichiers excutables du programme. Type de moyen : paramtre spcial permettant de crer une catgorie distincte pour les fichiers dmarrs partir dun support amovible.
III9
Unit III. Contrle
III10
Catgorie KL : catgorie dapplications selon la classification Kaspersky Lab (par exemple : navigateurs, jeux, pilotes ou autres). Au dmarrage dun programme, sa catgorie KL est dfinie en fonction dune base de donnes spciale mise jour simultanment aux autres bases de donnes de KES 8 1. Si les informations relatives aux programmes sont absentes des bases de donnes, sa catgorie peut tre dfinie par une requte envoye KSN. Si lInternet est inaccessible ou si aucune information sur le programme nest disponible dans KSN, lapplication sera incluse dans la catgorie Autres programmes. Ladministrateur peut spcifier la somme de contrle du fichier ou les mtadonnes par plusieurs mthodes : partir du Registre des applications : permet la slection dune application dans la liste des programmes installs sur les postes clients. LAgent dadministration recueille les informations sur les programmes installs dans le Registre et les transfre au Serveur dadministration. Dans la Console dadministration, la liste des applications dtectes est affiche dans le conteneur Applications et vulnrabilits, Registre des applications. Un programme de cette liste peut tre slectionn en tant que source de donnes seulement si la liste des fichiers excutables du Serveur dadministration (voir ci-dessous) contient le fichier correspondant. partir de la liste des fichiers excutables : la liste des fichiers qui ont dj t dmarrs au moins une fois sur les postes clients. Les composants Contrle du lancement des applications et Contrle de lactivit des applications, ainsi quune tche dinventaire spciale recueillent des informations sur les fichiers. Les donnes sont transfres au Serveur dadministration lors des synchronisations. La liste des fichiers est affiche dans le conteneur Applications et vulnrabilits, Fichiers excutables. Daprs les proprits du fichier les fichiers dans le dossier : vous pouvez ajouter la liste des conditions une somme de contrle, les mtadonnes dun fichier particulier ou les mtadonnes de tous les fichiers situs dans le dossier spcifi. partir des proprits dun fichier MSI : permet dajouter la liste des conditions les sommes de contrle ou les mtadonnes des fichiers spcifis dans les proprits du paquet dinstallation MSI.
La liste des catgories KL tant tlcharge avec les mises jour, elle sera vide jusqu la premire mise jour russie du Serveur dadministration.
III11
Unit III. Contrle
III12
Exclusions de catgories
Sil est ncessaire dinterdire tous les programmes qui remplissent des conditions spcifies lexception dun seul, vous devrez crer une exclusion dans la catgorie. Les exclusions sont galement spcifies au moyen de la liste de conditions. Les programmes qui remplissent au moins une condition dexclusion ne seront pas inclus dans la catgorie.
Inventaire
Spcifier des conditions de catgorie au moyen des sommes de contrle ou des mtadonnes est trs pratique. Toutefois, pour recevoir des informations sur un fichier, celui-ci doit tre soit disponible dans le systme de fichiers du serveur (localement ou dans un dossier rseau) ou sexcuter sur un poste client. Il est peu pratique de donner au Serveur dadministration accs tous les fichiers ou dattendre que ceux-ci soient dmarrs. Pour viter un travail ou une attente inutile, ladministrateur peut excuter une tche spciale : Inventaire. Cest une tche de KES qui peut tre cre pour les groupes et les requtes dordinateurs. Avec ses paramtres standards, la tche recherche les fichiers excutables dans les rpertoires suivants : %SystemRoot% %ProgramFiles% %ProgramFiles(x86)% La liste des dossiers peut tre modifie. Les informations relatives aux fichiers dcouverts sont envoyes au Serveur dadministration et sont disponibles dans le conteneur Fichiers excutables.
III13
Unit III. Contrle
III14
Rgles de Contrle du lancement des applications

Ladministrateur peut crer des rgles de contrle de dmarrage des applications fondes sur les catgories spcifies. Une rgle contient les paramtres suivants : Catgorie dapplications : une catgorie dans la liste disponible sur le Serveur dadministration. Une stratgie peut contenir une seule rgle pour chaque catgorie. Utilisateurs autoriss dmarrer les programmes de cette catgorie : la liste des utilisateurs locaux ou du domaine et des groupes qui sont autoriss dmarrer les programmes appartenant la catgorie slectionne. Si plusieurs entits doivent tre spcifies, sparez-les par des virgules. Utilisateurs pour lesquels le dmarrage de programmes de cette catgorie est interdit : ce paramtre dfinit la liste des utilisateurs et des groupes qui nont pas lautorisation de dmarrer les programmes. Programmes de mise jour de confiance : prcise si le programme doit tre considr ou non comme une source de mises jour de confiance 2. La liste des rgles est spcifie dans la stratgie de KES, dans la section Contrle du lancement des applications. Initialement, la liste contient deux rgles standard qui ne peuvent tre supprimes : Tout autoriser : une rgle autorisant le dmarrage de tous les programmes. La rgle est active par dfaut. La dsactiver est dangereux et peut avoir pour rsultat une dfaillance du systme dexploitation sur les postes clients si des rgles dautorisation alternatives ne sont pas configures. Programmes de mise jour des applications de confiance : si la rgle est active, les applications installes par les programmes de mise jour de confiance ne seront pas bloques, mme sil nexiste pas de rgles dautorisation les concernant. Cest une catgorie KL spciale qui comprend les programmes tlchargeant et installant les mises jour de modules, Adobe Updater par exemple. La rgle est dsactive par dfaut : elle est utilise uniquement dans un mode spcial de Contrle du lancement des applications dcrit plus bas. Systme dexploitation et ses modules : cette catgorie contient les fichiers excutables dont le systme dexploitation a besoin ainsi que les fichiers excutables dapplications tierces profondment intgres au systme. En plus des tats de rgles Activ et Dsactiv , il existe un tat Test . Dans ce mode, la rgle ne bloque pas le dmarrage du programme. Lorsque ce mode est activ, il ne gnre que des vnements Dmarrage de lapplication interdit en mode test ou Dmarrage de lapplication autoris en mode test.
Cette option est dcrite en dtail plus loin dans ce chapitre.
III15
Unit III. Contrle
III16
Modles de notifications et de requtes

Lorsque le dmarrage dun programme est bloqu sur un poste client, KES affiche une fentre contextuelle signalant que le programme a t bloqu afin que lutilisateur ne soit pas induit en erreur sur la raison du comportement du programme. Si lutilisateur a besoin dutiliser ce programme dans son travail, la notification contextuelle permet denvoyer une demande dautorisation de dmarrage du programme ladministrateur. Lutilisateur doit cliquer sur le lien Rclamation situ dans la fentre de notification, puis cliquer sur le bouton Envoyer. Le texte de la notification contextuelle, ainsi que celui de la demande dautorisation de dmarrage dun programme peuvent tre modifis dans la stratgie de KES. Vous pouvez y utiliser des variables fournissant des informations sur un vnement spcifique tel que le nom du programme bloqu, lordinateur sur lequel lvnement a t enregistr, etc.
III17
Unit III. Contrle
III18
Rsultats du contrle de dmarrage

Requte Demandes des utilisateurs
Une requte dvnements standards, Requtes des utilisateurs, contient les vnements Rclamation relative linterdiction du lancement de lapplication enregistrs au cours des 7 derniers jours. Lvnement en question comprend le texte de la demande et est enregistr lorsque lutilisateur envoie une demande dautorisation de dmarrage. Par consquent, lvnement contient des informations compltes sur lordinateur, lutilisateur et le programme sur lequel porte la demande dautorisation, cest--dire toutes les informations dont ladministrateur a besoin pour prendre une dcision. Un utilisateur peut avoir un besoin urgent dutiliser un programme bloqu. Cest pourquoi, si ladministrateur ouvre rarement lvnement Requtes des utilisateurs, il peut tre utile de configurer une notification par courrier lectronique pour lvnement Rclamation relative linterdiction du lancement de lapplication. Ainsi, ladministrateur pourra traiter une demande immdiatement aprs son envoi, condition de consulter son courrier lectronique en temps opportun.
vnements
Contrle du lancement des applications gnre cinq types dvnements : Dmarrage de lapplication interdit Rclamation pour blocage du dmarrage dune application Dmarrage de lapplication autoris Dmarrage de lapplication interdit en mode test Dmarrage de lapplication autoris en mode test
Par dfaut, tous les vnements sauf Dmarrage de lapplication autoris sont transfrs au Serveur dadministration.
Rapport sur les dmarrages bloqus

Sur la base de lvnement Dmarrage de lapplication interdite, Kaspersky Security Center gnre un Rapport sur les dmarrages bloqus affichant la distribution du nombre de dmarrages bloqus sur les postes clients par application. Cliquez sur le nom du programme dans le tableau rcapitulatif pour ouvrir un autre rapport contenant des informations sur tous les ordinateurs o le dmarrage de ce programme a t bloqu.
III19
Unit III. Contrle
III20
Scurisation renforce du contrle de dmarrage

Comme nous lavons mentionn prcdemment, la liste des rgles de Contrle du lancement des applications comprend une rgle permettant tous les utilisateurs de dmarrer tous les programmes. Ladministrateur peut ajouter des rgles interdisant le dmarrage de catgories dapplications particulires des utilisateurs particuliers. Les nouveaux programmes non inclus dans les catgories existantes seront autoriss. Dans la plupart des cas, lapproche dcrite est optimale et permet dviter les activits non dsires sans causer de gne srieuse pour les utilisateurs. Toutefois, la stratgie de scurit peut requrir que tous les programmes, lexception de ceux spcifis dans la liste, soient interdits dans certains segments du rseau ou mme dans toute lentreprise. Dans ce cas, il est ncessaire de configurer des rgles dautorisation conformment la stratgie de scurit et de dsactiver la rgle Tout autoriser. Ensuite, tous les programmes ne remplissant pas les conditions dautorisation seront bloqus. Lorsque le dmarrage des nouveaux programmes est interdit par dfaut, le principal problme est celui du dysfonctionnement du systme dexploitation, parce que les fichiers systme qui ne sont pas explicitement autoriss seront bloqus tout comme les autres programmes. Diverses configurations de rgles dautorisation sont possibles. Il sera ncessaire de crer une ou plusieurs catgories pour les fichiers excutables du systme et de configurer leur intention des rgles dautorisation au moyen dune des mthodes suivantes : Crer une catgorie remplie automatiquement et spcifier le rpertoire dun systme dexploitation standard en tant que dossier source. Crer une catgorie par la commande Mtadonnes des fichiers dans le dossier ou Hachage MD5 des fichiers du dossier utilisant le rpertoire dun systme dexploitation standard . Des rgles dautorisation supplmentaires devront tre cres manuellement. Utiliser la catgorie KL Catgorie principale, Systme dexploitation & utilitaires : cette catgorie peut tre utilise si la rgle standard Catgorie principale, Systme dexploitation & utilitaires\Composants du SE est active. Elle est disponible dans la liste, mais dsactive par dfaut. Sous Windows Vista et les versions ultrieures, vous pouvez autoriser le dmarrage de tous les programmes au nom du compte Systme, parce quune application non-systme ne peut recevoir de droits de service systme dans ces systmes dexploitation. En ce qui concerne les programmes pour lesquels les rgles dautorisation sont configures de faon ce quils ne soient pas bloqus aprs les mises jour, utilisez la rgle standard Programmes de mise jour des applications de confiance. Cette rgle existe par dfaut dans la liste et ne peut tre supprime, mais elle est dsactive par dfaut. Lorsquelle est active, les programmes tlchargs et installs par les applications incluses dans la catgorie Programmes de mise jour des applications de confiance ne seront pas bloqus, mme si les rgles dautorisation correspondantes ne sont pas configures. Ladministrateur peut galement attribuer manuellement lindicateur Programmes de mise jour des applications de confiance une catgorie dans les proprits dune rgle dautorisation.
III21
Unit III. Contrle
III22
1.2 Contrle de lactivit des applications

Principes de fonctionnement
Le but principal du Contrle de lactivit des applications est de contrler les activits des programmes en cours dexcution, savoir leurs accs au systme de fichiers et au Registre, ainsi que leurs interactions avec dautres programmes. De manire similaire au Contrle du lancement des applications, les applications sont groupes en catgories pour lesquelles des limitations sont spcifies, mais les principes de classification sont diffrents. Chaque programme se voit attribuer un des quatre niveaux de confiance suivants : De confiance Restrictions faibles Restrictions leves Douteuses
Les limites de lactivit standard sont prdfinies pour chaque catgorie. Ladministrateur peut modifier ces restrictions dans chaque catgorie. De plus, des limitations individuelles peuvent tre configures pour chaque programme dans la stratgie.
Catgorisation automatique
KES attribue une zone (ou groupe) de confiance un programme lorsque celui-ci dmarre pour la premire fois (le dmarrage est suspendu jusqu la fin de lanalyse). Le principal outil de catgorisation est Kaspersky Security Network. Sil est inaccessible ou si KSN manque dinformations sur le programme, la catgorie attribue dpend des paramtres de la stratgie : Dterminer le groupe laide de lanalyse heuristique : si cette case est coche, KES dtermine ltat du programme en utilisant un algorithme heuristique spcial mulant son dmarrage. Lmulation et lanalyse demandent du temps. Par dfaut, la dure dattribution dune zone de confiance est limite 30 secondes. Pour la modifier, il est possible dutiliser un paramtre distinct nomm Dure maximale pour dterminer le groupe. Aprs lcoulement du dlai spcifi, lanalyse est termine et le programme est plac dans une zone de confiance. Placer automatiquement dans le groupe : une alternative la dtermination heuristique de la zone de confiance. Ce paramtre permet dattribuer un des 3 niveaux de confiance (Restrictions leves, Restrictions faibles ou Douteuses) un programme sans effectuer danalyse. Faire confiance aux applications dotes dune signature numrique : si ce paramtre est activ, les programmes ayant une signature numrique valide sont automatiquement placs dans le groupe De confiance. Il existe deux paramtres supplmentaires dans la stratgie ayant une incidence sur les programmes dj catgoriss : actualiser les rgles de contrle des applications inconnues depuis la base de KSN : la zone de confiance du programme sera automatiquement modifie si elle apparat dans la base de donnes KSN. Supprimer les rgles de contrle des applications qui nont pas t lances depuis plus de 60 jours : les programmes qui nont pas t dmarrs depuis longtemps seront automatiquement supprims des zones de confiance du poste client. Ce seuil est ajustable. Ces paramtres influencent seulement les zones de confiance et les informations enregistres localement sur les postes clients et nont aucun effet sur les programmes dont la zone de confiance est spcifie dans la stratgie par ladministrateur.
III23
Unit III. Contrle
Le composant Contrle de lactivit des applications install sur les systmes dexploitation serveur est uniquement responsable de la catgorisation des programmes. Les rgles daccs ne peuvent tre configures sur les systmes serveur.
III24
III25
Unit III. Contrle
Spcificits des stratgies

Vous pouvez constater que le Contrle de lactivit des applications utilise les mmes niveaux de confiance que le Pare-feu. Ce nest pas une simple similitude. Ces composants utilisent effectivement les mmes niveaux de confiance. Un programme approuv par le Pare-feu sera galement approuv par Contrle de lactivit des applications et vice-versa. Dune manire similaire au Pare-feu, Contrle de lactivit des applications dfinit les droits daccs des zones de confiance dans la stratgie. Sur le poste client, KES affecte une zone de confiance chaque application spcifique. Entre-temps, ladministrateur peut galement attribuer manuellement un niveau de confiance un programme particulier au niveau de la stratgie. Si ncessaire, des restrictions individuelles diffrentes de celles dfinies pour la zone de confiance peuvent tre spcifies pour un programme particulier. Les nouveaux programmes sont ajouts la liste de la mme manire que dans le Pare-feu : le fichier excutable dune application est slectionn dans la liste des fichiers ayant dmarr au moins une fois sur les postes clients. La stratgie a une priorit plus leve que la zone de confiance attribue localement.
III26
III27
Unit III. Contrle
Interaction avec les programmes

Contrle de lactivit des applications permet de limiter linteraction du programme avec dautres programmes et services du systme dexploitation en fonction de la zone de confiance laquelle il appartient. Les limitations peuvent tre configures la fois pour la zone de confiance et pour des programmes particuliers. Les rgles dinteraction comprennent une longue liste dactions diverses, pour chacune desquelles la valeur Autoriser ou Interdire est spcifie. La liste des actions contrles est code en dur. Par dfaut, les restrictions des zones de confiance sont les suivantes : De confiance : aucune limitation. Restrictions faibles : tout est permis sauf lintgration aux modules du systme dexploitation. Restrictions leves : linteraction avec les modules du systme dexploitation et les autres programmes est interdite. Le programme est autoris travailler uniquement avec son propre segment de mmoire systme. Douteuses : le dmarrage du programme est interdit. Remarque : Contrle de lactivit des applications, tout comme Contrle du lancement des applications, peut bloquer le dmarrage dune application. Il ny a ici aucune contradiction : si un programme doit tre bloqu en raison des paramtres de lun des composants, il est bloqu indpendamment des paramtres des autres composants.
III28
III29
Unit III. Contrle
Accs aux ressources

Contrle de lactivit des applications permet de limiter laccs aux fichiers, dossiers et cls de Registre sur les disques durs. Les fichiers et les cls de Registre sont organiss en groupes pour lesquels les droits des programmes appartenant diffrentes zones de confiance sont spcifis. En outre, les restrictions spcifies pour un groupe peuvent tre modifies au niveau dun sous-groupe, ou individuellement au niveau dun fichier ou dune cl de Registre. Initialement, la liste des ressources protges contient des groupes des fichiers et des cls de Registre les plus importants. Ladministrateur peut modifier et crer des catgories. Les droits daccs peuvent tre spcifis la fois dans la liste des ressources protges et dans les proprits du programme au niveau de la zone de confiance. Les droits daccs un groupe de ressources sont dfinis de manire indpendante pour quatre types doprations : lecture criture suppression cration
Par dfaut, les restrictions des zones de confiance sont les suivantes : De confiance : aucune limitation. Restrictions faibles : tout est permis, sauf la modification de fichiers systme importants (boot.ini, system.ini, autoexec.bat, fichiers excutables du rpertoire systme, etc.) Restrictions leves : seul laccs en lecture est autoris en ce qui concerne les donnes des rpertoires du systme dexploitation et des branches du Registre. Douteuses : le dmarrage du programme est interdit. Remarque : Les restrictions configures pour un programme sont hrites par tous ses processus enfants, mme si leurs fichiers excutables sont inclus dans la Zone de confiance. Ainsi, les programmes ayant des niveaux de confiance infrieurs ne peuvent contourner les interdictions en utilisant les privilges de programmes ayant des niveaux de confiance suprieurs.
III30
III31
Unit III. Contrle
Renforcer le contrle de lactivit des applications

La plupart des programmes frquemment utiliss sont automatiquement placs dans les applications de confiance, soit parce quils ont une signature numrique de lditeur, soit parce quils sont inclus dans la liste dautorisation de KSN. Cela permet renforcer les restrictions imposes aux autres programmes qui pourront tre automatiquement dplacs dans les zones Restrictions leves ou Douteuses. Dans ce dernier cas, KES interdira automatiquement le dmarrage des programmes inconnus qui nont pas de signature numrique et pour lesquels il nexiste aucune rgle dautorisation dans la stratgie. Si un programme ncessaire au travail est bloqu, vous pouvez configurer une exclusion en ce qui le concerne.
III32
III33
Unit III. Contrle

Si les limites dfinies par Contrle de lactivit des applications bloquent toujours un programme ncessaire, vous pouvez configurer une exclusion en consquence. Il existe deux types dexclusions dans Contrle de lactivit des applications : Exclusions de ressources : autorisent nimporte quel programme effectuer nimporte quelle opration sur le groupe de ressources spcifi. Exclusions de programmes : autorisent le programme spcifi effectuer nimporte quelle opration. Les exclusions de ressources sont configures dans les proprits de Contrle de lactivit des applications, sur longlet Ressources protges. Vous pouvez configurer des exclusions pour les dossiers, fichiers et cls de Registre. Les exclusions de programmes sont configures dans la Zone de confiance et offrent plusieurs fonctionnalits supplmentaires : Ne pas surveiller lactivit de lapplication : dsactive les restrictions concernant le programme spcifi. Ne pas hriter les restrictions du processus parent (application) : dsactive les limitations hrites du processus qui a dmarr le programme et des processus parents de niveaux suprieurs. Ne pas surveiller lactivit des applications enfants : dsactive les restrictions pour les processus dmarrs par le programme pour lequel lexclusion est cre.
III34
III35
Unit III. Contrle
Chapitre 2. Contrle des priphriques

Lobjet principal du Contrle des priphriques se reconnat son nom : il permet ladministrateur de contrler divers priphriques du rseau de lentreprise et si ncessaire, dinterdire lutilisation de certains dentre eux. Le cas dutilisation le plus rpandu de ce composant est le blocage des lecteurs flash USB. Par exemple, les utilisateurs peuvent y transporter des fichiers infects ou les devoirs de leurs enfants et finir par y consacrer une journe de travail. Accidentellement ou dlibrment, lutilisateur peut emporter sur une cl USB des fichiers ayant une valeur commerciale pour lentreprise. Diverses restrictions permettent de prvenir de tels problmes. Le composant Contrle des priphriques de KES permet ladministrateur dappliquer les normes de scurit de lentreprise en spcifiant les priphriques qui peuvent tre utiliss sur les ordinateurs, quand et par qui. Les rgles peuvent tre appliques aux lecteurs amovibles, aux imprimantes, aux lecteurs de CD/DVD, aux connexions rseau extrieures lentreprise, aux connexions Wi-Fi et Bluetooth. Contrle des priphriques peut tre install uniquement sous des systmes dexploitation non serveurs.
2.1 Ce qui peut tre bloqu et comment

Presque tous les priphriques peuvent tre bloqus. Ils peuvent tre bloqus par type (disques amovibles, CD/DVD, Wi-Fi, appareils mobiles MTP, etc.) ou par bus (vous pouvez dsactiver entirement tous les priphriques USB par exemple). Certains priphriques peuvent tre autoriss, mais avec des restrictions : vous pouvez planifier explicitement linterdiction, restreindre uniquement des oprations particulires ou dfinir des exclusions dutilisateurs. Vous pouvez faire cela pour : les disques amovibles, les lecteurs de CD/DVD, les lecteurs de disquettes, les disques durs.
En outre, vous pouvez compltement dsactiver : les modems, les adaptateurs rseau externes, les priphriques Wi-Fi, les imprimantes, les lecteurs de cartes puce, les priphriques multifonctions, les priphriques Windows CE USB Activesync, les priphriques portatifs (MTP), les priphriques Bluetooth.
III36
III37
Unit III. Contrle
Les tlphones portables, iPod, iPad et iPhone sont considrs soit comme des appareils mobiles (MTP), soit comme des lecteurs amovibles sils sont connects en tant que supports de donnes externes. La liste omet les priphriques de traitement dimage (scanneurs en particulier). Ceux-ci peuvent galement tre interdits, mais seulement en bloquant leur bus de connexion. KES permet aussi de bloquer les priphriques connects par type dinterface (bus) : USB, FireWire, Infrarouge, port srie, port parallle, PCMCIA.
Par exemple, ladministrateur peut totalement bloquer tous les priphriques USB. Remarque : Le clavier et la souris ne peuvent tre bloqus et sont hors du champ dapplication des rgles de Contrle des priphriques. Les rgles de priphriques ont une priorit suprieure. Si le bus USB est bloqu, un lecteur flash explicitement autoris (si loption Autoriser est active pour les lecteurs amovibles) fonctionnera sans problme. Par dfaut, tous les priphriques fonctionnant en mode Selon le bus et tous les bus sont autoriss.
III38
III39
Unit III. Contrle
2.2 Paramtres complmentaires

La liste des priphriques que KES peut bloquer est code en dur. Vous ne pouvez pas modifier ou ajouter de nouveaux types de priphriques. En outre, vous pouvez restreindre lutilisation des disques amovibles, disques durs, lecteurs de disquettes et de CD/DVD en spcifiant : La liste des comptes autoriss utiliser le type de priphrique. Le compte universel Tout le monde est toujours disponible. Vous pouvez galement slectionner les comptes partir du domaine auquel appartient lordinateur sur lequel la Console dadministration est dmarre, ou parmi les utilisateurs locaux sil ny a pas de domaine. La rgle fonctionnera sur nimporte quel ordinateur o la stratgie est applique. Les types doprations et les heures pendant lesquelles ils sont autoriss ou interdits. Vous pouvez administrer les autorisations de lecture et dcriture sparment. Les plages horaires sont spcifies dans un tableau spcial par heures et jours de la semaine. Par exemple, vous pouvez autoriser les oprations de lecture pour les disques amovibles chaque jour ouvr de 8h 21h pour tout le monde, et les oprations dcriture uniquement aux administrateurs et seulement pendant les heures ouvrables. Si plusieurs rgles sappliquent un utilisateur, la plus restrictive dentre elles sera applique. Si un priphrique est autoris , cela signifie toujours autoriser tout le monde effectuer nimporte quelle opration . Vous pouvez combiner les rgles : vous pouvez par exemple interdire les priphriques USB et les disques amovibles, mais prvoir une exclusion pour les administrateurs et leur permettre dutiliser les lecteurs flash USB pendant les heures ouvrables. La stratgie modifie entre en vigueur ds quelle est applique. Par exemple, si les supports de donnes amovibles sont bloqus alors quun utilisateur a branch un lecteur flash USB et y a copi quelque chose, le lecteur USB ne sera plus disponible ds que la stratgie sera applique et lopration suivante sera bloque.
III40
III41
Unit III. Contrle
2.3 Priphriques de confiance

Sil existe dans lentreprise des lecteurs amovibles qui doivent tre autoriss toujours et partout, il peur tre intressant de crer une exclusion permanente en ce qui les concerne. Leurs identificateurs uniques peuvent tre ajouts la liste des priphriques de confiance et cette rgle fonctionnera sur tous les postes clients sur lesquels la stratgie correspondante aura t applique. Si ncessaire, vous pouvez spcifier des comptes supplmentaires en nommant explicitement les administrateurs. Les priphriques de confiance sont spcifis dans la stratgie de KES, dans la section Contrle des priphriques | Priphriques de confiance. Pour ajouter un priphrique la liste de confiance : 1. 2. 3. 4. 5. 6. 7. Connectez le priphrique nimporte quel ordinateur administr protg, serveurs compris : que Contrle des priphriques soit install ou non sur lordinateur na aucune importance. Les informations sur le priphrique sont envoyes au Serveur dadministration. Ouvrez les proprits de la stratgie dans la Console dadministration et allez la liste des priphriques de confiance. Cliquez sur Ajouter. Entrez le nom (ou le masque) de lordinateur sur lequel le priphrique a t connect et cliquez sur Actualiser. Ensuite, la liste affiche tous les priphriques connects au moins une fois lordinateur spcifi, quils soient bloqus ou autoriss. Pour dfinir un priphrique de confiance, cochez la case situe gauche de son nom, enregistrez les modifications et appliquez la stratgie. De plus, vous pouvez spcifier les comptes pour lesquels le priphrique sera approuv, les administrateurs de domaine par exemple.
Si un priphrique est approuv, il est toujours accessible, mme si son bus de connexion est bloqu.
III42
III43
Unit III. Contrle
2.4 Accs temporaire

KES permet aux utilisateurs de demander un accs temporaire aux priphriques bloqus. La procdure est la suivante : 1. 2. 3. 4. 5. lutilisateur constate que le priphrique ncessaire est bloqu, il gnre une cl unique pour ce priphrique dans KES, il envoie la cl par courrier lectronique ladministrateur, ladministrateur examine la demande et en cas de rponse affirmative, cre et envoie un code daccs spcial lutilisateur, Lutilisateur active le code reu, suite quoi le priphrique choisi (et seulement lui) devient accessible pendant la dure spcifie par ladministrateur. Lutilisateur ne peut pas mettre laccs temporaire en pause pour lutiliser plus tard et ladministrateur ne peut pas rvoquer laccs temporaire distance.
Il va sans dire que de nombreux utilisateurs peuvent croire que leurs priphriques sont bloqus par erreur et demander un accs temporaire ladministrateur. Pour viter des demandes trop nombreuses, vous pouvez dsactiver cette fonctionnalit : dans la stratgie de KES, sur longlet Contrle des priphriques, dsactivez la case cocher Autoriser les demandes daccs temporaire.
Comment envoyer une demande

Ouvrez linterface KES et longlet Statut de la protection, puis cliquez sur Endpoint Control et Accs au priphrique dans le menu contextuel du Contrle des priphriques. Une fentre souvre et prsente la liste des priphriques connects au moins une fois lordinateur, y compris les priphriques bloqus. Trouvez le priphrique pour lequel laccs est ncessaire, slectionnez-le et cliquez sur Activer le code daccs. Remarque : Si ladministrateur interdit les demandes daccs temporaire, le bouton apparat estomp. Le seul paramtre configurable est la dure daccs souhaite (24 heures par dfaut). La valeur entre par lutilisateur nest quune simple indication. Ladministrateur peut utiliser la valeur exprime ou la modifier lors de la gnration du code. Lutilisateur doit envoyer le fichier .akey gnr ladministrateur.
III44
III45
Unit III. Contrle
Comment crer un code dactivation

Laccs temporaire est accord pour le priphrique spcifi sur lordinateur spcifi. Cest pourquoi le code est gnr dans les proprits du client et non dans la stratgie ou dans les proprits du groupe. Un poste client peut tre facilement trouv dans la Console dadministration au moyen de lutilitaire de recherche. Ensuite, ladministrateur doit ouvrir ses proprits, ouvrir longlet Tches, trouver Contrle des priphriques, ouvrir ses proprits et cliquer sur Accorder laccs dans longlet Paramtres. Le fichier .akey reu doit tre spcifi ici. Si ncessaire, ladministrateur peut modifier la dure daccs et lheure de dbut. La dure ne peut tre infrieure une heure ou suprieure 24 heures (valeur par dfaut). Ladministrateur doit ensuite enregistrer le code gnr dans un fichier .acode et envoyer celui-ci au poste client. Ainsi, le code est gnr pour le priphrique et lordinateur prcis sur lequel lutilisateur a gnr la cl. Tout autre priphrique restera bloqu, mme sil possde des paramtres identiques. De plus, le priphrique pour lequel laccs a t accord sera bloqu sur tout autre ordinateur.
III46
III47
Unit III. Contrle
Comment activer un accs temporaire

Dans la fentre mme o la cl a t gnre, lutilisateur clique sur le bouton Activer le code daccs et indique le fichier .akey reu. Le priphrique peut tre utilis immdiatement. Aucun redmarrage ni synchronisation avec le Serveur dadministration nest ncessaire. Le code doit tre activ avant lexpiration de la priode dactivation et le compte rebours de la dure daccs dmarre au moment de lactivation. Le priphrique peut tre connect tout instant (ou mme plusieurs fois) au cours de cette priode ou ne pas tre connect du tout. Le compte rebours de la dure daccs ne peut tre interrompu. Lorsque laccs temporaire est activ, une notification est envoye au Serveur dadministration, mais nest incluse ni dans la requte des demandes dutilisateurs, ni dans le rapport sur les vnements de Contrle des priphriques.
III48
III49
Unit III. Contrle
2.5 Configurer les interactions avec lutilisateur

Lorsque lutilisateur tente de connecter un priphrique interdit, une notification contextuelle saffiche. Si les notifications sont dsactives, lutilisateur peut croire quil existe un problme matriel, contacter le support technique, ou pire encore, tenter de le rparer sans assistance. Ladministrateur peut modifier le texte de la notification, en ajoutant par exemple les informations de contact de la personne responsable de laccs aux priphriques. Pour ouvrir le modle de notification, cliquez sur le bouton Modles dans la section Contrle des priphriques de la stratgie de KES. Vous pouvez utiliser des variables dans le texte de la notification, telle que le nom du priphrique ou de lopration bloque par exemple. Si la notification contextuelle relative aux blocages est active, elle contient le lien Rclamation, qui peut tre ni dsactiv, ni masqu.
III50
III51
Unit III. Contrle
2.6 Contrle daccs aux priphriques interdits

Chaque fois quun utilisateur tente de connecter un priphrique interdit, un vnement est envoy au Serveur dadministration. Il contient la date et lheure, le nom de lordinateur sur lequel la tentative a t enregistre, le bus ou le type du priphrique, son identifiant, lopration et le compte qui la initie. Lvnement est nomm Opration concernant un priphrique interdit, il est de niveau Critique et est affich dans la requte correspondante. Si ncessaire, ladministrateur peut crer une requte distincte pour les tentatives daccs non autoriss. Un vnement similaire de niveau Avertissement sera envoy si un priphrique non interdit est connect. Le nombre de ces vnements est rvlateur de la frquence dutilisation de lecteurs flash USB, des imprimantes locales, scanneurs, disques amovibles, etc. Si lutilisateur envoie une rclamation, celle-ci est galement enregistre comme un vnement de niveau Avertissement sur le Serveur. Comme pour les autres contrles, il existe une requte distincte pour les rclamations : Requtes des utilisateurs. Ladministrateur nest pas tenu de ragir aux rclamations. Toutefois, si cela est ncessaire, une notification par courrier lectronique peut tre configure pour ces vnements dans la stratgie de KES. Tous les vnements, y compris les rclamations, sont stocks sur le Serveur pendant 30 jours par dfaut.
III52
III53
Unit III. Contrle
Le Rapport sur les vnements de Contrle des priphriques offre une vue densemble sur le fonctionnement du contrle des priphriques. Il affiche un graphique de distribution des rponses par nom dutilisateur. Par dfaut, le rapport inclut toutes les actions : connexion, dconnexion et blocage du priphrique. Pour gnrer un rapport sur le seul blocage des priphriques, laissez uniquement la case cocher Connexion bloque active dans la section Configuration des proprits du rapport. Si ncessaire, ladministrateur peut configurer la rception quotidienne de statistiques par courrier lectronique en ce qui concerne les tentatives de connexion et leurs auteurs pour les lecteurs flash USB par exemple. Les tches Diffusion de rapport dcrites dans lunit IV sont utilisables pour cela.
III54
III55
Unit III. Contrle
Chapitre 3. Contrle Internet

Lobjet du Filtrage de contenu Internet est de filtrer laccs lInternet conformment la politique interne de lorganisation. Habituellement, ce module est utilis pour bloquer laccs aux rseaux sociaux, la musique, la vido, aux interfaces de courrier lectronique externes lentreprise et aux sites pornographiques pendant les heures ouvrables. Si un utilisateur tente douvrir un tel site, soit une notification indiquant que laccs est bloqu, soit un avertissement de site indsirable saffiche, selon la gravit de linterdiction prvue au niveau de la stratgie. Contrle Internet fonctionne de faon similaire aux pare-feu. Ladministrateur cre un ensemble de rgles de blocage et de rgles dautorisation. Les proprits dune rgle comprennent les comptes dutilisateurs, la planification, le contenu et la sortie. Les rgles sont appliques dans lordre spcifi par ladministrateur et chaque page est traite au moyen de la premire rgle applicable. La Rgle par dfaut autorisant tout tout le monde est la dernire de la liste. Seul le trafic HTTP/HTTPS est analys.
3.1 Critres de blocage

Tout dabord, laccs peut tre refus ou autoris par adresse de site. Ladministrateur peut spcifier explicitement les URL bloquer, ou utiliser le caractre gnrique * pour bloquer les sites par masques dadresse, par exemple *.fm ou *shop*. KES peut galement analyser le contenu du site HTTP. Les catgories de contenu suivantes sont disponibles : Rseaux sociaux Chats & forums Jeux occasionnels Jeux grand public Pornographie, rotisme Logiciel illgal Messagerie lectronique Boutiques en ligne Bannires Systmes de paiement Serveurs proxy anonymes Drogues Violence Langage vulgaire Armes
Le contenu peut galement tre catgoris par types de donnes : Fichiers excutables Vido Donnes sonores Fichiers dapplications bureautique Archives Fichiers graphiques
III56
III57
Unit III. Contrle
En ce qui concerne les connexions scurises, KES na pas accs aux contenus. Par consquent, le flux HTTPS est filtr uniquement par adresses. Par exemple, si les rseaux sociaux sont bloqus, https://facebook.com sera galement bloqu car cette adresse est connue comme appartenant aux rseaux sociaux dans les bases de signatures. Ladministrateur peut restreindre laccs nimporte quelle catgorie ou nimporte quel type de donnes, mais ne peut modifier la liste des catgories et des types de donnes ou y ajouter des entres. Le filtrage par catgorie et par type peut tre combin dans une mme rgle : par exemple, vous pouvez bloquer les fichiers et les archives Office reus par courrier Web. Les sites sont classs au moyen de la base de donnes des adresses connues (fichiers pc*.dat dans le dossier des mises jour) et de lanalyse heuristique du contenu des pages (connexions non scurises uniquement).
III58
III59
Unit III. Contrle
Les types de donnes sont cods en dur dans KES et comprennent les types de fichiers suivants : Catgorie Fichiers excutables Catgorie de contenu Win32 PE : exe, dll, ocx, scr, drv, vdx and autres extensions de fichiers PE Win32 Visual Basic Script : vbs, vb Fichiers excutables (non PE) MS-DOS, Win16, OS/2 : exe, dll, com Scripts de ligne de commande : cmd, bat Archives Microsoft Installer : msi Adobe Flash Video : flv, f4v Audio/Video Interleave : avi Format MPEG4 ISO : 3gp, 3g2, 3gp2, 3p2 MPEG4 : divx, mp4, m4a Matroska : mkv Apple Quicktime : mov, qt Conteneur Microsoft : asf, wma, wmv RealMedia CB/VB : rm, rmvb Format MPEG2 (DVD) : vob VCD (MPEG 1) : dat, mpg Bink Video : bik MPEG-1 Layer 3 : mp3 Lossless Audio : flac, ape OGG Vorbis Audio : ogg Advanced Audio Coding : aac Windows Media Audio : wma Audio multicanal AC3 : ac3 Microsoft Wave : wav Matroska Audio : mka RealAudio : rm, ra, ravb MIDI : mid, midi CD digital Audio : cdr, cda Documents Open XML : docx, xlsx, pptx, dotx, potx et autres Macros Office 2007 : docm, xlsm, pptm, dotm Documents MS Office : doc, xls, ppt, dot, pot Adobe Acrobat : pdf Archives ZIP : zip, g-zip Archives 7-zip : 7z, 7-z Archives RAR : rar CD-ROM ISO-9660 : iso Fichiers CAB Windows : cab Archives Java (ZIP) : jar Archives BZIP2 : bzip2, bz JPEG/JFIF : jpg, jpe, jpeg, jff GIF : gif Portable Graphics : png Windows Bitmap (DIB) : bmp Targa Image File Format : tif, tiff Windows Meta-File : emf, wmf Format Post-Script : eps Adobe Photoshop : psd Corel Draw : cdr
Vido
Donnes sonores
Fichiers Office
Archives
Fichiers graphiques
III60
Voici quelques spcificits des types et des catgories reconnus par KES : Le type est dfini par le format de fichier. Par consquent, cette approche ne fonctionne pas pour les connexions scurises. Pour bloquer les fichiers par extension, utilisez un filtre dadresse. Par exemple, pour bloquer les fichiers .key, spcifiez le masque *.key. Les objets compacts ne sont pas analyss, ce qui signifie que si les seuls fichiers excutables sont bloqus, un fichier archiv sera autoris, sauf si vous bloquez galement les archives. Les documents PDF sont inclus dans la catgorie des fichiers Office. Par consquent, si cette catgorie est bloque, certains sites utilisant des fichiers pdf ne safficheront pas correctement. Dans les anciennes versions de Kaspersky Anti-Virus, Anti-bannire tait implment comme un composant distinct. Dans la version actuelle de KES, la catgorie Bannires du Contrle Internet a la mme fonction. Les vidos Flash au format SWF ne peuvent tre bloques que par masque dextension, gnralement *.swf. Tout comme les autres contrles, les rgles peuvent tre appliques en fonction du compte et de lheure daccs.
III61
Unit III. Contrle
3.2 Configurer des exclusions et des serveurs de confiance

Parfois, un site peut tre bloqu par erreur. Par exemple, un portail dentreprise peut tre reconnu comme un rseau social ou des formations en ligne peuvent tre bloques en raison des fichiers vido quelles contiennent. Dans ce cas, il est plus facile de crer une rgle dautorisation au lieu de crer un groupe distinct avec une stratgie particulire. Vous pouvez configurer une rgle dautorisation donnant accs certaines catgories ou certains types de donnes situs sur des serveurs spcifis. Pour que cette rgle soit applique avant les rgles de blocage, placez-la plus haut dans la liste. Dans les cas extrmes, la politique de lorganisation peut exiger linterdiction de laccs lInternet pendant les heures de travail et nautoriser que la navigation sur site de lentreprise. Une exclusion peut tre cre pour le seul service informatique. Ladministrateur cre la rgle gnrale : pendant les heures ouvrables, tout refuser tout le monde. Il ajoute ensuite deux rgles dautorisation au-dessus delle : la premire autorise tous les contenus aux comptes des employs du service informatique et la seconde autorise tout le monde avoir accs au site de lentreprise. Par dfaut, en plus de la rgle universelle autorisant tous les contenus tout le monde, il existe une autre rgle dans Contrle Internet qui autorise explicitement les fichiers dont les extensions sont .css, .js et .vbs. Habituellement, ces fichiers contiennent des feuilles de style, des scripts Java et Visual Basic enregistrs dans des fichiers spars. Cette rgle est ncessaire parce que ces fichiers sont parfois situs sur des serveurs distincts et leurs URL diffrent de ladresse du site principal. Si un site est autoris alors que ses scripts et ses feuilles de style sont bloqus, il sera affich de faon incorrecte. Pour viter cela, placez la rgle autorisant .css, .js et .vbs plus haut que les rgles dinterdiction.
III62
III63
Unit III. Contrle
3.3 Diagnostics et tests

En prsence de nombreuses rgles, il est parfois difficile de surveiller celles qui ont t appliques et de savoir pourquoi. Pour cela, KES dispose dune fonction de traage du flitrage de contenu. Pour lutiliser, appliquez dabord la stratgie sur un poste de travail, puis ouvrez linterface locale KES sur ce poste de travail. Vous pouvez le faire soit sur lordinateur physique, soit en utilisant le Bureau distance dmarr partir de la Console dadministration KSC. Dans linterface locale de KES, ouvrez longlet Configuration, slectionnez Filtrage de contenu, puis cliquez sur le bouton Diagnostic Il ouvre une fentre dans laquelle vous pouvez spcifier les conditions suivantes : catgories, types de donnes, date et heure, comptes utilisateurs, adresse de site (caractre gnrique * autoris).
Vous pourrez ainsi obtenir le verdict du Flitrage de contenu avec la liste des rgles applicables ces conditions. Par exemple, ladministrateur peut vrifier si laccs un serveur de messagerie personnelle se trouvant au domicile dun employ est bloqu ou non par la rgle interdisant le courrier Web. Par ailleurs, si les utilisateurs se plaignent de ne pouvoir accder un site autoris, vous pouvez trouver la rgle qui pose problme.
III64
III65
Unit III. Contrle
3.4 Configurer les interactions avec lutilisateur

Si Contrle Internet (flitrage de contenu) bloque une partie du contenu dune page, lutilisateur peut ne pas le remarquer. Si la page est entirement interdite, une page vide contenant la notification correspondante sera affiche : soit un avertissement indiquant que laccs est indsirable, soit un message relatif linterdiction. Si le site est simplement indsirable, lutilisateur peut louvrir en cliquant sur le lien correspondant dans la mise en garde. Si le site est interdit, laccs est simplement refus. Remarque : Les notifications ne sont affiches que pour les connexions non scurises. Si le protocole HTTPS est utilis pour ouvrir un site Web, lutilisateur ne verra dans les deux cas que le message du navigateur relatif limpossibilit dafficher la page. Vous pouvez modifier les notifications davertissement et de blocage : cliquez sur le bouton Modles dans la section Console Web de la stratgie de KES. Par dfaut, les deux notifications contiennent la variable %COMPLAIN_EMAIL%. Elle renvoie ladresse de courrier lectronique de ladministrateur charg de la protection du rseau, laquelle les utilisateurs pourront envoyer leurs rclamations au sujet des blocages qui leurs semblent inopportuns. La page de notification transforme la variable %COMPLAIN_EMAIL% en un lien hypertexte permettant douvrir le client de messagerie. Ladresse, lobjet et le modle du message sont galement prciss dans la stratgie de KES, dans la fentre des modles de Contrle Internet. Remarque : Par dfaut, ladresse de courrier lectronique est vide et les modles de messages davertissement et de blocage contiennent le texte suivant : En cas derreur de ... veuillez contacter ladministrateur du rseau local de lentreprise (%COMPLAIN_EMAIL%). Par consquent, si ladresse nest pas prcise dans la stratgie et si la variable reste dans le texte, lutilisateur verra des parenthses vides au lieu dune adresse. Remarquez que le message est envoy en utilisant le compte de courrier lectronique par dfaut configur dans le client de messagerie par dfaut de lordinateur de lutilisateur. Si le compte nest pas configur, le message de rclamation ne sera pas gnr.
III66
III67
Unit III. Contrle
III68
III69
Unit III. Contrle
3.5 Statistiques de Contrle Internet

Lorsque Contrle Internet bloque laccs ou avertit que celui-ci est indsirable, il envoie simultanment lvnement correspondant au Serveur dadministration : Accs interdit avec un niveau de svrit Critique ou Avertissement propos dun contenu indsirable avec un niveau de svrit Avertissement (respectivement). Dans les deux cas, lvnement contient lheure de la tentative daccs, lURL du site, la rgle applique, le nom de lordinateur, le compte utilisateur et le verdict de Filtrage de contenu. Si la rgle a t cre pour une catgorie ou un type de donnes, cette information est galement prcise. Remarque : Le filtrage de contenu traite chaque objet du site concern indpendamment. Cest pourquoi, lorsque les fichiers graphiques sont interdits par exemple, le blocage de chaque petite image gnre un vnement distinct. Par consquent, une tentative daccs un site interdit peut aboutir lenvoi de centaines dvnements, ce qui ne signifie pas ncessairement que lutilisateur navigue sur lInternet jour et nuit. Si lutilisateur ignore lavertissement relatif laccs indsirable et ouvre le site, lvnement Accs un contenu indsirable aprs avertissement de niveau de svrit Avertissement est envoy au Serveur. Les rclamations sont galement envoyes au serveur sous forme dvnements, leur niveau de svrit est Avertissement, et elles sont affiches dans la requte standard Demandes des utilisateurs par dfaut. Si ncessaire, ladministrateur peut configurer manuellement une notification par courrier lectronique pour les rclamations dans la stratgie de KES.
III70
III71
Unit III. Contrle
3.6 Rapport du Contrle Internet

Il est possible dutiliser un rapport pour effectuer un contrle et obtenir rgulirement des informations de nature gnrale. Ce rapport fournit des statistiques agrges sur le nombre davertissements et de blocages pour chaque rgle. Les rgles dautorisation ne sont pas incluses dans le rapport.
3.7 Contrle Internet en dehors du rseau de lentreprise

Hors du rseau de lentreprise, ladministrateur ne peut contrler les paramtres de connexion Internet et ceux-ci dpendent souvent entirement de lutilisateur. Il peut sagir dune connexion publique et dangereuse via une zone daccs sans fil Wi-Fi ou dune connexion EGDE lente. Pour les utilisateurs comptents, certaines rgles de blocage peuvent tre remplaces par des avertissements de la stratgie mobile, par exemple en ce qui concerne les fichiers vido et audio, les archives, les systmes payants et les boutiques Internet sur les ordinateurs portables qui sont emports la maison pendant le week-end. Les stratgies mobiles sont dcrites en dtail dans lunit V. Dans certains cas, tous les paramtres du contrle Internet peuvent tre rendus facultatifs. Lutilisateur pourra alors bloquer les images lorsquil sera connect lInternet via son tlphone mobile, ou bloquer les bannires par exemple. Vous pouvez galement configurer la protection par mot de passe pour dsactiver la stratgie et fournir le mot de passe aux employs au besoin. Linconvnient de cette solution est quelle permet dactiver et de dsactiver la protection, et mme de dsinstaller KES.
III72
III73
Unit III. Contrle
Chapitre 4. Corriger les vulnrabilits

Bien que les composants de protection et de contrle soient trs efficaces, les vulnrabilits du systme dexploitation et des autres programmes doivent encore tre corriges. Ladministrateur peut bien entendu corriger les vulnrabilits, mais Kaspersky Security Center peut lui simplifier cette tche. Ce chapitre explique comment Kaspersky Security Center permet de dtecter et de corriger les vulnrabilits.
4.1 Corriger les vulnrabilits de Windows

Les vulnrabilits du systme dexploitation sont plus dangereuses que les vulnrabilits des programmes individuels, parce quelles sont trs rpandues et plus souvent utilises par les criminels pour attaquer les ordinateurs. Les vulnrabilits du systme dexploitation sont corriges en installant les mises jour de scurit, lesquelles corrigent les erreurs des composants du systme. Le service spcial Windows Update installe ces mises jour. Il recherche automatiquement la prsence de nouvelles mises jour sur les serveurs Windows, et en fonction des paramtres, soit les installe automatiquement, soit affiche une invite destine lutilisateur. Windows Update fournit des mises jour de scurit aux postes clients. Toutefois, ladministrateur na pas la possibilit de contrler linstallation des mises jour critiques et ne sait pas avec certitude si elles sont effectivement installes sur tous les ordinateurs ou si certains utilisateurs les ont ventuellement annules.
Dtecter les vulnrabilits

LAgent dadministration recueille des informations sur les mises jour du systme dexploitation dj installes et celles qui doivent tre installes. KES ne participe pas ce processus. LAgent dadministration reoit ses informations directement partir du service Windows Update si celui-ci est dmarr et le transfre au Serveur dadministration. Si le service est arrt, lAgent lui-mme contacte les serveurs Microsoft pour vrifier la prsence de mises jour. Dans la Console dadministration, les informations sur les mises jour sont affiches dans le conteneur Mises jour Windows Update du nud Applications et vulnrabilits. Les mises jour sont affiches sous forme de liste, mais ladministrateur peut les filtrer par niveau de svrit et par tat (installes ou non sur les postes clients, tche dinstallation cre ou non, etc.). Dans le coin suprieur droit de la fentre se trouve un graphique indiquant le moment de la dernire vrification des mises jour par les postes clients. Les ordinateurs sont diviss en trois catgories sur le graphique, selon lanciennet de la recherche des mises jour. Cliquez sur un nom de catgorie pour ouvrir la liste des ordinateurs correspondants. Ainsi, ladministrateur peut obtenir une liste dordinateurs problmatiques nayant pas recherch les mises jour de scurit. Ce graphique peut galement tre ajout sur la page de statistiques tat de la protection.
III74
III75
Unit III. Contrle
Description des vulnrabilits

Longlet Gnral des proprits dune vulnrabilit fournit les informations suivantes : Svrit : dfinie par Microsoft lors de la publication de la mise jour. La svrit dpend de la mesure dans laquelle la vulnrabilit met en danger le systme. Elle peut prendre les valeurs suivantes :
Critique Importante Moyenne Faible
Liens vers la description de la vulnrabilit dans la Base de connaissances Microsoft et le Bulletin de scurit Microsoft. Statistiques sur ltat de la vulnrabilit sur les postes clients : sur combien dordinateurs la mise jour est applique, installe, etc. Longlet Ordinateurs affiche la liste des ordinateurs dont les systmes dexploitation prsentent cette vulnrabilit.
III76
III77
Unit III. Contrle
Corriger les vulnrabilits

Cration de tches dinstallation de mises jour
Kaspersky Security Center peut installer les mises jour Windows sur les postes clients de manire centralise. Une tche spciale est prvue pour cela : Installer les mises jour Windows. Vous pouvez installer les mises jour au moyen de la commande Installer la mise jour disponible dans le menu contextuel de la liste de vulnrabilits du conteneur Mises jour Windows Update. Vous pouvez slectionner plusieurs mises jour sur la liste, puis excuter la commande. Suite cela, elles seront installes dans le cadre dune tche unique. La commande dmarre lAssistant de cration de tches dinstallation des mises jour Microsoft3, lequel a pour objet de crer la tche correspondante dans le groupe Ordinateurs administrs. Le seul paramtre non standard de la tche Installer les mises jour Windows est la liste des mises jour installer. Cette liste peut galement tre modifie aprs la cration de la tche. Lors de lexcution de la tche sur chaque poste client, lAgent envoie une commande Windows Update Center afin de tlcharger et dinstaller les mises jour ncessaires. Les rsultats de Windows Update sont disponibles dans le rapport de la tche. En outre, le succs de linstallation peut tre valu par ltat de vulnrabilit du conteneur Mises jour Windows Update.
3 Si la tche Installer les mises jour Windows est dj cre, la commande Installer la mise jour ajoute les mises jour slectionnes au champ dapplication de la tche.
III78
III79
Unit III. Contrle
4.2 Corriger la vulnrabilit des programmes

Dans lensemble, les vulnrabilits des programmes sont moins dangereuses que les vulnrabilits du systme dexploitation, parce que les criminels les utilisent rarement. Nanmoins, certaines vulnrabilits de programmes peuvent constituer une menace majeure, par exemple, les vulnrabilits des navigateurs ou des applications bureautiques les plus rpandues. De telles vulnrabilits doivent galement tre corriges ds que possible.
Analyse des vulnrabilits des programmes

KES analyse les programmes la recherche de vulnrabilits en utilisant les composants Surveillance des vulnrabilits et Recherche de vulnrabilits.
Surveillance des vulnrabilits

Le composant Surveillance des vulnrabilits na aucun paramtre et ne peut tre quactiv ou dsactiv. Ce composant vrifie la version dun programme dmarr en y recherchant des vulnrabilits selon les donnes dune base spciale. La base de donnes des vulnrabilits est constitue par les experts de Kaspersky Lab et comprend la base de donnes de vulnrabilits Secunia et dautres donnes. La vrification est effectue en arrire-plan et ne retarde pas le dmarrage du programme.
III80
III81
Unit III. Contrle
Recherche des vulnrabilits

Les informations sur les vulnrabilits des programmes peuvent tre recueillies sans attendre leur dmarrage. La tche Recherche de vulnrabilits est prvue pour cela. Cette tche analyse les fichiers excutables sur le poste client et les compare la mme base de donnes que Surveillance des vulnrabilits. LAssistant de dmarrage rapide cre la tche Recherche de vulnrabilits dans le groupe des Ordinateurs administrs. Elle peut aussi tre cre manuellement. Type de tche : Recherche de vulnrabilits Kaspersky Endpoint Security 8 forWindows. La recherche de vulnrabilits contient deux paramtres non standard : Les diteurs dont les programmes doivent faire lobjet dune recherche de vulnrabilits : Microsoft 4 Autres Cette sparation est due au fait que les mises jour des produits Microsoft peuvent tre tlcharges via Windows Update Center, alors que les paquets de mise jour des programmes tiers devront tre crs manuellement. Zone de recherche des vulnrabilits : liste des rpertoires dans lesquels la recherche est effectue. Par dfaut, cette liste contient les dossiers correspondant aux variables systme suivantes : %SystemRoot% %ProgramFiles% %ProgramFiles(x86)% Si dautres rpertoires standards sont utiliss pour linstallation des programmes dans votre rseau, ajoutezles la liste.
Ici, nous entendons des produits Microsoft autres que les systmes dexploitation.
III82
III83
Unit III. Contrle
Rsultats de la recherche des vulnrabilits

Les informations sur les vulnrabilits trouves sur les postes clients sont envoyes au Serveur dadministration lors de la synchronisation. La liste des vulnrabilits dtectes est affiche dans le conteneur Vulnrabilits dans les applications du nud Applications et vulnrabilits. Tout comme la liste des mises jour Windows, la liste des vulnrabilits peut tre filtre. Les vulnrabilits dapplications ont galement des niveaux de svrit : Critique Importante Avertissement
III84
III85
Unit III. Contrle
Les proprits dune vulnrabilit fournissent les informations suivantes : Longlet Gnral affiche des informations sur le programme dans lequel la vulnrabilit a t trouve : la case cocher Ignorer la vulnrabilit se trouve galement cet endroit. Cochez-la si vous estimez que la vulnrabilit ne reprsente aucune menace et quil nest pas ncessaire de la corriger. Sur longlet Rparation, le paquet de mise jour recommand est spcifi pour les produits Microsoft. Pour un programme dditeur tiers, vous pouvez spcifier manuellement le paquet permettant de corriger la vulnrabilit. Sur longlet Exemplaires de la vulnrabilit se trouve la liste des ordinateurs et des programmes o la vulnrabilit a t dtecte.
III86
III87
Unit III. Contrle
Le Rapport de vulnrabilits affiche ltat global de vulnrabilit du rseau. Il reprsente la distribution des ordinateurs par niveaux de svrit des vulnrabilits dtectes. Cliquez sur un nom de vulnrabilit dans le tableau Rcapitulatif afin dobtenir la liste de tous les ordinateurs o elle a t dtecte. Si vous prfrez les statistiques aux rapports, ajoutez le panneau Distribution des niveaux de vulnrabilit la page de statistiques tat de la protection. Son contenu est semblable au Rapport de vulnrabilits. Dans les proprits du groupe Ordinateurs administrs, vous pouvez activer la condition dtat Vulnrabilits dtectes dans les applications. Effectuez un double clic sur la condition pour ouvrir une fentre o vous pourrez spcifier le niveau de svrit de la vulnrabilit dont la dtection dclenche le changement dtat : Critique leve Avertissement
III88
III89
Unit III. Contrle
Corriger les vulnrabilits

Corriger les vulnrabilits des produits Microsoft
Les vulnrabilits de ce type sont facilement corriges parce que Windows Update Center tlcharge et installe les correctifs sur les postes clients. La seule chose faire est dexcuter la commande. La tche peut tre cre directement dans le nud Vulnrabilits dans les applications. Effectuez un clic droit sur la vulnrabilit voulue dans la liste et lancez la commande Corriger la vulnrabilit. Lassistant qui dmarrera crera une tche spciale Corriger les vulnrabilits dans le groupe Ordinateurs administrs. Lorsque de lexcution de la tche, le correctif sera install sur tous les ordinateurs o la vulnrabilit a t dtecte. Dune manire similaire aux mises jour Windows, afin dviter le redmarrage de serveurs importants, vous pouvez crer manuellement la tche Corriger les vulnrabilits pour des slections dordinateurs. Dans ce cas, vous devrez spcifier manuellement les vulnrabilits pour lesquelles les correctifs doivent tre installs et les ordinateurs sur lesquels la tche sera excute 5. La tche tlchargera et installera les correctifs pour les vulnrabilits slectionnes sur les postes clients. Les rsultats de linstallation seront affichs dans les dtails de la tche. Vous pouvez galement voir si une vulnrabilit a t corrige dans ses proprits, sur longlet Exemplaires de la vulnrabilit.
Une vulnrabilit pour laquelle un correctif na pas t trouv ou na pas t attribu ne peut tre slectionne dans les proprits de la tche.
III90
III91
Unit III. Contrle
Corriger les vulnrabilits des programmes dditeurs tiers

La principale diffrence en matire de correction des vulnrabilits des programmes tiers est que ladministrateur doit trouver et tlcharger manuellement le paquet de correction de la vulnrabilit. Il peut sagir dun correctif ou dune version ultrieure du programme installer par-dessus la prcdente. Lorsque le correctif est trouv, crez son paquet dinstallation et spcifiez-le dans les proprits de la vulnrabilit correspondante au niveau du conteneur Vulnrabilits dans les applications. Ensuite, vous pourrez corriger la vulnrabilit de la mme manire que pour les produits Microsoft.
III92
IV1
Unit IV. Maintenance

Chapitre 1. Statistiques et rapports ............................................................................ 2 1.1 Requtes dvnements ........................................................................................................................................... 4 1.2 Notifications ........................................................................................................................................................... 6 1.3 Statistiques .............................................................................................................................................................. 8 1.4 Rapports ................................................................................................................................................................ 10 Chapitre 2. Mises jour ............................................................................................. 14
2.1 Administration de la mise jour ........................................................................................................................... 16 Ordre des mises jour ......................................................................................................................................... 16 Stockage Mises jour .......................................................................................................................................... 18 2.2 Mise jour du rfrentiel du Serveur.................................................................................................................... 18 2.3 Mise jour des postes clients................................................................................................................................ 24 Chapitre 3. Administrer les cls ................................................................................ 32
3.1 Vue densemble .................................................................................................................................................... 32 3.2 Stockage Cls ........................................................................................................................................................ 34 3.3 Installation automatique des cls .......................................................................................................................... 34 3.4 Proprits de la cl ................................................................................................................................................ 34 3.5 Activation de KES ................................................................................................................................................ 36 3.6 Ajouter des cls au Serveur dadministration ....................................................................................................... 38 3.7 Installation de cls ................................................................................................................................................ 38 3.8 Rapport sur lutilisation des cls ........................................................................................................................... 40 Chapitre 4. Interaction avec lutilisateur................................................................... 42
4.1 Protection par mot de passe .................................................................................................................................. 42 Protection de KES par mot de passe .................................................................................................................... 44 Configuration de la protection de lAgent dadministration par mot de passe .................................................... 46 4.2 Administration des tches locales et des tches de groupe au moyen de linterface de KES ............................... 48 4.3 Analyse des disques amovibles la connexion..................................................................................................... 50 4.4 Notifications locales ............................................................................................................................................. 52 4.5 Informations relatives lassistance technique ..................................................................................................... 54 4.6 Dissimuler linterface de KES .............................................................................................................................. 56 Chapitre 5. Administration des ordinateurs portables .............................................. 58
5.1 Conditions de passage en mode mobile ................................................................................................................ 60 5.2 Spcificits des stratgies mobiles ........................................................................................................................ 60 5.3 Paramtres de mise jour en mode mobile ........................................................................................................... 64 Chapitre 6. Sauvegarde et restauration .................................................................... 66
6.1 Crer une copie de sauvegarde.............................................................................................................................. 66 6.2 Restaurer les donnes dune copie de sauvegarde ................................................................................................ 70
IV2
Le dploiement peut tre considr comme achev soit aprs linstallation de KES sur tous les ordinateurs, soit lorsque tout est correctement configur et que les paramtres ne sont pas destins tre changs dans un avenir proche. Dans ce cours, nous considrerons le dploiement achev lorsque tous les outils de protection seront installs et configurs sur les postes clients, mais que les mises jour et les autres paramtres du systme dadministration (Kaspersky Security Center) fonctionneront encore soit avec les paramtres par dfaut, soit avec ceux spcifis dans lAssistant de dmarrage rapide. Ainsi, par maintenance, nous entendons : travailler avec les statistiques et les rapports, configurer les mises jour de la base de signatures, administrer les cls, configurer linterface locale et linteraction de KES avec lutilisateur, administrer les ordinateurs portables, sauvegarder et restaurer les donnes du Serveur dadministration.
Chapitre 1. Statistiques et rapports

Les statistiques et les rapports sont crs sur la base des tats et des vnements envoys au Serveur et gnrs par tous les composants : KES, Agents dadministration et Serveur dadministration. Par dfaut, tous les vnements sont envoys au Serveur dadministration et y sont stocks pendant un mois (vnements KES), trois mois (vnements du Serveur dadministration) ou six mois (erreurs du Serveur dadministration). Ladministrateur peut consulter distance les vnements enregistrs par un composant particulier au moyen de la Console dadministration (dans ses proprits). Par exemple, pour afficher les vnements de KES, trouvez lordinateur voulu dans le nud Ordinateurs administrs, ouvrez ses proprits, slectionnez Kaspersky Endpoint Security dans la section Applications et cliquez sur Evnements. Les donnes agrges sur tous les vnements sont disponibles dans le conteneur Requtes dvnements et dordinateurs / Evnements. Elles peuvent tre groupes, filtres (par date denregistrement par exemple), exportes dans un fichier ou supprimes. Remarque : Les postes clients transfrent leurs vnements au Serveur dadministration lors des synchronisations. Le dcalage entre lenregistrement des vnements et leur disponibilit sur le Serveur dadministration dpend de lintervalle de synchronisation (15 minutes par dfaut). Outre les vnements, les tats locaux sont envoys depuis les postes clients vers le Serveur (informations sur la date de publication de la base de donnes antivirus par exemple). Les paramtres de transfert dun tat local ne peuvent tre modifis. Le Serveur dadministration gnre des statistiques et des rapports sur la base des informations relatives aux tats et aux vnements locaux.
IV3
IV4
1.1 Requtes dvnements

Par dfaut, il existe sept requtes dvnements standard : Derniers vnements vnements critiques Erreur Requte des utilisateurs Avertissements Evnements dinformation Audit des vnments
Ladministrateur peut les modifier ou ajouter une requte personnalise. Par exemple, dans Derniers vnements, vous pouvez slectionner laffichage des vnements de la dernire journe au lieu des 7 derniers jours par dfaut. Vous pouvez galement limiter le nombre dvnements affichs ou le nombre denregistrements pour les recherches (si la base de donnes est volumineuse, ce processus devient gourmand en temps). Les requtes personnalises sont encore plus flexibles. Vous pouvez choisir dafficher les noms des ordinateurs, les plages IP et les groupes dadministration, et spcifier les vnements et les tches. Dans la ligne de filtrage, il est possible de spcifier plusieurs valeurs spares par un espace. Un autre exemple : Si Contrle Internet avertit que la visite de rseaux sociaux pendant les heures ouvrables est indsirable mais si lutilisateur ouvre nanmoins un tel site, la notification correspondante est envoye au Serveur. Ladministrateur peut crer une requte relative de tels vnements et la filtrer sur twitter.com par exemple.
IV5
IV6
1.2 Notifications
Une raction automatise un vnement peut tre configure dans la stratgie correspondante, dans la section vnements. Ce sera soit la stratgie de KES si lvnement est gnr par KES, soit celle de lAgent dadministration. En ce qui concerne les vnements du Serveur dadministration, ses proprits doivent tre configures. Dans les proprits de lvnement, vous pouvez par exemple augmenter la dure de conservation des vnements importants, configurer la notification par courrier lectronique pour les vnements les plus critiques ou dsactiver lenregistrement des informations sur les vnements (en admettant que vous souhaitiez rduire la taille de la base de donnes).
IV7
IV8
1.3 Statistiques
Pour avoir une ide de ltat global de la protection, ouvrez soit la page Dbut du fonctionnement de la Console dadministration ou longlet tat de la protection de la Console Web. Les indicateurs de la Console Web sont des icnes de couleur, de courtes descriptions et trois graphiques fournissant des informations : nombre dordinateurs protgs, date de tlchargement des dernires mises jour, nombre de postes clients en tat Critique. Des statistiques dtailles sont disponibles uniquement dans le conteneur Rapports et notifications de la Console dadministration. Il existe 42 types de graphiques regroups en cinq catgories. Ils correspondent approximativement aux onglets de linterface de la Console. La plupart des panneaux de graphiques sont masqus par dfaut. Seuls les graphiques gnraux sont affichs, par exemple Historique de ltat des ordinateurs ou Historique de lactivit des virus. Gnralement, un panneau contient un graphique ou un diagramme avec une lgende. Par dfaut, les panneaux reprsentent les vnements relatifs tous les ordinateurs administrs au cours des dernires 24 heures. Ladministrateur peut restreindre ltendue ou modifier la priode des statistiques dans la fentre Proprits ouverte au moyen du bouton .
De mme, les panneaux sont configurs sur chaque onglet : ils peuvent tre ajouts, supprims ou rorganiss. Les onglets sont galement configurables.
IV9
IV10
1.4 Rapports
Des graphiques et des tableaux dtaills sont disponibles dans les rapports. Ouvrez longlet Rapports du conteneur Rapports et notifications ou dveloppez tout simplement ce nud dans larborescence. Les rapports peuvent tre gnrs manuellement, ce qui assure galement lobtention des donnes les plus rcentes. Pour cela, il suffit douvrir le rapport voulu. Si la page na pas t ouverte depuis longtemps, rafrachissez-la. Vous pouvez planifier la gnration automatique de rapports, les adresses de courrier lectronique de leurs destinataires ou le rpertoire dans lequel ils seront stocks. Une tche de diffusion de rapports est prvue pour cela. La manire la plus facile de la crer est dexcuter la commande Caractristique denvoi automatique de rapports se trouvant dans le menu contextuel du rapport slectionn. Le format du rapport (html, xml ou pdf) est spcifi dans ses paramtres. Remarque : LAssistant de dmarrage rapide cre automatiquement une tche de diffusion pour le Rapport dtat de protection si ladministrateur spcifie les paramtres de courrier lectronique. Vous pourrez ensuite modifier cette tche au lieu den crer une nouvelle.
IV11
IV12
Un rapport est gnr sous forme de modle comportant la dfinition des champs, leur ordre, la priode du rapport, les conditions de filtrage, les postes clients concerns et les administrateurs ayant accs au rapport. Par dfaut, 15 modles standard sont disponibles. Ils sont prsents dans larborescence du nud Rapports et notifications. Vous pouvez les modifier, les copier, les supprimer ou crer de nouveaux rapports. En outre, vous pouvez modifier len-tte des rapports dans les proprits du conteneur Rapports et notifications : vous pouvez par exemple supprimer ou remplacer le logo Kaspersky Lab affich par dfaut dans le coin suprieur droit de tous les rapports, ou encore entrer le nom de votre socit au lieu du nom du produit (Kaspersky Security Center). partir de Kaspersky Security Center 9.0, les rapports peuvent galement tre consults dans longlet Rapports de la Console Web. Bien que les possibilits de configuration de la Console Web soient restreintes, celle-ci prsente quelques avantages par rapport la Console dadministration : elle na pas besoin dtre installe et un rapport peut tre gnr partir de nimporte quel ordinateur disposant dun accs rseau au Serveur dadministration. La Console Web permet galement dexporter les rapports dans des fichiers (html, xml ou pdf) et de les envoyer par courrier lectronique. Seules les adresses de diffusion sont configurables ce niveau. Vous ne pouvez pas spcifier un serveur SMTP ou une planification. Les rapports slectionns sont envoys par courrier lectronique chaque jour minuit par dfaut. Cette planification ne peut tre modifie que dans la Console dadministration, dans les proprits de la tche Envoi dun rapport pour Kaspersky Security Center Web-Console. La partie gauche de la Console Web numre tous les rapports disponibles sur le Serveur. Cette liste est la mme que celle prsente ladministrateur dans la Console dadministration. Si ladministrateur ajoute un nouveau modle de rapport ou modifie les proprits dun rapport standard, en limitant par exemple le temps denregistrement des vnements ou les ordinateurs inclure dans le rapport, les changements concerneront galement les rapports de la Console Web. Rappelez-vous que lutilisateur de la Console Web ne peut afficher les paramtres des rapports mais seulement leurs noms. Cest pourquoi il est particulirement important de nommer les nouveaux rapports de manire adquate. Les panneaux de rapports et de statistiques sont trs utiles pour surveiller ltat du dploiement et de la protection, configurer les mises jour et effectuer dautres oprations quotidiennes.
IV13
IV14
Chapitre 2. Mises jour

KES 8.0 utilise la majorit des mises jour et requiert trois types de mises jour : Mises jour des bases de donnes de signatures contenant des signatures de logiciels malveillants, des descriptions dattaques rseau, des adresses Web suspectes et dhameonnage, de bannires, de courriers indsirables, etc. Ces bases de donnes sont publies rgulirement (toutes les heures en moyenne) et ne ncessitent aucun redmarrage du systme pour tre installes. Les bases de donnes de signatures sont cruciales pour la protection. Elles doivent toujours tre jour. Kaspersky Lab publie des mises jour toutes les heures. La planification recommande en ce qui concerne la mise jour de la base de donnes est toutes les deux heures ou plus souvent. La plus grande partie de la base de donnes est tlcharge lors de la premire mise jour. Ensuite, seules les modifications seront tlcharges, ce qui reprsente habituellement un volume de quelques centaines de kilooctets. Les versions prcdentes de Kaspersky Anti-Virus stockaient les bases de signatures sous forme dun dossier contenant de nombreux fichiers kdc dune taille de 100 200 ko chacun. KES 8.0 compresse les mises jour reues dans des archives iso et accde donc un nombre moins important de fichiers physiques. Cela permet dconomiser du temps daccs au systme de fichiers et acclre ainsi le fonctionnement de la protection. Gnralement, lordinateur na pas besoin dtre redmarr pour pouvoir utiliser les nouvelles bases de signatures. Si cette ncessit survient, lvnement Le redmarrage de lapplication est requis pour terminer la mise jour sera envoy au Serveur et lutilisateur verra la notification correspondante dans linterface locale. Cet vnement nest pas critique. Cest pourquoi lordinateur nest pas redmarr automatiquement et KES attend simplement le redmarrage. Mise jour du cache KSN local. Contrairement aux autres mises jour, celle-ci est effectue en arrire-plan. Le seul paramtrage disponible est constitu par les Paramtres du serveur proxy, lesquels sont prciss dans la stratgie de KES. KSN est dcrit plus en dtail dans lunit II. Mises jour des modules, des mises jour des modules du programme destines amliorer les performances et corriger les problmes dcouverts dans le produit. Ces mises jour ne sont pas publies intervalles rguliers comme les bases de signatures. Leur installation requiert parfois le redmarrage du systme, auquel cas lutilisateur recevra une invite. En dautres termes, ce sont des correctifs pour les modules de KES, de lAgent dadministration et du Serveur dadministration. Gnralement, ils ne sont pas critiques en ce qui concerne la protection.
IV15
IV16
2.1 Administration de la mise jour

Ordre des mises jour
Dans un systme de protection centralis, les mises jour sont distribues de manire centralise. Cela permet de diminuer le trafic externe, les mises jour tant tlcharges une seule fois dans le rseau. De plus, ladministrateur a un meilleur contrle du processus de mise jour. Le scnario le plus simple est celui dans lequel les mises jour sont tlcharges vers les stockages du Serveur dadministration puis distribues aux postes clients. Des scnarios plus complexes mettant en jeu des sources de distribution intermdiaires seront abords dans lunit V de ce cours.
IV17
IV18
Stockage Mises jour

Le stockage Mises jour affiche toutes les bases de donnes sous forme de tableau et numre les signatures de menaces stockes sur le Serveur. Chaque objet a les attributs suivants : Nom : indique le composant ou le produit auquel les mises jour sont destines, par exemple Bases des URL suspectes et de phishing ou Bases de lAnti-bannire. Description : spcifie quelle version de quel produit la base de donnes est destine ou, si un composant unique utilise plusieurs bases diffrentes, les types de menaces dcrites dans la base de donnes en question. Date de cration : date laquelle la mise jour a t publie sur les serveurs officiels Kaspersky Lab. Reu : date de tlchargement de la base de donnes dans le stockage du Serveur. Taille : taille de la base de donnes entire. En cas de mises jour rgulires, les postes clients tlchargent simplement la diffrence entre la version de la base en cours et la version disponible dans le stockage. Ainsi, le trafic rel est considrablement moins important que la taille spcifie. Remarque : Lorsque le stockage est mis jour, les informations suivantes sont tlcharges en plus des bases de donnes : donnes sur les vulnrabilits et conditions de catgories KL pour Contrle des applications. En utilisant les liens du stockage Mises jour, vous pouvez consulter le rapport sur la version de la base de donnes, modifier les paramtres de mise jour du stockage ou dmarrer la tche de tlchargement des mises jour dans le stockage.
2.2 Mise jour du rfrentiel du Serveur

La tche de mise jour du rfrentiel du Serveur dadministration est nomme daprs sa fonction : Tlchargement des mises jour dans le rfrentiel. Elle est cre par lAssistant de dmarrage rapide et se trouve dans la Console dadministration, sous le nud Tches du Serveur dadministration. Les paramtres de cette tche comprennent sa planification, la source des mises jour, les paramtres de connexion la source, la liste des mises jour tlcharger et quelques options supplmentaires. Comme il ny a quune seule tche de cette nature, il est recommand de planifier son excution rgulire court intervalle, de 15-20 minutes plusieurs heures. La valeur par dfaut est 1 heure.
IV19
IV20
Les sources de mise jour suivantes sont disponibles : Serveurs de mise jour Kaspersky Lab : liste des serveurs FTP et HTTP officiellement mise jour par Kaspersky Lab. Ces serveurs sont dissmins dans divers pays travers le monde afin dassurer la fiabilit de la procdure de mise jour. Si la tche ne peut se connecter un serveur, elle tentera de contacter le prochain sur la liste. La liste des serveurs est tlcharge avec les autres mises jour. Serveur dadministration principal : cette option est utilise dans les systmes administrs de manire hirarchique et comprenant plusieurs Serveurs dadministration Kaspersky Security Center 1. Dossier local ou de rseau : une source de mise jour cre par ladministrateur. Vous pouvez spcifier non seulement un dossier rseau, mais aussi une adresse FTP ou HTTP. Plusieurs sources peuvent tre configures dans une tche mise jour. Si la premire source savre inaccessible 2, la tche tentera de tlcharger les mises jour partir de la source suivante de la liste. Il est possible que vous soyez dans lobligation de spcifier les paramtres du serveur proxy permettant daccder la source des mises jour. Un seul serveur proxy peut tre spcifi. Si un proxy nest pas ncessaire pour accder certaines sources, vous pouvez activer loption Ne pas utiliser de serveur proxy dans leurs proprits. Les paramtres du serveur proxy peuvent tre dfinis automatiquement ou spcifis manuellement. Pour une dfinition automatique, cochez la case correspondante dans les proprits de la tche de mise jour, dans la section Configuration / Paramtres de connexion. Le dlai dattente de la connexion et lutilisation du mode FTP passif sont configurs dans la mme fentre. Vous pouvez spcifier manuellement ladresse du serveur proxy, son port et ses paramtres dauthentification dans les proprits du Serveur dadministration / Avanc / Paramtres daccs au rseau Internet.
1 2
Ce scnario est abord dans lunit V de ce cours. La source Serveurs de mise jour de Kaspersky Lab est considre comme inaccessible si aucun de ses serveurs connus nest disponible.
IV21
IV22
Ladministrateur peut choisir les types de mises jour tlcharger dans la fentre Option de mise jour. En rgle gnrale, Kaspersky Security Center dtecte automatiquement les mises jour requises en fonction des produits installs sur les postes clients et ceux pour lesquels il a des paquets dinstallation. Ce comportement est dtermin par loption Dfinir automatiquement le contenu des mises jour tlcharges. Ladministrateur peut galement slectionner les mises jour tlcharger manuellement. Cela peut savrer ncessaire si un dossier de mise jour du serveur est utilis la fois comme source pour les ordinateurs administrs et, par exemple, pour Kaspersky Anti-Spam for Linux Mail Servers. Dans ce cas, activez la case cocher Forcer le tlchargement des types suivants de mises jour et cochez les cases des types de mise jour voulus. linverse, lorsque certains composants de KES tels quAnti-bannire ou Protection de la vie prive ne sont pas utiliss dans le rseau, il est possible dviter de tlcharger des bases de donnes inutiles. Ladministrateur peut dsactiver la dtection automatique des mises jour requises et slectionner uniquement les composants rellement utiliss au sein du rseau. Autres paramtres comprend les options de tlchargement et dinstallation des mises jour des composants du systme dadministration : Mise jour des modules du Serveur dadministration Mise jour des modules de lAgent dadministration Ces options impliquent que les correctifs spcifis sont non seulement tlchargs, mais aussi immdiatement installs. En ce qui concerne lAgent dadministration, les mises jour seront distribues aux postes clients lors de la synchronisation suivante avec le Serveur dadministration. Les autres paramtres de cette catgorie concernent les mises jour en environnement hirarchique et seront abords dans lunit V de ce cours. La tche Tlchargement des mises jour dans le rfrentiel peut tre supprime. Pour la recrer, cliquez sur le lien Modifier les paramtres de tlchargement des mises jour dans le stockage 3 situ sur la page Stockage Mises jour. Vous pouvez galement dmarrer lassistant de cration de tche dans le nud Tches du Serveur dadministration.
Une tentative de tlchargement des mises jour dans le rfrentiel effectue alors que la tche correspondante est manquante dmarrera galement lassistant de cration de tches de tlchargement des mises jour.
IV23
IV24
2.3 Mise jour des postes clients

Les mises jour du rfrentiel du Serveur sont distribues aux postes clients au moyen des tches de mise jour de groupe. Pour assurer le traitement de tous les ordinateurs administrs, une tche de mise jour doit tre une tche de groupe cre dans le nud Ordinateurs administrs. LAssistant de dmarrage rapide cre ce type de tche : Mise jour. Si les ordinateurs sont organiss en groupes et que la procdure de mise jour optimale est diffrente dun groupe lautre, vous pouvez crer une tche de mise jour personnalise pour chaque groupe 4. Noubliez pas que si des groupes parent et enfant ont des tches de mme type, les ordinateurs du groupe enfant excuteront les deux tches. Pour viter cela, supprimez la tche du groupe parent, dsactivez son dmarrage planifi ou configurez des exclusions pour les sous-groupes ayant leurs propres tches. Remarque : Si des outils de protection autres que KES 8.0 (par exemple KES for Mac ou Kaspersky Anti-Virus 6.0 for Windows Servers MP4) sont utiliss dans votre rseau, ils doivent disposer de tches de mise jour distinctes.
La mthode la plus simple est de copier la tche puis den modifier les paramtres.
IV25
IV26
Chaque tche de mise jour du produit dispose dune planification et de paramtres spcifiques, dont : la liste des sources de mise jour, la liste des mises jour, les paramtres utiliss pour copier les mises jour vers un dossier spcifi, la liste des sous-groupes pour lesquels la tche ne sera pas excute.
La planification standard des tches de mise jour de KES est Lors du tlchargement des mises jour dans le rfrentiel. Chaque fois que de nouvelles bases de signatures apparaissent dans le rfrentiel du Serveur dadministration, celui-ci envoie le signal correspondant au port UDP 15000 des postes clients, dclenchant ainsi le signal dmarrage de la tche de mise jour. Cette planification permet aux ordinateurs de rcuprer les mises jour sans dlais et vite simultanment de surcharger le Serveur de requtes inutiles. En guise dalternative, vous pouvez utiliser une planification rgulire, une fois toutes les heures par exemple. Afin dviter une charge importante de la source des mises jour et du rseau, il est possible de randomiser le lancement de la tche dans un certain intervalle. Par exemple, si un intervalle de 5 minutes est slectionn, lordinateur lancera la prochaine mise jour planifie aprs un dlai alatoire de 0 5 minutes. La valeur du dlai alatoire des tches cres par lAssistant de dmarrage rapide dpend de la taille de rseau slectionne lors de linstallation du Serveur dadministration : moins de 100 ordinateurs : aucun dlai, de 100 1000 ordinateurs : 5 minutes, de 1000 5000 ordinateurs : 10 minutes, plus de 5000 ordinateurs : 10 minutes.
Pour spcifier la liste des sources, ouvrez la section Paramtres des proprits de la tche et cliquez sur le bouton Configuration. Les mises jour peuvent tre rcupres depuis les sources suivantes : Kaspersky Security Center : source recommande pour tous les ordinateurs administrs. Serveurs de mise jour de Kaspersky Lab : source recommande pour les ordinateurs situs en dehors du primtre de lentreprise ou source de secours si le Serveur dadministration spcifi nest pas accessible. Dossier de mise jour local ou rseau : autre source de mises jour possible (source de secours). Une adresse FTP ou HTTP peut tre spcifie en tant que dossier rseau. Les mises jour sont rcupres depuis le Serveur dadministration par les Agents dadministration. Dans le cas de mises jour tlcharges depuis les serveurs de mise jour de Kaspersky Lab ou dautres emplacements FTP ou HTTP, le tlchargement se fait par le biais des protocoles rseau standard. Si un serveur proxy est ncessaire pour accder la source, ses paramtres sont dfinis dans la stratgie de protection (dans la section Paramtres complmentaires / Paramtres des applications). Par dfaut, un serveur proxy automatiquement dtect est utilis. En outre, vous pouvez spcifier une liste de sources de mise jour distincte pour les postes clients fonctionnant en mode mobile (ce qui signifie gnralement que le Serveur dadministration leur est inaccessible). Cest pourquoi, les mises jour seront tlcharges depuis les serveurs de mise jour de Kaspersky Lab par dfaut. Le mode mobile est dcrit en dtail plus loin dans notre cours. Vous pouvez configurer la copie des mises jour dans un dossier spar dans la section Paramtres des proprits de la tche de mise jour. Ce mode peut tre utilis pour crer une source de mises jour dans les petits rseaux ou les sous-rseaux ne disposant pas du Serveur dadministration de Kaspersky Security Center. Dans les rseaux de plus grande taille, les agents de mise jour sont utiliss pour crer des sources intermdiaires de mise jour. Cette fonction ainsi que dautres sont utiles dans les grands rseaux et sont dcrites dans lunit V de notre cours.
IV27
IV28
Les types de mises jour tlchargs dpendent du paramtre Mettre jour les modules de lapplication de la tche de mise jour. Ici, seuls les correctifs de KES sont concerns. Les mises jour des modules de lAgent dadministration sont configures dans la tche de tlchargement des mises jour dans le rfrentiel du Serveur dadministration. Tout comme les tches de recherche de virus, les tches de mise jour de groupe cres un niveau suprieur sont automatiquement excutes sur les postes clients de tous les sous-groupes. Pour dsactiver lhritage pour certains sous-groupes, ceux-ci doivent tre ajouts dans la liste des exclusions de ltendue de la tche, dans les proprits de la tche.
IV29
IV30
La page Dbut du fonctionnement fournit des informations sur les bases de donnes utilises. Si tout est en ordre, la section Mise jour affiche la dure coule depuis le dernier tlchargement des mises jour des bases de donnes vers le rfrentiel du serveur. Si un problme est survenu, sa description est galement affiche dans cette section, le signal lumineux passe au jaune ou au rouge et un lien vers les informations dtailles ou les oprations pertinentes apparat en dessous. Le lien Configurer la tche de mise jour apparaissant lorsque les bases de donnes du rfrentiel deviennent primes ouvre les proprits de la tche Tlchargement des mises jour dans le rfrentiel. Le lien Consulter les ordinateurs permet douvrir la liste des ordinateurs ayant ltat Les bases sont dpasses. Des informations plus dtailles sur les bases de donnes utilises et les ordinateurs prsentant des problmes sont disponibles dans lcran des statistiques et dans les rapports concerns. Outre le rapport sur les bases de donnes utilises, le rapport sur les versions des mises jour de modules des applications Kaspersky Lab peut prsenter un intrt. Le lien Modifier les paramtres des mises jour de la section Mise jour de la page Dbut du fonctionnement ouvre le nud Stockages / Mises jour contenant des liens vers les paramtres des tches de mise jour par dfaut et le rapport sur la version des bases de donnes.
IV31
IV32
Chapitre 3. Administrer les cls

3.1 Vue densemble
La licence de KES prvoit son utilisation sur un nombre dfini dordinateurs protgs. Pour protger 10 ordinateurs avec le produit, vous devez acheter une cl pour 10 ordinateurs ou plusieurs cls vous donnant le droit dinstaller le produit sur dix ordinateurs au total. En ce qui concerne le Serveur dadministration, la cl nest gnralement pas ncessaire. Kaspersky Security Center est gratuit. Remarque : partir de la version 9.0, Kaspersky Security Center prend en charge les Serveurs dadministration virtuels. Seuls 10 serveurs virtuels peuvent tre crs gratuitement. Si une socit prvoit de vendre les produits de Kaspersky Lab en tant que service (qui est le but principal de serveurs virtuels), elle doit signer un contrat en consquence et recevoir une cl spciale. Elle sera ajoute directement sur le Serveur dadministration principal (dans la section Cls des proprits du Serveur), ou via le stockage Cls de Kaspersky Security Center. Reportez-vous lunit V pour de plus amples informations sur les serveurs virtuels, leur finalit et leur utilisation.
IV33
IV34
3.2 Stockage Cls

Dans un systme de protection centralis, toutes les cls utilises sur les ordinateurs du rseau sont affiches dans stockage Cls. Les informations suivantes sont fournies pour chaque cl : numro de srie, type, priode de validit et nombre maximal dordinateurs sur lesquels la cl peut tre installe. En outre, vous pouvez voir le nombre dordinateurs qui utilisent dj cette cl ainsi que le nombre dinstances non utilises de la cl. Dans les Proprits de chaque cl, vous pouvez trouver les noms des htes sur lesquels la cl est installe. Licne de la cl donne les informations suivantes : Cette cl est utilise sur des postes clients mais nest pas disponible sur le Serveur dadministration, cest-dire que cette cl ne peut tre installe sur dautres ordinateurs du rseau partir du Serveur dadministration. Cette cl est disponible sur le Serveur dadministration et peut tre installe sur dautres postes clients. Cette cl est automatiquement installe sur les postes clients.
3.3 Installation automatique des cls

Ladministrateur peut configurer nimporte quelle cl disponible sur le Serveur dadministration pour installation automatique sur les postes clients. Linstallation automatique signifie que lorsque le Serveur dadministration dtecte un poste client comportant une version de KES non active, il envoie automatiquement la cl spcifie pour installation. LAgent dadministration transfre la cl qui active le produit. Vous pouvez dfinir plusieurs cls utiliser pour linstallation automatique. Si un ordinateur peut utiliser lune dentre elles, la cl ajoute au Serveur en premier sera installe jusqu ce que sa limite soit atteinte. Ensuite, la cl suivante sera utilise pour linstallation automatique. Les cls destines linstallation automatique sont envoyes pendant les sessions de synchronisation entre lordinateur protg et le Serveur dadministration.
3.4 Proprits de la cl
Les cls sont publies pour un nombre prcis dordinateurs protgs. Elles se distinguent par leur type et ont des dures de validit diffrentes. Une cl commerciale standard est gnralement valable pendant un an. Dans certains cas, des cls peuvent tre publies pour des priodes plus ou moins longues. En rgle gnrale, les cls de courte dure sont de types particuliers et non commerciaux. Outre les cls commerciales standard, les types de cls suivants sont disponibles : Essai : comportant des limitations de fonctionnalits Bta-test : valables uniquement pour les versions bta, elles ne fonctionnent pas avec les versions commerciales
IV35
NFR : disposent des mmes fonctionnalits que les cls commerciales, mais ne peuvent tre vendues
IV36
3.5 Activation de KES

KES a besoin dune cl valide pour fonctionner correctement. Le produit peut tre activ de plusieurs faons : en spcifiant un fichier de cl, en entrant un code dactivation ou en activant une version dessai. Quelle que soit la mthode choisie, une cl spciale est utilise pour activer votre produit. Cette cl est tlcharge partir dun serveur dactivation (lorsque vous entrez le code dactivation ou activez une version dessai) ou spcifie explicitement. Les fonctionnalits de KES dpendent de la cl installe. Gnralement, une cl de nimporte quel type active toutes les fonctions. Toutefois, le systme de gnration de cls permet la publication de cls activant seulement certaines fonctions. Les fonctionnalits restant actives aprs expiration de la licence dpendent du type de cl. Par exemple, dans le cas dune cl commerciale ou dune cl NFR expire, les mises jour automatiques des produits sont dsactives. Le produit continuera dtecter et lutter contre les menaces, mais avec danciennes signatures de menaces. Quand une cl dessai expire, le produit cesse entirement de fonctionner. KES se comporte alors comme si aucune cl ntait installe. Les cls dont lintgrit est compromise sont mises sur liste noire. La liste noire est mise jour avec les bases de signatures. Si la liste noire des cls est absente de lordinateur, toutes les fonctionnalits de KES sont bloques, sauf la mise jour. Aprs une mise jour, la liste noire est tlcharge et les autres fonctions sont actives si lintgrit de la cl installe nest pas compromise.
IV37
IV38
3.6 Ajouter des cls au Serveur dadministration

La premire opportunit dajout de cl au Serveur dadministration est offerte par lAssistant de dmarrage rapide. En utilisant cet assistant, vous pouvez ajouter une ou plusieurs cls et spcifier les cls utiliser pour linstallation automatique. Par dfaut, toutes les cls ajoutes sont actives pour linstallation automatique. Par la suite, vous pourrez utiliser lAssistant dajout dune cl pour ajouter davantage de cls au Serveur dadministration. Pour lancer lassistant, cliquez sur Ajouter une cl dans le panneau de tches du nud de stockage Cls (vous pouvez galement utiliser la mme commande dans le menu contextuel du nud). Vous pouvez ajouter des cls de la mme manire que dans lAssistant de dmarrage rapide : en spcifiant le fichier de cl ou en entrant le code dactivation. En outre, vous pouvez ajouter de nouvelles cls chaque fois que vous tes invit slectionner une cl dans le stockage. Par exemple, lorsque vous slectionnez une cl dans les proprits du paquet dinstallation, lorsque vous crez un paquet dinstallation autonome ou lorsque vous utilisez lassistant de dploiement. Chaque fois que vous ajoutez un nouveau fichier de cl, sa validit et lintgrit du fichier sont vrifies.
3.7 Installation de cls

Si linstallation automatique des cls nest pas utilise, vous pouvez activer les produits KES en spcifiant les cls dans les proprits dun paquet dinstallation (ordinaire ou autonome). Une autre mthode consiste crer une tche spare pour linstallation des cls. Remarque : Si plusieurs produits de protection Kaspersky Lab sont utiliss dans le rseau, par exemple, si lon rencontre KES for Linux Workstations ou Kaspersky Anti-Virus 6.0 for Windows Workstations en plus de KES 8.0 pour Windows, une tche distincte doit tre cre pour chaque produit, mme si la mme cl est utilise pour tous ces produits. La tche peut tre cre par un assistant comme une tche de groupe ou une tche pour les slections dordinateurs. Slectionnez lapplication et le type de tche voulus dans lassistant. En outre, il existe un assistant rapide de cration de tches dmarr par le lien Diffuser la cl sur les ordinateurs administrs situ sur le panneau de tches et il est galement possible dutiliser la commande Activer lapplication se trouvant dans le menu contextuel du stockage Cls. Dans lassistant rapide, le type de tche na pas besoin dtre spcifi. Le nom par dfaut Activer lapplication est affich (et non Nouvelle tche comme dans lassistant de cration de tches) et une tche pour les slections dordinateurs est toujours cre. Lors de la cration dune tche dinstallation de cl, la cl doit tre spcifie sous forme de fichier et vous ne pouvez pas slectionner une cl dans le rfrentiel du Serveur. La compatibilit de la cl avec le programme slectionn est immdiatement vrifie.
IV39
IV40
Une autre caractristique de la tche dinstallation de cls est la possibilit dajouter une cl de rserve. Lorsque la distribution automatique est dsactive, il est possible que ladministrateur ne saperoive pas immdiatement quune cl a expir et le produit ne pourra pas tre mis jour. Si une nouvelle cl est installe par-dessus lancienne et que celle-ci na pas encore expir, plusieurs jours de validit de la licence peuvent tre perdus. La solution propose par KES est dinstaller une nouvelle cl en tant que cl de rserve, ce qui permet de prserver la cl en cours au lieu de la remplacer. Une cl de rserve est active automatiquement lorsque la cl en cours expire. Une cl de rserve ne peut pas tre une cl dessai et doit expirer plus tard que la cl en cours. Si linstallation automatique des cls est active, il nest pas ncessaire dutiliser des cls de rserve. Ajoutez simplement une nouvelle cl au Serveur dadministration et activez linstallation automatique. Lorsque la cl en cours expire, la nouvelle cl sera tlcharge partir du Serveur dadministration au cours de la session de synchronisation suivante.
3.8 Rapport sur lutilisation des cls

Le nud de stockage Cls fournit des donnes dtailles sur lutilisation des cls dans votre rseau. La date dexpiration de chaque cl et le nombre dordinateurs sur lesquels elle est installe sont affichs. La fentre des proprits de la cl affiche la liste des ordinateurs sur lesquels elle est installe. Le Rapport dutilisation des cls contient des donnes supplmentaires dans un format la structure pratique. Pour le consulter, slectionnez le nud correspondant dans larborescence du nud Rapports et notifications ou cliquez sur le lien Consulter le rapport dutilisation des cls situ dans le panneau de tches du nud de stockage Cls. Le rapport contient des donnes structures relatives au nombre de cls utilises et la liste complte des ordinateurs avec des informations dtailles sur chaque cl (dates dinstallation et dexpiration). Le modle du rapport peut tre modifi pour en limiter ltendue nimporte quel groupe dordinateurs.
IV41
IV42
Chapitre 4. Interaction avec lutilisateur

Dans ce chapitre, nous dcrirons linterface locale de KES, savoir ce que les utilisateurs voient sur leur poste de travail. En utilisant les stratgies de Kaspersky Security Center, ladministrateur peut administrer linterface locale de KES distance, dfinir un mot de passe pour la suppression ou la modification des paramtres de protection, activer ou dsactiver les notifications contextuelles pour les diffrentes actions et incidents.
4.1 Protection par mot de passe

Afin dempcher les utilisateurs daffaiblir ou darrter la protection, configurez la stratgie en rendant les paramtres cruciaux obligatoires (cest--dire fermez le cadenas). Lautodfense de KES bloquera les tentatives darrt de ses processus ou de suppression de ses fichiers sur le disque. Remarquez que le paramtrage par dfaut offre aux utilisateurs au moins deux mthodes pour dsactiver la protection. La premire mthode est de cliquer sur la commande Terminer du menu contextuel de licne KES 8.0 situe dans la zone de notification. La seconde mthode consiste dsinstaller KES 8.0. Une autre manire moins vidente de dsactiver la protection est de dsinstaller lAgent dadministration. Une fois lAgent dadministration supprim, KES 8.0 nest plus contrl par la stratgie et lutilisateur peut modifier nimporte quel paramtre. La protection par mot de passe empche toute activit destructrice des utilisateurs.
IV43
IV44
Protection de KES par mot de passe

La protection mot de passe peut tre active pour la plupart des actions de lutilisateur susceptibles daffecter KES : modification des paramtres, arrt du programme et dsinstallation. Pour activer la protection par mot de passe, ouvrez la stratgie dans la section Paramtres complmentaires / Interface et activez la case cocher Activer la protection par mot de passe. Cliquez ensuite sur le bouton Configuration situ proximit de la case cocher, entrez le mot de passe et spcifiez les oprations protger : Configuration de lapplication : tous les paramtres de KES sont protgs, y compris le choix des composants excuter. Il reste possible darrter les composants au moyen de leur menu contextuel. Arrt de lapplication : la fentre de saisie du mot de passe est affiche chaque fois que la commande Terminer est slectionne. Entre-temps, lautodfense de KES empchera les tentatives darrt de ses processus ou de suppression de ses fichiers. Dsactivation des modules de protection et arrt des tches danalyse : lutilisateur peut dmarrer les composants de protection et les tches locales (si elles sont affiches). La fentre de saisie du mot de passe napparat que si lutilisateur tente de les arrter. Les tches de mise jour ne disposent pas de cette protection. Dsactivation des modules de contrle : le mot de passe est ncessaire pour dsactiver Contrle des priphriques, Contrle du lancement des applications ou Filtrage de contenu. Dsactivation de la stratgie Kaspersky Security Center : la possibilit de dsactiver temporairement la stratgie est ajoute au menu contextuel de licne de KES qui demandera le mot de passe. Suppression de la licence : lutilisateur ne peut pas arrter la protection en supprimant la cl, moins dentrer le mot de passe. Suppression de lapplication : linvite de mot de passe est ajoute lassistant de dsinstallation de KES 5. Lavantage de la protection par mot de passe est quelle reste active mme lorsque la stratgie est dsactive. Une fois les paramtres de protection par mot de passe appliqus KES, les utilisateurs sont incapables dadministrer le produit sans disposer dun mot de passe valide, mme si ladministrateur dsactive la stratgie. Remarque : Par dfaut, la protection par mot de passe nest pas applique (le verrou correspondant est ouvert). Pour activer la protection par mot de passe, fermez dabord le verrou puis appliquez la stratgie.
Pour dsinstaller le produit depuis la ligne de commande, le mot de passe sera galement ncessaire.
IV45
IV46
Configuration de la protection de lAgent dadministration par mot de passe

Compar KES, lAgent dadministration se remarque moins dans un systme hte. La liste des programmes installs est un des rares endroits o il est possible de le trouver. Le terme Kaspersky prsent dans le nom du produit peut suffire certains utilisateurs pour tenter de dsinstaller lAgent dadministration. Si lutilisateur a des privilges dadministrateur, la tentative sera fructueuse. Ladministrateur peut dfinir un mot de passe pour la dsinstallation dans la stratgie de lAgent dadministration. LAssistant de dmarrage rapide cre la stratgie automatiquement lorsque vous slectionnez une taille de rseau suprieure 1000 ordinateurs lors de linstallation de Kaspersky Security Center. Si vous slectionnez une taille de rseau infrieure, vous pouvez crer la stratgie de lAgent dadministration manuellement. Il existe un assistant spcial permettant de crer les stratgies. Pour le dmarrer, cliquez sur Crer une stratgie sur le panneau de tches de longlet Stratgies du groupe souhait. Lassistant vous demandera le nom de la stratgie crer, le nom du produit que la stratgie contrlera et ltat initial de la stratgie (active ou inactive). Ensuite, vous pourrez configurer les paramtres du produit slectionn. Le mot de passe requis pour la dsinstallation de lAgent dadministration fait partie de la section Paramtres. Par dfaut, il nest pas spcifi. Activez la case cocher Utiliser le mot de passe de dsinstallation, cliquez sur le bouton Modifier pour entrer le mot de passe et verrouillez le groupe de paramtres. Une fois la stratgie applique, linvite de mot de passe est ajoute lassistant de dsinstallation de lAgent dadministration. Toute tentative de dsinstallation de lAgent dadministration au moyen de la ligne de commande effectue sans mot de passe sera voue lchec.
IV47
IV48
4.2 Administration des tches locales et des tches de groupe au moyen de linterface de KES
Par dfaut, linterface locale permet daccder une seule tche locale (Analyse personnalise) au moyen de la fentre de KES ou du menu contextuel de nimporte quel fichier ou dossier. Lutilisateur peut galement voir trois tches de groupe par dfaut : Recherche de virus, Mise jour et Recherche de vulnrabilits. Elles sont cres sur le Serveur dadministration par lAssistant de dmarrage rapide et sont affiches par dfaut dans linterface locale. Lutilisateur ne peut ni en modifier les paramtres, ni les excuter. Il ne peut que consulter leurs rapports. Ces limitations ne sont valables que si la stratgie de Kaspersky Security Center a t applique sur le poste client. Si une stratgie de KES nest pas prsente ou applique, lutilisateur local peut configurer et administrer les tches de mise jour et danalyse. Mais ds quune stratgie est applique, les tches locales Analyse complte, Analyse rapide, Mise jour et Recherche de vulnrabilits sont dsactives et masques, et remplaces par des tches de groupe similaires (qui ne peuvent tre administres qu partir du Serveur dadministration par dfaut).
IV49
IV50
La tche danalyse personnalise et les noms des tches de groupe affiches dans linterface sont gnralement suffisants pour que lutilisateur se sente protg. Toutefois, ladministrateur peut aussi : Permettre lutilisateur dadministrer les tches de groupe : cette option est contrle par la stratgie de protection, la case cocher Autoriser la gestion des tches de groupe dans la section Paramtres complmentaires / Paramtres de lapplication. Annuler le masquage des tches locales : dans la mme section de la stratgie de protection se trouve la case cocher Autoriser laffichage et ladministration des tches locales (sauf analyse personnalise). Le texte entre parenthses signifie que le paramtre nest pas applicable la tche danalyse personnalise, qui est toujours disponible.
4.3 Analyse des disques amovibles la connexion

La stratgie de protection permet galement de configurer laction que Kaspersky Security Center doit effectuer lorsque lutilisateur local connecte un disque amovible (dans les cas o le lecteur amovible nest pas bloqu par Contrle des priphriques). Trois options sont disponibles : Ne pas analyser Analyse complte Analyse rapide La tche danalyse la demande est prvue pour cela. Elle est dcrite en dtail dans lunit III de ce cours. Par dfaut, les disques amovibles ne sont pas analyss automatiquement sils sont autoriss par Contrle des priphriques. Si lanalyse est active, vous pouvez limiter la taille des disques analyser. Sinon, si lutilisateur connecte un disque de grande capacit, lanalyse peut durer plusieurs heures.
IV51
IV52
4.4 Notifications locales

Cest ladministrateur qui est cens ragir aux vnements de KES. Cest pourquoi les vnements sont transfrs au Serveur dadministration et affichs dans la Console. Les paramtres correspondants se trouvent sur longlet Evnements de la stratgie de protection de KES. Les mmes vnements peuvent tre affichs sous forme de messages contextuels destins aux utilisateurs. Les utilisateurs locaux nont pas besoin de voir la plupart des vnements (les vnements relatifs la maintenance de KES par exemple : bases de donnes primes, redmarrage requis, expiration prochaine de la licence et autres). Les tches de maintenance sont effectues par les administrateurs qui reoivent ces informations de la Console. Toutefois, il est logique dinformer les utilisateurs des oprations interdites. Quand un utilisateur tente douvrir un site Web dhameonnage ou de tlcharger un programme malveillant, il est recommand non seulement de bloquer laction, mais aussi dexpliquer la raison pour laquelle elle a t bloque. Dans le cas contraire, lutilisateur peut supposer que lordinateur ne fonctionne pas correctement et contacter ladministrateur pour poser des questions superflues. De plus, dans une grande organisation o la scurit et la maintenance sont gres par diffrents services, beaucoup de temps peut scouler avant que la raison du blocage ne soit connue. Par dfaut, seules les notifications relatives aux accs bloqus ou aux contenus dangereux sont actives. Lutilisateur verra une fentre contextuelle dans cinq cas seulement : Lancement de lapplication interdit : le Contrle du lancement des applications a bloqu le dmarrage du programme. Opration avec le priphrique est interdite : rsultat dune restriction impose par Contrle des priphriques. Remarque : Lutilisateur peut envoyer une rclamation au sujet dun priphrique bloqu ladministrateur. Le modle de ce message est configur dans la stratgie de protection, dans la section Endpoint Control / Contrle des priphriques. Reportez-vous lunit III de ce cours pour de plus amples dtails. Accs temporaire au priphrique activ : accs temporairement autoris par Contrle des priphriques. Le lien dhameonnage, ouverte prcdemment, a t dtecte : Antivirus Internet considre le lien comme un lien dhameonnage. Vulnrabilit dtecte : la tche Recherche de vulnrabilits a dtect une vulnrabilit dans le logiciel install. Lorsque lutilisateur tente daccder un objet infect (ouverture, copie, rception par courrier lectronique ou tlchargement au moyen dun navigateur Web), une notification est affiche. Cest soit un avertissement systme relatif limpossibilit douvrir le fichier (parce KES la bloqu), soit le message affich par KES, en remplacement dune page Web infecte par exemple. Ces notifications ne peuvent pas tre dsactives via la stratgie de Kaspersky Security Center. De plus, lorsquune menace est dtecte, licne de KES change dapparence pendant les quelques secondes que prend la rsolution du problme. Ensuite, lutilisateur pourra dcouvrir lincident dans les statistiques affiches dans la fentre principale du programme ou dans le rapport (si la stratgie autorise laffichage de linterface locale).
IV53
IV54
Si ladministrateur estime quun nombre plus important ou plus restreint de notifications doit tre envoy aux utilisateurs, il peut le paramtrer dans la stratgie de protection. Dans la section Paramtres complmentaires / Interface se trouve la case cocher Notifications et le bouton Configuration permettant douvrir la liste des vnements et des mthodes de notification locale 6. Remarque : Par dfaut, les paramtres de notification ne sont pas obligatoires. Pour les appliquer, fermez le verrou et appliquez la stratgie.
4.5 Informations relatives lassistance technique

Sil est prvu que les utilisateurs travaillent avec linterface de KES, les administrateurs peuvent changer le texte et les liens standard affichs dans la fentre Support Technique de linterface locale. Par dfaut, celle-ci contient les liens vers le systme de traage, le site Web de lassistance technique de Kaspersky Lab (http://www.kaspersky.com/fr/support), la base de connaissances et le forum utilisateur de Kaspersky Lab o il est possible de trouver la rponse de nombreuses questions. Ladministrateur peut remplacer ces trois liens vers le site de Kaspersky Lab par un autre texte prcisant par exemple les coordonnes et ladresse de courrier lectronique du service dassistance local ou interne, afin que toutes les questions des utilisateurs y soient envoyes. Le texte et les liens sont spcifis dans la stratgie de protection, dans la section Paramtres complmentaires / Interface. Cliquez sur le bouton Configuration dans la zone Assistance aux utilisateurs. Une fois que ladministrateur remplit au moins un nouveau champ, les trois liens par dfaut vers le site de Kaspersky Lab sont masqus. Remarque : Ce paramtre nest pas appliqu par dfaut. Pour lappliquer, fermez le verrou et appliquez la stratgie.
Dans le coin infrieur gauche de la fentre Notifications se trouve une liste droulante permettant ladministrateur de revenir rapidement aux paramtres par dfaut, dactiver la notification pour les vnements critiques, les vnements critiques et importants ou tous les vnements, y compris les simples informations.
IV55
IV56
4.6 Dissimuler linterface de KES

La majorit des tentatives faites par les utilisateurs pour contrer la protection peuvent tre vites si le produit est masqu. Le masquage des notifications est dcrit ci-dessus. Licne de KES dans la zone de notification, les raccourcis du menu Dmarrer, les informations de lcran douverture de session et la liste des programmes installs rvlent la prsence du produit. Tous ces lments peuvent tre masqus au moyen des options de la section Paramtres complmentaires / Interface. Afficher linterface de lapplication : quand la case est dsactive, toutes les fentres de KES sont masques, KES est retir de la liste des programmes installs ainsi que son raccourci (menu Dmarrer) et ses commandes (menu contextuel des fichiers et des dossiers).
Animer licne durant lexcution des tches : si cette option est active, licne de KES change
dapparence en fonction de lopration excute (analyse, mise jour, etc.).
Afficher Protected by Kaspersky Lab en haut de lcran daccueil Windows : lorsque

loption est dsactive, ce logo nest pas affich dans le coin suprieur droit de lcran douverture de session de Windows XP/2003.
Il est impossible de masquer entirement KES. Les utilisateurs avertis peuvent trouver les fichiers de KES sur le disque, ses processus en mmoire et ses entres dans le Registre du systme. De plus, la commande de recherche de virus nest pas supprime du menu contextuel des fichiers et des dossiers. Toutefois, les utilisateurs les moins expriments croiront quaucune protection nest installe sur leurs ordinateurs, ce qui conomisera beaucoup dexplications au service dassistance technique.
IV57
IV58
Chapitre 5. Administration des ordinateurs portables

Le risque dinfection est plus faible lintrieur du rseau de lentreprise qu lextrieur. Ainsi, il est tout fait envisageable disposer de stratgies distinctes pour ces groupes dordinateurs. Si des ordinateurs externes peuvent se connecter un Serveur dadministration depuis des emplacements situs en dehors du rseau, ils se distinguent habituellement par les adresses IP quils utilisent pour tablir la connexion. Par consquent, vous pouvez crer une rgle pour dplacer de tels ordinateurs dans un groupe spar disposant dune stratgie spciale. La connexion un Serveur dadministration nest pas toujours possible. Laccs au Serveur dadministration via lInternet peut ne pas tre configur ou lordinateur connecter peut se trouver dans un rseau o certains types de connexion ne sont pas autoriss. Dans de tels cas, vous devez vous reposer sur KES et sur la seule exprience de lutilisateur. Dans les situations o un poste client ne peut contacter le Serveur dadministration, Kaspersky Security Center utilise des paramtres particuliers pour les tches de mise jour de groupe et des stratgies spciales dutilisateur mobile. Ceci est le troisime tat possible dune stratgie, outre les tats Active et Inactive. La stratgie dutilisateur mobile devient active lorsquun ordinateur est dconnect du rseau ou lorsque la synchronisation planifie avec le Serveur dadministration choue trois fois daffile 7. En outre, une liste distincte de sources de mise jour peut tre spcifie dans les tches de mise jour de groupe pour le mode mobile.
Par dfaut, la synchronisation planifie est effectue toutes les 15 minutes. Par consquent, une stratgie dutilisateur mobile sera active entre 30 et 45 minutes aprs la dconnexion du Serveur.
IV59
IV60
5.1 Conditions de passage en mode mobile

La stratgie dutilisateur mobile et le mode mobile sont appliqus simultanment dans les tches de mise jour si au moins une des conditions suivantes est remplie : 1. LAgent dadministration ne peut se synchroniser avec le Serveur dadministration trois fois de suite. Dans la pratique, cela signifie que lordinateur est dconnect du rseau de lentreprise. Par dfaut, la priode de synchronisation est de 15 minutes. Par consquent, le poste client bascule en mode mobile en 30 45 minutes. Dans les grands rseaux ou les rseaux prsentant des connexions instables, trois checs conscutifs peuvent tre considrs comme une chose normale et le passage en mode mobile peut tre indsirable. Dans ce cas, il est logique de dsactiver la bascule automatique et de configurer des profils de connexion pour la remplacer. Cela peut se faire dans la section Rseau / Connexion de la stratgie de lAgent dadministration. Les profils des connexions sont dcrits en dtail dans lunit V. 2. 3. Tous les adaptateurs rseau sont dsactivs sur lordinateur client. Dans ce cas, la synchronisation est en principe impossible et KES bascule immdiatement en mode mobile. Selon les profils de connexion (voir lunit V).
5.2 Spcificits des stratgies mobiles

Une stratgie spciale pour ordinateurs externes doit prendre en compte le fait que lhte se trouve en dehors du rseau local et que les tches de maintenance de KES doivent tre excutes par lutilisateur. En consquence, la stratgie doit donner lutilisateur laccs aux informations concernant ltat de la protection et aux outils dadministration du produit. Lutilisateur doit au moins pouvoir analyser les fichiers/disques suspects et dmarrer les mises jour. Outre les notifications relatives aux accs interdits, lutilisateur doit tre averti de la premption des bases de donnes et du besoin de redmarrer lordinateur. Du point de vue des paramtres de scurit, il est logique dadopter ltat Internet pour les zones par dfaut du rseau local. Un rseau local situ lextrieur du primtre de lentreprise peut tre celui dun aroport ou dun cybercaf. De tels rseaux ne peuvent tre considrs comme scuriss. En rgle gnrale, la stratgie pour utilisateurs nomades doit utiliser des paramtres danalyse plus stricts pour toutes les donnes entrantes. Si lutilisation des disques amovibles au sein du rseau de lentreprise est interdite par le Contrle des priphriques, il peut tre judicieux de supprimer cette limitation en ce qui concerne les utilisateurs mobiles. Au lieu de cela, vous pouvez activer leur analyse obligatoire : cette option est disponible dans la stratgie de protection, dans la section Paramtres complmentaires / Paramtres de lapplication. Une stratgie dutilisateur mobile peut tre cre pour nimporte quel groupe. Veuillez remarquer quun groupe ne peut avoir quune seul stratgie dutilisateurs mobile. Cette stratgie est propage exactement de la mme manire quune stratgie active. Toutefois, alors quune stratgie active est applique immdiatement, une stratgie dutilisateur mobile entre en fonction uniquement lorsque lordinateur satisfait les conditions spcifies (voir cidessus).
IV61
IV62
Si un groupe enfant na pas sa propre stratgie dutilisateur mobile, il utilisera la stratgie dutilisateur mobile de son groupe parent. Toutefois, si des stratgies dutilisateur mobile existent dans un groupe parent et un groupe enfant, elles nont aucun rapport entre elles. Quels que soient les paramtres obligatoires de la stratgie du groupe parent, ils naffectent en rien la stratgie du groupe enfant. Les paramtres obligatoires des stratgies dutilisateur mobile ne sont pas hrits. Une stratgie peut tre bascule en tat Stratgie dutilisateur mobile dans la fentre Proprits de la stratgie, dans la section Avanc / Activit et hritage. Remarque : Loption Stratgie dutilisateur mobile nexiste que dans les stratgies des programmes de protection. LAgent nexcute aucune fonction spcifique lorsquil est dconnect du Serveur dadministration et ne requiert donc aucune stratgie pour utilisateur nomade.
IV63
IV64
5.3 Paramtres de mise jour en mode mobile

La source des mises jour et les paramtres de planification par dfaut sont prvus pour les ordinateurs connects au rseau de lentreprise. Si un ordinateur se trouve lextrieur de lentreprise, il ne peut recevoir de la part du Serveur aucun signal linformant que le rfrentiel contient de nouvelles mises jour et il est incapable de se connecter au Serveur pour tlcharger ces mises jour. En outre, mme les paramtres de proxy utiliss pour la connexion aux serveurs de mise jour de Kaspersky Lab peuvent tre diffrents. Cest pourquoi les paramtres de la tche de mise jour des postes de travail incluent un ensemble de paramtres distincts pour le mode mobile. Les paramtres du mode mobile incluent la liste des sources et des paramtres de copie des mises jour dans un dossier. La source des mises jour par dfaut est constitue par les serveurs de mise jour de Kaspersky Lab. Les paramtres du serveur proxy sont spcifis dans la stratgie. Remarquez que par dfaut, lAssistant de dmarrage rapide ne cre pas de stratgie dutilisateur mobile. Par consquent, si ladministrateur spcifie les paramtres du serveur proxy explicitement dans la stratgie active (ils sont dfinis automatiquement par dfaut) et si ces paramtres ne fonctionnent pas en mode mobile, la stratgie dutilisateur mobile doit tre cre avec les paramtres de proxy appropris. La planification des mises jour change galement en mode mobile et ne peut tre configure manuellement. En mode mobile, les tches de mise jour dmarrent toutes les deux heures.
IV65
IV66
Chapitre 6. Sauvegarde et restauration

Crer des copies de sauvegarde est une bonne pratique qui peut vous permettre dviter beaucoup dennuis si quelque chose arrive au Serveur dadministration ou son serveur de base de donnes. Ladministrateur pourra restaurer le systme dadministration tout entier partir dune copie de sauvegarde en un dlai dune heure environ. Pour assurer une rcupration rapide, il est important de stocker les sauvegardes dans un endroit sr. La copie de sauvegarde des donnes de Kaspersky Security Center inclut tous les paramtres de configuration visibles et invisibles. Cela comprend les objets administrables tels que la base de donnes des vnements, la structure des groupes dadministration, les tches et les stratgies, les modles de rapports, les paquets dinstallation (y compris les paquets autonomes), les requtes dordinateurs et dvnements, le certificat du Serveur dadministration, etc. Les mises jour ne sont pas sauvegardes car elles sont rapidement primes et il ny a donc aucune raison den conserver des copies. Remarque : Si le Serveur dadministration fonctionne sur une machine virtuelle, il peut tre utile de sauvegarder la machine entire. Le seul inconvnient est le volume important de la copie de sauvegarde. Lavantage est que la reprise prendra moins de temps. Les copies de sauvegarde peuvent tre utilises comme mthode alternative de mise jour vers une nouvelle version de Kaspersky Security Center. Une procdure de mise jour standard signifie installer une nouvelle version pardessus lancienne. Dans ce cas, le programme dinstallation dtecte la version prcdente et met jour ses composants en conservant ses anciens paramtres si cela est possible. En utilisant le mcanisme de la sauvegarde, vous pouvez crer une copie de sauvegarde de votre ancien systme, le dsinstaller, installer la nouvelle version du Serveur dadministration et restaurer sa configuration partir de la sauvegarde. Vous pouvez utiliser cette mthode quand il est ncessaire de mettre jour non seulement les composants logiciels du Serveur dadministration, mais aussi sa configuration matrielle. De manire similaire, vous pouvez utiliser les sauvegardes pour dplacer le Serveur dadministration vers un autre ordinateur. Crez dabord une copie de sauvegarde et installez le Serveur dadministration sur un autre systme. Restaurez ensuite les paramtres du Serveur dadministration partir de la copie de sauvegarde. Dans ce cas, il est important de vous assurer que le mme serveur SQL (MS SQL ou MySQL) est install avec la nouvelle et lancienne instance du Serveur dadministration. Si vous dplacez le Serveur dadministration vers un autre systme et si vous souhaitez changer le nom du serveur, vous devez effectuer ce changement avant la migration. Reportez-vous lunit V de ce cours pour de plus amples informations sur le changement de nom du Serveur dadministration.
6.1 Crer une copie de sauvegarde

Pour crer des copies de sauvegarde, Kaspersky Security Center dispose dune tche spciale cre par lAssistant de dmarrage rapide appele Sauvegarde des donnes du Serveur dadministration. Une seule tche de sauvegarde peut exister sur le Serveur dadministration. Pour crer une autre tche de sauvegarde, vous devez supprimer la tche prcdente au pralable.
IV67
IV68
En fait, la tche de cration des copies de sauvegarde est excute par klbackup.exe, un utilitaire de copie des donnes de sauvegarde du Serveur dadministration. La tche lance lutilitaire avec les options spcifies, et celui-ci cre alors les copies de sauvegarde. Pour crer la copie de sauvegarde, lutilitaire arrte le service du Serveur dadministration (ainsi que le service de lAgent dadministration) et copie les paramtres et les donnes du Serveur. Lorsque le service du Serveur dadministration est arrt, toutes les instances de la Console dadministration reoivent un message les informant que la connexion au Serveur dadministration est interrompue. Ensuite, lutilitaire ordonne au serveur SQL de crer une copie de sauvegarde de la base de donnes des vnements. Aprs la cration de la copie de sauvegarde, lutilitaire redmarre les services du Serveur dadministration et de lAgent dadministration. Il est important de comprendre que les copies de sauvegarde des donnes du Serveur dadministration sont cres avec le compte du Serveur dadministration alors que les sauvegardes de la base de donnes sont cres avec le compte du serveur de bases de donnes. Si vous spcifiez un chemin daccs rseau en tant quemplacement cible des copies de sauvegarde, le Serveur dadministration et le serveur SQL doivent tous deux avoir accs ce dossier. Bien entendu, le disque dur doit comporter suffisamment despace libre. Un seul paramtre est spcifi dans une tche de sauvegarde : lemplacement des copies de sauvegarde. Ce dossier contiendra des sous-dossiers pour chaque copie de sauvegarde. Les noms des sous-dossiers sont composs de la date et de lheure de leur cration. Lemplacement par dfaut de copies de sauvegarde est le dossier SC_Backup se trouvant dans le rpertoire du Serveur dadministration (%ProgramData%\Application Data\KasperskySC\SC_Backup). Cependant, il est risqu de stocker les copies de sauvegarde sur le mme disque que le Serveur dadministration car en cas de panne matrielle, le systme en cours et sa copie de sauvegarde peuvent tre endommags tous les deux. Il est donc fortement recommand de stocker les copies de sauvegarde part. Ladministrateur peut soit spcifier un autre emplacement rseau, soit crer des copies de sauvegarde manuellement au moyen doutils externes. Comme une copie de sauvegarde peut occuper plusieurs giga-octets sur le disque (selon le rseau et la quantit de donnes enregistres), il est logique de limiter le nombre de copies de sauvegarde stockes. Par dfaut, le nombre maximum de copies de sauvegarde est de trois et celles-ci sont cres quotidiennement. Pour des raisons de scurit, le certificat du Serveur dadministration est stock sous forme crypte. Cette mesure empche dventuels intrus dutiliser le certificat pour prendre le contrle des systmes clients. Pour activer le cryptage du certificat, vous devez fournir un mot de passe. Par dfaut, le mot de passe est vide. Par dfaut, la tche de sauvegarde des donnes est planifie pour dmarrer chaque nuit 2 h 00.
IV69
IV70
6.2 Restaurer les donnes dune copie de sauvegarde

Il nexiste pas de tche explicite de restauration des donnes dune copie de sauvegarde. Cela permet dviter les lancements accidentels dune telle tche qui pourraient avoir pour consquence la perte de donnes et de paramtres nouvellement ajouts. Afin de restaurer les donnes du Serveur dadministration, lutilitaire klbackup.exe sera nouveau utilis et pourra tre excut partir du menu Dmarrer. Lorsquil est dmarr sans options de ligne de commande, cet utilitaire fonctionne comme un assistant et vous invite entrer loption de restauration, le chemin daccs la copie de sauvegarde ainsi que le mot de passe permettant de dchiffrer le certificat du Serveur dadministration. Vous devez spcifier le chemin daccs complet au sous-dossier contenant la copie de sauvegarde. Par exemple, si vous avez spcifi un chemin daccs vers les copies de sauvegarde tel que C:\backups, pour restaurer le systme, vous devrez indiquer un chemin semblable C:\backups\klbackup2009-08-27#02-00-02. Lutilitaire de sauvegarde peut tre utilis non seulement pour restaurer les donnes de copies de sauvegarde, mais aussi pour crer des copies de sauvegarde. Pour cela, ltape Slectionnez une action, slectionnez loption Raliser la copie de sauvegarde des donnes du Serveur dadministration. Vous pouvez galement activer le mode de sauvegarde ou de restauration du seul certificat du Serveur dadministration. Par exemple, ce mode peut tre utilis lorsquil vous faut seulement restaurer une connexion entre les Agents dadministration et le Serveur mais que vous voulez crer la structure et les paramtres en recommenant zro. Lutilitaire klbackup.exe peut tre lanc avec les options de ligne de commande suivantes : path : Dossier de destination de la copie de sauvegarde. restore : Lutilitaire restaure les donnes. Sans cette option, lutilitaire crera une copie de sauvegarde. use_ts : Cre une copie de sauvegarde dans un sous-dossier dont le nom est compos de la date et de lheure de cration. Sans cette option, lutilitaire cre une copie de sauvegarde dans le dossier de niveau suprieur spcifi par loption path. password : Spcifie le mot de passe de cryptage du certificat du Serveur dadministration.
IV71
IV72
1.0

KL 002.98 FR Student's Guide Unlocked

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

KL 002.98 FR Student's Guide Unlocked

Titre original :

Transféré par

Droits d'auteur :

Formats disponibles

Formation Technique KL 002.

Endpoint Security for Windows. Dmarrage

Kaspersky Lab www.kaspersky.com

Chapitre 1. Problmatiques organisationnelles

Chapitre 2. Installation de Kaspersky Security Center

Configuration matrielle ncessaire

2.2 Installation par dfaut

Installation des plug-ins

2.3 Installation personnalise

Compte du service du Serveur dadministration

Microsoft SQL Server

2.4 Configuration initiale

Kaspersky Security Network

2.5 Autres composants de Kaspersky Security Center

Conditions pralables dinstallation

%ProgramFiles(x86)% sur les systmes 64 bits.

Connexion au Serveur dadministration

Architecture et configuration systme requises

Chapitre 3. Installation sur les ordinateurs

Conditions dinstallation pour lAgent dadministration

3.2 Installation par dfaut au moyen de lassistant

Slection des ordinateurs

Dplacement des ordinateurs

Surveillance du processus dinstallation

3.3 Problmes dinstallation ventuels

Installation au moyen de lAgent dadministration

Voir la note en page prcdente.

Prparation de lordinateur avec lutilitaire Riprep.exe

Configuration de laccs au moyen de la stratgie de domaine

3.4 Suppression des outils de protection dautres diteurs

Dsinstallation laide du programme dinstallation de KES 8

Dsinstallation au moyen de lAgent dadministration

Crer une requte dordinateurs

Tche de dsinstallation des applications incompatibles

3.5 Autres mthodes dinstallation

Installation au moyen de paquets autonomes

Crer un paquet dinstallation autonome

Publier un paquet dinstallation autonome via la Console Web

Installation partir dun paquet autonome

Installation automatique dans un groupe

Stockage des rsultats

Transfert de fichiers via le rseau

Installation au moyen dActive Directory

3.6 Paquets dinstallation

Paramtres dinstallation de lAgent dadministration

Paramtres dinstallation de Kaspersky Endpoint Security

Supprimer les applications incompatibles

Crer des paquets dinstallation

3.7 Surveillance du dploiement

Rapport sur les versions des logiciels

Rapport sur le dploiement de la protection

tat gnral du dploiement

Trouver de nouveaux ordinateurs

Chapitre 4. Gestion de la structure du parc dordinateurs

Gestion des ordinateurs dcouverts

Analyse du rseau Microsoft

Paramtres danalyse du rseau Microsoft

Analyse Active Directory

Paramtres de lanalyse Active Directory

Analyse des sous-rseaux IP

Paramtres danalyse du sous-rseau IP

Configuration des sous-rseaux