Vous êtes sur la page 1sur 95

Forefront EndPoint Protection 2010 avec SCCM :

Prsentation et Implmentation

En aot 2003 alors que les administrateurs systmes taient davantage exposs la lumire du soleil
qu celle de leur cran dordinateur ; MS Blaster lun des flaux informatiques les plus clbres
commenait envahir le monde de lentreprise. Celui-ci allait changer radicalement la vision de la
scurit au cur des entreprises en lanant une prise de conscience gnrale. A lheure du passage
en 2011, il nest pas envisageable quune entreprise ne protge pas son parc informatique par un
systme anti-logiciel malveillant performant. Fin 2010, Microsoft annonait la sortie de la nouvelle
version de sa solution antivirale. Forefront EndPoint Protection tait attendu depuis prs de 3 ans
avec des attentes fortes en matire dadministration. Cette nouvelle version change de stratgie en
proposant une intgration complte la gamme System Center au travers de System Center
Configuration Manager (SCCM) 2007 et System Center Operations Manager (SCOM) 2007.
Vous verrez dans cet article comment implmenter Forefront EndPoint Protection et comment lutiliser
au quotidien. Nous verrons les diffrents avantages et inconvnients de cette solution et les avances
proposes.
Notez que cet article nabordera pas limplmentation de Forefront EndPoint Protection 2010 Security
Management Pack. Cest--dire limplmentation des Management Packs dans une infrastructure
System Center Operations Manager.

1. Thorie
1.1 Historique
Microsoft sest lanc en 2006 dans le secteur des logiciels antivirus avec Windows OneCare Live.
Ce logiciel destin aux particuliers disposait dun mode de licence particulier offrant la possibilit de
linstaller sur 3 ordinateurs dans un seul foyer. Au terme dun premier renommage pour intgrer la
suite Windows Live. Windows Live OneCare fut arrt en novembre 2008. Microsoft nabandonna
pas cependant lide de se lancer sur ce march jusqualors principalement occup par Symantec. En
parallle, la stratgie de Microsoft fut ensuite diffrente puisque la firme de Redmond sest consacr
au march des antivirus dentreprise en proposant Microsoft Client Protection en 2005. Cette
premire version fut ensuite renomme en 2007 :Forefront Client Security (FCS). Cet antivirus
reprenant les bases de OneCare fut couronn de succs grce la stratgie agressive de Microsoft
sur le prix des licences. Fin 2009, Microsoft se relance dans laventure de lantivirus ddi aux
particuliers. Fort de son succs avec FCS, Microsoft lance Windows Security Essentials, un
antivirus gratuit. Le monde de linformatique fut agrablement surpris de la qualit de lantivirus et de
ses performances gnrales. Aujourdhui, FCS se fait vieux et les attentes sont nombreuses. Cest
ainsi que Microsoft annonce dbut 2010 la sortie dune nouvelle version de son antivirus dentreprise
qui sera rebaptise : Forefront EndPoint Protection.

1.2 Prsentation
Forefront EndPoint Protection 2010 signe un changement dans le fonctionnement de la gamme
dantivirus pour entreprise de Microsoft. Contrairement Forefront Client Security (FCS) qui tait
construit sur une version spcifique de Microsoft Operations Manager (MOM) 2005 ; FEP 2010 est lui
construit sur la base de la gamme System Center.
Ainsi, le produit est spar en deux modules :
y

Forefront EndPoint Protection 2010 : Ce module est le corps du produit. Il sintgre System
Center Configuration Manager 2007 pour offrir les outils ncessaires ladministration
quotidienne des clients (dploiement de lagent, application des stratgies).
Forefront EndPoint Protection 2010 Security Management Pack anciennement connu sous le
nom Forefront EndPoint Protection for Server (FEP-S) durant les phases de bta. Ce module
est un pack dadministration (MP) qui sintgre System Center Operations Manager 2007
pour offrir une couche de supervision des services dalerte FEP, des jobs de lagent SQL qui
copie les donnes de la base de donnes FEP vers le Data Warehouse FEP, ou encore les
vnements gnrs par les serveurs FEP.

Note : Nous naborderons pas limplmentation de Forefront EndPoint Protection 2010 Security
Management Pack dans cet article.

1.3 Fonctionnement
Linfrastructure Forefront EndPoint Protection 2010 est constitue des lments suivants :
y

y
y

La base de donnes Forefront EndPoint Protection 2010 : La base de donnes FEP


stocke toutes les informations dtat renvoyes par les clients, les collections, les
appartenances aux collections, les stratgies, etc
La base de donnes de Reporting Forefront EndPoint Protection 2010 : La base de
donnes de Reporting correspond au Data WareHouse (entrept de donnes) qui stockera
les donnes ncessaires aux rapports).
Le serveur de site Configuration Manager et son extension pour FEP 2010: Ce rle
correspond au serveur de site System Center Configuration Manager. Il ajoute simplement les
composants ncessaires ladministration de FEP avec SCCM. Ceci inclut les collections
FEP, les packages et programmes, les lignes de base FEP pour la gestion des configurations
dsires.
FEP 2010 Reporting and Alerts permet linstallation des composants de supervision de
linfrastructure FEP.
La console Configuration Manager et son extension pour FEP 2010 correspond
lextension de System Center Configuration Manager 2007 ncessaire lintgration de FEP.

Ladministrateur du parc informatique gre tout partir de la console dadministration Configuration


Manager. Les stratgies et les oprations sont appliques au client FEP au travers du client SCCM.
Le client FEP remonte son tat en utilisant des lignes de base primordiales au fonctionnement du
produit. Ces donnes sont stockes dans la base de donnes FEP. En parallle ladministrateur peut
aussi utiliser des lignes de base par dfaut pour connatre ltat de conformit du client. De manire
rgulire, une opration de stockage a lieu afin de synchroniser la base de donnes FEP avec
lentrept de donnes (Data WareHouse) utilis pour les rapports.

1.4 La haute disponibilit

Comme expliqu plus tt, Forefront EndPoint Protection 2010 est une couche supplmentaire
apporte System Center Configuration Manager. Ceci fait de Forefront EndPoint Protection 2010 un
pitre lve dans la cours des produits hautement disponible puisque celui-ci est dpendant des
services de System Center Configuration Manager. En effet, il est difficile de rendre SCCM hautement
disponible. Vous pouvez rendre certains rles hautement disponibles comme le Management Point, le
Software Update Point, ou la base de donnes. Nanmoins, le serveur de site ne peut faire partie de
ce plan.
Microsoft recommande lutilisation :
y
y

Dun cluster SQL Server pour la base de donnes de reporting Forefront EndPoint Protection
Des Management Packs System Center Operations Manager pour superviser les services
Forefront EndPoint Protection

Pour plus dinformations, rendez-vous : http://technet.microsoft.com/en-us/library/gg412484.aspx

1.5 Plan de reprise dactivit


Le plan de reprise dactivit doit prendre en compte la sauvegarde pralable des diffrents
composants comme notamment System Center Configuration Manager 2007. Celle-ci est assure par
une tche de maintenance qui sauvegarde la fois la base de donnes mais aussi lensemble des
fichiers de configuration ncessaires. Dans le cadre de Forefront EndPoint Protection, cette tche
sauvegarde les stratgies, les paramtrages effectus dans SCCM et les publications.
Vous devez aussi sauvegarder la base de donnes de reporting Forefront EndPoint Protection
(FEPDW_<SITECODE>) en utilisant la solution de sauvegarde SQL Server.
Microsoft propose ensuite deux procdures de restauration.
La premire concerne la restauration du site System Center Configuration Manager quand il est
victime dun Crash , il est alors ncessaire de le remplacer. Vous devez enchainer les tapes
suivantes :

1. Restaurer System Center Configuration Manager


2. Restaurer la base de donnes de Reporting si cela est ncessaire
3. Installer Forefront EndPoint Protection en utilisant loption reuse existing database

La seconde procdure est utiliser lorsque le serveur de la base de donnes de reporting Forefront
EndPoint Protection est devenu indisponible. Vous devez suivre les tapes :
1. Restaurer SQL Server et la base de donnes de rapport FEP
2. Dsinstaller la fonctionnalit de reporting FEP sur le serveur o elle est installe.
3. Installer Forefront EndPoint Protection en utilisant loption reuse existing database

Pour plus dinformations, consultez : http://technet.microsoft.com/en-us/library/gg477037.aspx

1.6 Licensing
Forefront EndPoint Protection 2010 dispose de licences pour linfrastructure serveur et pour les
clients. Les clients peuvent utiliser des licences par utilisateur ou par priphrique. En parallle, les
licences pour System Center Configuration Manager R2 ou R3 sont ncessaires pour grer
centralement les clients.

On distingue deux suites de produit :


Standalone Products

Enterprise CAL
Suite

Forefront Protection
Suite

Forefront Endpoint Protection 2010


Forefront Protection 2010 for Exchange Server
Forefront Protection 2010 for SharePoint
Forefront Security for Office Communications
Server
Forefront Online Protection for Exchange
Forefront TMG Web Protection Service
Other Server CALs and technologies
La suite Entreprise inclut les licences ncessaires pour System Center Configuration Manager et pour
le systme dexploitation.
Ct client, les prix annoncs sont les suivants :

Microsoft Forefront Endpoint Protection


2010

Estimated Prices
$8.64 US par utilisateur ou par priphrique, par
an

2. Implmentation : Installation du
serveur

Cette partie va traiter linstallation de la solution serveur de Forefront EndPoint Protection. Vous
pourrez y retrouver les diffrents prrequis et la procdure dinstallation.

2.1 Prrequis
2.1.1 Prrequis Matriel

Les prrequis matriels ncessaires linstallation dun serveur Forefront EndPoint Protection sont les
suivants :
y
y

Mmoire : 2GB de RAM


Espace disque disponible :
o Serveur FEP : 600 MB
o Base de donnes FEP : 1.25 GB
o Base de donnes des rapports FEP : 1.25 GB

Il est noter que les prrequis peuvent varier en fonction de la rpartition des rles ou de la charge
impose au serveur.

2.1.2 Prrequis Logiciels

Linstallation de linfrastructure Forefront EndPoint Protection 2010 ncessite certains prrequis parmi
les suivants :
y
y
y
y
y
y

Systme dexploitation : Windows Server 2003 SP2 ou plus


Aucune version de FEP ne doit tre installe sur le serveur
Aucune autre protection antivirus doit tre install sur le serveur
Windows Installer 3.1 ou plus doit tre prsent
Le .NET Framework 3.5 SP1 doit tre install
Les Prrequis SQL Server :
o Vous pouvez utiliser : SQL Server 2005 SP3 Standard ou Entreprise, SQL Server
2008 Standard ou Entreprise, SQL Server 2008 R2 Standard ou Entreprise.
o Le SPN (Service Principal Name) du compte de service excutant SQL Server doit
tre enregistr auprs du domaine. Pour plus dinformations, je vous renvoie
sur : http://technet.microsoft.com/fr-fr/library/bb735885.aspx
o Le service de lagent SQL Server doit tre lanc et dans un mode de dmarrage
automatique.

Le compte utilisateur excutant linstallation de FEP sera propritaire des bases de


donnes et jobs suivants :
 FEPDB_XXX (database)
 FEPDW_XXX (database)
 FEP_DataWarehouseMaintenance_FEPDW_XXX (job)
 FEP_DB_Maintenance_FEPDB_XXX (job)
 FEP_GetNewData_FEPDW_XXX (job)
 FEP_GetNewDataOnInstall_FEPDW_XXX (job)

SQL Server Analysis Services :


 Le compte utilisateur excutant linstallation de FEP doit faire partie du rle
server administrator sur le serveur SQL Server Analysis.
 Ce service doit tre install sur le mme serveur et sur la mme instance
SQL Server qui hberge la base de donnes de Reporting. Ce scnario doit
tre envisag si vous souhaitez clater les rles Forefront EndPoint
Protection.
 Lordinateur excutant SQL Server Analysis Services doit disposer des
exceptions firewall suivantes :
 SQL Server (TCP 1433) ouvert pour le traffic entrant
 SQL Server Analysis Services (TCP 2383) ouvert pour le traffic
entrant
Pour plus dinformations sur la configuration Firewall pour laccs
SQL Server, rendez-vous
sur : http://go.microsoft.com/fwlink/?LinkId=128365

SQL Server Reporting Services doit tre install et correctement configur pour
assurer la fonctionnalit de rapports

SQL Server Integration Services doit tre install

System Center Configuration Manager 2007 Service Pack 2 doit tre install avec lensemble
des rles par dfaut. La fonctionnalit Reporting Services de SCCM R2/R3 doit tre installe
et convenablement configure.
Les agents du client Configuration Manager suivants doivent tre activs et configurs :
o Hardware Inventory
o Advertised Programs
o Desired Configuration Management

Pour activer ces agents, ouvrez la console dadministration System Center Configuration Manager sur
le site o vous souhaitez installer Forefront EndPoint Protection. Droulez larborescence Site
Database => Site Management => <SITECODE> - <SITENAME> => Site Settings => Client Agents :

Ouvrez les diffrents agents cits plus haut et assurez-vous que ceux-ci sont activs et correctement
configurs :

Les machines o vous installerez les composants dextension de la console Configuration


Manager 2007 pour Forefront EndPoint Protection 2010 (ceci inclut la console du serveur de
site, les consoles sur les postes des administrateurs) ncessitent linstallation de
la KB2271736 afin dajouter la classe WMI ManagementClass. Vous pouvez tlcharger la
mise jour partir de ce lien : http://go.microsoft.com/fwlink/?LinkId=203936
Aucun redmarrage ne doit tre en attente avant de commencer linstallation de Forefront
EndPoint Protection.

Vous trouverez plus dinformations sur les prrequis sur la documentation


Technet : http://technet.microsoft.com/en-us/library/ff823830.aspx
Linstallation et la configuration de ces prrequis (SQL Server) afin dassurer la validit de
linstallation de Forefront EndPoint Protection ne sera pas dtaille dans cet article.

Pour ce qui est de la gestion des sites Configuration Manager au travers dune hirarchie avec
Forefront EndPoint Protection 2010, je vous renvoie vers le lien de la documentation
Technet : http://technet.microsoft.com/en-us/library/gg412503.aspx

2.2 Installation
Procurez-vous les sources de Forefront EndPoint Protection 2010 dans larchitecture de la machine
o vous aller installer le produit. Lancez lexcutable serversetup.exe .

Une fois lassistant dinstallation ouvert, renseignez les informations denregistrement du produit :

Sur lcran suivant, acceptez les termes du contrat de licence :

La page suivante vous propose les options dinstallation. On retrouve 4 types dinstallation :
y

y
y

Basic Topology : Cette topologie est la plus simple. Elle permet linstallation de lensemble
des composants (base de donnes, extension du serveur de site SCCM, extension de la
console et composants de reporting) sur le serveur de site SCCM. Elle permet ainsi de
centraliser lensemble des fonctionnalits sur une mme machine et rduit ainsi les tapes de
configuration de lassistant.
Basic topology with remote reporting database permet linstallation de lextension du
serveur de site, de la base de donnes FEP, de lextension de la console, et des composants
de rapports sur le serveur en cours. Elle permet nanmoins le dport de la base de donnes
de Reporting (Data warehouse) sur une autre machine.
Advanced topology autorise la personnalisation complte de linstallation. Vous pouvez ainsi
choisir de rpartir les rles comme bon vous semble.
Install only Configuration Manager Console Extension for FEP 2010 rend possible
linstallation seule de lextension Forefront EndPoint Protection 2010 pour la console
Configuration Manager 2007. Cette option se prte gnralement au scnario permettant aux
administrateurs de la solution de mettre jour la console sur leur poste de travail.

Dans le cadre de cet article, nous aborderons le cas le plus gnral : La topologie basique. Nous
allons donc concentrer lensemble des rles sur une seule et unique machine : notre serveur de site
SCCM. Nanmoins, nous allons passer par loption dinstallation la plus personnalisable
savoir Advanced Topology pour dtailler au mieux les options offertes.

Sur lcran suivant, vous pouvez choisir ce que vous souhaitez installer :
y

Configuration Manager Site Server FEP 2010 Extension : Lextension FEP pour le serveur
de site permet lajout des collections FEP, des packages et programmes, des lignes de base
FEP pour la gestion des configurations dsires. Cette option dinstallation doit tre excute
sur le serveur de site SCCM.
FEP 2010 Reporting and Alerts permet linstallation des composants de supervision de
linfrastructure FEP. Si vous ninstallez pas ce composant sur le serveur de site SCCM, vous
devez configurer les permissions DCOM adquates pour laccs aux consoles. Vous pouvez
pour cela consulter le lien suivant : http://technet.microsoft.com/enus/library/gg477021.aspx#BKMK_ToInstallFEP2010ReportingAndAlerts.
Notez que cette option installe le client FEP 2010 sur la machine avec des paramtrages
personnaliss.
Configuration Manager Console Extension for FEP 2010 installe les fichiers ncessaires
lintgration des composants dadministration dans la console System Center Configuration
Manager 2007.

La page suivante permet la configuration des informations de la base de donnes FEP. Celle-ci doit
tre installe sur le mme serveur/instance qui hberge la base de donnes Configuration Manager.
Vous pouvez personnaliser le nom de la base de donnes FEP :

Lcran Reporting Configuration permet de spcifier les informations ncessaires linstallation des
fonctionnalits de Reporting. Vous pouvez ainsi y entrer le nom du serveur, linstance et le nom de la
base de donnes qui hbergeront les donnes de Reporting (Data warehouse). Enfin vous devez
spcifier les informations du compte utilis par le serveur de rapport pour accder la base de
donnes de Reporting FEP 2010.

Ltape suivante vous permet de configurer les options de mise jour du produit et de participation au
programme damlioration :

La page suivante vous permet de joindre le programme Microsoft SpyNet. Ce programme est une
initiative de Microsoft comme il en existe chez ses concurrents permettant de rejoindre une
communaut afin denrayer la propagation des logiciels malveillants et indsirables. Le programme
permet par exemple dtre avis des logiciels non analyss et de savoir si les autres membres ont
permis ou refuss les changements initis par ceux-ci. Le programme permet notamment Microsoft
de dtecter plus rapidement les menaces et ainsi de consolider les besoins danalyse sur les
vritables alertes.
On distingue deux types dabonnements :
y

Basic SpyNet membership permet denvoyer Microsoft des informations concernant les
logiciels malveillants dtects. Ces informations peuvent tre lorigine du logiciel, laction
entrepris, son chance (succs ou chec) .
Advanced SpyNet membership permet d'tre avis des logiciels dont les risques n'ont pas
t analyss, vous pouvez voir si d'autres membres de la communaut permettent ou
refusent les logiciels ou les changements effectus par les logiciels. Ces informations peuvent
vous aider prendre votre dcision. De la mme faon, vos choix sont ajouts aux diffrents
classements et aident les autres membres prendre une dcision. Vous pouvez tre averti
face un logiciel qui n'a pas encore t class en fonction des risques.

Lcran suivant permet de spcifier le rpertoire dinstallation et dobtenir une vision des prrequis
despace disque :

Ltape suivante correspond la vrification des prrequis. Si vous avez rat un prrequis, vous
obtiendrez un cran avec des erreurs comme suit :

Vous pouvez obtenir plus de dtail sur lerreur en cliquant sur


rsoudre le problme :

More . Ceci vous permettra de

Sinon si vous avez suivi la partie 2.1.2 et correctement configur lensemble des prrequis cits vous
devez obtenir lcran suivant :

Lcran qui suit correspond au rsum dinstallation. Vous pouvez rapidement revoir les diffrentes
options et procder linstallation :

Lorsque linstallation est droule, lensemble des composants doivent tre installs avec succs :

Avant de fermer lassistant dinstallation, vous pouvez vrifier les mises jour sur Microsoft Update.
Vous devrez ensuite procder au redmarrage de lordinateur pour finaliser linstallation :

Vous pouvez consulter les fichiers de journalisation lis linstallation dans : c:\ProgramData\Microsoft
Forefront\Support\Server\ServerSetup_<Date>_<Heure>.log

2.3 Migration FCS vers FEP

Comme expliqu plus tt, Forefront EndPoint Protection 2010 introduit un vritable changement dans
le fonctionnement de la gamme dantivirus pour entreprise de Microsoft. Contrairement Forefront
Client Security (FCS) qui tait construit sur une version spcifique de Microsoft Operations Manager
(MOM) 2005 ; FEP 2010 est lui construit sur la base de la gamme System Center. De ce fait, ceci
implique des changements en profondeur.
Forefront EndPoint Protection 2010 ne permet pas une migration proprement parler avec des
scnarios In-Place ou Side-by-Side.
Voici la marche suivre :
1. Dans la console FCS, documentez lensemble des paramtrages de chacune des stratgies
que vous utilisiez pour pouvoir ensuite les recrer dans FEP.
2. Dans WSUS, dsactiver lapprobation sur les packages dinstallation FCS.
3. Installez Forefront Endpoint Protection avec votre infrastructure System Center Configuration
Manager 2007
4. Recrez les stratgies FEP avec les paramtrages que vous avez documents en amont sur
votre serveur FCS.
5. Dployez massivement le client FEP. Celui-ci procdera la migration de vos postes de
travail en dsinstallant le client FCS et en procdant linstallation du nouveau client FEP.
6. Dsinstallez ensuite linfrastructure FCS une fois que lensemble des clients auront t migrs
sur FEP.

2.4 Migration FCS vers FEP


Linstallation de Forefront EndPoint Protection 2010 (FEP) correctement droule, vous pouvez ouvrir
la console dadministration de System Center Configuration Manager 2007.
Nous allons dtailler dans cette partie les brefs changements apports la console dadministration.
Droulez larborescence Site Database => Computer Management => Collections.
On retrouve ainsi une collection FEP Collections contenant diffrentes sous collections. Ces sous
collections sont bloques et ne peuvent tre supprimes. Le contenu des requtes dynamiques ainsi
que les paramtrages sont eux aussi non modifiables. Ces collections permettent ainsi de vous
donner un aperu de ltat des clients avec notamment des informations sur :
y
y
y
y
y
y

Ltat des dfinitions (date)


Ltat du dploiement du client FPS (En chec, En attente, dploy, non cibl)
Une collection ddi aux oprations ; Cette collection peut tre utilis pour toutes les
oprations sur le client FEP (Lancement dun scan )
Ltat de la distribution des stratgies (distribue, en attente, en chec)
Ltat de la protection (Activ, non reporte, service dsactiv)
Ltat de la scurit (Scan complet requis, infect, redmarrage requis )

Toujours dans larborescence Site Database => Computer Management. Vous retrouvez le
nud Forefront EndPoint Protection :

Dans la partie Software Distribution, on retrouve trois packages :


y
y
y

Microsoft Corporation FEP Deployment 1.0 contient deux programmes permettant


linstallation et la dsinstallation du client FEP.
Microsoft Corporation FEP Operations 1.0 fournit trois programmes fournissant
diffrentes oprations de maintenance
Microsoft Corporation FEP Policies 1.0 fournit deux programmes permettant dappliquer
les politiques par dfaut.

Associ ces packages, on retrouve deux dossiers ddis aux publications : FEP Operations et FEP
Policies.
Nous dtaillerons le nud Forefront EndPoint Protection ainsi que les packages plus loin dans
limplmentation.

3. Implmentation : Installation du
client
Maintenant que linfrastructure serveur est correctement installe et fonctionnelle, nous pouvons
passer linstallation et au dploiement grande chelle du client.

3.1 Prrequis
Cette partie liste les diffrentes considrations prendre en compte lors de linstallation du client sur
une machine.

3.1.1 Prrequis Matriel

Les prrequis matriels ncessaires linstallation dun client Forefront EndPoint Protection sont les
suivants :
y

CPU :
o Windows XP : 500 MHz ou plus
o Windows Vista ou Windows 7 : 1.0 GHz ou plus
Mmoire :
o Windows XP : 256 MB de RAM ou plus
o Windows Vista ou Windows 7 : 1 GB de RAM ou plus
Espace disque disponible : 300 MB

3.1.2 Prrequis Logiciels

Linstallation de linfrastructure Forefront EndPoint Protection 2010 ncessite certains prrequis parmi
les suivantes :
y

y
y
y
y
y

Systmes dexploitation : Windows XP SP3 (x86), Windows VISTA RTM ou plus (x86 ou x64),
Windows 7 RTM (x86 ou x64), Windows 7 XP mode, Windows Server 2003 SP2 (x86 ou x64),
Windows Server 2008 RTM ou plus (x86 ou x64), Windows Server 2008 R2 (x64) ou plus,
Windows 2008 R2 Server Core (x64)
Notez que la version Server Core de Windows Server 2008 nest pas supporte par le client
FEP.
Les versions : Windows 7 Starter, Windows Home Premium, Windows Vista Basic, Windows
Vista Home Premium, Windows XP Home Edition supportent linstallation manuelle des clients
mais ne peuvent recevoir les stratgies (policies) du serveur.
Un client System Center Configuration Manager fonctionnel. Le site auquel appartient le client
SCCM doit avoir un serveur FEP install.
Windows Installer 3.1
Le package de correctifs de gestionnaire de filtre pour Windows XP SP2 (KB914882)
WFP (Windows Filtering Platform) un pilote de correctif logiciel cumulatif pour Windows Vista,
Windows Server 2008, Windows 7 et Windows Server 2008 R2 (KB981889)
Windows Update

Linstallation du client Forefront EndPoint Protection procde la dsinstallation automatique des


antivirus suivants si ceux-ci sont prsents sur la machine :
y
y
y
y
y

Symantec Endpoint Protection version 11


Symantec Corporate Edition version 10
McAfee VirusScan Enterprise version 8.5 and version 8.7 and its agent
Forefront Client Security version 1 and the Operations Manager agent
TrendMicro OfficeScan version 8 and version 10

Vous trouverez plus dinformations sur les prrequis de dploiements du client Forefront EndPoint
Protection sur : http://technet.microsoft.com/en-us/library/ff823900.aspx

3.2 Installation
Aprs avoir revu les prrequis, nous allons pouvoir commencer la procdure de dploiement de
masse du client. Nous naborderons pas dans cet article linstallation manuelle du client. Pour cela, je
vous renvoie vers la documentation Technet : http://technet.microsoft.com/enus/library/ff823774.aspx ou http://technet.microsoft.com/en-us/library/gg412485.aspx

3.2.1 Distribution du package


Aprs avoir install Forefront EndPoint Protection vous disposez des packages et des programmes
ncessaires linstallation du client. Nanmoins, vous devez dabord rendre disponible ce package
sur les points de distribution de votre environnement. Pour cela, ouvrez la console dadministration
System Center Configuration Manager 2007. Droulez larborescence : Site Database => Computer
Management => Software Distribution => Package => Microsoft Corporation FEP Deployment
1.0 => Distribution Points :

Cliquez droit sur le nud Distribution Points et slectionnez New Distribution Points. Lassistant
souvre, passez lcran de bienvenue.
A ltape Copy Package, slectionnez les points de distribution sur lesquels vous souhaitez rendre
disponible le package :

Aprs avoir ferm lcran de confirmation, dirigez-vous dans Package Status => Package Status =>
<SITECODE> - <SITENAME> et validez que le package a bien t dploy sur le point de
distribution :

3.2.2 Cration de la publication


Maintenant que le package est disponible nous allons pouvoir crer la publication ncessaire la
distribution et linstallation du client FEP sur les machines. Pour cela, dirigez-vous dans le
nud Programs du package Microsoft Corporation FEP Deployment 1.0. Cliquez droit sur le
programme Install, slectionnez Distribute puis Software.

Passez lcran de bienvenue, vous pouvez ensuite choisir quelle collection sera la cible du
dploiement. Vous pouvez ainsi cibler une collection existante ou crer une nouvelle collection. FEP
nous fournit des collections proposant des requtes dynamiques. Parmi celles-ci, on retrouve des
collections donnant le statut du dploiement. Lutilisation de la collection Not Targeted permet de
cibler les clients Configuration Manager ne disposant pas dj du client FEP.

Spcifiez ensuite le nom de la publication et le commentaire associ :

La page suivante permet de configurer le comportement de la publication vis--vis des sous


collections. Par dfaut la publication est propage et hrite par les clients des sous collections de
Not Targeted .

Ltape Advertisement Schedule permet de spcifier les informations (date et heure) de publication du
programme et si celui-ci doit expirer :

Sur lcran Assign Program, cochez


dassignement (date et heure) :

Yes, assign the program et spcifiez les informations

Validez le rsum et la confirmation pour procder la cration de la publication.


Dans ltat cette publication assigne et procde linstallation du client sur les postes de travail ds
que possible. Le programme est configur pour sexcuter en silencieux sans quaucune notification
ne drange lutilisateur.

3.2.3 Validation du dploiement


On se connecte sur le client et on rafraichie les diffrentes stratgies afin de rcuprer les ordres de
publication. Aprs quelques minutes, on peut confirmer que plusieurs processus sont en cours
dexcution : cscript.exe, epplauncher.exe, FEPInstall.exe.

On retrouve aussi un dossier cach la racine du disque local contenant lensemble des binaires
ncessaires linstallation :

Aprs installation, le client FEP procde la rcupration des mises jour auprs de son serveur :

Linstallation du client a opr linstallation du correctif de scurit WPF (KB981889) :

Sur le client toujours, vous retrouvez diffrents fichiers de journalisation relative au client Forefront
EndPoint Protection 2010. Ceux-ci sont stocks dans :
y
y

%ProgramData%\Microsoft\Microsoft Security Client\Support pour Windows 7, Windows


Server 2008, et Windows Server 2008 R2
%allusersprofile%\Microsoft\Microsoft Security Client\Support pour Windows XP,
Windows Vista, et Windows Server 2003

Fichier de journalisation

Description

EppSetup.log

Fichier de journalisation principal de


linstallation.

MSSecurityClient_Setup_epp_install.log

Fichier de journalisation de
linstallation de lextension
dadministration et de linterface
utilisateur.

MSSecurityClient_Setup_FEP_install.log

Fichier de journalisation de
linstallation de lextension
Configuration Manager.

MSSecurityClient_Setup_mp_ambits_install.log

Fichier de journalisation de
linstallation du service Antimalware.

MSSecurityClient_Setup_epploc_x86_Install or
MSSecurityClient_Setup_epploc_x64_Install

Fichier de journalisation de
linstallation des ressources
localises.

MSSecurityClient_Setup_amloc-%locale%_install

Fichier de journalisation de
linstallation des ressources
localises pour le service
antimalware.

MSSecurityClient_Setup_KB981889_Install.evtx

Le fichier de journalisation pour


linstallation du correctif
KB981889. Seulement sur Windows
7 ou Windows Server 2008 R2.

MSSecurityClient_Setup_dw20shared_Install.log

Le fichier de journalisation pour


linstallation de Dr. Watson
(seulement sur Windows XP, et
seulement sil ntait pas prsent).

Source : Technet
Sur la console dadministration Configuration Manager, vous pouvez aussi suivre les diffrents tats
des machines lors du dploiement du client SCCM avec la collection Deployment Status et ses sous
collections :
y
y
y
y
y

Removed : Les ordinateurs dans cette collection sont des machines qui disposaient du client
FEP avant quils soientt dsinstalls manuellement.
Failed liste les machines o le dploiement a chou
Pending : comporte les machines o le dploiement na pas encore dmarr. Ceci peut se
traduire par des machines connectes nayant pas encore reu la publication.
Out of date : donne les machines disposant dun client FEP dune ancienne version
Deployed : liste toutes les machines o le client sest correctement dploy.

3.3 Prsentation du client


Voici quelques informations importantes prenant part lors de linstallation du client Forefront EndPoint
Protection :
y
y

Le client sinstalle automatiquement dans le dossier %programfiles%\Microsoft Security Client


Linstallation du client active automatiquement Windows Update et configure linstallation
automatique des mises jour.

Notez que pour les serveurs de fichiers, il peut tre important de dsactiver la protection en temps rel
pour viter des problmes de performance. Pour cela, vous devez crer une stratgie spcifique
ces machines.
Le client Forefront est constitu de plusieurs parties :

La page daccueil permet davoir un bref aperu de ltat du client et des dfinitions antivirales. Il est
possible partir de cet cran de lancer des oprations de scan (complet ou partiel).

La page Update permet de connatre la date de cration des dfinitions, la date de dernire
vrification et les versions des dfinitions de virus et de logiciels malveillants. Il est possible dinitier
partir de cet cran, la procdure de mise jour du client via Microsoft Update, WSUS et les diffrents
cheminS UNC renseignS comme source des dfinitions.

Lcran History permet de visualiser lensemble des objets dtects par Forefront EndPoint Protection
comme potentiellement nuisibles.

La page Settings permet de configurer lensemble des paramtrages du client Forefront EndPoint
Protection. On retrouve ainsi :
y
y
y
y
y
y
y

Les programmations des scans


Les actions par dfaut lorsquune menace est trouve
Les paramtrages de la protection en temps rel
Les rpertoires ou fichiers exclus de la recherche
Les types de fichiers exclus de la recherche
Les processus exclus de la recherche
Les paramtrages avancs (notifications, paramtrages de recherche, suppression des
fichiers)

Par dfaut, la stratgie ddie au poste de travail nautorise aucune modification de paramtrage.

3.4 Test de l'antivirus


Cette partie traite du test de lantivirus Forefront EndPoint Protection. Nous allons soumettre celui-ci
au test EICAR fournit par le groupe europen de la scurit Informatique. Ce fichier est un faux ngatif
utilis pour tester les antivirus. Il na aucune incidence sur le systme. Depuis sa cration en 2006, ce
fichier de test a t largement utilis et na plus vraiment dintrt. Il permet nanmoins de tester la
fonction de protection en temps rel avec analyse du flux http et https pour dtecter ce genre de
menace juste aprs le tlchargement. Il a aussi servi gnrer les alertes fournies par Forefront que
vous verrez plus loin dans cet article.
Dirigez-vous sur http://www.eicar.org :

Il est possible de tester lantivirus en tlchargeant les fichiers zippS ou non sur les protocoles
http/https. Une fois le tlchargement lanc, le client Forefront EndPoint Protection lve une alerte et
propose de nettoyer la machine :

Laction de nettoyage propose est la suppression du fichier incrimin. Vous pouvez changer daction
en fonction du niveau de svrit dtect et appliquer les actions.

Une fois laction termine, Forefront vous donne le statut de laction :

Vous pouvez ensuite visualiser dans lhistorique du client, lensemble des lments qui ont t
dtects et les diffrentes actions qui ont t appliques :

De la mme manire si on dsactive la protection en temps rel et quon tlcharge le fichier, celui-ci
nest pas neutralis lors du tlchargement mais lors de lanalyse de la machine :

4. Administration
Les tches dadministration du produit passent par diffrentes composantes comme la gestion des
stratgies sappliquant aux clients, la gestion des mises jour, la gestion des oprations de
maintenance, la gestion des alertes, ou la surveillance de ltat de linfrastructure au travers des
rapports. Cette partie vous permettra daborder tous ces concepts.

4.1 Gestion des stratgies (Policies)


La gestion des stratgies est la tche la plus importante quun administrateur doit oprer sur
linfrastructure FEP. Les stratgies (Policies) sont un ensemble dlments/paramtrages sappliquant
au client Forefront EndPoint Protection. Elles permettent de rgir le comportement du client. On
retrouve ainsi la gestion :
y
y
y

De la programmation des scans


De la protection en temps rel
Des notifications,

y
y
y

Des actions face une menace


Des exceptions (fichiers, types de fichiers, processus)
Les rpertoires ou fichiers exclus de la recherche

Pour visualiser les stratgies, ouvrez la console dadministration Configuration Manager. Droulez
larborescence Site Database => Computer Management => Forefront EndPoint Protection =>
Policies.

4.1.1 Les stratgies par dfaut

Forefront EndPoint Protection fournit deux stratgies par dfaut sappliquant tous les clients :
y

Default Server Policy sapplique toutes les machines de type serveur. Elle est applique au
travers dune publication (Assign FEP policy Default Desktop Policy) sur la
collection Deployed Servers.
Default Desktop Policy sapplique toutes les stations de travail. Elle est applique au
travers dune publication (Assign FEP policy Default Server Policy) sur la collection Deployed
Desktops.

Vous ne pouvez pas supprimer les stratgies par dfaut et ce afin dassurer le bon fonctionnement de
linfrastructure. De cette faon, une stratgie est toujours applique un client FEP. Vous pouvez
nanmoins facilement diter les proprits de la stratgie pour modifier les diffrents paramtres.
Il est conseill de ne pas les modifier car celles-ci ont t construite comme un standard sappliquant
aux deux types de profil. Si vous souhaitez appliquer des paramtres spcifiques, vous pouvez crer
une nouvelle stratgie (Policy) qui prendra le dessus sur la stratgie par dfaut.
Nous nallons pas dtailler ici cran par cran les diffrents paramtrages. Nanmoins, vous pouvez
trouver des tableaux regroupant les principales diffrences entre les deux stratgies.
Note : Nous dtaillerons la signification de chaque paramtre lors de la cration des stratgies
personnalises.
Voici les paramtrages pour chacune des stratgies par dfaut en ce qui concerne les analyses
programmes :
Scheduled Scans (params)
Activ
Type danalyse
Programmation (Jour)
Programmation (heure)
Vrification des mises jour
avant de dmarrer lanalyse
Analyse uniquement quand
lordinateur nest pas utilis
Randomiser le dmarrage de
lanalyse programme
(intervalle de 30 min)
Force une analyse lors du
dmarrage du poste si plus
de deux analyses ont t
manques
Limite lutilisation CPU
durant les analyses
Autorise lutilisateur
configurer lusage
processeur pour les analyses
Contrle de lutilisateur sur
les analyses programmes

Default Desktop Policy


Oui
Analyse Hebdomadaire rapide
Samedi
03h00
Oui

Default Server Policy


Non
Aucune
-

Oui

Oui

Non

Oui (50%)

Oui (30%)

Non

Non

Aucun contrle

Aucun contrle

Le tableau suivant rcapitule les actions utilises par dfaut lors de la dcouverte dune menace :
Default Actions (params)
Svre
Haute
Moyenne
Faible

Default Desktop Policy


Utilise laction recommande
Utilise laction recommande
Mise en quarantaine
Autorise

Default Server Policy


Utilise laction recommande
Utilise laction recommande
Mise en quarantaine
Autorise

Ce tableau rassemble les paramtres des deux stratgies par dfaut en ce qui concerne la protection
en temps rel :

Real-time protection (params)


Active
Analyse des fichiers systme
Analyse tous les fichiers
tlchargs et pices jointes
Utilise la supervision du
comportement
Active la protection contre
les exploits rseau
Autorise lutilisateur
configurer les paramtrages
de la protection en temps
relle

Default Desktop Policy


Oui
Analyse des fichiers entrants et
sortants
Oui

Default Server Policy


Oui
Analyse des fichiers entrants et
sortants
Non

Oui

Oui

Oui

Non

Non

Oui

Vous trouvez ci-dessous trois tableaux regroupant les exclusions de rpertoires, de fichiers, de types
de fichiers et de processus pour les stratgies par dfaut :
Excluded files and locations
%windir%\SoftwareDistribution\
Datastore

Default Desktop Policy


Datastore.edb
Res*.log

Default Server Policy


Datastore.edb
Res*.log

Res*.jrs

Res*.jrs

Edb.chk

Edb.chk

Tmp.edb
*.edb, *.sdb, *.log

Tmp.edb
*.edb, *.sdb, *.log

*.chk, *.jrs
Oui
Oui

*.chk, *.jrs
Oui
Oui

Excluded files types

Default Desktop Policy


Aucun

Default Server Policy


Aucun

Excluded processes

Default Desktop Policy


Aucun

Default Server Policy


Aucun

%windir%\Security\Database

%ALLUSERSPROFILE%\NTuser.pol
%SystemRoot%\system32\
GroupPolicy\registry.pol

Voici les diffrences entre les deux stratgies en ce qui concerne les paramtrages avancs du client
Forefront EndPoint Protection :
Advanced
Analyse des fichiers archivs
Analyse des lecteurs rseau lors des
analyses compltes

Default Desktop Policy


Oui
Non

Default Server Policy


Oui
Non

Analyse des priphriques de stockage


amovibles (Cl USB)
Crer un point de restauration systme
avant de nettoyer lordinateur
Afficher un message de notification
lutilisateur lorsque une opration
(analyse complte, tlchargement de
dfinitions) est ncessaire
Suppression des fichiers en quarantaine
Autorise lutilisateur configurer la
priode de suppression automatique des
fichiers en quarantaine
Autorise lutilisateur exclure des
rpertoires, fichiers, type de fichiers et
processus

Overrides

Non

Non

Non

Non

Non

Non

Non
Non

Non
Non

Non

Oui

Default Desktop Policy


Aucun

Default Server Policy


Aucun

Ce tableau rsume les diffrences en ce qui concerne Microsoft SpyNet :


Microsoft SpyNet
Activ
Abonnement
Autorise lutilisateur changer les
paramtrages SpyNet

Default Desktop Policy


Oui
Basic
Non

Default Server Policy


Oui
Basic
Non

Le tableau Updates regroupe les paramtrages de mises jour du client pour les deux stratgies :
Updates
Vrification des dfinitions (intervalle)
Force la mise jour des dfinitions si
celle-ci a chou il y a
Mise jour partir dun partage de
fichier
Mise jour partir de WSUS ou SCCM
Mise jour partir de Microsoft Update

Default Desktop Policy


Toutes les 8 heures
1 jour

Default Server Policy


Toutes les 8 heures
1 jour

Non

Non

Oui
Oui

Oui
Oui

Voici un rcapitulatif des paramtrages de gestion du Firewall Windows pour les deux stratgies par
dfaut :
Windows Firewall
Gestion de Windows Firewall
Rseau Domaine :
Etat du Firewall

Default Desktop Policy


Active

Default Server Policy


Desactive

Activ

Connexions entrantes
Affichage dune notification
Rseaux Privs :
Etat du Firewall
Connexions entrantes
Affichage dune notification
Rseaux Publics :
Etat du Firewall
Connexions entrantes
Affichage dune notification

Bloques
Oui

Activ
Bloques
Oui

Activ
Bloques
Oui

4.1.2 Cration de stratgies personnalises

Aprs avoir dcortiqu les stratgies par dfaut fournies avec Forefront EndPoint Protection, nous
allons entrer dans le vif du sujet et voir comment crer une stratgie personnalise. Nous dtaillerons
dans cette partie lensemble des tapes de cration et ddition. Vous trouverez ici la dfinition de
chaque paramtre.
Pour crer votre stratgie (Policy) personnalise, ouvrez la console dadministration Configuration
Manager. Droulez larborescence Site Database => Computer Management => Forefront
EndPoint Protection => Policies. Cliquez droit sur le nud Policies et slectionnez New Policy :

Lassistant de cration dune stratgie souvre. Nous allons crer une stratgie personnalise qui
sappliquera tous les ordinateurs portables (profils itinrants, commerciaux, consultants). Entrez le
nom de la stratgie et la description :

Sur lcran Policy Type, vous devez choisir le type de stratgie que vous souhaitez crer. Les
diffrentes options proposes sont des modles qui vous permettront dadapter la stratgie au besoin
mis. On retrouve ainsi 4 types principaux :
y
y

Standard desktop policy : fournit des paramtrages pour les postes de travail standard. Une
analyse rapide a lieu par semaine et lutilisation du processeur est limite 50%
High-security Policy : Cette stratgie donne un niveau de scurit maximum en incluant des
analyses rapides tous les jours et une analyse complte par semaine. Lutilisation processeur
nest pas limite et la configuration du Firewall est optimise pour viter les intrusions.
Performance optimized policy : Cette stratgie offre une configuration permettant une
protection scurit minimale tout en offrant un niveau de performance maximum. Lusage
processeur est limit 30% et une analyse rapide a lieu toutes les semaines.
Policy template : Cette option permet de slectionner des modles de scurit pour des cas
bien particuliers comme des rles serveurs. Les modles incluent ainsi des paramtrages

spcifiques aux rles comme des exclusions de fichiers ou de processus. Voici la liste des
modles offerts :
o Microsoft SQL Server 2005
o Microsoft SQL Server 2008
o Internet Information Services (IIS) 6 et 7
o System Center Configuration Manager 2007
o Microsoft Exchange Server 2007/2010
o FEP Exchange et Microsoft Forefront Protection 2010 for Exchange Server (FPE)
o Microsoft SharePoint 2010
o Microsoft Office SharePoint Server 2007 et Microsoft Forefront Protection 2010 for
SharePoint (FPSP)
o Domain Controller
o Microsoft Hyper-V (host)
o Terminal Services
o DNS Server
o DHCP Server
o File Services
o System Center Operations Manager 2007
o Server (stratgie par dfaut recommande par Microsoft pour des serveurs)
Nous aborderons plus tard dans cette partie la cration dune stratgie ddie un rle serveur.

Slectionnez le type de stratgie

Standard desktop policy puis passez lcran suivant :

Sur lcran Scheduled Scans, vous pouvez choisir de programmer des analyses en cochant
schedule type and time of scan . Vous pouvez slectionner le type et la frquence des analyses
en choisissant :

y
y
y
y
y

Une analyse rapide par semaine


Une analyse complte par semaine
Une analyse rapide par jour
Une analyse complte par jour
Une analyse rapide par jour et une analyse complte par semaine.

Vous devez ensuite choisir la programmation (jour et heure) de ces analyses.

La page suivante permet dajouter des exclusions lanalyse. Par dfaut, on retrouve les exclusions
habituelles du dossier Software Distribution. Il peut tre intressant dexclure certains fichiers comme
des bases de donnes afin doptimiser le fonctionnement de certains programmes.

A ltape Updates, vous pouvez spcifier les diffrentes mthodes utilises pour mettre jour le client
Forefront et dployer les nouvelles dfinitions antivirales. Vous pouvez ainsi :
y
y
y

Autoriser la mise jour en utilisant un chemin rseau (UNC)


Autoriser la mise jour via SCCM ou WSUS (coch par dfaut)
Autoriser la mise jour partir de Microsoft Updates (coch par dfaut)

Lcran Client Configuration permet de configurer les interactions entre lutilisateur et le client. Vous
pouvez ainsi choisir de laisser lutilisateur configurer la protection en temps rel ou encore les
programmations danalyse. Vous pouvez aussi cocher Show notification messages to users on
pour afficher des notifications lutilisateur lorsque des actions sont ncessaires. Ceci peut se
caractriser par le lancement dune analyse complte ou le tlchargement des dernires dfinitions
de virus et de logiciels malveillants.

Validez lcran de rsum pour procder la cration de la stratgie :

Une fois cre, on retrouve notre stratgie dans la liste des stratgies disponibles :

Maintenant que la stratgie est cre, je vous propose de rentrer plus en dtail dans les paramtrages
offerts par ces stratgies. Pour cela dans larborescence Site Database => Computer Management
=> Forefront EndPoint Protection => Policies, cliquez droit sur la stratgie et choisissez Properties

Une fois la fentre des proprits ouverte, on se retrouve dans longlet General. Cet onglet prsente
le nom et la description de la stratgie. Vous pouvez y retrouver les collections qui se voient assigner
la stratgie.
On retrouve aussi la date de cration et de modification ainsi que le numro de version de la stratgie.
Le numro de version est incrment chaque fois que la stratgie est modifie.

Ouvrez longlet Antimalware. Dans la partie Scheduled scans, on retrouve les paramtrages
suivants :
y
y

y
y
y
y

y
y

Schedule type and time of scan : Ce paramtrage permet dactiver lanalyse du poste de
travail et configure ainsi le type danalyse et la programmation
Scan type : permet de configurer le type danalyse parmi les choix suivants :
o Une analyse rapide par semaine
o Une analyse complte par semaine
o Une analyse rapide par jour
o Une analyse complte par jour
o Une analyse rapide par jour et une analyse complte par semaine.
Scan Time offre la possibilit de configurer lheure laquelle doit avoir lieu lanalyse
journalire
Weekly scan donne deux champs permettant de configurer le jour et lheure laquelle doit
avoir lieu lanalyse hebdomadaire.
Check for definition updates before starting a scan permet de vrifier les mises jour de
definition avant de lancer une analyse.
Scan only when the computer is not in use : Cette option permet de lancer une analyse
uniquement lorsque la machine nest pas utilise par une personne. Elle utilise pour cela le
temps dinactivit dj utilis pour lancer lconomiseur dcran.
Randomize scheduled scan start times : Ce paramtre sil est activ permet de lancer
lanalyse dans un intervalle de temps alatoire compris entre la date de programmation et les
30 prochaines minutes. Cette option permet dviter que tous les postes de travail cibls par la
stratgie dmarrent en mme temps lanalyse.
Force a scan upon restart when two or more scheduled scans are missed : Cette option
permet de forcer lanalyse au dmarrage lorsque deux ou plusieurs analyses programmes
ont t rates. Ceci est trs pratique si le poste de travail a t hors ligne (teint, en veille)
pendant une priode plus ou moins longue.
Limit processor usage during scans to the following percentage : permet de limiter
lusage processeur allou lanalyse du poste de travail un pourcentage maximum.
Allow users on endpoint computers to configure processor usage limits for scans :
Cette option donne le droit lutilisateur de configurer lui-mme la limite dusage du
processeur allou lanalyse.
Users control on scheduled scans : Cette option permet de rgir le contrle que peut avoir
lutilisateur sur les analyses programmes. On retrouve les options suivantes :
o Aucun contrle
o Autorise le changement de lheure danalyse seulement
o Contrle total : Autorise lactivation, la dsactivation ou le paramtrage du type et de
la programmation de lanalyse.

Dans la partie Default actions, on retrouve les paramtrages lis aux actions par dfaut face des
niveaux de menaces dtects. Ces niveaux de menace (svre, haute, moyenne ou faible) sont
dtermins par Microsoft en fonction de la svrit de celle-ci :
y
y
y
y

Action recommande par Microsoft : Ce paramtrage peut potentiellement procder tous les
scnarios daction.
Remove : Cette action supprime la menace.
Quarantaine : Cette action met en quarantaine la menace
Allow (Autorise) : Cette action autorise la menace.

La partie Real-time protection rassemble les options concernant le module de protection en temps
rel :
y
y
y
y

y
y

Enable real-time protection permet dactiver la protection en temps relle


Scan system files : Cette option permet de dfinir quels fichiers systme vous souhaitez
analyser. (Par dfaut loption analyse les fichiers entrants et sortants)
Scan all downloaded files and attachments : Cette option permet danalyser tous les
fichiers tlchargs ou toutes les pices jointes reues en temps rel.
Use behavior monitoring : permet dactiver la supervision des comportements. Ce
mcanisme est utilis par Forefront pour surveiller le comportement du systme pour bloquer
les menaces inconnues.
Enable protection against network-based exploits : Ce paramtre active la protection
contre les attaques par le rseau.
Allow users on endpoint computers to configure real-time protection settings : autorise
lutilisateur modifier les paramtrages de la protection en temps rel.

Lcran Excluded files and locations permet dajouter des exceptions lanalyse faite par Forefront
EndPoint Protection pour viter que certains fichiers ou rpertoires soient analyss. Ceci peut
permettre damliorer les performances de certaines applications (par exemple dans le cadre de
bases de donnes) mais augmente le risque des machines.

Lcran Excluded file types permet dajouter des exceptions pour certains types de fichiers.

Lcran Excluded processes permet dajouter des exceptions pour certains processus afin dviter
dinterfrer avec le comportement de certaines applications et rendre lexcution plus performante.

La partie Advanced offre des paramtrages supplmentaires :


y
y
y
y

y
y

Scan archived files : Cette option permet danalyser les fichiers archivs
Scan network drives when running a full scan : Ce paramtrage permet danalyser les
lecteurs rseau lorsquune analyse complte est lance.
Scan removable storage devices : Cette option permet de procder lanalyse des
priphriques de stockage amovibles (Cl USB).
Create a system restore point before cleaning computers : Ce paramtre permet de crer
un point de restauration systme avant toute tentative de nettoyage de la machine si une
menace a t dtecte.
Show notification messages to users on endpoint computers when they need to
perform the following actions : Cette option permet dafficher des notifications lutilisateur
lorsquil est ncessaire de procder des analyses compltes, aux tlchargements des
mises jour de dfinitions antivirales
Delete quarantined files after : permet de supprimer automatiquement les fichiers mis en
quarantaine aprs une priode donne.
Allow users on endpoint computers to configure quarantined delete period : Cette
option donne le droit lutilisateur de modifier la priode de suppression automatique des
fichiers en quarantaine.
Allow users on endpoint computers to exclude files and locations, file types, and
processes : Ce paramtre donne le droit lutilisateur de modifier les exceptions de fichiers,
rpertoires, types de fichiers, et processus.

La partie Overrides permet de spcifier des exceptions permettant doutrepasser le comportement


des actions recommandes. Vous pouvez ainsi pour certaines menaces (vous trouverez la liste
sur : http://www.microsoft.com/security/portal/Threat/Encyclopedia/Browse.aspx), spcifiez des
actions particulires qui prendront le dessus sur laction recommande.

Lcran de configuration Microsoft SpyNet permet de configurer labonnement SpyNet. Vous


pouvez ainsi dsactiver labonnement ou choisir le type. Loption Allow users on endpoint

computers to change SpyNet settings autorise lutilisateur final de modifier lui-mme les
paramtres de SpyNet.

Longlet Updates offre diffrents paramtrages permettant de modifier le comportement de mis jour
du client :
y

Vous pouvez ainsi choisir quelle frquence vous souhaitez que le client procde la
vrification des mises jour de dfinition. Ceci peut avoir lieu heure fixe ou intervalle
rgulier en heure.
Force a definition update when definition updates have failed : Ce paramtre permet de
forcer la mise jour des dfinition si une mise jour de dfinition a chou un intervalle de
jour configur.
Vous pouvez ensuite choisir par quel moyen le client Forefront EndPoint Protection pourra
rcuprer ses mises jour de dfinition :
o En utilisant un chemin rseau
o En utilisant la distribution des mises jour par SCCM ou WSU
o En utilisant Microsoft Updates
Enfin vous pouvez spcifiez les chemins rseau si vous avez choisi cette mthode de mise
jour.

Longlet Windows Firewall permet de spcifier les paramtres de configuration influant sur le firewall
Windows.
y

Manage Windows Firewall permet dactiver la gestion du firewall par le client Forefront.
Cette option dverrouille la configuration des options suivantes pour les diffrents types de
rseau (domaine, priv, public) :
o Etat du firewall : Cette option permet dactiver/dsactiver le firewall en fonction du
rseau
o Incoming connections : permet de spcifier le comportement du firewall face aux
connexions entrantes (bloques)
o Display a notification permet dafficher des notifications lorsquune exception doit
tre enregistre.

4.1.3 Cration dune stratgie base sur un modle pour un rle serveur

Nous avons vu comment crer une stratgie personnalise assez standard base sur les types
disponibles. Ceux-ci se prtent principalement une utilisation pour les postes de travail. Microsoft

propose nanmoins des modles spcifiques aux serveurs et aux diffrents rles et produits quils
peuvent hberger.
Nous allons crer une stratgie destination des serveurs de site System Center Configuration
Manager. Celle-ci devra prendre en considration les diffrents mcanismes des serveurs cibles.
Procder la cration dune nouvelle stratgie. Une fois lassistant ouvert, entrez le nom de la
stratgie et sa description.

Sur lcran Policy Type, cochez Policy template et choisissez le modle


Manager 2007 including Defaults :

FEP Configuration

Validez lcran de rsum pour procder la cration :

Une fois cre, nous pouvons diter cette stratgie spcifique au produit System Center Configuration
Manager 2007. Nous pouvons remarquer dans les paramtrages Antimalware => Excluded files and
Locations quil y a de nombreuses exclusions associes au chemin dinstallation de System Center
Configuration Manager :

Ces modles sont un bon moyen dadapter facilement le comportement du client Forefront EndPoint
Protection au rle et produits sur lequel il est install.

4.1.4 Cration dune stratgie base sur un modle pour un rle serveur

Aprs avoir cr nos stratgies, nous allons pouvoir les assigner aux clients Forefront cibles de la
configuration. La premire tape consiste crer les collections et larborescence des collections
ncessaires votre infrastructure. Vous pouvez crer les collections au niveau de FEP Collections
=> Deployment Status => Deployment Succeeded. Pour plus de clart, jai cr une arborescence
spare et totalement ddie lapplication des stratgies personnalises :

Ce dcoupage est bien entendu prsent titre indicatif ; vous tes libre dorganiser celles-ci selon
vos besoins.
Pour assigner une stratgie, rendez-vous dans la console dadministration Configuration Manager et
droulez larborescence Site Database => Computer Management => Forefront EndPoint
Protection => Policies. Cliquez droit sur la stratgie que vous souhaitez dployer et
slectionnez Assign Policy :

Une fentre souvre. Celle-ci permet dajouter des collections qui seront la cible de la stratgie.
Cliquez sur Add pour les ajouter. Vous pouvez ensuite cocher la case Include
subcollections si vous souhaitez que la publication se propage aux sous-collections :

Une fois ajoute, nous pouvons voir que la publication est assigne la collection que nous avons
choisie :

4.1.5 Edition de la priorit

Un client Forefront EndPoint Protection peut se voir attribuer plusieurs stratgies mais il nen
appliquera quune seule. Un client se voit toujours attribu au moins une stratgie. Les deux stratgies
par dfaut ne peuvent tre supprimes pour cette raison et assure ainsi un service minimum sur
les nouveaux clients.

Afin de pouvoir au mieux grer lapplication dune et une seule stratgie sur chaque client ; celles-ci se
voient attribuer une priorit. Cette priorit permet au client de savoir quelle stratgie doit sappliquer si
plusieurs lui sont proposes. Plus le numro de priorit est faible ; moins la stratgie est prioritaire.
Ainsi si un client se voit attribuer une stratgie avec un numro de priorit 15 et la stratgie par dfaut
(priorit 1) ; ce sera bien la stratgie avec la priorit 15 qui sera applique.
Les deux stratgies par dfaut ont la proprit la plus faible (respectivement 1 pour la stratgie poste
de travail et 2 pour les serveurs).

Note : Lors de la cration dune nouvelle stratgie, celle-ci se voit assigner la priorit maximale.
Il est possible dditer la priorit des stratgies. Pour cela, ouvrez la console dadministration et
droulez larborescence Site Database => Computer Management => Forefront EndPoint
Protection => Policies. Cliquez droit sur le nudPolicies et slectionnez Edit Policy
Precedence .

Une fentre souvre afin de vous permettre de dplacer vers le haut (en donnant une priorit
suprieure) ou vers le bas (en donnant une priorit infrieure) chaque stratgie.

Veuillez noter quil nest pas possible de modifier la priorit des stratgies par dfaut.

4.1.6 Edition de la priorit

Voici les paramtrages pour chacun des types de stratgie en ce qui concerne les analyses
programmes :
Scheduled Scans
(params)
Activ
Type danalyse

Programmation (Jour)
Programmation (heure)
Vrification des mises
jour avant de dmarrer
lanalyse
Analyse uniquement
quand lordinateur nest
pas utilis
Randomiser le
dmarrage de lanalyse
programme (intervalle
de 30 min)
Force une analyse lors
du dmarrage du poste
si plus de deux
analyses ont t
manques

Standard Desktop
Policy
Oui
Analyse Hebdomadaire
rapide

High-security Policy

Performanceoptimized policy
Oui
Analyse
Hebdomadaire
rapide

Samedi
03h00
Oui

Oui
Analyse journalire
rapide et
hebdomadaire
complte
Samedi (3h00)
02h00
Oui

Oui

Non

Oui

Oui

Oui

Oui

Non

Oui

Non

Samedi
03h00
Oui

Oui (50%)

Non

Oui (30%)

Non

Non

Non

Aucun contrle

Limite lutilisation CPU


durant les analyses
Autorise lutilisateur
configurer lusage
processeur pour les
analyses
Contrle de lutilisateur
sur les analyses
programmes

Aucun contrle

Aucun contrle

Le tableau suivant rcapitule les actions utilises par dfaut lors de la dcouverte dune menace :
Default Actions
(params)
Svre
Haute
Moyenne

Standard Desktop
Policy
Utilise laction
recommande
Utilise laction
recommande
Mise en quarantaine

High-security Policy

Autorise

Autorise

Faible

Performanceoptimized policy
Utilise laction
recommande
Utilise laction
recommande
Mise en
quarantaine
Autorise

Utilise laction
recommande
Utilise laction
recommande
Mise en quarantaine

Ce tableau rassemble les paramtres des types de stratgie en ce qui concerne la protection en
temps rel :
Real-time protection
(params)
Active
Analyse des fichiers
systme
Analyse tous les
fichiers tlchargs et
pices jointes
Utilise la
supervision du
comportement
Active la protection
contre les exploits
rseau
Autorise lutilisateur
configurer les
paramtrages de la
protection en temps
relle

Standard Desktop
Policy
Oui
Analyse des fichiers
entrants et sortants
Oui

High-security Policy
Oui
Analyse des fichiers
entrants et sortants
Oui

Performanceoptimized policy
Oui
Analyse des fichiers
entrants et sortants
Oui

Oui

Oui

Oui

Oui

Oui

Oui

Non

Non

Non

Vous trouvez ci-dessous trois tableaux regroupant les exclusions de rpertoires, de fichiers, de types
de fichiers et de processus pour des types de stratgie :
Excluded files and locations

Standard Desktop
Policy

High-security
Policy

Performanceoptimized
policy

Datastore.edb
Res*.log

Datastore.edb
Res*.log

Res*.jrs

Res*.jrs

Edb.chk

Edb.chk

Edb.chk

Tmp.edb
*.edb, *.sdb, *.log

Tmp.edb
*.edb, *.sdb, *.log

Tmp.edb
*.edb, *.sdb,
*.log

*.chk, *.jrs

%windir%\Security\Database

Datastore.edb
Res*.log

Res*.jrs

%windir%\SoftwareDistribution\
Datastore

*.chk, *.jrs

Oui
Oui

Oui
Oui

%ALLUSERSPROFILE%\NTuser.pol
%SystemRoot%\system32\
GroupPolicy\registry.pol

*.chk, *.jrs
Oui
Oui

Excluded files types

Standard Desktop
Policy
Aucun

High-security
Policy
Aucun

Performanceoptimized policy
Aucun

Excluded processes

Standard Desktop
Policy
Aucun

High-security
Policy
Aucun

Performanceoptimized policy
Aucun

Voici les diffrences entre les types de stratgie en ce qui concerne les paramtrages avancs du
client Forefront EndPoint Protection :
Advanced
Analyse des fichiers archivs
Analyse des lecteurs rseau lors
des analyses compltes
Analyse des priphriques de
stockage amovibles (Cl USB)
Crer un point de restauration
systme avant de nettoyer
lordinateur
Afficher un message de
notification lutilisateur
lorsque une opration (analyse
complte, tlchargement de
dfinitions) est ncessaire
Suppression des fichiers en
quarantaine
Autorise lutilisateur
configurer la priode de
suppression automatique des
fichiers en quarantaine
Autorise lutilisateur exclure
des rpertoires, fichiers, type de

Standard Desktop
Policy
Oui
Non

High-security
Policy
Oui
Non

Performanceoptimized policy
Oui
Non

Non

Non

Non

Non

Non

Non

Non

Non

Non

Non

Non

Non

Non

Non

Non

Non

Non

Non

fichiers et processus

Overrides

Standard Desktop
Policy
Aucun

High-security
Policy
Aucun

Performanceoptimized policy
Aucun

Ce tableau rsume les diffrences concernant Microsoft SpyNet :


Microsoft SpyNet
Activ
Abonnement
Autorise lutilisateur changer
les paramtrages SpyNet

Standard Desktop
Policy
Oui
Basic
Non

High-security
Policy
Oui
Basic
Non

Performanceoptimized policy
Oui
Basic
Non

Le tableau Updates regroupe les paramtrages de mises jour du client pour les types de stratgie:
Updates
Vrification des dfinitions
(intervalle)
Force la mise jour des
dfinitions si celle-ci a chou il
ya
Mise jour partir dun partage
de fichier
Mise jour partir de WSUS ou
SCCM
Mise jour partir de Microsoft
Update

Standard Desktop
Policy
Toutes les 8 heures

High-security
Policy
Toutes les 8 heures

1 jour

1 jour

Performanceoptimized policy
Toutes les 8
heures
1 jour

Non

Non

Non

Oui

Oui

Oui

Oui

Oui

Oui

Voici un rcapitulatif des paramtrages de gestion du Firewall Windows pour les types de stratgie :
Windows Firewall
Gestion de Windows Firewall
Rseau Domaine :
Etat du Firewall
Connexions entrantes
Affichage dune notification
Rseaux Privs :
Etat du Firewall
Connexions entrantes
Affichage dune notification
Rseaux Publics :

Standard Desktop
Policy
Active

High-security
Policy
Active

Performanceoptimized policy
Desactive

Activ
Bloques
Oui

Activ
Bloques
Oui

Activ
Bloques
Oui

Activ
Bloques
Oui

Etat du Firewall
Connexions entrantes
Affichage dune notification

Activ
Bloques
Oui

Activ
Bloques
Oui

4.1.7 Fonctionnement de lintgration des stratgies System Center Configuration


Manager

Cette partie va vous permettre de comprendre comment Forefront EndPoint Protection 2010 sintgre
aux diffrents mcanismes de System Center Configuration Manager 2007.
La cration dune stratgie nest ni plus ni moins quassocie la cration dun nouveau programme
dans le package Microsoft Corporation FEP Policies 1.0 :

Ce package est remis jour automatiquement tous les jours heure fixe afin de prendre en
considration les diffrents changements :

Lassignation dune stratgie correspond la cration dune publication (Advertisement) pour le


programme associ la stratgie sur une collection donne avec les diffrents paramtrages
ncessaires.

Ainsi, il existe deux publications par dfaut qui sappliquent tous les jours. Ds lors que vous assignez
une stratgie, celle-ci se voit crer une publication qui est applique ds que possible pour que les
changements de stratgies soient appliqus le plus rapidement possible.

4.2 Gestion des mises jour


La gestion des mises jour de dfinitions est une tape importante dans la gestion des clients
Forefront EndPoint Protection. Microsoft publie des mises jour de dfinitions plusieurs fois par jour
pour actualiser les nouvelles menaces qui se prsentent. Vous pouvez mettre jour les clients de
diffrentes faons :
y
y

Via Microsoft Updates : Le client se connecte aux serveurs de mise jour de Microsoft.
Via un chemin rseau: Vous lavez vu dans la gestion des stratgies ; il est possible de crer
un rpertoire faisant office de dpt des mises jour. Le client rcupre alors manuellement
les dfinitions partir de ce dossier.
Via System Center Configuration Manager ou Windows Server Updates Services :
Ladministrateur dploie et approuve les mises jour massivement.

Chacune de ces mthodes possdent un avantage. La mise jour via Microsoft Updates peut
permettre aux clients dconnects du rseau de quand mme bnficier des mises jour de
dfinitions. Lutilisation dun chemin rseau permet aux clients ne disposant pas dun accs Internet
ou dune infrastructure de dploiement (points de distribution...) daccder aux mises jour. Enfin
lutilisation de SCCM ou WSUS permet ladministrateur de mieux contrler le dploiement des
dfinitions. Il est possible dutiliser lensemble de ces mthodes conjointement.
Nous naborderons ici que les mthodes de dploiement massives savoir la gestion des mises jour
par System Center Configuration Manager 2007 et Windows Server Updates Services. Il faut savoir
que le systme de gestion des mises jour par SCCM ne se prte pas vraiment la gestion des
mises jour de dfinitions. Nanmoins, nous verrons les diffrentes mthodes (officielles ou non)
savoir :
y
y
y

Gestion manuelle par SCCM


Gestion automatique par WSUS (mthode officielle)
Gestion automatique par SCCM (mthode non officielle)

Notez que pour raliser cette partie, vous devez disposer des connaissances ncessaires dans la
gestion des mises jour par WSUS et SCCM. Nous ne dtaillerons pas linstallation et la configuration
de linfrastructure de dploiement de mises jour.

4.2.1 Gestion manuelle des mises jour par SCCM

Comme expliqu plus haut, le processus de gestion des mises jour via System Center Configuration
Manager ne se prte pas la mise jour des dfinitions FEP. En effet, les mises jour de dfinitions
ont lieu plusieurs fois par jour. La gestion des mises jour via SCCM ncessite des oprations
manuelles. Ceci signifie que ladministrateur devra procder aux oprations suivantes au moins une
fois par jour sil veut que son infrastructure soit jour.
Commenons par revoir brivement les paramtrages de linfrastructure System Center Configuration
Manager. Ouvrez la console dadministration, droulez larborescence Site Database => Site
Management => <SITECODE> - <SITENAME> => Site Settings => Client Agents. Ouvrez
lagent Software Updates client Agent . Vrifiez que celui-ci est activ et correctement configur
selon vos besoins :

Cliquez ensuite sur le nud Component Configuration. Ouvrez longlet


cochez la case Definition Updates :

Classifications et

Cliquez ensuite sur longlet Products et cherchez le produit Forefront EndPoint Protection
2010 . Cochez la case pour activer la synchronisation du produit.

Dans longlet Languages , vrifiez que les langues des clients sont coches pour pouvoir
appliquer les mises jour en fonction des langues locales de votre parc :

Initiez ensuite une synchronisation. Pour cela, dirigez-vous dans larborescence Site Database =>
Computer Management => Software Updates => Update Repository. Cliquez droit et slectionnez
Run Synchronization :

"

Validez le message pour procder la synchronisation :

Vous pouvez valider que la synchronisation a eu lieu avec succs en visionnant le fichier de
journalisation wsyncmgr.log :

La mise jour de dfinition apparat ensuite dans la console dans larborescence : Site Database =>
Computer Management => Software Updates => Update Repository => Definition Updates =>
Microsoft => Forefront EndPoint Protection 2010 :

Cliquez droit sur la mise jour et slectionnez

Deploy Software Updates :

Note : Il est recommand dutiliser des listes de mises jour (Update List). Nanmoins nous
nutiliserons pas ce processus pour simplifier larticle.
Lassistant souvre. Celui-ci permet de crer le dploiement qui ciblera les clients. Entrez le nom dun
dploiement :

Sur la page Deployment Template, vous pouvez choisir dutiliser un modle existant ou den crer un
nouveau. Je vais pour ma part utiliser un modle dj cr pour les besoins dune dmonstration.

A ltape Deployment Package, crez un nouveau package de dploiement qui identifiera les mises
jour de dfinition. Vous devez pour cela entrer un nom et un chemin UNC faisant rfrence au
rpertoire source du package :

Slectionnez ensuite les points de distribution sur lesquels vous souhaitez dployer le package de
mises jour.
Sur lcran Download Location, vrifiez que loption Download software updates from the
Internet est coche et passez ltape suivante :

Sur la page Language Selection, cochez les langues que vous utilisez dans votre parc pour rendre
disponible les mises jour lensemble des clients :

A ltape Schedule, vous pouvez programmer le dploiement de la mise jour. Ainsi vous devez
choisir la date de mise disposition mais aussi la date de fin. Cette date de fin permet de forcer
linstallation automatique des mises jour.

Validez lcran de rsum pour procder la cration du dploiement :

Ouvrez une session sur une machine cliente ; celle-ci doit afficher une bulle de notification informant
de la disponibilit dune mise jour :

Cliquez sur cette bulle pour ouvrir la fentre de gestion des mises jour logiciel. Cliquez
sur Install pour procder linstallation. Notez que si la date de fin est gale la date de mise
disposition ; lutilisateur naura pas besoin de procder ces tapes et se verra forcer linstallation des
mises jour de dfinition.

Une fois lanc, le client procde au tlchargement des fichiers de mise jour :

Enfin linstallation dmarre :

Une fois termine, la mise jour a t correctement applique au client Forefront comme vous pouvez
le voir dans longlet Updates de son interface :

4.2.2 Gestion automatique par WSUS (mthode officielle)

Nous avons vu comment grer les mises jour manuellement via System Center Configuration
Manager 2007. La mthode qui suit permet de grer automatiquement les mises jour de dfinitions
via Windows Server Updates Services en utilisant les rgles dapprobation du produit. Cette mthode
est la solution officielle fournie par Microsoft pour rsoudre les lacunes de System Center
Configuration Manager 2007. Celle-ci a ses avantages : Elle est officielle ! Mais elle dispose aussi de
nombreux inconvnients :
Elle nutilise pas System Center Configuration Manager et le dploiement via les points distribution.
Les mises jour sont dployes via le serveur WSUS. Ainsi la gestion des sites distants est rendue
plus difficile.
Ladministrateur ne dispose pas de lensemble des informations de Reporting (installation avec succs
ou non) de System Center Configuration Manager.

Ouvrez la console dadministration WSUS et dirigez-vous dans le nud Options.

Slectionnez Automatic Approvals pour ouvrir la fentre de configuration des rgles


dapprobation. Cliquez sur New Rule pour crer une rgle :

&

&

Sur la fentre Add Rule, cochez When an update is in a specific classification et When an
update is in a specific product. Slectionnez ensuite la classification Definition Updates et le
produit Forefront EndPoint Protection 2010. Appliquez cette rgle lensemble des ordinateurs.

'

Note : Vous pouvez choisir de cibler un unique groupe de machines.


Entrez ensuite le nom de la rgle et cliquez sur Ok.

Une fois ajoute, vrifiez que la rgle est coche dans lcran Automatic Approvals et cliquez
sur OK

Toujours dans les options de la console dadministration WSUS, slectionnez Synchronization


Schedule. Choisissez ensuite de procder la synchronisation automatique. Vous pouvez choisir la
premire synchronisation et la frquence. Quatre fois par jour permettent de maintenir linfrastructure
jour mais vous pouvez aussi acclrer la frquence en passant 24 fois par jour partir de minuit.

Une fois synchronis, on peut observer laide de filtre que les mises jour de dfinition ont t
correctement approuves :

Connectez-vous sur une machine cliente et ouvrez le client Forefront EndPoint Protection. Ouvrez
longlet Update et procdez la mise jour du client. Le client consulte le serveur WSUS, tlcharge
et installe les mises jour qui lui sont proposes :

Le client est ensuite jour :

Vous pouvez configurer les paramtres de mise jour du client via stratgie pour que celui-ci se mette
jour avant les analyses ou via stratgie de groupe pour forcer la consultation des mises jour.

4.2.3 Gestion automatique par SCCM (mthode non officielle)

Cette mthode de gestion automatique des mises jour de dfinitions est propose par Kim
Oppalfens. Sa solution se rapproche des rgles de dploiement automatique (ADR) de System Center
Configuration Manager 2012.
Pour faire simple, il faut configurer le Software update Point pour procder une synchronisation
toutes les heures. Il faut ensuite crer une rgle de filtrage dtat qui lors de la remonte de levent id
6702 (synchronisation du serveur WSUS avec succs), lance un excutable cr par Kim Oppalfens.
Cette excutable:

y
y
y
y

Tlcharge les mises jour spcifies


Place les mises jour dans un package
Distribue le package sur tous les points de distribution
Dploie ces mises jour une collection

Avertissement : Cette solution est implmenter vos risques et prils mais elle a le mrite
dapporter une solution viable un problme quotidien auquel font face les administrateurs
SCCM/FCS/FEP.
Commencez par tlcharger les binaires de la solution propose par
Kim : http://www.myitforum.com/absolutenm/templates/Articles.aspx?articleid=20071&zoneid=89 Disp
osez-les dans un rpertoire accessible par le serveur de site. Vous allez peut tre devoir diter les
sources pour changer les rfrences vers le SDK. Pour cela, lisez le README.
Crez ensuite une rgle de filtrage dtat. Ouvrez la console dadministration et droulez
larborescence Site Database => Site Management => <SITECODE> - <SITENAME> => Site Settings
=> Status Filter Rules. Cliquez droit sur le nud Status Filter Rules et slectionnez New
Status FIlter Rules .
Lassistant souvre. Entrez le nom de la rgle (par exemple : AutoDeploy FEP Updates ) et entrez
les informations suivantes :

y
y
y

Source : ConfigMgr Server


Component : SMS_WSUS_SYNC_MANAGER
Message ID : 6702

Sur la page Actions, cochez la case Run a program puis entrez la ligne de commande :
"<chemin vers les sources de la solution>\SUM_E2E_Deployment.exe" <NOMDUPROVIDER>
<ID_DE_LA_COLLECTION_CIBLE_DU_DEPLOIEMENT>.
On retrouve par exemple dans mon cas : "<chemin vers les sources de la
solution>\SUM_E2E_Deployment.exe" WTVN-SCCMSS LYN00027

Passez lcran suivant et validez le rsum pour procder la cration. Fermez ensuite lcran de
confirmation.

Note : Vous devez reconfigurer votre Software Update Point pour quil procde des synchronisations
toutes les heures.
Une fois la synchronisation effectue ; le processus cr un package Latest Forefront Definition
Updates Package dploy sur tous les points de distribution et comprenant les dernires mises
jour de dfinitions :

Dans le mme temps, un dploiement Forefront Auto-Approved updates a t cr. Celui-ci


cible la collection LYN00027 et comporte les mises jour de dfinitions :

Ce dploiement ne dispose pas de date de fin forant le dploiement. Vous pouvez ainsi aisment le
modifier pour correspondre votre politique de mise jour :

Connectez-vous ensuite sur un client faisant parti de la collection cible du dploiement. Ce client doit
recevoir un dploiement optionnel de mise jour des dfinitions antivirales Forefront EndPoint
Protection :

Une fois installe, la mise jour est correctement applique au client Forefront :

Vous avez vu dans cette partie, diffrentes mthodes de gestion des mises jour de dfinitions afin
de dployer massivement sur le parc informatique. Chacune dispose des avantages et
des inconvnients. Il ne fait aucun doute que la gestion manuelle des mises jour par System Center
Configuration Manager rallonge considrablement le temps quotidien pass ladministration du
produit. La solution officielle de Microsoft est un bon compromis. Nanmoins, elle nutilise pas les
avantages des points de distribution souvent utiliss pour distribuer les packages au sein
dinfrastructure riche en sites distants.

Vous aimerez peut-être aussi