Vous êtes sur la page 1sur 42

TrendMicro OfficeScan 10.6

Installation et paramétrage en mode client / serveur

Préconisations Académiques Nantes

Cellule Technique des Réseaux d'Établissements

DSI-D2

Rectorat de Nantes

Contacts Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour

Contacts

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

Nom Société Fonction Téléphone/fax Adresse électronique Type de document Nom Confidentialité Périmètre de
Nom
Société
Fonction
Téléphone/fax
Adresse électronique
Type de document
Nom
Confidentialité
Périmètre de diffusion
Préconisations Académiques
Académique
Etablissements, CRID, Collectivités
Révision du document
Version
Date de modification
Auteur
Description
1.0 08/03/2012
christian le breton
Documentation initiale
1.1 14/03/2014
christian le breton
Adaptation nouvelles fonctionnalités
Optimisations / bonnes pratiques
Validation du document
Nom
Fonction
Date
Rédaction par :
Christian Le Breton
CTRE
08 / 03 / 2012
Vérification par :
GT antivirus
Validation par :
Approbation par :

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 2 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

TTTAAABBBLLLEEE DDDEEESSS MMMAAATTTIIIEEERRREEESSS

TABLE DES MATIERES

3

1. PRESENTATION

5

2. INSTALLATION

6

2.1. PRE-REQUIS

6

2.2. OBTENTION DU PROGRAMME

8

2.3. DEMARRAGE DE L'INSTALLATION

9

2.4. DOSSIER D'INSTALLATION DE L'APPLICATION

10

2.5. PARAMETRES DE PROXY

10

2.6. CHOIX DU SERVEUR WEB

10

2.7. IDENTIFICATION DU SERVEUR SUR LE

11

2.8. ACTIVATION DU PRODUIT

11

2.9. SERVEUR "SMART PROTECTION" INTEGRE

12

2.10. INSTALLATION DU CLIENT SURLE SERVEUR

12

2.11. SMART PROTECTION NETWORK

12

2.12. MOTS DE PASSE

13

2.13. PARAMETRES D'INSTALLATION CLIENT

13

2.14. PARE-FEU DE STATION

13

2.15. MODE "EVALUATION DES SPYWARE"

14

2.16. REPUTATION DE SITES WEB

14

2.17. PARAMETRES DU MENU DEMARRER

14

2.18. RESUME ET DEMARRAGE DE L'INSTALLATION

14

3.

ACCES A LA CONSOLE SERVEUR

15

3.1. ACCES A LA CONSOLE

15

 

3.2. RESUME

16

3.3. MENU "CONFORMITE DE LA SECURITE"

16

4.

ORDINATEURS EN RESEAU

17

4.1.

GESTION DES CLIENTS

17

4.3.

PARAMETRES CLIENTS GENERAUX

25

4.4.

EMPLACEMENT DE L'ORDINATEUR

25

4.5.

PARE-FEU

26

4.6.

INSTALLATION DU CLIENT

26

4.7.

VERIFICATION DE LA CONNEXION

26

4.8.

PREVENTION DES EPIDEMIES

26

5. SMART PROTECTION

27

6. MISES A JOUR

28

6.1. MISE A JOUR DU SERVEUR

28

6.2. MISE A JOUR DES CLIENTS (ORDINATEURS EN RESEAU)

29

6.3. RETROGRADER

29

7. JOURNAUX

30

8. CISCO NAC

31

9. NOTIFICATIONS

32

9.1. NOTIFICATIONS ADMINISTRATEUR

32

9.2. NOTIFICATION AUX UTILISATEURS CLIENTS

32

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 3 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

10.

ADMINISTRATION

33

10.1. COMPTES UTILISATEURS

33

10.2. ROLES UTILISATEURS

33

10.3. PARAMETRES PROXY

33

10.4. PARAMETRES DE CONNEXION

33

10.5. CLIENTS INACTIFS

34

10.6. GESTIONNAIRE DE QUARANTAINE

34

10.7. LICENCE DU PRODUIT

34

10.8. PARAMETRES DE CONTROL MANAGER

35

10.9. PARAMETRES DE LA CONSOLE WEB

36

10.10. SAUVEGARDE DE LA BASE DE DONNEES

36

 

11. OUTILS

37

12. INSTALLATION DES CLIENTS

38

12.1. METHODES D'INSTALLATION

38

12.2. VERIFICATION DE L'INSTALLATION

38

13.

ANNEXES

39

13.1. MIGRATION VERS OFFICESCAN 10.X

39

13.2. PREMIER CAS :

39

13.3. DEUXIEME CAS :

40

13.4. AUTRES POSSIBILITES

41

13.5. SCRIPT DE MIGRATION :

41

14.

LIENS UTILES

42

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 4 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

111

PPPRRREEESSSEEENNNTTTAAATTTIIIOOONNN

TrendMicro OfficeScan est la solution antivirus retenue par le MEN, à destination des établissements dans le cadre d'un marché, établi pour 5 ans à dater d'octobre 2010.

C'est avant tout un logiciel antivirus réseau à gestion centralisée. Le client OfficeScan a donc logiquement besoin d'un lien permanent avec sa console. Avec l'évolution des pratiques et de la "mobilité", le système maintenant proposé, dénommé "smart protection network" permet d'avoir un client à jour en continu, à partir du moment ou il est connecté à un réseau, que ce soit celui de sa console ou à l'Internet en général.

soit celui de sa console ou à l'Internet en général. Pour plus d'infos :

Cette procédure fournit les consignes d'installation et de paramétrage dans le cadre d'un lycée public de l'académie de Nantes.

Pour les autres types d'établissements, se référer aux préconisations indiquées à la rubrique "sécurité du réseau > stratégie antivirale" sur http://ctre.ac-nantes.fr

ATTENTION : Le présent document ne peut en aucun cas être considéré comme exhaustif pour
ATTENTION :
Le présent document ne peut en aucun cas être considéré comme exhaustif pour l'installation
et le paramétrage de l'antivirus réseau OfficeScan ; la plupart des étapes n'y sont pas
développées plus que nécessaire.
Il est par contre adapté aux architectures déployées sur les établissements cibles et conforme
aux préconisations de l'académie de Nantes.
Les
documentations
"officielles"
et
exhaustives
d'origine
TrendMicro
sont
en
ligne
sur
http://docs.trendmicro.com/fr-fr/enterprise/officescan.aspx

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 5 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

222

IIINNNSSSTTTAAALLLLLLAAATTTIIIOOONNN

2.1. Pré-requis

L'installation doit être faite sur un serveur dédié à la fonction antivirus (et WSUS au besoin).

2.1.1. Matériel :

Avant toute installation, vérifier que votre serveur, physique ou virtuel, respecte les pré-requis indiqués par l'éditeur : http://docs.trendmicro.com/all/ent/officescan/v10.6/en-us/osce_10.6_req.pdf

On pourra s'étonner de la "faiblesse" (voire obsolescence) des configurations matérielles préconisées… et il faudra raisonnablement augmenter les valeurs pour pouvoir fonctionner de manière optimale, à fortiori si d'autres applications (WSUS par ex.) tournent sur le même serveur.

On peut aussi se baser sur les pré-requis de WSUS 3.0 fournies sur la documentation "pas à pas" :

2.1.2. Système :

L'OS serveur doit être mis à jour des derniers "patches", correctifs de sécurité ou "service-packs".

IIS devra être installé ou activé préalablement au lancement de l'installation d'OfficeScan.

Afin de simplifier la supervision, nommer le serveur "[RNE]-UPDATE" (ex : 0440000R-UPDATE),

ajout du suffixe DNS :

Etant donné que cette machine n'est pas intégrée à un domaine AD et de façon à lui permettre la résolution de noms sur le domaine DNS auquel elle appartient, on doit lui adjoindre le suffixe correspondant :

dans les propriétés système, onglet [nom de l'ordinateur]

cliquer sur [modifier] puis sur le bouton [autres]

saisir le suffixe DNS (qu'on obtient à partir d'un ipconfig sur une station du réseau administratif) : "type-nom-dep.in.ac-nantes.fr".

un redémarrage est nécessaire.

 un redémarrage est nécessaire. Pour que la résolution de noms courts fonctionne côté
Pour que la résolution de noms courts fonctionne côté clients, il est nécessaire que le

Pour que la résolution de noms courts fonctionne côté clients, il est nécessaire que le suffixe DNS soit correctement paramétré au niveau des stations (essentiellement côté administratif, celles-ci n'utilisant pas Active Directory).

2.1.3. Réseau :

Le serveur doit être disposé dans la "DMZ privée" (ou "interco Amon-Slis") de votre réseau :

o

Adresse IP : 10.1xx.yyy.11 / masque 255.255.255.192 (ou 255.255.255.128 si slis)

o

Passerelle et serveur DNS : le serveur Amon 10.1xx.yyy.62 (ou 10.1xx.yyy.2 si slis)

o

Serveur proxy : encore le serveur Amon, même IP que ci-dessus, sur le port 3128.

Dans l'ancien plan d'adressage, en interco amon-slis, il est nécessaire d'ajouter une route statique

et persistante vers le réseau pédagogique : route add p 172.17.0.0 mask 255.255.0.0 10.1xx.yyy.3

(IP "wan" du slis).

Il est aussi nécessaire d'ouvrir le port 8000 sur slis (source l'IP du serveur, sens extérieur > intérieur)

* « xx » représente le n° de département et « yyy » le n° « chrono » (3 ème octet qu’on retrouve sur les postes administratifs) de l’établissement.

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 6 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

2.1.4. Entrées DNS

Pour faciliter les communications vers ce nouveau serveur et surtout en cas de migration ultérieure (changement de serveur, d'adresse…), il est indispensable de renseigner la machine dans les zones DNS locales.

Réseau pédagogique :

Sur un domaine Active Directory Windows 200X :

o

Console DNS > zone de recherche directe "nom-du-domaine" > ajouter un "nouvel hôte (A)"

o

Nom : SRV-UPDATE

>

IP : 10.1xx.yyy.11

o

Renseigner la "zone de recherche inverse" (créer au besoin la zone yyy.1xx.10.in-addr.arpa)

Réseau administratif :

Amon étant le serveur DNS sur ce réseau, voir au paragraphe suivant

2.1.5. Configuration du pare-feu AMON :

Deux manipulations sont à effectuer sur Amon par votre CRID (à partir de Zephir ou de gen_config) :

Ajout d'un hôte DNS

de Zephir ou de gen_config) : Ajout d'un hôte DNS  Dans le menu de configuration,

Dans le menu de configuration, passer en [mode expert] ; ouvrir l'onglet [zones-dns],

Remplir les champs "ajout d'hosts dans le DNS" (si d'autres entrées sont présentes, les séparer par "|") :

o

Nom : srv-update. lyc-nom-dep.in.ac-nantes.fr

o

Adresse IP : 10.1xx.yyy.11

Valider les modifications,

Autorisation des flux serveur > clients

On doit faire en sorte d’autoriser les notifications de la console antivirus vers les postes des réseaux administratif et pédagogique. Les autres flux clients > serveur, à destination de la DMZ, sont autorisés par défaut.

Toujours à partir de Zephir ou de gen_config, ouvrir l'onglet [Pare-Feu ac-nantes],

mettre à [oui] la variable " Utiliser un serveur antivirus en DMZ " ; valider puis indiquer l'IP du serveur :

en DMZ " ; valider puis indiquer l'IP du serveur :  valider les valeurs, Une

valider les valeurs,

Une fois ces modifications effectuées :

enregistrer les modifications (soit de gen_config vers Zéphir, soit de zephir vers Amon),

Lancer un "reconfigure" > courte interruption de service !

2.1.6. Vérifications :

résolution du nom court : "nslookup srv-update" doit répondre par l'adresse IP 10.1xx.yyy.11, à la fois des réseaux administratifs et pédagogiques ainsi que de la dmz privée (sur le serveur lui-même ou à partir de ses voisins).

connectivité entre le serveur et les clients (une fois ceux-ci installés) : effectuer, à partir du serveur OfficeScan, un "telnet [ip_du_client] 8000" (avec bien entendu l'IP d'un poste client allumé). Cette commande ne doit pas être rejetée ou en "time out"…

idem à partir d'un client (une fois le serveur installé) : "telnet srv-update 8080" doit aboutir.

Tout ceci doit aussi se confirmer par la suite : que ce soit sur l'icône des clients ou dans la console OfficeScan, tout doit apparaître "en ligne".

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 7 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

2.2. Obtention du programme

Les programmes et mises à jour TrendMicro sont disponibles au téléchargement :

accéder au site http://www.trendmicro.fr

cliquer sur "Téléchargements" (1) puis sur "mettre à jour votre produit" (2)

1 2
1
2

sur le "centre de téléchargement", sélectionner "OfficeScan" parmi les produits "Poste de travail"

parmi les produits "Poste de travail"  Téléchar g er le dernier "packa g e

Télécharger le dernier "package d'installation complet French" disponible. A l'heure de la rédaction, il s'agit de "OSCE-106-SP2-Full-Installer-Repack1-FR.exe" (env. 820 MO) à télécharger.

Des service-packs et patches sont généralement disponibles (dans les ongletsdu même nom). En cas de patch en version Française (ou multilingues), on peut en profiter pour les télécharger… A l'heure actuelle, le SP3-(fr)-GM-B5193-r1.exe ainsi que le OSCE-10.6-WIN-SP3-Patch1-(fr).exe sont nécessaires

Avant de démarrer l'installation elle-même, s'assurer que :

Vous disposez d'un "certain temps" : une bonne heure environ…

La connectivité à l'Internet du serveur est opérationnelle.

Vous devez avoir ouvert une session en tant qu'administrateur du serveur ou du domaine.

Si une version antérieure d'OfficeScan est déjà déployée, consulter tout d'abord l'annexe 12.1 de ce document ainsi que les pré-requis sur : http://docs.trendmicro.com/all/ent/officescan/v10.6/en-

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 8 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

2.3. Démarrage de l'installation

L'installation démarre en lançant l'exécutable téléchargé à l'étape précédente.

Sur Windows Server 2008, ne pas hésiter à "exécuter en tant qu'administrateur".

Dans le cadre d'une mise à jour d'un serveur existant, certaines étapes ci-dessous ne sont pas affichées et les paramètres existants sont conservés.

Dans les premières fenêtres, très peu d'alternatives sont proposées :

fenêtres, très peu d'alternatives sont proposées : On peut habituellement se passer du scan initial… AC
fenêtres, très peu d'alternatives sont proposées : On peut habituellement se passer du scan initial… AC
fenêtres, très peu d'alternatives sont proposées : On peut habituellement se passer du scan initial… AC
fenêtres, très peu d'alternatives sont proposées : On peut habituellement se passer du scan initial… AC
fenêtres, très peu d'alternatives sont proposées : On peut habituellement se passer du scan initial… AC
On peut habituellement se passer du scan initial…
On peut habituellement se
passer du scan initial…

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 9 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

2.4. Dossier d'installation de l'application

: 1.1 2.4. Dossier d'installation de l'application 2.5. Paramètres de proxy Afin d'éviter d'encombrer

2.5. Paramètres de proxy

de l'application 2.5. Paramètres de proxy Afin d'éviter d'encombrer la partition système on

Afin d'éviter d'encombrer la partition système on peut choisir par ex : D:\OfficeScan

Indiquer l'adresse IP ainsi que le port du serveur proxy Internet sur le segment de réseau : Amon 10.1xx.yyy.62 (ou 10.1xx.yyy.2 si slis) / port 3128)

Laissez les champs utilisateur / mot de passe vierges… (l'authentification n'est habituellement pas activée sur la dmz).

Si aucun proxy n'est indiqué, l'installation se poursuit sans vérification (il sera possible de le

Si aucun proxy n'est indiqué, l'installation se poursuit sans vérification (il sera possible de le paramétrer par la suite) ; dans le cas contraire, un test de connexion Internet est effectué à cette étape. Si celui-ci s'avère négatif, l'installation est bloquée tant que le test n'aboutit pas.

Remarque : à partir de cette étape, le bouton [Aide] permet d'obtenir des informations contextuelles. Ne pas hésiter à en (ab)use r…

2.6. Choix du serveur Web

Si IIS est activé sur votre serveur, il est proposé de choisir entre ce dernier et Apache. Dans le cas contraire, un apache fourni avec OfficeScan est installé par défaut.

un apache fourni avec OfficeScan est installé par défaut. Notes : o IIS doit être installé

Notes :

o IIS doit être installé préalablement (ajout de composants

Windows) sur 2003 Server ou le rôle activé sur 2008 Server.

o Si on désire utiliser, sur la même machine, d'autres services

web (par ex. WSUS sur le port 80), le fait de choisir IIS évitera

de faire tourner deux processus pour la même fonctionnalité(tant qu'ils utilisent des ports différents !)

o L'activation de SSL (https) permet de séparer les flux de

communications client / serveur de ceux de gestion de la console d'administration.

o Les ports proposés (8080 et 4343) permettent de conserver

les 80 et 443 (par défaut) pour d'éventuels autres services hébergés sur le même serveur.

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 10 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

2.7. Identification du serveur sur le réseau.

Dans cette fenêtre, on indique de quelle façon les clients pourront joindre leur serveur OfficeScan.

façon les clients pourront joindre leur serveur OfficeScan. 2.8. Activation du produit Tout d'abord le choix

2.8. Activation du produit

joindre leur serveur OfficeScan. 2.8. Activation du produit Tout d'abord le choix du nom DNS est
joindre leur serveur OfficeScan. 2.8. Activation du produit Tout d'abord le choix du nom DNS est

Tout d'abord le choix du nom DNS est largement préférable à l'adresse IP : si la résolution de nom est fonctionnelle sur votre réseau et le suffixe automatiquement ajouté aux clients, le "nom court" doit suffire (voir § 2.1.4 & 2.1.5).

D'une manière générale, en cas d'évolution du réseau (déplacement du serveur vers une DMZ), il est préférable d'utiliser un "alias" renseigné dans le DNS local. On indique donc "srv-update". Ce paramètre est éventuellement modifiable par la suite… mais pas pour l'ensemble des services (smart protection intégré par ex.)

des services (smart protection intégré par ex.) L'enregistrement en ligne du n° de licence ayant été

L'enregistrement en ligne du n° de licence ayant été effectué au niveau du contrat national, vous devez passer directement à l'étape suivante.

C'est ici que vous saisissez le code fourni par le rectorat à partir de http://infovir.ac-nantes.fr/

Laisser cochée la case "utiliser le même code d'activation…" ; les champs damage cleanup services et réputation des sites… sont automatiquement complétés.

En cas d'installation d'un "nouveau serveur" en parallèle ou en remplacement de l'existant, le même code d'activation peut être utilisé sur les deux machines.

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 11 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

2.9. Serveur "Smart Protection" intégré

: 1.1 2.9. Serveur "Smart Protection" intégré L'installation du "serveur Smart

L'installation

du

"serveur

Smart

Protection

intégré"

est

proposée.

Cette fonctionnalité "serveur de réputation de fichiers" utilise, sous IIS, un port supplémentaire : tcp 8082 par défaut (et un 2 ème , tcp 4345 si ssl est activé).

(et un 2 è m e , tcp 4345 si ssl est activé). Dans une architecture

Dans une architecture réseau en VLANS, si les stations accèdent au serveur au travers d'ACL, ces ports devront bien entendu être autorisés

Idem pour les "services de réputation de sites web" utilisant par défaut sous IIS le port 5274.

Attention : Le fait de posséder une "source de réputation autonome", locale ou non, ne dispense pas de l'activer sur le serveur OfficeScan. En cas d'indisponibilité de l'un, le second permettra une certaine répartition de charge / tolérance de panne

2.10. Installation du client sur… le serveur

Si un client OfficeScan n'est pas déjà présent sur le serveur lui-même, il est installé dans la foulée…

Les composants "Cisco NAC" sont utiles… si vos équipements réseau implémentent ces fonctionnalités (habituellement non).

2.11. Smart Protection Network

(habituellement non). 2.11. Smart Protection Network Le "smart feedback" active la collecte (anonyme)

Le "smart feedback" active la collecte (anonyme) d'informations entre les différentes consoles déployées autour du globe et l'éditeur.

Ceci permet à l'éditeur une plus grande réactivité face aux nouvelles menaces.

Il est possible de choisir un "secteur d'activité" : Éducation semble un bon choix

Le résultat de cette collecte planétaire est visible en direct sur l'onglet "smart protection network" une fois sur la page d'accueil de la console…

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 12 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

2.12. Mots de passe

Depuis la version 10.0 une délégation est possible au niveau de la console : un mot de passe seul ne suffit plus pour se connecter. Le compte d'administration par défaut est "root".

d'administration par défaut est " root ". On indique tout d'abord le mot de passe "root".

On indique tout d'abord le mot de passe "root". Attention à bien le conserver…

Le 2 ème mot de passe demandé permet, comme indiqué, soit la désactivation temporaire du client, soit sa désinstallation pure et simple. Il est recommandé de choisir un mot de passe différent du "root" (afin de pouvoir déléguer au besoin). Une fois connecté à la console, il sera possible de fournir des mots de passe distincts pour chacune de ces deux actions (pour autoriser par ex. la désactivation à certains usagers et la désinstallation aux seuls administrateurs).

2.13. Paramètres d'installation client

2.13. Paramètres d'installation client Le choix du dossier d'installation par défaut permet de

Le choix du dossier d'installation par défaut permet de rester dans une configuration "standard" facilitant la maintenance.

Le "port de communication client" (permettant la communication serveur > clients) est proposé aléatoirement. Le remplacer impérativement par "8000".

Dans la configuration de nos serveurs AMON, c'est le seul port autorisé dans ce but.

Sa modification par la suite n'est pas "conviviale"…

Le "niveau de sécurité élevé" de l'installation client limite les malveillances, qu'elles proviennent des utilisateurs ou de malwares…

2.14. Pare-feu de station

utilisateurs ou de malwares… 2.14. Pare-feu de station Le pare-feu intégré au client OfficeScan est, à

Le pare-feu intégré au client OfficeScan est, à la différence de celui de Windows XP, entièrement administrable à distance et de manière centralisée.

Il est utile par exemple en cas "d'épidémie subite" : il est alors possible de stopper tout ou partie du trafic réseau en quelques clics !

Attention : l'utilisation de ce pare-feu consomme logiquement des ressources sur les clients. Il est recommandé d'effectuer un test sur les machines "un peu justes".

Etant donné qu'il est possible, par la suite, de l'activer / désactiver au niveau de la console, ce choix est malgré tout réversible.

Remarque : Il n'est, par défaut, pas activé sur les OS serveurs…

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 13 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

2.15. Mode "évaluation des spyware"

Version : 1.1 2.15. Mode "évaluation des spyware" En règle générale, le mode d'évaluation ne doit

En règle générale, le mode d'évaluation ne doit pas être activé !

le mode d'évaluation ne doit pas être activé ! 2.16. Réputation de sites web La consultation

2.16. Réputation de sites web

ne doit pas être activé ! 2.16. Réputation de sites web La consultation de sites web

La consultation de sites web propageant des malwares étant devenue une des principales sources d'infection, autant les stopper à la base…

C'est ce que propose la "stratégie de réputation de sites web", basée sur la constitution automatique de listes noires en fonction des remontées des clients (voir § 1).

2.17. Paramètres du menu démarrer

des clients (voir § 1). 2.17. Paramètres du menu démarrer Il est possible de personnaliser le

Il est possible de personnaliser le dossier du menu dans lequel on trouvera le raccourci OfficeScan sur le serveur…

2.18. Résumé et démarrage de l'installation

Une fois validé le récapitulatif et après plusieurs (longues) minutes, l'opération se termine enfin sur une annonce "installation terminée avec succès !"

Attention : en fin d'installation (étapes "initialisation serveur http" et "installation plug-in

Attention : en fin d'installation (étapes "initialisation serveur http" et "installation plug-in manager"), le processus peut sembler figé. Malgré cette impression, l'installation se poursuit :

il ne faut pas chercher à l'interrompre et rester patient (c'est le moment de la pause café ?)

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 14 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

333 AAACCCCCCEEESSS AAA LLLAAA CCCOOONNNSSSOOOLLLEEE SSSEEERRRVVVEEEUUURRR

Pour administrer votre nouveau serveur OfficeScan, il faut accéder à sa console web :

à sa console web : https://srv-update:4343/officescan . Restriction : pour administrer la console OfficeScan, seul

Restriction : pour administrer la console OfficeScan, seul le navigateur Internet Explorer (version 7 mini) est compatible !

Le certificat étant "autosigné", celui-ci doit être accepté à chaque connexion

3.1. Accès à la console

!
!
accepté à chaque connexion 3.1. Accès à la console ! C'est ici qu'on se fait surprendre

C'est ici qu'on se fait surprendre si on a cliqué trop vite sur "suivant" lors de l'installation…

Le seul et unique utilisateur créé par défaut est "root" (§ 2.12).

Le fonctionnement de la console web étant basé sur des "contrôles ActiveX", le navigateur demande confirmation. Afin d'éviter de multiplier ces popup, cliquer sur "plus d'options" puis "toujours installer les logiciels en provenance de Trend Micro, Inc.".

RAPPEL : Le but de ce document n'est pas de fournir une notice exhaustive sur

RAPPEL :

Le but de ce document n'est pas de fournir une notice exhaustive sur l'utilisation de la console antivirus OfficeScan. Pour cela, seule la documentation "officielle" disponible sur le centre de mise à jour TrendMicro fait référence (lien en § 1)

Une autre source d'informations très efficace consiste à utiliser l'aide contextuelle intégrée,

présente pratiquement sur chaque page de la console sous la forme de boutons

Aide
Aide

La suite du document présente un ensemble d'opérations de base à accomplir pour assurer un service minimum, au plus proche des besoins en établissement.

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 15 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

3.2. Résumé

de Mise à Jour : 14/03/2012 Version : 1.1 3.2. Résumé C'est la page d'accueil de

C'est la page d'accueil de la console.

Maintenant organisée en "widgets" et onglets personnalisables, on y trouve par défaut :

les services activés et la validité des licences,

un bilan des postes clients (connectivité et infections),

les éventuels "historiques d'épidémies",

la version et le pourcentage de mise à jour des différents composants

Un message "de nouveaux widgets peuvent être mis à jour" peut s'afficher : cliquer sur "mettre à jour"L'onglet "OfficeScan et plugiciels" permet de gérer d'éventuels "plug-ins" (en fonction des licences acquises). L'onglet "smart protection network" affiche l'état global des menaces… pour info.

3.3. Menu "Conformité de la sécurité"

Cette fonctionnalité permet un audit global des clients. Il y est même possible de procéder directement aux actions correctives de manière ciblée…

Pour l'utiliser (une fois la console peuplée uniquement) :

accéder au menu "conformité de la sécurité > évaluation de conformité > rapport de conformité",

sélectionner (côté droit) l'étendue de l'arborescence à analyser > cliquer sur [évaluer]

le rapport est affiché en haut à gauche de la fenêtre > un onglet par thème

la moitié inférieure de la fenêtre permet de sélectionner et de lancer la correction des défauts

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 16 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

444 OOORRRDDDIIINNNAAATTTEEEUUURRRSSS EEENNN RRREEESSSEEEAAAUUU

Dans cette rubrique de l'interface, on gère un ensemble de paramètres, soit communs à l'ensemble des clients, soit dédiés à des groupes de machines. Sachant qu'à chaque modification d'un paramètre dans la console, celle-ci notifie tous ses clients qui téléchargent alors les fichiers de configuration modifiés, il est préférable de terminer le paramétrage de la console avant le déploiement massif des clients afin d'éviter un trafic réseau "polluant".

L'installation des clients OfficeScan est donc reléguée au paragraphe 12

4.1. Gestion des clients

reléguée au paragraphe 12 … 4.1. Gestion des clients C'est le menu le plus lourd à

C'est le menu le plus lourd à paramétrer dans la console ; c'est aussi celui qu'on consulte en priorité

L'arborescence du réseau est automatiquement peuplée en fonction du choix effectué dans le menu "regroupement des clients".

Dans un souci de lisibilité il est possible de réorganiser cette arborescence en créant autant de groupes que nécessaire : les clients peuvent alors y être répartis (par simple glisser/déposer) par pôles disciplinaires, zones géographiques…

Mais c'est inutile si les postes intègrent l'emplacement dans leur nommage…

Ces nouveaux "domaines" (au sens OfficeScan) n'interfèrent en rien avec les paramètres réseau des stations ou d'Active Directory et sont propres à la base de données OfficeScan.

Le fait de créer ces domaines permet par la suite d'activer au besoin des options différentes sur un groupe particulier de machines (portables par ex.).

La multiplication de configurations différentes est, par contre, source de complexité : il faudra trouver un compromis !

Pour les parcs importants, un module de recherche (simple / avancée) peut rendre de grands services.

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 17 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

4.1.1. Gestion des clients : onglet [État]

Version : 1.1 4.1.1. Gestion des clients : onglet [État] Cette fonction permet, pour un client

Cette fonction permet, pour un client ou un groupe :

d'afficher l'état général (mises à jour, virus détectés, paramètres…),

de réinitialiser l'affichage de l'état d'infection des clients après consultation des journaux (§ 4.1.4).

4.1.2. Gestion des clients : onglet [Tâches]

On trouve ici des fonctionnalités assez peu utilisées :

Le "scan immédiat" : effectué à distance sur les clients, à utiliser avec modération, à moins d'être certain de ne pas perturber un éventuel utilisateur.

La désinstallation (toujours à distance) du client OfficeScan,

L'éventuelle restauration de spywares (en cas de "faux positifs")…

4.1.3. Gestion des clients : onglet [Paramètres]

Remarque importante :

Étant donné qu'il est possible de personnaliser les paramétrages en fonction des "domaines", le bouton [enregistrer] ne valide les modifications effectuées que pour la machine ou le groupe de machines sélectionné(e) au préalable.

Si vous sélectionnez la racine de l’arborescence de domaines avant de configurer une option, un choix est proposé au moment de valider : [Appliquer à tous les clients] et [Appliquer aux futurs domaines uniquement].

Avant d'effectuer un paramétrage, il est important d'en avoir conscience et de bien sélectionner le groupe "cible"… d'autant qu'un paramétrage "à la racine de la console" s'appliquera (par héritage) à l'ensemble des sous-domaines, en écrasant les éventuelles personnalisations !!!

Importation des paramètres :

Un grand nombre de paramètres peut être affiné par rapport aux réglages par défaut. Il est possible (mais surtout fastidieux) de les passer tous en revue.

Heureusement l'importation de paramètres en provenance d'un autre serveur est possible. Un paramétrage

type, "import-osce10.6.dat" est disponible sur : http://www.ac-nantes.fr/27647957/0/fiche pagelibre/ Il vous est possible, de cette façon, d'appliquer en une fois un ensemble de paramètres (procédure décrite au § 4.1.3.9), puis de les personnaliser au besoin par la suite :

Commencer par télécharger le fichier indiqué ci-dessus

Ouvrir le menu [ordinateurs en réseau] puis [gestion des clients]

Dans l'onglet [paramètres], cliquer (tout en bas) sur [importer des paramètres]

A l'aide du bouton "parcourir", récupérer le fichier téléchargé précédemment

Cliquer sur "importer" > cocher "appliquer à tous les domaines" > cliquer "appliquer à la cible"

Attention : les mots de passe de désinstallation (configurés au § 2.12) sont réinitialisés lors de cette importation :

Ne pas oublier de les rectifier

de cette importation :  Ne pas oublier de les rectifier AC Nantes\DSI\D2\CTRE : Préconisations Académiques

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 18 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

4.1.3.1. Paramètres de scan

a. Méthodes de scan

Pour bien comprendre chaque méthode et l'intérêt de l'une par rapport à l'autre, consulter l'aide en ligne

https://srv-update:4343/officescan/console/html/help/ohelp/scan/scanmet.htm

Par défaut, la version 10.6 propose maintenant "smart scan" alors que le "traditionnel" était resté prioritaire sur les précédentes.

Ce mode smartscan est logiquement plus efficace sur les postes clients ; les serveurs pourront être traités à part, et faire l'objet d'un groupe utilisant le scan traditionnel dans la console

Les paramètres de scan se décomposent ensuite en 4 volets. On trouve pour chaque type de scan une interface de paramétrage similaire ; les choix à y effectuer sont différents en fonction du type.

Pour chaque type de scan, on détermine tout d'abord la "finesse" de la détection, puis, dans l'onglet "action", les tâches à entreprendre en cas de détection.

Ces réglages définissant les réactions de l'antivirus peuvent (doivent) être personnalisés en fonction du type de scan, ceci permet de trouver, autant que possible, un compromis acceptable entre efficacité antivirale et occupation des ressources système…

b. Paramètres de scan manuel

Ce type de scan est une opération logiquement rare et habituellement initiée par l'utilisateur. On peut donc supposer que cette action est consciente et voulue. A cette fin, il est possible de déterminer (grossièrement) le taux d'utilisation CPU…

Partant de ces considérations et par rapport à la configuration par défaut, on choisira :

Le scan de l'ensemble des fichiers,

D'augmenter le "nombre de couches" scannées à l'intérieur des fichiers compressés…

En cas de détection de virus, le fait d'avoir des réactions différentes en fonction du type d'infection (système "ActiveAction") est à la fois consommateur de ressources et peut rendre plus difficiles l'interprétation des infections et des mesures prises. A tester éventuellement…

Dans l'onglet [Action] on choisira donc [utiliser la même action pour chaque type…] puis, en 1ère action, la réparation automatique [nettoyer].

Ensuite pour le choix de la 2 ème action (au cas où la 1 ère échoue), on peut considérer deux "politiques" :

Sur une machine "sensible" (serveur par ex.) : les fichiers sont mis en quarantaine et préalablement sauvegardés. Une action de l'administrateur est alors possible en cas de restauration des fichiers.

Sur une station "banalisée" et multi-utilisateurs : les fichiers sont supprimés sans sauvegarde. Si des fichiers système sont corrompus (et donc supprimés), on repartira d'un master…

Listes d'exclusion : on peut souhaiter exclure certains programmes, fichiers ou dossiers du scan antivirus. Il suffit pour cela d'indiquer dans les champs prévus le nom des fichiers programme à exclure. Par défaut, c'est le cas du dossier d'installation TrendMicro.

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 19 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

c. scan en temps réel

Le scan en temps réel utilisant un processus en permanence en tâche de fond, c'est celui qui sera le plus visible sur les performances de la station…

On peut se limiter au scan des fichiers par "IntelliScan" et être moins exigeant avec les fichiers compressés (laisser les options par défaut).

Les réactions face à un fichier infecté peuvent être plus "sévères" : réparation automatique, puis, en cas d'échec, suppression sans sauvegarde.

Sur ce type de scan, les exclusions de scan sont par contre prépondérantes.

TrendMicro propose quelques recommandations :

Recommended scan exclusion list for OfficeScan http://esupport.trendmicro.com/solution/en-us/1059770.aspx Excluding third-party software from Realtime Scan http://esupport.trendmicro.com/solution/en-us/1060488.aspx

On peut ajouter à ces "génériques" certaines applications propres à notre environnement ; une liste non exhaustive est disponible sur ETNA : http://ctre.ac-nantes.fr à la rubrique

"sécurité du réseau > stratégie antivirale > console serveur".

ATTENTION : ce document est accessible, uniquement après authentification, aux utilisateurs ayant un rôle dans l'administration du réseau…

Suivant le cas, les chemins des exécutables seront à adapter, en fonction du contexte local…

A appliquer dans le menu ordinateurs en réseau > gestion

des clients > paramètres > paramètres de scan > scan en

temps réel

d. scan programmé

Puisqu'il est recommandé d'effectuer régulièrement un scan manuel, pourquoi ne pas l'automatiser ? C'est ce que permet

le scan programmé.

On pourra y affecter des paramétrages quasi équivalents à ceux du scan manuel.

Le plus délicat reste le choix du moment approprié : il faut que les stations clientes soient allumées au moment planifié et que, dans le même temps, aucun utilisateur ne puisse être pénalisé dans ses activités. La planification est à choisir en fonction des habitudes locales :

est à choisir en fonction des habitudes locales :  on choisit de lancer le scan

on choisit de lancer le scan programmé en dehors des heures ouvrées, en le combinant avec le "wake on lan" > on règle l'utilisation cpu sur le maximum afin d'en raccourcir la durée

on le lance en présence des usagers ; on choisit le taux d'utilisation cpu au minimum > la machine doit par contre rester allumée sur la durée totale du scan, celui-ci étant logiquement beaucoup plus long > à tester

Si on ne veut pas imposer un ralentissement de la station à un éventuel utilisateur connecté pendant cette période, il est possible d'autoriser l'arrêt ou le report de cette tâche côté client : on trouve ce paramètre au niveau des "privilèges clients" (§ 4.1.3.7).

au niveau des "privilèges clients" (§ 4.1.3.7). AC Nantes\DSI\D2\CTRE : Préconisations Académiques

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 20 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

e. scan immédiat

On y trouve les mêmes éléments que pour le scan manuel. Les mêmes contraintes s'y appliquent à la différence que ce scan s'effectue non pas par l'utilisateur connecté physiquement à la machine cible, mais à distance, à partir de la console d'administration.

Attention donc, de même que pour le scan programmé, à ne pas perturber les usagers (d'autant plus que l'annulation n'est possible qu'à partir de la console) !

4.1.3.2. Paramètres des agents de mise à jour

Dans son fonctionnement standard, tout client OfficeScan télécharge ses mises à jour (et plus généralement communique) directement à partir du serveur auquel il est attaché.

La fonctionnalité "agent de mise à jour" permet à un ou plusieurs postes (paramètre applicable directement à un groupe de machines), de servir de "relais de mise à jour".

Bien que chaque client puisse toujours communiquer avec son serveur de console, le plus gros du trafic réseau peut, grâce à ce système, être réparti (un agent de mise à jour par bâtiment, par pôle disciplinaire…) en évitant les goulets d'étranglement.

Attention, le choix de ces "agents" implique certaines contraintes :

- être accessible sur le réseau :

o

être sur un réseau joignable par les autres clients : typiquement, un "poste prof" ne peut pas être relais de postes élèves,

o

être allumé au minimum autant que les "clients standards" sinon en permanence,

- être utilisé un minimum comme "station de travail", de façon à limiter les possibilités de plantage et arrêts / redémarrages par des utilisateurs lambda,

- posséder une capacité disque suffisante (700 Mo dispo. recommandés, sur la partition d'installation du client OfficeScan) afin d'héberger les fichiers de mise à jour.

Pour déclarer un agent de mise à jour, cliquer sur gestion des clients > paramètres > agents de mise à jour et cocher les 3 options.

Voir paragraphe 6.2.3 pour attribuer cet agent à un parc donné de clients.

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 21 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

4.1.3.3. Privilèges et autres paramètres

Vous paramétrez ici les autorisations données à l'utilisateur de la station. Le fait d'y cocher une case se traduit concrètement par l'apparition d'un onglet supplémentaire dans la "console client" ou d'un choix sur le menu contextuel de l'icône OfficeScan.

choix sur le menu contextuel de l'icône OfficeScan. Si on raisonne "stratégie antivirale réseau", il
choix sur le menu contextuel de l'icône OfficeScan. Si on raisonne "stratégie antivirale réseau", il

Si on raisonne "stratégie antivirale réseau", il faut laisser à l'usager un minimum de possibilités de personnalisation du client antivirus.

Les

onglet

concernent :

le scan programmé : comme indiqué en page précédente, il peut éventuellement être différé (voire annulé) par l'utilisateur.

Le forçage de la mise à jour du menu contextuel… c'est rassurant pour l'utilisateur !-)

seules

"cases"

à

cocher

dans

le

1 er

Sur le deuxième onglet (autres paramètres) on coche :

l'option de mise à jour programmée : très utile pour les postes ne pouvant pas communiquer en permanence avec leur serveur (postes nomades).

la possibilité d'afficher une notification (plusieurs rubriques concernant les blocages de site web, la surveillance de comportements, les alertes "C&C, le scan programmé et de redémarrage nécessaire).

Le niveau d'autoprotection du client antivirus lui- même (en cas de malveillance ou d'attaque interne, type cheval de Troie). Le choix du niveau élevé est sécurisant, mais contraignant pour la maintenance…

ATTENTION : les options concernant les "paramètres de cache pour les scans" peuvent entraîner une consommation permanente de ressources, avec des conséquences lourdes sur les postes clients anciens. Si des lenteurs sont constatées, ces cases doivent être décochées…

Le blocage des mises à jour programme ou "hotfix" (3 ème case du menu) est très utile en cas d'upgrade du serveur : on décoche cette case uniquement sur un groupe "échantillon test" le temps de vérifier les conséquences. Quand tout est OK on peut le décocher pour l'ensemble de l'arborescence…

Comme indiqué précédemment, bien vérifier la cible avant d'appliquer "à tous les clients" ou "aux domaines futurs uniquement" !

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 22 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

4.1.3.4. Paramètres de réputation de sites Web

Le principe de cette fonctionnalité consiste, à la manière de "black-lists", à vérifier au moment de l'accès à un site, s'il est "digne de confiance" ou connu comme étant "source de menaces". Le fichage ne se base par contre pas sur un filtrage de contenu (par rapport à l'utilisateur) mais sur sa nocivité vis-à-vis du système d'informations.

Il existe plusieurs niveaux de protection : le "moyen" est un bon compromis,

Les listes de sites sont gérées dynamiquement grâce au

"Scan Protection Network" (§ 2.11) ; si un site est injustement classifié, on peut soumettre une demande de reclassification (lien fourni)

On peut aussi ajouter localement des exceptions, dans le menu "paramètres clients généraux" (§ 4.2)

On peut l'activer de manière différente suivant que le

client se trouve sur le réseau interne à l'établissement (derrière un pare-feu) ou à l'extérieur : par défaut les clients internes (deuxième onglet) sont soumis à un "niveau faible" ; on peut, après vérification de l'impact, passer à "moyen".

vérification de l'impact, passer à "moyen". 4.1.3.5. Paramètres de surveillance des comportements La

4.1.3.5. Paramètres de surveillance des comportements

4.1.3.5. Paramètres de surveillance des comportements La "surveillance des comportements" permet de

La "surveillance des comportements" permet de bloquer des malwares, non pas en fonction de leur signature (de plus en plus noyée dans la masse), mais d'un comportement, d'actions que tente d'effectuer le programme suspect.

Il est possible de gérer des exceptions en cas de "faux positifs" en ajoutant le chemin de l'exécutable dans la zone de saisie.

Comme indiqué au § 4.2.3.1, une liste d'exclusions est proposée

stratégie antivirale > console serveur".

la rubrique "sécurité du réseau >

4.1.3.6. Contrôle des dispositifs

du réseau > 4.1.3.6. Contrôle des dispositifs Cette fonctionnalité, ayant elle aussi le but de bloquer

Cette fonctionnalité, ayant elle aussi le but de bloquer les malwares "à la source" permet, par exemple, de limiter les inconvénients des clés USB, sans pour autant en interdire purement et simplement l'usage :

L'exécution automatique est désactivée par défaut,

On peut par exemple autoriser les "dispositifs USB" en lecture et écriture uniquement (ce qui bloque l'exécution).

Si certains applicatifs "portables" doivent être exécutés à partir de la clé, on doit alors les intégrer à une liste de programmes autorisés.

Il est possible d'afficher une notification en cas de blocage ; on peut aussi s'en passer afin d'éviter de multiplier les sollicitations côté utilisateur…

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 23 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

4.1.3.7. Liste des spywares/graywares approuvés

Cette fonctionnalité permet de valider certains logiciels "indispensables" aux utilisateurs mais considérés nuisibles par l'antivirus qui, lui aussi, ne fait "que son boulot"… A utiliser en connaissance de causes !

4.1.3.8. Exporter / importer paramètres

Cette section propose :

la sauvegarde / restauration des paramètres précités (scan manuel, scan en temps réel, scan programmé, scan immédiat, et privilèges et autres paramètres),

l'importation de paramètres prédéfinis.

C'est donc une précaution utile en cas de crash ou migration du serveur !

précaution utile en cas de crash ou migration du serveur ! Attention Ceci permet aussi de
précaution utile en cas de crash ou migration du serveur ! Attention Ceci permet aussi de

Attention

utile en cas de crash ou migration du serveur ! Attention Ceci permet aussi de gagner

Ceci permet aussi de gagner un minimum de temps, à l'installation initiale ou en cas de réinstallation, en évitant l'oubli de la moindre case à cocher…

C'est la raison pour laquelle on a préféré commencer par au § 4.1.3

laquelle on a préféré commencer par là au § 4.1.3 … Certains paramètres sont réinitialisés lors

Certains paramètres sont réinitialisés lors de cette importation :

dossier de quarantaine (4.1.3.3 à 4.1.3.6) : OK si le serveur est connu en tant que "srv-update"

mots de passe de désinstallation

les personnalisations effectuées sur certains groupes de clients Ne pas oublier de les rectifier après l'import.

Ici encore, ne pas hésiter à utiliser le

l'import. Ici encore, ne pas hésiter à utiliser le … 4.1.4. Gestion des clients : onglet

4.1.4. Gestion des clients : onglet [Journaux]

On peut ici consulter l'historique des différentes infections (ayant ou non abouti d'ailleurs) et effectuer la maintenance de ces journaux. La consultation et la maintenance sont sélectives : elles ne s'appliquent qu'aux machines / groupes sélectionnés et ceci par catégorie de journaux (de virus, de spywares, de pare-feu de surveillance des comportements et de "réputation de sites web").

4.1.5. Gestion des clients : onglet [Gérer l'arborescence client]

C'est ici qu'on peut :

Ajouter renommer ou supprimer des groupes ("domaines") ou des clients,

Déplacer des clients :

changement de domaine (qui peut aussi s'effectuer à par "glisser/déposer"),

changement d'affectation à un serveur.

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 24 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

4.1.6. Gestion des clients : onglet [Exporter]

On exporte les données de la console (ou du groupe sélectionné) dans un fichier tableur au format csv. Il est préférable d'enregistrer le fichier plutôt que de l'ouvrir directement dans la console (navigateur pas toujours exploitable !). On peut ensuite trier et analyser les informations à des fins de "reporting" par exemple

4.1.7. Gestion des clients : recherche / recherche avancée

Toujours dans le menu "gestion des clients", la fonction de recherche peut rendre quelques services.

En recherche avancée par exemple, cocher "ordinateur infecté" dans la rubrique "état" : tous les clients répondant à ce critère sont regroupés (sans tenir compte des "domaines" de la console) dans la zone "résultat de la recherche"… Souvent instructif !

4.2. Paramètres clients généraux

Dans leur ensemble, les paramètres par défaut sont assez cohérents. On peut néanmoins ajouter :

Le scan différé (nouvelle option)

ajouter :  Le scan différé (nouvelle option)  le nettoyage des fichiers compressés  les
ajouter :  Le scan différé (nouvelle option)  le nettoyage des fichiers compressés  les

le nettoyage des fichiers compressés

les paramètres de scan programmé (tout peut être coché)

les paramètres de scan programmé (tout peut être coché) de surveillance des  la notification comportements

de

surveillance

des

la

notification

comportements

de surveillance des  la notification comportements  la notification d'obsolescence de signatures (5

la notification d'obsolescence de signatures (5 jours par ex.)

d'obsolescence de signatures (5 jours par ex.) 4.3. Emplacement de l'ordinateur L'emplacement

4.3. Emplacement de l'ordinateur

L'emplacement d'un ordinateur dicte la stratégie de réputation de sites Web (définie au § 4.1.3.5) appliquée au client et l'url du serveur Smart Protection auquel il doit se connecter par défaut.

En établissement il est préférable de se baser uniquement sur l'état de connexion à la console.

Sur une grosse structure, il est possible d'ajouter des "serveurs de référence" : si le client ne peut pas, pour une raison ou une autre, communiquer avec "son" serveur OfficeScan, il essaie de se connecter aux serveurs de référence. Il est possible d'indiquer tout serveur d'infrastructure (nds, dhcp par ex.) pourvu qu'un port soit joignable de tout client.

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 25 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

4.4. Pare-feu

Le "pare-feu pour clients - version d'entreprise" contribue à protéger les clients OfficeScan des attaques de pirates et des virus réseau, en créant une "barrière" entre eux et le réseau.

Cette fonctionnalité, ne se substitue pas, au niveau du poste de travail, aux équipements réseau protégeant l'ensemble de l'établissement. Pas plus qu'au pare-feu "autonome" qu'on trouve sur Windows XP.

Voir l'aide en ligne et la doc TrendMicro pour plus d'infos…

4.4.1. Stratégies

La stratégie appliquée par défaut à l'activation du pare-feu sur un parc a pour nom "Toutes les stratégies d'accès" (ce qui aurait pu être traduit par "accès total"). Ceci peut paraître… contradictoire ! Son but est d'avoir le composant pare-feu activé sur les clients, mais "transparent". Tout en restant à l'écoute des ordres de sa console.

4.4.2. Profils

Pour mettre en œuvre une stratégie, celle-ci doit être appliquée à un "profil". On trouve par défaut le profil "Tous les profils clients", utilisant la stratégie "Toutes les stratégies d'accès". En clair, tous les parcs ont le pare-feu activé, mais en mode "passif"… Si le "système de détection d'intrusions" est activé, la console sera avertie (en page "résumé") de la présence de trafic réseau suspect.

Ce paramétrage s'avère donc très utile en cas d'épidémie soudaine (à lier au § 4.7) : on peut renforcer sélectivement le pare-feu OfficeScan sur l'ensemble du parc en quelques clics.

Stratégies et profils sont personnalisables à souhait ; il est malgré tout préférable de conserver en l'état les paramétrages d'origine et de créer ses propres stratégies et profils à partir de ceux-ci (copie possible).

4.5. Installation du client

Ce menu propose deux modes d'installation évitant à l'administrateur, soit un déplacement sur le poste client (installation à distance), soit toute intervention (courriel aux utilisateurs donnant un url d'installation en mode web). Ces méthodes doivent être réservées à des installations ponctuelles.

Les méthodes "traditionnelles" par l'exécutable autopcc / autopccp et les packages d'installation (exe ou msi) sont plus adaptées à un déploiement "industriel" ; elles sont abordées au chapitre 12.

4.6. Vérification de la connexion

Certains événements sont susceptibles d’empêcher l’affichage de l’état des connexions entre serveur et clients dans l’arborescence du domaine. Il est possible de vérifier manuellement la connexion serveur-> client dans [Vérification manuelle] ou de configurer une planification dans [Vérification programmée], pourvu que les postes soient logiquement allumés à ce moment.

Ceci permet par ailleurs de "récupérer" d'éventuels doublons de GUID de clients après clonage. Les résultats de cette action sont consultables dans les "Journaux des ordinateurs en réseau / vérification de la connexion".

4.7. Prévention des épidémies

Ce menu intuitif permet de mettre à contribution le pare-feu de station, en cas par exemple d'épidémie de ver réseau non reconnu par votre console à un moment donné.

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 26 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

555 SSSMMMAAARRRTTT PPPRRROOOTTTEEECCCTTTIIIOOONNN

La fonctionnalité "Smart protection" permet à un client d'être protégé (avec l'assurance de signatures à jour) grâce à la connexion permanente à un serveur.

Lorsqu'un poste nomade n'est pas sur le réseau local, un serveur SmartProtection de TrendMicro (sur le web, donc) prend le relais de manière totalement transparente.

Et, quand aucune connexion réseau n'est disponible, une base de signatures est quand-même présente sur le client lui-même afin de protéger le poste malgré tout

5.1. Sources smart protection

Il est préférable de se limiter à la "liste standard". Celle-ci est par défaut constitué du seul "serveur smart protection intégré". Il est possible de définir des "serveurs de réputation" supplémentaires permettant de mettre en place une haute disponibilité du service.

5.2. Serveur intégré

Sur

ce

menu

on

retrouve

les

options

choisies

à

l'installation

(activation

des

services,

utilisation

du

protocole ssl)…

On y trouve ensuite le lien permettant aux clients de contacter ces services

La rubrique "état du composant" permet de s'assurer de l'actualité des mises à jour.

La configuration par défaut, mettant en œuvre uniquement le serveur smart protection intégré, convient

parfaitement à un "petit" lycée. Pour les établissements accueillant plus de 300 clients OfficeScan, le déploiement d'un serveur smart protection autonome est indispensable. Une documentation dédiée est disponible au même emplacement que la présente http://www.ac-

http://www.ac- nantes.fr/27647957/0/fiche pagelibre … Attention Le "nom du serveur de réputation" (ou son

Attention

nantes.fr/27647957/0/fiche pagelibre … Attention Le "nom du serveur de réputation" (ou son IP)
nantes.fr/27647957/0/fiche pagelibre … Attention Le "nom du serveur de réputation" (ou son IP)

Le "nom du serveur de réputation" (ou son IP) configuré lors de l'installation du serveur (au § 2.7) est indispensable aux clients. Il n'est malheureusement pas modifiable par la suite dans la console. Il est néanmoins possible de réinstaller les services de réputation (menu outils > outils administrateurs > programme d'installation du serveur smart protection…). Excellente raison pour choisir dès le départ le nom de connexion qui va bien (un alias DNS).

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 27 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

666 MMMIIISSSEEESSS AAA JJJOOOUUURRR

La page résumé permet une vue globale de l'état des mises à jour ainsi que le regroupement rapide des éventuels "clients obsolètes".

6.1. Mise à jour du serveur

6.1.1. Mise à jour programmée

A l'heure actuelle de nouveaux fichiers de signatures sont mis en ligne quasiment chaque jour. Voire

plusieurs fois dans la même journée pour certains composants !

Si on veut profiter d'une des fonctionnalités les plus évidentes de l'antivirus centralisé, ce paramétrage

est essentiel…

centralisé, ce paramétrage est essentiel…  Choix des composants : en fonction des types de clients

Choix des composants : en fonction des types de clients présents sur le réseau, il est possible de cocher l'ensemble des cases…

Planification : dans le cas d'une connexion "haut débit", la vérification horaire des mises à jour n'est pas inutile ! Si le serveur distant n'a rien de plus récent à proposer, rien ne sera téléchargé et le débit de la connexion Internet ne sera pas affecté…

Remarque : du fait de la supervision (voir § 10.9), les mises à jour automatiques du serveur deviennent redondantes (c'est le serveur central qui notifie les serveurs en établissement). On peut toutefois conserver cette fonctionnalité, toujours utile en cas de dysfonctionnement ou de perte de connectivité de l'agent de supervision, mais en diminuant sa fréquence (1 par jour, enfin… par nuit ?).

6.1.2. Mise à jour manuelle

Sans commentaire particulier… Revient au bouton "mise à jour immédiate du serveur" en haut du de la page d'accueil de la console.

6.1.3. Source de mise à jour

Il est possible de saisir dans l'interface plusieurs sources de téléchargement. Par défaut c'est le serveur de TrendMicro qui est configuré. Et c'est très bien comme ça !

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 28 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

6.2. Mise à jour des clients (ordinateurs en réseau)

6.2.1. Mise à jour automatique

ts (ordinateurs en réseau) 6.2.1. Mise à jour automatique Peu de choses à configurer dans cet

Peu de choses à configurer dans cet onglet…

Eviter de cocher "scan immédiat après mise à jour" : tout

comme le "scan à distance" (§ 4.1.2), cette option perturbera à coup sûr les utilisateurs !

Le déploiement des "mises à jour programmées", pour sa part, n'est mis en œuvre que parallèlement à son activation dans le menu [clients] [privilèges] (§ 4.1.3.7).

6.2.2. Mise à jour manuelle

Quand certains postes ne sont pas mis à jour automatiquement il est possible de forcer sélectivement leur mise à jour par l'interface. C'est logiquement inutile quand les paramètres de mise à jour automatique sont bien réglés

6.2.3. Source de mise à jour

A relier au paragraphe 4.1.3.2 (agents de mise à jour)

Sur un "petit réseau" le fait que quelques machines téléchargent les mises à jour sur un seul serveur ne pose pas de problème particulier. Ça n'est pas forcément le cas sur les réseaux importants ou architecturés par "sous-répartiteurs" ou VLANS…

On peut alors avoir recours à un (des) "agent(s) de mise à jour". Dans le principe, on utilise un client OfficeScan "ordinaire" qui reçoit dans un 1 er temps des composants du serveur et les met ensuite à disposition d'autres clients à la demande.

Ceci permet une répartition de charge et une optimisation des flux sur le réseau. Il est par contre essentiel de bien choisir ces "relais de mise à jour" en fonction de leur disponibilité.

Pour configurer l'utilisation d'un (plusieurs) agent(s) de mise à jour :

Activer le(s) postes "agent de mise à jour" dans le menu [privilèges et paramètres] (§4.1.3.7).

Dans [mises à jour > ordinateurs en réseau > source de mise à jour], cocher "source de mise à

jour personnalisée. Cocher les 3 cases "si toutes les sources personnalisées sont indisponibles ou introuvables"

Pour ajouter une source, cliquer sur [ajouter]

Dans [ajouter plage d'adresses IP et source de mise à jour] indiquer les adresses extrêmes des plages déterminées et sélectionner l'agent de mise à jour dans le menu déroulant.

Les postes clients doivent être notifiés sitôt la modification enregistrée.

doivent être notifiés sitôt la modification enregistrée. 6.3. Rétrograder En cas de problème constaté sur les

6.3. Rétrograder

En cas de problème constaté sur les postes clients, suite à une mise à jour de moteur de scan par exemple, il est possible de revenir à une version antérieure en attendant le correctif de l'éditeur. Bien qu'extrêmement rare (2 cas avérés en 12 ans), cette fonctionnalité peut, dans ces situations, rendre de grands services…

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 29 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

777

JJJOOOUUURRRNNNAAAUUUXXX

Ici aussi, assez peu de choses à préciser… mais beaucoup à lire si on commence à s'y attarder !

La consultation des journaux, bien que relevant logiquement des tâches régulières de l'administrateur, sera utile essentiellement en cas de dysfonctionnement (problèmes de mise à jour du serveur, infection de machines…). On doit s'astreindre à consulter régulièrement les journaux de mise à jour du serveur et des clients ainsi que ceux de "vérification de la connexion."

Un des rares paramétrages pouvant être modifié concerne la maintenance des journaux. On y règle :

le type de journaux à purger

la fréquence de purge des journaux (7 jours par défaut) peu adaptée aux établissements sans administrateur à plein temps…

aux établissements sans administrateur à plein temps… AC Nantes\DSI\D2\CTRE : Préconisations Académiques

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 30 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

888 CCCIIISSSCCCOOO NNNAAACCC

Trend Micro Policy Server for Cisco™ Network Admission Control (NAC) permet d'évaluer l'état des composants antivirus des ordinateurs clients de votre réseau et d'exécuter des actions sur les clients à risque, afin de les mettre en conformité avec les stratégies antivirus de votre entreprise.

Comme son nom le laisse supposer, cette fonctionnalité est liée au matériel et aux licences qui compose votre équipement réseau. Du fait de l'hétérogénéité de ces éléments d'un établissement à l'autre, ce chapitre ne sera pas développé dans cette documentation…

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 31 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

999

NNNOOOTTTIIIFFFIIICCCAAATTTIIIOOONNNSSS

A force d'automatisations, l'antivirus peut finir par se faire oublier… Les "notifications administrateur" sont là pour prévenir en temps réel, de façon à améliorer la réactivité face à un éventuel problème.

9.1. Notifications administrateur

9.1.1. Paramètres généraux

Fournir les informations suivantes :

serveur SMTP : smtp.ac-nantes.fr (port 25)

"de" : officescan-[nom du lycée]@ac-nantes.fr

9.1.2. Notifications standard

Le 1 er onglet, "critères", permet d'éviter d'être noyé de messages, et n'être averti que lorsque les actions de nettoyage ont échoué.

L'onglet "e-mail" est personnalisable :

Cocher la case "activer la notification"

Fournir une adresse valide (une boite fonctionnelle dédiée, ou celle du CI de l'établissement CI-[RNE]@ac-nantes.fr de préférence)

Au besoin, l'objet et le contenu des messages sont personnalisables.

9.1.3. Notifications d'épidémie

Ici aussi, on peut beaucoup mieux affiner les critères d'envoi de notification. A tester…

9.2. Notification aux utilisateurs clients

On peut, au besoin, personnaliser le contenu des messages affichés sur les postes clients en cas d'infection ou tout type d'attaque. Indiquer son n° de portable par exemple… !-)

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 32 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

111000 AAADDDMMMIIINNNIIISSSTTTRRRAAATTTIIIOOONNN

Certains paramètres, déjà renseignés dans la phase d'installation, ne sont pas abordés dans ce chapitre…

10.1. Comptes utilisateurs

A la différence des versions précédentes, il est possible d'ouvrir l'accès à la console antivirus à plusieurs comptes authentifiés, en leur attribuant un rôle plus ou moins privilégié.

Afin de permettre l'assistance à partir de notre outil de supervision centrale (§ 10.9), des comptes supplémentaires doivent être créés :

10.9), des comptes supplémentaires doivent être créés :  Cliquer sur [ajouter]  Nom : crid

Cliquer sur [ajouter]

Nom : crid

Nom complet : supervision SSO

Mot de passe : celui de la console

Adresse électronique : pas d'adresse

Rôle : administrateur (intégré)

Enregistrer et renouveler l'opération pour le compte "cridXX" (xx = n° département). Mis à part le nom, les autres paramètres sont identiques.

Dans un environnement Active Directory (serveur antivirus intégré au domaine !), il est possible d'importer des comptes et de leur attribuer un rôle…

10.2. Rôles utilisateurs

Trois rôles préétablis sont utilisables tel-quel (et non modifiables) : administrateur, invité et "power user".

Au besoin on peut créer des rôles personnalisés et leur attribuer une partie de l'arborescence

10.3. Paramètres Proxy

Attention : dans cette version on trouve deux onglets ! Et le premier concerne un éventuel proxy Intranet. En cas de modification (ou vérification) par rapport à l'installation initiale, penser à changer d'onglet…

initiale , penser à changer d'onglet… Rappel : en présence d'un serveur proxy, même

Rappel : en présence d'un serveur proxy, même s'il est configuré en "proxy transparent" pour le navigateur, il est obligatoire d'en indiquer l'adresse et le port (voir § 2.5). Si le proxy filtrant nécessite une authentification, utiliser un compte spécifique au serveur.

10.4. Paramètres de connexion

On configure ici la manière dont les postes clients atteignent leur serveur (communication http). Il ne s'agit pas de l'accès à la console d'administration, mais de la "socket" permettant aux clients OfficeScan de communiquer avec leur serveur.

Dans le cas général et dans la mesure où le service DNS de votre réseau est opérationnel, il est préférable d'utiliser le nom DNS (mieux : l'alias "srv-update") plutôt que l'adresse IP. En cas de changement d'adresse ou de serveur, une intervention sur le DNS évitera le reparamétrage d'OfficeScan (sur le serveur ou, pire, l'ensemble des stations !).

Le port a été choisi lors de l'installation. S'il devait être modifié dans ce menu, il faudrait s'assurer que la modification soit aussi effectuée sur le serveur web lui-même : IIS ou Apache…

Si une station ne possède pas les bons paramètres elle ne peut plus contacter son serveur. Pour éviter la réinstallation du client OfficeScan il est possible d'utiliser un outil dédié (§ 11 > IpXfer).

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 33 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

10.5. Clients inactifs

Cette option, si on l'active, permet de soulager la console OfficeScan de certains clients ne donnant plus signe de vie… (les machines ayant changé de nom ou de guid, les "modèles" servant au clonage par exemple).

les "modèles" servant au clonage par exemple). Si on laisse le délai par défaut (7 jours),

Si on laisse le délai par défaut (7 jours), on risque par contre des effets surprenants au retour des vacances ! En fonction de la stabilité du parc (machines "temporaires"…), il peut donc être augmenté sans remords…

Remarque : les clients supprimés de la console alors que la machine existe toujours seront automatiquement restaurés dès leur retour sur le réseau.

10.6. Gestionnaire de quarantaine

Si un client détecte une menace dans un fichier et si l'action de scan configurée pour ce type de menace est l'option "mise en quarantaine", le programme client OfficeScan encode automatiquement le fichier infecté, le place dans le répertoire "Suspect" (Program Files\Trend Micro\OfficeScan Client\SUSPECT) du client OfficeScan et l'envoie vers le dossier de quarantaine (OfficeScan\PCCSRV\Virus) du serveur. Si le client OfficeScan n'est pas capable d'envoyer le fichier encodé à son serveur pour une raison quelconque (problème réseau…), le fichier encodé reste dans le répertoire "Suspect" du client. Le client essaie d'envoyer à nouveau le fichier lorsqu'il peut se reconnecter au serveur OfficeScan. On peut modifier l'emplacement du dossier de quarantaine du serveur à partir du menu [clients] puis [options de scan] en sélectionnant n'importe quel type de scan.

Si on désire "sortir un fichier" de la quarantaine, un outil dédié Restore Encrypted Virus peut être utilisé. Sa procédure d'utilisation est disponible dans le menu [outils] (voir § 11).

10.7. Licence du produit

dans le menu [outils] (voir § 11). 10.7. Licence du produit Cet onglet permet de mettre

Cet onglet permet de mettre à jour les codes d'activation des différents composants d'OfficeScan lors de leur renouvellement annuel.

Si le code n'a pas changé, il suffit d'effectuer une "vérification en ligne" en cliquant sur le bouton [information sur la mise à jour] une fois un composant sélectionné (§ 3.3).

C'est aussi ici qu'on peut activer / désactiver le module pare-feu pour l'ensemble des stations.

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 34 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

10.8. Paramètres de Control Manager

Afin d'enregistrer la console OfficeScan sur le serveur de supervision du rectorat, on doit renseigner les "paramètres ControlManager".

Avant toute configuration, il faut s'assurer que, de l'emplacement ou se trouve le serveur antivirus, il accède au serveur de supervision : dans une invite CMD, lancer la commande "ping tmcm-etab.in.ac-nantes.fr"

Le nom doit être résolu, sur une IP "privée" du réseau 172.30.141.

Ouvrir le menu [administration] > [paramètres de Control Manager]

o

Le paramètre de connexion doit indiquer le nom de votre serveur : logiquement "[RNE]-UPDATE" (avec [RNE] = code établissement),

o

Indiquer le serveur ControlManager :

"tmcm-etab.in.ac-nantes.fr"

o

Décocher "se connecter avec https"

o

Remplacer le port (443) par "80"

o

Ne pas indiquer de proxy

o

Ne pas activer la redirection de port

o

Tester la connexion (bouton du même nom)

o

Valider (traduction mot à mot dans l'interface : il faut comprendre "mettre à jour les paramètres" et non "paramètres de mise à jour" !).

et non "paramètres de mise à jour" !). Par la suite (le lendemain par ex.), on

Par la suite (le lendemain par ex.), on pourra constater le bon fonctionnement dans les journaux de mise à jour du serveur : le champ "méthode de mise à jour" prend la valeur "Control Manager" en remplacement de "Mise à jour programmée".

en remplacement de "Mise à jour programmée". L'enregistrement auprès de la supervision permet par

L'enregistrement auprès de la supervision permet par ailleurs une éventuelle télémaintenance à la demande par les équipes d'assistance, le renouvellement automatique des codes d'activation, des remontées statistiques…

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 35 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

10.9. Paramètres de la console Web

On peut ici paramétrer la fréquence d'actualisation de l'affichage de la console ainsi que le délai d'expiration de session…

10.10. Sauvegarde de la base de données

Cette fonctionnalité est totalement intégrée à la console et permet de se mettre à l'abri en cas de réinstallation du serveur, pourvu que le stockage se fasse sur un emplacement récupérable.

L'ensemble des informations clients ainsi que les paramètres de configuration sont conservés dans un dossier au choix avec création d'un sous-dossier indiquant la date de sauvegarde.

En connaissance des pratiques locales, on peut déterminer l'horaire afin d'éviter que cette sauvegarde ne tombe au même moment qu'une autre opération programmée…

au mê me moment qu'une autre opération programmée… AC Nantes\DSI\D2\CTRE : Préconisations Académiques

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 36 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

111111 OOOUUUTTTIIILLLSSS

Les "outils OfficeScan" ont été conçus pour faciliter la configuration du serveur, la gestion des clients et certaines tâches connexes. Certains outils ont été spécialement développés pour répondre aux besoins particuliers des administrateurs d’OfficeScan.

Les outils sont divisés en deux catégories : côté administration et client.

Une explication détaillée est fournie pour chacun des outils.

explication détaillée est fournie pour chacun des outils. Script de connexion : Un des moyens de

Script de connexion :

Un des moyens de déploiement des clients

de connexion : Un des moyens de déploiement des clients Client packager : Permet de créer

Client packager :

Permet de créer des "packages d'installation" exécutables ou msi.

"packages d'installation" exécutables ou msi. Image Setup : A utiliser obligatoirement avant clonage de
"packages d'installation" exécutables ou msi. Image Setup : A utiliser obligatoirement avant clonage de

Image Setup :

A utiliser obligatoirement avant clonage de stations !

: A utiliser obligatoirement avant clonage de stations ! IpXfer : En cas de migration de
: A utiliser obligatoirement avant clonage de stations ! IpXfer : En cas de migration de

IpXfer :

En cas de migration de serveur ou de pb de connexion client / serveur

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 37 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

111222 IIINNNSSSTTTAAALLLLLLAAATTTIIIOOONNN

DDDEEESSS CCCLLLIIIEEENNNTTTSSS

12.1. Méthodes d'installation

Il existe plusieurs moyens permettant d'installer des clients OfficeScan. Chacun répond à des conditions d'utilisation bien définies :

Par

le

partage

de

fichiers

:

ouvrir

le

partage

"ofcscan"

du

serveur.

Dans

celui-ci

lancer

l'exécutable Autopcc.exe

Dans celui-ci lancer l'exécutable Autopcc.exe  Dans un domaine Active Directory, il est possible

Dans un domaine Active Directory, il est possible d'automatiser ce déploiement à l'aide d'un script de connexion (documenté dans les "outils client").

Sa mise en œuvre est guidée par un assistant du

menu_démarrer/officescan/ du serveur…

Il suffit d'attribuer le script à un ou plusieurs utilisateurs du domaine.

A chaque ouverture de session, l'installation est automatiquement lancée par ce script. Il faut donc éviter de l'attribuer à tous les utilisateurs (à leur insu), ceux-ci pouvant l'interrompre et le fonctionnement de la station étant logiquement ralenti pendant la durée de l'installation.

Il est possible de procéder à une installation à distance (menu [ordinateurs en réseau] > [installation du client] > [distant]) mais cette méthode utilisant RPC impose quelques contraintes :

o

o

o

o

le "partage simple" ne doit pas être activé sur les stations

o

le mot de passe du compte "administrateur local" des machines doit être renseigné,

Enfin, autre solution : le mode http. Sur chaque station, saisir l'adresse :

https://[nom_du_serveur:port]/officescan/console/html/ClientInstall/WhichPlatform.htm

Cette dernière méthode s'exécute en "interactif" ; il faut valider plusieurs fenêtres et autoriser les contrôles activeX. Sur les OS depuis Vista, le navigateur (IE) doit de plus être lancé en tant qu'administrateur !

Dans le cas ou un antivirus "concurrent" est présent sur la station, OfficeScan se charge de sa désinstallation automatique… mais il existe quelques cas ou c'est impossible (le programme vous le signale). Il vous faudra alors procéder à sa désinstallation manuellement.

12.2. Vérification de l'installation

Une fois l'installation terminée, la présence de l'icône "client OfficeScan" dans la barre des tâches de la station permet de confirmer que tout est OK. Dans le même temps, le client apparaît dans la console.

Attention : chaque client OfficeScan possède un identifiant unique "GUID". Si vous déployez des stations

Attention : chaque client OfficeScan possède un identifiant unique "GUID".

Si vous déployez des stations par "clonage" après installation du client OfficeScan, l'unicité de guid OfficeScan sur le réseau n'est plus respectée : les clients ne sont pas reconnus individuellement par leur console, ne peuvent pas informer le serveur des infections dont ils sont victimes et ne sont pas notifiés des mises à jour. Ceci n'est bien entendu pas le but recherché !!!

Pour remédier à ce problème :

OS 2000 / 2003 / XP : un exécutable spécifique doit être utilisé avant clonage. Les détails de la procédure sont indiqués dans le menu [outils] [outils clients] [Image_Setup_Utility] (§ 11).

OS Vista / 7 / 2008 : l'outil imgsetup n'est pas compatible… mais il suffit de lancer une "vérification de la connexion" dans le menu "ordinateurs en réseau" de la console

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 38 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

111333 AAANNNNNNEEEXXXEEESSS

13.1. Migration vers OfficeScan 10.x

Dans le cas ou on désire effectuer la mise à jour d'un parc existant, en version OfficeScan 8.x minimum (à la dernière version de patch de préférence), plusieurs possibilités sont offertes, en fonction de la situation en cours, des moyens (matériels et humains) disponibles et du résultat attendu.

ATTENTION : quelle que soit la méthode utilisée, la mise à jour du client antivirus

ATTENTION : quelle que soit la méthode utilisée, la mise à jour du client antivirus risque d'impacter les ressources du poste, voire d'entraîner une gêne de l'utilisateur ; un redémarrage est souvent nécessaire…

13.2. Premier cas :

Constats :

o

la console actuelle fonctionne de manière satisfaisante,

o

la machine qui l'héberge répond aux pré-requis matériels / logiciels,

o

le parc de stations est relativement réduit,

o

le serveur lui-même est en "bon état", stable, et ne nécessite pas de remise en question ou réinstallation,

o

ou alors il héberge une (des) application(s) sensible(s), un domaine Active Directory

simple mise à jour du serveur en lançant le "setup"

directement (installation "par dessus"). Il n'est, par contre, pas superflu de prendre les précautions élémentaires de sauvegarde, à l'aide de l'outil intégré "Database Backup".

On peut, dans ce cas, effectuer

une

Avantages :

Inconvénients :

simple à mettre en œuvre,

conserve les éventuelles "pollutions" existantes

conserve la plupart des paramétrages de la console,

mais les nouvelles fonctionnalités entraînent de toute façon des réglages supplémentaires.

n'entraîne logiquement pas "d'interruption du service".

la mise à jour du programme sur les stations s'effectue, dans la (grande) majorité des cas, sans problème… mais certaines configurations y sont réfractaires ! Il faut donc surveiller de près l'état du parc, rectifier par des mises à jour manuelles, au pire effcetuer une désinstallation / réinstallation du client. Au minimum un redémarrage des clients est nécessaire…

ATTENTION : Dans tous les cas, il faudra prendre les dispositions en fonction de votre

ATTENTION :

Dans tous les cas, il faudra prendre les dispositions en fonction de votre stratégie de "masterisation". En clair, avant de mettre à jour l'antivirus sur les stations possédant une image (locale ou sur serveur), il est préférable de :

- restaurer l'image de la station (pourvu que les mises à jour d'images aient été bien gérées),

- effectuer la mise à jour de l'antivirus (de certaines applications et de l'OS en cas de besoin),

- sur XP ou 2000 lancer l'utilitaire ImgSetup avant d'éteindre la station (§ 11)

- effectuer enfin la mise à jour de l'image locale (et de celle stockée sur le serveur le cas échéant).

Dans le cas contraire, le client OfficeScan n'étant pas à la même version que son serveur, il sera remis à jour après chaque restauration, ceci entraînant une occupation inutile des ressources machine et réseau. D'autre part, si le nom de serveur change (valeur indiquée dans aide > à propos > nom du serveur / port), le client OfficeScan peut être inopérant. Ce problème est contourné si on utilise dès le départ un alias DNS…

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 39 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

13.3. Deuxième cas :

Constats :

o une réinstallation du serveur (ou un serveur dédié à l'antivirus / WSUS) se justifie,

o le parc est important et ne peut, pour des raisons de prudence ou de charge de travail, être mis à jour en une seule fois, Dans ce cas, une nouvelle installation de la console OfficeScan est préférable. Les avantages / inconvénients sont alors permutés par rapport au 1er cas…

On pourra procéder dans cet ordre :

13.3.1. préparation :

o

sauvegarde du serveur d'origine (comme à l'habitude, rien de particulier !-),

o

nettoyage éventuel des clients ne se mettant plus à jour, des stations infectées…

o

sauvegarde de la base de données OfficeScan (administration > sauvegarde > sauvegarder maintenant) et des paramètres clients.

13.3.2. installation :

o

installation d'OfficeScan 10.x sur un serveur indépendant. Ce serveur pouvant être transitoire, on peut utiliser toute machine répondant aux pré-requis matériels / logiciels,

o

paramétrage complet de la nouvelle console serveur,

o

migration (plus ou moins progressive) des clients et des serveurs, manuellement dans la console ou automatiquement, par script (voir un exemple au § 13.1.4)…

o

vérification du bon fonctionnement général et des mises à jour des clients.

13.3.3. post-installation :

o retour éventuel des clients sur le serveur initial, après désinstallation de l'ancienne console et installation de la version 10.

Pour illustrer le propos :

et installation de la version 10. Pour illustrer le propos : REMARQUE : la migration des

REMARQUE : la migration des clients entre deux consoles OfficeScan peut s'effectuer simplement à partir de la console du serveur initial :

o

menu clients > sélectionner les machines en ligne (impossible de sélectionner les groupes),

o

cliquer sur [gérer l'arborescence client] > [déplacer clients] puis choisir le bouton "Déplacer le ou

les clients sélectionnés vers un autre serveur OfficeScan",

o

indiquer le nom (ou l'IP) du nouveau serveur et son port (8080 par défaut).

o

Les clients apparaissent progressivement sur la nouvelle console…

AC Nantes\DSI\D2\CTRE : Préconisations Académiques

Page : 40 / 42

Rédacteur : Christian Le Breton Projet : Antivirus établissement Date de Mise à Jour :

Rédacteur : Christian Le Breton

Projet : Antivirus établissement

Date de Mise à Jour : 14/03/2012

Version : 1.1

Si cette méthode permet une migration progressive, elle présente quelques inconvénients :

o

elle ne prend en compte que les postes "en ligne" :

on peut répéter l'opération jusqu'à épuisement des postes "hors ligne", au fur et à mesure qu'ils se connectent,

les clients itinérants ne seront malheureusement jamais touchés par cette procédure…

pas plus que les postes administratifs (s'ils sont "hors ligne" dans la console).

o

le port d'écoute client n'est pas systématiquement modifié (et généralement différent du 8000).

Pour finaliser la migration, on doit donc faire appel à l'outil "IpXfer" documenté dans le menu "outils client" :

o copier IpXfer.exe dans un dossier local des stations et exécuter la commande : "IpXfer.exe
o
copier IpXfer.exe dans un dossier local des stations et exécuter la commande :
"IpXfer.exe -s srv-update -p 8080 -c 8000" ou, en direct, "démarrer > exécuter"
\\[nom_du_serveur]\ofcscan\Admin\Utility\IpXfer\IpXfer.exe -s srv-update -p 8080 -c 8000
o
pour faciliter son déploiement, on peut utiliser un script (exemple au § 13.1.4)

13.4. Autres possibilités

On peut, en fait, mixer les différentes solutions présentées, en fonction du besoin… Il est possible par exemple de commencer (après sauvegarde bien entendu) par supprimer la console antérieure avant d'installer la version 10.x sur un seul et unique serveur… La migration des stations doit ensuite se faire automatiquement, sans problème ni délai important sous peine de stations non protégées !

13.5. Script de migration :

Un exemple de script permettant une migration des clients entre deux serveurs OfficeScan est disponible sur ETNA : http://ctre.ac-nantes.fr à la rubrique "sécurité du réseau > stratégie antivirale > console serveur".

Il utilise l'outil "IpXfer" fourni parmi les utilitaires installés sur le serveur OfficeScan et dont il est question ci-dessus § 13.3.3.

On peut l'utiliser de manière transparente :

en l'incluant au "loginscript" (domainusers.bat) d'un serveur HORUS pour le réseau administratif

sous forme d'une GPO de démarrage machine pour un domaine Windows.

Il nécessite les pré-requis suivants :