Wfbs Best Practices

Worry Free Business Security Best
Practices
Rf
Page Page 1 sur 55
Type Procdure
Auteur Maximilien GATIGNOL
Worry Free
Business
Security Best
Pratices
Practices
Rf
Page Page 2 sur 55
Type Procdure
Practices
Rf
Page Page 3 sur 55
Type Procdure
Version : 1.0
Auteur : David TRINH
Practices
Rf
Page Page 4 sur 55
Type Procdure
Table des matires

Introduction :...........................................................................................
Installation du Security Server et du Security Agent :.................................
Tches Post-Installation :........................................................................
Configuration du Server Security :...........................................................
Practices
Rf
Page Page 5 sur 55
Type Procdure
Introduction :
Ce document dtaille linstallation dun serveur Worry Free Business Security ainsi que les
paramtres optimiss pour les clients de type Serveur et poste.
Practices
Rf
Page Page 6 sur 55
Type Procdure
Installation du Security Server et du Security

Agent :
Minimum requis :
Voici un tableau rsumant les Systmes dexploitation supports :
Systme dexploitation Edition Service Pack

Windows XP Professional SP3
Home
Windows Vista Ultimate SP1
Enterprise SP2
Business
Home
Premium
Home Basic
Windows 7 Ultimate No SP
Enterprise SP1
Professional
Home
Premium
Home Basic
Windows 8 / 8.1 Enterprise N/A
Professional
Basic
Windows Server 2003 / 2003 R2 Enterprise SP1
Standard SP2
Web
Windows Small Business Server (SBS) Premium SP1
2003 / 2003 R2 Standard SP2
Windows Storage Server 2003 / 2003 N/A N/A
R2
Windows Home Server N/A Power Pack 2
Power Pack 3
Windows Server 2008 Datacenter SP1
Enterprise SP2
Standard
Foundation
Windows Server 2008 R2 Datacenter No SP1
Practices
Rf
Page Page 7 sur 55
Type Procdure
Enterprise SP1
Standard
Foundation
Windows Small Business Server (SBS) Premium SP1
2008 Standard SP2
Windows Essential Business Server Premium SP1
(EBS) 2008 Standard SP2
Windows Storage Server 2008 / 2008 Enterprise N/A
R2 Standard
Workgroup
Windows Small Business (SBS) 2011 Essentials No SP1

Standard SP1
Windows Home Server 2011 N/A SP1
Windows Server 2012 / 2012 R2 Datacenter N/A
Essentials
Standard
Windows Storage Server 2012 / 2012 Standard N/A
R2 Workgroup
Minimum Hardware requis:
Server Security
Mmoire Conventional Scan 32/64Bits 1Go / 2Go
Smart Scan 2Go
Espace disque Program files 4.1Go
Server operations 6.9Go
Total 11Go
Security Agent Smart Scan
Espace disque Program Files 300Mo
Operations 150Mo
Total 450Mo
Conventional Scan
Program Files 400Mo
Operations 300Mo
Total 700Mo
Update Agent Smart Scan
Espace disque Program Files 300Mo
Operations 500Mo
Total 800Mo
Conventional Scan
Practices
Rf
Page Page 8 sur 55
Type Procdure
Program Files 400Mo

Operations 650Mo
Total 1050Mo
Practices
Rf
Page Page 9 sur 55
Type Procdure
Recommandations avant installation:
Linstallation de Worry Free Business 9 ncessite de suivre certaines consignes :
- Avant toute installation, vrifier les backups de la veille.

- Lancer linstallation en horaire non ouvr, et de prfrence juste aprs un
backup, ce qui permettra une restauration optimale en cas dchec quelconque.
- Dsinstaller tout antivirus sur le serveur qui hbergera le WFBS Security Server.
- Si possible, installer WFBS sur une partition autre que la partition
boot/systme ; si le serveur a 2 disques, installer WFBS sur le disque
nhbergeant pas le boot/systme, cela amliore les performances du disque.
- WFBS server ncessite 4,1Go despace disque pour linstallation ainsi que 6,9Go
pour les oprations, vrifier lespace disque disponible sur le serveur avant toute
installation.
- Durant linstallation du Security Server, des options sont slectionner :
Pre-scanning : un pr-scan basic recommand et initi aprs linstallation.
FQDN : une option qui spcifie un FQDN externe pour laccs au serveur
depuis un rseau non interne.
Dossier de destination : Choisir une destination avec plus de 11Go
despace libre.
IIS / Apache : De prfrence IIS ; utiliser Apache lorsque IIS nest pas
disponible sur le serveur hte.
- Recommandations pour le dploiement de lagent WFBS distance :
Le serveur Windows hte doit tre dmarr.
Pour Windows XP Professionnel, le Partage de fichier doit tre dsactiv.
Le dploiement sur Windows XP Home nest pas support.
Pour Windows Vista, 7, 8, 8 ?1 2012 et 2012 R2 les actions suivantes sont
effectuer avant installation :
o Remote registry/Registre distance doit tre dmarr.
o LUAC doit tre dsactiv, autoriser le partage de fichier et
dimprimante aux exceptions du Firewall Windows.
o Pour Windows 8, 8.1, 2012 et 2012 R2, modifier la cl de registre pour
dsactiver lUAC (un reboot sera requis) :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol
icies\System] EnableLUA=dword:00000000.
Practices
Rf
Page Page 10 sur 55
Type Procdure
- Un seul Security Serveur peut grer jusqu 2500 clients. Sil y a plus de clients,
Trend Micro recommande dinstaller un Security Server en plus. Autrement, la
consommation de la bande passante peut augmenter et avoir un impact sur le
rseau et spcifiquement si le SmartScan est activ sur le serveur. Si le rseau
est segment par emplacement, et que le lien entre ces segments rencontre un
Traffic important, Trend recommande dautoriser au moins un Security Agent
sur chaque segment dagir en tant quUpdate Agent.
- La console web WFBS peut tre inaccessible si lEnhanced Security dInternet
Explorer est activ. Pour y accder, ajouter lURL de la web console dans la liste
des sites autoriss.
-
Practices
Rf
Page Page 11 sur 55
Type Procdure
Procdure dinstallation du Security Server:
Le Security Server est le Cur de la solution Worry-Free Business Security (WFBS). Il

hberge et centralise la console de management pour WFBS, il permet de plus
linstallation des agents sur les ordinateurs clients du rseau rendant ainsi possible la
relation entre le client et le serveur.
Tlcharger la source sur le site de Trend Micro:

http://downloadcenter.trendmicro.com/index.php?
clk=left_nav&clkval=all_download&regs=NABU
Lancer linstallation en suivant ces tapes:

Practices
Rf
Page Page 12 sur 55
Type Procdure
Choisir une installation Custom et entrer la cl de licence associe:

Practices
Rf
Page Page 13 sur 55
Type Procdure
Practices
Rf
Page Page 14 sur 55
Type Procdure
Slectionner Security Server et Security Agent de base, le Remote Messaging Security

Agent est seulement en option (Licence avance):
Practices
Rf
Page Page 15 sur 55
Type Procdure
Choisir la mthode par IP, dfinir un mot de passe pour la console de scurit:
Practices
Rf
Page Page 16 sur 55
Type Procdure
Dfinir le serveur SMTP et ladresse mail sur laquelle les notifications seront envoyes:
Practices
Rf
Page Page 17 sur 55
Type Procdure
Practices
Rf
Page Page 18 sur 55
Type Procdure
Slectionner toutes les options :

Practices
Rf
Page Page 19 sur 55
Type Procdure
Finaliser linstallation:
Practices
Rf
Page Page 20 sur 55
Type Procdure
Lopration peut prendre une 20ne de minutes.

Une fois install, laccs la console de management est disponible via un raccourci
sur le bureau:
Practices
Rf
Page Page 21 sur 55
Type Procdure
Ou depuis lURL suivante sur le serveur :

https://localhost:4343/SMB/console/html/cgi/cgiChkMasterPwd.exe
Practices
Rf
Page Page 22 sur 55
Type Procdure
A prsent que le Security Server est install, il faut installer le Security Agent :
Cliquer sur Install Now :
Une fois tlcharg, commencer linstallation :

Practices
Rf
Page Page 23 sur 55
Type Procdure
Linstallation se termine avec lapparition de licne trend sur la barre de tche.

Practices
Rf
Page Page 24 sur 55
Type Procdure
Lagent peut aussi tre dploy depuis la console web -> Security Settings ->
Servers/Desktop (default) -> Add Computer :
Slectionner le type dordinateur et la mthode dajout :

Practices
Rf
Page Page 25 sur 55
Type Procdure
Practices
Rf
Page Page 26 sur 55
Type Procdure
Slectionnez le domaine puis lordinateur/serveur ajouter, (un login et mot de passe

administrateur sera demand) :
Une fois termine, la colonne Status rsume ltat de linstallation.

Practices
Rf
Page Page 27 sur 55
Type Procdure
Tches Post-Installation :
Une fois le Security Server install et les agents dploys, plusieurs tches sont
suivre afin davoir une
configuration optimale.
Ajout de groupes :
Selon les besoins du client des groupes de serveurs/ordinateurs peuvent tre crs,
dplacez les servers/ordinateurs dans les groupes appropris:
Practices
Rf
Page Page 28 sur 55
Type Procdure
Ajout dUpdate Agent :
Certaines structures ncessitent lutilisation de la bande passante WAN pour la

communication entre le serveur et son client. Afin de rduire la consommation de
bande passante WAN, il est possible dassigner un Update Agent un client distant :
Depuis la console web WFBS, allez dans Updates -> Source -> Update Agents :
Slectionnez le serveur/ordinateur qui aura le rle de lUpdate Agent :

Practices
Rf
Page Page 29 sur 55
Type Procdure
Practices
Rf
Page Page 30 sur 55
Type Procdure
Le client apparat dans la liste des Update Agents, choisissez la source des mises
jours (de prfrence le Security Server) :
Pour une utilisation optimale de la bande passante, il est recommand dactiver les
sources dupdate alternative :
Ajoutez le scope dadresses IP des clients qui seront succeptibles davoir les updates
depuis lUpdate Agent :
Sauvegardez :
Practices
Rf
Page Page 31 sur 55
Type Procdure
Practices
Rf
Page Page 32 sur 55
Type Procdure
Trend Micro Vulnerability Assessment :
La fonctionnalit Trend Micro Vulnerability Assessment offre une corrlation

menace/virus et applique les corrections des vulnrabilits fournis par patches
Microsoft. Utilisez cet outil pour valuer le risque de scurit dans un rseau.
Dans la console web WFBS, allez dans Outbreak Defense :
Activez le Scheduled Vulnerability Prevention et configurez les paramtres, de

prfrence frquence hebdomadaire aprs les backups pour une performance
optimale avec tous les groupes clients pour cibles :
Practices
Rf
Page Page 33 sur 55
Type Procdure
Practices
Rf
Page Page 34 sur 55
Type Procdure
Trend Micro Vulnerability Scanner :
Le Scanner de Vulnrabilit Trend (TMVS10.) dtecte les logiciels antivirus installs,

recherche les ordianteurs/serveurs non protg du rseau et offre la possibilit dinstaller
le Security Agent (les logins/pass dun compte administrateur seront demands) :
Attention ne pas lancer un Scan de Vulrabilit sur des serveurs ayant le

Terminal Services dactiv, le Scan peut dclencher des fausses alertes
dintrusion.
Sur le Serveur local, ouvrez TMVS.exe dans le rpertoire suivant :

..\Trend Micro\Security Server\PCCSRV\Admin\Utility\TMVS\
Il suffit de renseigner la plage dIP scanner afin davoir les informations des
quipements du rseau sous forme de liste qui peut aussi tre export sous forme de
fichier .csv.
Practices
Rf
Page Page 35 sur 55
Type Procdure
Certificats :
Une erreur de certificat apparit lors de la 1re utilisation de la web console de

management WFBS. Pour viter que cette erreur soit persistante, un certificat du Security
Server peut tre install.
Cliquez sur le message derreur de certificat puis voir les certificats :
Puis installez le certificat :

Practices
Rf
Page Page 36 sur 55
Type Procdure
Placez le certificat dans les autorits racines de confiances:

Practices
Rf
Page Page 37 sur 55
Type Procdure
Un message davertissement peut apparatre, il faut accepter et terminez linstallation

du certificat.
Practices
Rf
Page Page 38 sur 55
Type Procdure
Mise jour des derniers Patchs :
Vrifiez que le serveur a les derniers patchs depuis la console web WFBS, Updates ->
Manual, slectionnez tous les composants puis Update Now :
Practices
Rf
Page Page 39 sur 55
Type Procdure
Configuration du Server Security :

Une fois le Server Security install, connectez-vous la console de management et
allez dans longlet Security Settings, slectionnez Servers default puis Configure
Settings (clic droit) :
Scan Method : Choisir Smart Scan afin de rduire limpact sur les performances du
serveur :
Practices
Rf
Page Page 40 sur 55
Type Procdure
Antivirus/Anti-Spyware :
Activez lantivirus/antispyware en temps rel, choisissez la mthode de scan sur

tous les fichiers et le dclencheur sur lecture et criture :
Activez les exclusions, en fonction du serveur il est recommand dexclure les dossiers de
certains programmes utiliss (voir la liste des exclusions) :
Practices
Rf
Page Page 41 sur 55
Type Procdure
Practices
Rf
Page Page 42 sur 55
Type Procdure
Pareillement pour les extensions :
Dans la partie des paramtres avances, activez la case le Scan Pop3 messages,
Enable IntelliTrap, Quarantine Malware variants detected in memory et le scan
des fichiers compress sur 2 niveaux :
Practices
Rf
Page Page 43 sur 55
Type Procdure
Dans longlet action vrifier que lActiveAction est bien slectionn :
Dans la partie des paramtres avances, cochez la case Run Cleanup when probable
Virus/malware is detected :
Practices
Rf
Page Page 44 sur 55
Type Procdure
Firewall :
Vrifiez que le Firewall est activ In Office et Out of Office :

Practices
Rf
Page Page 45 sur 55
Type Procdure
URL Filtering :
Activez le filtrage des URLs et choisissez le niveau moyen de filtre :

Practices
Rf
Page Page 46 sur 55
Type Procdure
Web Reputation :
Activez le Web Reputation et choisissez la scurit au niveau moyen puis cochez la
case Bloquer les pages contenant des scripts malveillants aussi bien In Office et
Out Office :
Practices
Rf
Page Page 47 sur 55
Type Procdure
Approved/Blocked URLs :
Si un groupe en particulier, a des restrictions spcifiques dURLs, cochez la case

Customize approved/blocked URLs for this group et ajoutez les URLs aux listes :
Practices
Rf
Page Page 48 sur 55
Type Procdure
Behavior monitoring :
Cette fonctionnalit contrle le comportement des programmes et vrifie sa fiabilit.

Activez cette fonctionnalit et la case Enable Malware Behavior Blocking for know
and potential threats, ainsi que les options de protection contre les Ransomware :
Certains programmes propritaires peuvent alarmer cette fonctionnalit, il est ncessaire

de les renseigner dans la liste des exceptions :
Practices
Rf
Page Page 49 sur 55
Type Procdure
Programmes de confiance :
Certains programmes ou logiciel peuvent soliciter dimportantes ressources, cest le

cas dun serveur de base de donne ou dun serveur de Backup. Si vous rencontrez
des problmes de performances, ces programmes peuvent tre exclus du scan en
temps rel et considrs comme des programmes de confiance.
Une liste a t constitue pour chaque produit que nous sommes susceptible dutiliser.
La liste se trouve via lURL suivante :
WFBS Exclusion.xsls
Practices
Rf
Page Page 50 sur 55
Type Procdure
Device Control :
Vrifiez que la case Enable USB Autorun Prevention est bien coch :
Practices
Rf
Page Page 51 sur 55
Type Procdure
Location Awareness :
Activez cette fonctionnalit afin que le Sever Security identifie les clients, puis y ajouter
lIP de la passerelle :
Depuis la console web -> Prfrences -> Global Settings -> Desktop/Server :
Practices
Rf
Page Page 52 sur 55
Type Procdure
Scan des fichiers compresss :
Cette fonctionnalit permettra aux Security Agents de scanner les fichiers dans une
archive compress (.zip, .rar, etc ). Depuis la console Web -> Global Settings ->
Desktop/Server :
- Au niveau des paramtres du Scan des Virus, changez la valeur de Do not
Scan if extracted size is over 20Mo.
- Changez la valeur de Scan the first files in the compressed file 100
- Cochez Clean compressed files.
Practices
Rf
Page Page 53 sur 55
Type Procdure
Configuration des Scans planifis :
Depuis la console web -> Scans -> Schedule Scan -> Settings -> slectionnez un
groupe :
Slectionnez tout scanner, avec un niveau de scan de fichiers compress 2

couches :
Dans longlet Action, slectionner une utilisation CPU basse afin dimpacter le moins
possible les ordinateurs clients lors du scan, et vrifiez que lActiveAction est bien
slectionn puis sauvegardez :
Practices
Rf
Page Page 54 sur 55
Type Procdure
Practices
Rf
Page Page 55 sur 55
Type Procdure
Revenir dans le menu des Planifications de Scan (Scan -> Schedule Scan) et allez
dans longlet Planification (Schedule) pour choisir une planification de scan
hebdomadaire des diffrents groupes clients. Il est prfrable de choisir un horaire
durant lequel la charge de travail est plus faible, exemple :
- Pour les postes utilisateurs partir de 12 :30
- Pour les serveurs aprs un job de backup.

Wfbs Best Practices

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Wfbs Best Practices

Transféré par

Droits d'auteur :

Formats disponibles

Worry Free Business Security Best

Table des matires

Installation du Security Server et du Security

Voici un tableau rsumant les Systmes dexploitation supports :

Systme dexploitation Edition Service Pack

Windows Small Business (SBS) 2011 Essentials No SP1

Minimum Hardware requis:

Program Files 400Mo

Recommandations avant installation:

Linstallation de Worry Free Business 9 ncessite de suivre certaines consignes :

- Avant toute installation, vrifier les backups de la veille.

Procdure dinstallation du Security Server:

Le Security Server est le Cur de la solution Worry-Free Business Security (WFBS). Il

Tlcharger la source sur le site de Trend Micro:

Lancer linstallation en suivant ces tapes:

Choisir une installation Custom et entrer la cl de licence associe:

Slectionner Security Server et Security Agent de base, le Remote Messaging Security

Slectionner toutes les options :

Lopration peut prendre une 20ne de minutes.

Ou depuis lURL suivante sur le serveur :

Cliquer sur Install Now :

Une fois tlcharg, commencer linstallation :

Linstallation se termine avec lapparition de licne trend sur la barre de tche.

Slectionner le type dordinateur et la mthode dajout :

Slectionnez le domaine puis lordinateur/serveur ajouter, (un login et mot de passe

Une fois termine, la colonne Status rsume ltat de linstallation.

Ajout dUpdate Agent :

Certaines structures ncessitent lutilisation de la bande passante WAN pour la

Slectionnez le serveur/ordinateur qui aura le rle de lUpdate Agent :

Trend Micro Vulnerability Assessment :

La fonctionnalit Trend Micro Vulnerability Assessment offre une corrlation

Dans la console web WFBS, allez dans Outbreak Defense :

Activez le Scheduled Vulnerability Prevention et configurez les paramtres, de

Trend Micro Vulnerability Scanner :

Le Scanner de Vulnrabilit Trend (TMVS10.) dtecte les logiciels antivirus installs,

Attention ne pas lancer un Scan de Vulrabilit sur des serveurs ayant le

Sur le Serveur local, ouvrez TMVS.exe dans le rpertoire suivant :

Une erreur de certificat apparit lors de la 1re utilisation de la web console de

Cliquez sur le message derreur de certificat puis voir les certificats :

Puis installez le certificat :

Placez le certificat dans les autorits racines de confiances:

Un message davertissement peut apparatre, il faut accepter et terminez linstallation

Mise jour des derniers Patchs :

Configuration du Server Security :

Activez lantivirus/antispyware en temps rel, choisissez la mthode de scan sur

Pareillement pour les extensions :

Dans longlet action vrifier que lActiveAction est bien slectionn :

Vrifiez que le Firewall est activ In Office et Out of Office :

Activez le filtrage des URLs et choisissez le niveau moyen de filtre :

Si un groupe en particulier, a des restrictions spcifiques dURLs, cochez la case

Cette fonctionnalit contrle le comportement des programmes et vrifie sa fiabilit.

Certains programmes propritaires peuvent alarmer cette fonctionnalit, il est ncessaire

Certains programmes ou logiciel peuvent soliciter dimportantes ressources, cest le

Scan des fichiers compresss :

Configuration des Scans planifis :

Slectionnez tout scanner, avec un niveau de scan de fichiers compress 2

Vous aimerez peut-être aussi