Administration Guide SEP11.0.6

7/11/2019 Administration Guide SEP11.0.6

http://slidepdf.com/reader/full/administration-guide-sep1106 1/690

Guide d'administration de

Symantec™

EndpointProtection et SymantecNetwork Access Control



Guide d'administration de Symantec EndpointProtection et Symantec Network Access Control

Le logiciel décrit dans ce guide est fourni dans le cadre d'un contrat de licence et ne peutêtre utilisé qu'en conformité avec les termes de ce contrat.

Documentation version 11.00.06.00.00

Mentions légales

Copyright © 2010 Symantec Corporation. Tous droits réservés.

Symantec, le logo Symantec, Bloodhound, Confidence Online, Digital Immune System,LiveUpdate, Norton, Sygate et TruScan sont des marques commerciales ou des marquesdéposées de Symantec Corporation ou de ses filiales aux Etats-Unis et dans d'autres pays.

Les autres noms sont des marques commerciales de leurs détenteurs respectifs.

Ce produit Symantec peut contenir le logiciel tiers pour lequelSymantec est tenu de fournirune attribution à tierce partie ("Programmes tiers"). Certains de ces logiciels sont mis àdisposition en licence logicielle libre ou avec des licences gratuites. Le Contrat de licenceaccompagnant le logiciel ne modifie en aucun cas vos droits et vos obligations en vertu deces licences. Pour plus d'informations sur les logiciels tiers, reportez-vous à l'annexeconsacrée aux mentions légales sur les logiciel tiers ou au fichier LisezMoi TPIPaccompagnant ce produit.

Le produit décrit dans ce document est distribué aux termes d'une licence limitant sonutilisation, sa copie, sa distributionet sa décompilation/ingénierie inverse. Ce document nepeut, en tout ou partie, être reproduit sous aucune forme et par aucun moyen sansl'autorisation préalable écrite de Symantec Corporation et de ses détenteurs de licenceéventuels.

LA DOCUMENTATION EST FOURNIE "EN L'ETAT" ET TOUTE GARANTIE OU CONDITIOND'AUCUNE SORTE, EXPRESSE OU IMPLICITE, Y COMPRIS, SANS QUE CELA SOITLIMITATIF, LES GARANTIES OU CONDITIONS IMPLICITES DE QUALITE MARCHANDE,D'ADEQUATIONAUNUSAGEPARTICULIEROUDERESPECTDESDROITSDEPROPRIETEINTELLECTUELLEESTREFUTEE,EXCEPTEDANSLAMESUREOUDETELLESEXCLUSIONSSERAIENT TENUES POUR LEGALEMENT NON VALIDES. SYMANTEC CORPORATION NEPEUT ETRE TENUE POUR RESPONSABLE DES DOMMAGES DIRECTS OU INDIRECTSRELATIFS AU CONTENU OU A L'UTILISATION DE LA PRESENTE DOCUMENTATION. LESINFORMATIONSCONTENUESDANSCETTEDOCUMENTATIONPEUVENT ETREMODIFIEESSANS PREAVIS.

Le Logicielsouslicence estconsidérécommelogicielinformatique commercialconformémentaux définitions de la section FAR 12.212 et soumis à des droits restreints tels que définisdansla sectionFAR52.227.19 "CommercialComputer Licensed Software- RestrictedRights"et DFARS 227.7202 "Rights in Commercial Computer Licensed Software or CommercialComputer Licensed Software Documentation" tels qu'applicable, et à tous règlements quiles remplaceraient. Toute utilisation, modification, reproduction, publication, exécution,présentation ou communication du Logiciel sous licence et de la documentation par le



gouvernement desEtats-Unis ne peut se faire queconformément auxconditions du présentcontrat.

Symantec Corporation

350 Ellis StreetMountain View, CA 94043

http://www.symantec.fr

http://www.symantec.fr/

http://www.symantec.fr/



Support technique

Le support technique de Symantec se compose de centres de support répartisdansle monde entier. Le rôle principal du support technique est de réagirà des requêtesspécifiques sur les caractéristiques et la fonctionnalité des produits. Le groupede support technique contribue également à la création de contenu pour notrebase de données en ligne. Il travaille en collaboration avec les autres domainesfonctionnels de Symantec pour répondre à vos questions aussi rapidement quepossible, par exemple avec l'ingénierie de produit et Symantec Security Responsepour fournir des services d'alerte et des mises à jour de définitions de virus.

Les offres de support de Symantec englobent :

■ un éventail d'options de support pour un volume flexible de services adapté

aux sociétés de toute taille ;■ support téléphonique et/ou par le Web pour des répondes rapides et des

informations actuelles ;

■ garantie de mise à niveau par des mises à niveau logicielles ;

■ prise en charge achetée sur une base des heures ouvrables régionales ou 24heures sur 24 et 7 jours sur 7 ;

■ offres de la meilleure qualité de service qui incluent des services de gestiondes comptes.

Pour plus d'informations sur les programmes de maintenance de Symantec, vous

pouvez visiter notre site Web en accédant à l'URL suivante :

http://www.symantec.com/fr/fr/business/support/

Contacter le support technique

Les clients avec un contrat de support en cours peuvent accéder aux informationsde support technique sur l'URL suivante :


Avant de contacter le support technique, vérifiez que votre système répond à laconfiguration requise indiquée dans la documentation du produit. Veuillez en

outre vous tenir à proximité de l'ordinateur sur lequel le problème se pose, au casoù il serait nécessaire de répliquer le problème.

Lorsque vous contactez le support technique, veillez à avoir sous la main lesinformations suivantes :

■ Niveau de version du produit

■ Informations concernant le matériel







■ Mémoire disponible, espace disque et informations sur la carte réseau

■ Système d'exploitation

■

Niveau de correctif logiciel et de version■ Topologie du réseau

■ Routeur, passerelle et informations sur l'adresse IP

■ Description du problème :

■ Messages d'erreur et fichiers journaux

■ Tentatives de dépannage effectuées avant de contacter Symantec

■ Modifications récentes apportées à la configuration logicielle et au réseau

Licence et enregistrementSi votre produit Symantec requiert un enregistrement ou une clé de licence,accédez à notre page Web de support technique à l'URL suivante :


Service client

Les informations du service client sont disponibles en accédant à l'URL suivante :


Le service client est fournit son aide pour les questions non techniques, telles que

les types suivants de problèmes :

■ questions concernant l'octroi et le numéro de licence ;

■ mises à jour des données fournies à l'enregistrement du produit, telles quel'adresse ou le nom ;

■ informations générales sur le produit (fonctions, langues disponibles,distributeurs locaux) ;

■ dernières informations sur les mises à jour et les mises à niveau du produit ;

■ Informations sur l'assurance et les contrats de support de mise à niveau

■ informations sur les Programmes d'achats Symantec ;

■ conseil sur les options du support technique Symantec ;

■ questions non techniques préalables à la vente ;

■ problèmes liés aux CD-ROM ou aux manuels.







Ressources de contrat de support

Si vous voulezentrer en contact avec Symantec concernant un contrat de supportexistant, veuillez contactez l'équipe administrative de contrat de support pour

votre région comme suit :

[email protected] Pacifique et Japon

[email protected], Moyen-Orient et Afrique

[email protected]érique du Nord et Amérique latine

Services d'entreprise supplémentaires

Symantec offre une gammecomplète de services qui vous permettent d'optimiserl'investissement effectué dans les produits Symantec et de développer vosconnaissances, expertise et compréhension globale, pour une gestion proactivedes risques commerciaux.

Les services aux entreprises disponibles sont les suivants :

Lesservicesgéréssuppriment la chargeque représente la gestion et le contrôledes périphériques et des événementsde sécurité, assurantl'interventionrapideface aux menaces réelles.

Services gérés

Les services de conseil Symantec fournissent une expertise technique sur sitede Symantec et de ses partenaires approuvés. Ils offrent une série d'options

préemballées et personnalisables comportant des fonctions d'évaluation, deconception, de mise en œuvre, de surveillance et de gestion. Chaque service apour objectif d'établir et de maintenir l'intégrité et la disponibilité de vosressources informatiques.

Services de conseil

Les services de formation fournissent un ensemble complet de formationtechnique, d'éducation de sécurité,de certification de sécurité et de programmesde communication de connaissance.

Services de formation

Pour accéderà plusd'informations surlesservices destinés auxentreprises, visitezs'il vous plaît notre site Web sur l'URL suivante :

http://www.symantec.com/fr/fr/business/services/Sélectionnez votre pays ou langue dans le sommaire du site.

mailto:[email protected]



http://www.symantec.com/fr/fr/business/services/

http://www.symantec.com/fr/fr/business/services/






Support technique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Section 1 Tâches administratives de base . . . . . . . . . . . . . . . . . . . . . . . . . 27

Chapitre 1 Présentation de Symantec Endpoint Protection . . . . . . . . . . 29

A propos de Symantec Endpoint Protection ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

A propos de Symantec Network Access Control .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Composants de Symantec Endpoint Protection et Symantec Network

Access Control .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Fonctions principales de Symantec Endpoint Protectionet Symantec

Network Access Control .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34A propos des types de protection ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

Chapitre 2 Démarrage de la console Symantec EndpointProtection Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

Connexion à la console Symantec Endpoint Protection Manager. .. . . . . . . . . 39Ce que vous pouvez faire à partir de la console ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Chapitre 3 Gestion de la console Symantec EndpointProtection Manager avec Symantec ProtectionCenter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

A propos de Symantec Protection Center ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45Architecture de Symantec Protection Center ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46Connexion à Symantec Protection Center ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48Tableau de bord de Symantec Protection Center ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

A propos de la gestion des comptes Symantec Protection Center ... . . . . . . . . 49Configuration de Symantec Protection Center pour gérer des

produits ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51Rapports Symantec Protection Center ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53A propos de documentation de Symantec Protection Center ... . . . . . . . . . . . . . . 54

Table des matières



Chapitre 4 Gestion des groupes et des clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

Gestion de groupes d'ordinateurs ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56Comment structurer des groupes ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57Ajout d'un groupe ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Importation d'une structure organisationnelle existante ... . . . . . . . . . . . . . . . . . . 59Attribution d'un nouveau nom à un groupe ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62Déplacement d'un groupe ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62Affichage des propriétés d'un groupe ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Activation ou désactivation de l'héritage d'un groupe ... . . . . . . . . . . . . . . . . . . . . . . 63Configuration et gestion de clients au sein de groupes ... . . . . . . . . . . . . . . . . . . . . . . 64A propos du mode utilisateur et du mode ordinateur ... . . . . . . . . . . . . . . . . . . . . . . . . 66Affectation préliminaire des ordinateurs ou des utilisateurs à des

groupes avant d'installer le logiciel client ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

A propos des groupes spécifiés dans le package d'installationclient ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

Basculer un client entre le mode utilisateur et le modeordinateur ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

Convertir un client autonome en client géré. .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70Bloquer l'ajout de clients à des groupes ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72Déplacement de clients entre des groupes ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73Affichage de l'état des clients et des ordinateurs client ... . . . . . . . . . . . . . . . . . . . . . 73Filtrage des clients que vous pouvez afficher dans l'onglet

Clients ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75Redémarrage d'ordinateurs client ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76Affichage des propriétés d'un client ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76Recherche d'informations sur les clients ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77Configurer un client pour détecter les périphériques inconnus ... . . . . . . . . . . 79Exécution de commandes sur des clients à partir de la console ... . . . . . . . . . . . 81

Chapitre 5 Gestion des emplacements d'un groupe . . . . . . . . . . . . . . . . . . . . . . . . 83

Utiliser la détection de l'emplacement avec des groupes ... . . . . . . . . . . . . . . . . . . . 83A propos de la planification des emplacements ... . . . . . . . . . . . . . . . . . . . . . . . . 86

Activation de la détection de l'emplacement pour un client ... . . . . . . . . . . . . . . . 87Ajouter un emplacement avec un assistant d'installation ... . . . . . . . . . . . . . . . . . . 88Ajout d'un emplacement sans assistant ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90Modification d'un emplacement par défaut ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91Modification du nom et de la description de l'emplacement d'un

groupe ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92Supprimer l'emplacement d'un groupe ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

Table des matières8



Chapitre 6 Utilisation des politiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

Utilisation de politiques pour gérer la sécurité du réseau ... . . . . . . . . . . . . . . . . . . 96A propos des politiques partagées et non partagées ... . . . . . . . . . . . . . . . . . . . . . . . . . 99A propos de l'ajout de politiques ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

Ajouter une politique partagée. .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Ajout d'une nouvelle politique non partagée dans la page

Clients ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102Ajout d'une nouvelle politique non partagée à partir d'une

politique existante dans la page Clients ... . . . . . . . . . . . . . . . . . . . . . . . . . . . 103Ajout d'une nouvelle politique non partagée à partir d'un fichier

de politique précédemment exporté dans la pageClients ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

Modifier une politique ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

Affectation d'une politique partagée ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105Retrait d'une politique ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106Supprimer une politique ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107Exporter une politique ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109Importation d'une politique ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110A propos de la copie des politiques ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111Copie d'une politique partagée dans la page Politique ... . . . . . . . . . . . . . . . . . . . . . 111Copie d'une politique partagée ou non partagée dans la page

Clients ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111Coller une politique ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112Copier et coller une politique de groupe ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113Remplacement d'une politique ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113Copie d'une politique partagée pour la convertir en politique non

partagée ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115Conversion d'une copie d'une politique partagée en politique non

partagée ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115A propos de la mise à jour des politiques sur les clients ... . . . . . . . . . . . . . . . . . . . 116Configurer le mode de transfert ou le mode de traction pour mettre

à jour les politiques client et le contenu ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117Afficher le numéro de série de politique ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119Mise à jour manuelle de la politique pour vérifier le numéro de série

de la politique ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119Contrôle des applications et services exécutés sur les ordinateurs

client ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120Configuration du serveur de gestion pour la collecte d'informations

sur les applications que les ordinateurs client exécutent ... . . . . . . . . . . . 122Recherche d'informations sur les applications que les ordinateurs

exécutent ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123Enregistrement des résultats d'une recherche d'application ... . . . . . . 125

Table des matières



Chapitre 7 Utilisation des packages d'installation client . . . . . . . . . . . . . . 127

Utilisation de packages d'installation client ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127Configuration des options des packages d'installation client ... . . . . . . . . . . . . 129

Configurer des fonctions de package d'installation client ... . . . . . . . . . . 129Configuration des paramètres des packages d'installation

client ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130Collecter des données utilisateur ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

Exportation de packages d'installation client ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132Déploiement du logiciel client avec Rechercher les ordinateurs non

gérés ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133A propos des ajouts de mises à jour de packages d'installation client

et mise à niveau des clients ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135Ajouter des mises à jour de packages d'installation client ... . . . . . . . . . . . . . . . . 135

Mettre à niveau des clients dans un ou plusieurs groupes ... . . . . . . . . . . . . . . . . 136Supprimer des packages de mise à niveau ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

Chapitre 8 Mise à jour des définitions et du contenu . . . . . . . . . . . . . . . . . . . . 139

Gestion du contenu pour les clients ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140A propos des types de contenu ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141Définition de la manière dont les clients obtiennent le contenu ... . . . . . . . . 142Configuration d'un site pour télécharger des mises à jour ... . . . . . . . . . . . . . . . 147A propos des téléchargements de contenu simultanés ... . . . . . . . . . . . . . . . . . . . . 149A propos des politiques LiveUpdate ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150

A propos de l'utilisation des révisions de contenu qui ne sont pas ladernière version ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151

Configuration d'une politique de paramètres LiveUpdate ... . . . . . . . . . . . . . . . 151Configuration d'une politique de contenu LiveUpdate ... . . . . . . . . . . . . . . . . . . . . 153Affichage et modification rapide de la Politique de contenu

LiveUpdate ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155Distribuer le contenu à l'aide des fournisseurs de mise à jour

groupée ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156A propos des types de fournisseurs de mise à jour groupée ... . . . . . . . . 158A propos de la configuration de règles pour les fournisseurs de

mise à jour groupée multiples ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160Configurer un Fournisseur de mise à jour groupée ... . . . . . . . . . . . . . . . . . . . 162Configurer un fournisseur unique de mise à jour groupée ... . . . . . . . . . 163Configurer des fournisseurs de mise à jour groupée

multiples ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164Recherche des clients agissant en tant que fournisseurs de mise

à jour groupée ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165A propos de l'Intelligent Updater ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166




Utiliser l'Intelligent Updater pour télécharger des mises à jour ducontenu d'antivirus pour la distribution ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167

A propos des fichiers utilisés dans la distribution tiers du contenu

LiveUpdate ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168A propos de l'utilisation d'outils de distribution tiers pour distribuerdes mises à jour de contenu aux clients gérés ... . . . . . . . . . . . . . . . . . . . . . . . . . . 169

Activer la distribution de contenu tiers aux clients gérés avec unepolitique de paramètres LiveUpdate ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

Distribution du contenu auxclientsgérés pardesoutilsde distributiontiers ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171

A propos de l'utilisation d'outils de distribution tiers pour distribuerdes mises à jour de contenu aux clients autogérés ... . . . . . . . . . . . . . . . . . . . . 173

Exécution de LiveUpdate sur un client à partir de la console ... . . . . . . . . . . . . 174

Chapitre 9 Affichage des fonctions dans l'interface utilisateurclient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177

A propos de l'accès à l'interface client ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177Verrouillage et déverrouillage des paramètres gérés ... . . . . . . . . . . . . . . . . . . . . . . 178Modification du niveau de contrôle de l'utilisateur ... . . . . . . . . . . . . . . . . . . . . . . . . . 179

A propos du contrôle mixte ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182Configuration des paramètres d'interface utilisateur ... . . . . . . . . . . . . . . . . 183

Protection du client par mot de passe ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185

Chapitre 10 Gestion de la communication entre les serveurs degestion et les clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187

Géstion de la connexion entre les serveurs de gestion et lesclients ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188

A propos des serveurs de gestion ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190Ajout d'une liste de serveurs de gestion ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191Spécification d'une liste de serveurs de gestion ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192Modification de l'ordre de connexion des serveurs de gestion ... . . . . . . . . . . 193Assignation d'une liste de serveurs de gestion à un groupe et à un

emplacement ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194

Affichage des groupes et des empacements auxquels une liste deserveurs de gestion est assignée ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195Remplacement d'une liste de serveurs de gestion ... . . . . . . . . . . . . . . . . . . . . . . . . . . 195Copie et collage d'une liste de serveurs de gestion ... . . . . . . . . . . . . . . . . . . . . . . . . . . 196Exportation et importation d'une liste de serveurs de gestion ... . . . . . . . . . . 196Affichage de l'état de santé du client dans la console de gestion ... . . . . . . . 197Configurer des paramètres de communication pour un

emplacement ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199

Table des matières



Résolution des problèmes de communication entre le serveur degestion et le client ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200Investigation des problèmes de client ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202

Utiliserlacommandepingpourtesterlaconnectivitéduserveurde gestion ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202Utiliser un navigateur pour tester la connectivité au serveur de

gestion ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203Utiliser Telnet pour tester la connectivité au serveur de

gestion ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203Vérification du journal de débogage sur l'ordinateur client ... . . . . . . . . 204Vérifier les journaux de boîte de réception sur le serveur de

gestion ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204Vérifier les journaux IIS sur le serveur de gestion ... . . . . . . . . . . . . . . . . . . . . 205Récupérer les paramètres de communication client en utilisant

l'outil SylinkDrop ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

Chapitre 11 Surveillance de la protection de terminal . . . . . . . . . . . . . . . . . . . . 207

Surveillance de la protection de terminal ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207A propos des différentes méthodes d'accès aux fonctions de création

de rapports ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209Ouverture d'une session de rapport depuis un navigateur Web

autonome .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211Modification du port utilisé pour accéder à l'aide contextuelle

pour le rapport ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211

Association du localhost à l'adresse IP quand les adresses enboucle sont désactivées ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212

A propos de Reporting ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213A propos des événements consignés issus de votre réseau ... . . . . . . . . . 214Comment les rapports exploitent les journaux stockés dans la

base de données ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215A propos de la page d'accueil de Symantec Endpoint Protection ... . . . . . . . 215Configuration des Rapports sur les favoris dans la page

d'accueil .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222A propos de l'utilisation des liens Security Response ... . . . . . . . . . . . . . . . . . . . . . . 224

Utilisation de la page Symantec Network Access Control Accueil .. . . . . . . . 226Utiliser l'onglet Résumé de la page Contrôleurs ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227Configuration des préférences de rapport ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230

A propos des options d'affichage Domicile et Contrôles ... . . . . . . . . . . . . 230Configuration des seuils d'état de sécurité ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231Configuration des journaux et des préférences de rapports ... . . . . . . . 232

Elimination des virus et des risques de sécurité ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233Identification des ordinateurs infectés et à risque ... . . . . . . . . . . . . . . . . . . . . 234




Modification d'une action et réanalyse des ordinateursidentifiés ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235

Redémarrage des ordinateurs nécessitant un redémarrage pour

terminer la résolution ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236A propos de l'étude et du nettoyage des risques restants ... . . . . . . . . . . . 236Elimination d'un événement suspect ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237Mise à jour des définitions et réanalyse ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237

Recherche des clients hors ligne ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238

Chapitre 12 Affichage et configuration des rapports . . . . . . . . . . . . . . . . . . . . . . . 241

A propos des rapports pouvant être exécutés ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242A propos des informations dans le rapport et le journal d'audit

.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245

A proposdesinformations des rapports et desjournauxContrôled'application et Contrôle de périphérique ... . . . . . . . . . . . . . . . . . . . . . . . . . 245A propos des informations dans les rapports et les journaux de

conformité ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246A propos des informations dans les rapports et le journal d'état

de l'ordinateur ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248A propos des informations dans les rapports et les journaux de

protection contre les menaces réseau ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252A propos des informations figurant dans les rapports et les

journaux d'analyse proactive des menaces TruScan ... . . . . . . . . . . . 255A propos des informations dans les rapports et le journal des

risques ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256A propos des informations dans les rapports et le journal

d'analyse ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260A propos des informations dans les rapports et les journaux

système .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262A propos de l'affichage des rapports ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266

A propos de l'affichage des graphiques linéaires dans lesrapports ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267

A propos de l'affichage des diagrammes à barres ... . . . . . . . . . . . . . . . . . . . . . 268A propos de l'affichage des rapports dans des langues

asiatiques ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268Au sujet des rapports rapides ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269Création de rapports rapides ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274Enregistrement et suppression des filtres de rapports rapides ... . . . . . . . . . 276

A propos des noms de filtre dupliqués ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277A propos des rapports planifiés ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278Création et suppression de rapports planifiés ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279Modification du filtre utilisé pour un rapport planifié ... . . . . . . . . . . . . . . . . . . . . 280

Table des matières



A propos de l'utilisation du filtre Dernières 24 heures dans lesrapports et les journaux ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281

A propos de l'utilisation des filtres qui recherchent des groupes dans

les rapports et les journaux ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282Impression et enregistrement d'une copie d'un rapport ... . . . . . . . . . . . . . . . . . . 282A propos de l'utilisation de SSL avec les fonctions de

notification ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283Points importants quant à l'utilisation des rapports ... . . . . . . . . . . . . . . . . . . . . . . . 283

Chapitre 13 Affichage et configuration des journaux et desnotifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287

A propos des journaux ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287A propos des types de journaux ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288

Affichage des journaux ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296Affichage des détails des événements dans les journaux ... . . . . . . . . . . . 298Afficher les journaux d'autres sites ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298

Enregistrement et suppression des filtres ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299A propos des noms de filtre dupliqués ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301

Paramètres de base du filtre pour les journaux et les rapports ... . . . . . . . . . . 301Paramètres avancés du filtre pour les journaux et les rapports ... . . . . . . . . . 303Exécuter des commandes et des actions à partir des journaux ... . . . . . . . . . . 304Exportation des données de journal ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307

Exportation de données de journal vers un fichier texte ... . . . . . . . . . . . . 308L'exportation de données vers un serveur Syslog ... . . . . . . . . . . . . . . . . . . . . . 310Exportation desdonnées de journal vers un fichier texte délimité

par des virgules ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311A propos de l'utilisation de notifications ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312

Affichage et filtrage des informations de notificationadministrateur ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313

Directives de seuil pour les notifications d'administrateur ... . . . . . . . . 313Création des notifications d'administrateur ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314A propos de la modification des notifications existantes ... . . . . . . . . . . . 319

Chapitre 14 Gérer des domaines et des administrateurs . . . . . . . . . . . . . . . . 321

Gérer des domaines et des comptes administrateur ... . . . . . . . . . . . . . . . . . . . . . . . . 322A propos des domaines ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323Ajout d'un domaine ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324Spécifier le domaine courant ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325A propos des administrateurs ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326Ajouter un compte d'administrateur ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329A propos des droits d'accès ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330Configurer les droits d'accès pour un administrateur limité ... . . . . . . . . . . . . . 331




Basculer entre un administrateur et un administrateur limité ... . . . . . . . . . . 333Verrouillaged'un compte d'administrateuraprès de tropnombreuses

tentatives de connexion ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333

Réinitialisation du mot de passe administrateur à admin ... . . . . . . . . . . . . . . . . 334Installer l'authentification pour les comptes administrateur ... . . . . . . . . . . . 335Renommer un compte administrateur ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336Modifier le mot de passe d'un administrateur ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337

Section 2 Tâches administratives avancées . . . . . . . . . . . . . . . . . . . . 339

Chapitre 15 Gérer des sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341

A propos de la gestion de site ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341A propos de la réplication de site sur plusieurs sites de

l'entreprise ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343A propos des sites distants ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343Modification des propriétés du site ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343Sauvegarde d'un site ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345Suppression de sites distants ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346

Chapitre 16 Gestion des serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347

A propos de la gestion de serveur ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347A propos des serveurs et des mots de passe tiers ... . . . . . . . . . . . . . . . . . . . . . . . . . . . 348Démarrer et arrêter le service de serveur de gestion ... . . . . . . . . . . . . . . . . . . . . . . . 348Octroi ou refus d'accéder aux consoles distantes Symantec Endpoint

Protection Manager ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349Suppression des serveurs sélectionnés ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350Exportation et importation des paramètres de serveur ... . . . . . . . . . . . . . . . . . . . 351

Chapitre 17 Gestion des serveurs de répertoires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353

A propos de la gestion des serveurs de répertoires ... . . . . . . . . . . . . . . . . . . . . . . . . . 353Ajout de serveurs de répertoires ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354Synchronisation des comptes utilisateur entre les serveurs de

répertoire et Symantec Endpoint Protection Manager ... . . . . . . . . . . . . . . 355A proposde l'importation desinformationsd'utilisateur et de compte

d'ordinateur à partir d'un serveur de répertoire LDAP .... . . . . . . . . . . . . . 356Recherche d'utilisateurs sur un serveur de répertoires LDAP .... . . . . . . . . . . 356Importation d'utilisateurs à partird'une liste de résultatsderecherche

issue d'un serveur de répertoires LDAP .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359A propos des unités organisationnelles et du serveur LDAP .... . . . . . . . . . . . . 360

Importation d'unités organisationnelles à partir d'un serveurActive Directory ou LDAP .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360

Table des matières



A propos de la synchronisation des unitésorganisationnelles ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361

Chapitre 18 Gestion des serveurs de messagerie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363A propos de la gestion des serveurs de messagerie ... . . . . . . . . . . . . . . . . . . . . . . . . . 363Etablissement de la communication entre Symantec Endpoint

Protection Manager et les serveurs de messagerieélectronique ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364

Chapitre 19 Gestion des serveurs proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365

A propos des serveurs proxy ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365Etablissement d'une connexion entre un serveur proxy HTTP et

Symantec Endpoint Protection Manager ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365Configuration d'une connexion entre un serveur proxy FTP et

Symantec Endpoint Protection Manager ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366

Chapitre 20 Gestion des serveurs RSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369

A propos des conditions préalables pour l'utilisation de RSA SecurIDavec Symantec Endpoint Protection Manager ... . . . . . . . . . . . . . . . . . . . . . . . . . 369

Configurationde Symantec EndpointProtection Managerpourutiliserl'authentification RSA SecurID ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370

Spécification d'une authentification SecurID pour un administrateurSymantec Endpoint Protection Manager ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371

Configuration du serveur de gestion pour prendre en charge lacommunication HTTPS .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372

Chapitre 21 Gestion des certificats de serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373

A propos des types de certificats de serveur ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373Mettre à jour un certificat de serveur ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374Sauvegarde d'un certificat de serveur ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376Recherche du mot de passe keystore ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377

Chapitre 22 Gestion des bases de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379A propos de la gestion des bases de données ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379

A propos des conventions de dénomination de base dedonnées ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380

A propos de l'Assistant de configuration de serveur de gestionet des outils de base de données Symantec ... . . . . . . . . . . . . . . . . . . . . . . . 381

A propos de la sauvegarde de la base de données ... . . . . . . . . . . . . . . . . . . . . . 381A propos de la reconfiguration d'une base de données ... . . . . . . . . . . . . . . 382




Sauvegarde d'une base de données Microsoft SQL ... . . . . . . . . . . . . . . . . . . . . . . . . . . 383Sauvegarde d'une base de données Microsoft SQL ... . . . . . . . . . . . . . . . . . . . . 383Sauvegarde d'une base de donnéesSQL Microsoft avecl'assistant

de plan de maintenance de base de données ... . . . . . . . . . . . . . . . . . . . . . . 384Sauvegarde d'une base de données intégrée ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388Planification des sauvegardes automatiques de la base de

données ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389Restauration d'une base de données ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390Modification du nom et de la description d'une base de données ... . . . . . . . 391Reconfiguration d'une base de données Microsoft SQL ... . . . . . . . . . . . . . . . . . . . 392Reconfiguration d'une base de données intégrée ... . . . . . . . . . . . . . . . . . . . . . . . . . . . 394A propos de la gestion des données de journal ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396

A propos des données de journal et du stockage ... . . . . . . . . . . . . . . . . . . . . . . 396Suppression manuelle des données de journal de la base de

données ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397Données consignées des clients hérités ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398Configuration des paramètres de journal pour les serveurs d'un

site ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398A propos de la configuration du regroupement des

événements ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399Configuration des paramètres de journal client ... . . . . . . . . . . . . . . . . . . . . . . . 400A proposde la configuration desoptions de gestion desjournaux

pour les politiques antivirus et antispyware ... . . . . . . . . . . . . . . . . . . . . . 401Sauvegarde des journaux pour un site ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401

A propos du chargement de grandes quantités de données de journal client ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402A propos de la gestion des événements de journal dans la base

de données ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404Configuration desoptions de maintenance de la base de données

pour des journaux ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404A proposde l'utilisation de l'utilitaire interactif SQL avec la base

de données intégrée ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405Modification des paramètres d'expiration ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406A propos de la restauration des journaux système client

corrompus sur les ordinateurs 64 bits ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406

Chapitre 23 Réplication des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409

A propos de la réplication des données ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409A propos de l'incidence de la réplication ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412

A propos des paramètres qui sont répliqués ... . . . . . . . . . . . . . . . . . . . . . . . . . . . 412Mode de fusion des changements pendant la réplication ... . . . . . . . . . . . 413

Ajouter et déconnecter un partenaire de réplication ... . . . . . . . . . . . . . . . . . . . . . . . 414

Table des matières



Déconnexion des partenaires de réplication ... . . . . . . . . . . . . . . . . . . . . . . . . . . . 416Planification de la réplication automatique et à la demande ... . . . . . . . . . . . . 416

Réplication des données à la demande ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416

Modification des fréquences de réplication ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417Réplication des packages client et contenu LiveUpdate ... . . . . . . . . . . . . . . . . . . . 418Réplication des journaux ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419

Chapitre 24 Gestion de la protection contre lesinterventions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421

A propos de la protection contre les interventions ... . . . . . . . . . . . . . . . . . . . . . . . . . 421Configuration de la protection contre les interventions ... . . . . . . . . . . . . . . . . . . 422

Section 3 Configuration de la protection antivirus

et antispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427

Chapitre 25 Paramètres de base de la politique antivirus etantispyware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429

Bases de la protection antivirus et antispyware ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430A propos de la création d'un plan pour réagir face aux virus et

aux risques de sécurité ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430A propos de l'affichage de l'état d'antivirus et de protection

antispyware de votre réseau ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433

A propos de l'exécution de commandes pour la protectionantivirus et antispyware ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434

A propos des politiques antivirus et antispyware ... . . . . . . . . . . . . . . . . . . . . . 434A propos des politiques antivirus et antispyware

préconfigurées ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435A propos du verrouillage de paramètres dans les politiques

antivirus et antispyware ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436A proposdes politiques antiviruset antispyware pour des clients

hérités ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437A propos des paramètres par défaut de prise en charge des

fichiers suspects ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437A propos de l'utilisation de politiques pour gérer des éléments

dans la zone de quarantaine ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438A propos de l'utilisation des politiques antivirus et antispyware ... . . . . . . . 438A propos des virus et des risques de sécurité ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439A propos des analyses ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442

A propos des analyses Auto-Protect ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443A propos des analyses définies par l'administrateur ... . . . . . . . . . . . . . . . . . 448




A propos des analyses proactives des menaces TruScan ... . . . . . . . . . . . . 450A propos de l'analyse après la mise à jour des fichiers de

définitions ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450

A propos de l'analyse des extensions ou des dossierssélectionnés ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451A propos de l'exclusion de fichiers et de dossiers

spécifiques ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455A propos des actions pour les virus et les risques de sécurité détectés

par les analyses sur des clients Windows ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455A propos des actions pour les virus et les risques de sécurité détectés

par les analyses sur des clients Mac ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457Définir des paramètres de gestion des journaux dans une politique

antivirus et antispyware ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457A propos de l'interaction client avec des options d'antivirus et de

protection antispyware ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458Modifier le motde passe nécessaire pour analyserdes lecteurs réseau

mappés ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459Configuration du Centre de sécurité Windows pour qu'il fonctionne

avec le client Symantec Endpoint Protection ... . . . . . . . . . . . . . . . . . . . . . . . . . . 459Afficher un avertissement lorsque les définitions sont périmées ou

manquantes ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461Spécification d'une URL devant apparaître dans des notifications

d'erreur d'antivirus et de protection antispyware ... . . . . . . . . . . . . . . . . . . . . 462Spécifier une URL pour une page d'accueil de navigateur ... . . . . . . . . . . . . . . . . 463

Configuration des options qui s'appliquent aux analyses antivirus etantispyware ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463Configurer des analyses des extensions de fichier choisies ... . . . . . . . . 464Configurer les analyses des dossiers sélectionnés ... . . . . . . . . . . . . . . . . . . . . 465A propos des exceptions de risques de sécurité ... . . . . . . . . . . . . . . . . . . . . . . . . 466Configuration des actions pour des détections connues de virus

et de risque de sécurité sur les clients Windows ... . . . . . . . . . . . . . . . . 466Configuration des actions pour des détections connues de virus

et de risque de sécurité sur les clients Mac ... . . . . . . . . . . . . . . . . . . . . . . . 468A propos des messages de notification sur les ordinateurs

infectés ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468

Personnaliser et afficher des notifications sur les ordinateursinfectés ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469

Transmettre des informations sur des analyses à Symantec ... . . . . . . . . . . . . 471A propos de la limitation des soumissions ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472Configurer des options de soumission ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473

Gestion des fichiers en quarantaine ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474A propos des paramètres de quarantaine ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474Spécifier un répertoire de quarantaine local .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474

Table des matières



Configurer des options de nettoyage automatique ... . . . . . . . . . . . . . . . . . . . 475Transmettre des éléments en quarantaine à un serveur de

quarantaine centralisée ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477

Transmettre des éléments en quarantaine à Symantec ... . . . . . . . . . . . . . 477Configurer des actions à effectuer à la réception de nouvellesdéfinitions de virus ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478

Chapitre 26 Configuration d'Auto-Protect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479

A propos de la configuration d'Auto-Protect ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479A propos de types d'Auto-Protect ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480Activer Auto-Protect pour le système de fichiers ... . . . . . . . . . . . . . . . . . . . . . . . . . . . 480Configuration d'Auto-Protect pour le système de fichiers pour des

clients Windows ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481

A propos de l'analyse et et du blocage des risques de sécuritéAuto-Protect ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483Configurer des options avancées d'analyse et de

surveillance ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 484A propos de Risk Tracer ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485A propos du cache de fichier ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486

Configuration d'Auto-Protect pour le système de fichiers pour lesclients Mac ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487

Configurer Auto-Protect pour messagerie Internet ... . . . . . . . . . . . . . . . . . . . . . . . . 488Configurer Auto-Protect pour messagerie Microsoft Outlook ... . . . . . . . . . . . 490Configuration d'Auto-Protect pour messagerie Lotus Notes ... . . . . . . . . . . . . 491

Configurer des options de notification pour Auto-Protect ... . . . . . . . . . . . . . . . 492Afficher des résultats d'Auto-Protect sur les ordinateurs

infectés ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494Ajouter des avertissements dans les messages électroniques

infectés. .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494Envoi d'un avertissement aux expéditeurs d'un message

infecté ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495Notifier d'autres utilisateurs de messages infectés ... . . . . . . . . . . . . . . . . . . . 497Configurer des notifications de progression pour des analyses

Auto-Protect pour messagerie Internet ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498

Chapitre 27 Utilisation d'analyses définies parl'administrateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501

A propos de l'utilisation d'analyses définies par l'administrateur ... . . . . . . 501Configurer une analyse planifiée pour des clients Windows ... . . . . . . . . . . . . . 502Configuration d'une analyse planifiée pour les clients Mac ... . . . . . . . . . . . . . . 504Configurer une analyse sur demande pour des clients Windows ... . . . . . . . 505Configuration d'une analyse sur demande pour les clients Mac ... . . . . . . . . 506




Exécuter des analyses à la demande ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508Configurer des options de progression d'analyse pour des analyses

définies par l'administrateur ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 510

Définir des options avancées pour des analyses définies parl'administrateur ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511

Section 4 Configuration de la protection contre les

menaces réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513

Chapitre 28 Paramètres de base de protection contre lesmenaces réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515

A propos de la protection contre les menaces réseau et des

attaques ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516Comment SymantecEndpoint Protection protègelesordinateurs

contre des attaques réseau ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516A propos du pare-feu ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 517A propos de l'utilisation des politiques de pare-feu ... . . . . . . . . . . . . . . . . . . . . . . . . 518A propos des règles de filtrage ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519

A propos des éléments d'une règle de filtrage ... . . . . . . . . . . . . . . . . . . . . . . . . . 520A propos de l'ordre de traitement des règles ... . . . . . . . . . . . . . . . . . . . . . . . . . . . 525A propos de l'inspection Stateful .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528

Ajouter des règles vierges ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 530Ajouter des règles avec un assistant ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533Ajouter des règles héritées d'un groupe parent ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534Importation et exportation de règles ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535Copier et coller des règles ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535Modification de l'ordre des règles ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536Activer et désactiver des règles ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536Activation du filtrage de trafic intelligent ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537Activation des paramètres de trafic et des paramètres furtifs .. . . . . . . . . . . . 538Configuration de l'authentification point à point ... . . . . . . . . . . . . . . . . . . . . . . . . . . . 539

Chapitre 29 Configuration de la prévention d'intrusion . . . . . . . . . . . . . . . . . . 541

A propos du système de prévention d'intrusion ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541A propos des signatures IPS Symantec ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542A propos des signatures IPS personnalisées ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543

Configuration de la prévention d'intrusion ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544A propos de l'utilisation des politiques de prévention

d'intrusion ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545Activation des paramètres de prévention d'intrusion ... . . . . . . . . . . . . . . . 545Modifier le comportement des signatures IPS Symantec ... . . . . . . . . . . . 546

Table des matières



Blocage d'un ordinateur attaquant ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548Installation d'une liste des ordinateurs exclus ... . . . . . . . . . . . . . . . . . . . . . . . . . 549

Création de signatures IPS personnalisées ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550

Attribution de multiples bibliothèques IPS personnalisées à ungroupe ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552Modifier l'ordre des signatures ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553Copier et coller des signatures ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553Définir des variables pour des signatures ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554

Chapitre 30 Personnalisation de la protection contre lesmenaces réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557

Activer et désactiver la protection contre les menaces réseau ... . . . . . . . . . . 558Configurer des paramètres de protection contre les menaces réseau

pour la commande mélangée ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559Ajouter des hôtes et des groupes d'hôtes ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 560Modifier et supprimer les groupes d'hôtes ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561Ajout d'hôtes et de groupes d'hôtes à une règle ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 562Ajout de services réseau ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563Modifier et supprimer des services réseau personnalisés ... . . . . . . . . . . . . . . . . 564Ajout des services réseau à une règle ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 565Activation du partage des fichiers et des imprimantes du réseau ... . . . . . . 566Ajouter des adaptateurs réseau ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 568Ajout de cartes réseau à une règle ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569Modifier et supprimer les adaptateurs réseau personnalisés ... . . . . . . . . . . . . 570Ajouter des applications à une règle ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 570Ajout de planifications à une règle ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572Configurer des notifications pour la protection contre les menaces

réseau ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573Configurer les messages électroniques pour les événements de

trafic ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574Installation de la surveillance d'application réseau ... . . . . . . . . . . . . . . . . . . . . . . . . 575

Section 5 Configuration de la protection proactive

contre les menaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579

Chapitre 31 Configuration des analyses proactives des menacesde TruScan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581

A propos des analyses proactives des menaces TruScan ... . . . . . . . . . . . . . . . . . . 582A propos de l'utilisation des paramètres par défaut de Symantec ... . . . . . . 583




A propos des processus détectés par les analyses proactives desmenaces TruScan ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583

A propos de la gestion des faux positifs détectés par les analyses

proactives des menaces TruScan ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586A propos de les processus que les analyses proactives des menacesTruScan ignorent ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588

Comment les analysesproactives desmenaces TruScan fonctionnentavec la quarantaine ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589

Comment les analysesproactives desmenaces TruScan fonctionnentavec des exceptions centralisées ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 590

Comprendre les détections proactives de menaces TruScan ... . . . . . . . . . . . . . 591Spécifier les types de processus que les analyses proactives des

menaces détectent ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 593Spécification des actions et des niveaux de sensibilité pour

détecter des chevaux de Troie, des vers et des enregistreursde frappe ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 594

Spécifier des actions pour les détections d'applicationcommerciale ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595

Configurer la fréquence d'analyse proactive des menacesTruScan ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 596

Configuration des notifications pour les analyses proactives desmenaces TruScan ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 596

Chapitre 32 Configurer l'application et le contrôle des

périphériques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 599

A propos du contrôle des applications et des périphériques ... . . . . . . . . . . . . . 600A propos de la structure d'une politique de contrôle des applications

et des périphériques ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 601A propos du contrôle des applications ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602

A propos du mode test .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603A propos des règles et des groupes de règles de contrôle des

applications ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 604A propos du contrôle des périphériques ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 608A propos de l'utilisation du contrôle des applications et des

périphériques ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609Créer un ensemble de règles par défaut de contrôle des

applications ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 610Création d'une politique de contrôle des applications et des

périphériques ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611Configuration du contrôle des applications pour une politique de

contrôle des applications et des périphériques ... . . . . . . . . . . . . . . . . . . . . . . . . 612

Table des matières



Création d'un groupede règles de contrôle d'applications et ajoutd'une nouvelle règle au groupe ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 613

Ajout de conditions à une règle ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615

Configuration des propriétés de condition d'une règle ... . . . . . . . . . . . . . . 616Configurer les actions à prendre lorsqu'une condition estremplie ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 618

Applicationd'une règle à desapplicationsspécifiques et exclusiond'une règle pour certaines applications ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . 619

Modification de l'ordre dans lequel les ensembles de règles decontrôle des applications sont appliqués. .. . . . . . . . . . . . . . . . . . . . . . . . . . . 621

Désactivation des ensembles de règles de contrôle desapplications et des règles individuelles dans une politiquede contrôle des applications et des périphériques ... . . . . . . . . . . . . . . 622

Modification du mode d'un ensemble de règles de contrôle des

applications ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 623Configuration d'un contrôle des périphériques pour une politique de

contrôle des applications et des périphériques ... . . . . . . . . . . . . . . . . . . . . . . . . 623

Chapitre 33 Personnalisation des politiques de contrôle desapplications et des périphériques . . . . . . . . . . . . . . . . . . . . . . . . . . . . 625

A propos des périphériques matériels .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 625A propos des identificateurs de classe ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 626A propos des ID de périphérique ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 626

Obtention d'un ID de classe ou de périphérique ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 627Ajouter un équipement à la liste des périphériques matériels .. . . . . . . . . . . . . 628Modifier un équipement dans la liste des périphériques

matériels .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 629A propos de l'autorisation d'utiliser des applications, des correctifs

et des utilitaires ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 629Création et importation d'une liste de signatures de fichiers ... . . . . . . . . . . . . 630

Création d'une liste de signatures de fichiers ... . . . . . . . . . . . . . . . . . . . . . . . . . . 631Modifier une liste de signatures de fichier dans Symantec

Endpoint Protection Manager ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 632Importer une liste des signatures de fichier dans Symantec

Endpoint Protection Manager ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 633Fusionner des listes de signatures de fichier dans Symantec

Endpoint Protection Manager ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 634Suppression d'une liste de signatures de fichier ... . . . . . . . . . . . . . . . . . . . . . . 635

A propos du verrouillage du système .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 636Prérequis au verrouillage du système .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 637

Configurer le verrouillage du système .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 638




Section 6 Configuration des exceptions

centralisées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 643

Chapitre 34 Configuration des politiques d'exceptionscentralisées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 645

A propos des politiques d'exceptions centralisées ... . . . . . . . . . . . . . . . . . . . . . . . . . . 645A propos de l'utilisation des politiques d'exceptions

centralisées ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 647A proposdes exceptions centralisées pour lesanalyses antivirus

et antispyware ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 647A proposdesexceptionscentralisées pourlesanalyses proactives

des menaces TruScan ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 648

A propos des exceptions centralisées pour la protection contreles interventions ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 648

A propos des interactions de client avec les exceptionscentralisées ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 649

Configuration d'une politique d'exceptions centralisées ... . . . . . . . . . . . . . . . . . . 649Configurationd'une exceptioncentralisée pourl'analyse antivirus

et antispyware sur des clients Windows ... . . . . . . . . . . . . . . . . . . . . . . . . . . . 650Configuration d'une exception centralisée pour des fichiers ou

dossiers sur des clients Mac ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 654Configuration d'une exception centralisée pour les analyses

proactives des menaces TruScan ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655Configurer une exception centralisée pour la protection contreles interventions ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 657

Configurer des restrictions client pour des exceptionscentralisées ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 658

Création d'exceptions centralisées à partir des événements de journal ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 658Ajouter une exception centralisée pour des événements de

risque ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 659Ajouteruneexception centralisée pour desévénementsd'analyse

proactive des menaces TruScan ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 660

Ajout d'une exception centralisée pour des événements deprotection contre les interventions ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 661

Annexe A Utilisation de l'interface de ligne de commande. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 663

Commandes Windows pour le service client ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 663Codes d'erreur ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 667

Table des matières



Saisie d'un paramètre si le client est protégé par mot depasse ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 668

Annexe B A propos des paramètres de communication entrele client et le serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671

A propos des paramètres de communication entre le client et leserveur ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671

Annexe C Informations de gestion et de protection du clientpar la plate-forme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673

Fonctions de gestion par plate-forme .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673Fonctions de protection client par plate-forme .... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 675

Paramètres de politique antivirus et antispyware disponibles pourWindows et Mac ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 676Paramètres de politique LiveUpdate disponibles pour Windows et

Mac ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 678

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 679




Tâches administratives de

base

■ Chapitre 1. Présentation de Symantec Endpoint Protection

■ Chapitre 2. Démarrage de la console Symantec Endpoint Protection Manager

■ Chapitre 3. Gestion de la console Symantec Endpoint ProtectionManager avecSymantec Protection Center

■ Chapitre 4. Gestion des groupes et des clients

■ Chapitre 5. Gestion des emplacements d'un groupe

■ Chapitre 6. Utilisation des politiques

■ Chapitre 7. Utilisation des packages d'installation client

■ Chapitre 8. Mise à jour des définitions et du contenu

■ Chapitre 9. Affichage des fonctions dans l'interface utilisateur client

■ Chapitre 10. Gestion de la communication entre les serveurs de gestion et lesclients

■ Chapitre 11. Surveillance de la protection de terminal

■ Chapitre 12. Affichage et configuration des rapports

1Section



■ Chapitre 13. Affichage et configuration des journaux et des notifications

■ Chapitre 14. Gérer des domaines et des administrateurs

28



Présentation de SymantecEndpoint Protection

Ce chapitre traite des sujets suivants :

■ A propos de Symantec Endpoint Protection

■ A propos de Symantec Network Access Control

■ Composants de Symantec Endpoint Protection et Symantec Network AccessControl

■ Fonctionsprincipales de Symantec Endpoint Protectionet Symantec NetworkAccess Control

■ A propos des types de protection

A propos de Symantec Endpoint ProtectionSymantec Endpoint Protection combine la protection antivirus à la protectioncontre les menaces avancée pour sécuriser proactivement vos ordinateurs contreles menaces connues ou inconnues.

Se reporter à "A propos des types de protection" à la page 35.

Symantec Endpoint Protection protège contre les logiciels malveillants tels queles virus, les vers, les chevaux de Troie, les spyware et les logiciels publicitaires.Il assure la protection contremême lesattaques lesplus sophistiquées quiéludentdes mesures de sécurité traditionnelles telles que des rootkits, des attaques "ZeroDay" et les spywares qui mutent. Symantec Endpoint Protection vous permetégalement de mettre à jour le contrôle des applications et des périphériques.Symantec Endpoint Protection fournit à vos terminaux des couches multiples deprotection.

1Chapitre



Votre logiciel Symantecpeutinclure Symantec NetworkAccess Control. SymantecNetworkAccess Controlutiliseégalement Symantec Endpoint Protection Managerpourinstaller et gérer Symantec EndpointProtection et Symantec NetworkAccess

Control.SymantecNetwork Access Controlgarantitquelesclientssont conformesavec les politiques de sécurité de votre société avant qu'ils soient autorisés àaccéder à votre réseau. Symantec Endpoint Protection et Symantec NetworkAccess Control travaillent ensemble mais sont vendus séparément.

Se reporter à "A propos de Symantec Network Access Control" à la page 30.

Sereporterà "Composantsde Symantec Endpoint Protectionet Symantec NetworkAccess Control" à la page 30.

A propos de Symantec Network Access ControlSymantec Network Access Control s'assure que les ordinateurs client d'uneentreprise sont conformes aux politiques de sécurité de l'entreprise avant que lesordinateurs soient autorisésd'accéder au réseau.Symantec Network Access Controlutilise une politique d'intégrité de l'hôte et un Symantec Enforcer facultatif pourdécouvrir et évaluer les ordinateurs conformes. Les clients non conformes sontdirigés versun serveur de correction. Le serveurde correction téléchargele logicielnécessaire, les correctifs, les mises à jour des définitions, etc. pour rendrel'ordinateurclient conforme. SymantecNetwork Access Control contrôleégalementdes terminaux client en continu pour les changements d'états de conformité.

Symantec Network Access Control est un produit compagnon de SymantecEndpoint Protection. Les deux produits incluent Symantec Endpoint ProtectionManager, qui fournit l'infrastructure permettant d'installer et de gérer les clientsSymantec Endpoint Protection et Symantec Network Access Control. Le clientSymantecEndpointProtection protège lesterminauxcontre deuxmenacesconnueset contre les menaces jamais découvertes.

Se reporter à "A propos de Symantec Endpoint Protection" à la page 29.

Sereporterà "Composantsde Symantec Endpoint Protectionet Symantec NetworkAccess Control" à la page 30.

Pour plus d'informations sur le boîtier Enforcer, consultez le Guide de mise en

oeuvre de Symantec Network Access Control Enforcement .

Composants de Symantec Endpoint Protection etSymantec Network Access Control

Tableau 1-1 liste les composants du produit' et décrit leurs fonctions.

Présentation de Symantec Endpoint ProtectionA propos de Symantec Network Access Control

30



Tableau 1-1 Composants de produit

DescriptionComposant

Symantec Endpoint Protection Manager est un serveur degestion des ordinateurs client qui se connectent à votreréseau d'entreprise.

SymantecEndpointProtectionManagercomprend le logicielsuivant :

■ Le logiciel de console coordonne et gère les politiquesde sécurité et les ordinateurs client.

■ Le logiciel serveur fournit une communication protégéeà et des ordinateurs client et de la console.

Se reporter à "Ce que vous pouvez faire à partir de la

console" à la page 42.

Symantec EndpointProtection Manager

La base de données quienregistre despolitiques de sécuritéet des événements. La base de données est installée surl'ordinateur qui héberge Symantec Endpoint ProtectionManager.

Se reporter à "A propos de la gestion des bases de données"à la page 379.

Base de données

Le client Symantec Endpoint Protection protège lesordinateurs avec des analyses antivirus, un pare-feu, unsystème de prévention des intrusions, et d'autrestechnologies de protection. Il s'exécute sur les serveurs, lesordinateurs de bureauet lesordinateursportables quevousvoulez protéger.

Pour plus d'informations, consultez le Guide client de

Symantec Endpoint Protection et Symantec Network Access

Control .

Client Symantec EndpointProtection

Le client Symantec Network Access Control Mac appliquela conformité des politiques de sécurité sur les ordinateursclient en utilisant des vérifications de l'intégrité de l'hôteet des fonctions d'auto-application. Le client signale son

étatde conformitéd'intégrité de l'hôteà Symantec Enforcer.

Pour plus d'informations, consultez le Guide de mise en


Pour plus d'informations, consultez le Guide client de

Symantec Endpoint Protection et Symantec Network Access

Control .

Client Symantec NetworkAccess Control

Présentation de Symantec Endpoint ProtectionComposants de Symantec Endpoint Protection et Symantec Network Access Control




Symantec ProtectionCenter est installé quandvousinstallezSymantec Endpoint ProtectionManager. ProtectionCentervous permet d'intégrer des consoles de gestion à partir deplusieurs produits de sécurité Symantec dans unenvironnement de gestion unique.

Se reporter à "A propos de Symantec Protection Center"à la page 45.

Symantec Protection Center

Un module d'application Enforcer s'assure que les clientsqui essayent de se connecter au réseau soient conformesaux politiques de sécurité configurées. Vous pouvezrestreindre les ordinateurs non conformes à des segmentsde réseau spécifiques en vue de la correction et pouvez

interdire complètement l'accès aux ordinateurs nonconformes.

Symantec Network Access Control fournit les types demodules d'application Enforcer suivants :

■ Le boîtier Enforcer,quiest un boîtier matériel surlequelvous installez une de plusieurs images de boîtier deSymantec Enforcer.

■ Lesmodulesd'application Integrated Enforcers, quisontles composants logiciels qui interagissent avec unserveur DHCP et un serveur Windows NPSde Microsoft.



Symantec Enforcer(facultatif)

Les clients à la demande sont les clients temporaires quevous fournissez aux utilisateurs lorsqu'ils n'ont pas accèsau réseau parce qu'ils ne disposent pas du logiciel qui estconforme à votre politique de sécurité.

Clients Symantec NetworkAccess Control à la demandepour Windows et Macintosh(facultatifs)

Le serveur LiveUpdate télécharge des définitions, dessignatures et des mises à jour de produit d'un serveurSymantec LiveUpdate et distribue les mises à jour aux

ordinateurs client.Pour de plus amples informations, consultez le Guide de

l'utilisateur de Symantec LiveUpdate Administrator .

Serveur LiveUpdate(facultatif)


32




La quarantaine centralisée reçoit lesfichierssuspects et leséléments infectés non réparés des clients de SymantecEndpoint Protection. La quarantaine centralisée transfèreun échantillon à Symantec Security Response, qui analysel'échantillon. Si unemenaceest nouvelle,Symantec SecurityResponse produit des mises à jour de sécurité.


oeuvre de Symantec Central Quarantine.

Quarantaine centralisée(facultative)

Figure 1-1 Les composants de produit dans un réseau

Pare-feu

Ordinateur

exécutant leclient Symantec

Endpoint

Protection ou le

client Symantec

Network Access

Control,

connectés via

un tunnel VPN

Internet

Réseau Ethernet

local

Symantec Endpoint

Protection Manager, avec

le client Symantec

Endpoint Protection ou le

client Symantec Network

Access Control installé

Ordinateurs exécutant

le client Symantec

Endpoint Protection ou

le client Symantec

Network Access Control

Se reporter à "A propos de Symantec Endpoint Protection" à la page 29.Se reporter à "A propos de Symantec Network Access Control" à la page 30.

Sereporterà "Fonctionsprincipalesde Symantec Endpoint Protectionet SymantecNetwork Access Control" à la page 34.




Fonctions principales de Symantec EndpointProtection et Symantec Network Access Control

Tableau 1-2 Fonctions de clé de produit

DescriptionFonction

Le produit fournit les fonctions suivantes :

■ Analyses d'ordinateur client pour des virus et des menaces desécurité.

■ Détection et réparation des effets des virus, des vers, deschevaux de Troie, des spyware, des logiciels publicitaires etdes rootkits connus.

■ Analyse des processus pour les anomalies de comportementpour détecter les virus connus et inconnus et les risques desécurité.

■ Prévention de l'accès des utilisateurs non autorisés auxordinateurs et réseaux qui se connectent à Internet.

■ Nettoyage, suppression et mise en quarantaine des fichiersinfectés.

■ Détection automatique et blocage des attaques réseau.


Protection au niveaude l'entreprise

Les fonctions suivantes sont incluses :

■ Configuration d'origine pour entreprises de toutes tailles.■ La console de Symantec Protection Center vous permet

d'intégrer plus d'une console de gestion de produit Symantecdans un environnement unique.

Se reporter à "A propos de Symantec Protection Center"à la page 45.

■ L'unique console Symantec Endpoint Protection Managerfournit une vue du déploiement client entier.

Se reporter à "Ce que vous pouvez faire à partir de la console"à la page 42.

■ Symantec Endpoint Protection Manager cordonne la

communication entre la console et le client et la consignationd'événements.

■ Comptesadministrateurquipermettent d'accéderà la console.

Se reporter à "Gérer des domaines et des comptesadministrateur" à la page 322.

■ Téléchargements de LiveUpdate des dernières définitions devirus et mises à jour de produit.

Se reporter à "Gestiondu contenu pour lesclients"àlapage140.

Gestion

Présentation de Symantec Endpoint ProtectionFonctions principales de Symantec Endpoint Protection et Symantec Network Access Control

34



DescriptionFonction


■ Paramètres de groupeet de politiquepour le logiciel Symantechérité.

■ Mises à niveau d'ordinateur client à l'aide de l'Assistantd'installation client.

Migration


■ S'assure qu'un ordinateur client est correctement protégé etconforme avant qu'il soit autorisé à se connecter au réseaud'entreprise.

■ Résout les ordinateurs non conformes.

Application client

Se reporter à "A propos de Symantec Endpoint Protection" à la page 29.

Se reporter à "A propos de Symantec Network Access Control" à la page 30.

A propos des types de protectionSymantec Endpoint Protection applique les technologies de protection contre lesvirus ainsi que d'autres technologies de protection sur les ordinateurs clientutilisant plusieurs couches de protection essentielle.

Tableau 1-3 couches de protection Symantec Endpoint Protection

DescriptionType de protection

La protection antivirus et antispyware de Symantec EndpointProtection assure la protection contre les virus et les risques desécurité et, dans beaucoup de cas, peut réparer leurs effectssecondaires. La protection inclut l'analyse en temps réel desfichiers et du courrier électronique ainsi que des analysesplanifiées et des analyses à la demande. Les analyses antivirus etantispyware détectent les virus et les risques de sécurité, tels quedes spywares, des logiciels publicitaires et d'autres fichiers qui

peuvent rendre un ordinateur, ainsi qu'un réseau, vulnérable.

Se reporter à "Bases de la protection antivirus et antispyware"à la page 430.

Protectionantivirus etantispyware

Présentation de Symantec Endpoint ProtectionA propos des types de protection




La protection contre les menaces réseau assure une protectionpar pare-feu et de prévention des intrusions pour empêcher lesintrusions et le contenu malveillant d'atteindre l'ordinateur quiexécute le client Symantec Endpoint Protection. Le pare-feuautorise ou bloque le trafic réseau en fonction des divers critèresque l'administrateur ou l'utilisateur final définit.

Le client analyse également toutes les informations entrantes etsortantes pour rechercher lesconfigurations de données quisonttypiques d'une attaque. Il détecte et bloque les transmissionsmalveillantes et les tentatives d'attaque de l'ordinateur clientémanant d'utilisateurs externes. La prévention d'intrusionsurveille également le trafic entrant et empêche la propagationdes vers.

Se reporterà "A proposde la protection contreles menaces réseauet des attaques" à la page 516.

Protection contre lesmenaces réseau

La protection proactive contre les menaces assure la protectioncontre les vulnérabilités d'attaque "Zero Day" dans votre réseau.Les vulnérabilités d'attaque "Zero Day" sont de nouvellesvulnérabilités qui ne sont pas encore connues publiquement. Lesmenaces qui exploitent ces vulnérabilités peuvent se soustraireà la détection basée sur les signatures (telle que les définitionsd'antivirus et de protection antispyware). Desattaques"Zero Day"peuvent être utilisées dans des attaques ciblées et dans la

propagation de code malveillant.

La protection proactive contre les menaces inclut ce qui suit :

■ Analyse proactive des menaces TruScan

■ Politique de contrôle des applications et des périphériques

Se reporter à "A propos des analyses proactives des menacesTruScan" à la page 582.

Se reporter à "A propos du contrôle des applications et despériphériques" à la page 600.

Protection proactivecontre les menaces


36




L'intégrité de l'hôte vous permet de définir, d'appliquer et derestaurer la sécurité des clients pour sécuriser les réseaux et lesdonnées d'entreprise. Vous définissez des politiques d'intégritéde l'hôte pour vérifier que les clients tentant d'accéder au réseauexécutent un logiciel antivirus, des correctifs et des hotfix etd'autres critères d'application. Vous définissez des politiquesd'intégrité de l'hôte pour qu'elles s'exécutent sur des ordinateursclient au démarrage et ensuite périodiquement.

Remarque : Les politiques d'intégrité de l'hôte sont disponiblesseulement avec le Symantec Network Access Controlproduit.Symantec Network Access Control peut être installé seul ou peutêtreinstallé avec Symantec Endpoint Protection.Toutes lesautres

catégories de la protectionsontfournies avecSymantec EndpointProtection mais ne le sont pas avec Symantec Network AccessControl.

intégrité de l'hôte

Figure 1-2 affiche les catégories de menaces bloquées pour chaque type deprotection.




Figure 1-2 Une présentation des couches de protection de Symantec Endpoint

Protection

Protection antivirus et antispywar

Point de terminaison

Carte d'interface réseau

Portes dérobées

Attaques par déni de service

Analyses de port

Attaques de pile

Chevaux de

TroieVers

Internet

Mémoire/périphériques

Systeme de fichiers

Protection

contre les

menaces

résea

Protection proactive contre les menaces

Vulnérabilités desapplications

Portes dérobées

Vulnérabilités du

systèmed'exploitation

Chevaux de Troie

Vers

Modifications de

fichier/processus/registre

Menaces internes

Enregistreurs de

frappe

RétrovirusLogiciel espion

Attaques ciblées

Chevaux de Troie

VersMenaces

immédiates

Logiciel

publicitairePortes

dérobées

Logiciel

espion

Chevaux deTroie

Vers

Virus

Politique

de pare-feu

Politique de

prévention

d'intrusion

Politique de

contrôle des

applicationset des

périphériques

Réseau

d'entreprise

Politique

antivirus et

antispyware


38



Démarrage de la consoleSymantec Endpoint

Protection ManagerCe chapitre traite des sujets suivants :

■ Connexion à la console Symantec Endpoint Protection Manager.

■ Ce que vous pouvez faire à partir de la console

Connexion à la console Symantec Endpoint ProtectionManager.Vous pouvez vous connecter à la console Symantec Endpoint Protection Manageraprès l'installationde SymantecEndpoint Protection.Vouspouvez vousconnecterà la console de deux façons :

■ Localement, à partir de l'ordinateursurlequel le serveur de gestion estinstallé

■ A distance, à partir de tout ordinateur qui répond à la configuration systèmerequise pour une console distante et dispose d'une connectivité réseau auserveur de gestion.

Beaucoup d'administrateurs ouvrentunesession à distance et ilspeuventeffectuerles mêmes tâches que les administrateurs qui ouvrent une session localement.Pour vous connecterà distance, vous devez connaîtrel'adresse IP ou le nom d'hôtede l'ordinateur sur lequel le serveur de gestion est installé. Vous devez égalementvous assurer que vos options Internet de navigateur Web permettent d'afficherle contenu du serveur auquel vous vous connectez.

2Chapitre



Ce que vous pouvez afficher et faire à partir de la console dépend du typed'administrateur que vous êtes. Vous pouvez ouvrir une session en tantqu'administrateur système, administrateur ou administrateur limité. Un

administrateur système possède des droits complets dans tous les domaines. Unadministrateur possède des droits limités à un domaine spécifique. Unadministrateur limité possède un sous-ensemble de droits d'administrateur et estégalement limité à un domaine spécifique. Si vous avez installé le serveur degestion, vous êtes un administrateur système. Si quelqu'un d'autre a installé leserveur de gestion, votre état peut être différent. Cependant, la plupart desentreprises ne doivent pas forcément se préoccuper des domaines ou de l'étatd'administrateur limité.

Vous pouvezégalementaccéder auxfonctions de rapports à partird'un navigateurWeb autonome connecté à votre serveur de gestion.

Se reporter à "Ouverture d'une session de rapport depuis un navigateur Webautonome" à la page 211.

Dans les plus petitesentreprises, la plupart desadministrateurs se connectent entant qu'administrateur système.

Se reporter à "A propos des administrateurs" à la page 326.

Unefoisconnecté, vouspouvez accéderà SymantecEndpointProtection Manager.

Se reporter à "Ce que vous pouvez faire à partir de la console" à la page 42.

Pour vous connecter à la console à distance

1 OuvrezInternet Explorer et saisissezl'adressesuivante dans la zone d'adresse:

http://host name :9090

où nom d'hôte est le nom d'hôte ou l'adresse IP du serveur de gestion.

Remarque : Internet Explorer 7 ou une version ultérieure est requis pourutiliser la console de Web Symantec Endpoint Protection Manager

2 Surlapage d'accès Web dela console Symantec Endpoint ProtectionManager,cliquez sur le type de console souhaité.

Remarque : Si vous sélectionnez la console Symantec Endpoint ProtectionManager, l'environnement d'exécution Java 2 (JRE) doit être installé surl'ordinateur à partir duquel vous vous connectez. Si tel n'est pas le cas, vousêtes invité à télécharger et à installer JRE. Suivez les invites pour installer le

JRE. Active X doit également être installé et la fonction de script doit êtreactivée.

Démarrage de la console Symantec Endpoint Protection ManagerConnexion à la console Symantec Endpoint Protection Manager.

40



3 Lors de la connexion, il se peut qu'un message vous avertissant que le nomd'hôten'est pascorrect ou un avertissementde sécurité s'affiche. Si le messagerelatif au nom d'hôte s'affiche, cliquez sur Oui.

Ce message signifie que l'URL de la console distante que vous avez spécifiéne correspond pas au nom du certificat de Symantec Endpoint Protection. Ceproblème survient si vous vous connectez et spécifiez une adresse IP plutôtque le nom d'ordinateur du serveur de gestion.

Si l'avertissement de certificat de sécurité de page Web apparaît, cliquez surPoursuivre sur ce site Web (non recommandé) et ajoutez le certificatauto-signé à Internet Explorer.

Ce message signifie qu'Internet Explorer n'identifie pasle site comme sécurisé.Internet Explorer se base sur des certificats de sécurité pour déterminer siun site est sécurisé.

Pour obtenir des instructions sur l'ajout d'un certificat de sécurité à InternetExplorer, consultez l'article de la Base de données du support technique deSymantec, How to add the self-signed certificate for Symantec ProtectionCenter or Symantec Endpoint Protection Manager to Internet Explorer.

4 Suivez les invites pour terminer le processusde connexion. Selon la méthodede connexion, des informations supplémentaires peuvent être nécessaires.Par exemple, si votre réseau dispose de plusieurs domaines, vous devrezfournir le nom du domaine auquel vous voulez vous connecter.

Remarque : S'il s'agit de la première connexion après l'installation, utilisezle nom de compte administrateur

5 Cliquez sur Connexion.

Vous pouvez recevoir un ou plusieurs messages d'avertissement de sécuritépendant que la console distante démarre. Dans ce cas, cliquez sur Oui,Exécuter, Démarrer ou leur équivalent et continuer jusqu'à ce que la consoles'affiche.

Démarrage de la console Symantec Endpoint Protection ManagerConnexion à la console Symantec Endpoint Protection Manager.

http://www.symantec.com/techsupp/servlet/ProductMessages?product=SAVCORP&version=11.0&language=english&module=DOC&error=howto_IE_trust_SS_cert&build=symantec_ent






Pour vous connecter à la console localement

1 Dans le menu démarrage de Windows, cliquez sur Programmes > Symantec

Endpoint Protection Manager > console Symantec Endpoint Protection

Manager.

2 Dans l'invite de connexion de Symantec Endpoint Protection Manager,saisissez le nom d'utilisateur (administrateur par défaut) et le mot de passeconfigurés pendant l'installation

Si vous êtes un administrateur et que vous n'avez pas installé le serveur degestion, utilisez le nom d'utilisateur et le mot de passe que l'administrateurvous a attribués.

3 Effectuez l'une des tâches suivantes :

■ Si la console possède un seul domaine, passez directement à l'étape 4.

■ Si la console comporte plusieurs domaines, cliquez sur Options>> etsaisissez le nom de domaine.

4 Cliquez sur Ouvrir une session.

Ce que vous pouvez faire à partir de la consoleLa console de Symantec Endpoint Protection Manager fournit une interfaceutilisateur graphique pour des administrateurs. Vous utilisez la console pourgérerdes politiques et des ordinateurs, pour contrôler l'état de protection du pointterminal et pour créer et gérer des comptes administrateur.

La console divise les fonctions et les tâches que vous remplissez par pages.

Démarrage de la console Symantec Endpoint Protection ManagerCe que vous pouvez faire à partir de la console

42



Tableau 2-1 Pages de console de Symantec Endpoint Protection Manager

DescriptionPage

Affichage de l'état de sécurité du réseauVous pouvezeffectuer lestâchessuivantes à partirde la page d'accueil :

■ Obtenir uncomptedesviruset d'autres risques de sécurité détectés.

■ Obtenir un compte des ordinateurs en réseau non protégés.

■ Obtenir un compte des ordinateurs qui ont reçu les définitions devirus et d'autres mises à jour du contenu.

■ Régler les préférences de la console.

■ Obtenir des informations sur le dernières menaces Internet et desécurité.

Se reporter à "A propos de la page d'accueil de Symantec Endpoint

Protection" à la page 215.

Sereporterà "Utilisationde la pageSymantecNetworkAccess ControlAccueil" à la page 226.

Accueil

Contrôler les journaux des événements qui concernent SymantecEndpoint Protection Manager et vos ordinateurs gérés.

Vous pouvez effectuer les tâches suivantes à partir de la pageContrôles :

■ Afficher les graphiques de la distribution des risques

■ Afficher les journaux d'événements.

■ Afficher l'état des commandes récemment émises.

■ Afficher et créer des notifications.

Se reporter à "Surveillance de la protectionde terminal" àlapage207.

Se reporter à "Utiliser l'onglet Résumé de la page Contrôleurs"à la page 227.

Contrôleurs

Exécuter des rapports pour obtenir des informations à jour surl'ordinateur et l'activité réseau.

Vous pouvez effectuer les tâches suivantes à partir de la pageRapports :

■ Exécuter des rapports rapides.

■ Exécuter un compte rendu succinct quotidiennement.

■ Exécuter un compte rendu succinct de manière hebdomadaire.

Se reporter à "Création de rapports rapides" à la page 274.

Se reporter à "Surveillance de la protectionde terminal" àlapage207.

Rapports




DescriptionPage

Afficher les politiques de sécurité qui définissent les paramètres detechnologie de protection.

Vous pouvez effectuer les tâches suivantes à partir de la pagePolitiques :

■ Afficher et régler les paramètres de protection.

■ Créer, modifier, copier et supprimer des politiques de sécurité.

■ Assigner des politiques de sécurité aux groupes d'ordinateurs.

■ Configurer des ordinateurs client pour LiveUpdate.

Se reporter à "Gestion du contenu pour les clients" à la page 140.

Sereporterà "Utilisationde politiques pour gérer la sécurité du réseau"à la page 96.

Politiques

Gérer des ordinateurs et des groupes.

Vous pouvez effectuer les tâches suivantes à partir de la pageOrdinateurs :

■ Créer et supprimer des groupes.

■ Modifier des propriétés de groupe.

■ Afficher lespolitiques de sécurité quisont attribuées auxgroupes.

■ Exécuter des commandes sur des groupes.

■ Déployer le logiciel client vers les ordinateurs dans votre réseau.

Se reporter à "Gestion de groupes d'ordinateurs" à la page 56.

Clients

Gère les paramètres, les licences et les comptes administrateur deSymantec Endpoint Protection Manager

Vous pouvezeffectuer lestâchessuivantes à partir de la page Admin :

■ Créer, modifier et supprimer des comptes administrateur.

■ Afficher et modifie les paramètres de courrier électronique et deserveur proxy.

■ Régler la planification de LiveUpdate.

■ Télécharger les mises à jour du contenu de LiveUpdate.

■ Afficher l'état de LiveUpdate et des téléchargements récents.

Se reporter à "Gérer des domaines et des comptes administrateur"à la page 322.

Se reporter à "Ajouter un compte d'administrateur" à la page 329.


Admin


44



Gestion de la consoleSymantec Endpoint

Protection Manager avecSymantec Protection Center


■ A propos de Symantec Protection Center

■ Architecture de Symantec Protection Center

■ Connexion à Symantec Protection Center

■ Tableau de bord de Symantec Protection Center

■ A propos de la gestion des comptes Symantec Protection Center

■ Configuration de Symantec Protection Center pour gérer des produits

■ Rapports Symantec Protection Center

■ A propos de documentation de Symantec Protection Center

A propos de Symantec Protection CenterSymantec Protection Center est une console Web qui vous permet d'intégrer lagestion de vos produits de sécurité Symantec dans un environnement unique.Protection Center inclut un tableau de bord centralisé qui rend compte de lasécurité globale de votre réseau selon les produits intégrés.

3Chapitre



Se reporter à "Tableau de bord de Symantec Protection Center" à la page 49.

Les produits pris en charge sont intégrés à Protection Center au cours d'unprocessus d'enregistrement. Une fois vos produits enregistrés, connectez-vous

au Protection Center pour les gérer tous.

Lesproduits doivent être installéset configurés séparément avant de pouvoir êtreenregistrés. Les produits enregistrés, ou intégrés, fonctionnent toujoursindépendamment de Protection Center. Vous pouvez gérer lesproduits ensemble,dans Protection Center ou séparément, dans les différentes consoles de produits.

Les produits intégrés peuvent être achetés séparément ou en tant qu'élémentsd'une suite.Seul Symantec Endpoint ProtectioninclutSymantec Protection Center.

Les produits suivants peuvent être intégrés à Protection Center :

■ Symantec Endpoint Protection

■ Symantec Critical System Protection

■ Symantec Web Gateway

■ Symantec Brightmail Gateway

■ Symantec Data Loss Prevention

■ Symantec IT Analytics

Les produits et les versions de produits pris en charge par Symantec ProtectionCenter peuvent évoluer au fil du temps. Pour obtenir les dernières informations

concernant lesproduits pris en charge, consultezle site Webde support techniqueSymantec.

Se reporter à "Configuration de Symantec Protection Center pour gérer desproduits" à la page 51.

Se reporter à "Connexion à Symantec Protection Center" à la page 48.

Se reporter à "Architecture de Symantec Protection Center" à la page 46.

Architecture de Symantec Protection Center

Symantec Protection Center permet un accès intégré à différentes consoles etrapports de gestion de produits Symantec. Toutefois, les différents serveurs etbases de données de produit restent indépendants. Protection Center ne permetpas l'intégration des données entre les produits.

Se reporter à "A propos de Symantec Protection Center" à la page 45.

Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection CenterArchitecture de Symantec Protection Center

46

http://www.symantec.com/fr/fr/business/support/index.jsp






Protection Center communique avec les produits intégrés selon les paramètresde communication de chaque produit. Vous spécifiez ces paramètres lors de laconfiguration de Protection Center pour gérer vos produits.


Figure 3-1 Architecture de Symantec Protection Center

Produit Symantec

pouvant être géré

dans Protection

Center

Produit Symantec


dans Protection

Center

Produit Symantec


dans Protection

Center

Produit Symantec


dans Protection

Center

Symantec Protection Center

(exécuté sur le même

ordinateur que Symantec

Endpoint Protection Manager)

Utilisateur se connectantà Protection Center

Produit Symantec


dans Protection

Center

Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection CenterArchitecture de Symantec Protection Center



Connexion à Symantec Protection CenterSymantec ProtectionCenter estinstallé avec un compte administrateurpardéfaut.

Lors de la première ouverture de Protection Center, vous vous connectez avec unnom d'utilisateur et un mot de passe par défaut. Vous devez ensuite modifier lemot de passe.

Pour se connecter à Protection Center

1 Dans Internet Explorer, accédez à https://<hostname>:9090, où <hostname>

correspond à l'adresse IP ou au nom d'ordinateur du serveur sur lequelSymantec Endpoint Protection Manager est installé.

Si Symantec Endpoint Protection Manager est installé sur cet ordinateur,cliquez sur Démarrer > Tous les programmes > Symantec Endpoint

ProtectionManager>SymantecEndpointProtectionManagerAccèsWeb .

2 Cliquez sur le lien pour lancer Symantec Protection Center.

Si l'avertissement de certificat de sécurité de page Web apparaît, cliquez surPoursuivre sur ce site Web (non recommandé) et ajoutez le certificatauto-signé à Internet Explorer.

Ce message signifie qu'Internet Explorer n'identifie pasle site comme sécurisé.Internet Explorer se base sur des certificats de sécurité pour déterminer siun site est sécurisé.

Pour obtenir des instructions sur l'ajout d'un certificat de sécurité à Internet

Explorer, consultez l'article de la Base de données du support technique deSymantec, How to add the self-signed certificate for Symantec ProtectionCenter or Symantec Endpoint Protection Manager to Internet Explorer.

3 Dans le tableau de bord Protection Center, saisissez le nom d'utilisateur et lemot de passe.

■ Nom d'utilisateur par défaut : admin

■ Mot de passe par défaut : admin

4 Lors de la première connexion avec le nom d'utilisateur et le mot de passepar défaut, à la page Modifier le mot de passe, saisissez les informations

requises.

Notez votre nouveau mot de passe et conservez-le dans un endroit sûr. Vouspouvez récupérer le mot de passe uniquement si vous configurez un autrecompte administrateur.

Se reporter à "A propos de la gestion des comptes Symantec Protection Center"à la page 49.

Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection CenterConnexion à Symantec Protection Center

48







Tableau de bord de Symantec Protection CenterLa page d'accueil de Symantec Protection Center est appelée Tableau de bord.

Lorsque vous vous connectez à Protection Center pour la première fois, le tableaude bord fournit seulement des informations générales surlesmenaces de sécurité.Unefois vosproduits intégrés à ProtectionCenter, le tableau de bord rend comptede l'état global de votre sécurité réseau, selon les produits intégrés.

A partir du tableau de bord, vous pouvezaccéder directement aux pages suivantes :

■ Consoles de gestion de produits

■ Rapports sur les produits

Se reporter à "Rapports Symantec Protection Center" à la page 53.

■ Gestion des paramètres pour les comptes Symantec Protection Center et les

produits intégrésSe reporter à "A proposde la gestion descomptes Symantec Protection Center"à la page 49.


A propos de la gestion des comptes SymantecProtection Center

Symantec ProtectionCenter estinstallé avec un compte administrateurpardéfaut.Après la première connexion, vous pouvez créer des comptes supplémentaires etenregistrer des ensembles de produits sur chaque compte. Vous ne pouvezsupprimer le compte administrateur par défaut qu'après avoir créé un autrecompte administrateur.

Se reporter à "Connexion à Symantec Protection Center" à la page 48.

Avec un compte administrateur de Protection Center, vous pouvez créer descomptes ProtectionCenter supplémentaires avecdesparamètreslimités. Le tableausuivant présente les types de compte Protection Center :

Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection CenterTableau de bord de Symantec Protection Center



■ Permetd'accéderà toutes lesfonctionnalités du produitassocié aux comptes produit de ce compte ProtectionCenter

■ Permet de créer et supprimer des comptes ProtectionCenter

■ Permet de modifier lesparamètres de compte ProtectionCenterpourtouslescomptes,ycomprislesmotsdepasse

■ Permet d'ajouterlesproduits intégrésà ProtectionCenterpour tous les comptes

Remarque : Afin de limiter le risque de perte de mots depasse, vouspouvezcréer plusieurs comptesadministrateur.Un administrateur Protection Center peut modifier le motde passe d'un autre compte sans connaître le mot de passeinitial.

Compte administrateur

■ Permetd'accéderà toutes lesfonctionnalités du produitassocié aux comptes produit de ce compte ProtectionCenter

■ Permet de modifier lesparamètres de compte ProtectionCenter pour ce compte uniquement

■ Permet d'ajouterlesproduits intégrésà ProtectionCenterpour ce compte uniquement

Compte standard

L'enregistrement de produit est spécifique à chaque compte Protection Centerutilisateur.Vous devez enregistrer un ensemble deproduits pour chaqueutilisateur

Protection Center.

L'accès fourni par un compte Protection Center aux fonctionnalités d'un produitspécifique dépend du compte produit utilisé pour enregistrer le produit avecProtection Center.

Par exemple, vous pouvez enregistrer Symantec Endpoint Protection Manageravec un compte Protection Center standard à l'aide d'un compte d'administrateursystème Symantec Endpoint Protection Manager. L'utilisateur de ce compte peutalors effectuer les tâches suivantes :

■ Modifier ses propres paramètres dans Protection Center

Il ne peut pas créer d'autres comptes Protection Center de quelque type quece soit.

■ Créer et modifier tous les types de compte Symantec Endpoint ProtectionManager dans la console Symantec Endpoint Protection Manager à laquelle ilaccède via Protection Center

Exécuter toutes les tâches dans Symantec Endpoint Protection Manager

Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection CenterA propos de la gestion des comptes Symantec Protection Center

50



De même, vous pouvez enregister Symantec Endpoint Protection Manager avecun compte Protection Center administrateur à l'aide d'un compte administrateurSymantec Endpoint Protection Manager limité. L'utilisateur de ce compte peut

alors effectuer les tâches suivantes :■ Créer et modifier tous les comptes dans Protection Center

■ Exécuter uniquement des tâches limitées dans Symantec Endpoint ProtectionManager

Il ne peut créer ou modifier aucun compte Symantec Endpoint ProtectionManager.

Remarque : Si vous enregistrez Symantec Endpoint Protection Manager avec uncompte administrateur limité, le compte doit au moins disposer de droits de

création de rapports.


Vous pouvez modifiervos paramètres decompteProtection Centerà tout moment.Après avoir enregistré un produit dans Symantec Protection Center, vous pouvezfacilement modifier ses paramètres ou le supprimer complètement.


Configuration de Symantec Protection Center pourgérer des produits

Configurez Symantec Protection Center pour gérer vos produits intégrés enenregistrant ou en ajoutant chaque produit à Protection Center. Vous pouvezeffectuer cette tâche à tout moment une fois les produits installés et configurés.

Pendant le processus d'enregistrement, vous devez fournir les informationsd'authentification de connexion pour chaque produit. Grâce à ces informations,Protection Center peut se connecter et communiquer avec vos autres produitsSymantec. Une fois vos produits enregistrés ou ajoutés à Protection Center, vous

êtes automatiquement connecté à tous vos produits lorsque vous vous connectezà Protection Center.


Si vous avez personnalisé desparamètres de communication lors de l'installationde vos produits, vous devez spécifier ces paramètres lors de l'enregistrement. Cesparamètres sont notamment :

Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection CenterConfiguration de Symantec Protection Center pour gérer des produits



■ Demander ou non une connexion sécurisée pour obtenir les informations surle produit

■ Ports personnalisés

Les numéros de ports par défaut sont 8014 pour la connexion au produit, letableau de bord du produit et les rapports et 8443 pour la console produit.

Remarque : Si vous utilisez un compte administrateur limité pour enregistrerSymantec Endpoint Protection Manager dans Protection Center, le compte doitdisposer de droits de création de rapports.


Se reporter à "Configurer les droits d'accès pour un administrateur limité"à la page 331.

Remarque : L'enregistrement de produit est spécifique à chaque compte utilisateurProtection Center. Vous devez enregistrer un ensemble de produits pour chaquecompte utilisateur Protection Center.


Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection CenterConfiguration de Symantec Protection Center pour gérer des produits

52



Pour configurer Protection Center pour gérer des produits

1 Dansletableau debordSymantec Protection Center ousur lapageParamètres

principale, cliquez sur Ajouter un produit à gérer.

2 Entrez les informations demandées dans les champs appropriés. Vous devezfournir les informations suivantes :

Toute chaînequevous voulezutiliser pouridentifier votre produit dans ProtectionCenter

Nom d'affichage du nouveau produit

Sélectionnez votre produit de la listedéroulante.

Type de produit

L'adresse IP du serveur où vous avez

installé la version de votre produit quevous souhaitez enregistrer. Vous pouvezégalement saisir un nom d'ordinateur.

Adresse du produit

Le nom d'utilisateur du compteadministrateur de votre produit

Nom d'utilisateur du produit

Le motde passe du compteadministrateurde votre produit

Mot de passe du produit

3 Si vous avez personnalisé des paramètres de communication lors de

l'installation du produit, cliquez sur Paramètres de communication deproduit et spécifiez les paramètres appropriés.

4 Cliquez sur Tester la connexion pour vous assurer que Protection Centerpeut communiquer avec votre produit.

5 Cliquez sur Ajouter un produit.

Rapports Symantec Protection CenterLa page de rapports de Symantec Protection Center vous permet d'exécuter des

rapports survosproduits intégrés directement depuis la console ProtectionCenter.Vous n'avez pas besoin d'accéder aux différentes consoles de produits pourexécuter des rapports.

Ces rapports sont les mêmes que ceux qui sont disponibles dans vos produitsautonomes. Pour plus d'informations, consultez la documentation de chaqueproduit.

Si vous exécutez un rapport et qu'aucunedonnéen'apparaît, essayez deréactualiservotre navigateur.

Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection CenterRapports Symantec Protection Center




A propos de documentation de Symantec ProtectionCenterSymantec Protection Center inclut une aide à laquelle vous pouvez accéder via lelien Aide dans la fenêtre Protection Center.

La documentation de Protection Center explique uniquement comment utiliserles fonctions de Protection Center. Pour plus d'informations sur les produits quipeuvent être intégrés à Protection Center, consultez la documentation de chaqueproduit.

Lorsque vousaccédezaux différentesconsoles de produitsdansProtection Center,

l'Aide du produit est également disponible depuis la console.

Par exemple, si vous exécutez la console Symantec Endpoint Protection Managerdans Symantec Protection Center, vous avez accès à toutes les fonctions de laconsole de produit, y compris la documentation et l'aide de Symantec EndpointProtection.


Gestion de la console Symantec Endpoint Protection Manager avec Symantec Protection CenterA propos de documentation de Symantec Protection Center

54



Gestion des groupes et desclients


■ Gestion de groupes d'ordinateurs

■ Comment structurer des groupes

■ Ajout d'un groupe

■ Importation d'une structure organisationnelle existante

■ Attribution d'un nouveau nom à un groupe

■ Déplacement d'un groupe

■ Affichage des propriétés d'un groupe

■ Activation ou désactivation de l'héritage d'un groupe

■ Configuration et gestion de clients au sein de groupes

■ A propos du mode utilisateur et du mode ordinateur

■ Affectation préliminaire des ordinateurs ou des utilisateurs à des groupesavant d'installer le logiciel client

■ A propos des groupes spécifiés dans le package d'installation client

■ Basculer un client entre le mode utilisateur et le mode ordinateur

■ Convertir un client autonome en client géré.

■ Bloquer l'ajout de clients à des groupes

■ Déplacement de clients entre des groupes

4Chapitre



■ Affichage de l'état des clients et des ordinateurs client

■ Filtrage des clients que vous pouvez afficher dans l'onglet Clients

■ Redémarrage d'ordinateurs client

■ Affichage des propriétés d'un client

■ Recherche d'informations sur les clients

■ Configurer un client pour détecter les périphériques inconnus

■ Exécution de commandes sur des clients à partir de la console

Gestion de groupes d'ordinateursSymantec Endpoint Protection Manager vous permet de gérer des groupesd'ordinateurs client comme une seule unité.

Tableau 4-1 décrit les actions à exécuter lors de la gestion de vos groupesd'ordinateurs.

Tableau 4-1 Actions de gestion de groupes

DescriptionTâche

Vous pouvez prendre connaissance des groupes et de leurmodede création. Lesgroupescréés sont répertoriéscommegroupes enfant sous le groupe parent Ma société.

Se reporter à "Comment structurer des groupes"à la page 57.

Se reporter à "Ajout d'un groupe" à la page 59.

Création d'un groupe

Si votre société possède déjà unestructure en groupes, vouspouvez importer les groupes en tant qu'unitésorganisationnelles.

Sereporterà "Importationd'unestructure organisationnelleexistante" à la page 59.

Importation de groupesexistants

Par défaut, les sous-groupes héritent des paramètres desécuritédu groupe parent. Vouspouvez désactiver l'héritage.

Vous pouvez désactiver l'héritage entre un sous-groupe etun groupe parent.

Se reporter à "Activation ou désactivation de l'héritage d'ungroupe" à la page 63.

Désactivation de l'héritagepour les sous-groupes

Gestion des groupes et des clientsGestion de groupes d'ordinateurs

56



DescriptionTâche

Vous pouvez créer des politiques de sécurité en fonctiondes besoins de chaque groupe. Vous pouvez alors attribuerdifférentes politiques à différents groupes.

Sereporterà "Utilisation de politiques pour gérer la sécuritédu réseau" à la page 96.

Gestion des politiques desécurité pour les groupes

Vous pouvez configurer le basculement automatique desclients sur une politique de sécurité différente sil'emplacement physique du client change.

Se reporter à "Utiliser la détection de l'emplacement avecdes groupes" à la page 83.

Quelquesparamètres de sécuritésont spécifiquesau groupe

et quelques paramètres sont spécifiques à l'emplacement.Vous pouvez personnaliser tout paramètre spécifique àl'emplacement.

Se reporter à "Configurerdes paramètres de communicationpour un emplacement" à la page 199.

Création d'emplacements ausein des groupes

Vous pouvez afficher les groupes pour vérifier que lesgroupes auxquels les ordinateurs client appartiennent sontcorrects. Vous pouvez également vérifier le numéro de lapolitique attribuée au groupe.

Se reporter à "Affichage des propriétés d'un groupe"à la page 63.

Affichagedespropriétésd'ungroupe

Vous pouvezdéplacer un sous-groupe vers un autre groupepour hériter automatiquement les politiques du nouveaugroupe.

Se reporter à "Déplacement d'un groupe" à la page 62.

Déplacement d'un groupe

Vous pouvez gérer desclients du groupe. Parexemple, vouspouvez ajouterdesclientsà un groupe, exécuter et contrôlerla protection de terminal et afficher des informations surles clients.

Se reporter à "Configuration et gestion de clients au sein degroupes" à la page 64.

Ajout et gestion desordinateurs client

Comment structurer des groupesDans Symantec Endpoint Protection Manager, les groupes fonctionnent commeconteneur pour les ordinateurs client. Vous organisez des ordinateurs ayant des

Gestion des groupes et des clientsComment structurer des groupes



besoins de sécurité semblables en groupes pour faciliter la gestion de la sécuritédu réseau.

Symantec Endpoint Protection Manager contient lesgroupes pardéfautsuivants :

■ Le groupe Ma société est le plus élevé ou le groupe parent. Il contient unearborescence horizontale de groupes enfant.

■ Le groupepardéfautestun sous-groupe de Masociété. Les clients sont d'abordattribués au Groupe pardéfaut lorsqu'ils s'enregistrent pour la première foisà Symantec Endpoint Protection Manager, à moins d'appartenir à un groupeprédéfini. Vous ne pouvezpascréer de sous-groupe sous le Groupepardéfaut.

Vous ne pouvez pas renommer ou supprimer des groupes par défaut.

Vouspouvez créer plusieurs sous-groupes pourqu'ils correspondent à la structureorganisationnelle de votre entreprise. Vous pouvez baser votre structure de groupe

sur la fonction, le rôle, la géographie ou une combinaison de critères.

Tableau 4-2 Critères de création des groupes

DescriptionCritère

Vous pouvez créer des groupes en fonction des types d'ordinateur à gérer,comme les ordinateurs portables, de bureaux et les serveurs.Alternativement, vous pouvez créer plusieurs groupes selon le typed'utilisation. Par exemple, vous pouvez créer un groupe Mobile pour lesordinateurs dontlesutilisateursvoyagent et Local pourlesordinateurs dansle bureau.

Fonction

Vous pouvez créer des groupes pour les rôles de service, comme les ventes,l'ingénierie, les finances et le marketing.

Rôle

Vous pouvez créer des groupes selon les bureaux, les villes, les états, lesrégions ou les pays dans lesquels les ordinateurs se trouvent.

Géographie

Vous pouvez créer des groupes selon une combinaison de critères. Parexemple, vous pouvez utiliser la fonction et le rôle.

Vous pouvez ajouter un groupe parent par rôle et ajouter des sous-groupesenfant par fonction, comme dans le scénario suivant :

■ Ventes, avec des sous-groupes d'ordinateurs portables, de bureau etserveurs.

■ Ingénierie, avec des sous-groupes d'ordinateurs portables, de bureau etserveurs.

Combinaison

Imaginons par exemple qu'une entreprise possède des services télémarketing etcomptabilité. Ces services ont du personnel dans les filiales de l'entreprise à NewYork, Londres et Francfort. Les ordinateurs des deux services sont affectés au

Gestion des groupes et des clientsComment structurer des groupes

58



même groupe, de sorte qu'ils reçoivent des mises à jour de définitions de virus etdes risques de sécurité provenant de la même source. Cependant, les rapports duservice informatiqueindiquent que le service de télémarketing est plusvulnérable

aux risques que la comptabilité. En conséquence, l'administrateur système créedes groupes différents pour le télémarketing et la comptabilité. Les clients detélémarketing partagent desparamètres de configuration qui limitentstrictementla manière dont les utilisateurs peuvent interagir avec leur protection antiviruset contre les risques de sécurité.


Ajout d'un groupeVous pouvez ajouter desgroupes après avoir défini la structurede groupede votre

organisation.

Lesdescriptionsde groupe peuvent atteindre1024 caractères. Lesnoms de groupepeuvent contenir n'importe quel caractère excepté les caractères suivants : [” / \ * ? < > | :] Les descriptions de groupe ne sont pas restreintes.

Remarque : Il est impossible d'ajouter des groupes au groupe par défaut.

Se reporter à "Comment structurer des groupes" à la page 57.

Pour ajouter un groupe

1 Dans la Console, cliquez sur Clients.

2 Sous Afficher les clients, sélectionnez le groupe auquel vous voulez ajouterun nouveau sous-groupe.

3 Sur l'onglet Clients, sous Tâches, cliquez sur Ajouter un groupe.

4 Dans la boîte de dialogue Ajouter un groupe pour nom du groupe , entrez lenom du groupe et une description.

5 Cliquez sur OK.

Importation d'une structure organisationnelleexistante

Vous pouvez importer et synchroniser desinformations surlescomptesutilisateuret les comptes d'ordinateur depuis un serveur Active Directory ou un serveur derépertoires LDAP. Vous pouvez importer des structures de groupe ou des unitésorganisationnelles (OUs). Symantec Endpoint Protection peut alors

Gestion des groupes et des clientsAjout d'un groupe



automatiquement synchroniser les groupes dans l'onglet Clients avec ceux sur leserveur d'annuaire.

Vous ne pouvez pas utiliser l'onglet Clients pour gérer ces groupes après les avoir

importés. Vous ne pouvez pas ajouter, supprimer ou déplacer des groupes dansune unité organisationnelle.

Vous pouvez attribuer des politiques de sécurité à l'OU importée. Vous pouvezégalement copier des utilisateurs à partir d'une unité organisationnelle importéevers d'autres groupes qui sont répertoriés dans le volet Afficher les clients. Lapolitique qui a été attribuée à un groupe avant son importation a la priorité. Uncompte utilisateur peut exister dans l'unité organisationnelle et dans un groupeextérieur. La politique qui a été appliquée au groupe extérieur a la priorité.

Tableau 4-3 Tâches pour importer des unités organisationnelles

DescriptionTâche

Vous pouvez prévoir comment vous voulez queSymantec Endpoint Protection Managersynchronise automatiquement des utilisateurs,des ordinateurs et la structure entière de groupedans une OU à partir d'un serveur ActiveDirectory ou LDAP.

Se reporter à "A propos des unitésorganisationnelles et du serveur LDAP"à la page 360.

Plan pour importer des unitésorganisationnelles

Vous ne pouvez pas filtrer les utilisateurs d'unserveur de répertoire avant que vous importiezdesdonnées. Avec lesserveurs LDAP, vous pouvezfiltrer les utilisateurs avant d'importer desdonnées. Par conséquent vous pouvez ajouter unserveur ActiveDirectorycompatibleLDAPen tantque serveur LDAP si vous devez filtrer lesdonnées.

Se reporter à "Ajout de serveurs de répertoires"à la page 354.

Ajoutez un serveur d'annuaire

Gestion des groupes et des clientsImportation d'une structure organisationnelle existante

60



DescriptionTâche

Vous pouvez importer et synchroniser desinformations sur des comptes utilisateurs et descomptes d'ordinateur entre les serveursd'annuaire et le Symantec Endpoint ProtectionManager.

Se reporter à "Synchronisation des comptesutilisateur entre les serveurs de répertoire etSymantec Endpoint Protection Manager"à la page 355.

Synchroniser des informations sur descomptes utilisateurs et des comptesd'ordinateur entre les serveursd'annuaire et Symantec EndpointProtection Manager

Quand vous importez des informations sur desutilisateurs versle serveur de gestion,vousdevezrechercher des utilisateurs sur un serveur LDAP.

Se reporter à "Recherche d'utilisateurs sur unserveur de répertoires LDAP" à la page 356.

Rechercher des utilisateurs sur unserveur de répertoires LDAP

Vous pouvez importer des utilisateurs à partird'une liste de résultats de recherche issue d'unserveur LDAP.

Se reporter à "Importation d'utilisateurs à partird'une liste de résultats de recherche issue d'unserveur de répertoires LDAP" à la page 359.

Importer desutilisateurs à partird'unerecherche de serveur d'annuaire deLDAP liste des résultats

Vous pouvez importer des OU à partir d'un

serveur de répertoire ou d'un serveur d'annuairede LDAP.

Se reporter à "Importation d'unitésorganisationnelles à partir d'un serveur ActiveDirectory ou LDAP" à la page 360.

Importer des unités organisationnelles

à partir d'un serveur de répertoire oud'un serveur d'annuaire LDAP

Vouspouvez importer lesinformations de compteutilisateuret de compte d'ordinateur d'unserveurLDAP.

Se reporter à "A propos de l'importation desinformations d'utilisateur et de compted'ordinateur à partir d'un serveur de répertoireLDAP" à la page 356.

Importer des informations de compteutilisateur et d'ordinateurà partird'unserveur de LDAP

Vous pouvez synchroniser des OU.

Se reporter à "A proposde la synchronisationdesunités organisationnelles" à la page 361.

Synchroniser des unitésorganisationnelles

Gestion des groupes et des clientsImportation d'une structure organisationnelle existante



Attribution d'un nouveau nom à un groupeVous pouvez renommer des groupes et des sous-groupes pour refléter les

modificationsapportéesà votrestructure d'organisation. Vouspouvez renommerun groupe pour mettre à jour automatiquement le nom de ce groupe pour tous lesutilisateurs et ordinateurs qui sont déjà attribués à ce groupe. Les ordinateursclient d'un groupe renommé ne sont pas obligés de changer de groupes ou detélécharger un nouveau profil de groupe.


Pour renommer un groupe

1 Dans la console, cliquez sur Clients.

2 Dans l'onglet Clients, sous Afficher les clients, cliquez avec le bouton droit

de la souris sur le groupe que vous souhaitez renommer, puis cliquez surRenommer.

3 Dans la boîte de dialogue Renommer le groupe pour nom du groupe , tapezle nouveau nom du groupe.

4 Cliquez sur OK.

Déplacement d'un groupeChaque groupe incluant ses sous-groupes, sesordinateurs et sesutilisateurs peut

être déplacé d'un nœud de l'arborescence du groupe vers un autre. Cependant, nile groupe Mon entreprise, ni le Groupe par défaut ne peuvent être déplacés. Enoutre, vous ne pouvez pas déplacer de groupes vers le Groupe par défaut oudéplacer un groupe vers l'un de ses sous-groupes.

Si un groupe utilise une politique héritée, la nouvelle politique héritée du groupede destination lui est attribuée. Si une politique spécifique lui est appliquée, ilconserve cette politique après le déplacement.

Si aucune politique de groupe n'est explicitement appliquée au groupe que vousdéplacez, il utilise la politique de groupe du groupe de destination. Les clients dugroupe que vous déplacez utilisent le nouveau profil.


Pour déplacer un groupe


2 Dans l'onglet Clients, sous Afficher les clients, cliquez avec le bouton droitde la souris sur le groupe que vous souhaitez déplacer, puis cliquez surDéplacer.

Gestion des groupes et des clientsAttribution d'un nouveau nom à un groupe

62



3 Dans la boîte de dialogue Déplacer le groupe, sélectionnez le groupe dedestination vers lequel vous souhaitez déplacer le groupe.

4 Cliquez sur OK.

Affichage des propriétés d'un groupeChaque groupe possède une page de propriétés qui répertorie quelquesinformationssurle groupe quevous devrezéventuellement vérifier. Elle contientla date à laquelle le groupe a été modifié pour la dernière fois ainsi que le numérode série de sa politique. Elle répertorie également le nombre d'ordinateurs dugroupeainsi quele nombred'utilisateurs enregistrés.Cette boîte de dialogue vouspermet de bloquer l'ajout de nouveaux clients au groupe.

Se reporter à "Gestion de groupes d'ordinateurs" à la page 56.Pour afficher les propriétés d'un groupe


2 Dans le volet Afficher les clients, choisissez le groupe dont vous souhaitezafficher les propriétés.

3 Cliquez sur l'onglet Détails.

Activation ou désactivation de l'héritage d'un groupeDans la structure de groupe, les sous groupes héritent initialement etautomatiquement des informations sur les emplacements, les politiques, et lesparamètres du groupeparent. Par défaut, l'héritage est activépour chaque groupe.Vous pouvez désactiver l'héritage afin de configurer les paramètres de sécuritédistincts pour un sous-groupe. Si vous apportez des modifications et activez plustard la transmission, toutes les modifications apportées dans les paramètres dusous-groupe sont écrasées.


Pour activer ou désactiver l'héritage d'un groupe


2 Sur la page Clients, sous Afficher les clients, sélectionnez le groupe dontvous voulez activer ou désactiver l'héritage.

Vous pouvez sélectionner tout groupe sauf le groupe de haut niveau, Monentreprise.

3 Dans le volet Nom du groupe , sur l'onglet Politiques, exécutez l'une destâches suivantes :

Gestion des groupes et des clientsAffichage des propriétés d'un groupe



■ Pour désactiver l'héritage, désélectionnez l'option Hériter les politiques

et les paramètres du groupe parent "nom de group name ".

■ Pour activer l'héritage, sélectionnez l'option Hériter les politiques et les

paramètres du groupe parent "nom de groupe ", puis cliquez sur Ouilorsqu'un message vous demande de continuer.

Configuration et gestion de clients au sein de groupesUnclient est unpériphérique réseauqui seconnecte auréseau etexécute SymantecEndpoint Protection. Les périphériques réseau peuvent inclure les ordinateursportables, des ordinateurs de bureau et les serveurs. Un package de logiciel clientSymantec Endpoint Protection est déployé vers chaque périphérique du réseaupour le protéger.

Le logiciel client réalise les tâches suivantes sur les clients :

■ Se connecte au serveur de gestion pour recevoir les dernières politiques etparamètres de configuration.

■ Applique à l'ordinateur les paramètres de chaque politique.


■ Met à jour lesderniers contenus et définitions de virus et de risques de sécuritésur l'ordinateur.

■ Enregistre les informations des clients dans les journaux et charge ces

informations sur le serveur de gestion.Différentes méthodes permettent de configurer des clients dans SymantecEndpoint Protection Manager.

Tableau 4-4 Tâches qu'il peut être utile de réaliser sur les clients

DescriptionTâche

Vous pouvez ajouter des clients aux groupes en tantqu'utilisateurs ou en tant qu'ordinateurs.

Se reporter à "Affectation préliminaire des ordinateurs ou

des utilisateurs à des groupes avant d'installer le logicielclient" à la page 67.

Se reporter à "A propos du mode utilisateur et du modeordinateur" à la page 66.

Ajouter des clients auxgroupes

Gestion des groupes et des clientsConfiguration et gestion de clients au sein de groupes

64



DescriptionTâche

Vous pouvez contrôler en temps réel l'état defonctionnement des clients du réseau.

Se reporter à "Affichage de l'état des clients et desordinateurs client" à la page 73.

Afficher l'état des clients

Vous pouvez afficher les propriétés matérielles et lespropriétés réseau de chaque client, notamment le groupe,le domaine, le nom de connexion et la version logicielle. Sivous avez activé la collecte des informations sur lesutilisateurs, vous pouvez également consulter desinformations sur l'utilisateur actuellement connecté àl'ordinateur.

Se reporter à "Affichage des propriétés d'un client"à la page 76.

Afficher les propriétés d'unclient

Vous pouvezutiliserun filtre pour déterminer quels clientsdoivent figurer dans l'onglet Clients. Cette fonction estparticulièrement utilesi votreréseau comporte de nombreuxclients.

Se reporter à "Filtrage des clients que vous pouvez afficherdans l'onglet Clients" à la page 75.

Filtrer les clients figurantdans l'onglet Clients

Vous pouvez rechercher des informations sur les clients,par exemple la version du système d'exploitation utilisé ou

la version des définitions antivirus en service surl'ordinateur.

Se reporter à "Recherche d'informations sur les clients"à la page 77.

Rechercher les informationssur des clients

Vous pouvez faire passer les clients du mode Utilisateur aumode Ordinateur et vice-versa.

Se reporter à "Basculer un client entre le mode utilisateuret le mode ordinateur" à la page 69.

Faire passer des clients dumode Utilisateur au modeOrdinateur

Si l'utilisateur installe le logiciel client à partir d'un CD

d'installation,le clientest autonome et ne communique pasavecle serveur de gestion. Vous pouvez convertir desclientsautogérés en clients gérés.

Se reporter à "Convertir un clientautonome en client géré."à la page 70.

Convertir un client autogéré

en client géré

Gestion des groupes et des clientsConfiguration et gestion de clients au sein de groupes



DescriptionTâche

Le niveau de contrôle utilisateur d'un client détermine lesparamètres des fonctions de protection contre les menacesréseau et les paramètres d'interface utilisateur clientpouvant être configurés par les utilisateurs.

Se reporter à "Modification du niveau de contrôle del'utilisateur" à la page 179.

Modifier le niveau decontrôle utilisateur du client

Vous pouvez exécuter des commandes sur un client ou ungroupe à partir de la console.

Se reporter à "Exécution de commandes sur des clients àpartir de la console" à la page 81.

Exécuter descommandes surdes clients à partir de laconsole

Vous pouvez modifier le groupe dans lequel se trouve unclient.

Se reporter à "Déplacement de clients entre des groupes"à la page 73.

Déplacer des clients d'ungroupe à un autre

Vous pouvez empêcher un client d'être ajoutéautomatiquement à un groupe. Vous pouvez bloquer desclients si vous ne voulez pas qu'ils soient ajoutésautomatiquement à un groupe spécifique lorsqu'ils seconnectent au réseau.

Se reporter à "Bloquer l'ajout de clients à des groupes"

à la page 72.

Empêcher l'ajout de clients àdes groupes

Les clients que vous ajoutez en mode Ordinateur peuventêtre activés en tant que détecteurs autonomes et utiliséspour détecter les périphériques non autorisés.

Se reporter à "Configurer un client pour détecter lespériphériques inconnus" à la page 79.

Configurer des clients desorte qu'ils détectent lespériphériques non autorisés

A propos du mode utilisateur et du mode ordinateur

Vous pouvez configurer les clients en mode utilisateur ou en mode ordinateur, enfonction de la manière dont vous souhaitez appliquer les politiques aux clientsdans les groupes. Tout client ajouté est paramétré par défaut sur le modeordinateur, qui a la priorité sur le mode utilisateur.

Si le logiciel client s'exécute en mode utilisateur, l'ordinateur client obtient lespolitiques du groupe dont l'utilisateur est membre. Si le logiciel client s'exécuteen mode ordinateur, l'ordinateur client obtient les politiques du groupe dontl'ordinateur est membre. De nombreuses entreprises configurent la plupart des

Gestion des groupes et des clientsA propos du mode utilisateur et du mode ordinateur

66



clients en mode ordinateur. En fonction de votre environnement réseau, vouspouvez envisager de configurer quelques clients ayant des conditions spécialesen mode utilisateur.

Vous configurez les clients en tant qu'utilisateurs ou ordinateurs en ajoutant lesutilisateurs et les ordinateurs à un groupe existant. Après l'ajout d'un utilisateurou d'un ordinateur à un groupe, il assume les politiques qui ont été attribuées augroupe.

DescriptionMode

Le client protège l'ordinateur avec les mêmes politiques, quel que soitl'utilisateur est connecté à l'ordinateur. La politique suit le groupe danslequel est l'ordinateur. Le mode ordinateur est le paramètre par défaut.

Modeordinateur

Les politiques changent en fonction de l'utilisateur connecté au client. Lapolitique suit l'utilisateur.Modeutilisateur

Se reporter à "Affectation préliminaire des ordinateurs ou des utilisateurs à desgroupes avant d'installer le logiciel client" à la page 67.

Clients que vous ajoutez en mode ordinateur peuvent être activés en tant quedétecteurs autonomeset être utilisés pour détecter lespériphériquesnonautorisés.

Se reporter à "Configurer un client pour détecter les périphériques inconnus"à la page 79.

Affectation préliminaire des ordinateurs ou desutilisateurs à des groupes avant d'installer le logicielclient

Après avoir installé le logiciel client sur un ordinateur, le client reçoit les politiquesdu groupe spécifié dans le package d'installation du client. Si vous ne souhaitezpas que le client reçoive les politiques du groupe spécifié dans le package, vouspouvez d'abord ajouterun espace réservé pour le clientdans un groupe sélectionnéet installer le logicielclientplus tard. Le clientdemeure dans le groupe pour lequelvous avez ajouté un espace réservé, et non dans le groupe spécifié dans le packaged'installation du client.

Se reporter à "A proposdes groupes spécifiésdans le package d'installationclient"à la page 68.

Vous ajoutezle client en fonction d'un nomd'utilisateur ou d'un nom d'ordinateur.Vous ne pouvez pas ajouter le client à plus d'un groupe.

Se reporter à "A propos du mode utilisateur et du mode ordinateur" à la page 66.

Gestion des groupes et des clientsAffectation préliminaire des ordinateurs ou des utilisateurs à des groupes avant d'installer le logiciel client



Se reporter à "Configuration et gestion de clients au sein de groupes" àlapage64.

Remarque : Assurez-vous que le serveur de gestion ne bloque pas l'ajout de

nouveaux clients à un groupe.

Se reporter à "Bloquer l'ajout de clients à des groupes" à la page 72.

Pour plus d'informations sur l'installation du logiciel client, consultez le Guide

d'installation pour Symantec Endpoint Protection et Symantec Network Access

Control .

Se reporter à "Déploiement du logiciel client avec Rechercher lesordinateurs nongérés" à la page 133.

Pour affecter à titre préliminaire des ordinateurs ou des utilisateurs à des groupes

avant d'installer le logiciel client


2 Dans la page Clients, sous Afficher les clients, localisez le groupe auquelvous souhaitez ajouter un client.

3 Dans l'onglet Clients, sous Tâches, effectuez l'une des opérations suivantes :

■ Pour le mode utilisateur, cliquez sur Ajouter un compte d'utilisateur.Entrez le nom d'utilisateur. Si l'utilisateur fait partie d'un domaine deWindows, saisissez le nom du domaine. Si l'utilisateur fait partie d'ungroupe de travail, cliquez sur Connectez-vous à l'ordinateur local.

■ Pour le mode ordinateur, cliquez sur Ajouter un compte d'ordinateur.Saisissez le nom de l'ordinateur, puis le nom du domaine de Windows ouWorkgroup.

Pour plus d'informations sur ces options, cliquez sur Aide.

4 Cliquez sur OK.

A propos des groupes spécifiés dans le package

d'installation clientQuand vous créez un package d'installation client pour le déploiement, vouspouvez spécifier de quel groupe vous voulez que l'ordinateur client soit membre.Après l'installation du package d'installation client sur l'ordinateur, l'ordinateurclient devient un membre de ce groupe préféré. Cependant, le serveur de gestionpeut remplacer le paramètre préféré de groupe. Parexemple, vous pouvez ajouterun client dans le mode ordinateur pour le client à la page de clients. Vous pourriezajouter l'ordinateur sous un groupe différent du groupe préféré dans le package

Gestion des groupes et des clientsA propos des groupes spécifiés dans le package d'installation client

68



d'installation client. Après que le client se connecte au serveur de gestion, legroupe auquel vous avez ajouté le client remplace le groupe préféré.

Se reporter à "Affectation préliminaire des ordinateurs ou des utilisateurs à des

groupes avant d'installer le logiciel client" à la page 67.

Le serveur peut ne pas permettre au client de rejoindre le groupe préféré pourl'une des raisons suivantes :

■ Le groupe préféré n'existe pas ou a été supprimé.

Le client est placé dans le Groupe par défaut.

■ Le client est un nouveau client, mais le serveur empêche le client d'être ajoutéà un groupe.

Le client est placé dans le Groupe par défaut.

Se reporter à "Bloquer l'ajout de clients à des groupes" à la page 72.

■ Le client a été précédemment enregistré à un autre groupe et vous essayez dedéplacer le client vers un nouveau groupe en utilisant la commande Exporter

les paramètres de communication.

Le client reste dans le groupe initial.

Se reporter à "Convertir un client autonome en client géré." à la page 70.

Basculer un client entre le mode utilisateur et le modeordinateur

Vous pouvez configurer des clients pour qu'ils s'exécutent en mode utilisateur ouen mode ordinateur. En mode utilisateur, l'ordinateur client auquelun utilisateurse connecte utilise la politique du groupe auquel l'utilisateur appartient. En modeordinateur, l'ordinateur client utilise la politique du groupe auquel l'ordinateurappartient. En mode ordinateur, la politique appliquée ne dépend pas del'utilisateur qui se connecte à l'ordinateur.

Se reporter à "A propos du mode utilisateur et du mode ordinateur" à la page 66.

Vous ne pouvez pas basculer du mode utilisateur au mode ordinateur si le nomde l'ordinateur se trouve déjà dans un groupe. Le passage en mode Ordinateur

entraîne la suppression du nom d'utilisateur du client du groupe ainsi que l'ajoutdu nom d'ordinateur du client au groupe.

Vous ne pouvez pas basculer du mode ordinateur au mode utilisateur si le nomde connexion de l'utilisateur et le nom de l'ordinateur sont déjà contenus dans ungroupe. Le passage au mode Utilisateur entraîne la suppression du nomd'ordinateur du client du groupe. Le nom d'utilisateur du client est ensuite ajoutéau groupe.

Gestion des groupes et des clientsBasculer un client entre le mode utilisateur et le mode ordinateur



Pour basculer un client entre le mode utilisateur et le mode ordinateur


2 Sur la page Clients, sous Afficher les clients, sélectionnez le groupe quicontient l'utilisateur ou l'ordinateur.

3 Dans l'onglet Clients, cliquez avec le bouton droit de la sourissurl'ordinateurou le nom d'utilisateur dans le tableau, puis sélectionnez Passer en mode

Ordinateur ou Passer en mode Utilisateur.

Ces modes sont paramétrés pour basculer, ce qui signifie que l'un des deuxmodes est toujours affiché. Les informations du tableau changent de façondynamique pour refléter le nouveau paramètre.

Convertir un client autonome en client géré.Si un utilisateur a installé un client depuis le CD d'installation, le client estautonome et ne communique pas avec le serveur de gestion.

Vous pouvez convertir le client autonome en client géré par le biais du processussuivant :

■ Vous exportez un fichier qui inclut tous les paramètres de communicationpour le groupe dans lequel vous voulez que le client soit.

Le nom de fichier par défaut est nom du groupe _sylink.xml.

■ Vous déployez le fichier vers l'ordinateur client.

Vous pouvez enregistrer le fichier sur un emplacement réseau ou l'envoyer àun utilisateur individuel sur l'ordinateur client.

■ Sur l'ordinateur client, l'utilisateur (ou vous-même) importe le fichier.

Vous n'avez pas besoin de redémarrer l'ordinateur client.

Le client se connecte immédiatement au serveur de gestion. Le serveur de gestionplace le client dans le groupe qui est spécifié dans le fichier de communication.Le client est mis à jour avec les politiques et les paramètres du groupe. Après quele client et le serveur de gestion communiquent, l'icône de la zone de notificationavec le point vert apparaît dans la barre des tâches de l'ordinateur client.

Les clients autonomes ne sont pas protégés par mot de passe, ainsi l'utilisateurn'a pas besoin d'un mot de passe sur le client. Cependant, si l'utilisateur essaied'importer un fichier sur un clientgéré protégé parmot de passe, alors l'utilisateurdoit entrer un mot de passe. Le mot de passe est le même que celui utilisé pourimporter ou exporter une politique.

Se reporter à "Protection du client par mot de passe" à la page 185.

Vous pouvez également devoir rediriger un client géré vers un autre serveur.

Gestion des groupes et des clientsConvertir un client autonome en client géré.

70



Se reporter à "Récupérer les paramètres de communication client en utilisantl'outil SylinkDrop" à la page 205.

Se reporter à "Assignation d'une liste de serveurs de gestion à un groupe et à un

emplacement" à la page 194.

Pour exporter les paramètres de communications du serveur


2 Sous Afficherlesclients, sélectionnez le groupe dans lequel vous voulez quele client apparaisse.

3 Cliquez avec le bouton droit de la souris sur le groupe, puis cliquez surExporter les paramètres de communication.

4 Dans Exporter les paramètres de communication pour la boîte de dialogue

nom du groupe, cliquez sur Parcourir.5 Dans la boîte de dialogue Sélectionner le fichier d'exportation, localisez le

dossier à où vous voulez exporter le fichier.xml, puis cliquez sur OK.

6 Dans la boîte de dialogue Exporter les paramètres de communication nom du

groupe, sélectionnez l'une des options suivantes :

■ Pour appliquer les politiques du groupe dont l'ordinateur est membre,cliquez sur Mode Ordinateur.

■ Pour appliquer les politiques du groupe dont l'utilisateur est membre,cliquez sur Mode Utilisateur.

7 Cliquez sur Exporter.

Si le nom de fichier existe déjà, cliquez sur OK pour l'écraser ou Annuler

pour enregistrer le fichier avec un nouveau nom de fichier.

Pour terminer la conversion, vous ou un utilisateur devez importer leparamètre des communications sur l'ordinateur client.

Pour importer les paramètres de communication serveur dans le client

1 Ouvrez Symantec Endpoint Protection sur l'ordinateur que vous voulezconvertir en client géré.

2 Dans le coin supérieur droit, cliquez sur Aide et support, puis cliquez surDépannage.

3 Dans la boîte de dialogue Dépannage, sous Paramètres de communication,cliquez sur Importer.

Gestion des groupes et des clientsConvertir un client autonome en client géré.



4 Dans la boîte de dialogue Importer les paramètres de communication,localisez le fichier nom du groupe_sylink .xml, puis cliquez sur Ouvrir.

5 Cliquez sur Fermer pour fermer la boîte de dialogue Dépannage.

Après quevous importiez le fichier de liaisons et lorsque le clientet le serveurde gestion communiquent, l'icône de zone de notification apparaît dans labarre des tâches del'ordinateur. Le point vert indique que le client et le serveurde gestion sont en communication l'un avec l'autre.

Bloquer l'ajout de clients à des groupesVous pouvez configurer des packages d'installation client dont l'adhésion auxgroupes est prédéfinie. Si vous définissez un groupe dans le package, le client est

automatiquement ajouté au groupeapproprié. Le clientestajoutéla première foisqu'il se connecte au serveur de gestion.

Se reporter à "Utilisation de packages d'installation client" à la page 127.

Vous pouvez activer le blocage si vous ne voulez pas que des clients soientautomatiquement ajoutés à un groupe spécifique lorsqu'ils se connectent auréseau.

Remarque : L'option de blocage empêche les utilisateurs d'être automatiquementajoutésà un groupe. Vous pouvez empêcher l'ajout d'un nouveau client au groupeauquel il a été attribué dans le package d'installation client. Dans ce cas, le clientestajoutéau Groupepardéfaut. Vous pouvezdéplacer manuellementun utilisateurou ordinateur vers un groupe bloqué.

Pour bloquer l'ajout de clients à des groupes


2 Sous Afficher les clients, sélectionnez le groupe dont vous voulez bloquerles nouveaux clients.

3 Cliquez sur l'onglet Détails.

4 Dans l'onglet Détails, sous Tâches, cliquez sur Modifier les propriétés dugroupe.

5 Dans la boîtede dialogue Propriétésdugroupepour nomdu groupe , cliquezsur Bloquer les nouveaux clients.

6 Cliquez sur OK.

Gestion des groupes et des clientsBloquer l'ajout de clients à des groupes

72



Déplacement de clients entre des groupesVous pouvez déplacer des clients entre des groupes et sous-groupes. Le client

passe au nouveau groupe lorsque vous déplacez le client.Vous ne pouvez pas déplacer des clients au sein d'une unité organisationnelle.Vous pouvez copier des clients d'une unité organisationnelle vers des groupesSymantec Endpoint Protection Manager.


Pour déplacer des clients entre des groupes


2 Sur la page Clients, sous Afficher les clients, localisez le groupe qui contientles clients que vous souhaitez déplacer.

3 Dans l'onglet Clients, cliquez avec le bouton droit de la souris sur les clientsque vous souhaitez déplacer, puis cliquez sur Déplacer.

Utilisez la touche MAJ ou Ctrl pour sélectionner tous les clients ou des clientsspécifiques.

4 Dans la boîte de dialogue Déplacer le groupe : nom du groupe , sélectionnezle groupe vers lequel vous souhaitez déplacer les clients sélectionnés.

5 Cliquez sur OK.

Affichage de l'état des clients et des ordinateursclient

Vous pouvez afficher les informations sur l'état opérationnel en temps réel desclients et des ordinateursde votreréseau. Parexemple, vous pouvez afficherquelsclients ontlesdernièrespolitiqueset définitions. Vous pouvezconsulter l'adresseIP d'un ordinateurou savoir quels ordinateurs exécutent un système d'exploitationparticulier.

Gestion des groupes et des clientsDéplacement de clients entre des groupes



Tableau 4-5 Affichages de l'état client et ordinateur

DescriptionAffichage

Affiche une liste de clients gérés, de comptes d'utilisateur et decomptes d'ordinateur qui n'ont pas installé le client. Vous pouvezafficher le nom de l'ordinateur, le nom de domaine et le nom del'utilisateur qui est connecté.

Défaut est l'affichage par défaut.

La colonne Nom affiche des icônes à côté de chaque client pourindiquer si les clients sont connectés au serveur de gestion.

Se reporter à "Affichage de l'état de santé du client dans la console degestion" à la page 197.

Affichage pardéfaut

Affiche les informations sur le client, tel que le numéro de série depolitique du groupe et le numéro de version du client.Etat du client

Indique si la protection antivirus et antispyware, la protection contreles menaces réseau et Auto-Protect sont activés ou désactivés. Cettevue affiche également la date et le numéro de révision des dernièressignatures et contenu.

Technologie deprotection

Affiche lesinformations surlescomposants du réseaude l'ordinateurclient, tels que l'adresse MAC de la carte réseau utilisée parl'ordinateur.

Informationsrelatives au réseau

Affiche les informations système au sujet de l'ordinateur client, telque la quantité d'espace disque disponible et le numéro de version dusystème d'exploitation.

Système client

Une fois que vous avez connaissance de l'état d'un client particulier, vous pouvezrésoudre tous les problèmes de sécurité sur les ordinateurs client. Par exemple,vous pourriez devoir télécharger les dernières définitions antivirus. Ou vouspouvez exécuter des commandes à distance depuis chaque groupe, commel'activation d'Auto-Protect.

Se reporter à "Exécution de commandes sur des clients à partir de la console"à la page 81.

Vous pouvez également exécuter les rapports rapides planifiés avec lesinformations d'état.


Vous pouvez égalementafficher la majeure partiede cesinformationsen cliquantavec le bouton droit dela souris sur chaque client, puis en cliquant sur Propriétés.Le seul champ que vous pouvez modifier est le champ Description dans l'ongletGénéral.

Gestion des groupes et des clientsAffichage de l'état des clients et des ordinateurs client

74



Se reporter à "Affichage des propriétés d'un client" à la page 76.

Se reporter à "Filtrage des clients que vous pouvez afficher dans l'onglet Clients"à la page 75.

Pour afficher l'état des clients et des ordinateurs client


2 Sur la page Clients, sous Afficher les clients, localisez le groupe qui contientles clients sur lesquels vous souhaitez avoir des informations.

3 Dans l'onglet Clients, cliquez sur la liste déroulante Affichage, puissélectionnez une catégorie.

Vous pouvez atteindre directement une page particulière en saisissant sonnuméro dans la zone de texte située dans l'angle inférieur droit.

Filtrage des clients que vous pouvez afficher dansl'onglet Clients

Vouspouvez afficher quels clients d'ungroupe apparaissent dansl'ongletClients,en fonction du système d'exploitation ou du type de compte. Vous pouvezafficherou masquer quels ordinateurs sont connectés au serveur de gestion. Vous pouvezégalement configurer combien de clients sont affichés sur chaque page pourfaciliter la gestion de la liste.

Sereporterà"Affichage de l'étatdesclients et desordinateurs client" àlapage73.Se reporter à "Affichage de l'état de santé du client dans la console de gestion"à la page 197.

Pour afficher quels utilisateurs et ordinateurs vous pouvez voir dans l'onglet Clients


2 Dans le volet Afficher les clients, choisissez le groupe dans lequel voussouhaitez effectuer la recherche.

3 Sur l'onglet Clients, sous Tâches, cliquez sur Change Clients View(Changer

la vue clients).

4 Dans la boîte de dialogue Clients Modifier Afficher (Changer la vue clients),sous Typedeplate-forme, sélectionnez si vous voulezafficher desordinateursWindows, des ordinateurs Mac ou les deux

Se reporter à "A propos du mode utilisateur et du mode ordinateur"à la page 66.

5 Sous Typedecompte, sélectionnez si vous voulezafficher des clients en modeutilisateur ou en mode ordinateur

Gestion des groupes et des clientsFiltrage des clients que vous pouvez afficher dans l'onglet Clients



6 Vérifiez les options suivantes, si vous le souhaitez :

■ Les nouveaux ordinateurs ou utilisateurs qui n'ont pas le logiciel client

installé

■ Etat en ligne

7 Pour raccourcir la liste, cliquez sur Résultats par page et entrez le nombrede résultats à afficher sur chaque page.

Les valeurs valides sont comprises entre 1 et 1000.

8 Cliquez sur OK.

Redémarrage d'ordinateurs client

Vouspouvez redémarrer un ordinateur sélectionné. Vouspouvez redémarrer tousles ordinateurs client dans un groupe sélectionné.


Pour redémarrer un ordinateur client sélectionné

1 Dans la Console, cliquez sur Clients

2 A la page Clients, dans l'onglet Clients, sélectionnez un groupe.

3 Dans l'onglet Clients, sélectionnez un client, cliquez avec le bouton droit de

la souris sur Exécuter la commande sur le groupe et puis cliquez surRedémarrer les ordinateurs client.

Pour redémarrer les ordinateurs client dans un groupe sélectionné


2 A la page Clients, dans l'onglet Clients, sélectionnez un groupe, cliquez avecle bouton droit de la souris sur Exécuter la commande sur le groupe et puiscliquez sur Redémarrer les ordinateurs client.

Affichage des propriétés d'un clientUne page de propriétés est disponible pour chaque utilisateur et pour chaqueordinateur. Le seul champ que vous pouvez modifier est le champ Descriptiondans l'onglet Général.

Cette page comprend les onglets suivants :

■ Général

Gestion des groupes et des clientsRedémarrage d'ordinateurs client

76



Affiche les informations sur le groupe, le domaine, le nom de connexion et laconfiguration matérielle de l'ordinateur.

■ Réseau

Affiche les informationssurle serveur DNS,le serveur DHCP, le serveur WINSet l'adresse IP de l'ordinateur.

■ Clients

Affiche les informationsqui sont recueillies à partir de l'ordinateur client. Cesinformations incluent le type de client qui s'exécute sur l'ordinateur. Desinformations particulièressurle logiciel et la politique sont égalementfournies.Ces informations incluent la version du logiciel client, le numéro de série duprofil actuel, lenuméro de série de la signature actuelle et la date dela dernièremise en ligne.

■

Informations utilisateurAffiche les informations sur la personne qui est actuellement connectée àl'ordinateur. Ces informations sont automatiquement renseignées lorsquel'administrateur choisit d'activer la collecte des informations utilisateur.

Se reporter à "Collecter des données utilisateur" à la page 131.

Pour afficher les propriétés d'un client


2 Dans le volet Afficher les clients, choisissez le groupe avec les clients dontvous souhaitez afficher les propriétés.

3 Dans l'onglet Clients, sélectionnez le client.

4 Sous Tâches, cliquez sur Modifier les propriétés.

5 Dans la boîte de dialogue nom du client , vouspouvez afficherles informationssur le client.

6 Cliquez sur OK.

Recherche d'informations sur les clients

Vous pouvez rechercher des informations sur les clients, les ordinateurs client etles utilisateurs pour prendre des décisions au sujet de la sécurité de votre réseau.Parexemple, vous pouvezsavoir quelsordinateurs des Groupes deventesexécutentle dernier système d'exploitation. Ou, vous pouvez découvrir quels ordinateursclient du Groupe économique ont besoin des dernières définitions antivirusinstallées. Vous pouvez afficher les informations sur chaque client du groupe àla page Clients. Vous pouvez affiner la recherche s'il y a trop de clients.

Sereporterà"Affichage de l'étatdesclients et desordinateurs client" àlapage73.

Gestion des groupes et des clientsRecherche d'informations sur les clients



Vous pouvez exporter les données qui sont contenues dans la requête dans unfichier texte.

Remarque : Pour rechercher la majeurepartie desinformations surlesutilisateurs,vous devez collecter des données utilisateur pendant l'installation de logicielclient ou après. Ces informations d'utilisateur sont également affichées dansl'onglet Général et l'onglet Informations utilisateur dans la boîte de dialoguePropriétés de modification du client.

Se reporter à "Collecter des données utilisateur" à la page 131.

Se reporter à "Affichage des propriétés d'un groupe" à la page 63.

Pour rechercher desinformations sur des utilisateurs, des clients et desordinateurs


2 Dans l'onglet Clients, sous Afficher les clients, choisissez le groupe danslequel vous souhaitez effectuer la recherche.

3 Sous Tâches, cliquez sur Effectuer une recherche parmi les clients.

4 Dans la boîte de dialogue Recherche de clients, dans la liste déroulanteRechercher, cliquez sur Ordinateurs ou Utilisateurs.

5 Cliquez sur Parcourir pour sélectionner un groupe autre que le groupe pardéfaut.

6 Dans la boîte de dialogue Sélectionner un groupe, sélectionnez le groupe etcliquez sur OK.

7 SousCritères de recherche, cliquez surla liste déroulante Champ de rechercheet sélectionnez ensuite les critères de recherche d'après lesquels voussouhaitez effectuer la recherche.

8 Cliquez sur la liste déroulante d'Opérateur de comparaison et sélectionnezun opérateur de comparaison.

Vous pouvez utiliser les opérateurs booléens standard dans vos critères derecherche.

9 Dans la cellule Valeur, saisissez la chaîne de recherche.10 Cliquez sur Serveurs.

Vous pouvez exporter les résultats dans un fichier texte.

11 Cliquez sur Fermer.

Gestion des groupes et des clientsRecherche d'informations sur les clients

78



Configurer un client pour détecter les périphériquesinconnus

Les périphériques non autorisés peuvent se connecter au réseau de plusieursmanières, comme l'accès physique à une salle de conférence ou auxpoints d'accèssans fil suspects. Pour imposer des politiques sur chaque terminal client, vousdevez pouvoir détecter rapidement la présence de nouveaux périphériques. Lespériphériques inconnus sont lespériphériques quisont autonomeset n'exécutentpas le logiciel client. Vous devez déterminer si les périphériques sont sécurisés.Vous pouvez activer n'importe quel client comme détecteur autonome pourdétecter les périphériques inconnus.

Quand un périphérique démarre, son système d'exploitation envoie le trafic ARPau réseau pour signaler la présence du périphérique aux autres ordinateurs. Unclient qui est activé en tant que détecteur autonome collecte et envoie lesinformations depaquet ARP au serveur degestion. Le serveur de gestion recherchele paquet ARP pour les adresses MAC et IP du périphérique. Le serveur compareces adresses à la liste d'adresses MAC et IP existantes dans la base de données duserveur. Si le serveur ne peut pas trouver une adresse correspondante, le serveurenregistre le périphérique comme étant nouveau. Vous pouvez alors décider si lepériphérique est sécurisé. Puisque le client transmet seulement les informations,il n'utilise pas d'autres ressources.

Vouspouvez configurer le détecteurautonomepourignorercertainspériphériques,tels qu'une imprimante. Vous pouvez également installer des notifications par

email pour vous informer quand le détecteur autonome détecte un périphériqueinconnu.

Pour configurer le client comme détecteur autonome, vous devez effectuer l'unedes actions suivantes :

■ Activer la protection contre les menaces réseau.

Se reporter à "Activer et désactiver la protection contre les menaces réseau"à la page 558.

■ Basculer le client en mode ordinateur.

Se reporter à "Basculer un client entre le mode utilisateur et le mode

ordinateur" à la page 69.

■ Installer le client sur un ordinateur qui fonctionne tout le temps.

■ Activer uniquement les clients Symantec Endpoint Protection en tant quedétecteurs autonomes.

Un client Symantec Network Access Control ne peut pas être un détecteurautonome.

Gestion des groupes et des clientsConfigurer un client pour détecter les périphériques inconnus



Pour configurer un client pour détecter les périphériques non autorisés


2 Sous Afficher les clients, sélectionnez le groupe qui contient le client quevous voulez activer comme détecteur autonome.

3 Dans l'onglet Clients, cliquez avec le bouton droit de la souris sur le client àactiver comme détecteur autonome, puis cliquez sur Activer en tant que

détecteur autonome.

4 Pour spécifier un ou plusieurs périphériques à exclure de la détection par ledétecteur autonome, cliquez sur Configurer le détecteur autonome.

5 Dans les Exceptions du détecteur autonome, pour la boîte de dialogue nom

du client , cliquez sur Ajouter.

6 Dans la boîte de dialogue Ajouter une exception au détecteur autonome,cliquez sur l'une des options suivantes :

■ Exclure la détection d'une plage d'adresses IP, puis saisissez la plaged'adresses IP pour plusieurs périphériques.

■ Exclure la détection d'adresse MAC, puis saisissez l'adresse MAC dupériphérique.

7 Cliquez sur OK.

8 Cliquez sur OK.

Pour afficher la liste de périphériques non autorisés que le client détecte

1 Dans la console, cliquez sur Accueil.

2 Sur la page d'accueil, dans la section Etat de la sécurité, cliquez sur Infos

supplém..

3 Dans la boîte de dialogue Détails d'état de la sécurité, faites défiler jusqu'autableau des Défaillances de périphérique inconnu.

4 Fermez la boîte de dialogue.

Vous pouvez également afficher une liste de périphériques non autorisésdans l'onglet Ordinateurs inconnus de la boîte de dialogue Rechercher les

ordinateurs autonomes.Pour plus d'informations, consultez le Guide d'installation de Symantec

Endpoint Protection et Symantec Network Access Control .

Gestion des groupes et des clientsConfigurer un client pour détecter les périphériques inconnus

80



Exécution de commandes sur des clients à partir dela console

Vous pouvez exécuter des commandes à distance sur différents clients ou sur ungroupeentier de la console Symantec Endpoint ProtectionManager. Surdesclientsgérés, les commandes que vous exécutez remplacent les commandes quel'utilisateur exécute.

Vous pouvez exécuter les commandes à partir de l'onglet Clients ou de l'ongletEcrans de la console.

Se reporter à "Exécuter des commandes et des actions à partir des journaux"à la page 304.

Vous pouvezconfigurer un administrateurlimitépour avoir desdroits surcertaines

commandes ou sur aucune d'entre elles. Par défaut, un administrateur limité ades droits pour toutes les commandes sauf Redémarrer les ordinateurs client.


Remarque : Toutes les commandes énumérées sont affichées dans l'interfaceutilisateur de la console. Certains d'entre elles, cependant, ne sont pas reconnuespar les ordinateurs client Mac.

Tableau 4-6 Commandes que vous pouvez exécuter sur des clients

DescriptionCommandes

Exécute l'analyse à la demande sur les clients.

Se reporter à "Exécuter des analyses à la demande" à la page 508.

Analyse

Annule toutes les analyses en cours d'exécution sur les clients.Annuler toutes lesanalyses

Met à jour le contenu sur les clients en lançant une sessionLiveUpdate sur lesclients.Lesclients reçoiventle contenu le plus

récent de Symantec LiveUpdate.Se reporter à "Exécution de LiveUpdate sur un client à partir dela console" à la page 174.

Actualiser le contenu

Met à jour le contenu enlançant une session LiveUpdate etexécuteune analyse à la demande sur les clients.

Se reporter à "Exécution de LiveUpdate sur un client à partir dela console" à la page 174.

Actualiser le contenuet analyser

Gestion des groupes et des clientsExécution de commandes sur des clients à partir de la console



DescriptionCommandes

Redémarre les clients.

Se reporter à "Redémarrage d'ordinateurs client" à la page 76.

Redémarrer lesordinateurs client

Active le système de fichiers Auto-Protect sur les clients.

Se reporter à "Activer Auto-Protect pour le système de fichiers"à la page 480.

Activer Auto-Protect

Active la protection contre les menaces réseau sur les clients.

Se reporter à "Activer et désactiver la protection contre lesmenaces réseau" à la page 558.

Remarque: Cettecommande n'estpasreconnuepar unordinateurclient Mac.

Activer la protectioncontre les menacesréseau

Désactive la protection contre les menaces réseau sur les clients.

Se reporter à "Activer et désactiver la protection contre lesmenaces réseau" à la page 558.

Remarque: Cettecommande n'estpasreconnuepar unordinateurclient Mac.

Désactiver laprotection contre lesmenaces réseau

Gestion des groupes et des clientsExécution de commandes sur des clients à partir de la console

82



Gestion des emplacementsd'un groupe


■ Utiliser la détection de l'emplacement avec des groupes

■ Activation de la détection de l'emplacement pour un client

■ Ajouter un emplacement avec un assistant d'installation

■ Ajout d'un emplacement sans assistant

■ Modification d'un emplacement par défaut

■ Modification du nom et de la description de l'emplacement d'un groupe

■ Supprimer l'emplacement d'un groupe

Utiliser la détection de l'emplacement avec desgroupes

Les employés doivent fréquemment se connecter au réseau à partir de plusieursemplacements, tels que les domiciles, les salons Internet, les hôtels et le bureau.

Différents emplacements peuvent avoir différents besoins de sécurité.Vous pouvezcréer des emplacementset attribuerunepolitiquede sécurité distincteà différents emplacements selon les critères suivants :

■ Type de connexion réseau, tel que connexion sans fil, Ethernet ou VPN.

■ Emplacement de la connexion.

Vous pouvez souhaiter ajouter plusieurs emplacements qui reflètent les types deconnexion suivants :

5Chapitre



■ Connexions sans fil dans le bureau.

■ Connexions câblées dans le bureau.

■

Connexions à partir d'emplacements d'entreprise distants de l'extérieur dubureau.

■ Connexions VPN de l'extérieur du bureau.

Vous pouvez ajouter des emplacements après avoir installé tous les groupes quevous devez gérer. Chaque groupe peut avoir différents emplacements si votrestratégie de sécurité le requiert. Dans la console Symantec Endpoint ProtectionManager, vous pouvez installer les conditions qui déclenchent le passageautomatique de politique en fonction de l'emplacement. Lorsque vous activez ladétectionde l'emplacement, elleapplique automatiquement la meilleure politiquede sécurité à un client ou à un serveur, en fonction de l'emplacement à partir

duquel un utilisateur se connecte.Vous pouvez ajouter un ensemble de conditions aux emplacements de chaquegroupequisélectionne automatiquementlespolitiques de sécurité correctespourun environnement d'utilisateur. Ces conditions sont basées sur des critères telsque les paramètres réseau de l'ordinateur à partir duquel la demande d'accès auréseau a été lancée. Une adresse IP, une adresse MAC ou l'adresse d'un serveurde répertoire peuvent également fonctionner comme condition. Si vous changezune politique de sécurité dans la console, le serveur du gestionnaire met à jour lapolitique du client ou le client télécharge la politique.

Si l'emplacement actuel est non valide après la mise à jour, le client :

■ Bascule vers un autre emplacement qui est valide.

■ Ou utilise l'emplacement par défaut.

Vous pouvezpersonnaliser la politiqueet les paramètres de chaqueemplacement.Par exemple, les politiques pour un emplacement de bureau ne doivent pasforcément être aussi strictes que les politiques d'un emplacement VPN ou dedomicile. La politique associée à l'emplacement par défaut est utilisée lorsquel'utilisateur est déjà protégé par le pare-feu d'une entreprise.

Lorsque vous créez un emplacement, il s'applique au groupe pour lequel vousl'avez créé et à tous les sous-groupes qui héritent du groupe parent. Vous devezcréer lesemplacementsquevousavezl'intentiond'appliquerauxclients au niveaude groupe Mon entreprise. Vous pouvez créer des emplacements spécifiques à ungroupe particulier. Par exemple, dans la plupart des sociétés, tous les utilisateursnécessitentun emplacement par défaut qui est automatiquement ajouté au groupeMonentreprise. Toutefois, tous lesclients ne nécessitent pasuneconnexionVPN.Vous pouvez installer un groupe distinct appelé Travailleurs mobiles pour lesclients qui nécessitent une connexion VPN. Vous devez ajouter l'emplacementVPN au groupe Travailleurs mobiles ainsi qu'à l'emplacement du bureau hérité.

Gestion des emplacements d'un groupeUtiliser la détection de l'emplacement avec des groupes

84



Les clients de ce groupe peuvent utiliser les politiques associées au bureau ou àl'emplacement VPN.

Tableau 5-1 Tâches de détection de l'emplacement que vous pouvez effectuer

DescriptionTâches

Vous devez envisager les différents types de politiques desécurité dont vous avez besoin dans votre environnement pourdéterminer les emplacements à utiliser. Vous pouvez ensuitedéterminer les critères permettant de définir chaqueemplacement.

Se reporter à "A propos de la planification des emplacements "à la page 86.

Planifier desemplacements

Pour contrôler les politiques attribuées aux clients en fonctionde l'emplacement à partir duquelles clients se connectent, vouspouvez activer la détection de l'emplacement.

Se reporter à "Activation de la détectionde l'emplacement pourun client" à la page 87.

Activer la détection del'emplacement

Vous pouvez ajouter des emplacements aux groupes.

Se reporter à "Ajouter un emplacement avec un assistantd'installation" à la page 88.

Se reporter à "Ajout d'un emplacement sans assistant"à la page 90.

Ajouter desemplacements

Touslesgroupesdoiventdisposer d'unemplacementpar défaut.Lorsque vous installez la console, un seul emplacement estdisponible, appelé Par défaut. Lorsque vous créez un nouveaugroupe, son emplacement par défaut est toujours Par défaut.Vouspourrezultérieurement changerl'emplacement par défautaprès avoir ajouté d'autres emplacements.

L'emplacement pardéfautestutilisé dans l'un descassuivants:

■ L'un des emplacements multiples répond à des critèresd'emplacement et si le dernier emplacement ne répond pasaux critères d'emplacement.

■ Vous utilisez des informations sur l'emplacement et aucunemplacement ne répond au critère.

■ L'emplacement est renommé ou modifié dans la politique.Le client récupère l'emplacement par défaut quand il reçoitla nouvelle politique.

Se reporter à "Modification d'un emplacement par défaut"à la page 91.

Attribuer desemplacementspar défaut




DescriptionTâches

Vous pouvez également configurer les paramètres decommunication entre un serveur de gestion et le client sur unebase d'emplacement.

Se reporter à "Configurer des paramètres de communicationpour un emplacement" à la page 199.

Configurer desparamètres decommunication pour lesemplacements

Vous pouvez modifier certaines propriétés d'emplacement.

Se reporter à "Modification du nom et de la description del'emplacement d'un groupe" à la page 92.

Modifier les propriétésd'emplacement

Vous pouvez supprimer tout emplacement obsolète ou inutilisédans votre réseau.

Se reporter à "Supprimer l'emplacement d'un groupe"à la page 93.

Supprimer desemplacements

A propos de la planification des emplacements

Avant d'ajouter des emplacements à un groupe, vous devez prendre en comptelestypes de politiquesde sécurité dont votre environnement à besoin. Vous devezégalement déterminer le critère qui définit chaque emplacement.

Sereporterà "Utiliser la détection de l'emplacement avec desgroupes" àlapage83.

Se reporter à "Comment structurer des groupes" à la page 57.

Vous devriez considérer les questions suivantes :

■ A partir de quels emplacements les utilisateurs se connectent-ils ?

Demandez-vous quels emplacements doivent être créés et comment étiqueterchacun d'eux. Par exemple, les utilisateurs peuvent se connecter au bureau,de la maison, d'un site client ou d'un autresite distant tel qu'un hôtel lors d'unvoyage. D'autres emplacements qualifiés peuvent être nécessaires pour ungrand site.

■ Les informationsde l'emplacement doivent-elles êtreconfigurées pourchaqueemplacement ?

■ Comment voulez-vous identifier l'emplacement si vousutiliser les informationsdes emplacements ?

Vous pouvez identifier l'emplacement basé sur les adresses IP, WINS, DHCP,ou les adresses du serveur DNS, les connexion au réseau, et d'autres critères.

■ Si vous identifiez l'emplacement par connexion réseau, de quel type deconnexion s'agit-il ?


86



Parexemple, laconnexionréseaupeut être uneconnexionà Symantec EndpointProtection Manager, à la connexion réseau à distance ou à une marqueparticulière de serveur VPN.

■ Voulez-vous que les clients se connectant dans cet emplacement utilisent untypespécifiquedecommande,tellequelacommandedeserveur,lacommandemélangée ou la commande client ?

■ Voulez-vous faire des vérifications de l'Intégrité de l'Hôte de chaqueemplacement ? Ou voulez-vous l'ignorer à tout moment comme lorsque vousn'êtes pas connectés à Symantec Endpoint Protection Manager ?

■ Quelles applicationset services doivent être autorisés à chaqueemplacement ?

■ Désirez-vous que l'emplacement utilise les mêmes paramètres decommunication que les autres emplacements du groupe ou qu'il en utilise

d'autres ? Vous pouvez définir des paramètres de communication uniquespour un emplacement.

Activation de la détection de l'emplacement pour unclient

Pour définir les politiques attribuées aux clients en fonction de l'emplacement dela connexion du client, vous pouvez activer la détection de l'emplacement de ceclient.


Si vous cochez Mémoriser le dernier emplacement, dès qu'un client se connecteau réseau, la politique lui est attribuée à partir du dernier emplacement utilisé.Si les informations de l'emplacement sont activées, alors le client passeautomatiquement à la politique appropriée après quelques secondes. La politiqueassociée à un emplacement spéficique détermine la connexion du réseau d'unclient. Si lesinformationsdel'emplacement sont désactivées,le clientpeut basculermanuellement entre tous les emplacements même sous le contrôle du serveur. Siun emplacement dequarantaine estactivé, le clientpeut commuter vers la politiquede quarantaine après quelques secondes.

Si vous désélectionnez Mémoriser le dernier emplacement, dès qu'un client seconnecte au réseau, la politique lui est attribuée à partir de l'emplacement pardéfaut. Le client ne peut pas se connecter au dernier emplacement utilisé. Si lesinformationsde l'emplacementsontactivées,alors le client passe automatiquementà la politique appropriée après quelques secondes. La politique associée à unemplacement spéficique détermine la connexion du réseau d'un client. Si lesinformations sur l'emplacement sont désactivées, l'utilisateur peut basculermanuellemententre tous lesemplacements même lorsque le clientse trouve sous

Gestion des emplacements d'un groupeActivation de la détection de l'emplacement pour un client



le contrôle du serveur. Si un emplacement de quarantaine est activé, le clientpourra passer à la Politique de Quarantaine après quelques secondes.

Pour activer la détection de l'emplacement pour un client


2 Sur la page Clients, sous Afficher les clients, sélectionnez le groupe pourlequel voussouhaitez implémenterle passage automatiquedesemplacements.

3 Sur l'onglet Politiques, désélectionnez Hériter les politiques et les

paramètres du groupe parent "nom de groupe ".

Vous ne pouvez modifier que les paramètres n'appartenant pas àl'emplacement pour ces groupes qui n'ont pas ces politiques et paramètresd'un groupe parent.

4 Sur l'onglet Politiques et Paramètres n'appartenant pas à l'emplacement,cliquez sur Paramètres généraux.

5 Dans la boîte de dialogue Paramètres Généraux, sur l'onglet Paramètres

Généraux,sous Paramètresdel'Emplacement ,cochez Sesouvenirdudernier

emplacement.

Par défaut, cette option est activée. Le client est initialement attribué à lapolitique associée à l'emplacement à partir duquel le dernier client s'estconnecté au réseau.

6 Cochez Activez les Informations de l'emplacement.

Par défaut, les informations de l'emplacement sont activées. Le client estautomatiquement assigné à la politique associée à l'emplacement à partirduquel l'utilisateur tente de se connecter au réseau.

7 Cliquez sur OK.

Ajouter un emplacement avec un assistantd'installation

Vous pouvezajouterun emplacementà un groupeen utilisant un assistant.Chaque

emplacement peut avoir son propreensemblede politiques et de paramètres. Vousdéfinissez des critères (conditions) pour déclencher le basculement des clientsvers un nouvel emplacement avec des paramètres de sécurité différents toutesles fois que les conditions sont remplies. Les meilleures politiques de sécurité àappliquer dépendent en général d'où le client se trouve quand il se connecte auréseau. Quand vous faites activer la détection de l'emplacement, elle garantit quela politique de sécurité la plus stricte est attribuée à un client quand elle estnécessaire.

Gestion des emplacements d'un groupeAjouter un emplacement avec un assistant d'installation

88




Ajouter un emplacement avec un assistant d'installation


2 Sur la page Clients, sous Afficher les clients, sélectionnez le groupe auquelvous souhaitez ajouter un ou plusieurs emplacements.

3 Sur l'onglet Politiques, désélectionnez Hériter les politiques et les


Vous pouvezajouter desemplacementsseulementà desgroupes quin'héritentpas des politiques d'un groupe parent.

4 Sous Tâches, cliquez sur Ajouter un emplacement.

5 Dans le volet Bienvenue dans l'assistant Ajout d'emplacement, cliquez sur

Suivant.

6 Dans le volet Préciserunnomd'emplacement ,entrezlenometladescriptiondu nouvel emplacement et cliquez sur Suivant.

7 Dans le volet Spécifier une condition, sélectionnez l'une des conditionssuivantes, sous laquelle un client passe d'un emplacement à un autre :

Sélectionnez cette option afin que le client puissechoisircet emplacementsi de multiples emplacementssont disponibles.

Pas de condition spécifique

Sélectionnez cette option afin que le client puissechoisir cet emplacement si son adresse IP est inclusedans la plage spécifiée. Vous devez spécifier l'adresseIP de début et l'adresse IP de fin.

Plage d'adresses IP

Sélectionnez cette option de sorte que le client puissechoisir cetemplacement si sonmasque de sous-réseauet son adresse de sous-réseau sont spécifiés.

Adresse et masque desous-réseau

Sélectionnez cette option de sorte que le client puissechoisir cet emplacement s'il se connecte au serveurDNS spécifié.

Serveur DNS

Sélectionnez cette option de sorte que le client puissechoisir cet emplacement s'il se connecte au nom dedomaine spécifié et à l'adresse de résolution DNS.

Le client peut résoudre lenom d'hôte

Sélectionnez cette option pour que le client puissechoisir cet emplacement s'il se connecte au serveur degestion spécifié.

Le client peut se connecterau serveur de gestion

Gestion des emplacements d'un groupeAjouter un emplacement avec un assistant d'installation



Sélectionnez cette option de sorte que le client puissechoisir cet emplacement s'il se connecte au typespécifié de connexion réseau. Le client accède à cet

emplacement en utilisant l'une desconnexions suivantes :

■ Connexion réseau quelconque

■ Connexion réseau à distance

■ Ethernet

■ Wireless

■ Check Point VPN-1

■ VPN Cisco

■ VPN Microsoft PPTP

■ VPN Juniper NetScreen

■ VPN Nortel Contivity■ VPN SafeNet SoftRemote

■ VPN Aventail SSL

■ VPN Juniper SSL

Type de connexion réseau

8 Cliquez sur Suivant.

9 Danslevolet Assistantd'ajoutd'emplacementterminé,cliquezsurTerminer.

Ajout d'un emplacement sans assistantVous pouvez ajouter un emplacement et ses politiques et paramètres associés àun groupe sans utiliser d'assistant.


Se reporter à "Ajouter un emplacement avec un assistant d'installation"à la page 88.

Procédure d'ajout d'un emplacement sans assistant


2 Dans la pageClients

, sousAfficher les clients

, sélectionnez le groupe pourlequel vous souhaitez ajouter un ou plusieurs emplacements.

3 Dans l'onglet Politiques, désélectionnez Hériter les politiques et les


Vouspouvez seulement ajouter des emplacementsaux groupes qui n'héritentpas des politiques d'un groupe supérieur.

4 Dans la page Clients, sous Tâches, cliquez sur Gérer les emplacements.

Gestion des emplacements d'un groupeAjout d'un emplacement sans assistant

90



5 Dans la boîte de dialogue Gérer les emplacements, sous Emplacements,cliquez sur Ajouter.

6 Dans la boîte de dialogue Ajouter un emplacement, saisissez le nom et la

description du nouvel emplacement, puis cliquez sur OK.

7 Dans la boîte de dialogue Gérerles emplacements, prèsde Basculer vers cet

emplacement lorsque, cliquez sur Ajouter.

8 Dans la boîte de dialogue Indiquez les critères d'emplacement, sélectionnezet définissez une condition dans la liste Type.

Un ordinateur client bascule vers l'emplacement si l'ordinateur remplit lacondition indiquée.

9 Cliquez sur OK.

10 Pour ajouter d'autres conditions, en regard de l'option Basculer vers cetemplacement si, cliquez sur Ajouter, puissélectionnezCritères avec relationET ou Critères avec relation OU.

11 Répétez les étapes 8 à 9.

12 Cliquez sur OK.

Modification d'un emplacement par défautLors de l'installation initiale de Symantec Endpoint Protection Manager, un seul

emplacementappeléDefault existe. A ce moment, chaqueemplacementde groupepar défaut est Défaut. Chaque groupe doit avoir un emplacement par défaut.Lorsque vous créez un nouveau groupe, la console de Symantec EndpointProtection Manager choisit automatiquement Default comme emplacement pardéfaut.


Une fois que vous avez ajouté d'autres emplacements, vous pouvez choisir unautre emplacement comme emplacement par défaut d'un groupe. Il peut être

judicieux d'indiquer un emplacement comme Domicile ou Route commeemplacement par défaut.

L'emplacement par défaut d'un groupe est utilisé dans les cas suivants :

■ L'un des emplacements multiples répond à des critères d'emplacement et si ledernier emplacement ne répond pas aux critères d'emplacement.

■ Vous utilisez des informations sur l'emplacement et aucun emplacement nerépond au critère.

■ L'emplacement est renommé ou modifié dans la politique. Le client récupèrel'emplacement par défaut quand il reçoit la nouvelle politique.

Gestion des emplacements d'un groupeModification d'un emplacement par défaut



Pour modifier un emplacement par défaut


2 Dans la page Clients,sous Afficherlesclients, sélectionnez le groupe auquelvous souhaitez affecter un autre emplacement par défaut.



4 Sous Tâches, cliquez sur Gérer les emplacements.

5 Dans la boîte de dialogue Gérer les emplacements, sous Emplacements,sélectionnez l'emplacement que voussouhaitez définir commeemplacementpar défaut.

6 Sous Description, cochez Définir cet emplacement comme emplacement

par défaut en cas de conflit.Il s'agit toujours de celui par défaut tant que vous n'en attribuez pas un autreau groupe.

7 Cliquez sur OK.

Modification du nom et de la description del'emplacement d'un groupe

Vous pouvez modifier le nom et la description d'un emplacement au niveau du

groupe.


Pour modifier le nom et la description de l'emplacement d'un groupe


2 Dans le volet Clients, sous Afficher les clients, cliquez sur le groupe dontvous souhaitez modifier le nom et la description.

3 Sur l'onglet Politiques, dans le volet Tâches, cliquez sur Gérer les

emplacements.

4 Dans la zone de texte Nom de l'emplacement, modifiez le nom del'emplacement.

5 Danslazonedetexte Description, modifiez la description de l'emplacement.

6 Cliquez sur OK.

Gestion des emplacements d'un groupeModification du nom et de la description de l'emplacement d'un groupe

92



Supprimer l'emplacement d'un groupeVous pouvez devoirsupprimer un emplacement de groupeparce qu'il ne s'applique

plus.Sereporterà "Utiliser la détection de l'emplacement avec desgroupes" àlapage83.

Pour supprimer un emplacement


2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe quicontient l'emplacement à supprimer.



Vous ne pouvez supprimer les emplacements que des groupes qui n'héritentpas des politiques de leurs groupes parent.

4 Dans la page Clients, sous Tâches, cliquez sur Gérer les emplacements.

5 Dans la boîte de dialogue Gérer les emplacements, sous Emplacements,sélectionnez l'emplacement à supprimer puis cliquez sur Supprimer.

Vous ne pouvez pas supprimer l'emplacement par défaut.

6 Dans la boîte de dialogue Supprimer la condition, cliquez sur Oui.

Gestion des emplacements d'un groupeSupprimer l'emplacement d'un groupe



Gestion des emplacements d'un groupeSupprimer l'emplacement d'un groupe

94



Utilisation des politiques


■ Utilisation de politiques pour gérer la sécurité du réseau

■ A propos des politiques partagées et non partagées

■ A propos de l'ajout de politiques

■ Modifier une politique

■ Affectation d'une politique partagée

■ Retrait d'une politique

■ Supprimer une politique

■ Exporter une politique

■ Importation d'une politique

■ A propos de la copie des politiques

■ Copie d'une politique partagée dans la page Politique

■ Copie d'une politique partagée ou non partagée dans la page Clients

■ Coller une politique

■ Copier et coller une politique de groupe

■ Remplacement d'une politique

■ Copie d'une politique partagée pour la convertir en politique non partagée

■ Conversion d'une copie d'une politique partagée en politique non partagée

■ A propos de la mise à jour des politiques sur les clients

6Chapitre



■ Configurer le mode de transfert ou le mode de traction pour mettre à jour lespolitiques client et le contenu

■ Afficher le numéro de série de politique

■ Mise à jour manuelle de la politique pour vérifier le numéro de série de lapolitique

■ Contrôle des applications et services exécutés sur les ordinateurs client

■ Configuration du serveur de gestion pour la collecte d'informations sur lesapplications que les ordinateurs client exécutent

■ Recherche d'informations sur les applications que les ordinateurs exécutent

Utilisation de politiques pour gérer la sécurité duréseau

Vous pouvez utiliser différents types de politiques de sécurité pour gérer votresécurité réseau. Plusieurs politiques sont automatiquement créées pendantl'installation. Vous pouvez utiliser des politiques par défaut ou les personnaliserpour les adapter à votre environnement spécifique.

Remarque : Une politique par défaut est créée pendant l'installation initiale pourtous les types de politiques sauf des exceptions centralisées.

Tableau 6-1 décrit les différents types de politiques.

Tableau 6-1 Politiques Symantec Endpoint Protection Manager

DescriptionNom de la politique

Définit les paramètres d'analyse antivirus et antispywareainsi que le mode de traitement des processus détectés.

Antivirus et antispyware

Définit les règles de pare-feu qui autorisent et bloquent les

transmissions et indique les paramètres pour le filtrageintelligent du trafic, le trafic et l'authentification point àpoint.

Pare-feu

Définit les exceptions aux signatures de préventiond'intrusion et spécifie les paramètres de préventiond'intrusion, comme Active Response (intervention active).

Prévention d'intrusion

Utilisation des politiquesUtilisation de politiques pour gérer la sécurité du réseau

96



DescriptionNom de la politique

Permet de définir, de restaurer et d'appliquer les mesuresde sécurité des clients afin de protéger les réseaux et lesdonnées de l'entreprise.

Intégrité de l'hôte

Protège les ressources système des applications et gère lespériphériques pouvant être connectés aux ordinateurs.

Contrôle des applications etdes périphériques

Spécifie les ordinateurs que les clients doivent contacterpour rechercher des mises à jour Spécifie également laplanification qui définit la fréquence à laquelle les clientsrecherchent des mises à jour.

LiveUpdate

Spécifie les exceptions aux fonctions particulières depolitique que vous souhaitez appliquer. Il n'existe pas de

politique par défaut.

Exceptions centralisées

Vous pouvez effectuer un certain nombre de tâches individuelles et communes àtous les types de politiques.

Tableau 6-2 Tâches communes à toutes les politiques

DescriptionTâche

Pour ne pas utiliser l'une des politiques par défaut, vouspouvez ajouter une nouvelle politique. Vouspouvez ajouter

des politiques partagées ou des politiques non partagées.Remarque : Si vous ajoutez ou modifiez des politiquespartagées dans la page Politiques, vous devez égalementattribuer les politiques à un groupe ou emplacement.Autrement ces politiques ne prennent pas effet.

Sereporterà "Ajouter une politique partagée."àlapage101.

Se reporter à "Ajout d'une nouvelle politique non partagéedans la page Clients" à la page 102.

Se reporter à "Ajout d'une nouvelle politique non partagéeà partir d'une politique existante dans la page Clients"

à la page 103.

Se reporter à "Ajout d'une nouvelle politique non partagéeà partir d'un fichier de politique précédemment exportédans la page Clients" à la page 104.

Ajouter une politique

Pour ne pas changer les paramètres d'une politique, vouspouvez la modifier.

Se reporter à "Modifier une politique" à la page 104.

Modifier une politique




DescriptionTâche

Pour utiliser une politique, vous devez l'attribuer à un ouplusieurs groupes ou emplacements.

Se reporter à "Affectation d'une politique partagée"à la page 105.

Attribuer une politique

Selonla bandepassante disponible, vouspouvez configurerun client pour qu'il utilise le mode 'push' ou le mode 'pull'comme méthode de mise à jour.

Se reporter à "A propos de la mise à jour des politiques surles clients" à la page 116.

Se reporter à "Configurer le mode de transfert ou le modede traction pour mettre à jour les politiques client et le

contenu" à la page 117.

Mettre à jour les politiquessur des clients.

Vous pouvezremplacerunepolitiquepartagée paruneautrepolitique partagée. Vous pouvez remplacer la politiquepartagée dans tous les emplacements ou pour un seulemplacement.

Se reporter à "Remplacementd'une politique"àlapage113.

Remplacer une politique

Au lieud'ajouterune nouvellepolitique, vouspouvez copierune politique existante pour l'utiliser comme base de lanouvelle politique.

Se reporter à "A propos de la copie des politiques"à la page 111.

Se reporter à "Copier et coller une politique de groupe"à la page 113.

Se reporter à "Coller une politique" à la page 112.

Se reporter à "Copie d'une politique partagée ou nonpartagée dans la page Clients" à la page 111.

Se reporter à "Copie d'une politique partagée dans la pagePolitique" à la page 111.

Copieret collerunepolitique.

Vous pouvezimporterunepolitique partagée ounonpartagéet l'appliquer à un groupe ou à un emplacement spécifique.

Se reporter à "Importation d'une politique" à la page 110.

Importer une politique

Vouspouvez exporterunepolitique existante si vousvoulezl'utiliser sur un autre site.

Se reporter à "Exporter une politique" à la page 109.

Exporter une politique


98



DescriptionTâche

Vous pouvez copier le contenu d'une politique partagée etcréer unepolitique nonpartagée à partirde ce contenu. Unecopie permetde modifier le contenu d'une politiquepartagéedans un seul emplacement et non dans tous lesemplacements. La copie remplace la politique nonpartagéeexistante.

Se reporter à "Conversion d'une copie d'une politiquepartagée en politique non partagée" à la page 115.

Vous pouvez convertir une politique partagée en politiquenon partagé si la politique ne s'applique plus à tous lesgroupes ou à tous lesemplacements. Une fois la conversionterminée, la politique convertie et son nouveau nom

s'affichent sous Politiques et paramètres spécifiques àl'emplacement.

Se reporter à "Copie d'une politique partagée pour laconvertir en politique non partagée" à la page 115.

Pour convertir une politiquepartagée en politique nonpartagée

Si vous ne voulez passupprimer une politiquebienque vousn'ayez cessé de l'utiliser, vous pouvez la retirer.

Vous pouvez retirer toute politique sauf la Politiqueantivirus et antispyware et une Politique de paramètresLiveUpdate.

Se reporter à "Retrait d'une politique" à la page 106.

Retirer une politique

Si vous n'utilisez plus une politique, vous pouvez lasupprimer.

Se reporter à "Supprimer une politique" à la page 107.

Supprimer une politique

A propos des politiques partagées et non partagéesLes politiques peuvent être partagées ou non. Une politique partagée s'appliqueà n'importe quel groupe et emplacement. Si vous créez des politiques partagées,

vous pouvez aisément modifier et remplacer une politique dans tous les groupeset emplacements qui l'utilisent. Vous pouvez avoir des politiques partagéesmultiples.

Vous pouvez appliquer des politiques partagées au niveau du groupe de Monentreprise ou un niveau inférieur et les sous-groupes de groupe peuvent hériterdes politiques.

Utilisation des politiquesA propos des politiques partagées et non partagées



Une politique non partagée s'applique à un emplacement spécifique d'un groupe.Vous ne pouvez avoir qu'une politique paremplacement.Vous pouvez avoir besoind'une politique spécialisée pour un emplacement particulier qui existe déjà. Dans

ce cas, vous pouvez créer une politique spécifique à un emplacement.Vouspouvezappliquerunepolitiqueàungroupeouemplacementouvouspouvezappliquer des politiques de sécurité distinctes pour chaque emplacement d'ungroupe. Par exemple, des emplacements multiples ont été attribués à un groupe.Les utilisateurs peut devoir se connecter à un réseau d'entreprise en utilisantdifférents emplacements au bureau ou à domicile. Vous pouvez devoir appliquerune politique différente avec son propre jeu de règles et de paramètres à chaqueemplacement.

Vous appliquez une politique séparée à chaque groupe d'utilisateurs oud'ordinateurs. Les utilisateurs distants utilisent normalement l'ADSL et le RNIS

pourlesquels vous pouvez avoir besoin d'une connexion VPN. D'autresutilisateursdistants peuvent vouloir appeler pour se connecter au réseau d'entreprise partéléphone. Les employés qui travaillent au bureau utilisent typiquement uneconnexion Ethernet. Cependant, les groupes commerciaux et marketing peuventégalement utiliser des connexions sans fil. Chacun de ces groupes nécessite sapropre politique de pare-feu pour lesemplacements à partir desquels il se connecteau réseau de l'entreprise.

Vous pouvez vouloir mettre en application une politique restrictive en ce quiconcerne l'installation d'applications non certifiées sur la plupart des postes detravail des employés pour protéger le réseau d'entreprise contre les attaques.

Votre groupe Informatique peut nécessiter d'accéder à des applicationssupplémentaires.Parconséquent, le groupe informatique peut avoir besoind'unepolitique de sécurité moins restrictive que les employés typiques. Dans ce cas,vous pouvezcréer unepolitiquede pare-feu différente pour le groupeinformatique.

Quand vous créez une nouvelle politique, vous démarrez des régles et desparamètres de sécurité par défaut. Modifiez la politique pour les personnaliser.

Se reporter à "Utilisation de politiques pour gérer la sécurité du réseau"à la page 96.

A propos de l'ajout de politiquesVous pouvez ajouter une politique comme politique partagée ou non partagée.

En général, vous ajoutez n'importe quelle politique partagée par les groupes lesemplacements dans la page Politiques de l'onglet Politiques. Toutefois, ajouteztoute politique non partagée entre les groupes, s'appliquant uniquement à unemplacement spécifique, dans la page Clients.

Utilisation des politiquesA propos de l'ajout de politiques

100



Si vous décidez d'ajouter une politique dans la page Clients, vous le faire à l'aidede l'une des méthodes suivantes :

■ Basez une nouvelle politique sur une politique existante.

■ Créez une politique.

■ Importez une politique à partir d'une politique précédemment exportée.

Se reporter à "Ajouter une politique partagée." à la page 101.


Ajouter une politique partagée.

Vous ajoutez typiquement une politique partagée dans la page Politiques au lieude la page Clients. Les emplacements, comme les groupes, peuvent partager lamême politique. Vous devez affecter la politique partagée après l'avoir ajoutée.

Vous pouvez ajouter une politique non partagée depuis la page Clients.


Pour ajouter une politique partagée dans la page Politiques

1 Dans la console, cliquez sur Politiques.

2 Sous Afficher les politiques, sélectionnez l'un des types de politique.

3 Sous Tâches, cliquez sur Ajouter untype de politique Politique.

4 Dans la page type de politique Politique, dans le volet Présentation, tapez lenom et la description de la politique.

5 Sinon l'option n'est pas déjà cochée, cochez Activer cette politique.

6 Dans le volet gauche, sélectionnez l'une des vues suivantes :

Toutes les politiques qui ont été attribuées à des groupes et desemplacements sont représentées comme des icones.

Affichage sousformed'arborescence

Toutes les politiques qui ont été attribuées à des groupes et desemplacements sont représentées dans une liste.

Affichage sousforme de liste

7 Pour configurer la politique, sous Afficher les politiques, cliquez sur un typede politique, tel que Protection antivirus et antispyware.

8 Quand vous avez terminé de configurer la politique, cliquez sur OK.




9 Dans la boîte de dialogue Assigner la politique, effectuez l'une desopérationssuivantes :

■ Pour affecter la politique à un groupe ou un emplacement maintenant,

cliquez sur Oui, puis passez à l'étape 10.

■ Pour affecter lapolitique à un groupe ou unemplacement plus tard, cliquezsur Non.

Se reporter à "Affectation d'une politique partagée" à la page 105.

Vous devez attribuer la politique à un groupe ou à un emplacement, sinonles ordinateurs client ne reçoivent pas la politique.

10 Dans la boîte de dialogue Assigner la politique type de politique, cochez lesgroupes et les emplacements auxquels doit s'appliquer la politique.

11 Cliquez sur Assigner.

12 Pour confirmer, cliquez sur Oui.

Ajout d'une nouvelle politique non partagée dans la page Clients

Si vous créez une politique non partagée dans la page Clients, la politiques'applique uniquement à un emplacement spécifique.

Pour ajouter une nouvelle politique non partagée dans la page Clients :

1 Dans l'assistantAjouter unepolitiquepour nom d'emplacement , sélectionnezle type de politique à ajouter et cliquez sur Suivant.

2 Cliquez sur Créer une nouvelle politique et cliquez sur Suivant.


102



3 Dans le volet Présentation de politique type de politique, tapez le nom et ladescription de la politique.

4 Pour configurer la politique, sous Afficher les politiques, cliquez sur l'un des

types de politique suivants :

Se reporter à "A propos de l'utilisation des politiquesantivirus et antispyware" à la page 438.

Antivirus et antispyware

Se reporter à "A propos de l'utilisation des politiquesde pare-feu" à la page 518.

Pare-feu

Se reporter à "A propos de l'utilisation des politiquesde prévention d'intrusion" à la page 545.


Se reporter à "A propos de l'utilisation du contrôle des

applications et des périphériques " à la page 609.

Contrôle d'application et de

périphérique

Intégrité de l'hôte

Se reporter à "A propos des politiques LiveUpdate"à la page 150.

LiveUpdate

Se reporter à "A propos de l'utilisation des politiquesd'exceptions centralisées" à la page 647.

Exceptions centralisées

Ajout d'une nouvelle politique non partagée à partir d'une politiqueexistante dans la page Clients

Vous pouvez ajouter une nouvelle politique non partagée à partir d'une politiqueexistante dans la page Clients.


Pour ajouter une nouvelle politique non partagée à partir d'une politique existante

dans la page Clients :

1 Dans l'assistant Ajouter unepolitiquepour nom d'emplacement , sélectionnez

le type de politique à ajouter et cliquez sur Suivant.

2 Cliquez sur Utiliserunepolitiquepartagéeexistante et cliquez sur Suivant.

3 Dans la boîte de dialogue Ajouter une politique, sélectionnez une politiqueexistante dans la liste déroulante.

4 Cliquez sur OK.




Ajout d'une nouvelle politique non partagée à partir d'un fichier depolitique précédemment exporté dans la page Clients

Vous pouvez ajouter une nouvelle politique non partagée à partir d'un fichier depolitique précédemment exporté dans la page Clients.


Pour ajouter une nouvelle politique non partagée à partir d'un fichier de politique

précédemment exporté dans la page Clients

1 Dans l'assistantAjouter unepolitiquepour nom d'emplacement , sélectionnezle type de politique à ajouter et cliquez sur Suivant.

2 Cliquez sur Importer une politique à partir d'un fichier de politique et

cliquez sur Suivant.3 Dans la boîte de dialogue Importer la politique, localisez le fichier .dat qui a

été précédemment exporté.

4 Cliquez sur Importer.

Modifier une politiqueVous pouvez modifier les politiques partagées dans l'onglet Politiques de la pagePolitiques et dans la page Client. Cependant, vous ne pouvez modifier que des

politiques non partagées dans la page Clients.Se reporter à "Utilisation de politiques pour gérer la sécurité du réseau"à la page 96.

Les emplacements et lesgroupes peuvent partager la même politique. Vous devezattribuer une politique partagée après l'avoir modifié.

Vous pouvez modifier les politiques non partagées et partagées dans la pageClients.

Pour modifier une politique partagée dans la page Politiques :


2 Dans la page Politiques, sous Afficher les politiques, cliquez sur le type depolitique.

3 Dans le volet Politiques type de politique, cliquez sur la politique à modifier.

4 Sous Tâches, cliquez sur Modifier la politique.

Utilisation des politiquesModifier une politique

104



5 Dans le volet Présentation de politique type de politique, moditifiez le nomet la description de la politique, si nécessaire.

6 Pour modifier la politique, cliquez sur l'un des types de politiques dans les

pages Politique.

Pour modifier une politique partagée ou non partagée dans la page Clients :


2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe pourlequel vous souhaitez modifier une politique.


paramètres du groupe parent "nom de groupe".

Vous devez désactiver l'héritage pour ce groupe. Si vous ne désélectionnez

pas l'héritage, vous ne pouvez pas modifier la politique.

4 Sous Politiques et paramètres dépendants de l'emplacement, faites défiler lemenu pour trouver le nom de l'emplacement dont vous souhaitez modifierla politique.

5 Recherchez la politique spécifique pour l'emplacement que vous voulezmodifier.

6 A droite de la politique sélectionnée, cliquez sur Tâches puis sur Modifier

une politique.

7 Effectuez l'une des tâches suivantes :

■ Pour modifier une politique non partagée, passez à l'étape 8.

■ Pour modifier une politique partagée, cliquez sur Modifier une politique

partagée dans la boîte de dialogue Modifier une politique pour modifierla politique dans tous les emplacements.

8 Vous pouvez cliquer sur un lien pour le type de politique à modifier.

Affectation d'une politique partagée

Après avoir créé une politique partagée dans la page Politiques, vous devezl'affecterà un ou plusieursgroupes et emplacements. Lespolitiquesnonaffectéesne peuvent pas être téléchargées vers les ordinateurs client du groupes et desemplacements. Si vous n'affectez pas la politique lorsque vous l'ajoutez, vouspouvez l'affecter à des groupes et des emplacements plus tard. Vous pouvezégalement affecter une politique à un groupe ou un emplacement différent.


Utilisation des politiquesAffectation d'une politique partagée



Pour affecter une politique partagée

1 Créer une politique partagée


2 Dans la page Politiques, sous Afficher les politiques, cliquez sur le type depolitique à affecter.

3 Dans le volet Politique type de politique, sélectionnez la politique à affecter.

4 Dans la page Politiques, sous Tâches, cliquez sur Assigner la politique.

5 Dans la boîte de dialogue Assigner type de politiquela politique, cochez lesgroupes et les emplacements auxquels doit s'appliquer la politique.


7 Cliquez sur Oui pour confirmer que vous voulez affecter la politique.

Retrait d'une politiqueIl se peut que vous souhaitiez retirer une politique d'un groupe ou d'unemplacement dans certaines situations, notamment lorsqu'un groupe particuliera rencontré des problèmes suite à l'introduction d'une nouvelle politique. Si vousretirez une politique, celle-ci est automatiquement retirée des groupes et desemplacements auquels vous l'avez attribuée. La politique demeure toutefois dansla base de données.


Vous pouvez retirer toutes les politiques de la page Politiques, à l'exception despolitiques suivantes :

■ Antivirus et Antispyware

■ LiveUpdate

Remarque : Vous devez retirer une politique de tous les groupes et emplacementsavant de la supprimer. Vous ne pouvez pas retirer une politique d'antivirus, de

protection antispywareou une politique LiveUpdate d'un emplacement ou groupe.Vous pouvez les remplacer seulement par une autre politique d'antivirus, deprotection antispyware ou par une autre politique LiveUpdate.

Utilisation des politiquesRetrait d'une politique

106



Pour retirer une politique partagée de la page Politiques


2 Dans la page Politiques, sous Afficher les politiques, cliquez sur le type depolitique que vous souhaitez retirer.

3 Dans le volet Politiques type de politique, cliquez sur la politique que voussouhaitez retirer.

4 Dans la page Politiques, sous Tâches, cliquez sur Retirer la politique.

5 Dans la boîte de dialogue Retirer la politique, cochez les groupes et lesemplacements dont vous souhaitez retirer la politique.

6 Cliquez sur Retirer.

7 Lorsque vous êtes invité à confirmer le retrait de la politique des groupes et

emplacements, cliquez sur Oui.

Pour retirer une politique partagée ou non-partagée de la page Clients


2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe pourlequel vous souhaitez retirer une politique.

3 Dans l'onglet Politiques, désactivez l'option Hériter les politiques et les



pas l'option d'héritage, vous ne pourrez pas retirer la politique.4 Sous Politiques et paramètres spécifiques à l'emplacement, faites défiler le

menu pour trouver le nom de l'emplacement dont vous souhaitez retirer lapolitique.

5 Recherchez la politique à retirer de l'emplacement sélectionné.

6 Cliquez sur Tâches puis sur Retirer la politique.

7 Dans la boîte de dialogue Retirer la politique, cliquez sur Oui.

Supprimer une politiqueVous pouvez devoir supprimer une politique qui s'applique à des groupes et desemplacements. Par exemple, des directives d'entreprise peuvent changer etnécessiter la mise en place de différentes politiques. Quand de nouveaux groupesde sociétés sont ajoutés, vous pouvez devoir supprimer d'anciens groupes et lespolitiques associées.

Utilisation des politiquesSupprimer une politique




Vous pouvez supprimer une politique partagée ou non partagée. A mesure que

vous ajoutez des groupes et des emplacements, vous pouvez être amené àsupprimer d'anciennes politiques.

Pour supprimerunepolitiquenonpartagée,retirez-la et supprimez-la en utilisantla même commande.

Remarque : Vous devez préalablement retirer une politique affectée à un groupeou un emplacement pour pouvoir supprimer la politique. Vous ne pouvez passupprimer une politique antivirus et de protection antispyware, ni une politiqueLiveUpdate. Vous devez la remplacer par une autre politique de protectionantispyware ou LiveUpdate, puis vous pouvez supprimer la politique d'origine deprotection antispyware ou une politique LiveUpdate. Vous devez disposer d'aumoins une politique de protection antispyware et une politique LiveUpdate pourchaque groupe et chaque emplacement.

Pour supprimer une politique partagée dans la page Politique


2 Dans la page Politiques, sous Afficher les politiques, sélectionnez le type depolitique à supprimer.

La politique peut avoir été affectée ou non à un ou plusieurs groupes etemplacements.

3 Danslevolet typede politique Politiques, cliquez surla politiqueà supprimer.

4 Dans la page Politiques, sous Tâches, cliquez sur Supprimer la politique.

5 Lorsqu'unmessage vous demande de confirmerla suppression de la politiqueque vous avez sélectionnée, cliquez sur Oui.

Pour supprimer une politique non partagée dans la page Clients


2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe pourlequel vous voulez supprimer une politique.



Vous devez désactiver l'héritage pour ce groupe. Si vous ne désélectionnezpas l'option d'héritage, vous ne pouvez pas supprimer la politique.

Utilisation des politiquesSupprimer une politique

108



4 Sous Politiques et paramètres dépendants de l'emplacement, faites défiler lemenu jusqu'à ce que vous trouviez le nom de l'emplacement dont vous voulezsupprimer la politique.

5 Recherchez la politique à supprimer associée à l'emplacement.

6 A droite de la politique sélectionnée, cliquez sur Tâches, puis sur Retirer la

politique.

Lorsque vous retirez la politique, vous la supprimez. Vous ne pouvez passupprimer une politique antivirus et de protection antispyware, ni unepolitique LiveUpdate d'un emplacement. Vous ne pouvez la remplacer quepar une autre politique.

7 Cliquez sur Oui.

Exporter une politiqueVous pouvez exporter des politiques existantes vers un fichier .dat. Par exemple,vous pouvez exporter unepolitique pour l'utiliser sur un site différent. Sur l'autresite, vous devez importer la politique en utilisant le fichier .dat du site d'origine.Tous les paramètres associés à la politique sont exportés automatiquement.


Vous pouvez exporter une politique partagée ou non partagée.

Pour exporter une politique partagée dans la page Politiques


2 Dans la page Politiques, sous Afficher les politiques, cliquez sur le type depolitique à exporter.

3 Dans le volet type de politique Politiques, cliquez sur la politique à exporter.

4 Dans la page Politiques, sous Tâches, cliquez sur Exporter la politique.

5 Dans la boîte de dialogue Exporter la politique, recherchez le dossier verslequelvous voulezexporter le fichier de politiques, puis cliquez sur Exporter.

Pour exporter une politique partagée ou non partagée dans la page Clients


2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe pourlequel vous voulez exporter une politique.

Utilisation des politiquesExporter une politique






pas l'option d'héritage, vous ne pourrez pas exporter la politique.

4 Sous Politiques et paramètres dépendants de l'emplacement, faites défiler lemenu jusqu'à ce que vous trouviez le nom de l'emplacement dont vous voulezexporter la politique.

5 Recherchez la politique à exporter associée à l'emplacement.

6 A droite de la politique, cliquez sur Tâches, puis sur Exporter la politique.

7 Dans la boîte de dialogue Exporter la politique, recherchez le dossier verslequel vous voulez exporter la politique.

8 Dans la boîte de dialogue Exporter la politique, cliquez sur Exporter.

Importation d'une politiqueVous pouvez importer un fichier de politique et l'appliquer à un groupe ou à unemplacement uniquement. Le fichier d'importation porte l'extension .dat.

Vous pouvez importer une politique partagée ou non partagée pour unemplacement particulier dans la page Clients.

Se reporter à "Ajout d'une nouvelle politique non partagée à partir d'un fichier

de politique précédemment exporté dans la page Clients" à la page 104.Se reporter à "Utilisation de politiques pour gérer la sécurité du réseau"à la page 96.

Pour importer une politique


2 Dans la page Politiques, sous Afficher les politiques, cliquez sur le type depolitique à importer.

3 Dans le volet Politiques de type de politique, cliquez sur lapolitique à importer.

4 Dans lapage Politiques, sous Tâches, cliquez sur Importerun type de politiquePolitique.

5 Dans la boîte de dialogue Importer la politique, recherchez le fichier depolitique à importer, puis cliquez sur Importer.

Utilisation des politiquesImportation d'une politique

110



A propos de la copie des politiquesVous pouvez copier les politiques avant de les personnaliser. Après avoir copié

une politique, vous devez la coller.Se reporter à "Coller une politique" à la page 112.

Copie d'une politique partagée dans la page PolitiqueVous pouvez copier une politique partagée dans la page Politique.

Vous pouvez également copier une politique partagée sur la page Clients.

Sereporterà "Copied'une politique partagée ou non partagée dans la page Clients"à la page 111.

Pour copier une politique partagée dans la page Politique


2 Sur la page Politiques, sous Afficher les politiques, cliquez sur le type depolitique que vous voulez copier.

3 Dans le volet Politiques type de police, cliquez sur la politique que voussouhaitez copier.

4 Sur la page Politiques, sous Tâches, cliquez sur Copier la politique.

5 Dans la boîte de dialogue Copier la politique, cliquez sur Ne plus afficher ce

message.

Vous ne devez cocher cette option que si vous ne souhaitez plus être informéde ce processus. Le message indique que la politique a été copiée vers lepresse-papiers et est prête à être collée.

6 Cliquez sur OK.

Copie d'une politique partagée ou non partagée dansla page Clients

Vous pouvez copier une politique partagée ou non partagée dans la page Clients.Vous devez toutefois la coller ultérieurement dans la page Clients.

Vous pouvez également copier des politiques partagées dans la page Politique.

Sereporterà"Copie d'une politique partagée dans la page Politique"àlapage111.

Utilisation des politiquesA propos de la copie des politiques



Pour copier une politique partagée ou non partagée dans la page Clients


2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe pourlequel vous souhaitez copier une politique.

3 Dans l'onglet Politiques, sous Politiques et paramètres dépendants de

l'emplacement, recherchez l'emplacement à partir duquel vous souhaitezeffectuer une copie.

4 Recherchez la politique qui correspond à cet emplacement.

5 A droite de la politique, cliquez sur Tâches, puis cliquez sur Copier.

6 Cliquez sur OK.

Coller une politiqueVous devez avoir copié une politique afin de pouvoir la coller.

Concernant les politiques partagées, lorsque vous en collezune, elle apparaît dansle volet droit. Les mots "Copie de" sont ajoutés au début du nom de la politiquepour la distinguer comme étant une copie. Vous pouvez ensuite modifier le nomde la politique copiée.

Se reporter à "A propos de la copie des politiques" à la page 111.

Pour coller une politique partagée dans la page Politique


2 Dans la page Politiques, sous Afficher les politiques, cliquez sur le type depolitique à coller.

3 Dans le volet Politiques type de politique, cliquez sur la politique à coller.

4 Dans la page Politiques, sous Tâches, cliquez sur Coller une politique.

Pour coller une politique partagée ou non partagée dans la page Clients


2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe pourlequel vous souhaitez coller une politique.



Vous devez désactiver l'héritage pour ce groupe. Si vous ne désélectionnezpas l'option d'héritage, vous ne pourrez pas coller la politique.

Utilisation des politiquesColler une politique

112



4 Sous Politiques et paramètres dépendants de l'emplacement, faites défiler lemenu pour trouver le nom de l'emplacement dont vous souhaitez coller lapolitique.

5 Recherchez la politique pour l'emplacement à coller.

6 À droite de la politique, cliquez sur Tâches puis sur Coller.

7 Lorsque vous êtes invité à remplacer la politique existante, cliquez sur Oui.

Copier et coller une politique de groupeVous pouvez copier les paramètres, les emplacements et les politiques de groupequi sont attribuées à un groupe et les coller sur un autre groupe. Les paramètres,lesemplacements et lespolitiquesnouvellement copiés remplacent lesparamètres

de politiques existantes du groupe qui reçoit le collage.


Pour copier et coller une politique de groupe

1 Dans la console, cliquez sur Clients, puis cliquez sur l'onglet Politiques.

2 Cliquez sur le groupe dont vous voulez copier les politiques.

3 Sous Tâches, cliquez sur Copier la politique de groupe.

4 Cliquez sur le groupe sur lequel vous voulez copier les politiques.

5 Sous Tâches, cliquez sur Copier la politique de groupe.

6 Dans la boîte de dialogue de confirmation, cliquez sur Oui.

Remplacement d'une politiqueIl se peut que vous souhaitiez remplacer une politique partagée par une autre.Vous pouvez remplacer la politique partagée dans tous lesemplacementsou pourun seul emplacement.

Quand vous remplacez une politique pour tous les emplacements, le serveur degestion ne remplace la politique que pour les emplacements auxquels cettepolitique a été attribuée. Par exemple, supposez que le groupe Ventes utilise lapolitique Ventes pour trois de ses quatre emplacements. Si vous remplacez lapolitique Ventes par la politique Marketing, ce changement ne concernera queces trois emplacements.

Vous pouvez définir que les clients d'un groupe utilisent les mêmes paramètresindépendamment de leur emplacement. Dans ce cas, vous pouvez remplacer une

Utilisation des politiquesCopier et coller une politique de groupe



politique non partagée par une politique partagée. La politique non partagée doitêtre remplacée par une politique partagée pour chaque emplacementindividuellement.


Pour remplacer une politique partagée pour tous les emplacements


2 Sur la page Politiques, sous Afficher les politiques, cliquez sur le type depolitique que vous voulez remplacer.

3 Dans le volet Politiques de type de politique, cliquez sur la politique.

4 Dans la page Politiques, sous Tâches, cliquez sur Remplacer la politique.

5 Dans la boîte de dialogue Remplacer la politique type de politique, dans lalistedéroulanteNouvelle politique typede politique, sélectionnezla politiquepartagée qui remplace l'ancienne.

6 Sélectionnez les groupes et les emplacements dont vous voulez remplacer lapolitique.

7 Cliquez sur Remplacer.

8 Quand vous êtes invité à confirmer le remplacement de la politique pour lesgroupes et les emplacements, cliquez sur Oui.

Pour remplacer une politique partagée ou une politique non partagée pour un

emplacement


2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe dontvous souhaitez remplacer la politique.



Vous devez désactiver l'héritage pour ce groupe. Si vous ne désélectionnezpas l'option d'héritage, vous ne pourrez pas remplacer la politique.

4 Sous Politiques et paramètres dépendants de l'emplacement, recherchezl'emplacement qui contient la politique.

5 A côté de la politique que vous voulez remplacer, cliquez sur Tâches, puissur Remplacer la politique.

6 Dans la boîte de dialogue Remplacer la politique, dans la liste déroulanteNouvelle politique, sélectionnez la politique de remplacement.

7 Cliquez sur OK.

Utilisation des politiquesRemplacement d'une politique

114



Copie d'une politique partagée pour la convertir enpolitique non partagée

Pour convertir une politique partagée existante en une politique non partagéeparce qu'elle ne s'applique plus à tous les groupes ou emplacements partageantcette politique.

Une fois la conversion terminée, la politique convertie et son nouveau noms'affichent sous Politiques et paramètres dépendants de l'emplacement.

Pour convertir une politique partagée en politique non partagée


2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe pour

lequel vous souhaitez convertir une politique.3 Dans le volet qui est associé au groupe que vous avez sélectionné lors de

l'étape précédente, cliquez sur Politiques.



Si vous ne désélectionnez pas l'option d'héritage, vous ne pourrez exporteraucune politique.

5 Sous Politiques et paramètres dépendants de l'emplacement, faites défilerpour trouver le nom de l'emplacement et de la politique dépendant de

l'emplacement à convertir.6 A côté de la politique spécifique, cliquez surTâches,puiscliquezsur Convertir

en politique non partagée.

7 Dans la boîte de dialogue Présentation, modifiez le nom et la description dela politique.

8 Cliquez sur OK.

Conversion d'une copie d'une politique partagée en

politique non partagéeVous pouvez copier le contenu d'une politique partagée et créer unepolitique nonpartagée à partir de ce contenu. Une copie permet de modifier le contenu d'unepolitique partagée dans un seul emplacement et non dans tous les emplacements.La copie remplace la politique non partagée existante.

Utilisation des politiquesCopie d'une politique partagée pour la convertir en politique non partagée



Pour convertir une copie d'une politique partagée en politique non partagée


2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe dontvous souhaitez remplacer la politique.



Vous devez désactiver l'héritage pour ce groupe. Si vous ne désactivez pasl'héritage, vous ne pourrez pas remplacer la politique.

4 Sous Politiques et paramètres dépendants de l'emplacement, recherchezl'emplacement qui contient la politique.

5 Cliquez sur Tâches, puis sur Modifier la politique, à côté de la politique à

remplacer.6 Dans la boîtede dialogue Modifier la politique, cliquez sur Créerunepolitique

non partagée à partir d'une copie.

7 Modifiez la politique.



A propos de la mise à jour des politiques sur les

clientsLorsque vous configurez des politiques sur le serveur de gestion, vous devezobtenir desmises à jour de politiquestéléchargéessur lesclients. Dans la console,vous pouvez configurer les clients pour qu'ils utilisent l'une des deux méthodesde mise à jour suivantes :

Le client se connecte à Symantec Endpoint Protection Managerpériodiquement, selon la fréquence du paramètre de battement. Leclient vérifie l'état du serveur de gestion lorsqu'il se connecte.

mode 'pull'(extraction)

Le client établit une connexion HTTP permanente au serveur degestion. Dès que l'état du serveur de gestion change, le client en estimmédiatement informé.

mode 'push'

Dans l'un de ces modes, le client effectue l'opération suivante en fonction duchangement d'état du serveur de gestion. Puisqu'elle requiert une connexionpermanente, le mode 'push' nécessite une large bande passante réseau. Le plussouvent, vous pouvez configurer les clients en mode d'extraction.

Utilisation des politiquesA propos de la mise à jour des politiques sur les clients

116



Se reporter à "Configurer le mode de transfert ou le mode de traction pour mettreà jour les politiques client et le contenu" à la page 117.

Un battementestla fréquenceà laquelle lesordinateurs clientchargent lesdonnées

tellesquelesentrées de journal et lespolitiquesde téléchargement. Un battementest un protocole que chaque client utilise pour communiquer avec SymantecEndpoint Protection Manager. Le premier battement se produit juste après ledémarrage du client. Le battement suivant se produit à la fréquence de battementque vous avez définie.

La fréquence debattement est un facteurclé dansle nombredeclients que chaqueSymantec Endpoint ProtectionManager peutprendreen charge.Si vous définissezune fréquence de battement sur au moins 30 minutes, elle limite le nombre totalde clients que Symantec Endpoint Protection Manager peut prendre en charge.Pour les déploiements d'un minimum de 1 000 clients, vous devez définir la

fréquence de battement à la durée maximale qui correspond aux exigences desécurité d'une entreprise. Parexemple, pour mettreà jour despolitiquesde sécuritéet collecter des journaux quotidiennement, définissez alors la fréquence debattement sur 24 heures. Consultez les services professionnels et le supportd'entreprise de Symantec pour évaluer la configuration appropriée, le matérielet l'architecture réseau appropriés pour votre environnement réseau.

Configurer le mode de transfert ou le mode detraction pour mettre à jour les politiques client et lecontenu

Vous pouvez indiquer si le serveur de gestion transfère la politique aux clientsou si les clients extraient la politique du serveur de gestion. Le paramètre pardéfaut est mode de transfert. Si vous sélectionnez le mode extraction, les clientsse connectent alors par défaut au serveur de gestion toutes les 5 minutes, maisvous pouvez modifier cet intervalle de battements par défaut.

Se reporter à "Aproposdelamiseàjourdespolitiquessurlesclients" àlapage116.

Vous pouvez définir le mode pour un groupe ou pour un emplacement.

Pour configurer le mode de transfert ou le mode extraction pour un groupe


2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe pourlequel vous souhaitez indiquer s'il faut transférer ou extraire les politiques.

3 Dans la page Clients, cliquez sur l'onglet Politiques.

Utilisation des politiquesConfigurer le mode de transfert ou le mode de traction pour mettre à jour les politiques client et le contenu





5 Dans le volet Politiquesetparamètresindépendantsdel'emplacement ,sous

Paramètres, cliquez sur Paramètres de communication.

6 Dans la boîte de dialogue Paramètres de communication du nom du groupe,sous Téléchargement, vérifiez que l'option Télécharger les politiques et

contenus depuis le serveur de gestion est cochée.

7 Effectuez l'une des opérations suivantes :

■ Cliquez sur Mode "Push".

■ Cliquez sur Mode d'extraction, puis sous Intervalle de battement,définissez le nombre de minutes ou d'heures de l'intervalle.

8 Cliquez sur OK.Procédure de définition du mode "Push" ou d'extraction pour un emplacement


2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe pourlequel vous souhaitez indiquer s'il faut transférer ou extraire les politiques.

3 Dans la page Clients, cliquez sur l'onglet Politiques.



2 Sous Politiquesetparamètresdépendantsdel'emplacement,sous Politiquesspécifiques aux emplacements pour l'emplacement que vous souhaitezmodifier, développez Paramètres spécifiques aux emplacements.

3 Sous Paramètres spécifiques aux emplacements, à la droite de Paramètres

de communication, cliquez sur Tâches et désélectionnez Utiliser les

paramètres de communication du groupe.

4 A droite de Paramètres de communication, cliquez sur Local - Transfert ou(Local - Extraction).


■ Cliquez sur Mode "Push".

■ Cliquez sur Mode d'extraction, puis sous Intervalle de battement,définissez le nombre de minutes ou d'heures de l'intervalle.

6 Cliquez sur OK.

Utilisation des politiquesConfigurer le mode de transfert ou le mode de traction pour mettre à jour les politiques client et le contenu

118



Afficher le numéro de série de politiqueVous devriez vérifier le numéro de série de politique sur le client pour vérifier

qu'il correspond au numéro de série qui apparaît dans la console de gestion. Si leclient communique avec le serveur de gestion et reçoit les mises à jour régulièresde la politique, les numéros de série devraient correspondre.

Si les numéros de série de politique ne correspondent pas, vous pouvez essayerde mettre à jour manuellement les politiques sur l'ordinateur client et de vérifierles journaux de dépannage.

Sereporterà "Mise à jour manuelle de la politique pour vérifier le numéro de sériede la politique" à la page 119.

Pour afficher le numéro de série de politique dans la console de gestion

1 Dans le serveur de gestion, dans la console, cliquez sur Clients.2 Sous Afficher les clients, sélectionnez le groupe de votre choix, puis cliquez

sur Détails.

Le numéro de série de politique et la date de politique apparaissent au bas dela liste de détails.

Pour afficher le numéro de série de politique sur le client

1 Sur l'ordinateur client, dans le client, dans le menu Aide et support,sélectionnez Dépannage.

2 Dans l'onglet Gestion, regardez le numéro de série de politique.

Le numéro de série devrait correspondre au numéro de série de la politiqueque le serveur de gestion transfère au client.

Mise à jour manuelle de la politique pour vérifier lenuméro de série de la politique

Vous pouvez effectuer une mise à jour manuelle de la politique pour vérifier si leclient reçoit ou non la dernière mise à jour de la politique. Si le client ne reçoit

pas la mise à jour, il pourrait y avoir un problème avec la communication entrele client et le serveur.

Vous pouvez essayer une mise à jour manuelle de la politique en faisant l'une desactions suivantes :

■ Dans le client, dans le menu Aide et support, dans la boîte de dialogueDépannage, sous Profil de la politique, vous pouvez cliquer sur Mettreàjour.Vous pouvez utiliser cette méthode si vous voulez effectuer une mise à jourmanuelle sur un client particulier.

Utilisation des politiquesAfficher le numéro de série de politique



■ Pour les clients qui sont configurés pour le mode d'extraction, le serveur degestion télécharge despolitiques surle clientà intervalles réguliers(battement).Vous pouvez modifier l'intervalle de battements de sorte que des politiques

soient téléchargéessurle groupe de clients plus rapidement. Après l'intervallede battements, vous pouvez vérifier si les numéros de série de politiquecorrespondent. Pour les clients qui sont configurés pour le mode "Push", lesclients reçoivent toutes les mises à jour de la politique immédiatement.

Après avoir exécuté une mise à jour manuelle de la politique, assurez-vous que lenuméro de série de politique qui apparaît dans le client correspond au numéro desérie qui apparaît dans la console de gestion.

Se reporter à "Afficher le numéro de série de politique" à la page 119.

Pour effectuer une mise à jour manuelle de la politique

1 Sur le client, cliquez sur Aide > Dépannage.2 Dans la boîte de dialogue Dépannage, dans la colonne de gauche, sélectionnez

Gestion.

3 Dans le volet Gestion, sous Profil de la politique, cliquez sur Mise à jour.

Contrôle des applications et services exécutés surles ordinateurs client

Le client surveille et collecte des informations sur les applications et les servicesexécutés surchaqueordinateur. Vous pouvezconfigurer le client pour qu'il collecteles informations d'une liste et envoie la liste au serveur de gestion. La liste desapplications et de leurs caractéristiques porte le nom d'applications apprises.

Vous pouvez utiliser ces informations pour savoir quelles applications vosutilisateurs exécutent. Vous pouvez lesutiliser pour obtenir des informationssurles applications des domaines suivants :

■ Politiques de pare-feu

■ Politiques de contrôle des applications et des périphériques

■ Analyse proactive des menaces TruScan■ Politiques d'intégrité de l'hôte

■ Contrôle des applications réseau

■ Listes de signatures de fichier

Vous pouvez réaliser différentestâches pourconfigurer et utiliser desapplicationsassimilées.

Utilisation des politiquesContrôle des applications et services exécutés sur les ordinateurs client

120



Tableau 6-3 Procédure de contrôle des applications

DescriptionEtapes

Configurez le serveur de gestion de sorte qu'il collecte desinformations sur les applications exécutées sur les ordinateursclient.

Se reporter à "Configuration du serveur de gestion pour lacollecte d'informations sur les applications que les ordinateursclient exécutent" à la page 122.

Activation desapplications assimilées

Vous pouvezutiliserun outil de requête pour rechercher la listed'applications exécutées par lesordinateurs client. Vous pouvezeffectuer desrecherches surdes critères basés sur l'applicationou sur l'ordinateur. Par exemple, vous pouvez rechercher la

versiond'Internet Explorerque chaque ordinateur client utilise.Se reporter à "Recherche d'informations sur les applicationsque les ordinateurs exécutent" à la page 123.

Vous pouvez enregistrer les résultats d'une recherched'applications en vue de l'analyser ultérieurement.

Se reporter à "Enregistrement des résultats d'une recherched'application" à la page 125.

Recherched'applications

Remarque : Danscertains pays, la règlementation locale peutinterdire l'utilisation

desapplicationsapprises sous certaines conditions, par exemple pour obtenir desinformations à partir d'un ordinateur portable lorsqu'un employé se connecte,depuis son domicile, au réseau de votre entreprise à l'aide d'un ordinateur portableque vous lui avez fourni. Avant d'utiliser cet outil, vérifiez que son utilisation estautorisée dans le cadre de la législation en vigueur. Si elle n'est pas autorisée,suivez les instructions pour désactiver cet outil.

Remarque : Le client n'enregistre pas les informationsconcernant les applicationsque les clients de Symantec Network Access Control exécutent. Les applicationsapprises ne sont pas disponibles sur la console si vous avez uniquement installé

Symantec Network Access Control. Si vous intégrez Symantec Network AccessControl à Symantec Endpoint Protection, vous pouvez utiliser l'outil desapplicationsapprises avec lespolitiques d'intégrité de l'hôte. Vous devez installerle module de protection contre les menaces réseau et le module de contrôle desapplications et des périphériques sur le client pour activer cette fonctionnalité.

Utilisation des politiquesContrôle des applications et services exécutés sur les ordinateurs client



Configuration du serveur de gestion pour la collected'informations sur les applications que les

ordinateurs client exécutentVous pouvez activer des applications apprises pour des sites entiers, les groupesd'un site ou les emplacements d'un groupe. La fonction des applications apprisesest activée par défaut pour le site, le groupe et l'emplacement. Vous devez d'abordactiver lesapplicationsapprises pour chaquesite, puis vous pouvezéventuellementactiver lesapplicationsapprises pourlesemplacementset lesgroupesspécifiques.

Pour activer des applications apprises, vous devez effectuer les tâches suivantes :

■ Activez les applications apprises pour le site.

Vous devez activer l'outil d'applications apprises pour un site afin d'utiliserl'outil pour un emplacement ou un groupe spécifique.

■ Autorisez les clients à envoyer les applications apprises au serveur de gestionpar groupe ou par emplacement.

Vous pouvez configurer une notification à envoyer à votre adresse de courrierélectronique lorsque chaque client d'un groupe ou emplacement exécute uneapplication.

Se reporter à "Création des notifications d'administrateur" à la page 314.

Vous pouvez configurer les applications apprises pour les serveurs de gestion

d'un site local ou distant.Pour activer les applications apprises d'un site

1 Dans la console, cliquez sur Admin, puis sur Serveurs.

2 Sous Afficher les serveurs, effectuez l'une des opérations suivantes :

■ Cliquez sur Site local (Site nom_site).

■ Développez Sites distants, puis cliquez sur (Site nom_site).

3 Sous Tâches, cliquez sur Modifier les propriétés de site.

4 Dans la boîtede dialogue Propriétés de site de nom_site, dans l'onglet Général,

cochez Suivre chaque application que les clients exécutent.

5 Cliquez sur OK.

Après avoir activé un site pour collecter les listes des applications apprises desclients, activez les clients pour envoyer les listes au serveur par groupe ou paremplacement.

Utilisation des politiquesConfiguration du serveur de gestion pour la collecte d'informations sur les applications que les ordinateurs client

exécutent

122



Remarque : Vous ne pouvez modifier ce paramètre que pour les sous-groupes quin'héritent pas des politiques et paramètres d'un groupe parent.

Pour envoyer la liste des applications apprises au serveur de gestion


2 Sous Afficher les clients, sélectionnez un groupe.

3 Dans l'onglet Politiques, cliquez sur Paramètres de communication.

4 Dans la boîte de dialogue Paramètres de communication de nom_groupe,assurez-vous que la case Apprendre les applications exécutées sur les

ordinateurs client est cochée.

5 Cliquez sur OK.

Pour envoyer les applications apprises au serveur de gestion pour un emplacement


2 Sous Afficher les clients, sélectionnez un groupe.

3 Sous Politiques et paramètres dépendants de l'emplacement, sélectionnezl'emplacement, puis développez Paramètresdépendants de l'emplacement.

4 A droite de Paramètres de communications,cliquezsur Tâches,puisdécochezUtiliser paramètres de communication du groupe.

L'activation de ce paramètre permet de créer un paramètre d'emplacement

plutôt qu'un paramètre de groupe.5 Cliquez sur Tâches, puis sur Modifier les paramètres.

6 DanslaboîtededialogueParamètresdecommunicationde nom_emplacement ,cochez la case à cocher Apprendre les applications exécutées sur les

ordinateurs client.

7 Cliquez sur OK.

Recherche d'informations sur les applications que

les ordinateurs exécutentUne fois que le serveur de gestion a reçu la liste des applications de la part desclients, vous pouvezrechercher desinformationssurlesapplications. Parexemple,vous pouvez rechercher tous les ordinateurs client qui utilisent une applicationnon autorisée. Vous pouvez ainsi créer une règle de filtrage afin de bloquerl'application sur l'ordinateur client. Vous pouvez également mettre à niveau tous

Utilisation des politiquesRecherche d'informations sur les applications que les ordinateurs exécutent



lesordinateurs client de façon à ce qu'ilsutilisent la dernière version de MicrosoftWord.

Vous pouvez rechercher une application de différentes manières :

■ Par application.

Vous pouvezlimiter la recherche à desapplications ou des détails d'applicationparticuliers, tels que le nom, la signature de fichier, le chemin d'accès, la tailleou la version de l'application ou encore l'heure de sa dernière modification.

■ Par client ou ordinateur client.

Vous pouvez rechercher les applications qu'un utilisateur ou un ordinateurparticulier exécute. Par exemple, vous pouvez rechercher l'adresse IP del'ordinateur.

Vous pouvez également rechercher les noms d'applications à ajouter à une règle

de filtrage, directement dans la politique de pare-feu.

Se reporter à "Ajouter des applications à une règle" à la page 570.

Remarque : Les informations de la zone de texte Recherche ne sont pas collectées jusqu'à ce que vous activez la fonction qui supervise toutes les applications queles clients exécutent. Pour activer cette fonction, accédez à la page Admin, dansla boîte de dialogue Propriétés de site de nom du site de l'onglet Général.

Pour rechercher desinformations sur les applications queles ordinateurs exécutent


2 Dans la page Politiques, sous Tâches, cliquez sur Rechercher des

applications.

3 Dans la boîte de dialogue Rechercherdesapplications , cliquez sur Parcourir

à la droite du champ Rechercher les applications dans.

4 Dans la boîte de dialogue Sélectionner un groupe ou un emplacement,sélectionnez un groupe de clients pour lequel vous souhaitez afficher lesapplications, puis cliquez sur OK.

Vous pouvez spécifier un seul groupe en même temps.

5 Assurez-vous que la case à cocher Rechercher les sous-groupes est cochée.


■ Pour effectuer une recherche basée sur des informations d'utilisateur oud'ordinateur, cliquez sur D'après les informations du client/de

l'ordinateur.


124



■ Pour effectuer une recherche par application, cliquez sur D'après les

applications.

7 Cliquez sur la cellule vide sous Champ de recherche, puis sélectionnez les

critères de recherche dans la liste.

LacelluleChampderechercheaffichelescritèrespourl'optionquevousavezsélectionnée. Pour des détails sur ces critères, cliquez sur Aide.

8 Cliquez sur la cellule vide sous Opérateur de comparaison, puis sélectionnezun des opérateurs.

9 Cliquez sur la cellule vide sous Valeur, puis sélectionnezou entrez unevaleur.

La celluleValeur peut fournirun format ou une valeur dansla liste déroulante,selon les critères que vous avez sélectionnés dans la cellule Champ derecherche.

10 Pour ajouter un autre critère de recherche, cliquez surla deuxième ligne,puisentrez les informations dans les cellules Champ de recherche, Opérateur decomparaison et Valeur.

Si vous entrez plusieurs lignes de critères de recherche, la requête essaie decorrespondre à toutes les conditions.

11 Cliquez sur Rechercher.

12 Dans la table Résultats de requête, effectuez l'une des tâches suivantes :

■ Cliquez sur les flèches de défilement pour afficher des lignes et des

colonnes supplémentaires.■ Cliquez sur Précédent et Suivant pourconsulter desécrans d'information

supplémentaires.

■ Sélectionnez uneligne, puiscliquez sur Afficherlesdétails pour consulterd'autres informations concernant l'application.

Les résultats ne sont pas enregistrés à moins que vous ne les exportiez versun fichier.

13 Pour supprimer les résultats de la requête, cliquez sur Effacer tout.

14 Cliquez surFermer

.

Enregistrement des résultats d'une recherche d'application

Après avoir exécuté une requête, vous pouvez enregistrer les résultats dans unfichier texteou séparé pardes virgules. L'outil de requêteexporte tous les résultatsde la requête plutôt qu'une ligne sélectionnée.




Pour enregistrer les résultats d'une recherche d'application

1 Recherchez des informations sur une application ou un ordinateur client.

Se reporter à "Recherche d'informations sur les applications que lesordinateurs exécutent" à la page 123.

2 Dans la boîte de dialogue Rechercher des applications, sous Résultats derequête, cliquez sur Exporter.

3 Dans la boîte de dialogue Exporter les résultats, tapez le numéro de la pagecontenantlesdétails concernant l'applicationset l'ordinateurclient à exporter.

4 Sélectionnez ou tapez le nom de chemin d'accès et le nom du fichier danslequel vous souhaitez exporter le fichier, puis cliquez sur Exporter.

5 Pour confirmer, cliquez sur Oui.

6 Si vous avez fini de rechercher des applications, cliquez sur Fermer.


126



Utilisation des packagesd'installation client


■ Utilisation de packages d'installation client

■ Configuration des options des packages d'installation client

■ Exportation de packages d'installation client

■ Déploiement du logiciel client avec Rechercher les ordinateurs non gérés

■ A propos des ajouts de mises à jour de packages d'installation client et mise à

niveau des clients■ Ajouter des mises à jour de packages d'installation client

■ Mettre à niveau des clients dans un ou plusieurs groupes

■ Supprimer des packages de mise à niveau

Utilisation de packages d'installation clientPour gérer les ordinateurs avec Symantec Endpoint Protection Manager, vous

devez exporter au moins un packaged'installation client versun serveur de gestiondu site. Une fois le package d'installation client installé, installez les fichiers dupackage sur les ordinateurs client. Vous pouvez exporter des packages pour desclients gérés parSymantec, des clients gérés pardes tiers et des clients autonomes.

Vous pouvez utiliser la console pour exporter ces packages comme unique fichierexécutable ou comme série de fichiers dans un répertoire. La méthode que vouschoisissez dépend de votre méthode de déploiement et si vous voulez mettre àniveaule logicielclient dans lesgroupes à partirde la console.L'exécutableunique

7Chapitre



est disponible pour les outils d'installation tiers et pour l'économie potentielle debande passante. Généralement, si vous utilisez l'objet Politique de groupe ActiveDirectory, vous ne choisirez pas l'exportation vers un seul fichier exécutable.

Lors du processus d'exportation, sélectionnez les packages d'installation 32 bitsou 64 bits fournis par défaut. Ainsi, vous sélectionnez éventuellement lestechnologies de protection client spécifiques à installer si vous ne voulez pasinstaller tous les composants. Vous pouvez également spécifier commentl'installation interagit avec les utilisateurs finaux. Enfin, vous pouvez installerles fichiers exportés (un package) vers les ordinateurs un par un ou déployer lesfichiers exportés vers plusieurs ordinateurs simultanément.

Pour les options de déploiement d'installation du client, reportez-vous au Guide

d'installation de Symantec Endpoint Protection et de Symantec Network Access

Control sur le disque de produit.

Symantec fournit de temps en temps des packages de fichiers d'installation misà jour. Lorsque le logicielclientestinstallé sur desordinateursclient, vous pouvezautomatiquement mettre à jour le logiciel client sur tous les clients d'un groupeavec la fonction de mise à niveau automatique. Vous n'avez pas besoin deredéployer le logiciel à l'aide des outils de déploiement d'installation.

Tableau 7-1 Tâches de packages d'installation client

DescriptionTâche

Vous pouvez sélectionner des technologies de protection

client spécifiques à installer, et vous pouvez spécifiercomment l'installation interagit avecdes utilisateurs finaux.

Se reporter à "Configuration des options des packagesd'installation client" à la page 129.

Configurer les packages

d'installation client

Vous pouvez exporter des packages pour des clients géréspar Symantec, des clients gérés par des tiers et des clientsautonomes.

Se reporter à "Exportationde packagesd'installation client"à la page 132.

Exporter des packagesd'installation client

Vous pouvez déployer despackages d'installation client versles ordinateurs qui n'exécutent pas le logiciel client à l'aidede la fonction Rechercher les ordinateurs autonomes.

Se reporter à "Déploiement du logiciel client avecRechercher les ordinateurs non gérés" à la page 133.

Déployer les packagesd'installation client à l'aidede la fonction Rechercher lesordinateurs autonomes

Utilisation des packages d'installation clientUtilisation de packages d'installation client

128



DescriptionTâche

Lorsque vous recevez des mises à jour de packaged'installation client de Symantec, vous les ajoutez à la basede données de site. Vous les ajoutez à la base de données desite pour lesrendre disponibles pour la distributionà partirde Symantec Endpoint Protection Manager. Vous pouvezéventuellement exporter les packages pendant cetteprocédure pour rendrele packagedisponible au déploiementvers les ordinateurs qui n'exécutent pas le logiciel client.

Se reporter à "Ajouter des mises à jour de packagesd'installation client" à la page 135.

Ajouter des mises à jour depackages d'installation client

Vous pouvez installer les packages exportés sur lesordinateursun parun ou déployez lesfichiers exportés vers

plusieurs ordinateurs simultanément.

Se reporter à "A propos des ajouts de mises à jour depackages d'installation client et mise à niveau des clients"à la page 135.

Se reporter à "Mettre à niveau des clients dans un ouplusieurs groupes" à la page 136.

Mettre à niveau des clientsdansun ou plusieurs groupes

Vous pouvez supprimer des packages d'installation clientplus anciens pour économiser l'espace disque.

Se reporter à "Supprimer des packages de mise à niveau"

à la page 137.

Supprimer des oackagesd'installation client

Configuration des options des packages d'installationclient

Lorsque vous exportez despackages d'installationclient, vouspouvez sélectionnerles composants à installer ainsi que la méthode d'installation. Vous pouvezéventuellement inviter desutilisateurs à envoyerdesinformations lesconcernant,qui apparaissent ensuite comme des propriétés pour lesordinateurs de la console.


Configurer des fonctions de package d'installation client

Les fonctions d'installation représentent les composants client disponibles pourl'installation. Par exemple, si vous créez des packages Symantec EndpointProtection, vous pouvezchoisir d'installer lesfonctions d'antivirus et lesdispositifsde pare-feu. Ou vouspouvez choisir d'installer uniquement la fonctiond'antivirus.

Utilisation des packages d'installation clientConfiguration des options des packages d'installation client



Vous devez nommer chaque ensemble de sélections. Vous sélectionnez ensuiteun ensemble nommé de fonctions quand vous exportez les packages 32 bits delogiciel client et les packages 64 bits de logiciel client.


Pour configurer les fonctions des packages d'installation client

1 Dans la console, cliquez sur Admin,puiscliquezsur Packagesd'installation.

2 SousAfficher les packages d'installation, cliquez sur Ensemblesdefonctions

d'installation client.

3 Sous Tâches, cliquez sur Ajouter un ensemble de fonctionnalités

d'installation client.

4 Dans la boîte de dialogue Ajouter un ensemble de fonctionnalités d'installation

client, dans la zone Nom, tapez un nom.5 Dans la zone Description, entrez une description de l'ensemble de

fonctionnalités d'installation client.

6 Pour obtenir des détails concernant la définition d'autres options dans cetteboîte de dialogue, cliquez sur Aide.

7 Cliquez sur OK.

Configuration des paramètres des packages d'installation client

Les paramètres d'installation affectent la façon dont le logiciel client est installésur les ordinateurs client. Vous devez nommer chaque ensemble de sélections.Vous sélectionnez ensuite un ensemble nommé de paramètres de package quandvous exportez les packages 32 bits de logiciel client et les packages 64 bits delogiciel client.


Pour configurer les paramètres des packages d'installation client

1 Dans l'onglet Admin, dans le volet inférieur gauche, cliquez sur Packages

d'installation.

2 Sous Afficher les packages d'installation, cliquez sur Paramètresd'installation client.

3 Sous Tâches, cliquez sur Ajouter des paramètres d'installation client.

4 Dans la boîte de dialogue Paramètres d'installation client, dans la zone Nom,tapez un nom.


130




6 Cliquez sur OK.

Collecter des données utilisateur

Vous pouvez demander aux utilisateurs de taper sur les ordinateurs client desinformations sur eux-mêmes au cours de l'installation du logiciel client ou desmises à jour de la politique. Vous pouvez collecter des informations, telles que lenuméro de téléphone portable, la fonction et l'adresse électronique de l'employé.Après avoir collecté ces informations, vous devez les tenir à jour et les actualisermanuellement.

Remarque : Après avoir activé le message pour qu'il apparaisse sur l'ordinateurclientpour la première et quel'utilisateur répondavec lesinformationsdemandées,le message ne réapparaît plus. Même si vous modifiez les champs ou désactivezou réactivez le message, le client n'affiche pas un nouveau message. Toutefois,l'utilisateur peut modifier les informationsà tout moment et le serveur de gestionextrait les informations.


Pour collecter des données utilisateur

1 Dans la console, cliquez sur Admin,puiscliquezsur Packagesd'installation.2 Sous Afficherlespackagesd'installation,cliquezsur Packagesd'installation

client.

3 Dans le volet Packages d'installation client, cliquez sur le package pourlequel vous voulez collecter des informations d'utilisateur.

4 Sous Tâches, cliquez sur Définir la collecte des informations utilisateur.

5 Dans la boîte de dialogue Définir la collecte des informations utilisateur,cliquez sur Collecter les informations utilisateur.

6 Dans la zone de texte Message contextuel, tapez le message que doivent lire

les utilisateurs lorsque des informations leur sont demandées.

7 Si vous voulez permettreà l'utilisateur de différer la collectedes informationsutilisateur, cochez Merappelerplustard, puis définissez un délai en minutes.




8 Sous Sélectionnez les champs qui seront affichés en vue de la saisie des

informationsde l'utilisateur, sélectionnezle type d'informations à collecter,puis cliquez sur Ajouter.

Vous pouvez sélectionner un champ ou plusieurs champs simultanément enappuyant sur la touche Maj ou la touche Contrôle.

9 Dans la colonne Facultatif, cochez la case des champs que l'utilisateur peutremplir facultativement.

10 Cliquez sur OK.

Exportation de packages d'installation clientLorsque vous exportez des packages de logiciel client, vous créez des fichiers

d'installation client à déployer. Quand vous exportez des packagess, vous devezrechercher un répertoire devant contenir les packages exportés. Si vous spécifiezun répertoire qui n'existe pas, vous le créez automatiquement. Le processusd'exportation crée d'une manière descriptive les sous-répertoires nommés dansce répertoire et place les fichiers d'installation dans ces sous-répertoires.

Par exemple, si vous créez un package d'installation pour un groupe nommé Mon

groupe sous Ma société, un répertoire nommé Ma société_Mon groupe est créé.Ce répertoire contient le package d'installation exporté.

Remarque : Cette convention de dénomination ne distingue pas les packagesd'installation client destinés à Symantec Endpoint Protection ou à SymantecNetwork Access Control. Le nom du package exporté pour un fichier exécutableuniqueestSetup.exe à la fois pour Symantec Endpoint Protection et pour SymantecNetwork Access Control. Par conséquent, veillez à créer une structure derépertoires qui vouspermette de distinguer les fichiersd'installation de SymantecEndpoint Protection et de Symantec Network Access Control.

Vous avez une décision importante à prendre quand vous exportez des packages.Vous devez décider si vous souhaitez créer un package d'installation pour lesclients gérés ou autonomes. Si vous créez un package pour les clients gérés, vous

pouvez lesgérer à l'aide de la console de Symantec Endpoint Protection Manager.Si vous créez un package pour des clients non gérés, vous ne pouvez pas les gérerà partir de la console.

Utilisation des packages d'installation clientExportation de packages d'installation client

132



Remarque : Si vous exportez des packages d'installation client à partir d'uneconsole distante, les packages sont créés sur l'ordinateur à partir duquel vousexécutez la console distante. De plus, si vous utilisez plusieurs domaines, vous

devez exporter lespackages pour chaquedomaine ; sinon, ilsapparaissentcommedisponibles pour les groupes de domaines.

Après avoir exporté un ou plusieurs packages de fichiers d'installation, déployezles fichiers d'installation sur les ordinateurs client.


Pour plus d'informations sur l'installation du logiciel client, consultez le Guide


Control , disponible sur le disque du produit.

Pour exporter des packages d'installation client


2 Sous Afficherlespackagesd'installation,cliquezsur Packagesd'installation

client.

3 Dans le volet Packages d'installation client, sous Nom du package, cliquezavec le bouton droit de la souris sur le package à exporter, puis cliquez surExporter.

4 Dans la boîte de dialogue Exporter le package, à côté de la zone de texteDossier d'exportation, sélectionnez le répertoire dans lequel vous souhaitez

enregistrer le package exporté, puis cliquez sur OK.

Lesrépertoires contenantdescaractères codés surdeux octetsou High-ASCIIne sont pas pris en charge et sont bloqués.

5 Dans la boîte de dialogue Exporter le package, définissez les autres optionsselon vos objectifs d'installation.


7 Cliquez sur OK.

Déploiement du logiciel client avec Rechercher lesordinateurs non gérés

Vous pouvez déployer le logiciel client en utilisant Rechercher les ordinateursnon gérés dans la console de Symantec Endpoint Protection Manager. L'utilitairevous permet de découvrir les ordinateurs client qui n'exécutent pas le logicielclient et d'installer le logiciel client sur ces ordinateurs.

Utilisation des packages d'installation clientDéploiement du logiciel client avec Rechercher les ordinateurs non gérés



Remarque : Vous pouvez uniquement utiliser cet utilitaire pour détecter desordinateurs clients Windows. Les ordinateurs clients Mac sont répertoriés dansl'utilitaire comme Inconnu et les packages d'installation client Mac doivent être

déployés séparément.

Avertissement : Cet utilitaire détecte et affiche une série de périphériques degestion de réseau dans l'onglet ordinateurs inconnus. Par exemple, cet utilitairedétecte des interfaces de routeur et les place dans l'onglet ordinateurs inconnus.Soyez prudent lorsque vous déployez le logiciel client vers des périphériques quiapparaissent dans l'onglet ordinateurs non gérés. Vérifiez que ces périphériquessont des cibles valides pour le déploiement du logiciel client.

Vous pouvez également déployer le logiciel client en utilisant l'Assistant dedéploiement.

Pour déployer le logiciel client en utilisant Rechercher les ordinateurs non gérés

1 Dans la Console Symantec Endpoint Protection Manager, cliquezsurClients.

2 Dans le volet Tâches, cliquez sur Rechercher les ordinateurs non gérés.

3 Dans la fenêtre Rechercher les ordinateurs non gérés, sous Rechercher par,cochez Plaged'adressesIPet entrez les adresses IP de l'intervalle à parcourir.

L'analyse d'une plage de 100 adresses IP qui n'existent pas dureapproximativement 5,5 minutes. Eventuellement, spécifiez un nomd'ordinateur.

4 Sous Informations d'ouverture de session, remplissez leszones de texte Nomd'utilisateur, Motde passe et Domaine-Groupe de travailavec lesinformationsd'authentification de connexion qui autorisent l'administration etl'installation.

5 Cliquez sur Rechercher maintenant.

6 Sur les onglets Ordinateurs inconnus ou Ordinateurs non gérés, effectuezl'une des opérations suivantes :

■

Cochez chaque ordinateur surlequel vousvoulez installer le logiciel client.■ Cliquez sur Sélectionner tout.

7 Sous Installation, sélectionnezle packaged'installation, l'option d'installationet les fonctions que vous voulez installer.

Utilisation des packages d'installation clientDéploiement du logiciel client avec Rechercher les ordinateurs non gérés

134



8 Pour effectuer l'installation sur un groupe autre que le groupe par défaut,cliquez sur Modifier, sélectionnez un groupe différent, puis cliquez sur OK.

9 Quand vous êtes prêt à installer le logiciel client, cliquez sur Démarrer

l'installation.

A propos des ajouts de mises à jour de packagesd'installation client et mise à niveau des clients

Lorsque Symantec fournit des mises à jour de packages d'installation client, vousdevez tout d'abord les ajouter à Symantec Endpoint Protection Manager et faireen sorte qu'ils puissent être exportés. Cependant, vous n'avez pas besoin de lesréinstaller à l'aide des outils de déploiement des clients. La meilleure méthode

pour mettre à jour les clients dans des groupes à l'aide du logiciel le plus récentconsiste à utiliser la console pour mettre à jour le groupe contenant les clients.Vous devez d'abord mettreà jour un groupeavec un nombrerestreintd'ordinateursde test. Vous pouvez également mettre à jour les clients à l'aide de LiveUpdate sivous autorisez les clients à exécuter LiveUpdate et si la politique des paramètresLiveUpdate permet les mises à jour.


Ajouter des mises à jour de packages d'installation

clientVous recevez des mises à jour de packages d'installation client de Symantec, puisvous les ajoutez à la base de données du site afin qu'ils puissent être distribuéspar Symantec Endpoint ProtectionManager.Vouspouvezéventuellement exporterles packages pendant cette procédure pour rendre le package disponible pourdéploiement vers les ordinateurs qui ne contiennent pas le logiciel client.

Sereporterà "A proposdesajouts de mises à jour de packages d'installation clientet mise à niveau des clients" à la page 135.

Remarque : Un package d'installation importé se compose de deux fichiers. L'unde ces fichiers est nommé nom_produit .dat et l'autre nom_produit .info.

Pour ajouter une mise à jour de package d'installation client

1 Copiez le package sur un répertoire de l'ordinateur qui exécute SymantecEndpoint Protection Manager.


Utilisation des packages d'installation clientA propos des ajouts de mises à jour de packages d'installation client et mise à niveau des clients



3 Sous Tâches, cliquez sur Ajouter un package d'installation client.

4 Dans la boîte de dialogue Ajouter un package d'installation client, saisissezle nom et la description du package.

5 Cliquez sur Parcourir.

6 Dans la boîte de dialogue Sélectionnerledossier, recherchez et sélectionnezle fichier nom_produit .info dunouveau package, puis cliquez surSélectionner.

7 Dans l'invite de confirmation de réussite qui s'affiche, effectuez l'une desopérations suivantes :

■ Si vous ne souhaitez pas exporter les fichiers d'installation et les rendredisponibles pour déploiement, cliquez sur Fermer.

Vous avez terminé cette procédure.

■ Si vous ne souhaitez pas exporter les fichiers d'installation et les rendredisponiblespourdéploiement, cliquez sur Exportercepackage etterminezla procédure.

8 Dans la boîte de dialogue Exporter le package, cliquez sur Parcourir.

9 Dans la boîte de dialogue Sélection d'un dossier d'exportation, cherchez etsélectionnez le répertoire qui contiendra le package exporté, puis cliquez surOK.

10 Dans la boîte de dialogue Exporter le package, sélectionnez un groupe, puisdéfinissez les autres options selon vos objectifs d'installation.

11 Pour obtenir des détails relatifs à la définition des autres options de cetteboîte de dialogue, cliquez sur Aide.

12 Cliquez sur OK.

Mettre à niveau des clients dans un ou plusieursgroupes

Vous pouvez mettre à jour des clients à un ou plusieurs groupes du volet Adminet du volet Client.


Remarque : Vous avez un contrôle très supérieur sur la manière dont le packageest distribué si vous mettez à jour les clients à partir du volet Clients.

Utilisation des packages d'installation clientMettre à niveau des clients dans un ou plusieurs groupes

136



Pour mettre à jour des clients dans un ou plusieurs groupes de la page Admin


2 Sous Tâches, cliquez sur le Mise à niveau des groupes à l'aide d'un package.

3 Dans le panneau Assistant de mise à niveau des groupes, cliquez sur Suivant.

4 Dans le volet Sélectionnerun package d'installation client, sous Sélectionnerle nouveau package d'installation client, sélectionnez le paquet ajouté, puiscliquez sur Suivant.

5 Dans le panneau Spécifiez des groupes, cochez les groupes que vous voulezmettre à niveau puis cliquez sur Suivant.

6 Dans lepanneau Paramètres demise à niveau du package, cochez Télécharger

à partir du serveur de gestion et cliquez sur Suivant.

7 Dans le panneau Assistant de mise à niveau des groupes terminé, cliquez surTerminer.

Pour mettre à jour des clients dans un ou plusieurs groupes de la page Clients


2 Dans le volet Afficher les clients, sélectionnez un groupe auquel vous avezattribué le package.

3 Sous Tâches, dans l'onglet Paquets d'installation, cliquez sur Ajouter un

package d'installation client.

4 Dans les onglets Général et Notification, définissez les paramètres relatifs àla distribution de la mise à jour.

Pour des détails sur la définition d'autres options, cliquez sur Aide.

5 Quand vous avez fini de configurer les options de distribution de mise à jour,cliquez sur OK.

Supprimer des packages de mise à niveauLes packages de mise à niveau sont enregistrés dans la base de données. Chacun

de ces packages nécessite jusqu'à 180 Mo d'espace dans la base de données ; il estdonc conseillé de supprimer les anciens packages de mise à niveau des logicielsque vous n'utilisez plus. Vous ne supprimez pas les packages du système defichiers ; ils sont simplement supprimés de la base de données. Le cas échéant, ilest donc possible de les réajouter ultérieurement.


Utilisation des packages d'installation clientSupprimer des packages de mise à niveau



Pour supprimer des packages de mise à niveau

1 Dans la console, cliquez sur Admin.

2 Sous Tâches, cliquez sur Packages d'installation.

3 Dans le volet Packages d'installation client, sélectionnez le package àsupprimer.

4 Sous Tâches, cliquez sur Supprimer un package d'installation client.

5 Dans la boîte de dialogue Supprimer un package d'installation client, cliquezsur Oui.

Utilisation des packages d'installation clientSupprimer des packages de mise à niveau

138



Mise à jour des définitionset du contenu


■ Gestion du contenu pour les clients

■ A propos des types de contenu

■ Définition de la manière dont les clients obtiennent le contenu

■ Configuration d'un site pour télécharger des mises à jour

■ A propos des téléchargements de contenu simultanés

■ A propos des politiques LiveUpdate

■ A propos de l'utilisation des révisions de contenu qui ne sont pas la dernièreversion

■ Configuration d'une politique de paramètres LiveUpdate

■ Configuration d'une politique de contenu LiveUpdate

■ Affichage et modification rapide de la Politique de contenu LiveUpdate

■ Distribuer le contenu à l'aide des fournisseurs de mise à jour groupée

■ A propos de l'Intelligent Updater

■ Utiliser l'Intelligent Updater pour télécharger des mises à jour du contenud'antivirus pour la distribution

■ A propos des fichiers utilisés dans la distribution tiers du contenu LiveUpdate

■ A proposde l'utilisation d'outils de distributiontiers pour distribuerdesmisesà jour de contenu aux clients gérés

8Chapitre



■ Activer la distribution de contenu tiers aux clients gérés avec une politique deparamètres LiveUpdate

■ Distribution du contenu aux clients gérés par des outils de distribution tiers

■ A proposde l'utilisation d'outils de distribution tiers pour distribuerdesmisesà jour de contenu aux clients autogérés

■ Exécution de LiveUpdate sur un client à partir de la console

Gestion du contenu pour les clientsLes clients reçoivent périodiquement des mises à jour des définitions de virus etde spyware, signatures IPS et logiciel du produit. LiveUpdate est le nom de la

technologie qui distribue ces mises à jour de contenu aux clients ou aux serveursqui distribuent le contenu aux clients.

Tableau 8-1 Gestion de la mise à jour du contenu

DescriptionTâche

Par défaut, les clients obtiennent des mises à jour du serveur de gestion par défaut (SymantecEndpoint Protection Manager).

Remarque : Les clients Mac obtiennent des mises à jour seulement à partir d'un serveurLiveUpdate interne ou externe.

Typiquement, votre architecture réseau déterminequelle méthode de distributionvousdevriezutiliser.

Utilisez une politique de paramètres LiveUpdate pour configurer la méthode de distribution.Vous pouvez également configurer la planification pour que les clients reçoivent le contenudirectement de Symantec LiveUpdate.

Se reporter à "Définition de la manière dont les clients obtiennent le contenu" à la page 142.

Se reporter à "Configuration d'une politique de paramètres LiveUpdate " à la page 151.

Décider d'uneméthode dedistribution

Par défaut, les ordinateurs client reçoivent des mises à jour pour tous les types de contenu.

Vous pouvezconfigurer une politique de contenu LiveUpdate pour contrôler lestypes de mises

à jour de contenu de vos clients. Ce type de politique n'est pas pris en charge pour les clientsSymantec Network Access Control.

Remarque : Si vous utilisez le serveur de gestion par défaut pour distribuer des mises à jourde contenu aux clients, le serveur de gestion doit également être configuré pour téléchargerlesmêmesmisesà jour. Autrement, cesmisesà jour ne sont pasdisponibles pour la distributionde groupe.

Se reporter à "A propos des types de contenu" à la page 141.

Décider ce que lesclients doiventtélécharger

Mise à jour des définitions et du contenuGestion du contenu pour les clients

140



DescriptionTâche

Le site qui inclut le serveur de gestion par défaut doit enregistrer les mises à jour du contenuque vous voulez distribuer aux clients.

Vous pouvezégalement configurer la fréquenceà laquelle le site reçoitdu contenu LiveUpdate.

Se reporter à "Configuration d'un site pour télécharger des mises à jour" à la page 147.

Remarque : Si la réplication est utilisée, un seul site doit être configuré pour télécharger desfichiers de mise à jour. La réplication met automatiquement à jour l'autre base de données. Ilest toutefois déconseillé de répliquer des mises à jour de produit entre des sites. Ces mises à

jour peuvent être assez grandes et il en existe une pour chaque langue que vous sélectionnez.Si vous décidez de télécharger des mises à jour de produit avec LiveUpdate vers SymantecEndpoint Protection Manager, les mises à jour s'affichent automatiquement dans le volet dePackages d'installation. Vous pouvez alors mettre à jour des clients avec une mise à niveauautomatique. Si vous utilisez cette approche pour le contrôle de version, il est déconseillé de

sélectionner des mises à niveau automatiques de produits dans la politique de paramètresLiveUpdate.

Si vous ne voulez pas utiliser LiveUpdate, vous pouvez utiliser Intelligent Updater pourtéléchargerle contenumanuellementvers le serveurde gestionpar défaut. Vouspouvez ensuitedistribuer le contenu avec des outils de gestion tiers.

Se reporter à "Utiliser l'Intelligent Updater pour télécharger des mises à jour du contenud'antivirus pour la distribution" à la page 167.

Se reporter à "Distribution du contenu aux clients gérés par des outils de distribution tiers"à la page 171.

Configurer un sitepour téléchargerdesmisesàjourdecontenu

A propos des types de contenuLe contenu inclut des définitions de virus et de spyware, des signatures IPS et lelogiciel produit. Utilisez les paramètres de propriétés pour que le site contrôle lestéléchargements de contenu vers le serveur de gestion par défaut. Utilisez unepolitique de contenu LiveUpdate pour contrôler le type de contenu à téléchargervers les clients.


Remarque : Le contenu deLiveUpdate inclut les définitions et le contenu. Il n'inclutpas de mise à jour de politique. Symantec Endpoint Protection Manager met à

jour les politiques des clients lorsque vous attribuez une nouvelle politique à ungroupe ou que vous modifiez une politique existante.

Tableau 8-2 répertorie les types de contenu.

Mise à jour des définitions et du contenuA propos des types de contenu



Tableau 8-2 Types de contenu

DescriptionType de contenu

Inclut les mises à jour de produit au logiciel client.Mises à jour du client

Contient deux types de mises à jour, une mise à jour deversion complète et une mise à jour delta directe. Le typede miseà jour est inclus dansle package de mise à jour. Despackages séparés de définition de virus sont disponiblespour les plates-formes x86 et x64.

Définitions de virus et despyware

Prennent en charge le moteur de protection antivirus etantispyware et sont utilisées pour décomposer et lire lesdonnées enregistrées dans divers formats.

Signatures Décomposer

Protège contre des menaces d'attaque "Zero Day".Signatures heuristiquesd'analyse proactive desmenaces TruScan

Inclut lesapplicationscommercialeslégitimes ayant générédes faux positifs dans le passé.

Liste d'applicationcommerciale d'analyseproactive des menacesTruScan

Protègent contre les menaces réseau et prend en charge lesmoteurs de prévention et de détection d'intrusion.

Signatures de Préventiond'intrusion

Contrôle le flux de transmissions vers Symantec SecurityResponse.

Signatures de contrôle destransmissions

Incluent les conditions pré-définies qui imposent lescorrectifs mis à jour et les mesures de sécurité surl'ordinateur client. Uniquement disponible dans la boîte dedialogue Propriétésdesitelorsque vous installez SymantecNetwork Access Control.

Modèles d'intégrité de l'hôte

Définition de la manière dont les clients obtiennent

le contenuPlusieurs méthodes de la distribution de contenu sont disponibles pour mettre à

jour des clients. Les méthodes de distribution de contenu utilisée dépendent desfacteurs suivants :

■ Installation du réseau

■ Combien de clients gérez-vous ?

Mise à jour des définitions et du contenuDéfinition de la manière dont les clients obtiennent le contenu

142



■ Si vous gérez des clients Windows et des clients Mac

Avertissement : Les clients Mac obtiennent des mises à jour seulement à partir

d'un serveur LiveUpdate interne ou externe.

Seuls les clientsWindows obtiennent des mises à jour à partir duserveur degestionpar défaut ou d'un fournisseur de mises à jour groupées.

Tableau 8-3 Méthodes de distribution de contenu et quand les utiliser

Quand l'utiliserDescriptionMéthode

Cette méthode est configurée par défautaprès l'installation du serveur de gestion.Vous pouvez également combiner cetteméthode avec un fournisseur de mise à jourgroupée.

Se reporter à "Configuration d'une politiquede paramètres LiveUpdate " à la page 151.

Le serveurde gestion pardéfautpeut mettreà jour les clients qu'il gère. Votre réseauSymantec Endpoint Protection Managerpeut comporter plusieurs serveurs degestion. Le site qui inclut les serveurs degestion reçoit le contenu de LiveUpdate.

Symantec EndpointProtection Manager auxclients

(par défaut)

Utilisez cette méthode pour des groupescoexistantà desemplacements distants avecun minimum de bande passante. En outre,cette méthode réduit la charge sur lesserveurs de gestion.

Notez qu'un Fournisseur de mise à jourgroupée distribue tous les types de contenude LiveUpdate excepté les mises à jour delogiciel client.

Se reporter à "Distribuer le contenu à l'aidedes fournisseurs de mise à jour groupée"à la page 156.

Un fournisseur de mise à jour groupée estun client qui agit en tant que proxy entreSymantec Endpoint Protection Manager etles clients du groupe. Le fournisseur de miseà jour groupée reçoit des mises à jour àpartir d'un serveur de gestion, puis fait

suivre les mises à jour aux autres clients dugroupe. Un fournisseur de mise à jourgroupée peut mettre à jour plusieursgroupes.

Du fournisseur de mise à jour groupée aux clients





Utilisez un serveur LiveUpdate interne dansde grands réseaux pour réduire la chargesurle serveurSymantecEndpointProtectionManager.

Vous utilisez normalement un serveurLiveUpdate interne dans de grands réseauxde plus de 10 000 clients. Dans cettearchitecture, le serveur de gestion allège lafonctionnalité de mise à jour du contenuLiveUpdate, mais traite toujours les misesà jour des journaux et de la politique. Leserveur LiveUpdate interne est égalementutile pour les réseaux exécutant plusieursproduits Symantec qui exécutent aussiLiveUpdate pour mettre à jour des clients.

Pour plus d'informations à propos del'installation d'un serveur LiveUpdateinterne, consultez le Guide des utilisateurs

administrateursde LiveUpdate.Leguideestdisponible sur le CD d'installation et sur lesite du support de Symantec.


Les clients peuvent télécharger des mises à jour directement à partir d'un serveurLiveUpdate interne qui reçoit des mises à

jour de Symantec LiveUpdate.

Vous pouvez installer un serveurLiveUpdate interne sur un ordinateur, quele logiciel Symantec Endpoint ProtectionManager soit installé ou pas. Dans les deuxcas, vous devez utiliser l'utilitaire del'administrateurde LiveUpdate pourmettreà jour le serveur LiveUpdate. L'utilitaire del'administrateur récupère les mises à jourdes définitions depuis un serveurLiveUpdatede Symantec.Ensuite, l'utilitaireplace les packages sur un serveur Web, unsite FTP ou un emplacement défini par unchemin d'accès UNC. Vous devez alorsconfigurer vos serveurs de gestion demanière à ce qu'ils récupèrent les mises à

jour des définitions à partir de cetemplacement.

Serveur LiveUpdateinterne aux clients

Utilisez un serveur Symantec LiveUpdateexterne pour les ordinateurs clientautogérésqui ne sont pastoujoursconnectésau réseau d'entreprise.

Remarque : Ne configurez pas un grandnombre de clients gérés et en réseau pourrécupérer des mises à jour à partir d'unserveurSymantec LiveUpdateexterne.Cetteconfiguration consomme des quantitésinutiles de bande passante Internet.


Lesclientspeuvent recevoir desmises à jourdirectement de Symantec LiveUpdate.

Symantec LiveUpdateaux clients


144




Utilisez cette méthode quand vous vouleztester des fichiers de mise à jour avant deles distribuer. En outre, utilisez cetteméthode si vous avez une infrastructure dedistribution d'outil tiers et si vous voulezbénéficier de cette infrastructure.

Se reporter à "Distribution du contenu auxclients gérés par des outils de distributiontiers" à la page 171.

Les outils tiers comme Microsoft SMS vouspermettent de distribuer des fichiersspécifiques de mise à jour aux clients.

Distribution d'outil tiers

(Non illustré)

Vous pouvez utiliser Intelligent Updater sivous ne voulez pas utiliser SymantecLiveUpdate ou si LiveUpdate n'est pas

disponible.

Se reporter à "Utiliser l'Intelligent Updaterpour télécharger desmisesà jour du contenud'antiviruspourla distribution"àlapage167.

Intelligent Updater télécharge du contenumanuellement. Vous pouvez récupérer desfichiers auto-extractibles Intelligent

Updater à partir du site Web de Symantecqui contiennent des fichiers de définitionsde virus et de risque de sécurité avec desextensions jdb et vdb. Les extensions ldb nesont plus prises en charge. Pour recevoird'autres fichiers de mise à jour, vous devezinstaller et configurer un serveurde gestionpour télécharger et planifier les fichiers demise à jour.

Intelligent Updater

Figure 8-1 affiche un exemple d'architecture de distribution pour de plus petits

réseaux.




Figure 8-1 Exemple d'architecture de distribution pour de plus petits réseaux

Symantec LiveUpdate

Groupe de clients

Fournisseur de

mise à jour

groupée (client)

Serveur de gestion Serveur de gestion

Groupes de clients

Groupe de clients

Clients

Figure 8-2 affiche un exemple d'architecture de distribution pour de plus grandsréseaux.


146



Figure 8-2 Exemple d'architecture de distribution pour de plus grands réseaux

Symantec LiveUpdate

Serveur de gestion

Serveur interne

LiveUpdate

Serveur interne

LiveUpdate

Groupes de

clients

Groupes de

clients

Configuration d'un site pour télécharger des mises à jour

Lorsque vous configurez un site pour télécharger du contenu LiveUpdate, prenezles décisions suivantes :

■ La fréquence à laquelle lesite recherche les mises à jour decontenu LiveUpdate.

La planification par défaut pour que Symantec Endpoint Protection Managerexécute LiveUpdate toutes les 4 heures est la meilleure pratique.

Remarque : Les sites téléchargent des fichiers MSP pour des mises à jour deproduits et créent ensuite de nouveaux fichier MSI. Les sites répliquent desfichiers MSI si vous choisissez de répliquer des mises à jour de produits. Lesfichiers MSP sont une fraction de la taille des fichiers MSI.

Mise à jour des définitions et du contenuConfiguration d'un site pour télécharger des mises à jour



■ Le type de contenu à télécharger vers le site.

Assurez-vous que le site télécharge toutesles mises à jour de contenu spécifiéesdans les Politiques de contenu LiveUpdate client.

■ La langue des types de mise à jour à télécharger.

■ Le serveur LiveUpdate qui sert le contenu au site.

Vous pouvez spécifier un serveurSymantec LiveUpdate externe (recommandé)ou bien un serveur LiveUpdate interne préalablement installé et configuré.

■ Nombre de versions de contenu à conserver et conservation ou non despackages client sous forme non compressée.

Vous enregistrez des révisions de contenu parce que vous pourriez vouloirtester le dernier contenu avant de le déployer pour tous vos clients. Vouspouvez souhaiter conserver des versions précédentes du contenu de manière

à pouvoir revenir en arrière le cas échéant.

Remarque: Lorsque vous conservezun grand nombrederévisions, plus d'espacedisque est requis sur Symantec Endpoint Protection Manager.


La configuration d'un site pour télécharger des mises à jour


2 Sous Tâches, cliquez sur Serveurs.3 Dans le volet Affichage,cliquezavecleboutondroitdelasourissurSitelocal,

puis cliquez sur Modifier.

4 Dans la boîte de dialogue Propriétés de site, sur l'onglet LiveUpdate, sousPlanification du téléchargement, définissez les options de planificationdéterminant la fréquence à laquelle le serveur doit rechercher des mises à

jour.

5 Sous Type de contenu à télécharger, examinez la liste des types de mises à jour téléchargés.

6 Pour ajouter ou supprimer un type de mise à jour, cliquez sur Modifier lasélection, modifiez la liste, puis cliquez sur OK.

La liste doit correspondre à la liste des types de contenu que vous incluezdans la politique de contenu LiveUpdate pour vos ordinateurs client.

7 Sous Languesàtélécharger, examinez la liste des langues des types de misesà jour téléchargées.

Mise à jour des définitions et du contenuConfiguration d'un site pour télécharger des mises à jour

148



8 Pour ajouter ou supprimer une langue, cliquez sur Modifier la sélection,modifiez la liste, puis cliquez sur OK.

9 Sous Serveurs source LiveUpdate, examinez le serveur LiveUpdate actuel

utilisé pour mettre à jour le serveur de gestion. Ce serveur est par défaut leserveur Symantec LiveUpdate. Effectuez ensuite les opérations suivantes :

■ Pour utiliser le serveur source LiveUpdate existant, cliquez sur OK.

■ Pour utiliser un serveur LiveUpdate interne, cliquez sur Modifier les

serveurs source.

10 Si vous avez sélectionné Modifier les serveurs source, dans la boîte dedialogue Serveurs LiveUpdate, cochez Utiliser un serveur LiveUpdate

interne spécifique, puis cliquez sur Ajouter.

11 Dans la boîte de dialogue Ajouter un serveur LiveUpdate, remplissez leszones de texte avec les informations identifiant le serveur LiveUpdate, puiscliquez sur OK.

Pour la prise en charge du basculement, vous pouvez installer, configurer etsélectionnerplus d'un serveur LiveUpdate. Si un serveur disparaîthors ligne,l'autre serveur fournit la prise en charge.

12 Dans la boîte de dialogue Serveurs LiveUpdate, cliquez sur OK.

13 Sous Gestiondel'espacedisquepourlestéléchargements, modifiez lenombrede révisions de contenu LiveUpdate à conserver.

Davantage d'espace disque est requis pour le stockage d'un grand nombre derévisions de contenu. Les packages client qui sont conservés sous formedéveloppée requièrent également plus d'espace disque.

14 Vérifiez ou désélectionnez Stocker les packages client décompressés pour

fournir une meilleure performance du réseau pour les mises à niveau.

15 Cliquez sur OK.

A propos des téléchargements de contenu simultanésSymantec Endpoint Protection Manager prend en charge la sélection aléatoiredestéléchargementsde contenu simultanés vers vosclients du serveur de gestionpar défautou d'unfournisseur demiseà jourgroupée. Il prend encharge égalementla sélection aléatoire des téléchargements de contenu d'un serveur LiveUpdate àvos clients. La sélection aléatoire réduit le trafic réseau maximal et est activéepar défaut.

Vous pouvezactiver ou désactiver la fonction de sélectionaléatoire. Le paramètrepar défaut est activé. Vous pouvez également configurer une fenêtre de sélection

Mise à jour des définitions et du contenuA propos des téléchargements de contenu simultanés



aléatoire. Le serveurde gestionutilise la fenêtrede sélection aléatoire pour décalerla synchronisation destéléchargements de contenu. Typiquement, vousne devriezpas devoir modifier les paramètres par défaut de sélection aléatoire.

Dans certains cas, cependant, vous pourriez vouloir augmenter la valeur de lafenêtre de sélection aléatoire. Par exemple, vous pourriez exécuter le clientSymantec Endpoint Protection sur plusieurs ordinateurs virtuels sur le mêmeordinateur physique que celui qui exécute le serveur de gestion. La valeur desélection aléatoire la plus élevée améliore les performances du serveur maisretarde les mises à jour du contenu sur les ordinateurs virtuels.

Vous pourriez égalementvouloir augmenter la fenêtre de sélection aléatoirequandvous avez beaucoup d'ordinateurs client physiquesquise connectent à un serveurunique qui exécutele serveur de gestion. Généralement plusle ratio client/serveurest élevé, plus vous pourriez vouloir définir la fenêtre de sélection aléatoire. La

valeur de sélection aléatoire la plus élevée diminue la charge maximale sur leserveur mais retarde les mises à jour du contenu sur les ordinateurs client.

Dansunscénariooùvousaveztrèspeudeclientsetvoulezlalivraisonducontenurapidement, vous pouvez définir la fenêtre de sélection aléatoire à une valeurmoindre. La valeurde sélectionaléatoire plus basse augmente la chargemaximalesur le serveur mais fournit une livraison de contenu plus rapide aux clients.

Pour destéléchargementsdepuisle serveur degestion pardéfautouun Fournisseurdemiseàjourgroupée,vousconfigurezlesparamètresdesélectionaléatoiredansla boîte de dialogue Paramètres de communication pour le groupe sélectionné.Les paramètres ne font pas partie de la Politique de paramètres LiveUpdate.

Pour des téléchargements d'un serveur LiveUpdate à vos clients, vous configurezle paramètre de sélection aléatoire en tant qu'élément de Politique de paramètresLiveUpdate.

Se reporter à "Configuration d'une politique de paramètres LiveUpdate "à la page 151.

A propos des politiques LiveUpdateIl existe deux types de politiques LiveUpdate. L'un est appelé Politique des

paramètres de LiveUpdate et s'applique auxclients SymantecEndpointProtectionet Symantec Network Access Control. L'autre est appelé Politique de contenuLiveUpdate et ne s'applique qu'aux clients Symantec Endpoint Protection. Lapolitique des paramètres de LiveUpdate spécifie les ordinateurs avec lesquels lesclients communiquent pour rechercher les mises à jour et contrôle la fréquencede recherche des mises à jour. S'il y a lieu, vous pouvez appliquer cette politiqueà des emplacements spécifiques d'un groupe.

Mise à jour des définitions et du contenuA propos des politiques LiveUpdate

150



Se reporter à "Configuration d'une politique de paramètres LiveUpdate "à la page 151.

La politique de contenu LiveUpdate spécifie les types de misesà jour queles clients

sont autorisésà rechercher et à installer. Pour chaque type, vous pouvez spécifierque les clients recherchent et installent la dernière mise à jour. Vous pouvezégalement spécifier une version d'une mise à jour que les clients installent s'ilsn'exécutent pas cette version. Vous ne pouvez pas appliquer cette politique à desemplacements spécifiques d'un groupe. Vous pouvez seulement appliquer cettepolitique au niveau du groupe.

Sereporterà "Configuration d'une politique de contenu LiveUpdate" àlapage153.

A propos de l'utilisation des révisions de contenu qui

ne sont pas la dernière versionSi vous stockez les versions multiples de mémoire du contenu dans SymantecEndpoint Protection Manager, vous pourriez vouloir spécifier une révisionparticulièredans votre politique de contenuLiveUpdate.Parexemple, vous pouveztester la dernière révision avant de la déployer pour les clients. Vous pouvezspécifier une révision antérieure dans la politique.

Dans certains cas, la révision qui est spécifiéedans la politique ne correspond pasaux révisions qui sont enregistrées sur Symantec Endpoint Protection Manager.Par exemple, vous pourriez importer une politique qui met en référence une

révision qui n'existe pas sur le serveur. Ou, vous pourriez répliquer les politiquesmais pas le contenu LiveUpdate d'un autre site. Dans les deux cas, la politiqueindique quela révision n'est pasdisponible. Même si la révision n'est pasdisponiblesurle serveur, les clients quiutilisentla politiquesont encoreprotégés. Lesclientsutilisent la dernière révision du contenu.


Configuration d'une politique de paramètres

LiveUpdateQuand vous ajoutez et appliquez une politique de paramètres LiveUpdate, vousdevez envisager la fréquence à laquelle vous voulez que les ordinateurs clientrecherchent des mises à jour. La configuration par défaut est toutes les 4 heures.Vous devez également savoir à partir d'où vous voulez que vos ordinateurs clientrecherchent et récupèrent des mises à jour. Vous souhaitez généralement que lesordinateurs clientrecherchent et obtiennent lesmises à jour à partir de Symantec

Mise à jour des définitions et du contenuA propos de l'utilisation des révisions de contenu qui ne sont pas la dernière version



Endpoint Protection Manager. Après avoir créé votre politique, vous pouvezl'attribuer à un ou plusieurs groupes et emplacements.

Remarque : Les clients Mac obtiennent les mises à jour de LiveUpdate oumanuellement.

Se reporter à "Utiliser l'Intelligent Updater pour télécharger des mises à jour ducontenu d'antivirus pour la distribution" à la page 167.

Remarque : Il existeun paramètreavancépermettant auxutilisateursde démarrermanuellement LiveUpdate à partir de leurs ordinateurs client. Ce paramètre estdésactivé par défaut. Si vous activez ce paramètre, les utilisateurs peuventdémarrer LiveUpdate et télécharger les dernières définitions de virus, mises à

jour de composants et mises à jour desproduits. Selon la taillede votre populationd'utilisateurs, il se peut que vous ne vouliez pas permettre aux utilisateurs detélécharger tout le contenu sans test préalable. En outre, des conflits peuvent seproduire si deux sessions de LiveUpdate s'exécutent simultanément sur desordinateurs client. Par défaut, les utilisateurs ne sont pas autorisés à téléchargerdes mises à jour de produit provenant d'un serveur LiveUpdate. Vous pouvezmodifier ce paramètre dans le panneau Paramètres avancés de la politiqueLiveUpdate.

Remarque : Les utilisateurs peuvent toujours exécuter LiveUpdate sur des clients

Mac.Vouspouvez empêcherseulement desclients Windowsd'exécuter LiveUpdate.Les mises à jour de produit à partir d'un serveur LiveUpdate, cependant, peuventêtre restreintes sur des clients Mac et Windows. Si vous restreignez des mises à

jour de produit de LiveUpdate sur un client Mac, vous devez les fournirmanuellement. Les clients Mac ne peuvent pas obtenir des mises à jour du serveurde gestion.

Pour configurer une politique de paramètres LiveUpdate


2 Sous Afficher les politiques, cliquez sur LiveUpdate.3 Sur l'onglet Paramètres LiveUpdate, sous Tâches, cliquez sur Ajouter une

politique de paramètre LiveUpdate.

4 Dans le volet Présentation, dans la zone Nom de la politique, tapez le nomde la politique.

5 Sous Politique LiveUpdate, cliquez sur Paramètres du serveur.

Mise à jour des définitions et du contenuConfiguration d'une politique de paramètres LiveUpdate

152



6 Dans le volet Paramètres du serveur, sous Serveur LiveUpdate interne ou

externe, sélectionnez au moins une méthode de distribution de contenu.

La plupart desorganisations doivent utiliser le serveur de gestion par défaut.

Si vous sélectionnez le serveur de gestion par défaut dans un environnementqui contient des ordinateurs Mac et Windows, les clients Mac obtiennentleurs mises à jour du serveur LiveUpdate par défaut.

Se reporter à "Définition de la manière dont les clients obtiennent le contenu"à la page 142.

7 Si vous avez sélectionné Utiliser un serveur LiveUpdate, sous Politique

LiveUpdate, cliquez sur Planifier.

8 Dans le volet Planification, validez ou modifiez les options de planification.

9 Si vous avez coché Utiliser un serveur LiveUpdate, sous PolitiqueLiveUpdate ,

cliquez sur Paramètres avancés.

10 Décidez si vous voulez garder ou modifier les paramètres par défaut.

Généralement, il n'est pas souhaitable que les utilisateurs modifient lesparamètres de mise à jour. Cependant, vous pouvez souhaiter leur permettrede lancer manuellement une session LiveUpdate si vous ne prenez pas encharge des centaines ou des milliers de clients.

11 Quand vous avez configuré votre politique, cliquez sur OK.

12 Dans laboîtede dialogue Attribuerlapolitique, effectuez l'une desopérationssuivantes :

■ Cliquez sur Oui pour enregistrer et attribuer la politique à un groupe oul'emplacement d'un groupe.

■ Cliquez sur Non pour enregistrer la politique seulement.

13 Si vous avez cliqué sur Oui, dans la boîte de dialogue Attribuer la politique

LiveUpdate, vérifiez les groupes et les emplacements auxquels la politiquedoit être attribuée, puis cliquez sur Attribuer.

Si vous ne pouvez pas sélectionner un groupe imbriqué, ce groupe hérite despolitiquesà partir d'un groupeparent, comme défini dans l'onglet Politiques

de la page Clients.

Configuration d'une politique de contenu LiveUpdatePar défaut, tous les clients Symantec Endpoint Protection d'un groupe reçoiventles dernières versions de tout le contenu et de toutes les mises à jour du produit.Si un groupe de clients obtient des mises à jour via un serveur de gestion, lesclients ne reçoivent que les mises à jour que le serveur est configuré pour

Mise à jour des définitions et du contenuConfiguration d'une politique de contenu LiveUpdate



télécharger. Par exemple, vous pourriez configurer la politique de contenuLiveUpdate pour permettre toutes les mises à jour. Si le serveur de gestion n'estpas configuré pour télécharger toutes les mises à jour, les clients reçoivent

uniquement ce que le serveur télécharge.Se reporter à "Configuration d'un site pour télécharger des mises à jour"à la page 147.

Si un groupe est configuré pour obtenir des mises à jour d'un serveur LiveUpdate,les clientsde ce groupe reçoivent toutes les mises à jour autorisées dans lapolitiquede contenuLiveUpdate.Si la Politique de contenuLiveUpdate spécifie une révisionprécise du contenu, les clients ne reçoivent pasle contenu le plus récent disponible.

Vous pouvezspécifierquevosclients reçoivent unerévisionspécifique. Avec cetteconfiguration, vous pouvez d'abord essayer la dernière version avant de ladistribuer aux clients. Pendant cet essai, vos clients utilisent la révision spécifiée.Après l'essai, vous pouvez modifier la Politique de contenu LiveUpdate pourspécifier que les clients reçoivent la dernière version du contenu.

Remarque : L'utilisation des révisions spécifiques fournit la fonctionnalité derestauration.

Pour configurer une politique de contenu LiveUpdate


2 Sous Afficher les politiques, cliquez sur LiveUpdate.

3 Cliquez dans l'onglet Contenu LiveUpdate.

4 Sous Tâches, cliquez sur Ajouter une politique de contenu LiveUpdate.

5 Dans le volet Présentation, dans la zone Nom de la politique, tapez le nomde la politique.

6 Dans le volet Contenu LiveUpdate, cliquez sur Définitions de sécurité.

7 Dans le volet Définitions de sécurité, sélectionnez les mises à jour àtélécharger et à installer, et désélectionnez les mises à jour à désactiver.

Remarque : Les clients Mac peuvent installer seulement des mises à jour auxdéfinitions d'antivirus et d'antispyware.

8 Pour chaque mise à jour, faites une des opérations suivantes :

■ Cochez Utiliser le dernier disponible

■ Cochez Sélectionner une révision

Mise à jour des définitions et du contenuConfiguration d'une politique de contenu LiveUpdate

154



9 Pour continuer, effectuez l'une des opérations suivantes :

■ Si vous n'avez pas coché Sélectionner une révision pour un type de miseà jour, cliquez sur OK, puis passez à l'étape 12.

■ Si vous avez coché Sélectionnerunerévision pouruntypedemiseàjour,cliquez sur Modifier, puis passez à l'étape suivante.

10 Dans laboîtededialogue Sélectionnerunerévision, dans lacolonne Révision,sélectionnez la révision à utiliser, puis cliquez sur OK.

11 Dans la fenêtre Contenu LiveUpdate, cliquez sur OK.

12 Dans la boîte de dialogue Attribuer la politique, cliquez sur Oui.

Vous pouvez aussi annuler cette procédure et attribuer la politiqueultérieurement.

13 Dans la boîte de dialogue Attribuer la politique de contenu LiveUpdate,sélectionnez un ou plusieurs groupes auxquels cette politique doit êtreattribuée, puis cliquez sur Attribuer.

Affichage et modification rapide de la Politique decontenu LiveUpdate

Les Politiques de contenu LiveUpdate sont appliquées aux groupes et à tous lesemplacements disponibles dans des groupes. A la différence de plusieurs autres

types de politique, une Politique de contenu LiveUpdate n'est pas spécifique à unemplacement.


Vous pouvez consulter et modifier rapidement la Politique LiveUpdate dans laconsole à partir de l'onglet Clients.

Pour afficher et modifier la politique de contenu LiveUpdate appliquée à un groupe

1 Dans la console, cliquez sur Politiques et créez au moins deux politiques decontenu LiveUpdate.

2 Appliquez l'une des politiques à un groupe.3 Cliquez sur Clients.

4 Sur l'onglet Politiques, dans le volet droit, sous Paramètres, cliquez surParamètres de la politique de contenu LiveUpdate.

Mise à jour des définitions et du contenuAffichage et modification rapide de la Politique de contenu LiveUpdate



5 Dans la boîte de dialogue Politique de contenu LiveUpdate, notez le nom dela politique en cours d'utilisation sous Spécifier la Politique de contenu

LiveUpdate à utiliser pour ce groupe.

6 Pour modifier la politique appliquée à ce groupe, sélectionnez la politique àutiliser, puis cliquez sur OK.

Distribuer le contenu à l'aide des fournisseurs demise à jour groupée

Un fournisseur de mise à jour groupée est un ordinateur client que vous désignezpour distribuer localementdesmisesà jour du contenu aux clients. Un fournisseurdemiseàjourgroupéetéléchargedesmisesàjourdecontenuduserveurdegestion

et distribue les mises à jour aux clients.Un fournisseur de mise à jour groupée vous aide à économiser la bande passanteen débarquant la puissance traitante du serveur au fournisseur de mise à jourgroupée.

Un fournisseur de mise à jour groupée est idéal pour fournir des mises à jour decontenu aux clients quiontun accès réseaulimitéau serveur.Vous pouvez utiliserun fournisseur de mise à jour groupée pour économiser la bande passante auxclients sur un site distant à l'aide d'un lien lent.

Tableau 8-4 Gestion de fournisseurs de mise à jour groupée

DescriptionOpérationEtape

Avant que vous configuriez des fournisseurs demise à jour groupée, vérifiez que les clientspeuvent recevoir des mises à jour du contenu duserveur. Résolvez les problèmes decommunication client serveur.

Vous pouvez afficher l'activité de serveur clientdans les journaux système.

Se reporter à "Affichage des journaux"

à la page 296.

Vérification de lacommunication des clients

Etape 1

Mise à jour des définitions et du contenuDistribuer le contenu à l'aide des fournisseurs de mise à jour groupée

156



DescriptionOpérationEtape

Vous configurez des fournisseurs de mise à jourgroupée en spécifiant des paramètres dans lapolitique de paramètres LiveUpdate.Vous pouvezconfigurer un unique fournisseur de mise à jourgroupée ou des fournisseurs de mise à jourgroupée multiples.

Se reporter à "Configurer un Fournisseur de miseà jour groupée" à la page 162.

Configuration desfournisseurs de mise à jourgroupée

Etape 2

Vous attribuez la politique de paramètresLiveUpdate aux groupes qui utilisent lesfournisseurs de mise à jour groupée. Vousattribuez également la politique au groupe dans

lequel le fournisseur de mise à jour groupéeréside.

Pour un unique fournisseur de mise à jourgroupée, vous attribuez une politique deparamètres LiveUpdate par groupe par site.

Pour les fournisseurs de mise à jour groupéemultiples, vous attribuez une politique deparamètres LiveUpdate aux groupes multiples àtravers des sous-réseaux.

Se reporter à "Affectation d'une politique

partagée" à la page 105.

Se reporter à "A proposdestypes de fournisseursde mise à jour groupée" à la page 158.

Attribution de la politiquedeparamètres LiveUpdate auxgroupes

Etape 3

Vous pouvez afficher les ordinateurs client quisont indiqués comme fournisseurs de mise à jourgroupée.Vous pouvez rechercher desordinateursclient pour afficher une liste de fournisseurs demise à jour groupée. Les propriétés d'unordinateur client s'affichentégalement si c'est unfournisseur de mise à jour groupée.

Se reporter à "Recherche des clients agissant entant que fournisseurs de mise à jour groupée"à la page 165.

Se reporter à "Affichage des propriétés d'unclient" à la page 76.

Vérification que les clientssont indiqués commefournisseurs de mise à jourgroupée

Etape 4




A propos des types de fournisseurs de mise à jour groupée

Vous pouvez configurer deux types de fournisseurs de mise à jour groupée : unfournisseur unique de mise à jour groupée ou des fournisseurs multiples de mise

à jour groupée :

■ Fournisseur unique de mise à jour groupée

Un fournisseur unique de mise à jour groupée est un ordinateur client dédiéqui fournit le contenu pour un ou plusieurs groupes de clients. Il peut s'agird'un ordinateur clientde n'importequel groupe. Pour configurer un fournisseurunique de mise à jour groupée, spécifiez l'adresse IP ou le nom d'hôte del'ordinateurclient que vous voulez désigner comme fournisseur de mise à jourgroupée.

■ Fournisseur de mise à jour groupée multiple

Les fournisseurs de mises à jour groupées multiples utilisent un jeu de règles,ou des critères, afin de se désigner pour servir des groupes de clients à traversdes sous-réseaux. Pour configurer des fournisseurs de mise à jour groupéemultiples, spécifiezlescritères auxquels lesordinateurs clientdoivent répondrepour pouvoir être définis en tant que fournisseur de mise à jour groupée. Siun ordinateur client répond aux critères, Symantec Endpoint ProtectionManager ajoute le client à sa liste de fournisseurs de mise à jour groupée.Symantec Endpoint Protection Manager rend alors la liste disponible à tousles clients dans votre réseau. Les clients vérifient la liste et choisissent lefournisseur de mise à jour groupée qui se trouve dans leur sous-réseau. Vouspouvez également configurer un fournisseur de mise à jour groupée unique et

dédié pour distribuer le contenu aux clients quand le fournisseur de mise à jour groupée local n'est pas disponible.

Utilisez une politique de paramètres LiveUpdate pour configurer le type defournisseur de mise à jour groupée. Le type que vous configurez dépend de lafaçon dont votre réseau est paramétré et si votre réseau inclut des clients hérités.


158



Tableau 8-5 Quand utiliser un type particulier de fournisseur de mise à jour

groupée

Quand l'utiliserType de

fournisseur demise à jour

groupée

Utilisez un fournisseur unique de mise à jour groupée quand votreréseau comporte l'un des scénarios suivants :

■ Votre réseau inclut des clients hérités

Les clients hérités peuvent obtenir du contenu d'un fournisseurunique de mise à jour groupée ; ilspeuvent également être désignéscomme fournisseurs de mise à jour groupée.

Les clients hérités ne prennent pas en charge les fournisseurs de

mise à jour groupée multiples.■ Vous voulez utiliser le même fournisseur de mise à jour groupée

pour tous vos ordinateurs client

Vous pouvezutiliserune politiqueunique de paramètres de contenuLiveUpdatepour spécifieruneadresse IP statique ou un nomd'hôtepour un fournisseur unique de mise à jour groupée. Toutefois, sil'emplacement des clients change, vous devez modifier l'adresseIP dans la politique.

Si vous voulez utiliser différents fournisseurs de mise à jourgroupée dans différents groupes, vous devez créer une politiquede paramètres LiveUpdate distincte pour chaque groupe.

Se reporter à "Configurer un fournisseur unique de mise à jourgroupée" à la page 163.

Unique




Quand l'utiliserType de

fournisseur de

mise à jour

groupée

Utilisez lesfournisseurs de mise à jour groupée multiplesquandvotreréseau comporte l'un des scénarios suivants :

■ Vous exécutez le dernier logiciel clientsur lesordinateursde votreréseau.

Les fournisseurs de mises à jour groupées multiples sont pris encharge sur les ordinateurs qui exécutent le dernier logiciel client.Les fournisseurs de mises à jour groupées multiples ne sont paspris en chargepar les clients hérités. Lesclients hérités ne peuventpas obtenir de contenu des fournisseurs de mise à jour groupée

multiples. Ils ne peuvent pas être définis comme fournisseurs demise à jour groupée même s'ils répondent aux critères pour lesfournisseurs de mise à jour groupée multiples.

Vous pouvez créer une politique de paramètres LiveUpdatedistincte et configurer un fournisseur unique et statique de miseà jour groupée pour un groupe de clients hérités

■ Vous disposez de groupes multiples et voulez utiliser différentsfournisseurs de mise à jour groupée pour chaque groupe

Vous pouvez utiliser une politique spécifiant des règles pour ladéfinition de fournisseurs de mise à jour groupée multiples. Sil'emplacement des clients change, vous ne devez pas mettre à jourla politique de paramètres LiveUpdate. Symantec EndpointProtection Manager combine les fournisseurs de mise à jourgroupée multiples à travers les sites et les domaines. Elle rend laliste disponible à tous lesclients de tous lesgroupes de votre réseau.

■ Les fournisseurs de mises à jour groupées multiples peuventfonctionner comme mécanisme de basculement. Ils augmententla probabilité qu'au moins un fournisseur de mise à jour groupéesoit disponible dans chaque sous-réseau.

Se reporter à "Configurer des fournisseurs de mise à jour groupéemultiples" à la page 164.

Multiple

A propos de la configuration de règles pour les fournisseurs de miseà jour groupée multiples

Les fournisseurs de mises à jour groupées multiples utilisent des règles pourdéterminer les ordinateurs client qui agissent en tant que fournisseurs de mise à

jour groupée.

Les règles sont structurées comme suit :


160



■ Jeux de règles

Un jeu de règles inclut les règles auxquelles un client doit correspondre pouragir en tant que fournisseur de mise à jour groupée.

■ RèglesLes règles peuvent spécifier des adresses IP, des noms d'hôte, des clés deregistre Windows client ou des systèmes d'exploitation client. Vous pouvezinclure chaque type de règle dans un jeu de règles.

■ Conditions des règles

Une règle spécifie une condition à laquelle un client doit répondre pour agiren tant que fournisseur de mise à jour groupée. Si une règle spécifie unecondition avec des valeurs multiples, le clientdoit répondre à l'unedes valeurs.

Tableau 8-6 Types de règles

DescriptionType de règle

Cette règle spécifie les adresses IP client ou les noms d'hôte.Adresse IP ou nomd'hôte

Cette règle spécifie les clés de registre client Windows.Clés de registre

Cette règle spécifie les systèmes d'exploitation client.Système d'exploitation

La correspondance des règles est établie sur la base des opérateurs logiques ORet AND comme suit :

■ La correspondance aux jeux de règles multiples est établie sur la base del'opérateur OR. Un client doit correspondre à un jeu de règles.

■ La correspondance aux règles multiples est établie sur la base de l'opérateurAND. Un client doit correspondre à toutes les règles spécifiées dans un jeu derègles.

■ La correspondance auxvaleurs multiples pour unecondition de règle estétabliesur la base de opérateur OR. Un client doit correspondre à une valeur.

Par exemple, vous pouvez créer un Jeu de règles 1 qui inclut une règle d'adresseIP avec plusieurs adresses IP. Vous pouvez ensuite créer un Jeu de règles 2 qui

inclut une règle de nom d'hôte et une règle de système d'exploitation contenantchacune des valeurs multiples. Un ordinateur client doit correspondre soit au Jeude règles 1, soit au Jeu de règles 2. Un client répond au Jeu de règles 1 s'ilcorrespond à l'une des adresses IP. Un client répond au Jeu de règles 2 s'ilcorrespond à l'un des noms d'hôte ou à l'un des systèmes d'exploitation.

Se reporter à "Configurer des fournisseurs de mise à jour groupée multiples"à la page 164.




Configurer un Fournisseur de mise à jour groupée

Configurez un Fournisseur de mise à jour groupée en spécifiant les paramètresdans la politique Paramètres LiveUpdate.

Vous pouvez configurer la politique Paramètres LiveUpdate afin que les clientsn'obtiennent des mises à jour que du Fournisseur de mise à jour groupée, jamaisdu serveur. Vous pouvez spécifier le moment auquel lesclientsdoivent contournerle Fournisseur de mise à jour groupée. Vous pouvez configurer les paramètres detéléchargement et de stockage des mises à jour de contenu sur l'ordinateur duFournisseur de mise à jour groupée. Vous pouvez également configurer le type deFournisseur de mise à jour groupée.

Remarque : Si le Fournisseur de mise à jour groupée exécute un pare-feu non

compatible Symantec, vous pouvez devoir modifier le pare-feu pour permettreau port TCP de recevoir des communications du serveur. Par défaut, la politiquede pare-feu Symantec est correctement configurée.

Pour configurer un Fournisseur de mise à jour groupée



3 Dans le volet Politiques LiveUpdate, dans l'onglet Paramètres LiveUpdate,sélectionnez la politique à modifier.

4 Dans le volet Tâches, cliquez sur Modifier la politique.

5 Dans la fenêtre Politique LiveUpdate, cliquez sur Paramètres du serveur.

6 Sur la page Paramètres du serveur, sous Serveur LiveUpdate interne ou

externe, cochez l'option Utiliserleserveurdegestionpardéfaut(ordinateurs

Windows seulement).

Ne cochez pas l'option Utiliser un serveur LiveUpdate. Le Fournisseur demise à jour groupée que vous configurez agit en tant que serveur LiveUpdatepar défaut.

7 Sous Fournisseur de mise à jour groupée, cochez l'option Utiliser un

fournisseur de mises à jour groupées.

8 Cliquez sur Fournisseur de mise à jour groupée.


162



9 Dans la boîte de dialogue Fournisseur de mise à jour groupée, configurez letype de Fournisseur de mise à jour groupée.

Remarque : Les clients hérités peuvent ne peuvent utiliser qu'un seulFournisseur de mise à jour groupée. Les clients hérités ne prennent pas encharge plusieurs Fournisseurs de mise à jour groupée.

Se reporter à "Configurer un fournisseur unique de mise à jour groupée"à la page 163.


10 Dans la boîte de dialogue Fournisseurdemiseàjourgroupée, configurez les

options permettant de contrôler le mode de téléchargement et de stockagede contenu dans l'ordinateur du Fournisseur de mise à jour groupée.

Pour plus d'informations surle téléchargement de contenu, cliquez sur Aide.

11 Cliquez sur OK.

Se reporter à "Distribuer le contenu à l'aide des fournisseurs de mise à jourgroupée" à la page 156.

Configurer un fournisseur unique de mise à jour groupée

Vous ne pouvez configurer qu'un seul fournisseur unique de mise à jour groupéepar politique de paramètres LiveUpdate et par groupe. Pour créer un fournisseurunique de mise à jour groupée pour des sites multiples, vous devezcréer un groupeet une politique de paramètres LiveUpdate par site.




Pour configurer un fournisseur unique de mise à jour groupée

1 Suivez les étapes pour configurer un fournisseur de mise à jour groupée.

Sereporterà "Configurer un Fournisseur de mise à jour groupée" àlapage162.

2 Dans la boîtededialogue Fournisseurdemiseàjourgroupée, cochez Adresse

IP ou nom d'hôte du fournisseur de mises à jour groupées unique sousSélection de fournisseur de mises à jour groupées pour le client.

3 Dans la zone de texte Adresse IP ou nom d'hôte du fournisseur de mises à

jourgroupées unique, saisissez l'adresse IP ou le nom d'hôte de l'ordinateurclient qui agit en tant que fournisseur unique de mise à jour groupée.

Cliquez sur Aide pour plus d'informations au sujet de l'adresse IP ou du nomd'hôte.

Se reporter à "A propos des types de fournisseurs de mise à jour groupée"à la page 158.



Configurer des fournisseurs de mise à jour groupée multiples

Vous pouvez configurer des fournisseurs de mise à jour groupée multiples en

spécifiant des critères dans la politique de paramètres LiveUpdate. Les clientsutilisent les critères pour déterminer s'ils peuvent agir en tant que fournisseurde mise à jour groupée.

Pour configurer les fournisseurs de mise à jour groupée multiples

1 Suivez les étapes pour configurer un fournisseur de mise à jour groupée.

Sereporterà "Configurer un Fournisseur de mise à jour groupée" àlapage162.

2 Dans la boîte de dialogue Fournisseur de mise à jour groupée, cochezFournisseurs de mises à jour groupées multiples sous Sélection de

fournisseur de mises à jour groupées pour le client.

3 Cliquez sur Configurer la liste des fournisseurs de mises à jour groupées.

4 Dans la boîte de dialogue Liste Fournisseur de mise à jour groupée,sélectionnez le nœud d'arborescence Fournisseur de mise à jour groupée.

5 Cliquez sur Ajouter pour ajouter un jeu de règles.


164



6 Dans la liste déroulante Cocher de la boîte de dialogue Spécifiez les critères

de règles des fournisseurs de mises à jour groupées, sélectionnez l'une deoptions suivantes :

■ Adresse IP ou nom d'hôte de l'ordinateur

■ Clés de registre


7 Si vous avez sélectionné Adresse IP/nom d'hôte de l'ordinateur ou Clés deregistre, cliquez sur Ajouter.

8 Saisissez ou sélectionnez l'adresseIP, le nomd'hôte, la cléde registre Windowsou les données du système d'exploitation.

Cliquez sur Aide pour plus d'informations sur la configuration des règles.

Se reporter à "A propos de la configuration de règles pour les fournisseursde mise à jour groupée multiples" à la page 160.

9 Cliquez sur OK jusqu'à revenir à la boîte de dialogue Fournisseur de mise à

jour groupée.

10 Dans la boîte de dialogue Liste Fournisseur de mise à jour groupée, ajoutezsi nécessaire d'autres jeux de règles.

11 Saisissez une adresse IP ou un nom d'hôte de fournisseur de mise à jourgroupée dans la zone de texte Spécifiez le nom d'hôte ou l'adresse IP d'un

fournisseur de mises à jour groupées sur un autre sous-réseau à utiliser si

les fournisseurs de mises à jour groupées sur le sous-réseau local ne sontpas disponibles.

12 Cliquez sur OK.


Recherche des clients agissant en tant que fournisseurs de mise à jourgroupée

Vous pouvez vérifier queles clients sont disponibles comme fournisseurs de miseà jour groupée. Vous pouvez afficher une liste des fournisseurs de mise à jourgroupée en les recherchant dans l'onglet Clients.

Remarque : Vous pouvez également vérifier les propriétés d'un client. Lespropriétés incluent un champ qui indique si le client est un fournisseur de miseà jour groupée.




Pour rechercher les clients agissanten tant que fournisseurs de mise à jour groupée


2 Dans la zone de texte Afficher de l'onglet Clients de la page Clients,sélectionnez Etat du client.

3 Dans le volet Tâches, cliquez sur Recherche de clients.

4 Dans la zone de texte Découverte, sélectionnez Ordinateurs.

5 Dans la zone de texte Dans le groupe, spécifiez le nom du groupe.

6 Danslacolonne Champderecherche sous Critèresderecherche, sélectionnezFournisseur de mise à jour groupée.

7 Dans la colonne Opérateur de comparaison sous Critères de recherche,sélectionnez =.

8 Dans la colonne Valeur sous Critères de recherche, sélectionnez Vrai.

Cliquez sur Aide pour plus d'informations sur les critères de recherche.

9 Cliquez sur Rechercher.


A propos de l'Intelligent Updater

Vous pouvez utiliser l'Intelligent Updater pour télécharger des mises à jour ducontenu de virus et de risque de sécurité sur votre serveur de gestion. Symantecrecommande que vous utilisiez LiveUpdate pour mettre à jour le contenu.Cependant, dans les situations où vous ne voulez pas utiliser LiveUpdate ou siLiveUpdate n'est pas disponible, vous pouvez utiliser l'Intelligent Updater. Aprèsle téléchargement desfichiers,vous pouvez utiliser votre méthode de distributionpréférée pour mettre à jour vos clients.

Remarque : L'Intelligent Updater fournit seulement des mises à jour du contenude virus et de risque de sécurité. Il ne fournit des mises à jour pour aucun autre

type de contenu.

Intelligent Updater est disponible sous la forme d'un seul fichier ou d'un packagesegmenté, distribuésurplusieursfichiers plus petits. Le fichier uniqueest destinéauxordinateurs dotés de connexions réseau. Le package segmenté est destinéauxordinateurs qui n'ont pas de connexions réseau, d'accès à Internet ou de lecteurde CD-ROM. Copiez le package segmenté sur le support amovible pour ladistribution.

Mise à jour des définitions et du contenuA propos de l'Intelligent Updater

166




Remarque : Des définitions antivirus et antispyware sont contenues dans lesfichiers vdbet jdbquevous pouvezdistribuer. Lesfichiers vdb prennent en chargeles clients 32 bits seulement. Les fichiers jdb prennent en charge les clients 32bits et les clients 64 bits. Ce sont les fichiers que vous placez dans les boîtes deréception de l'ordinateur client. Vous pouvez télécharger desmises à jour à partirdu site suivant :

ftp://ftp.symantec.com/AVDEFS/symantec_antivirus_corp/

Utiliser l'Intelligent Updater pour télécharger desmises à jour du contenu d'antivirus pour ladistribution

Pour distribuer seulement les mises à jour de virus et de risque de sécurité,téléchargez le nouvel Intelligent Updater. Puis, utilisez votre méthode dedistribution préférée pour fournir les mises à jour à vos clients.

Remarque : Actuellement, Intelligent Updater met seulement à jour les virus etles mises à jour de risque de sécurité. Veillez à utiliser les fichiers IntelligentUpdater pour la version entreprise plutôt que ceux destinés à la version grandpublic du produit.

Se reporter à "A propos de l'Intelligent Updater" à la page 166.

Pour télécharger Intelligent Updater

1 Dans votre navigateur Web, accédez à l'URL suivant :

http://www.symantec.com/business/security_response/definitions/download/detail.jsp?gid=savce

2 Cliquez sur le fichier de produit avec l'extension .exe approprié.3 Quand un message vous demande de choisir un emplacement où enregistrer

les fichiers, sélectionnez un dossier sur votre disque dur.

Pour installer les fichiers de définitions de virus et de risques de sécurité

1 Localisez le fichier Intelligent Updater que vous avez téléchargé depuisSymantec.

2 Double-cliquez sur le fichier et suivez les instructions affichées à l'écran.

Mise à jour des définitions et du contenuUtiliser l'Intelligent Updater pour télécharger des mises à jour du contenu d'antivirus pour la distribution



A propos des fichiers utilisés dans la distribution tiersdu contenu LiveUpdate

La procédureSymantec Endpoint Protectionrelative auxoutilstiers de distributionutilise un fichier nommé index2.dax. Le contenu LiveUpdate du fichier index2.daxcomporte un ensemble de noms de contenu ainsi que leurs numéros de séquenceassociés. Chaque nom de contenu correspond à un type de contenu particulier.Chaque numérode séquence du fichier index2.dax correspond à unerévision d'untype de contenu particulier.

Vous pouvez voir l'association entre le nom et son type de contenu en ouvrant lefichier ContentInfo.txt. Le fichier se trouve généralement dans \ProgramFiles\Symantec\Symantec Endpoint Protection Manager\Inetpub\content folder.

Vous pouvez par exemple obtenir l'entrée suivante :{C60DC234-65F9-4674-94AE-62158EFCA433}: SESC Virus Definitions

Win32 v11 - MicroDefsB.CurDefs - SymAllLanguages

Chaque groupe de clients possède un fichier index2.dax. Ce fichier est situé dansle dossier correspondant au numéro de série de la politique du groupe. Le numérode série est répertorié dans la boîte de dialogue Propriétés du groupe. Les quatrepremières valeurs hexadécimales du numéro de série doivent concorder aveccelles de l'un des noms de dossier.

Le fichier index2.dax est chiffré. Pour consulter le contenu du fichier, ouvrez le

fichier index2.xml, lequel est disponible dans le même dossier. Vous pouvezafficher uneliste desmonikers de contenu avec leur numérode séquence (révision).Vous pouvez par exemple obtenir l'entrée suivante :

<File Checksum="191DEE487AA01C3EDA491418B53C0ECC" DeltaFlag="1"

FullSize="30266080" LastModifiedTime="1186471722609" Moniker=

"{C60DC234-65F9- 4674-94AE-62158EFCA433}" Seq="80806003"/>

La politique de contenu LiveUpdate sur les clients auxquels vous distribuez ducontenu présente une révisionde contenu particulièreou le contenu le plus récent.Le numéro de séquence situé dans le fichier index2.dat que vous utilisez pour la

distribution doitconcorder avecle numéro de séquencecorrespondant au contenuindiqué dans la politique de contenu LiveUpdate du groupe. Par exemple, si lapolitique de contenu LiveUpdate est définie sur "Utiliser le dernier disponible"pour tous les types de contenu, le numéro de séquence de chaque type de contenuest défini sur le dernier contenu disponible sur Symantec Endpoint ProtectionManager. Dans cet exemple, la distribution ne fonctionne que si le fichierindex2.dat que vous utilisez pour la distribution fait appel aux numéros de

Mise à jour des définitions et du contenuA propos des fichiers utilisés dans la distribution tiers du contenu LiveUpdate

168



séquence (révisions) correspondant à la dernière révision de contenu. Ladistribution échouesi lesnuméros de séquence correspondent à d'autres révisions.

Se reporter à "Distribution du contenu aux clients gérés par des outils de

distribution tiers" à la page 171.

A propos de l'utilisation d'outils de distribution tierspour distribuer des mises à jour de contenu auxclients gérés

Les grands réseaux peuvent dépendre d'outils de distribution tiers comme IBMTivoli, Microsoft SMS, etc., pour distribuer desmises à jour auxordinateursclient.Le logiciel client Symantec prend en charge la distribution de mise à jour avec cesoutils. Pour utiliser les outils de distribution tiers, vous devez obtenir les fichiersde mise à jour et les distribuer avec un outil de distribution.

Pour les clients gérés, vous pouvez obtenir les fichiers de mise à jour après avoirinstallé et configuré un serveur Symantec Endpoint Protection Management entant que seul serveur d'un site. Vous planifiez et sélectionnez alors les mises à

jour du contenu de LiveUpdate à télécharger sur le site.

Se reporter à "Configuration d'un site pour télécharger des mises à jour"à la page 147.

Lesfichiersde mise à jour sont téléchargés dans des sous-répertoires du répertoire

(par défaut) suivant :

\Program Files\Symantec Endpoint Protection Manager\data\outbox\

Vous distribuezensuitelesfichiers au dossier de boîte de réception desordinateursclient.

Par défaut, ce dossier n'existe pas et le logiciel client ne vérifie pas et ne traitepas le contenu de ce dossier. Pour les clients gérés, vous devez configurer unepolitique de paramètres LiveUpdate pour le groupe, activer la distribution tiersaux clients du groupe et appliquer la politique. Le dossier de boîte de réceptions'affiche alors sur les ordinateurs client du groupe. Pour les clients non gérés,

vous devez activer manuellement une clé de registre de Windows sur lesordinateurs client.

Le dossier de boîte de réception s'affiche dans l'emplacement suivant sur lesordinateurs client qui n'exécutent pas Windows Vista :

\\Documents and Settings\All Users\Application Data\Symantec\ SymantecEndpoint Protection\inbox\

Mise à jour des définitions et du contenuA propos de l'utilisation d'outils de distribution tiers pour distribuer des mises à jour de contenu aux clients gérés



Le dossier de boîte de réception s'affiche dans l'emplacement suivant sur lesordinateurs client qui exécutent Windows Vista :

\\Program Data\Symantec\Symantec Endpoint Protection\inbox\

Se reporter à "Distribution du contenu aux clients gérés par des outils dedistribution tiers" à la page 171.

Activer la distribution de contenu tiers aux clientsgérés avec une politique de paramètres LiveUpdate

Quand vous créez une politique LiveUpdate qui prend en charge la distributionde contenu tiers aux clients gérés, vous avez deux ou trois buts supplémentaires.L'un est de réduire la fréquence avec laquelle les clients recherchent des mises à

jour. L'autre est typiquement de désactiver la capacité des utilisateurs clientd'effectuer LiveUpdate manuellement. Les clients gérés sont gérés à l'aide despolitiques Symantec Endpoint Protection Manager.

Lorsque vous avez terminé cette procédure, le répertoire suivant s'affiche sur lesordinateurs client du groupe qui n'exécute pas Windows Vista :

\\Documents and Settings\All Users\Application Data\Symantec\ SymantecEndpoint Protection\inbox\

Le répertoire suivant s'affiche sur les ordinateurs client du groupe qui exécuteWindows Vista :


Pour activer la distribution de contenu tiers aux clients gérés avec une politique

LiveUpdate



3 Dans le volet Politiques LiveUpdates, dans l'onglet de Paramètres

LiveUpdate, sous Tâches, cliquez sur Ajouter une politique de paramètres

LiveUpdate.

4 Dans la fenêtre Politique LiveUpdate, dans les zones de texte Nomdelapolitique et Description, saisissez un nom et la description.

5 Cliquez sur Paramètres du serveur.

6 Sous Gestion tierce, cochez l'option Activer la gestion du contenu tiers.

7 Décochez toutes les autres options de la source LiveUpdate.

8 Cliquez sur OK.

Mise à jour des définitions et du contenuActiver la distribution de contenu tiers aux clients gérés avec une politique de paramètres LiveUpdate

170



9 Dans la boîte de dialogue Assigner la politique, cliquez sur Oui.

Vous pouvez aussi annuler cette procédure et attribuer la politiqueultérieurement.

10 Dans la boîte de dialogue Assigner la politique LiveUpdate, sélectionnez unou plusieursgroupes auxquels cette politique doit être attribuée, puiscliquezsur Assigner.

Distribution du contenu aux clients gérés par desoutils de distribution tiers

Après avoir activé la gestion du contenu tiers dans la politique LiveUpdate,localisez Symantec Endpoint Protection Manager et copiez-y le contenu. Une fois

que vous avez localisé et copié le contenu, vous pouvez le distribuer aux clients.Vous pouvez également choisir le type de contenu que vous souhaitez copier etdistribuer.

Se reporterà "A propos de l'utilisation d'outils de distributiontierspourdistribuerdes mises à jour de contenu aux clients gérés" à la page 169.

Se reporterà "A propos de l'utilisation d'outils de distributiontierspourdistribuerdes mises à jour de contenu aux clients autogérés" à la page 173.

Remarque : Si vous enregistrez les fichiers de mise à jour sur des ordinateurs client

avant de les placer dans le répertoire /inbox, vous devez alors copier les fichiers.Lesfichiers ne peuvent pasêtre déplacés.Vous pouvezégalementcopierlesfichiers.vdb et .jdb vers la boîte de réception en vue de leur traitement.

Pour distribuer du contenu aux clients gérés par des outils de distribution tiers

1 Sur l'ordinateur qui exécute Symantec Endpoint Protection Manager, créezun répertoire de référence tel que \Work_Dir.

2 Dans la console, sous l'onglet Clients, cliquez avec le bouton droit de la sourissur le groupe pour le mettre à jour, puis cliquez sur Propriétés.

3 Documentez les quatre premières valeurs hexadécimales de Numéro de sériede la politique, tel que 7B86.

4 Naviguez vers le répertoire suivant :

\\Program Files\Symantec\Symantec Endpoint ProtectionManager\data\outbox\agent

Mise à jour des définitions et du contenuDistribution du contenu aux clients gérés par des outils de distribution tiers



5 Recherchez le répertoire qui contient les quatre premières valeurshexadécimales correspondant au numéro de série de la politique de votregroupe de clients.

6 Ouvrez ce répertoirepuiscopiez index2.dax survotre répertoirede référence,tel que \Work_Dir.dax.

7 Naviguez vers le répertoire suivant :

\\Program Files\Symantec\Symantec Endpoint ProtectionManager\Inetpub\content

8 Ouvrez et lisez le fichier ContentInfo.txt pour découvrir les données que

chaque répertoire <<moniker cible>> contient.

Le contenu de chaque répertoire est <<moniker cible>>\<numséquence>\full.zip|full.

9 Copiez le contenu de chaque répertoire \<<moniker cible>> vers votrerépertoire de référence tel que \Work_Dir.

10 Supprimez tous les fichiers et répertoires de chaque répertoire \<<monikercible>> de sorte que seuls la structure de répertoires et le fichier suivantsdemeurent dans votre répertoire de référence :

\\Work_Dir\<<target moniker>>\<dernier numéro de séquence>\full.zip

Votre répertoire de travail contient maintenant la structure de répertoireset les fichiers à distribuer aux clients.

11 Utilisez vosoutilsde distributiontiers pour distribuer le contenu de \Work_Dirvers le répertoire \\Symantec EndpointProtection\inbox\ des clients de votregroupe.

Le résultat final doit s'apparenter aux chaînes suivantes :

\\Symantec Endpoint Protection\inbox\index2.dax

\\Symantec EndpointProtection\inbox\<<moniker cible>>\<dernier numérode séquence>\full.zip

Si lesfichiers disparaissent laissant la boite de réception vide. Si le répertoire\inbox\invalid\ apparaît, cela signifie que vous devez réessayer.

Mise à jour des définitions et du contenuDistribution du contenu aux clients gérés par des outils de distribution tiers

172



A propos de l'utilisation d'outils de distribution tierspour distribuer des mises à jour de contenu aux

clients autogérésPour des raisons de sécurité, si vous avez installé des clients autogérés à partirdu CD-ROM d'installation, les clients ne font pas confiance et ne traitent pas lecontenu ou les mises à jour de la politique de LiveUpdate. Pour permettre à cesclients de traiter les mises à jour, vous devez créer la clé de registre Windowssuivante : HKLM\Software\Symantec\Symantec EndpointProtection\SMC\TPMState

Définissez unevaleurhexadécimale80 de sortequela cléressembleà 0x00000080(128)

Une fois la clé définie, vous devez redémarrer l'ordinateur ou exécuter lescommandes suivantes depuis le répertoire Symantec\Symantec EndpointProtection\ :

smc.exe -stop

smc.exe -start

Le dossier de boîte de réception apparaît dans l'emplacement suivant sur lesordinateurs client qui n'exécutent pas Windows Vista :

\\Documents and Settings\All Users\Application Data\Symantec\ Symantec

Endpoint Protection\inbox\ Le dossier de boîte de réception apparaît dans l'emplacement suivant sur lesordinateurs client qui exécutent Windows Vista :


Vous pouvez maintenant utiliser les outils de distribution tiers pour copier lecontenu ou les mises à jour de la politique sur ce répertoire. Le logiciel clientSymantec fait confiance à la source et traite le contenu.

La distribution du contenu à partir du module Symantec Endpoint ProtectionManager s'effectue presque de la même manière que pour les clients gérés.

Cependant, copiee index2.xml de Mon entreprise, au lieu de copier index2.dax àpartirde votre répertoirede groupe de client géré.Copiezle fichier full.dax commedécrit pour le client géré. Vous pouvez alors distribuer ces fichiers. Vous pouvezégalement déposer des fichiers .vdb et de .jdb dans la boîte de réception clientpour le traitement.

Mise à jour des définitions et du contenuA propos de l'utilisation d'outils de distribution tiers pour distribuer des mises à jourde contenu aux clientsautogérés



Remarque : Si vous placez les fichiers de mise à jour sur les ordinateurs, vousdevez les copier dans la boîte de réception. Les fichiers de mise à jour ne sont pastraités si vous les déplacez vers la boîte de réception.

Remarque : Après une installation de client réseau, la clé de registre Windows deTPMStateexiste avec unevaleur de 0, quevous pouvezmodifier. (Cetteclén'existepas après une installation de client autogéré.) En outre, pour une installation declient réseau, il n'est pas nécessaire de redémarrer l'ordinateur ou d'exécuter lacommande smc.exe. Le répertoire apparaît dès que la clé de registre Windows estmodifiée.

Se reporter à "Distribution du contenu aux clients gérés par des outils dedistribution tiers" à la page 171.

Sereporterà "A propos de l'utilisation d'outils de distributiontierspourdistribuerdes mises à jour de contenu aux clients gérés" à la page 169.

Exécution de LiveUpdate sur un client à partir de laconsole

Vous pouvez mettre à jour le contenu des clients en lançant LiveUpdate à partirde la console. Vous pouvez exécuter une commande sur un seul client ou sur un

groupede clients. Lesclients reçoiventle dernier contenu de Symantec LiveUpdate.Une autre possibilité consiste à lancer une session LiveUpdate et à exécuter uneanalyse sur demande.


Pour exécuter LiveUpdate sur un client à partir de la console

1 Dans la console, cliquez sur Clients et sélectionnez un groupe sous Afficher

les clients.

2 Dans l'onglet Clients, effectuez l'une des opérations suivantes :

■ Pour tous les ordinateurs et utilisateurs d'un même groupe, cliquez avecle bouton droit de la souris sur le groupe, puis sélectionnez Exécuter la

commande sur le groupe.

■ Pour les ordinateurs ou utilisateurs sélectionnés au sein d'un groupe,sélectionnez le groupe, cliquez avec le bouton droit de la souris sur lesordinateurs ou les utilisateurs, puis sélectionnez Exécuter la commande

sur les clients.

Mise à jour des définitions et du contenuExécution de LiveUpdate sur un client à partir de la console

174




■ Sélectionnez Actualiser le contenu.

■

Sélectionnez Actualiser le contenu et analyser.4 Effectuez l'une des opérations suivantes :

■ Si vous avez sélectionné Mettre à jour le contenu, cliquez sur Oui.

■ Si vous avez sélectionné Actualiser le contenu et analyser, sélectionnezle type d'analyse, cliquez sur OK, puis cliquez sur Oui.





176



Affichage des fonctionsdans l'interface utilisateur

clientCe chapitre traite des sujets suivants :

■ A propos de l'accès à l'interface client

■ Verrouillage et déverrouillage des paramètres gérés

■ Modification du niveau de contrôle de l'utilisateur

■ Protection du client par mot de passe

A propos de l'accès à l'interface clientVous pouvezdéterminer le niveaud'interaction quevous voulezquelesutilisateursaient sur le client Symantec Endpoint Protection. Choisissez les fonctions que lesutilisateurs peuvent configurer. Par exemple, vous pouvez contrôler le nombrede notifications qui s'affichent et limiter la capacité des utilisateurs à créer desrègles de filtrage et des analyses d'antivirus. Vous pouvez également donner auxutilisateurs l'accès complet à l'interface utilisateur.

Lesfonctions quelesutilisateurs peuvent personnaliserpour l'interface utilisateursont appelées paramètres gérés. L'utilisateur n'a pas accès à toutes les fonctionsclient comme la protection par mot de passe.

Pour déterminer le niveau de l'interaction utilisateur, vous pouvez personnaliserl'interface utilisateur des façons suivantes :

■ Pour les paramètres antivirus et antispyware, vous pouvez verrouiller oudéverrouiller les paramètres.

9Chapitre



■ Pour les paramètres de pare-feu, des paramètres de prévention d'intrusion etpour quelques paramètres client d'interface utilisateur, vous pouvez définirle niveau de contrôle de l'utilisateur et configurer les paramètres associés.

■ Vous pouvez protéger le client par mot de passe.Se reporter à "Protection du client par mot de passe" à la page 185.

Verrouillage et déverrouillage des paramètres gérésPour déterminer les paramètres de protection antivirus et antispyware et deprotection contre les interventions que les utilisateurs peuvent configurer sur leclient, vous pouvez verrouiller ou déverrouiller celles-ci. Les utilisateurs peuventconfigurer lesparamètresdéverrouillés, mais paslesparamètres verrouillés. Seulslesadministrateurs de Symantec Endpoint ProtectionManager peuventconfigurer

les paramètres verrouillés.

Tableau 9-1 Icônes de cadenas verrouillé et déverrouillé

Signification de l'icôneIcône

Le paramètre est déverrouillé et les utilisateurs peuvent le modifierdans l'interface utilisateur client.

Surle client, l'icône de cadenasn'apparaîtpaset l'optionestdisponible.

Le paramètre est verrouillé et les utilisateurs ne peuvent pas le

modifier dans l'interface utilisateur client.Sur le client, le cadenas verrouillé s'affiche et l'option est grisée.

Vous verrouillez et déverrouillez les paramètres sur les pages ou les boîtes dedialogue sur lesquelles ils apparaissent.

Pour verrouiller et déverrouiller les paramètres gérés

1 Ouvrez une politique antivirus et antispyware.


2 Sur la page antivirus et antispyware, cliquez sur l'une des pages suivantes :

■ Auto-Protect pour le système de fichiers

■ Auto-Protect pour le courrier électronique Internet

■ Auto-Protect pour Microsoft Outlook

■ Auto-Protect pour Lotus Notes

■ Analyses proactives des menaces TruScan

Affichage des fonctions dans l'interface utilisateur clientVerrouillage et déverrouillage des paramètres gérés

178



■ Transmissions

■ Divers

3 Cliquez sur l'icône de cadenas pour verrouiller ou déverrouiller le paramètre.4 Si vous avez terminé de configurer cette politique, cliquez sur OK.

Vous pouvez aussi verrouiller et déverrouiller les paramètres de protectioncontre les interventions.

Se reporter à "Configuration de la protection contre les interventions"à la page 422.

Modification du niveau de contrôle de l'utilisateur

Vous pouvez déterminer quels fonctions de protection contre les menaces réseauet paramètres client d'interface utilisateur sont disponibles pour que lesutilisateurs configurent sur Symantec Endpoint Protection le client. Pourdéterminer quels paramètres sont disponibles, vousspécifiez le niveau de contrôlede l'utilisateur. Le niveau de commande d'utilisateur détermine si le client peutêtre complètement invisible, afficher un ensemble de fonctions partiel ou afficherune pleine interface utilisateur.

Remarque : Le client Symantec Network Access Control s'exécute uniquement encontrôle de serveur. Les utilisateurs ne peuvent configurer aucun paramètre

d'interface utilisateur.

Affichage des fonctions dans l'interface utilisateur clientModification du niveau de contrôle de l'utilisateur



Tableau 9-2 niveaux de contrôle de l'utilisateur

DescriptionNiveau de contrôle de

l'utilisateur

Donne aux utilisateurs le niveau de contrôle minimum sur leclient. Le contrôle de serveur verrouille lesparamètres gérés desorte que les utilisateurs ne puissent pas les configurer.

Le contrôle de serveur a les caractéristiques suivantes :

■ Les utilisateurs ne peuvent pas configurer ou activer lesrègles de filtrage, les paramètres spécifiques à desapplications, les configurations de pare-feu, les paramètresde prévention d'intrusion ou les journaux de protectioncontre les menaces réseau et de gestion des clients. Tous lesparamètres des règles de filtrage et de sécurité du client seconfigurent dans Symantec Endpoint Protection Manager.

■ Les utilisateurs peuvent afficher des journaux, l'historiquedu trafic du client et la liste des applications que le clientexécute.

■ Vous pouvez configurer certains paramètres d'interfaceutilisateuret notifications de pare-feu pourqu'ils s'affichentou non sur le client. Par exemple, vous pouvez masquerl'interface utilisateur client.

Les paramètres que vous définissez sur le contrôle de serveurs'affichent obscurcis ou ne sont pas visibles dans l'interface

utilisateur client.Lorsque vous créez un nouvelemplacement, l'emplacement estautomatiquement défini sur contrôle de serveur.

Contrôle du serveur

Donne aux utilisateurs la plupart de contrôle du client. Lacommande client déverrouille lesparamètres gérés de sorte queles utilisateurs puissent les configurer.

La commande client a les caractéristiques suivantes :

■ Les utilisateurs peuvent configurer ou activer des règles defiltrage, des paramètres spécifiques à des applications, desparamètres du pare-feu, des paramètres de prévention

d'intrusion et des paramètres d'interface utilisateur client.■ Le client ignore les règles de filtrage que vous configurez

pour le client.

Vous pouvez donner le contrôle client aux ordinateurs clientque les employés utilisent sur un site distant ou à domicile.

Contrôle client


180



DescriptionNiveau de contrôle de

l'utilisateur

Donne à l'utilisateur un contrôle mixte sur le client.

Le contrôle mixte a les caractéristiques suivantes :

■ Les utilisateurs peuvent configurer les règles de filtrage etles paramètres spécifiques à des applications.

■ Vous pouvez configurer les règles de filtrage, qui peuventremplacer ou nonles règlesqueles utilisateursconfigurent.La position des règles de serveur dans la liste Règles de lapolitique de pare-feu détermine si les règles de serveurremplacent des règles client.

■ Vouspouvez spécifier certainsparamètres pourqu'ils soientdisponibles ou non sur le client pour que les utilisateurs les

activent et les configurent. Ces paramètres incluent les journaux de protection contre les menaces réseau, les journaux de gestion des clients, les configurations depare-feu, les paramètres de prévention d'intrusion et desparamètres d'interface utilisateur.

■ Vous pouvez configurer des paramètres d'antivirus et deprotection antispyware pour remplacer le paramètre sur leclient, même si le paramètre est déverrouillé. Par exemple,si vousdéverrouillezla fonctionAuto-Protectet l'utilisateurla désactive, vous pouvez activer Auto-Protect.

Les paramètres que vous définissez sur le contrôle client sont

à la disposition de l'utilisateur. Les paramètres que vousdéfinissez sur le contrôle de serveur s'affichent obscurcis ou nesont pas visibles dans l'interface utilisateur client.

Se reporter à "A propos du contrôle mixte" à la page 182.

Contrôle mixte

Certains paramètres gérés ont des dépendances. Par exemple, les utilisateurspeuvent avoir la permission de configurer des règles de filtrage, mais ne peuventpas accéder à l'interface utilisateur client. Puisque lesutilisateurs n'ont pas accèsdans la boîte de dialogue Configurer les règles de filtrage, ils ne peuvent pas créerdes règles.

Vous pouvez définir un niveau différent de contrôle d'utilisateur pour chaqueemplacement.

Remarque : Les clients qui s'exécutent sous contrôle client ou mixte passent souscontrôle serveur quand le serveur applique une politique de quarantaine.




Pour modifier le niveau de contrôle de l'utilisateur :


2 Sous Afficher les clients, sélectionnez le groupe dont vous voulez modifierl'emplacement.

3 Cliquez sur l'onglet Politiques.

4 Sous Politiques et paramètres dépendants de l'emplacement, sousl'emplacement quevousvoulez modifier, développez Paramètresspécifiques

aux emplacements.

5 A droite de Paramètres de contrôle d'interface utilisateur du client, cliquezsur Tâches > Modifier les paramètres.

6 Dans la boîte de dialogue Paramètres de contrôle de l'interface utilisateur du

client, choisissez une des options suivantes :■ Cliquez sur Contrôle du serveur et puis cliquez sur Personnaliser.

Configurez l'un des paramètres et cliquez sur OK.

■ Cliquez sur Contrôle client.

■ Cliquez sur Contrôle mixte et puis cliquez sur Personnaliser.

Configurez l'un des paramètres et cliquez sur OK.


■ Pour le client Symantec Network Access Control, vous pouvez cliquer surAfficher le client et Afficher l'icône de la zone de notification.

7 Cliquez sur OK.

A propos du contrôle mixte

Pour les clients en contrôle mixte, vous pouvez déterminer les options que vousvoulez que les utilisateurs configurent ou pas. Les options gérées incluent desparamètresdans unepolitique de pare-feu, unepolitique de prévention d'intrusionet les paramètres d'interface utilisateur client.

Vous pouvez attribuer chaque option au contrôle serveur ou au contrôle client.

En contrôle client, seul l'utilisateur peut activer ou désactiver le paramètre. Encontrôle serveur, vous seul pouvez activer ou désactiver le paramètre. Contrôleclient est le niveau de contrôle d'utilisateur par défaut. Si vous attribuez uneoption au contrôle de serveurs, vous devez ensuite configurer le paramètre dansla page ou la boîte de dialogue correspondantede la console de SymantecEndpointProtection Manager.Parexemple, vous pouvezactiver lesparamètres du pare-feudans la politique de pare-feu. Vous pouvez configurer les journaux dans la boîtede dialogue Paramètres de journalisation clientdans l'onglet Politiques de la pageClients.


182



Vous pouvez configurer les types de paramètres suivants :

■ paramètres de l'interface utilisateur ;

Se reporter à "Configuration des paramètres d'interface utilisateur"

à la page 183.

■ paramètres de protection contre les menaces réseau générales ;

Se reporter à "Configurer des paramètres de protection contre les menacesréseau pour la commande mélangée" à la page 559.

■ paramètres de politique de pare-feu ;

Sereporterà "A propos de l'utilisation despolitiques de pare-feu" àlapage518.

■ paramètres de politique de prévention d'intrusion.

Se reporter à "Configuration de la prévention d'intrusion" à la page 544.

Configuration des paramètres d'interface utilisateur

Vous pouvez configurer les paramètres d'interface utilisateur sur le client eneffectuant l'une ou l'autre des tâches suivantes :

■ Définissez le niveau de contrôle de l'utilisateur du client à la commande deserveur.

■ Définissez le niveau de contrôle de l'utilisateur du client sur le contrôle mixteet définissez la fonction parente dans l'onglet Paramètres de contrôle duclient/serveur sur Serveur.

Par exemple, vous pouvez définir l'option Afficher/Masquer l'icône de la zonede notification sur Client. L'icône de zone de notification s'affiche sur le clientet l'utilisateur peut choisir d'afficher ou masquer l'icône. Si vous définissezl'option Afficher/Masquer l'icône de la zone de notification sur Serveur, vouspouvez choisir d'afficher l'icône de zone de notification sur le client.

Pour configurer des paramètres d'interface utilisateur dans le contrôle mixte :

1 Modifiez le niveau de commande d'utilisateur à contrôle mixte.

Sereporterà"Modification du niveau de contrôle de l'utilisateur" àlapage179.

2 Dans la boîte de dialogue Paramètres de contrôle de l'interface utilisateur du

client pour nom d'emplacement , près de Commande mixte, cliquez surPersonnaliser.

3 Dans la boîte de dialogue Paramètres de contrôle mixtes de l'interfaceutilisateur du client, dans l'onglet Paramètres de contrôle du client/serveur,faites l'une des actions suivantes :

■ Verrouillez uneoption de sorte quevous puissiez la configurer seulementdu serveur. Pour l'optionquevous voulezverrouiller,cliquez surServeur.




Tous les paramètres de protections antivirus et antispyware configuréssur le serveur remplacent les paramètres du client.

■ Déverrouillez une option de sorte que l'utilisateur puisse la configurer

sur le client. Pour l'option que vous voulez, cliquez sur Client. Le clientest sélectionné par défaut pour tous les paramètres, à l'exception desparamètres antivisus et antispyware.

4 Pour les options suivantes configurées sur le serveur, cliquez sur l'ongletParamètres client d'interface utilisateur pour les configurer :

Afficher l'icône de zone de notificationAfficher/Masquer l'icône de zone denotification

Permettre aux utilisateurs d'activer et dedésactiver la protection contre les menacesréseau

Activer/Désactiver la protection contreles menaces réseau

Permettre aux utilisateurs de réaliser unessai de sécurité

Commande de menu Tester la sécuritéréseau

Autorise le trafic d'IP ou seulement le traficd'application, et invite l'utilisateur avant depermettre le trafic d'application

Configurer les paramètres de trafic IPnon appariés

Afficher les notifications de préventiond'intrusion

Afficher/Masquer les notifications deprévention d'intrusion

Pour plus d'informations sur l'emplacement de la console où configurer lesoptions restantes définies sur Serveur, cliquez sur Aide. Pour activer lesparamètres du pare-feu et de prévention d'intrusion, configurez-les dans lapolitique de pare-feu et la politique de prévention d'intrusion.

Se reporter à "Activation du filtrage de trafic intelligent" à la page 537.

Se reporter à "Activation des paramètres de trafic et des paramètres furtifs"à la page 538.


5 Dans l'onglet Paramètres de l'interface utilisateur du client, sélectionnez lacase à cocher de l'option de sorte que l'option soit disponible sur le client.

6 Cliquez sur OK.

7 Cliquez sur OK.


184



Pour configurer des paramètres d'interface utilisateur dans le contrôle du serveur :

1 Modifiez le niveau de commande d'utilisateur à contrôle mixte.

Sereporterà"Modification du niveau de contrôle de l'utilisateur" àlapage179.

2 Dans la boîte de dialogue Paramètres de contrôle de l'interface utilisateur duclient pour nom d'emplacement , près de Commande de serveur, cliquez surPersonnaliser.

3 Dans la boîte de dialogue Paramètres de l'interface utilisateur du client,sélectionnez la case à cocher d'une option de sorte que l'option s'affiche surle client pour être utilisée.

4 Cliquez sur OK.

5 Cliquez sur OK.

Protection du client par mot de passeVous pouvez augmenter la sécurité de l'entreprise en requérant la protection parmot de passe sur l'ordinateur client toutes les fois que les utilisateurs effectuentcertaines tâches.

Vous pouvez exiger des utilisateurs qu'ils saisissent un mot de passe lorsqu'ilsessayent de faire une des actions suivantes :

■ Ouvrir l'interface utilisateur du client.

■ arrêter le client ;

■ importer et exporter la politique de sécurité ;

■ désinstaller le client.

Vous pouvez modifier des paramètres de protection par mot de passe seulementpour les sous-groupes qui n'héritent pas d'un groupe parent.

Se reporter à "A propos de l'accès à l'interface client" à la page 177.

Pour protéger le client par mot de passe :


2 Sous Afficher les clients, sélectionnez le groupe pour lequel vous voulezinstaller la protection par mot de passe.

3 Dans l'onglet Politiques, sous Politiques et paramètres indépendants del'emplacement, cliquez sur Paramètres généraux.

4 Cliquez sur Paramètres de sécurité.

Affichage des fonctions dans l'interface utilisateur clientProtection du client par mot de passe



5 Dans l'onglet Paramètres de sécurité, choisissez l'une des cases à cochersuivantes :

■ Exigerun motde passe pour l'ouverture de l'interface utilisateur du client

■ Exiger un mot de passe pour l'arrêt du service client

■ Exiger un mot de passe pour l'importation et l'exportation des politiques

■ Exiger un mot de passe pour la désinstallation du client

6 Dans la zone de texte Mot de passe, saisissez le mot de passe.

Le mot de passe est limité à 15 caractères ou moins.

7 Dans la zone de texte Confirmer le mot de passe, saisissez le mot de passe denouveau.

8 Cliquez sur OK.

Affichage des fonctions dans l'interface utilisateur clientProtection du client par mot de passe

186



Gestion de lacommunication entre les

serveurs de gestion et lesclients


■ Géstion de la connexion entre les serveurs de gestion et les clients

■ A propos des serveurs de gestion

■ Ajout d'une liste de serveurs de gestion

■ Spécification d'une liste de serveurs de gestion

■ Modification de l'ordre de connexion des serveurs de gestion

■ Assignation d'uneliste de serveursde gestion à un groupe et à un emplacement

■ Affichage des groupes et des empacements auxquels une liste de serveurs degestion est assignée

■ Remplacement d'une liste de serveurs de gestion■ Copie et collage d'une liste de serveurs de gestion

■ Exportation et importation d'une liste de serveurs de gestion

■ Affichage de l'état de santé du client dans la console de gestion

■ Configurer des paramètres de communication pour un emplacement

10Chapitre



■ Résolution des problèmes de communication entre le serveur de gestion et leclient

Géstion de la connexion entre les serveurs de gestionet les clients

Une fois le client installé, le serveur de gestion se connecte automatiquement àl'ordinateur client. Lestâchessuivantesvous permettent de configurer la manièredont le serveur de gestion se connecte aux clients.

Si Symantec Network AccessControlestinstallé,vous pouvezégalementconfigurerla connexion entre le serveur de gestion et les modules d'application Enforcer.

Tableau 10-1Tâches pour la gestion des connexions entre les serveurs de gestion

et les clients

DescriptionTâche

Vous pouvez prendre connaissance de la manière dontles serveurs de gestion se connectent aux clients.

Se reporter à "A propos des serveurs de gestion"à la page 190.

Prendre connaissance desinformations disponibles sur lesserveurs de gestion et les listesde serveurs de gestion

Vous pouvez ajouter une liste de serveurs de gestionautre quela liste de serveursde gestion pardéfaut, puis

la choisir. La liste de serveurs de gestion répertorie lesserveurs de gestion multiples auxquels les clientspeuvent se connecter.

Se reporter à "Ajout d'une liste de serveurs de gestion"à la page 191.

Se reporter à "Spécification d'une liste de serveurs degestion" à la page 192.

Se reporter à "Modification de l'ordre de connexiondesserveurs de gestion" à la page 193.

Opter ou nonpour uneutilisationde la liste pardéfautdes serveurs

de gestion

Gestion de la communication entre les serveurs de gestion et les clientsGéstion de la connexion entre les serveurs de gestion et les clients

188



DescriptionTâche

Vous pouvezconfigurer le serveur de gestion de manièretelle à ce qu'il télécharge les politiques vers les clientsou de manière telle à ce que les clients téléchargent lespolitiques à partir du serveur de gestion.

Se reporter à "A propos de la mise à jour des politiquessur les clients" à la page 116.

Se reporter à "Configurer le mode de transfert ou lemode de traction pour mettreà jour lespolitiquesclientet le contenu" à la page 117.

Choisir comment télécharger lespolitiques et le contenu vers lesclients

Cesdeuxnumérosdoiventcorrespondresi le client peutcommuniquer avec le serveur et reçoit des mises à jour

régulières de la politique.Vous pouvez effectuer une mise à jour manuelle de lapolitique, puis vérifier les numéros de série de lapolitique en les comparant les uns aux autres.

Se reporter à "Mise à jour manuelle de la politique pourvérifier le numérode série de la politique" àlapage119.

Vérifier le numéro de série de lapolitique dans le client et dans la

console de gestion.

Vous pouvez configurer des paramètres decommunication distincts pour un emplacement et ungroupe.

Se reporter à "Configurer des paramètres decommunication pour un emplacement" à la page 199.

Configurer les paramètres decommunication d'unemplacement

Vous pouvezvérifierl'icône d'étatdans le client et dansla console de gestion. L'icône d'état indique si le clientet le serveur communiquent.

Se reporter à "Affichage de l'étatde santé du client dansla console de gestion" à la page 197.

Un ordinateur peut être équipé du logiciel client, maisnon du fichier de communication correct.

Se reporter à "Convertir un client autonome en client

géré." à la page 70.

Se reporter à "Déploiement du logiciel client avecRechercher les ordinateurs non gérés" à la page 133.

Vérifiez quele clientestconnectéau serveur de gestion

Gestion de la communication entre les serveurs de gestion et les clientsGéstion de la connexion entre les serveurs de gestion et les clients



DescriptionTâche

Vous pouvezrésoudreles problèmes de connexionentrele serveur de gestion et le client.

Se reporter à "Résolution des problèmes decommunication entre le serveur de gestion et le client"à la page 200.

Résoudre les problèmes deconnectivité avec le serveur degestion

A propos des serveurs de gestionLes clients doivent pouvoir se connecter auxserveurs de gestion pour téléchargerles politiques et paramètres de sécurité. Symantec Endpoint Protection Managerinclut un fichier facilitant la gestion du trafic entre les clients et les serveurs de

gestion. Le fichier spécifie à quel serveur de gestion un client se connecte. Il peutégalement spécifier à quel serveur de gestion un client se connecte en cas d'échecd'un serveur de gestion.

Ce fichier est désigné comme étant une liste de serveurs de gestion. Une liste deserveurs de gestion inclut les adresses IP ou les noms d'hôte du serveur de gestionauxquels les clients peuvent se connecter après l'installation initiale. Vouspouvezpersonnaliser la liste de serveurs de gestion avant de déployer tous les clients.

Lorsque Symantec Endpoint Protection Manager estinstallé,uneliste de serveursde gestion par défaut est créée pour permettre la communication HTTP entre lesclients et les serveurs de gestion. La liste de serveurs de gestion par défautcomprend les adresses IP de toutes les cartes d'interface de réseau connectées(NIC) pour tous les serveurs de gestion du site.

Il se peut que vous souhaitiez n'inclure que les cartes d'interface réseau dans laliste. Bien que vous ne puissiez pas modifier la liste de serveurs de gestion pardéfaut, vous pouvez créer une liste de serveurs de gestion personnalisée. Chaqueliste de serveurs de gestion personnalisée indique les serveurs de gestion exactset les cartes d'interface réseau appropriées auxquels les clients devront seconnecter. Les listes personnalisées vous permettent également d'utiliser leprotocole HTTPS, de vérifier le certificat du serveur et de personnaliser lesnuméros de port HTTP ou HTTPS.

Vous pouvez, accessoirement, également utiliser la liste de serveurs de gestionpour spécifier à quel serveur un module d'application Enforcer facultatif seconnecte.

Sereporterà"Configurer desparamètresde communication pourun emplacement"à la page 199.

Gestion de la communication entre les serveurs de gestion et les clientsA propos des serveurs de gestion

190



Ajout d'une liste de serveurs de gestionSi votre entreprise dispose de plusieurs serveurs de gestion, vous pouvez créer

une liste de serveurs de gestion personnalisée. La liste de serveurs de gestionspécifie l'ordre dans lequel les clients d'un groupe particulier se connectent. Lesclients essaient d'abord de se connecter aux serveurs de gestion ayant été ajoutésavec la priorité la plus élevée.

Si les serveurs de gestion avec la priorité la plus élevée ne sont pas disponibles,alors les clients essaient de se connecter aux serveurs de gestion avec la prioritéla plus élevée suivante. Une liste de serveurs de gestion par défaut estautomatiquement créée pourchaque site. Tousles serveursde gestion disponiblessur ce site sont ajoutés à la liste de serveur de gestion par défaut avec la mêmepriorité.

Si vous ajoutez plusieurs serveurs de gestion avec la même priorité, alors lesclients peuvent se connecter aux serveurs de gestion. Les clients équilibrentautomatiquement la charge entre les serveurs de gestion disponibles ayant cettepriorité.

Vous pouvez utiliser le protocoleHTTPS plutôtquele paramètreHTTP pardéfautpour la communication. Si vous voulez sécuriser davantage les communications,vous pouvez personnaliser les numéros de port HTTP et HTTPS en créant uneliste de serveurs de gestion personnalisée. Cependant, vous devez personnaliserles ports avant que des clients soient installés ou bien la communication entre leclient et le serveur de gestion sera perdue. Si vous mettez à jour la version du

serveur de gestion, n'oubliez pas de personnaliser à nouveau les ports de sorteque les clients puissent reprendre la communication.

Après avoir ajouté unenouvelle liste de serveurs de gestion, vous devez l'attribuerà un groupe ou un emplacement spécifiques ou aux deux.

Se reporter à "Assignation d'une liste de serveurs de gestion à un groupe et à unemplacement" à la page 194.

Pour ajouter une liste de serveurs de gestion :


2 Dans la page Politiques, sous Afficher lespolitiques, cliquez sur Composantsde politique > Listes de serveurs de gestion.

3 Sous Tâches, cliquez sur Ajouter une liste de serveurs de gestion.

4 Dans la boîte de dialogue Listes de serveurs de gestion, tapez un nom pour laliste de serveurs de gestion et une description facultative.

5 Pour spécifier le protocole de communication à utiliser entre les serveurs degestion et les clients, sélectionnez l'une des options suivantes :

Gestion de la communication entre les serveurs de gestion et les clientsAjout d'une liste de serveurs de gestion



■ Utiliser le protocole HTTP

■ Utiliser le protocole HTTPS

Utilisez cette option si vous voulez que les serveurs de gestion

communiquent à l'aide d'HTTPS et si le serveur exécute Secure SocketsLayer (SSL).

6 Si vous exigez la vérification d'un certificat par une autorité de certificattierceapprouvée,cochez Vérifierlecertificatlorsdel'utilisationduprotocole

HTTPS.

7 Pour ajouter un serveur, cliquez sur Ajouter > Nouveau serveur.

8 Dans la boîte de dialogue Ajouter un serveur de gestion, saisissez l'adresseIP ou le nom d'hôte du serveur de gestion dans la zone Adresse du serveur.

9 Si vous voulez changer le numéro du port du protocole HTTP ou HTTPS dece serveur, procédez de l'une des manières suivantes :

■ Cochez PersonnalisernumérodeportHTTP etentrezunnouveaunumérode port.

Le numéro de port par défaut pour le protocole HTTP est 8014.

■ Cochez Personnaliser numéro de port HTTPS et entrez un nouveaunuméro de port.

Par défaut, le numéro de port utilisé pour le protocole HTTPS est 443.

Si vous personnalisez les numéros de port HTTP ou HTTPS après ledéploiementdesclients, lescommunications entre lesclients et le serveur

de gestion sont interrompues.

10 Cliquez sur OK.

11 Si vous voulez ajouter un serveur de gestion ayant une priorité différente decelle du serveur de gestion que vous venez d'ajouter, cliquez sur Ajouter >

Nouvelle priorité.

12 Répétez lesétapes7 à 10 pour ajouter desserveurs degestion supplémentaires.

13 Dans la boîte de dialogue Listes de serveurs de gestion, cliquez sur OK.

Spécification d'une liste de serveurs de gestionVous pouvez spécifier la liste des serveurs de gestion à connecter à un groupe declients et aux modules d'application Enforcer facultatifs à tout moment. Il esttoutefois recommandé d'effectuer cette tâche après qu'une liste de serveurs degestion personnalisée a été créée et avant que l'ensemble des packages clientn'aient été déployés.

Se reporter à "Ajout d'une liste de serveurs de gestion" à la page 191.

Gestion de la communication entre les serveurs de gestion et les clientsSpécification d'une liste de serveurs de gestion

192



Pour spécifier une liste de serveurs de gestion


2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe pourlequel vous souhaitez spécifier une liste de serveurs de gestion.


paramètres du groupe parent.

Vous ne pouvez définir les paramètres de communication d'un groupe que sicelui-ci n'hérite plus d'aucune politique ou paramètre d'un groupe parent.

4 Sous Politiques et paramètres indépendants de l'emplacement dans la zoneParamètres, cliquez sur Paramètres de communication.

5 Dans les paramètres de communication du nom du groupe, sous Liste de

serveurs de gestion, sélectionnez la liste de serveursde gestion de votrechoix.Le groupe que vous sélectionnez utilise ensuite cette liste de serveurs degestion pour communiquer avec un serveur de gestion.

6 Cliquez sur OK.

Modification de l'ordre de connexion des serveurs degestion

Si l'état devotreréseauchange, il est possibleque vousdeviez redéfinir les adresses

IP, les noms d'hôte ou les niveaux de priorité d'une liste de serveurs de gestion.Par exemple, l'un des serveurs sur lesquels vous avez installé Symantec EndpointProtection Manager a eu une défaillance de disque. Ce serveur de gestion étaitutilisé comme serveur de répartition de charge et s'était vu attribué le niveau depriorité 1. Vous disposez en outre d'un autre serveur de gestion associé au niveaude priorité 2. Pour résoudre ce problème,vous pouvezredéfinir le niveaude prioritédu second serveur de gestion. Vous pouvez attribuer le niveau de priorité 1 auserveur de gestion qui était associé au niveau de priorité 2 afin de remplacer leserveur de gestion défectueux.


Pour modifier l'ordre de connexion des serveurs de gestion


2 Dans la page Politiques, sous Afficher lespolitiques, cliquez sur Composants

de politique> Listes de serveurs de gestion.

3 Dans le volet Listes de serveurs de gestion, sélectionnez la liste pour laquellevous souhaitez modifier l'ordre des serveurs.

Gestion de la communication entre les serveurs de gestion et les clientsModification de l'ordre de connexion des serveurs de gestion



4 Sous Tâches, cliquez sur Modifier la liste.

5 Dans la boîte de dialogue Listes de serveurs de gestion, sous Serveurs degestion, sélectionnez l'adresse IP, le nom d'hôte ou le niveau de priorité du

serveur de gestion.

Vous pouvez redéfinir le niveau de priorité d'une adresse IP ou d'un nomd'hôte. Si vous décidez de modifier un niveau de priorité, toutes les adressesIP et tous les noms d'hôte associés à ce niveau de priorité sontautomatiquement modifiés.

6 Cliquez sur Vers le haut ou Vers le bas.

7 Dans la boîte de dialogue Listes de serveur de gestion, cliquez sur OK.

Assignation d'une liste de serveurs de gestion à ungroupe et à un emplacement

Lorsque vous ajoutez une politique, vous devez ensuite l'attribuer à un groupe ouun emplacement (ou les deux), faute de quoi la liste de serveurs de gestion neprend pas effet. Vous pouvez également utiliser la liste de serveurs de gestionpour déplacer un groupe de clients d'un serveur de gestion à un autre.

Vous devez avoir terminé d'ajouter ou de modifier la liste de serveurs de gestionavant de pouvoir l'attribuer.


Pour assigner une liste de serveurs de gestion à un groupe et à un emplacement




3 Dans le volet Listes de serveurs de gestion, sélectionnez la liste de serveursde gestion que vous souhaitez assigner.

4 Sous Tâches, cliquez sur Assigner la liste.

5 Dans la boîte de dialogue Appliquer la liste de serveurs de gestion, cochez lesgroupes et les emplacements auxquels vous souhaitez appliquer la liste deserveurs de gestion.


7 Cliquez sur Oui dans l'invite qui s'affiche.

Gestion de la communication entre les serveurs de gestion et les clientsAssignation d'une liste de serveurs de gestion à un groupe et à un emplacement

194



Affichage des groupes et des empacements auxquelsune liste de serveurs de gestion est assignée

Il est possible que vous souhaitiez afficher les groupes et les emplacementsauxquels une liste de serveurs de gestion a été attribuée.

Se reporter à "Assignation d'une liste de serveurs de gestion à un groupe et à unemplacement" à la page 194.

Pour afficher des groupes et des empacements auxquels une liste de serveurs de

gestion est assignée


2 Sur la page Politiques, sous Afficher les politiques, cliquez sur Composants

de politique > Listes de serveurs de gestion.3 Dans le volet Listes de serveurs de gestion, sélectionnez la liste de serveurs

de gestion dont vous souhaitez afficher les groupes et les emplacements.

4 Sous Tâches, cliquez sur Afficher les groupes ou emplacements assignés.

Les groupes ou emplacements qui sont assignés à la liste de serveurs degestion sélectionnée sont signalés par un petit cercle vert contenant unecoche blanche.

5 Dans la boîte de dialogue nom de la liste de serveurs de gestion: Groupes etemplacements assignés, cliquez sur OK.

Remplacement d'une liste de serveurs de gestionIl se peut quevous souhaitiez remplaceruneliste de serveurs de gestion appliquéeà un groupe ou à un emplacement particulier.


Pour remplacer une liste de serveurs de gestion


2 Sur la page Politiques, sous Afficher les politiques, cliquez surComposants

de politique > Listes de serveurs de gestion.

3 Dans le volet Listes de serveurs de gestion, sélectionnez la liste de serveursde gestion que vous souhaitez remplacer.

4 Sous Tâches, cliquez sur Remplacer la liste.

Gestion de la communication entre les serveurs de gestion et les clientsAffichage des groupes et des empacements auxquels une liste de serveurs de gestion est assignée



5 Dans la boîte de dialogue Remplacer la liste de serveurs de gestion,sélectionnez la nouvelle liste de serveurs de gestion depuis la Nouvelle listedéroulante de serveurs de gestion.

6 Cochez les groupes ou les emplacements auxquels vous souhaitez appliquerla nouvelle liste de serveurs de gestion.

7 Cliquez sur Remplacer.

8 Cliquez sur Oui dans l'invite qui s'affiche.

Copie et collage d'une liste de serveurs de gestionIl est possible d'utiliser plusieurs listes de gestion presque identiques, à quelquesdifférences près. Vous pouvez créer une copie d'une liste de serveurs de gestion.

Lorsque vous copiez et collez une liste de serveurs de gestion, la copie apparaîtdans le volet Listes de serveurs de gestion.


Pour copier et coller une liste de serveurs de gestion




3 Dans le volet Listes de serveurs de gestion, sélectionnez la liste à copier.

4 Sous Tâches, cliquez sur Copier la liste.

5 Sous Tâches, cliquez sur Coller la liste.

Exportation et importation d'une liste de serveurs degestion

Il est possible que vous souhaitiez exporter ou importer une liste de serveurs degestion existante. Les listes de serveurs sont souvent utilisées en installant laréplicationentre lesserveurs. Les listes de serveursde gestionportent l'extension :

.dat.


Pour exporter une liste de serveurs de gestion




Gestion de la communication entre les serveurs de gestion et les clientsCopie et collage d'une liste de serveurs de gestion

196



3 Dans le volet Listes de serveurs de gestion, sélectionnez la liste à exporter.

4 Dans la page Politiques, sous Tâches, cliquez sur Exporter la liste.

5 Dans la boîte de dialogue Exporter la politique, recherchez le dossier danslequel vous souhaitez exporter le fichier de liste de serveurs de gestion.


7 Si vous êtes invité à modifier le nom de fichier dans la boîte de dialogueExporter la politique, modifiez le nom du fichier, puis cliquez sur OK.

Pour importer une liste de serveurs de gestion




3 Sous Tâches, cliquez sur Importer une liste de serveurs de gestion.

4 Dans la boîte de dialogue Importer la politique, recherchez le fichier de listede serveurs de gestion à importer, puis cliquez sur Importer.

5 Si vous êtes invité à modifier le nom de fichier dans la boîte de dialogue desaisie, modifiez le nom du fichier, puis cliquez sur OK.

Affichage de l'état de santé du client dans la console

de gestion Vous pouvez vérifier l'icône d'état client dans la console de gestion ainsi que surle client directement pour déterminer l'état client.

Tableau 10-2 Icônes d'état client dans la console de gestion

DescriptionIcône

Cette icône indique l'état suivant :

■ Le client peut communiquer avec Symantec Endpoint ProtectionManager.

■ Le client se trouve en mode Ordinateur.


■ Le client ne peut pas communiquer avec Symantec EndpointProtection Manager.


■ Le client est susceptible d'avoir été ajouté à partir de la console etde ne disposer d'aucun logiciel client Symantec.

Gestion de la communication entre les serveurs de gestion et les clientsAffichage de l'état de santé du client dans la console de gestion



DescriptionIcône




■ Le client est un détecteur de périphériques non gérés.







■ Le client se trouve en mode Utilisateur.




■ Le client est susceptible d'avoir été ajouté à partir de la console et

de ne disposer d'aucun logiciel client Symantec.


■ Le client peut communiquer avec Symantec Endpoint ProtectionManager sur un autre site.









Se reporter à "Ce que vous pouvez faire à partir de la console" à la page 42.

Gestion de la communication entre les serveurs de gestion et les clientsAffichage de l'état de santé du client dans la console de gestion

198



Pour afficher l'état de santé du client dans la console de gestion

1 Dans la console de gestion, à la page Clients, sous Afficher les clients,sélectionnez le groupe auquel le client appartient.

2 Consultez l'onglet Clients.

Le nom du client devrait apparaître dans la liste à côté d'une icône qui affichel'état du client.

Configurer des paramètres de communication pourun emplacement

Par défaut, vous configurez les mêmes paramètres de communication entre le

serveur de gestion et le client pour tous les emplacements au sein d'un groupe.Cependant, vous pouvez également configurer ces paramètres pour chaqueemplacement séparément.Parexemple, vous pouvez utiliserun serveurde gestionséparé pour un emplacement dans lequel les ordinateurs client se connectent parle VPN. Ou, pour réduire le nombre de clients qui se connectent au serveur degestionen même temps, vous pouvez spécifier un battementdifférent pour chaqueemplacement.

Se reporter à "Configurer le mode de transfert ou le mode de traction pour mettreà jour les politiques client et le contenu" à la page 117.

Vous pouvez configurer les paramètres de communication suivants pour les

emplacements :Les paramètres suivants sont spécifiques aux emplacements :

■ Le mode de commande dans lequel les clients sont exécutés.

■ La liste de serveurs de gestion que les clients utilisent.

■ Le mode de téléchargement dans lequel les clients sont exécutés.

■ Si vous voulez qu'une liste de toutes les applications exécutées sur des clientssoit constituée et envoyée au serveur de gestion.

■ L'intervalle de battements que les clients utilisent pour des téléchargements.

■ Si le serveur de gestion sélectionne de façon aléatoire ou non lestéléchargements de contenudu serveurde gestionpar défautou de Fournisseurde mise à jour groupée.

Pour configurer les paramètres de communication pour un emplacement


2 A la page Clients, sélectionnez un groupe.

Gestion de la communication entre les serveurs de gestion et les clientsConfigurer des paramètres de communication pour un emplacement




l'emplacement, sous un emplacement, développez Paramètres spécifiques

aux emplacements.

4 Adroitede Paramètresdecommunications ,cliquezsur Tâches, puis décochezUtiliser paramètres de communication du groupe.

5 Cliquez sur Tâches, puis sur Modifier les paramètres.

6 Dans Paramètres de communication pour la boîte de dialogue nom de

l'emplacement , modifiez les paramètres pour cet emplacement seulement.

7 Cliquez sur OK.

Résolution des problèmes de communication entre

le serveur de gestion et le clientSi vous avez des problèmes avec la communication entre le client et le serveur,vous devez d'abord vérifier qu'il n'y a aucun problème réseau. Vous devezégalement vérifier la connectivité réseau avant d'appeler le support technique deSymantec.

Vous pouvez tester la communication entre le client et le serveur de gestion deplusieurs manières.

Tableau 10-3 Vérification de la connexion entre le serveur de gestion et le client

DescriptionCe qu'il faut vérifier

Vous pouvez télécharger et afficher le fichier de dépannagesur le client pourvérifierlesparamètres de communication.

Se reporter à "Investigation des problèmes de client"à la page 202.

Afficher les paramètres decommunication sur le client

Gestion de la communication entre les serveurs de gestion et les clientsRésolution des problèmes de communication entre le serveur de gestion et le client

200




Vouspouvezémettreplusieurscommandes surle client afinde tester la connectivité au serveur de gestion.

Vous pouvez effectuer les tests suivants :

■ Exécutez une commande ping sur le serveur de gestionà partir de l'ordinateur client.

Se reporter à "Utiliser la commande ping pour tester laconnectivité du serveur de gestion" à la page 202.

■ Exécutez une commandeTelnetsurle serveurde gestionà partir de l'ordinateur client.

Se reporter à "Utiliser Telnet pour tester la connectivitéau serveur de gestion" à la page 203.

■ Utilisez un navigateur Web sur l'ordinateur client pour

vous connecter au serveur de gestion.Se reporter à "Utiliser un navigateur pour tester laconnectivité au serveur de gestion" à la page 203.

Tester la connectivité entrele client et le serveur degestion

Vous devez vérifier qu'il n'y a aucun problème réseau envérifiant les éléments suivants :

■ testez d'abord la connectivité entrele client et le serveurde gestion. Si l'ordinateur client ne peut pas exécuter lacommande ping ou telnet vers le serveur de gestion,vérifiez le service DNS pour le client.

■ Vérifiez le chemin d'accès de routage du client.

■ Vérifiez que le serveur de gestion n'a pas de problèmeréseau.

■ Vérifiez que le pare-feu Symantec Endpoint Protection(ou tout pare-feu tiers) ne pose aucun problème réseau.

Rechercher les problèmesréseau

Vous pouvez vérifier les journaux IIS sur le serveur degestion. Les journaux peuvent vous aider à déterminer si leclient peut communiquer avec le serveur IIS surl'ordinateurdu serveur de gestion.

Se reporter à "Vérifier les journaux IIS sur le serveur degestion" à la page 205.

Vérifier les journaux IIS surle serveur de gestion

Vous pouvez utiliser le journal de débogage sur le clientpour déterminer si le client a des problèmes decommunication.

Se reporter à "Vérification du journal de débogage surl'ordinateur client" à la page 204.

Vérifier les journaux dedébogage sur le client





Si les clients ont perdu la communication avec un serveurde gestion, vous pouvez utiliser un outil pour récupérer lefichier de communication.

Se reporter à "Récupérerles paramètresde communicationclient en utilisant l'outil SylinkDrop" à la page 205.

Récupérer la communicationclient perdue

Investigation des problèmes de client

Pour étudier des problèmes de client, vous pouvez examiner le fichierTroubleshooting.txt. Le fichier Troubleshooting.txt contient des informationssur les politiques, les définitions de virus et d'autres données client connexes.

Se reporter à "Résolution des problèmes de communication entre le serveur degestion et le client" à la page 200.

Pour étudier des problèmes client

1 Sur l'ordinateur client, ouvrez le client.

2 Dans le client, cliquez sur Aide, puis cliquez sur Dépannage.

3 Dans le client, sous Données de dépannage, cliquez sur Exporter.

4 Dans la boîte de dialogue Enregistrer sous, acceptez le nom de fichier dedépannage par défaut ou saisissez un nouveau nom de fichier et puis cliquez

sur Enregistrer.Vous pouvez enregistrer le fichier sur le bureau ou dans un dossier de votrechoix.

5 En utilisant un éditeur de texte, ouvrez Troubleshooting.txt pour examinerle contenu.

Contactez avec le support technique de Symantec pour l'aide. Le supporttechnique de Symantec pourrait vous demander d'envoyer par courrierélectronique le fichier de Troubleshooting.txt.

Utiliser la commande ping pour tester la connectivité du serveur degestion

Vous pouvez essayer d'exécuter une commande ping vers le serveur de gestion àpartir de l'ordinateur client pour tester la connectivité.



202



Pour utiliser la commande ping pour tester la connectivité du serveur de gestion

1 Sur le client, ouvrez une invite de commandes.

2 Tapez la commande ping. Par exemple :

ping nom

où nom est le nom d'ordinateur du serveur de gestion. Vous pouvez utiliserl'adresse IP du serveur au lieu du nom de l'ordinateur. Dans l'un ou l'autrecas, la commande devrait renvoyer l'adresse IP correcte du serveur.

Si la commande ping ne retourne pas l'adresse exacte, vérifiez le service DNSpour le client et vérifiez son chemin d'accès de routage.

Utiliser un navigateur pour tester la connectivité au serveur de gestion

Vous pouvez utiliser un navigateur Web pour tester la connectivité au serveur degestion.


Pour utiliser un navigateur pour tester la connectivité au serveur de gestion

1 Sur l'ordinateur client, ouvrez un navigateur Web, tel qu'Internet Explorer.

2 Dans la ligne de commande de navigateur, entrez une commande semblableà l'une ou l'autre des commandes suivantes :

http://adresse IP du serveur de gestion:8014/reporting/index.phpSi la page Web de rapport de connexion s'affiche, le client peut communiqueravec le serveur de gestion.

http://nom du serveur de gestion:8014/secars/secars.dll?secars,hello

Si la page Symantec Endpoint Protection Manager s'affiche, le client peutcommuniquer avec le serveur de gestion.

3 Si aucune page Web ne s'affiche, recherchez les problèmes réseau. Vérifiezle service DNS pour le client et son chemin d'accès de routage.

Utiliser Telnet pour tester la connectivité au serveur de gestion

Vous pouvez utiliser Telnet pour tester la connectivité au serveur IIS sur le serveurde gestion. Si le client peut émettre une commande Telnetau port HTTP ou HTTPSdu serveur de gestion, le client et le serveur peuvent communiquer. Le port HTTPpar défaut est 80 ; le port HTTPS par défaut est 443.




Remarque : Vous pourriez devoir régler vos règles de filtrage de sorte quel'ordinateur client puisse émettre une commande telnet dans le serveurde gestion.


Pour utiliser Telnet pour tester la connectivité au serveur de gestion

1 Sur l'ordinateur client, assurez-vous que le service Telnet est activé etdémarré.

2 Ouvrez une invite de commande et entrez la commande Telnet.Par exemple :

telnet adresse IP :80

où l'adresse IP est celle du serveur de gestion.

Si la connexion Telnet échoue, vérifiez le service DNS du client et vérifiezson chemin d'accès de routage.

Vérification du journal de débogage sur l'ordinateur client

Vous pouvez vérifier le journal dedébogagesur leclient.Si leclient a des problèmesde connexion avec le serveur de gestion, ses messages d'état au sujet du problèmede connexion apparaissent dans le journal.


Vous pouvez vérifier le journal de débogage en utilisant les méthodes suivantes :

■ Dans le client, dans le menu Aide et support, dans la boîte de dialogueDépannage, vous pouvez cliquer sur Modifier les paramètres de journal de

débogage et taper un nom pour le journal. Vous pouvez alors cliquer surAfficher le journal.

■ Vous pouvez utiliser le registre Windows pour activer le débogage dans leclient.

Vous pouvez trouver la clé de registre Windows dans l'emplacement suivant :

HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint

Protection\SMC\smc_debuglog_on

Vérifier les journaux de boîte de réception sur le serveur de gestion

Vous pouvez utiliser une clé de registre Windows pour générer des journaux ausujet de l'activité dans la boîte de réception du serveur de gestion.

Quand vous modifiez la clé de registre Windows, le serveur de gestion génère les journaux (ersecreg.log et exsecars.log). Vous pouvez afficher ces journaux pour


204



dépanner la communication entre client et serveur. Vous pouvez trouver les journaux dans le répertoire de journal de la boîte de réception sur le serveur degestion.


Pour vérifier les journaux de boîte de réception sur le serveur de gestion

◆ Sur le serveur de gestion, sousHKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec EndpointProtection\SEPM, définissez la valeur de DebugLevel sur 3.

Typiquement, la boîte de réception apparaît dans l'emplacement suivant surl'ordinateur de serveur de gestion :

\Program Files\Symantec\Symantec Endpoint Protection Manager\dat

inbox\log

Vous pouvez ouvrir les journaux avec une application de texte telle queBloc-notes.

Vérifier les journaux IIS sur le serveur de gestion

Vous pouvez vérifier les journaux IIS sur le serveur de gestion. Les journauxaffichent les commandes GET et POST lorsque le client et le serveurcommuniquent.


Pour vérifier les journaux IIS sur le serveur de gestion

1 Sur le serveur de gestion, allez au répertoire de fichiers journaux IIS. Unchemin d'accès typique au répertoire est :

\WINDOWS\system32\LogFiles\W3SVC1

2 Ouvrez le fichier journal le plus récent avec une application de texte telle queBloc-notes. Par exemple, le nom de fichier de journal peut être ex070924.log.

3 Examinez les messages de journal.Le fichier doit inclure les messages GET et POST.

Récupérer les paramètres de communication client en utilisant l'outilSylinkDrop

Les paramètres de communication incluent le fichier Sylink.xml entre le client etun serveur Symantec Endpoint Protection Manager. Si les clients ont perdu la




communication avec un serveur de gestion, vous devez remplacer le vieux fichierSylink.xml par un nouveau fichier. L'outil SylinkDrop remplaceautomatiquementle fichier Sylink.xml sur l'ordinateur client par un nouveau fichier Sylink.xml.

Lorsque vous exécutez l'outil SylinkDrop, il peut également effectuer les tâchessuivantes :

■ Migrerou déplacer lesclients vers un nouveau domaine oule serveur degestion.

■ Restaurer les ruptures de communication sur le client ne pouvant pas êtrecorrigées sur le serveur de gestion.

■ Déplacer un client d'un serveur à un autre serveur n'étant pas un partenairede réplication.

■ Déplacer un client d'un domaine à un autre.

■ Convertir un client autonome en client géré.■ Convertir un client géré en client autonome.

Vous pouvezutiliser Enregistrer un scriptavec l'outil pour modifier desparamètresde communication pour de grands nombres de clients.


Pour récupérer les paramètres de communication client en utilisant l'outil

SylinkDrop

1 Dans la console, exportez le fichier de liaison du groupe qui se connecte auserveur de gestion auquel vous voulez que l'ordinateur client se connecte.

Se reporter à "Convertir un client autonome en client géré." à la page 70.

2 Déployez le fichier de liaison vers l'ordinateur client.

3 Sur le disque 3 du CD d'installation, localisez le dossier\Tools\NoSupport\SylinkDrop et ouvrez SylinkDrop.exe.

Vous pouvez exécuter l'outil à distance ou l'enregistrer et puis l'exécuter surl'ordinateur client. Si vous utilisez l'outil sur la ligne de commande, lisez lefichier SylinkDrop.txt pour uneliste desparamètres de commande desoutils.

4 Dans la boîte de dialogue Sylink Drop, cliquez sur Parcourir et localisez lefichier .xml déployé à l'étape 2 vers l'ordinateur client.

5 Cliquez sur Mettre à jour Sylink.

6 Si une boîte de dialogue de confirmation s'affiche, cliquez sur OK.

7 Dans la boîte de dialogue de Sylink Drop, cliquez sur Quitter.


206



Surveillance de laprotection de terminal


■ Surveillance de la protection de terminal

■ A proposdesdifférentesméthodes d'accèsaux fonctionsde créationde rapports

■ A propos de Reporting

■ A propos de la page d'accueil de Symantec Endpoint Protection

■ Configuration des Rapports sur les favoris dans la page d'accueil

■ A propos de l'utilisation des liens Security Response

■ Utilisation de la page Symantec Network Access Control Accueil

■ Utiliser l'onglet Résumé de la page Contrôleurs

■ Configuration des préférences de rapport

■ Elimination des virus et des risques de sécurité

■ Recherche des clients hors ligne

Surveillance de la protection de terminalSymantec Endpoint Protection et Symantec Network AccessControl rassemblentdes informations sur les événements affectant la sécurité de votre réseau. Vouspouvez utiliser des journaux et des rapports pour afficher ces événements ainsique des notifications pour être informé des événements au fur et à mesure de leurapparition.

11Chapitre



Symantec Endpoint Protection Manager vous permet d'effectuer les tâchessuivantes pour protéger les ordinateurs de votre réseau.

Tableau 11-1 Tâches de surveillance de la protection de terminal

DescriptionTâche

Vous pouvez afficher des informations sur la distribution desdéfinitions de virus, des liens vers Symantec Security Responseet des liens vers vos rapports préférés.

Vous pouvezeffectuer lestâchessuivantespour obtenir l'état desécurité des ordinateurs client :

■ Affichezle nombrede virus et d'autres risques pourla sécuritédétectés et consultez-en les informations détaillées.

Se reporter à "A propos de la page d'accueil de SymantecEndpoint Protection" à la page 215.

■ Affichez un graphique des risques, des attaques ou desinfections par heure.

■ Affichez le nombre d'ordinateurs non protégés du réseau etconsultez-en les informations détaillées.

■ Affichez les distributions de définitions de virus et deprévention d'intrusion pourles12 dernièresheures. Affichezégalement les dates de la dernière version des définitions àpartir de Symantec et sur Symantec Endpoint ProtectionManager.

■ Affichez un récapitulatif du nombre d'ordinateurs clientprotégés

Se reporter à "Utiliser l'onglet Résuméde la pageContrôleurs"à la page 227.

Surveillance de l'état desécurité du réseau

Procédez comme suit pour déterminer quels ordinateursrequièrent une protection supplémentaire :

■ Affichez les journaux d'événements.

Se reporter à "A propos des journaux" à la page 287.

Se reporter à "Affichage des journaux" à la page 296.

■ Exécutezdes rapports prédéfinis et personnalisables avecles

données obtenues des clients par le serveur de gestion.Se reporter à "A propos de Reporting" à la page 213.


■ Planifiez l'envoi régulierpar courrierélectroniqueaux autresadministrateurs des rapports sur l'état de la sécurité.

Se reporter à "Création et suppression de rapports planifiés"à la page 279.

Vérification desordinateurs clientnécessitant uneprotection

Surveillance de la protection de terminalSurveillance de la protection de terminal

208



DescriptionTâche

Vous pouvezenvoyer des commandes à partir de la console pourprotéger les ordinateurs client.

■ Supprimez les risques affectant la sécurité des ordinateursclient.

Se reporter à "Elimination desvirus et desrisquesde sécurité"à la page 233.

■ Affichez les clients hors ligne.

Se reporter à "Recherche des clients hors ligne" àlapage238.

■ Exécutez des commandes sur le client à partir de la console.

Se reporter à "Exécuter descommandes et desactions à partirdes journaux" à la page 304.

Protection desordinateurs client

Vous pouvez créer et configurer des notifications qui serontdéclenchées lorsque certains événements affectant la sécuritése produisent. Vous pouvez par exemple définir l'envoi d'unenotification à toute tentative d'intrusionsurun ordinateur client.

Se reporter à "A propos de l'utilisation de notifications"à la page 312.

Se reporter à "Affichage et filtrage des informations denotification administrateur" à la page 313.

Se reporter à "Création des notifications d'administrateur"à la page 314.

Configuration denotifications vousavertissantd'événements pouvantporter atteinte à lasécurité

A propos des différentes méthodes d'accès auxfonctions de création de rapports

La fonction de création de rapports fonctionne comme une application Web dansla console de Symantec Endpoint Protection Manager. L'application utilise unserveur Web pour fournir ces informations. Vous pouvez accéder aux fonctionsde rapport situées sur la page d'accueil, la page Contrôleurs et la page Rapportsà partir de la console.

Vous pouvez également accéder aux fonctions de la page d'accueil, de la pageContrôleurs et de la page Rapports à l'aided'un navigateur Webautonome connectéà votre serveur de gestion. Vous pouvez effectuer toutes les fonctions de rapportdepuis la consoleou un navigateur Web autonome. Cependant, lesautres fonctionsde la console ne sont pas disponibles à partir d'un navigateur autonome.

Surveillance de la protection de terminalA propos des différentes méthodes d'accès aux fonctions de création de rapports



Remarque : Les informations du présent document supposent que vous utilisezla console pour accéder aux fonctions de rapport plutôt qu'un navigateur Web.Les procédures d'utilisation desfonctions de création de rapports sont similaires,

quelle que soit la manière dont vous y accédez. Cependant, certaines procéduresexpliquant plus spécifiquement comment utiliser les fonctions de création derapportsdansun navigateur autonomene sont pas documentées : seule la méthodede connexion à l'aide d'un navigateur Web autonome est expliquée.

Se reporter à "Ouverture d'une session de rapport depuis un navigateur Webautonome" à la page 211.

Se reporter à "Connexion à la console Symantec Endpoint Protection Manager."à la page 39.

Pour accéder aux fonctions de rapport par l'une ou l'autre méthode, vous devezavoir Internet Explorer 6.0 ou supérieur. Les autres navigateurs Web ne sont paspris en charge.

Vous pouvez également utiliser la console ou un navigateur Web pour afficherdes rapports en cas de connexion par l'intermédiaire d'une session de terminal àdistance. Les pages de rapport et de journal s'affichent toujours dans la langueavec laquelle le serveur de gestion a été installé. Pour afficher ces pages quandvous utilisez une console distante ou un navigateur, vous devez disposer de lapolice appropriée sur l'ordinateur que vous utilisez.

Pour accéder aux rapports depuis un navigateur Web, vous devez avoir les

informations suivantes :■ Adresse IP ou nom d'hôte du serveur de gestion.

■ Nom et mot de passe de compte pour le gestionnaire.

Quand vous utilisez un navigateur Web pour accéder à des fonctions de rapport,aucune page ni icône de page n'est dans l'affichage. Tous les onglets présents surla page d'accueil et les pages Contrôleurs et Rapports se trouvent en haut de lafenêtre du navigateur.

Vous pouvez accéder à l'aide contextuelle en cliquant sur le lien En savoir plus,qui se trouve dans les pages de la console contenant des fonctions de création de

rapports.

Se reporter à "Modification du port utilisé pour accéder à l'aide contextuelle pourle rapport" à la page 211.


210



Ouverture d'une session de rapport depuis un navigateur Webautonome

Vous pouvez accéder aux fonctions de la page d'accueil, de la page Contrôleurs etde la page Rapports à l'aide d'un navigateur Web autonome connecté à votreserveur de gestion. Vous pouvez exécuter toutes les fonctions d'établissement derapports à partir d'un navigateur Web autonome. Cependant, toutes les autresfonctions de la console ne sont pas disponibles depuis un navigateur autonome.

Remarque : Vous devez installer Internet Explorer 6.0 ou une version ultérieure.Les autres navigateurs Web ne sont pas pris en charge.

Sereporterà "A propos desdifférentes méthodes d'accèsaux fonctions de création

de rapports" à la page 209.Pour ouvrir une session de rapport depuis un navigateur Web autonome

1 Ouvrez un navigateur Web.

2 Tapez URL de rapport dans la zone de texte d'adresse en respectant le formatsuivant :

http://nom serveur : port /reporting/index.php?

3 Lorsque la boîte de dialogue de connexion s'affiche, tapez votre nomd'utilisateur et votre mot de passe, puis cliquez sur Ouvrir une session.

Si vous disposez de plusieurs domaines, saisissez le nom du domaine dans lazone de texte Domain.

Modification du port utilisé pour accéder à l'aide contextuelle pour lerapport

Si vous n'utilisez pas le port par défaut lorsque vous installez les pages d'aidepour les rapports, vous ne pouvez pas accéder à l'aide contextuelle en ligne. Pouraccéder à l'aide contextuelle quand vous utilisez un port autre que le port pardéfaut, vous devez ajouter une variable au fichier Reporter.php.

Sereporterà "A propos desdifférentes méthodes d'accèsaux fonctions de créationde rapports" à la page 209.

Pour modifier le port utilisé pour accéder à l'aide contextuelle pour le rapport

1 Modifiezlerépertoiredu lecteur :\ProgramFiles\Symantec\Symantec EndpointProtection Manager\Inetpub\Reporting\Resources.

2 Ouvrez le fichier de configuration Reporter.php avec un éditeur.




3 Ajoutez la ligne suivanteau fichier et remplacez numérode port parlenumérode port que vous avez utilisé quand vous avez installé l'aide de rapport.

$scm_http_port=numéro de port

4 Enregistrez et fermez le fichier.

Association du localhost à l'adresse IP quand les adresses en bouclesont désactivées

Si vous avez désactivé des adresses de bouclage sur l'ordinateur, les pages desrapports ne s'affichent pas. Si vous essayez de vous connecter à la consoleSymantec Endpoint Protection Manager ou d'accéder aux fonctions de reporting,vous obtenez le message d'erreur suivant :

Impossible de communiquer avec un composant ReportingLes pages Accueil, Contrôles et Rapports sontvides;lespages Politiques, Clients

et Admin ont un aspect et un fonctionnement normaux.

Pour parvenir à afficher les composants de rapports lorsque vous avez désactivédes adresses de bouclage, vous devez associer le mot localhost à l'adresse IP devotre ordinateur.Vous pouvez modifier le fichier deshôtes Windowspourassocierlocalhost à une adresse IP.


Pour associer localhost à l'adresse IP sur des ordinateurs exécutant Windows

1 Placer le répertoire à l'emplacement de votre fichier d'hôtes.

Par défaut, le fichier d'hôtes se trouve dans%SystemRoot%\system32\drivers\etc

2 Ouvrir le fichier d'hôtes avec un éditeur.

3 Ajouter la ligne suivante au fichier d'hôtes :

xxx.xxx.xxx.xxx localhost # pourvousconnecteraux fonctionsde notification

où vous remplacez xxx.xxx.xxx.xxx par l'adresseIP de votre ordinateur. Vous

pouvez ajouter un commentaire après le symbole de la livre (#). Par exemple,vous pouvez taper la ligne suivante :

192.168.1.100 localhost # cette entrée est pour mon ordinateur de console

4 Enregistrer et fermer le fichier.


212



A propos de ReportingLes fonctions de Reporting fournissent toutes les informations dont vous avez

besoin pour contrôler et gérer la sécurité de votre réseau.La page Accueil de la console Symantec Endpoint Protection Manager affiche desgraphiquesautomatiquementcréescontenantdesinformations surlesévénementsimportants récemment survenus dans votre réseau.

Vous pouvez utiliser les filtres de la page Rapports pour créer des rapportsprédéfinis ou personnalisés. La page Rapports vous permet également d'afficherdes représentations graphiques et des statistiques des événements survenant ausein de votre réseau. Les filtres de la page Contrôles vous permettent d'afficherdes informations (issues des fichiers journaux) plus détaillées et en temps réelsur le réseau.

Tableau 11-2 Tâches de reporting

DescriptionTâche

Si vous avez installé Symantec Endpoint Protection, la pageAccueil affiche l'état de sécurité, des informations sur ladistribution des définitions de virus, des liens à SymantecSecurity Response et des liens à vos rapports préférés.

Se reporter à "A propos de la page d'accueil de SymantecEndpoint Protection" à la page 215.

Si vous avez installé Symantec Network Access Control, lereporting comporte une page d'accueil contenant un vuerécapitulative globale de l'état de conformité.

Se reporter à "Utilisation de la page Symantec NetworkAccess Control Accueil" à la page 226.

Surveiller l'état de sécuritéen utilisant la page d'accueil(Symantec EndpointProtection et SymantecNetwork Access Control)

rapports rapides prédéfinis et rapports graphiquespersonnalisables avec plusieurs options de filtrageconfigurables ;

Se reporter à "Au sujet des rapports rapides" à la page 269.

Générer desrapportsrapides(Symantec EndpointProtection et SymantecNetwork Access Control)

possibilité de planifier les rapports à envoyer par courrierélectronique aux destinataires à intervalles réguliers

Sereporterà "A propos desrapportsplanifiés"àlapage278.

Générer des rapportsplanifiés(SymantecEndpointProtection et SymantecNetwork Access Control)

Surveillance de la protection de terminalA propos de Reporting



DescriptionTâche

Vues récapitulatives des rapports affichant l'état del'antivirus et de l'analyse proactive des menaces TruScan,de la protection contreles menaces réseau, de la conformitéet de l'état de site.

Se reporter à "Utiliser l'onglet Résumé de la pageContrôleurs" à la page 227.

Afficher les rapportsrécapitulatifs (SymantecEndpoint Protectionseulement)

Signaler les exécutions comme des applications Web sur la console. L'applicationutilise un serveur Web pour fournir ces informations. Vous pouvez égalementaccéder aux fonctions de Reporting à partir de tout navigateur Web autonomeétant connecté à votre serveur de gestion.


Se reporter à "A propos des rapports pouvant être exécutés" à la page 242.

A propos des événements consignés issus de votre réseau

Symantec Endpoint Protectiontirelesévénements quis'affichent dans lesrapportsà partir des journaux d'événement sur les serveurs de gestion. Les journaux desévénements contiennent des horodatages dans les fuseaux horaires des clients.Lorsque le serveur de gestion reçoit lesévénements, il convertit leurshorodatages

de manière à ce qu'ils soient exprimés dans l'heure GMT en vue de leur insertiondans la base de données. Lorsque vous créez desrapports, le logiciel de générationde rapports affiche les informations sur les événements à l'heure locale del'ordinateur sur lequel vous affichez les rapports.

Certains types d'événements tels que des propagations de virus peuvent générerun grandnombred'événementsde sécurité.Cestypesd'événementssont regroupésavant d'être transférés au serveur de gestion. Vous pouvez réduire le nombred'événements envoyés aux journaux antivirus et antispyware en configurant lesparamètres de traitement desjournaux. Cesoptions sont configurées pour chaquepolitique antivirus et antispyware.

Se reporter à "Définir des paramètres de gestion des journaux dans une politiqueantivirus et antispyware" à la page 457.

Pour plus d'informations sur les événements s'affichant sur la page d'accueil,consultez la page des signatures d'attaque du site Web Symantec Security

Response. Après vous être connecté à Internet, accédez à la page :

http://securityresponse.symantec.com/business/security_response/attacksignatures/index.jsp

Surveillance de la protection de terminalA propos de Reporting

214







Comment les rapports exploitent les journaux stockés dans la base dedonnées

Symantec Endpoint Protection collecte et lit les événements qui se produisentsur votre réseau à partir des journaux des serveurs degestion stockés dans la basede données. Il peut s'agir d'une base de données Microsoft SQL existante de votreréseau ou de la base de données intégrée avec le logiciel de rapports.

La base de données doit être entretenue en fonction des rapports.

Se reporter à "A propos de la gestion des événements de journal dans la base dedonnées" à la page 404.

Vous pouvez obtenir le schéma de base de données que Symantec EndpointProtection utilise pour créer vos propres rapports à l'aide de logiciels tiers. Pourplus d'informations sur le schéma de base de données, téléchargez la Référence

du schéma de base de données la plus récente à partir du site de documentationde Symantec Endpoint Protection.

A propos de la page d'accueil de Symantec EndpointProtection

Si Symantec Endpoint Protection est installé sur votre système et si les droitsassociés à votre compte administrateur vous autorisent à afficher les rapports,votre page d'accueil affiche alors les rapports générés de façon automatique. Ces

rapports contiennent des informations importantes quant à la sécurité de votreréseau. Si vous n'êtes pas autorisé à afficher les rapports, les rapports générés defaçon automatique n'apparaissent pas sur votre page d'accueil.

La page d'accueil contient les rapports générés de façon automatique ainsi queplusieurs éléments relatifs à l'état. Certains des rapports de la page d'accueilcontiennent des liens hypertexte vers des rapports plus détaillés. Vous pouvezcliquer sur les nombres et certains diagrammes dans les rapports de la paged'accueil pour consulter des détails.

Remarque:Les rapports sontautomatiquement filtrés en fonctiondesautorisationsde l'utilisateur connecté. Si vous êtes un administrateur système, vous pouvez

consulter des informations sur tous les domaines. Si vous êtes un administrateurlimité dont lesdroits d'accès se limitent à un seul domaine, vous pouvez consulteruniquement des informations sur ce domaine.

Tableau 11-3 décrit en détail chaque élément de la page d'accueil de SymantecEndpoint Protection.

Surveillance de la protection de terminalA propos de la page d'accueil de Symantec Endpoint Protection

http://www.symantec.com/business/support/documentation.jsp?language=english&view=manuals&pid=54619






Tableau 11-3 Eléments et rapports de la page d'accueil

DescriptionInformations sur les rapports ou

l'état

L'état de la sécurité peut être Bon ou Attention requise. Les seuils que vousparamétrez dans l'onglet Etat de la sécurité définissent les états Bon etAttention requise. Pour accéder à l'onglet Etat de la sécurité, cliquez sur lelien Préférences de la page d'accueil.

Se reporter à "Configuration des seuils d'état de sécurité" à la page 231.

Pour plus de détails, cliquez sur l'icône correspondant à l'état de la sécuritésur la page d'accueil.

Etat de la sécurité


216




l'état

Par défaut, la page d'accueil affiche un résumé des actions des dernières24 heures. Ce résumé indique également le nombre d'infections associéesaux virus et aux risques de sécurité. Vous pouvez cliquer sur le lienPréférences pour modifier l'intervalle de temps utilisé et le définir sur Ladernière semaine plutôtquesur Lesdernières 24 heures. Ce lien vous permetégalementde remplacer l'affichage "parnombre de détections" parl'affichage"par nombre d'ordinateurs".

Se reporter à "A propos des options d'affichage Domicile et Contrôles"à la page 230.

Le résumé des actions par nombre de détections contient les informationssuivantes :

■ nombre d'actions entreprises sur des virus et des risques de sécurité ;

■ incidence de nouvelles détections de virus et de risques de sécurité ;

■ nombre d'ordinateurs toujours infectés par des virus et des risques desécurité.

Le résumé des actions par nombre d'ordinateurs contient les informationssuivantes :

■ nombre d'ordinateurs distincts sur lesquels les diverses actions ont étéexécutées sur des virus et des risques de sécurité ;

■ nombre total de nouvelles détections de virus et de risques de sécurité ;

■ nombre total d'ordinateurs restant infectés par des virus et des risques

de sécurité.

Par exemple, supposez que vous avez cinq actions de nettoyage dans la vuedu nombre de détections. Si toutes les détections se sont produites sur lemême ordinateur, la vue du nombre d'ordinateurs indique alors la valeur 1plutôt que 5.

Pour obtenir un rapport détaillé pour l'une desactions, cliquez surle nombrede virus ou de risques de sécurité.

Tout risque de sécurité indique qu'une analyse proactive des menaces

TruScan a détecté un élément suspectrequérant votre attention. Cetélémentpeut être inoffensif ou non. Si vous constatez que ce risque est inoffensif,

vous pouvez utiliser la politique d'exceptions centralisées pour l'exclure desdétections à l'avenir. Si vous avez configuré les analyses proactives desmenaces TruScan pour consigner et que vous déterminez que ce risque estnocif, vous pouvez utiliser la politique d'exceptions centralisées pour leterminer ou le mettre en quarantaine. Si vous avez utilisé les paramètresd'analyseproactivedemenaceTruScan par défaut,alors Symantec EndpointProtection ne peut pas résoudre le risque. Si vous constatez que ce risque estnocif, vous devez le supprimer manuellement.

Résumé des actions par nombre de

détections | Résumé des actions par

nombre d'ordinateurs





l'état

Le compteur Nouvellementinfecté contientle nombre de risques ayant infectédes ordinateurs pendant l'intervalle spécifié. Le compteur Nouvellementinfecté estun sous-ensemble de Toujours infectés.Le compteur Encoreinfectéaffiche le nombre de risques total qu'une analyse continue de considérercomme infectés (toujours dans l'intervalle de temps spécifié). Par exemple,un ordinateur peut encore être infecté parce que Symantec EndpointProtection peut seulement supprimer le risque partiellement. Après avoirétudié le risque, vous pouvez effacer le compteur Encore infecté du journald'état de l'ordinateur.

Les compteurs Nouvellement infecté et Encore infecté identifient les risquesqui exigent votre intervention pour être nettoyés. Dans la plupart des cas,vous pouvez prendre cette mesure depuis la console et n'êtes pas obligéd'utiliser l'ordinateur.

Remarque : Un ordinateur est compté en tant qu'élément nouvellementinfectési l'événement de détection s'est produit pendant l'intervallede tempsde la page d'accueil. Par exemple, si un risque non résolu a affecté unordinateur dans les dernières 24 heures, le compteur Nouvellement infectéaugmente sur la page d'accueil. Le risquepeut être nonrésolu en raison d'unerésolution partielle ou parce que la politique de sécurité pour ce risque estdéfinie sur Consigner seulement.

Vous pouvez configurer un balayage de base de données pour supprimer ouconserver les événements de détection qui ont abouti à des risques non

résolus.Si le balayage est configurépour supprimerles événements de risquenon résolus, le compteur de la page d'accueil Encore infecté ne contient plusces événements. Ces événements vieillissent et sont évacués de la base dedonnées. Cette disparition ne signifie pas que les risques ont été résolus.

Aucune limite temporelle ne s'applique aux entrées du compteur Encoreinfecté. Une fois lesrisquesnettoyés, vouspouvezmodifier l'état infectépourl'ordinateur. Vous pouvezmodifier cetétatdans le journalEtat de l'ordinateuren cliquant sur l'icône associée à l'ordinateur dans la colonne Infectés.

Remarque : Le compteur Nouvellement infectés ne diminue pas lorsquel'état de l'infection de l'ordinateur est effacé dans le journal d'état del'ordinateur ; c'est le compteur Toujours infectés qui diminue.

Vous pouvez déterminer le nombre total d'événements qui se sont produitsdans la dernière période configurée pour l'afficher surla page d'accueil. Pourdéterminer le nombre total, additionnez les compteurs de toutes les lignesdu résumé des actions mis à part la ligne Encore infecté.


Résumé des actions par nombre de

détections | Résumé des actions par

nombre d'ordinateurs

(Suite)


218




l'état

Ce rapport se compose d'un graphiquelinéaire. Le graphiquelinéairemontrel'incidence desattaques, détectionsou infections dans votre réseaude sécuritésur les dernières 12 ou 24 heures. Vous pouvez choisir de sélectionner l'undes éléments suivants :

■ Les attaques représentent les incidents que la protection contre lesmenaces réseau a contrecarrés.

■ Les risques représentent toutes les détections de l'analyse de virus et despywares ainsi que de l'analyse proactive des menaces TruScan qui ontété effectuées.

■ Les infections représentent les virus et les risques de sécurité qui ont étédétectés mais qui ne peuvent pas être entièrement résolues.

Vous pouvez modifier l'affichage en cliquant sur une nouvelle vue dans lazone de liste.

Remarque : Vous pouvez cliquer sur le lien Préférences pour modifierl'intervalle de temps par défaut qui est utilisé.


Attaques | Risques | Infections Par

heure : Dernières 12 heures | Par

heure : Dernières 24 heures

Le résumé de l'état des notifications présente un résumé en ligne de l'étatdes notifications que vous avez configurées. Par exemple, 100 notificationssans accusé de réception pendant les 24 dernières heures.


Résumé de l'état des notifications





l'état

Le Résuméde l'état décrit l'état opérationnel desordinateurs survotre réseau.Il indique le nombre d'ordinateurs quiprésentent lesproblèmessuivants surle réseau :

■ Le moteur antivirus est désactivé.

■ Auto-Protect est désactivé.

■ La protection contre les interventions est désactivée.

■ Les ordinateurs nécessitent un redémarrage pour finir de résoudre unrisque ou d'installer un logiciel LiveUpdate téléchargé.

■ Les ordinateurs ont échoué à une vérification de l'intégrité d'hôte.

Ce nombre est toujours égal à zéro si Symantec Network Access Controln'est pas installé.

■ Les ordinateurs qui ne se sont pas authentifiés auprès du serveur degestion.

Vous pouvez cliquer sur chaque nombre sous Ordinateurs pour afficher lesdétails.

En outre, le nombre de notifications sans accusé de réception survenues aucours des dernières 24 heures apparaît comme lien au-dessous du Résumé

de l'état. Cliquez sur le lien pour ouvrir la fenêtre Notifications.

Se reporter à "Affichage et filtrage des informations de notificationadministrateur" à la page 313.

Résumé de l’état

La section Distribution des définitions de virus et Distrib.signature deprévention d'intrusion dela paged'accueil affiche comment les définitionsde virus et les signatures IPS actuelles sont distribuées.

Vous pouvez passer d'une section à l'autre en cliquant sur une nouvelle vuedans la zone de liste.

Distribution des définitions de virus |Signatures de prévention d'intrusion


220




l'état

La section Security Response affiche lesmenaces principales et lesdernièresmenaces telles qu'elle sont détectées par Symantec Security Response. Elleaffiche également le nombre d'ordinateurs qui ne sont pas protégés contreces menaces sur le réseau. Le compteur ThreatCon indique le niveau actuelde gravité de la menace pour les ordinateurs d'un réseau. Les niveaux degravité sont basés sur les évaluations des menaces que Symantec SecurityResponse établit. Le niveau de gravité ThreatConfournit une représentationglobale de la sécurité sur Internet.

Vous pouvez cliquer sur les liens pour obtenir des informationssupplémentaires.

Se reporter à "A propos de l'utilisation des liens Security Response"

à la page 224.Remarque : Symantec ne prend pas en charge l'installation de SymantecClient Firewall sur le même ordinateur que Symantec Endpoint ProtectionManager. Si vous les installez tous deux sur le même ordinateur, cettesituation peut entraîner des erreurs de CGI lorsque vous cliquez sur les liensSecurity Response de la page d'accueil.

Security Response

Le Résumé des applications surveillées indique les occurrences sur votreréseau des applications qui figurent sur les listes suivantes :

■ La liste Détection d'application commerciale

■ La liste des détections proactives forcées de menaces TruScan

(c'est-à-dire votre liste personnalisée d'applications surveillées).

Vous pouvez cliquer sur un nombre pour afficher un rapport plus détaillé.

Résumé des applications surveillées

La section Rapports sur les favoris contient trois rapports par défaut. Vouspouvez personnaliser cette section en remplaçant un ou plusieurs de cesrapportspar n'importe quelautre rapport par défaut ou personnalisé de votrechoix.Lesrapports surlesfavoris s'exécutent chaquefois quevous lesaffichezde sorte que leurs données soient toujours pertinentes. Ils s'affichent dansune nouvelle fenêtre.

Pour sélectionner les rapports auxquels vous souhaitez accéder depuis la

page d'accueil, vous pouvez cliquer surl'icône Plus (+) en regard de Rapportssur les favoris.

Se reporter à "Configuration des Rapports sur les favoris dans la paged'accueil" à la page 222.

Rapports sur les favoris

Vous pouvez cliquer sur Préférences sous Etat de la sécurité pour modifier lapériode des rapports et des résumés qui s'affichent sur ces pages. Le paramètrepar défaut est Dernières 12 heures. Vous pouvez également choisir l'option




Dernières24 heures. Vous pouvezmodifier lesrapports pardéfautquisont affichésdans la section Rapports sur les favoris de la page d'accueil.

Configuration des Rapports sur les favoris dans lapage d'accueil

Vous pouvez configurer la section Rapports sur les favoris de la page d'accueilpour créer des liens vers trois rapports maximum et faciliter ainsi leurconsultation. Vous pouvez utiliser cette fonction pour afficher les rapports quevous consultez fréquemment, chaque fois que vous vous connectez à la consoleSymantec Endpoint Protection Manager. Les rapports sur les favoris s'exécutentchaque fois que vous les affichez et les informations qu'ils contiennent sont donctoujours à jour.

Les rapports suivants apparaissent dans la section Rapports sur les favoris pardéfaut :

■ Principales sources d'attaque

■ Corrélation des principales détections de risque

■ Distribution des menaces - Protection proactive TruScan

Remarque : Lorsque vous personnalisez l'affichage, c'est uniquement l'affichagedu compte utilisateur actuellement connecté qui est personnalisé.

Les paramètres que vous configurez sur cette page sont conservés d'une sessionà l'autre. A votre prochaine connexion à la console avec les mêmes coordonnéesutilisateurs, ces paramètres seront utilisés dans la page d'accueil.

Tableau 11-4 décrit les options d'affichage de la page d'accueil.

Surveillance de la protection de terminalConfiguration des Rapports sur les favoris dans la page d'accueil

222



Tableau 11-4 Les rapports sur les favoris de la page d'accueil offrent diverses

options

DéfinitionOption

Indique les types de rapport disponibles.

Symantec Endpoint Protection fournit les types de rapportssuivants :

■ Contrôle des applications et des périphériques

■ Audit

■ Conformité

■ Etat d'ordinateur

■ Protection contre les menaces réseau

■ Risque

■ Analyse■ Système

Type de rapport

Répertorie les noms des rapports disponibles pour le type derapport que vous avez sélectionné.

Nom du rapport

Si vous avez sauvegardé des filtres pour le rapport que vous avezsélectionné, ils apparaissent dans cette zone de liste. Le filtre pardéfaut est toujours répertorié.

Filtre

Se reporter à "A propos de la page d'accueil de Symantec Endpoint Protection"

à la page 215.Pour configurer les rapports sur les favoris de la page d'accueil

1 Cliquez sur Domicile.

2 Cliquez sur l'icone en forme de signe plus en regard de Rapports sur les

favoris.

3 Dans la zone de liste du rapport que vous souhaitez modifier, cliquez sur untype de rapport. Par exemple, cliquez sur Risque.

4 Dans la zone de liste suivante, cliquez sur le nom du rapport approprié. Parexemple, cliquez sur Distribution des risques dans le temps.

5 Si vous avez sauvegardé desfiltres pour le rapport quevous avez sélectionné,sélectionnez celui que vous souhaitez utiliser ou sélectionnez le filtre pardéfaut.

Surveillance de la protection de terminalConfiguration des Rapports sur les favoris dans la page d'accueil



6 Répétez ces opérations pour les deuxièmes et troisième liens de rapport, sivous le souhaitez.

7 Cliquez sur OK.

Les liens de rapport que vous avez sélectionnés apparaissent sur votre paged'accueil.

A propos de l'utilisation des liens Security ResponseLa page d'accueil contient un récapitulatif des informations provenant du siteWeb de Symantec Security Response. Ces informations sont composées d'ungraphique indiquant le niveau de gravité ThreatCon, ainsi que de liens vers le siteWeb de Symantec Security Response et d'autres sites Web de sécurité. Le niveau

ThreatCon affichela condition d'Internet durant lesdernières 24 heures.Le niveauest réévalué toutes les 24 heures à moins que l'activité Internet ne nécessite uneréévaluation plus rapide.

Les niveaux ThreatCon sont les suivants :

■ 1 - Normal

Aucune activité d'incident de réseau ni aucune activité de code malveillantavec un indique de risque élevé ou modéré. Sous des conditions normales, seulun fonctionnement de sécurité de routine conçu pour protéger des menacesde réseau normales est nécessaire. Vous pouvez utiliser les systèmesautomatisés et les mécanismes de notification.

■ 2 - Elevé

Des activités d'attaque sont prévues ou ont été constatées, sans qu'aucunévénement particulier ne se soit produit. Cetteévaluation est utilisée lorsqu'uncode malveillant atteint un indice de risque modéré. Si le niveau de risque estmoyen, un examen soigneux des systèmes vulnérables et exposés se montrealors plus approprié. Les applications de sécurité doivent être mises à jouravec de nouvelles signatures et règles dès que ces dernières sont disponibles.Un contrôle méticuleux des journaux est recommandé, mais aucunemodification de l'infrastructure de sécurité en cours n'est requise.

■ 3 – Elevé

Ce niveau indique qu'unemenace isoléeaffectant l'infrastructure informatiqueest présente ou qu'un code malveillant a atteint un indice de risque sévère. Sile niveau de risque est élevé, une surveillance accrue est nécessaire. Lesapplicationsde sécurité doivent être mises à jour avec de nouvellessignatureset règles dès que ces dernières sont disponibles. Le redéploiement et lareconfiguration des systèmes de sécurité est recommandé.

■ 4 - Extrême

Surveillance de la protection de terminalA propos de l'utilisation des liens Security Response

224



Ce niveau indique qu'une activité d'incident réseau globale extrême a étédétectée. La mise en œuvre de mesures contre ce niveau de menace pendantune période prolongée risque d'entraîner des problèmes et d'affecter le

fonctionnement de l'infrastructure réseau.Pour plus d'informations sur les niveaux de menace, cliquez sur le lien Symantecpour afficher le site Web de Symantec.

Remarque : Chaque risque de sécurité peut être compris entre 1 et 5.

Chaque lien affiche une page dans une nouvelle fenêtre.

Tableau 11-5 décrit les liens Security Response.

Tableau 11-5 Liens Security Response sur la page d'accueil de Reporting

Informations affichéesLien

Affiche un récapitulatif desmenaces potentielles pourvotreréseausécurisé d'après lesinformations du site Webde SymantecSecurityResponse. Ce récapitulatif inclut les dernières menaces, lesprincipales menaces ainsi que desliens permettant d'accéder auxoutils de suppression de ces menaces.

Vous pouvez également effectuer des recherches dans la base dedonnées des menaces de Symantec Security Response.

Alertes de sécurité

Affiche le site Web de Symantec. Vous pouvez obtenir desinformations concernant les risques et les risques de sécurité, letéléchargement des définitions de virus et des informationsrécentes concernant les produits de sécurité Symantec.

Symantec

Affiche la page de téléchargement des définitions de virus du siteWeb de Symantec.

Définitions

Affiche le site Web de Symantec Security Response, qui fournitles informationsles plusrécentessur les dernières menaces,ainsique des conseils de sécurité.

Dernières menaces

Affiche le site Webde SecurityFocus, quifournitdes informationssur les derniers virus.

Security Focus

Se reporter à "A propos de la page d'accueil de Symantec Endpoint Protection"à la page 215.

Surveillance de la protection de terminalA propos de l'utilisation des liens Security Response



Utilisation de la page Symantec Network AccessControl Accueil

Si Symantec Network Access Control est installé et que vous disposez des droitssuffisants pour afficher des rapports, votre page Accueil affiche des résumésgénérés automatiquement.Cesrapports contiennentdesinformations importantessurl'étatde conformitédu réseau. Certains desrésumés comportent deshyperliensvers des rapports plus détaillés. Vous pouvez cliquer sur le diagramme et lesnuméros des récapitulatifs pour consulter des détails.

Remarque : Les rapports sont filtrés automatiquement selon les permissions del'utilisateur connecté. Si vous êtes administrateur système, vous voyez desinformations à travers les domaines. Si vous êtes administrateur limité avec desdroits d'accès à un seul domaine, vous voyez seulement des informations issuesde ce domaine.

Tableau11-6 décritlesrapportsdelapage Accueil pour SymantecNetworkAccessControl.

Tableau 11-6 Symantec Network Access Control Résumés de la page Accueil

DescriptionRésumé

La section Echec d'état de conformité du réseau

fournit un cliché de la conformité globale de votreréseau pour la période configurée. Elle affiche lesclients qui ont tenté de se connecter au réseau maisn'ont pas pu parce qu'ils sont non conformes.

Echec d'état de conformité du réseau

Affiche les clients qui ont échoué à la vérificationd'intégrité de l'hôtequis'exécutesurleur ordinateur.

Distribution d'état de conformité

Ce résumé affiche le taux d'échec de la spécificationde conformité globale. Elle contient un diagrammeà barres représentant le nombre de stations detravail uniques, par type d'événement d'échec de

contrôle. Des exemples des types d'événementd'échec de contrôle sont un problème d'antivirus,depare-feu ou de VPN.

Résumé des clients par échec deconformité

Surveillance de la protection de terminalUtilisation de la page Symantec Network Access Control Accueil

226



DescriptionRésumé

Fournit un histogramme plus détaillé que le résuméClients par échec de conformité. Par exemple,supposons que le résumé Clients par échec deconformité montre dix clients avec un échec deconformité d'antivirus.

Par opposition, ce rapport affiche les détailssuivants :

■ Quatre clients ne contiennent aucun logicielantivirus actuellement en fonctionnement.

■ Deux clients n'ont aucun logiciel antivirusinstallé.

■ Quatre clients ont des fichiers de définitions de

virus périmés.

Détails d'échec de conformité

Si seul Symantec Network Access Control est installé, les rapports de la pageAccueil ne sont pas personnalisables, à l'exception d'un paramètre : la périodecouverte par les rapports et les résumés. Vous pouvez modifier la période enutilisant le lien Préférences. Les options sont la semaine passée et les dernières24 heures.

Remarque : Si vous êtes administrateur système, vous voyez des informations àtravers les domaines. Si vous êtes administrateur limité avec des droits d'accès à

un seul domaine, vous ne voyez que des informations issues de ce domaine.

Utiliser l'onglet Résumé de la page ContrôleursL'onglet Résumé de la page Contrôleurs affiche des résumés concis et évoluésdes données de journal importantes pour donner une vision immédiate de l'étatde sécurité.

Vous pouvez afficher les résumés suivants sur l'onglet Résumé :

■ Antivirus et menace proactive TruScan


■ Conformité

■ Etat du site

Tableau 11-7 répertorie le contenu des vues récapitulatives.

Surveillance de la protection de terminalUtiliser l'onglet Résumé de la page Contrôleurs



Tableau 11-7 Vues résumées et contenu

ContenuVue résumée

La vue Antivirus et menace proactive TruScan contient lesinformations suivantes :


■ Distribution des risques

■ Nouveaux risques

■ Distribution des risques par source

■ Distribution des risques par attaquant

■ Distribution des risques par groupe

Remarque : Les nouveaux risques sont évalués à partir dudernier balayage de la base de données et pour la période

configurée sur l'onglet Page d'Accueil et Contrôleurs desPréférences.

Se reporter à "A propos des options d'affichage Domicile etContrôles" à la page 230.

Par exemple, supposez que votre plage horaire dePréférences est définie sur les dernières 24 heures. Etsupposons que votre base de données soit définie pour unbalayage chaquedimanche soir avec suppression desrisquesâgés de plus de trois jours. Si un virus particulier infecte unordinateur de votre réseau le lundi, cela est signalé comme

nouveau risque. Si un autre ordinateur est infecté par lemême virus le mercredi, cela n'est pas reflété dans cecompteur. Si ce même virus infecte un ordinateur de votreréseau le lundi suivant, il est signalé ici commenouvellement infecté. Il est signalé en tant que nouveauparce qu'il s'est produit pendant les dernières 24 heures,alors que la base de données a été nettoyée le dimanche desentrées remontant à plus de trois jours. Les détectionsprécédentes de risques se sont produites il y a plus de trois

jours et ont donc été supprimées de la base de données.

Antivirus et menaceproactive TruScan

La vue Protection contre les menaces réseau contient les

informations suivantes :

■ Principales cibles attaquées par groupe

■ Types d'événements d'attaque

■ Principales sources d’attaque

■ Evénements de sécurité par gravité

Protection contre les

menaces réseau


228



ContenuVue résumée

La vue Conformité contient les informations suivantes :

■ Echec d'état de conformité du réseau■ Répartition de l'état de conformité

■ Résumé des clients par défaut de conformité

■ Détails du défaut de conformité

Remarque : Si Symantec Network AccessControl n'est pasinstallé survotreordinateur, la vueConformité ne contientpas de données.

Conformité

La vue Etat du site contient les informations suivantes :

■ Etat du site

■ Principaux générateurs d'erreurs par serveur■ Principaux générateurs d'erreurs par client

■ Echecs de réplication dans le temps

■ Principaux générateurs d'erreurs par Enforcer

Remarque : Si Symantec Network AccessControl n'est pasinstallé sur votre ordinateur, les Principaux générateurs

d'erreurs par le module Enforcer ne contiennent pas dedonnées.

Etat du site

Si Symantec Network AccessControl estle seul installé survotre ordinateur, vous

devez tenir compte des informations suivantes :

■ La vue Conformité décrite dans la section Tableau 11-7 comprend votre paged'Accueil.

■ La vue Etat de site est la seule vue disponible sur l'onglet Résumé.

Vous pouvez cliquer sur les diagrammes circulaires de l'onglet Résumé pourafficher plus de détails. Pour le résumé Principales cibles attaquées par sousProtection contre les menaces réseau, utilisez la zone de liste pour afficher lerécapitulatif par groupes, sous-réseaux, clients ou ports.

Remarque : Si votre ordinateur comporte uniquement Symantec EndpointProtection, les diagrammes de la vue récapitulative Conformité sont vides. Sivotreordinateurcomporte uniquement Symantec Network AccessControl, l'ongletRésumé contient uniquement la vue Etat de site. Vous pouvez afficher lesinformations récapitulatives de Conformité sur la page d'Accueil.




Pour modifier le type de sommaire

1 Dans la fenêtre principale, cliquez sur Contrôleurs.

2 Dans la partie supérieure de l'onglet Résumé, dans la zone de liste Type de

résumé, sélectionnez le type de vue à afficher.

Configuration des préférences de rapportVous pouvez configurer les préférences suivantes des rapports :

■ Les pages Accueil et Contrôles affichent des options

■ Les seuils de l'état de la sécurité

■ Les options d'affichage qui sont utilisées pour les journaux et les rapports,

ainsi que le chargement du fichier journal héritéPour plus d'informations concernant les options de préférence configurables,vous pouvez cliquer sur Aide dans chaque onglet de la boîte de dialoguePréférences.

Pour configurer des préférences de rapport

1 Depuis la console, dans la page d'accueil, cliquez sur Préférences.

2 Cliquez sur l'un des onglets suivants, selon le type de préférences que vousvoulez définir :

■ Domicile et Contrôles


■ Etat de la sécurité

Se reporter à "Configuration des seuils d'état de sécurité" à la page 231.

■ Journaux et rapports

Se reporter à "Configuration des journaux et despréférences de rapports"à la page 232.

3 Définissez les valeurs des options que vous voulez modifier.

4 Cliquez sur OK.

A propos des options d'affichage Domicile et Contrôles

Vous pouvez définir les préférences suivantes pour la page d'accueil et l'ongletde Vue résumée de la page Contrôles :

■ L'unité de temps qui est utilisée pour les rapports dans la page d'accueil etdans l'onglet Vue résumée de la page Contrôles

Surveillance de la protection de terminalConfiguration des préférences de rapport

230



■ La fréquence d'actualisation automatique de la page d'accueil et de l'ongletVue résumée de la page Contrôles

■ L'ampleur des notifications qui sont incluses au nombre de notifications sans

accusé de réception dans la page d'accueil

■ Le contenu du résumé des actions dans la page d'accueil

Par défaut, vous consultez les informations des dernières 24 heures, mais vouspouvez consulter celles de la semaine écoulée si vous le souhaitez.

Vous pouvez également configurer la fréquence d'actualisation automatique dela page d'accueil et de l'onglet Vue résumée de la page Contrôles. Les valeursvalides vont de jamais à toutes les 5 minutes.

Remarque : Pour configurer la fréquence d'actualisation des différents journaux,vous pouvez afficher le journal que vous voulez consulter. Ensuite, vous pouvezsélectionner la fréquence que vous voulez dans la zone de liste d'actualisationautomatique de la vue de ce journal.

Si vous êtes un administrateur système, vous pouvez configurer le nombre de lapage d'accueil pour n'inclure que les notifications que vous avez créées mais quin'ont pas d'accusé de réception. Par défaut, les administrateurs système voientle nombre total de notificationssans accusé de réception, quel que soit le créateurdesnotifications.Si vous êtes un administrateurlimité, le nombredesnotificationssans accusé de réception ne compte que celles que vous avez créées vous-même

sans accusé de réception.

Vous pouvez configurer le Résumédes actions dans la page d'accueil pour afficherselon le nombre de détectionssurlesordinateurs ou selon le nombred'ordinateurs.


Pour obtenir la descriptionde ces optionsd'affichage, consultez l'aidecontextuellede l'onglet Domicile et Contrôles. Vous pouvez accéder à l'aide contextuelle àpartir du lien Préférences de la page d'accueil.

Se reporter à "Configuration des préférences de rapport" à la page 230.

Configuration des seuils d'état de sécurité

Les seuils d'état de la sécurité définis déterminent à quel moment le messaged'état de la sécurité sur la page d'accueil de la console Symantec EndpointProtection Manager estconsidéré comme étant médiocre. Les seuils sont exprimésen pourcentage et reflètent quand votre réseau est considéré non conforme parrapport à vos politiques de sécurité. Par exemple, vous pouvez définir le




pourcentage desordinateurs avec desdéfinitions de virus périmées quidéclencheun état de sécurité médiocre. Vous pouvez également définir l'âge (en jours) quedoivent avoir les définitions pour être considérées comme étant périmées.

Symantec Endpoint Protection détermine ce quiest à jour quand il calcule, commesuit, si les signatures ou les définitions sont périmées. Sa norme est basée sur lesdéfinitions de virus les plus à jour et sur les dates de signature d'IPS disponiblessur le serveur de gestion sur lequel la console s'exécute.

Remarque : Si vous avez installé uniquement Symantec Network Access Control,vous ne disposerez pas de l'onglet Etat de la sécurité permettant la configurationdes seuils de sécurité.

Pour obtenir la descriptionde ces optionsd'affichage, consultez l'aidecontextuelle

de l'onglet Etat de la sécurité. Vous pouvez accéder à l'aide contextuelle à partirdu lien Préférences de la page d'accueil.


Pour configurer des seuils d'état de sécurité

1 Depuis la console, dans la page d'accueil, cliquez sur Préférences.

2 Dans l'onglet Etat de la sécurité, sélectionnez les éléments que vous voulezinclure dans les critères qui déterminent l'état global de sécurité de la paged'accueil.

3 Pour chaque élément, tapez le numéro vous voulez pour déclencher un étatAttention requise..

4 Cliquez sur OK.

Configuration des journaux et des préférences de rapports

Vous pouvez définir des préférences dans les zones suivantes pour les journauxet les rapports :

■ Le format de date et le séparateur de date qui sont utilisés pour l'affichage dela date

■ Le nombre de lignes, le fuseau horaire et le format de l'adresse IP qui sontutilisés pour l'affichage du tableau

■ L'affichage du filtre dans les rapports et les notifications

■ La disponibilité desdonnées du journal desordinateursdu réseauquiexécutentle logiciel Symantec Antivirus 10.x


232



Pour obtenir la descriptionde ces optionsd'affichage, consultez l'aidecontextuellede l'onglet Journaux et Rapports. Vous pouvez accéder à l'aide contextuelle àpartir du lien Préférences de la page d'accueil.

Remarque : Le format d'affichage de la date que vous définissez ici ne s'appliquepas aux définitions de virus les dates et aux versions qui s'affichent dans descolonnes du tableau. Ces éléments utilisent toujours le format A-M-J.


Elimination des virus et des risques de sécuritéL'élimination des infections par virus et des risques de sécurité est une tâche quevous pouvez effectuer tous les jours ou en fonctions de vos besoins, selon l'étatde sécurité de votre réseau. Vous devez d'abord identifier et localiser les risques,puis choisir la méthode de traitement à utiliser. Une fois les problèmes résolus,vous pouvez mettre à jour le journal relatif à l'état de l'ordinateur pour indiquerque vous avez répondu aux risques.

Pour plus d'informations sur le dépannage anti-virus, consultez le documentsuivant de la base de données Symantec : Les 5 étapes du dépannage anti-virus

(ID document 2007011014341948).

Tableau 11-8 Etapes pour éliminer les virus et les risques de sécurité

DescriptionEtape

Se reporter à "Identification des ordinateursinfectés et à risque" à la page 234.

Identifieztous lesordinateurs client infectésou les ordinateurs en danger.

Vous pouvez vérifier pour vous assurer queles ordinateurs ont Symantec EndpointProtection installé et configurécorrectement.

Vouspouvezexécuterdesmisesàjouretdesanalyses pour vérifier que vous consultez laliste d'infectionset de risques la plus récente.

Se reporter à "Mise à jour des définitions etréanalyse" à la page 237.

Déterminez pourquoi les ordinateurs sontinfectés ou en danger

Surveillance de la protection de terminalElimination des virus et des risques de sécurité

http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2007011014341948




DescriptionEtape

La remédiation dépend du type d'infectionou du risque. La correction peut se faire del'une des manières suivantes :

■ Passeren revue lesactions associéesauxanalyses et refaire une analyse desordinateurs infectés ou en danger.

Se reporter à "Modification d'une actionet réanalyse des ordinateurs identifiés"à la page 235.

Se reporter à "Redémarrage desordinateurs nécessitant un redémarragepourterminerla résolution"àlapage236.

■ Examiner et nettoyer lesrisques restants.Se reporter à "A propos de l'étude et dunettoyage des risques restants"à la page 236.

■ Eliminez tous les événements suspects(clients Windows seulement).

Se reporter à "Elimination d'unévénement suspect" à la page 237.

Résolvez l'infection ou le risque

Identification des ordinateurs infectés et à risque

La première tâche est d'identifier les ordinateurs qui sont infectés et à risque.

Se reporter à "Elimination des virus et des risques de sécurité" à la page 233.

Pour identifier les ordinateurs infectés

1 Dans la console, cliquez sur Accueil et consultez le résumé des actions.

Si vous êtes un administrateur système, les compteurs du nombred'ordinateurs nouvellement infectés et du nombre d'ordinateurs encoreinfectés de votresite sont affichés. Si vous êtes un administrateur de domaine,les compteurs du nombre d'ordinateurs nouvellement infectés et du nombre

d'ordinateurs encore infectés de votre domaine sont affichés. Le compteurEncore infecté est un sous-ensemble du compteur Nouvellement infecté. Lecompteur Encore infecté diminue à mesure que vous éliminez les risques devotre réseau. Les ordinateurs sont encore infectés si une analyse ultérieureles signale comme infectés. Par exemple, si Symantec Endpoint Protectionn'a nettoyé un risque que partiellement sur un ordinateur, Auto-Protectdétecte toujours le risque.

2 Dans la console, cliquez sur Rapports.


234



3 Dans la zone de liste Type de rapport, cliquez sur Risque.

4 Dans la zone de liste Sélectionnerun rapport, cliquezsurOrdinateursinfectés

et à risque.

5 Cliquez sur Créer un rapport et notez les listes des ordinateurs infectés et àrisque qui apparaissent.

Modification d'une action et réanalyse des ordinateurs identifiés

L'étape suivante dans la résolution des risques de votre réseau est d'identifierpourquoi les ordinateurs sont encore infectés ou à risque. Consultez l'action quia été effectuée pour chaque risque sur les ordinateurs infectés et à risque. Il sepeut que l'action qui a été configurée et effectuée soit Laissé tel quel. Si l'actionquia étéeffectuéeest Laissé telquel, vous deveznettoyer le risquede l'ordinateur,

supprimer l'ordinateur du réseau ou accepter le risque. Si vous le souhaitez, vouspouvez modifier la politique antivirus et antispyware appliquéeau groupe auquelappartient cetordinateur. Vous pouvezégalementconfigureruneaction différentepour cette catégorie de risques ou pour ce risque spécifique.

Pour identifier les actions qui doivent être modifiées et réanalyser les ordinateurs

identifiés

1 Dans la console, cliquez sur Contrôles.

2 Dans l'onglet Journaux, sélectionnez le journal des risques, puis cliquez surAfficher le journal.

La colonne des événements du journal des risques affiche ce qui s'est produitet l'action qui a été effectuée. La colonne Nom du risque affiche les noms desrisques qui sont toujours actifs. La colonne Utilisateur du groupe de domaineaffiche le groupe auquel appartient l'ordinateur.

Si un client est à risque parce qu'une analyse a effectué l'action Laissé telquel, vous devrez peut-être modifier la politique antivirus et antispywarepour le groupe. La colonne Ordinateur affiche les noms des ordinateurs quicontiennent encore des risques actifs.

Se reporter à "Configuration des actions pour desdétections connues de virus

et de risque de sécurité sur les clients Windows" à la page 466.Si votre politique est configurée pour utiliser le mode de transfert, elle esttransférée aux clients du groupe au prochain battement.

Se reporter à "Configurer le mode de transfert ou le mode de traction pourmettre à jour les politiques client et le contenu" à la page 117.

3 Cliquez sur Précédent.




4 Dans l'onglet Journaux, sélectionnez le journal d'état de l'ordinateur, puiscliquez sur Afficher le journal.

5 Si vous avez modifié une action et transféré une nouvelle politique,

sélectionnez les ordinateurs qui doivent être réanalysés avec les nouveauxparamètres.

6 De la zone de liste Commande, sélectionnez Analyse, puis cliquez surDémarrer pour réanalyser les ordinateurs.

Vous pouvez contrôler l'état de la commande Analyse à partir de l'onglet Etatde la commande.

Redémarrage des ordinateurs nécessitant un redémarrage pourterminer la résolution

Les ordinateurs peuvent encore être à risque ou infectés parce qu'ils doivent êtreredémarrés pour terminer la résolution d'un virus ou d'un risque de sécurité.

Se reporter à "Elimination des virus et des risques de sécurité" à la page 233.

Pour redémarrer les ordinateurs afin de terminer la résolution

1 Dans le journal des risques, consultez la colonne Redémarrage requis.

Il se peut qu'un risque ait été partiellement nettoyé de certains ordinateurs,mais les ordinateurs nécessitent toujours un redémarrage pour terminer larésolution.

2 Sélectionnez dans la liste les ordinateurs qui nécessitent un redémarrage.

3 Dans la zone de liste Commande, sélectionnez Redémarrer les ordinateurs,puis cliquez sur Démarrer.

Vous pouvez contrôler l'état de la commande Redémarrer les ordinateurs àpartir de l'onglet Etat de la commande.

A propos de l'étude et du nettoyage des risques restants

Si des risques demeurent, vous devrez peut-être les étudier de manière plus

approfondie.Dans la boîtede dialogue des résultats de l'analyse, vous pouvez cliquer sur le lienvers Symantec Security Response pour le risquedétecté. Lesrésultatsde l'analysevous indiquent également les processus, les fichiers ou les clés de registre quisont impliqués dans la détection de risque.

Vous pourrez peut-être créer une politique de contrôle des applicationspersonnalisée pour bloquer une application offensive


236



Se reporter à "Création d'une politique de contrôle des applications et despériphériques" à la page 611.

ou vous devrez déconnecter l'ordinateur du réseau, supprimer des fichiers et des

clés de registre Windows et arrêter les processus manuellement.

Elimination d'un événement suspect

Tout risque de sécurité indique qu'une analyse proactive des menaces TruScan adétecté un élément suspect requérant votre attention. Cet élément peut êtreinoffensif ou non. Si vous constatez que ce risque est inoffensif, vous pouvezutiliser la politique d'exceptions centralisées pour l'exclure des détections àl'avenir. Si lesanalyses proactives des menaces ne peuvent pas corriger un risqueou si vous les avez configurées pour ignorer un risque, il peut être nécessaire

d'éliminer ces risques.Si vous avez configuré la consignation des analyses proactives des menacesTruScan et que vous déterminez que ce risque est nocif, vous pouvez y remédieravec la politique d'exceptions centralisées. Configurez la politique d'exceptionscentralisées pour arrêter ou mettre en quarantainelerisque aulieu de leconsigner.

Se reporter à "Configuration d'une exception centralisée pour les analysesproactives des menaces TruScan" à la page 655.

Si Symantec Endpoint Protection a détecté ce risque à l'aide des paramètres pardéfautde l'analyseproactive desmenacesTruScan, Symantec Endpoint Protectionne peut pas corriger ce risque. Si vous constatez que ce risque est nocif, vous devezle supprimer manuellement. Après avoir supprimé le risque, vous pouvezsupprimer cette entrée du journal des risques.

Mise à jour des définitions et réanalyse

Certains ordinateurs peuvent encore être à risque car leurs définitions sontpérimées.





Pour mettre à jour des définitions et réanalyser

1 Pour les ordinateurs restants affichés, consultez la colonne Date desdéfinitions. Si certains ordinateurs ont des définitions de virus périmées,

sélectionnez ces ordinateurs.

2 Dans la zone de liste Commande, sélectionnez Mettre à jour le contenu etanalyser, puis cliquez sur Démarrer.

Vous pouvez contrôler l'état de la commande Mettre à jour le contenu etanalyser à partir de l'onglet Etat de la commande.

3 Cliquez sur Accueil et consultez les nombres dans les lignes Encore infectéet Nouvellement infecté du résumé des actions.

Si les compteurs sont à zéro, vous avez éliminé les risques. Si les compteursne sont pas à zéro, vous devez étudier les risques restants.

Recherche des clients hors ligneVous pouvez effectuer une vérification pour savoir quels ordinateurs sont horsligne sur votre réseau de plusieurs manières.

Par exemple, vous pouvez effectuer les contrôles suivants :

■ Exécutez le rapport rapide d'état des ordinateurs Ordinateurs non contrôlésdans le serveur pour consulter l'état en ligne.

■ Configurez et exécutez uneversion personnalisée de ce rapport pour consulterles ordinateurs d'un groupe ou d'un site particulier.

■ Affichez le Journal d'état des ordinateurs, qui contient l'adresse IP del'ordinateur et l'heure de la dernière authentification.


Un client peut être hors ligne pour un certain nombre de raisons. Vous pouvezidentifier lesordinateurs quisont hors ligne et résoudre cesproblèmesd'un certainnombre de manières.

Si le module Symantec Network Access Control est installé, vous pouvez utiliser

lesoptions defiltrede conformité pour personnaliser le rapport rapideOrdinateursnon contrôlés dans le serveur.Vous pouvezalors utiliser ce rapport pour connaîtreles raisons spécifiques pour lesquelles les ordinateurs ne sont pas sur le réseau.Vous pouvez alors résoudre les problèmes existants.

Vous pouvez filtrer selon les problèmes de conformité suivants :

■ La version de l'antivirus de l'ordinateur est périmée.

■ Le logiciel antivirus de l'ordinateur n'est pas en cours d'exécution.

Surveillance de la protection de terminalRecherche des clients hors ligne

238



■ Un script a échoué.

■ L'emplacement de l'ordinateur a été modifié.

Procédure de recherche de clients hors ligne1 Dans la console, cliquez sur Clients.

2 Dans l'onglet Journaux, à partir de la liste Type de journal, cliquez sur Etat

de l'ordinateur.

3 Cliquez sur Paramètres avancés.

4 Dans la liste Etat connecté, cliquez sur Hors ligne.

5 Cliquez sur Afficher le journal.

Par défaut, une liste des ordinateurs qui sont hors ligne pour les dernières

24 heures apparaît. La liste inclut le nom de chaque ordinateur, l'adresse IPet la dernière authentification auprès de son serveur. Vous pouvez réglerl'intervallede temps pour afficher lesordinateurs hors ligne pour l'intervalleque vous voulez consulter.





240



Affichage et configurationdes rapports


■ A propos des rapports pouvant être exécutés

■ A propos de l'affichage des rapports

■ Au sujet des rapports rapides

■ Création de rapports rapides

■ Enregistrement et suppression des filtres de rapports rapides

■ A propos des rapports planifiés

■ Création et suppression de rapports planifiés

■ Modification du filtre utilisé pour un rapport planifié

■ A propos de l'utilisation du filtre Dernières 24 heures dans les rapports et les journaux

■ A propos de l'utilisation des filtres qui recherchent des groupes dans lesrapports et les journaux

■ Impression et enregistrement d'une copie d'un rapport

■ A propos de l'utilisation de SSL avec les fonctions de notification

■ Points importants quant à l'utilisation des rapports

12Chapitre



A propos des rapports pouvant être exécutésVous pouvez afficher des rapports rapides prédéfinis et générer des rapports

personnalisés basés sur des paramètres de filtre que vous devez sélectionner.Vous pouvez également enregistrer des configurations de filtre pour générer lesmêmes rapports personnalisés à l'avenir et les supprimer lorsqu'ils ne sont plusnécessaires.

En outre, vous pouvezplanifier desrapports pour s'exécuterà intervalles réguliers.Les rapports sont envoyés par courrier électronique aux destinataires spécifiés.

Tableau 12-1 décrit les types de rapport disponibles.

Tableau 12-1 Types de rapport

DescriptionType de rapport

Affiche des informations sur les politiques que les clientset les emplacements utilisent actuellement. Il contient desinformations sur les activités de modification de politique,telles que le moment et le type des événements, lesmodifications de politique, les domaines, les sites, lesadministrateurs et les descriptions.

Se reporter à "A propos des informations dans le rapport etle journal d'audit " à la page 245.

Audit

Affiche des informations sur les événements où un certain

type de comportement a été bloqué. Ces rapports incluentdes informations sur lesalertesde sécurité des applications,les cibles bloquées et les périphériques bloqués. Les ciblesbloquées peuvent être des clés de registre de Windows, desdll, des fichiers et des processus.

Se reporter à "A propos des informations des rapports etdes journaux Contrôle d'application et Contrôle depériphérique" à la page 245.

Contrôle des applications et

des périphériques

Affiche des informations sur l'état de conformité de votreréseau. Ces rapports incluent des informations sur les

serveurs Enforcer, les clients Enforcer, le trafic d'Enforceret la conformité de l'hôte.

Se reporter à " A propos des informations dans lesrapportset les journaux de conformité " à la page 246.

Conformité

Affichage et configuration des rapportsA propos des rapports pouvant être exécutés

242



DescriptionType de rapport

Affiche des informations sur l'état opérationnel desordinateurs présents sur votre réseau, telles que lesordinateurs dont les fonctionsde sécurité sontdésactivées.Ces rapports incluent des informationssur lesversions, lesclients qui ne se sont pas authentifiés auprès du serveur,l'inventaire client et l'état connecté.

Se reporter à "A propos des informations dans les rapportset le journal d'état de l'ordinateur" à la page 248.

Etat de l'ordinateur

Affiche des informations sur la prévention d'intrusion, lesattaques enregistrées sur le pare-feu ainsi que le trafic etles paquets de pare-feu.

Les rapports de protection contre les menaces réseau vouspermettent de suivre l'activité d'unordinateur ainsi que soninteraction avec d'autres ordinateurs et réseaux. Ilsenregistrent des informations surle trafic qui tente d'entrerou de sortir surles ordinateurspar leurs connexions réseau.

Se reporter à "A propos des informations dans les rapportset les journaux de protection contre les menaces réseau"à la page 252.


Affiche des informations sur les événements de risqueenregistrés sur vos serveurs de gestion et leurs clients. Ilinclut des informations sur les analyses proactives desmenaces TruScan.

Se reporter à "A propos des informations dans les rapportset le journal des risques" à la page 256.

Se reporter à "A propos des informations figurant dans lesrapports et les journaux d'analyse proactive des menacesTruScan" à la page 255.

Risque

Affiche des informations sur l'activité d'analyse antiviruset antispyware.

Se reporter à "A propos des informations dans les rapports

et le journal d'analyse" à la page 260.

Analyse

Affiche des informations sur l'heure des événements, lestypes d'événement, les sites, les domaines, les serveurs etles niveaux de gravité.

Se reporter à "A propos des informations dans les rapportset les journaux système" à la page 262.

Système




Vous pouvez configurer les paramètres de base et les paramètres avancés pourtous les rapportsafin de mieux cibler lesdonnées à afficher. Vous pouvezmodifierles rapports prédéfinis et enregistrer votre configuration. Vouspouvez également

enregistrer votre filtrepersonnaliséen luiattribuant un nomdifférent de manièreà ce que le même rapport personnalisé puisse s'exécuter ultérieurement. Vouspouvez également supprimer vos configurations personnalisées si vous n'avezplus besoin d'elles. Les paramètres de filtre actifs sont indiqués dans le rapportsi vous avez configuré le journal et les préférences du rapport de manière à ce queles filtres soient inclus dans le rapport.

Si votre réseau comprend plusieurs domaines, de nombreux rapports vouspermettent d'afficher des données sur tous les domaines, sur un site ou surplusieurs sites. Par défaut, les rapports rapides affichent tous les domaines,groupes, serveurs, etc., selon le rapport que vous souhaitez créer.

Se reporter à "Au sujet des rapports rapides" à la page 269.


Remarque : Certains rapports prédéfinis contiennent des informations qui sontobtenues de Symantec Network Access Control. Si vous n'avez pas acheté ceproduit, mais que vous exécutez l'un des rapports de ce produit, le rapport estvide.

Remarque : Si vous avez uniquement installé Symantec Network Access Control,

un nombre important de rapports sont vides. Les rapports Contrôle des

applicationsetdespériphériques , Protectioncontrelesmenacesréseau, Risque

et Analyse ne contiennent pas de données. Les rapports Conformité et Audit

contiennent desdonnées, de même quecertains desrapports Etatdel'ordinateur

et Système.

Se reporter à "Configuration des journaux et des préférences de rapports"à la page 232.

Lorsque vous créez un rapport, celui-ci apparaît dans une nouvelle fenêtre. Vouspouvezenregistrer unecopie durapport auformatd'archivageWebou enimprimer

une copie. Le fichierenregistréou lerapport impriméfournit un cliché des donnéesactuelles de votre base de données Rapport et vous permet ainsi de conserver unenregistrement historique.

Vous pouvez également créer des rapports planifiés, lesquels sontautomatiquement générés en fonction de la planificationquevous avez configurée.Vous devez définir les filtres qui devront être appliqués au rapport ainsi que


244



l'heure à laquelle le rapport devra s'exécuter. Une fois le rapport terminé, il estenvoyé par courrier électronique à un ou plusieurs destinataires.

Les rapports planifiés s'exécutent toujours par défaut. Vous pouvez modifier les

paramètres des rapport planifiés tant que ceux-ci n'ont pas encore été exécutés.Vous pouvez également supprimer un rapport planifié ou l'ensemble de cesrapports.

Se reporter à "A propos des rapports planifiés" à la page 278.

Se reporter à "Création et suppression de rapports planifiés" à la page 279.

A propos des informations dans le rapport et le journal d'audit

Le rapport d'audit contient des informations sur les activités de modification depolitique, telles que le moment et le type des événements, les modifications depolitique, les domaines, les sites, les administrateurs et les descriptions.

Le rapport rapide d'audit par défaut est appelé Politiques utilisées. Affichez lerapport Politiques utilisées pour contrôler les politiques en service dans votreréseau, par groupe. Vous pouvez regarder le journal d'audit quand vous voulezsavoir quel administrateur a modifié une politique particulière et quand.


A propos des informations des rapports et des journaux Contrôle

d'application et Contrôle de périphériqueLesjournauxet les rapports Contrôled'applicationsetcontrôledepériphériques

incluentdes informations sur lespolitiques de contrôled'applicationsetcontrôle

de périphériques et la protection contre les interventions. Les journauxcontiennent des informations sur les types d'événements suivants :

■ L'accès à une entité d'ordinateur a été bloqué

■ Un périphérique a été tenu à l'écart du réseau

Les fichiers, les clés de registre Windows et les processus sont des exemplesd'entités d'ordinateur.

Tableau 12-2 décrit les cas d'utilisation les plus courants pour le typed'informations que vous pouvez obtenir avec les rapports et les journaux decontrôle des applications et des périphériques.




Tableau 12-2 Résumé des rapports et des journaux Contrôle d'application et

Contrôle de périphérique

Utilisations standardRapport ou journal

Utilisez ce rapport pour vérifier quels groupes sont les plus vulnérables dansvotre réseau.

rapport Principauxgroupesavec

le plus grand nombre d'alertes

du contrôle d'application

Ce rapport permet de vérifier les fichiers, les processus et autres entités utilisésle plus souvent dans des attaques contre votre réseau.

Rapport de Principales cibles

bloquées

Ce rapport présente un graphique sectoriel et une barre relative indiquant lespériphériques les plus souvent bloqués lors de leur accès au réseau.

Rapport des principaux

périphériques bloqués

Utilisez ce journal pour consulter des informations sur les entités suivantes :

■ Actions effectuées en réponse aux événements■ Processus impliqués dans les événements

■ Noms des règles appliquées par la politique lorsque l'accès d'une applicationest bloqué

Vous pouvez décider d'ajouter un fichier à la politique d'Exceptions

centralisées en raison d'un événement dans le journal Contrôle de

l'application.

Se reporter à "Création d'exceptions centralisées à partir des événements de journal" à la page 658.

Journal de Contrôle

d'applications

Utilisez ce journal lorsque vous devez consulter des détails de contrôle de

périphérique, tels que le moment exact où le contrôle de périphérique a activéou désactivé des périphériques. Ce journal affiche également des informationscomme le nom de l'ordinateur, son emplacement, l'utilisateur qui était connectéet le système d'exploitation impliqué.

Journal de contrôle de

périphérique


A propos des informations dans les rapports et les journaux deconformité

Les journaux et les journaux de conformité contiennent des informations sur leserveur Enforcer, lesclients, le trafic et surla conformité d'hôte. Les informationsdisponibles incluent des éléments tels que le moment et le type d'événement, lenom de l'Enforcer impliqué, le site et le serveur.

Remarque : Si vous Symantec Network Access Control n'est pas installé sur votreordinateur, les journaux et les rapports de Conformité ne contiennent pas dedonnées.


246



Tableau 12-3 décrit les cas d'utilisation les plus courants pour le typed'informations que vous pouvez obtenir avec les rapports et les journaux deconformité.

Tableau 12-3 Résumé des rapports et des journaux de conformité


Ce rapport permet d'examiner la conformité globale, de voir si des clients n'ontpas réussi aux vérifications d'intégrité de l'hôte ou à l'authentification ou s'ilsont été déconnectés.

Rapport de l'Etat de conformité

du réseau

Utilisez ce rapport pour voir le nombre total de clients qui ont réussi ou échouéà une vérification d'intégrité de l'hôte dans votre réseau.

Rapport de l'Etat de conformité

Utilisez ce rapport pour voir les raisons générales des événements d'échec de

contrôle, tels que les antivirus, le pare-feu ou VPN.

Rapport de Clients par résumé

d'échec de conformité

Utilisez ce rapport pour obtenir un niveau de détail supérieur sur les échecs deconformité. Il affiche les critères et la règle impliqués dans chaque échec. Ilcomprend le pourcentage de clients qui ont été déployés et le pourcentage desclients qui ont échoué.

Par exemple, le résumé d'échec de conformité peut afficher dix échecs de clientdusau logiciel antivirus. En revanche, les détails d'échec de conformité affichent

les informations suivantes :

■ Quatre clients ne contiennent pas de logiciel antivirus actuellement enfonctionnement.

■ Deux clients ne comportent pas de logiciel antivirus.

■ Quatre clients ont des fichiers de définitions de virus périmés.

Rapport des Détails de l'échec de

conformité

Ce rapport contientun tableau indiquantlesévénements d'échec de conformité.Ces événements s'affichent sous forme de groupes en fonction de leuremplacement. Ce rapport indique les ordinateurs individuels qui ont raté lecontrôle de conformité, le pourcentage d'échec total et les échecs paremplacement.

Rapport Clients non conformes

par emplacement

Utilisez ce journal pour obtenir des informations sur des événements deconformité d'Enforcer, le nom d'Enforcer impliqué, son site et son serveur.

Ce journal contient notamment les informations suivantes :

■ Quels modules d'application Enforcern'ont pas pu s'inscrire sur leurserveur

■ Quels modules d'application Enforcer ont reçu avec succès destéléchargements de politiques et du fichier de communication sylink.xml

■ Indique si le serveur des Enforcers a reçu les journaux des Enforcers.

Journal Enforcer Server





Utilisez ce journal pour voir quels clients ont réussi ou raté les vérificationsd'intégrité de l'hôte, ont été authentifiés ou rejetés, ou ont été déconnectés duréseau.

Journal Enforcer Client

Utilisezce journal pour obtenir desinformations surle trafictraversant Enforcer.

Les informations disponibles incluent :

■ La direction du trafic

■ Le moment où le trafic a commencé et le moment où il s'est terminé

■ Le protocole utilisé

■ Les adresses IP source et cible utilisées

■ Le port utilisé

■ La longueur de paquet (en octets)

■ Les tentatives de connexions autorisées ou bloquées.

Ce journal s'appliqueuniquement aux modules d'application Gateway Enforcer.

Journal du trafic Enforcer

Utilisez ce journal pour examiner des informations spécifiques sur desévénements de conformité particuliers. De tels événements incluent la raison,l'utilisateur impliqué et le nom du système d'exploitation impliqué.

Journal de conformité d'hôte


A propos des informations dans les rapports et le journal d'état del'ordinateur

Les rapports Etat de l'ordinateur contiennent des informations sur l'état defonctionnement en temps réel des ordinateurs sur le réseau. Les informationsdisponibles incluent le nom de l'ordinateur et son adresse IP, l'heure de dernièreconnexion, les dates de définitions, l'état d'infection, l'état d'Auto-Protect, leserveur, le groupe, le domaine et le nom de l'utilisateur. Les filtres des rapportsd'état de l'ordinateur ont des options de configuration standard et des optionsspécifiques à la conformité.

Tableau 12-4 décrit les cas d'utilisation les plus courants pour le type

d'informations que vous pouvez obtenir avec les rapports et les journaux d'étatdes ordinateurs.


248



Tableau 12-4 Résumé des rapports et des journaux d'Etat de l'ordinateur


Utilisez ce rapport pourvousassurer que tousles groupes,domaines ou serveursde votre réseau utilisent des versions à jour de fichiers de définitions de virus.

Ce rapport affiche les versions de fichier de définitions de virus utilisées surl'ensemble du réseauainsiquele nombreetle pourcentage d'ordinateursutilisantchaque version. Il contient un graphique sectoriel, un tableau et des barresrelatives.

Rapport de Distribution desdéfinitions de virus

Utilisez ce rapport pour trouver les ordinateurs qui ne se sont pas connectés àun serveur et pourraient donc être perdus ou manquants. Il affiche égalementl'adresse IP de l'ordinateur, l'heure de sa dernière authentification et l'utilisateurqui était connecté à ce moment-là.

Rapport d'Ordinateurs non

vérifiés dans le serveur

Utilisez ce rapport pour vérifier les versions du logiciel Symantec EndpointProtection, des définitions de virus, des signatures d'IPS et du contenu de laprotection proactive en service dans votre réseau. Il comprend également ledomaine et le serveur de chacun de ces produits, ainsi que le nombre et lepourcentage d'ordinateurs associés à chacun. Il contient un graphique sectorielet des barres relatives.

Avec ces informations vous pouvez identifier exactement les ordinateursnécessitant une mise à jour.

Rapport de Symantec Endpoint

Protection versions du produit

Utilisez ce rapport pour vous assurer que tous les groupes du réseau utilisentdes signatures à jour pour la prévention d'intrusion. Vous pouvez également

identifier lesdomainesou lesserveurspérimés. Il contient un graphiquesectorielet des barres relatives.

Rapport de Distrib. des

signatures de prévention

d'intrusion

Utilisez ce rapport pour vérifier le nombre et le pourcentage d'ordinateurs danscertaines catégories de matériel et de logiciel.

Ce rapport comprend les graphiques suivants, sachant que les barres relativesprésentent le nombre total d'ordinateurs et le pourcentage de chacun :


■ Mémoire totale

■ Mémoire libre

■ Espace disque total■ Espace disque libre

■ Type de processeur

Parexemple, dans le rapport d'inventaire client, vous pouvezconstater que 22 %d'ordinateurs ont moins de 1 Go d'espace disque disponible.

Rapport d' Inventaire client





Utilisez ce rapport, composé d'un graphiquesectoriel et de barresrelativespourafficher lesréussites et les échecs de conformité par groupe ou par sous-réseau.Il affiche le nombre d'ordinateurs et le pourcentage d'ordinateurs conformes.

Vous pouvez vouloir étudier si certains groupes semblent rencontrer plus deproblèmes de conformité que d'autres.

Rapport de distribution de l'état

de conformité

Utilisez ce rapport pour savoir quels groupes ou sous-réseaux ont le plus grandpourcentage de clients en ligne. Ce rapport contient des graphiques sectorielset des barres relatives pour chaque groupe et sous-réseau.

L'expression "En ligne" désigne les cas de figure suivants :

■ Pour les clients en mode 'push', "en ligne" signifie que les clients sontactuellement connectés au serveur.

■ Pour lesclients en mode 'pull', "enligne" signifie que lesclients ontcontactéle serveur au cours des deux derniers battements du client.

■ Pour les clients des sites distants, "en ligne" signifie que les clients étaienten ligne au moment de la dernière réplication.

Vous pouvez devoir étudier pourquoi certains groupes ou sous-réseauxrencontrent actuellement plus de problèmes que d'autres.

Rapportdel'Etatdeconnexiondu

client

Utilisez ce rapport pour voir le nombre d'ordinateurs et le pourcentaged'ordinateurs sur lesquels la dernière politique est appliquée.

Ce rapport contient desgraphiquessectorielset des barres relatives pourchaquegroupe et sous-réseau.

Rapport rapide des Clients avec

la politique la plus récente

Rapport planifié de la distribution

des clients par politique

Utilisez ce rapport pour connaître le nombre total de clients et d'utilisateurspar groupe. Si vousutilisezplusieurs domaines, ces informationssontindiquéesen fonction de chaque domaine.

Rapportdunombredeclientspar

groupe

Utilisez ce rapportpour connaître rapidement le nombretotald'ordinateurs quiont les problèmes suivants :

■ Auto-Protect est désactivé

■ Le moteur antivirus est désactivé

■ La protection contre les interventions est désactivée

■ L'ordinateur doit redémarrer

■ L'ordinateur a raté une vérification d'intégrité de l'hôte

■ La protection contre les menaces réseau est désactivée

Ces ordinateurs peuvent demeurer vulnérables à moins que vous interveniez.

Rapport du Résumédel'étatdela

sécurité


250




Utilisez ce rapportpour vérifierlesversionsdu contenu de Protection proactiveutilisées à travers le réseau dans un seul rapport. Un graphique sectoriel estaffiché pour chaque type de protection.

Les types de contenu suivants sont disponibles :

■ Versions de Decomposer

■ Versions du moteur Eraser

■ Versions du Contenu de l'analyse proactive des menaces TruScan

■ Versions du Moteur d'analyse proactive des menaces TruScan

■ Version de la liste d'applications commerciales

■ Versions du moteur du gestionnaire de contenu proactif

■ Versions de la liste des applications autorisées

■ Les nouveaux types de contenu que Symantec Security Response a ajoutés

Rapport des versions du contenu

de protection

Utilisez ce rapport pour consulter l'état de migration des clients par domaine,groupe et serveur. Vous pouvez identifier rapidement les clients pour lesquelsla migration a réussi, échoué ou n'a pas encore démarré.

Rapport de migration du client

Utilisez ce rapport pour suivre la progression des déploiements de packagesclient. Ces informations de clichés permettent de connaître la vitesse deprogression des déploiements et d'identifier les clients partiellement déployés.

Rapport Déploiement logiciel du

client (clichés) rapport

Ce rapport n'est disponible qu'entant que rapport planifié.

Utilisez ce rapport pour déterminer les clients qui ne se connectent pasau réseau

assez fréquemment.

Rapport Clients en ligne/hors

ligne dans le temps Rapport (declichés)


Utilisez ce rapport pour déterminer les clients qui ne récupèrent pas les misesà jour de politique assez fréquemment.

RapportClientsayantladernière

politique dans le temps (clichés)


Utilisez ce rapport pour déterminer les clients qui ratent fréquemment les

vérifications d'intégrité de l'hôte.

Rapport Clients non conformes

dans le temps (clichés)


Utilisez ce rapport pour consulterla liste desversions de packages de définitionde virus déployées vers les clients.

Rapport de déploiement des

définitions de virus (clichés)






Vérifiez le journal d'Etat de l'ordinateur pour plus de détails sur les domainescouverts par les rapports.

Journal d'état de l'ordinateur


A propos des informations dans les rapports et les journaux deprotection contre les menaces réseau

Les rapports et les journaux de protectioncontrelesmenacesréseau permettentde surveiller l'activité d'un ordinateur et son interaction avec d'autres ordinateurset réseaux. Ils enregistrent des informations sur le trafic qui tente d'entrer ou desortir des ordinateurs par leurs connexions réseau.

Les journaux de protection contre les menaces réseau contiennent des détailssur les attaques contre le pare-feu, tels que les informations suivantes :

■ Attaques par déni de service

■ Analyses de port

■ Modifications des fichiers exécutables

Lesjournauxdeprotectioncontrelesmenacesréseaucollectent desinformationssur la prévention d'intrusion. Ils contiennent également des informations sur lesconnexions établies à travers le pare-feu (trafic), les clés de registre Windows, les

fichiers et les DLL utilisés. Ils contiennent des informations sur les paquets dedonnées qui traversent les ordinateurs. Les modifications opérationnellesapportées aux ordinateurs sont également consignées dans ces journaux. Cesinformations peuvent inclure le moment de démarrage ou d'arrât des services oule moment auquel quelqu'un configure le logiciel. Parmi les autres typesd'informations pouvant être disponibles figurent deséléments tels quele momentet le type d'événement et la mesure prise. Elles peuvent également inclure ladirection, le nom d'hôte, l'adresse IP et le protocole utilisé pour le trafic impliqué.Si elles s'appliquent à l'événement, les informations peuvent également inclurele niveau de gravité.

Tableau 12-5 décrit les cas d'utilisation les plus courants pour le typed'informations que vous pouvez obtenir avec les rapports et les journaux deprotection contre les menaces réseau.


252



Tableau 12-5 Résumé des rapports rapides et des journaux de protection contre

les menaces réseau


Utilisez ce rapport pour identifier les groupes, sous-réseaux, ordinateurs ouports fréquemment attaqués. Ce rapport comprend des informations telles quele nombre et le pourcentage d'attaques, le type et la gravité des attaques et ladistribution des attaques.

Vous pouvez vouloir prendre des mesures basées sur ce rapport. Par exemple,vous pouvez constater que les clients connectés par l'intermédiaire d'un VPNsont attaqués beaucoup plus fréquemment. Vous pouvez vouloir regrouper cesordinateurs de manière à pouvoir leur appliquer une politique de sécurité plusrigoureuse.

Rapport des principales cibles

attaquées

Utilisez ce rapportpouridentifier quels hôtesattaquent le réseaule plussouvent.Ce rapport contient un graphique sectoriel et des barres relatives indiquant lesprincipaux hôtes qui se trouvent à l'origine d'une attaque contre le réseau. Cerapport comprend des informations telles que le nombre et le pourcentaged'attaques, le type et la gravité des attaques et la distribution des attaques.

Rapport des principales sourcesd'attaques

Utilisez ce rapport pour identifier les types d'attaque dirigés sur votre réseaule plussouvent. Lestypes d'attaque possibles que vous pouvez contrôler incluentles analyses de port, les attaques par déni de service et les usurpations MAC.

Ce rapport présente un graphique sectoriel et des barres relatives. Il comprenddes informations telles que le nombre et le pourcentage d'événements. Ilcomprend également le groupe et la gravité, ainsi que le type et le nombred'événements par groupe.

Rapport des principaux types

d'attaques

Utilisez ces rapports ensemble pour identifier les applications utilisées le plussouvent pour attaquer le réseau. Vous pouvez également vérifier si lesapplications utilisées pour les attaques ont changé dans le temps.

Le rapport Principales applications bloquées se compose d'un graphiquesectoriel et de barres obliques qui affichent les applications qui n'ont pas puaccéder au réseau. Ce rapport comprend des informations telles que le nombreet le pourcentage d'attaques, le groupe et la gravitédesattaques et la distributiondes attaques par groupe.

Le rapport des applications bloquéesdansle tempsse compose d'un graphiquesectoriel et d'un tableau. Il indique le nombre total d'applications qui n'ont paspu accéder au réseaupendant unepériode quevous devez spécifier. Il comprendl'heure des événements ainsi que le nombre et le pourcentage d'attaques. Vouspouvez afficher les informations pour tous les ordinateurs ou par groupe, paradresse IP, par système d'exploitation ou par utilisateur.

Rapport des principales

applications bloquées

Rapport des applications

bloquées dans le temps





Utilisez ce rapport pour identifier les groupes, les adresses IP, les systèmesd'exploitation et les utilisateurs qui sont attaqués le plus souvent dans votreréseau. Utilisez-le pour identifier également le type d'attaque le plus fréquentsur le réseau.

Ce rapport contient un ou plusieursgraphiques linéaires indiquant lesattaquesau cours de la période sélectionnée. Par exemple, si l'intervalle spécifiécorrespond au mois précédent, le rapport affiche le nombre total d'attaques par

jour pour le mois passé. Il comprend le nombre et le pourcentage d'attaques.Vous pouvez afficher les attaques pour tous les ordinateurs ou par systèmed'exploitation, par utilisateur, par adresse IP, par groupe ou par type d'attaque.

Rapport des attaques dans le

temps

Utilisez ce rapport pour obtenir un résumé de la gravité des événements desécurité dans votre réseau.

Ce rapport se compose d'un graphique sectoriel indiquant le nombre total et lepourcentage d'événements de sécurité sur votre réseau, classés par ordre degravité.

Rapport des événement de

sécurité par gravité

Ces rapports affichent le nombre d'attaques qui ont violé les règles de filtrageconfigurées pour vous informer des violations. Utilisez-les pour savoir quelsgroupes sont les plus exposés aux attaque par le pare-feu.

Ce rapport contient un graphique sectoriel et des barres relatives indiquant legroupe ou le sous-réseau ainsi que le nombre et le pourcentage de notifications.Il indique le nombre de notifications relatives à desviolationsde règle de filtrageque vous avez configurées comme devant être notifiée. Les règles prises encompte sont celles où l'option Envoyer une alerte par message électronique aété cochée dans la colonne Consignation de la liste des règles de politiquede

pare-feu. Vous pouvez afficher toutes les informations, les informations du journal Trafic ou du journal Journal de Paquets, regroupéspar sous-réseaux ougroupes principaux.

Le rapport des notifications de traficdansle tempsse compose d'un graphiquelinéaire. Il indique le nombre de notifications relatives à des violations de règlede filtrage. Lesrèglesprises encomptesontcellesoù l'option Envoyerunealerte

par message électronique a été cochée dans la colonne Consignation de la listedes règles de politiquede pare-feu. Vous pouvez afficher les informationspourtous les ordinateurs ou par groupe, par adresse IP, par système d'exploitationou par utilisateur.

Rapport des principales

notifications de trafic

Rapport des notifications de

trafic dans le temps


254




Utilisez ce rapport pour consulter au même endroit les informations quiapparaissent dans tous lesrapports rapides de la protection contre les menacesréseau.

Ce rapport fournit les informations de protection contre les menaces réseausuivantes :

■ Principaux types d’attaques

■ Cibles principales attaquées par groupe

■ Cibles principales attaquées par sous-réseau

■ Cibles principales attaquées par client

■ Principales sources d’attaques

■ Principales notifications de trafic par groupe (trafic)

■

Principales notifications de trafic par groupe (paquets)■ Principales notifications de trafic par sous-réseau (trafic)

■ Principales notifications de trafic par sous-réseau (paquets)

Rapport du rapport complet

Utilisez ce journal si vous avez besoin d'informations plus détaillées sur uneattaque spécifique qui s'est produite.

Journal des attaques

Utilisez ce journal si vous avez besoin de plus d'informations sur un événementde trafic ou un type de trafic spécifique qui traverse votre pare-feu.

Journal de trafic

Utilisez ce journal si vous avez besoin de plus d'informations sur un paquetspécifique. Vous pouvezvouloir examiner des paquets pour étudier en détailun

événement de sécurité répertorié dans un rapport.

Journal de paquets


A propos des informations figurant dans les rapports et les journauxd'analyse proactive des menaces TruScan

Tableau 12-6 décrit les cas d'utilisation les plus courants pour le typed'informations quevous pouvez obteniravec lesrapportset lesjournaux d'analyse

proactive contre les menaces TruScan.




Tableau 12-6 Résumé des rapports et des journaux d'analyse proactive contre

les menaces TruScan


Utilisez le rapport Résultats de détection de l'analyse proactive contre les

menaces TruScan pour consulter les informations suivantes :

■ Une liste des applications étiquetées comme étant à risque que vous avezajoutées à vos exceptions comme acceptables sur le réseau.

■ Une liste des applications détectées comme présentant un risque confirmé.

■ Une liste desapplications détectées maisdont l'état de risquen'est pasencoreconfirmé.

Utilisez la fonction Détection proactive de menaces TruScan dans le temps

pour savoir si les menaces détectées par les analyses proactives de menaces

TruScan ont été modifiées dans le temps.

Rapport Résultatsdeladétection

proactive de menaces TruScan

(sous Rapports de risques)

Rapport Détection proactive de

menaces TruScan dans le temps

(située sous Rapports de risques)

Utilisez ce rapport pour les raisons suivantes :

■ Pour savoir quelles applications issues de la liste des applicationscommerciales et de la liste des détections forcées sont le plus souventdétectées.

■ Pour savoir quelle action a été entreprise en réponse à la détection.

■ Pourdéterminer si desordinateurs spécifiques de votreréseau sontattaquésplus fréquemment par ce vecteur.

■ Pour obtenir des détails sur l'application ayant provoqué l'attaque.

Rapportdedistributionproactive

des menaces TruScan (situé sousRapports des risques)

Utilisez ce journal pour obtenir des informations plus détaillées sur desévénements spécifiques de détection proactive de menaces. Il peut s'agir parexemple du nom de l'utilisateur qui était connecté quand la détection s'estproduite. Vous pouvez également utiliser des commandes de ce journal afind'ajouter desentitéslégitimes telles quedesfichiers, desdossiers, desextensionset des processus à la politique d'exceptions centralisées. Une fois ajoutées à laliste, si une activité légitime est détectée comme risque, aucune action n'estentreprise sur l'entité.

Journal d'Analyse proactive desmenaces TruScan


A propos des informations dans les rapports et le journal des risquesLe journal et les rapportsde Risques incluentdesinformationssurlesévénementsde risquesurvosserveurs de gestion et leurs clients. En outre, l'activité d'Analyse

proactive des menaces TruScan est signalée dans les rapports de Risque.

Se reporterà "A propos des informations figurantdans les rapportset les journauxd'analyse proactive des menaces TruScan" à la page 255.


256



Tableau 12-7 décrit les cas d'utilisation les plus courants pour le typed'informations quevous pouvezobtenir avec les rapports et le journal des risques.

Tableau 12-7 Résumé des rapports et du journal des risques

Utilisations standardTypes de journal et de rapport

Utilisez ce rapport pour identifier rapidement les ordinateurs nécessitant uneattention à cause d'une infection de virus ou de risque de sécurité.

Ce rapport comprend deux tableaux. L'un présente les ordinateurs avec uneinfection par virus alors que l'autre répertorie les ordinateurs qui présententun risque de sécurité non résolu.

Rapport des Ordinateursinfectés

et à risque

Utilisez ce rapport pour identifier les actions prises lorsque des risques ont étédétectés. Ces informations s'affichent également sur la page d'accueil de

Symantec Endpoint Protection.Ce rapport se compose d'un tableau indiquant le nombre d'actions entrepriseslorsque des risques ont été détectés. Les actions possibles sont Nettoyé(s),Suspect, Bloqué, Misen quarantaine, Supprimé, Nouvellement infecté et Encoreinfecté. Ces informations s'affichent également sur la page d'accueil du moduleSymantec Endpoint Protection.

Rapport du Résumé des actions

de détection

Utilisez ce rapport pour identifier les domaines, les groupes ou les ordinateursparticuliers avec le grand nombre de détections de risque. Vous pouvez alorsensuite examiner pourquoi certaines entités semblent plus exposées qued'autresdans votre réseau.

Ce rapport se compose d'un graphique sectoriel, d'un tableau de risque et d'unebarre relative associée. Il indique le nombre total de détections de risque pardomaine, par serveur ou par ordinateur. Si vous utilisez des clients SymantecAntiVirushérités,le rapport utilise le groupe de serveursplutôtquele domaine.

Rapportdu Nombrededétections

de risques





Utilisez ce rapport pour identifier et suivre l'incidence des nouveaux risquessur votre réseau.

Ce rapport contient un tableau et un graphique sectoriel de distribution.

Ce tableau fournit les informations suivantes pour chaque nouveau risque :

■ Nom du risque

■ Catégorie ou type de risque

■ Date de détection

■ Première occurrence dans l'entreprise

■ Type d'analyse ayant détecté le risque pour la première fois

■ Domaine sur lequel le risque a été découvert (groupe de serveurs sur lesordinateurs hérités)

■ Serveur surlequel le risquea étédécouvert (serveur parent surlesordinateurshérités)

■ Groupe surlequelle risquea étédécouvert (serveur parent surlesordinateurshérités)

■ L'ordinateur sur lequel le risque a été découvert et le nom de l'utilisateurconnecté à ce moment là

Le graphique sectoriel indique la nouvelle distribution des risques par type decible de sélection : domaine (groupe de serveurs sur les ordinateurs hérités),groupe, serveur (serveur parent sur lesordinateurs hérités), ordinateur ou nomd'utilisateur.

Rapport Nouveaux risques

détectés dans le réseau

Utilisez ce rapport pour rechercher des corrélations entre les risques et lesordinateurs, les utilisateurs, les domaines et les serveurs.

Ce rapport se compose d'un diagramme à barres tridimensionnel conçu pourétablir une corrélation entre les virus et les détections de risque de sécurité àpartir de deux variables. Vous pouvez sélectionner l'ordinateur, le nomd'utilisateur, le domaine, le groupe, le serveur ou le nom de risque commevariables x et y (abscisse et ordonnée). Ce rapport indique les cinq instancesprincipales associées à chaque variable d'axe. Si vous sélectionnez l'ordinateuren tant que variable alors que moins de cinq ordinateurs sont infectés, il estpossible que des ordinateurs non infectés s'affichent sur le graphique.

Remarque : Pour les ordinateurs qui exécutent des versions héritées deSymantec AntiVirus, le groupe de serveurs et le serveur parent sont utilisés àla place du domaine et du serveur.

Rapport Corrélationdedétectiondes principaux risques


258




Utilisez ces rapports pour suivre la distribution des risques. Vous pouvezégalement les utiliser pour identifier exactement les risques, les domaines, lesgroupes,lesserveurs, lesordinateurset lesutilisateursparticuliersqui semblentavoir plus de problèmesque d'autres.Vouspouvezutiliserle rapport Distribution

des risques dans le temps pour voir l'évolution de ces risques dans le temps.

Le rapport Distribution des risques dans le temps contient un graphiquesectoriel et un diagramme à barres indiquant un pourcentagerelatifpour chaqueélément du type de cible sélectionné. Si vous utilisez le nom du risque commecible par exemple, le graphique sectoriel affiche une part pour chaque risqueindividuel.Une barre est affichée pour chaque nomde risqueet lesinformationsfournies incluent le nombre de détections et son pourcentage par rapport àl'ensemble des détections. Les cibles disponibles sont les suivantes : nom durisque, domaine, groupe, serveur, ordinateur, nom utilisateur, source, type derisque ou gravité de risque. Pour les ordinateurs qui exécutent des versionshéritées de Symantec AntiVirus, le groupe de serveurs et le serveur parent sontutilisés à la place du domaine et du serveur.

Le rapport Distributiondes risques dans le temps se compose d'un tableau quiaffiche le nombre de virus et de détections de risque de sécurité par unité detemps et une barre relative.

Rapport Résumé de la

distribution des risques

Rapport de Distribution des

risques dans le temps

Utilisez ce rapport pour examiner les actions prises sur lesrisquesque le moduleSymantec Endpoint Protection a détectés dans votre réseau.

Ce rapport répertorie les principaux risques détectés sur votre réseau. Pour

chacun d'entre eux, il affiche des barres de résumé d'action affichant lepourcentage de chaque action prise à la détection d'un risque. Les actionscomprennent la quarantaine, le nettoyage, la suppression, etc.Ce rapport afficheégalement le pourcentage des fois auquel chaque action en particulier a été lapremière action configurée, la deuxième action configurée, ou si la valeur estdifférente ou inconnue.

Rapport Résumé d'actions des

principaux risques





Utilisez cesrapportspour définir précisément commentvous créez et configurezdes notifications dans le réseau.

Le rapport Nombre de notifications se compose d'un graphique sectoriel etd'une barre relative associée. Ce graphique indique le nombre de notificationsdéclenchées par des violations de règle de filtrage configurées comme devantêtre notifiées. Il inclut le type de notifications ainsi que le nombre de chaquenotification.

Se reporter à "Configurer les messages électroniques pour les événements detrafic" à la page 574.

Le rapport Nombre de notifications dans le temps se compose d'un graphiquelinéaire qui affiche le nombre de notifications dans le réseau pour la périodesélectionnée. Il contient également un tableau qui présente le nombre et lepourcentage de notifications dans le temps. Vous pouvez filtrer les données àafficher par type de notification, par état d'accusé de réception, par créateur etpar nom de notification.

Rapport du nombre de

notifications

Rapport du Nombre de

notifications dans le temps

Utilisez ce rapport pour suivre les manifestations de risque de semaine ensemaine.

Ce rapport affiche le nombre de virus et de détections de risque de sécurité ainsiqu'une barre relative par semaine pour l'intervalle de temps spécifié. Si vousavez spécifié un intervalle d'un jour, c'est toute la semaine écoulée qui estaffichée.

Rapport des Propagations

hebdomadaires

Utilisez ce rapport pour consulter toutes les informations des rapports dedistribution et des rapports de risques en même temps.

Pardéfaut, ce rapportincluttous lesrapports de distributionainsi quele nouveaurapport de risque. Vous pouvez toutefois le configurerde façon à ce qu'iln'incluequ'un certain nombre de rapports. Ce rapport inclut des informations sur tousles domaines.

Rapport du Rapport détaillé desrisques

Utilisez ce journal pour des informations plus spécifiques sur une section durapport des risques. Par exemple, vous pouvez utiliser le journal des risquespour consulter des détails sur les risques détectés sur les ordinateurs où desrisques sont souvent détectés. Vous pouvez également utiliser le journal de

risques pour consulter des détails sur les risques de sécurité d'une gravitéparticulière qui ont affecté le réseau.

Journal de risque


A propos des informations dans les rapports et le journal d'analyse

Lesjournauxetlesrapportsd'analyse fournissent desinformations surlesactivitésd'analyse antivirus et antispyware.


260



Tableau 12-8 décrit les cas d'utilisation les plus courants pour le typed'informations que vous pouvez obtenir avec les rapports et les journaux rapidessur les analyses.

Tableau 12-8 Résumé des rapports et des journaux d'analyse


Regroupez les données par échéance d'analyse lorsque vous utilisez ce rapportpour consulter un histogramme de la durée d'exécution des analyses planifiéessur les clients. Vous pouvez vouloir modifier l'échéance de planification del'analyse en fonction de ces informations. Vous pouvez filtrer ce rapport enfonction du nombre de fichiers analysés. Ces résultats aident à consulter si desutilisateurs restreignent les analyses à certains fichiers de leurs ordinateurs.

Vous pouvezsélectionner le mode de distributiondes informationsqui figurent

dans le rapport d'analyse. Vous pouvez choisir l'une des méthodes suivantes :

■ durée de l'analyse (en secondes) ;

■ nombre de risques détectés ;

■ nombre de fichiers avec détections ;

■ nombre de fichiers analysés ;

■ nombre de fichiers omis lors des analyses.

Vous pouvez également configurer la largeur d'emplacement et le nombred'emplacements utilisés dans l'histogramme. La largeur d'emplacementreprésente l'intervalle de donnéesutilisépourle groupe par sélection.Le nombred'emplacements spécifie le nombre de répétitions de l'intervalle de données

dans l'histogramme.

Les informations fournies incluent le nombre d'entrées, les valeurs minimaleset maximales, ainsi que les écarts type moyen et standard.

Vous pouvez modifier les valeurs de rapport pour maximiser le nombred'informations générées dans l'histogramme du rapport. Par exemple, vouspouvez examinerla taille de votre réseau et la quantitéd'informations affichées.

Rapport Histogramme des

statistiques d'analyse

Utilisez ce rapport pour identifierlesordinateursqui n'ont pasexécutéd'analyserécemment. Vous pouvez le configurer sur le dernier jour ou la dernière semaineou sur une période personnalisée que vous voulez vérifier.

Rapport Ordinateurs par heure

de dernière analyse rapport

Utilisez ce rapport pour obtenir la liste des ordinateurs qui n'ont pasété analyséspendant une période spécifique. Ce rapport indique également les adresses IPdesordinateurs par domaine ou par groupe spécifique. Cesordinateurs peuventêtre vulnérables.

Rapport Ordinateurs nonanalysés

Vous pouveztrier ce journalparla durée d'analyse pour identifier lesordinateursqui prennent plus de temps à analyser dans votre réseau. Suivant cesinformations, vous pouvez personnaliser des analyses planifiées pour cesordinateurs si nécessaire.

Journal d'analyse





A propos des informations dans les rapports et les journaux système

Les journaux et rapports système contiennent les informations utiles pour laréparation des problèmes de client.

Tableau 12-9 décrit les cas d'utilisation les plus courants pour le typed'informations que vous pouvez obtenir avec les rapports et les journaux rapidessur les systèmes.

Tableau 12-9 Résumé des rapports et des journaux de système


Utilisez ce rapport pour voir quels clients génèrent le plus grand nombred'erreurs et d'avertissements. Vous pouvez regarder l'emplacement et le typed'utilisateurs de cesclientspourvoir pourquoiilsrencontrentplusde problèmesque d'autres. Vous pouvez ainsi consulter le journal système pour des détails.

Rapport Principaux clients quigénèrent des erreurs

Utilisez ce rapport pour voir quels serveurs génèrent le plus grand nombred'erreurs et d'avertissements. Vous pouvez regarder ces serveurs pour voirpourquoi ils rencontrent plus de problèmes que la normale sur votre réseau.

Rapport Principaux serveurs qui

génèrent des erreurs

Utilisez ce rapport pour voir quels Enforcers génèrent le plus grand nombred'erreurs et d'avertissements. Vous pouvez regarder ces Enforcers pour voirpourquoi ils rencontrent plus de problèmes que la normale sur votre réseau.

Rapport Principaux Enforcer qui

génèrent des erreurs

Utilisez ce rapport pour voir quels serveurs ou quels sites rencontrent le plusde problèmes avec la réplication de base de données. Il indique égalementpourquoi les réplications échouent de sorte que vous puissiez résoudre lesproblèmes.

Rapport Echec de réplication de

base de données dans le temps


262




Rapport sur l'état du site





Utilisez ce rapport pour voir comment votre serveur traite la charge client.Suivant les informations disponibles dans ce rapport, vous pouvez régler lacharge.

Ce rapport affiche l'état actuel et le débit de tous les serveurs sur le site local. Ilcontient également des informations sur l'installation client, l'état des clientsconnectés et le volume du journal client du site local. Les données à l'origine dece rapport sont mises à jour toutes les dix secondes, mais vous devez toutefoisréexécuter le rapport pour consulter des données mises à jour.

Remarque : Si vous disposez de plusieurs sites, ce rapport indique l'ensembledes clients installés et en ligne pour votre site local plutôt que pour tous vossites.

Si des restrictions de site ou de domaine vous sont imposées en tantqu'administrateur, seules les informations que vous êtes autorisé à consulters'affichent.

Un serveur peut présenter les conditions suivantes :

■ Bon : le serveur fonctionne normalement.

■ Faible : le serveur dispose de peu de mémoire ou d'espace disque ou présenteun grand nombre d'échecs de demande de client.

■ Critique : Le serveur est en panne

Pour chaque serveur, ce rapport indiquel'état,la condition, la raison, l'utilisationde l'UC et de la mémoire ainsi que l'espace disque disponible. Il contient

également des informations sur le débit du serveur, telles que les politiquestéléchargées et le débit de site échantillonné lors du dernier battement.

Il inclut les informations de débit suivantes pour le site :

■ Total des clients en ligne et total des clients installés

■ Politiques téléchargées par seconde

■ Signatures de prévention d´intrusion téléchargées par seconde

■ Applications apprises par seconde

■ Journaux système, journaux de trafic et journaux de paquets par seconded'Enforcer

■ Mises à jour d’informations du client par seconde

■ Journaux de sécurité, journaux système, journaux de trafic et journaux depaquets reçus par seconde des clients

■ Journaux de contrôle d’application et de périphérique reçus par seconde

L'expression "en ligne" désigne les cas de figure suivants dans ce rapport :

■ Pour les clients en mode 'push', "en ligne" signifie que les clients sontactuellement connectés au serveur.

■ Pour lesclients en mode 'pull', "enligne" signifie que lesclients ontcontactéle serveur au cours des deux derniers battements du client.


264




Pour les clients des sites distants, "en ligne" signifie que les clients étaienten ligne au moment de la dernière réplication.

■

Utilisez ce journal pour consulter les activités d'administration comme :

■ les connexions et les fermetures de session ;

■ les modifications de politique ;

■ les modifications de mot de passe ;

■ la mise en correspondance de certificats ;

■ Evénements de réplication

■ les événements de journal.

Ce journalpeut êtreutile pourla réparation desproblèmes clientliés par exempleà l'absence de certificats,de politiques ou d'importations.Vouspouvezconsulterséparément desévénements associésauxdomaines,auxgroupes,auxutilisateurs,aux ordinateurs, aux importations, aux packages, aux réplications et à d'autresévénements.

Journal d'administration

Utilisez ce journal pour consulter toutes les activités client qui ont lieu pour unserveur spécifique.

Par exemple, vous pouvez utiliser ce journal pour consulter les élémentssuivants :

■ téléchargements de politique réussis et non réussis ;

■ connexions client au serveur ;

■ enregistrements de serveur ;

Journal d'activité client/serveur

Entre autres, utilisez ce journal pour les raisons suivantes :

■ pour localiser et dépanner des problèmes de réplication ;

■ pour localiser et dépanner des problèmes de sauvegarde ;

■ pour localiser et dépanner des problèmes de serveur Radius ;

■ pour consulter tous les événements de serveur d'un niveau de gravitéparticulier.

Journal d'activité client/serveur





Entre autres, vous pouvez utiliser ce journal pour contrôler les activités clientsuivantes :

■ clients dont l'accès au réseau a été bloqué ;

■ clients devant être redémarrés ;

■ installations réussies ou non réussies sur les clients ;

■ problèmes de déclenchement et d'arrêt de service sur les clients ;

■ problèmes d'importation de règles sur les clients ;

■ problèmes de téléchargement de politiques sur les clients ;

■ connexions défectueuses au serveur.

■ Etat du client comme fournisseur de mise à jour groupée (GUP)

Journal d'activité du client

Utilisez ce journal pour surveiller les problèmes avec les modules d'application

Enforcer. Dans ce journal, vous pouvez afficher des événements de gestion, desévénements d'Enforcer, des événements d'activation et des événements depolitique. Vous pouvez les filtrer par niveau de gravité.

Par exemple, vous pouvez utiliser ce journal pour dépanner les types deproblèmes suivants :

■ connectivité d'Enforcer ;

■ importation et application des politiques et configurations ;

■ démarrage, arrêts et interruptions d'Enforcer.

Journal d'activité Enforcer

Remarque : Si Symantec Network Access Control n'est pas installé sur votreordinateur,le journal ActivitéEnforcer et lesentrées d'autres journaux applicablesaux modules d'application Enforcer sont vides.


A propos de l'affichage des rapportsUtilisez la page de rapports pour exécuter, afficher et imprimer des rapports etpour planifier des rapports pour s'exécuter de façon régulière.

La résolution d'écran optimale pour les fonctions de rapport est 1024 x 768 ouplus haute. Cependant, vous pouvez afficher les fonctions de rapport avec unerésolution d'écran aussi faible que 800 x 600 en utilisant les barres de défilement.

Figure 12-1 affiche l'un des rapports de risques que vous pouvez exécuter.

Affichage et configuration des rapportsA propos de l'affichage des rapports

266



Figure 12-1 Exemple d'un rapport de risque

A propos de l'affichage des graphiques linéaires dans les rapports

Les graphiques linéaires affichent la progression dans le temps. Les unités quisont affichées sur l'axe des abscisses dépendent de la plage horaire que voussélectionnez.

Le Tableau 12-10 affiche l'unité de l'axe des abscisses qui est utilisée pour chaqueplage horaire que vous pouvez sélectionner pour des graphiques linéaires.

Tableau 12-10 Unités de l'axe des abscisses pour la plage horaire correspondante

sélectionnée

Unité de l'axe des abscissesPlage horaire

heureDernières 24 heures




Unité de l'axe des abscissesPlage horaire

jourLa semaine dernière

Le mois dernier

Le mois en cours

Les 3 derniers mois

moisL'année dernière

un jour (24 heures quelconques) : par heure

supérieure à 1 jour mais inférieure ou égale à 7 jours : parheure

supérieure à 7 jours mais inférieure ou égale à 31 jours : par

joursupérieure à 31 jours mais inférieure ou égale à 2 ans : parmois

supérieure à 2 ans : par an

Plage horaire

A propos de l'affichage des diagrammes à barres

Dans les rapports qui contiennent deshistogrammes ou des diagrammes à barresqui impliquent des menaces, faites glisser la souris sur les barres du graphiquepour consulter les noms des menaces.

A propos de l'affichage des rapports dans des langues asiatiques

Les histogrammes et les histogrammes 3D sont créés sur le serveur en tantqu'images avant que les diagrammes soient envoyés au navigateur. Par défaut, leserveur que vous utilisez pour créer ces diagrammes recherche la police MS ArialUnicode. MS Arial Unicode est disponible en tant qu'élément de Microsoft Officeet affiche toutes les langues prises en charge correctement. Si la police MS ArialUnicode n'est pas trouvée, le serveur utilise Lucida Sans Unicode.

Sur les serveurs qui affichent dans une langue asiatique, certains rapports

n'affichent pas correctement le texte des diagrammes si MS Arial Unicode n'estpas installée sur le serveur. Ce problème se pose si votre rapport inclut unhistogramme ou un histogramme 3D. Si la police MS Arial Unicode n'est pasinstallée sur le serveur, vous pouvez configurer votre serveur pour résoudre ceproblème. Vous pouvez configurer Symantec Endpoint Protection pour utilisern'importe quelle police Unicode prenant en charge les langues dans votreenvironnement.


268



Pour modifier la police utilisée pour afficher des rapports

1 Modifiez le répertoire du lecteur :\Program Files\ Symantec\SymantecEndpoint Protection Manager\Inetpub\Reporting\Common.

2 Ouvrez le fichier de configuration I18nCommon.bundle avec un éditeur.

3 Tapez le nom du fichier de police que vous voulez utiliser après le signe égal(=) suivant la variable SPECIAL_FONT. Par exemple, si vous voulez utiliserArial, vous taperez ce qui suit :

SPECIAL_FONT=arial.ttf

4 Enregistrez le fichier dans le format UTF-8 et fermez-le.

5 Assurez-vous que le fichier de police se trouve dans le répertoire%WINDIR%\fonts.

Au sujet des rapports rapidesLesrapports rapides sont desrapports pré-définis et personnalisables. Cesrapportsincluent des données d'événements collectées de vos serveurs de gestion aussibien que les clients qui communiquent avec ces serveurs. Les rapports rapidesfournissent desinformations surdesévénements spécifiques auxparamètres quevous configurez pour le rapport. Vous pouvez enregistrer les paramètres d'unrapport afin de pouvoir exécuter le même rapport ultérieurement et vous pouvezimprimer et enregistrer des rapports.

Sereporterà"Impression et enregistrementd'une copied'unrapport" àlapage282.

Les rapports rapides sontstatiques; ils fournissent desinformations particulièresau calendrier que vous spécifiez pour le rapport. Alternativement, vous pouvezcontrôler des événements en temps réel à l'aide des journaux.

Se reporter à "A propos des journaux" à la page 287.

Tableau 12-11 décrit les types de rapport pour les rapports rapides

Tableau 12-11 Types de rapport rapide

DescriptionType de Rapport

Le rapport d'audit contient des informations sur les activités de modification despolitiques, telles que les heures et les types des événements, les modifications depolitique, les domaines, les sites, les administrateurs et les descriptions.

Se reporter à "A propos des informations dans le rapport et le journal d'audit "à la page 245.

Audit

Affichage et configuration des rapportsAu sujet des rapports rapides



DescriptionType de Rapport

Les rapports de contrôle des applications et des périphériques contiennent desinformations sur des événements où l'accès à un ordinateur a été bloqué ou unpériphérique a été retenu hors du réseau.

Se reporter à "A propos des informations des rapports et des journaux Contrôled'application et Contrôle de périphérique" à la page 245.

Contrôle des applications etdes périphériques

Lesrapports de conformité contiennentdes informationssur le serveur Enforcer, lesclients Enforcer, le trafic Enforcer et la conformité de l'hôte.

Se reporter à " A propos des informations dans les rapports et les journaux deconformité " à la page 246.

Conformité

Lesrapports Etatde l'ordinateur contiennent des informations surl'état opérationnelen temps réel des ordinateurs sur le réseau.

Se reporter à "A propos des informations dans les rapports et le journal d'état del'ordinateur" à la page 248.

Etat d'ordinateur

Les rapports de protection contre les menaces réseau vous permettent de suivrel'activité d'un ordinateur ainsi que son interaction avec d'autres ordinateurs etréseaux. Ils enregistrent des informations sur le trafic qui tente d'entrer ou de sortirsur les ordinateurs par leurs connexions réseau.

Se reporter à "A propos des informations dans les rapports et les journaux deprotection contre les menaces réseau" à la page 252.


Les rapports de risque comprennent des informations sur les événements de risqueprésents sur vos serveurs de gestion et leurs clients.

Se reporter à "A propos des informations dans les rapports et le journal des risques"à la page 256.

Egalement incluses dans les rapports de risque sont les rapports d'analyse proactivedes menaces TruScan.

Se reporter à "A propos des informations figurant dans les rapports et les journauxd'analyse proactive des menaces TruScan" à la page 255.

Risque

Les rapports d'analyse fournissent des informations sur l'activitéd'analyseantiviruset antispyware.

Se reporter à "A propos des informations dans les rapports et le journal d'analyse"à la page 260.

Analyse

Les rapports système contiennent les informations utiles pour le dépannage desproblèmes des clients.

Se reporter à "A propos des informations dans les rapports et les journaux système"à la page 262.

Système


270



Vous pouvez configurer les paramètres de base et les paramètres avancés pourtous les rapports afin de mieux cibler les données à afficher. Vous pouvezégalementenregistrer votre filtrepersonnaliséen luiattribuant un nomdifférent

de manière à ce que le même rapport personnalisé puisse s'exécuterultérieurement.

Tableau 12-12 décrit tous les paramètres de base disponibles pour tous les typesde rapports rapides.

Tableau 12-12 Paramètres de filtre de base pour les rapports rapides

DescriptionParamètre

Spécifie l'intervalle de temps des événements que vous voulez afficher dans le rapport.

Sélectionnez une des périodes suivantes :

■ Dernières 24 heures

■ La semaine dernière

■ Le mois dernier

■ Le mois en cours

■ Les trois derniers mois

■ L'année dernière

■ Définir des dates spécifiques

Si voussélectionnez Définirdesdatesspécifiques, certains rapportsrequièrent la définitiond'une date de début et de fin. D'autres rapports requièrent que vous définissiez la date dudernier enregistrement, qui correspond à la dernière fois où l'ordinateur s'est authentifié

auprès de son serveur.

Le paramètre par défaut est Les dernières 24 heures.

Plage horaire

Définit la date de début pour la plage de dates.

Cette option estdisponible uniquementlorsque vous sélectionnez l'optionDéfinirdesdates

spécifiques pour la plage horaire.

Date de début

Définit la date de fin pour la plage de dates.

Cette option estdisponible uniquementlorsque vous sélectionnez l'optionDéfinirdesdates

spécifiques pour la plage horaire.

Remarque : Vous ne pouvez pas définir une date de fin qui soit la même que la date dedébut ou antérieure à la date de début.

Date de fin

Spécifie que vous voulez consulter toutes les entrées qui impliquent un ordinateur qui nes'est pas authentifié auprès de son serveur depuis cette époque.

Seulement disponible pour les rapports d'état de l'ordinateur quand vous sélectionnezDéfinir des dates spécifiques pour l'intervalle de temps.

Dernière

authentificationaprès





Disponible pourle rapport de conformité d'état de conformité du réseau. Sélectionnez parmi

les options suivantes :

■ Authenticated (Authentifié)

■ Disconnected (Déconnecté)

■ Failed (Echec)

■ Passed (Autorisé)

■ Rejected (Rejeté)

Disponible pour le rapport de conformité d'état de conformité. Sélectionnez parmi lesactions suivantes :

■ Passed (Autorisé)

■ Failed (Echec)

Etat

De nombreux rapports peuvent être regroupés de façon appropriée. Par exemple, le choixle plus commun est d'afficher des informations pour seulement un groupe ou sous-réseau,mais certains rapports fournissent d'autres choix appropriés.

Regrouper par


272




Disponible pour le rapport sur les principales cibles attaquées de la protection contre les

menaces réseau. Sélectionnez parmi les options suivantes :

■ Groupe

■ Sous-réseau

■ Client

■ Port

Disponiblepour le rapportsurles Attaquesdans le temps dela protection contre les menaces

réseau. Sélectionnez parmi les options suivantes :

■ Toutes

■ Groupe

■ Adresse IP

■ Système d'exploitation■ Nom d'utilisateur

■ Type d'attaque

Disponible pour les rapports Applications bloquées dans le temps et Notifications de trafic

dans le temps de la protection contre les menaces réseau. Sélectionnez parmi les options

suivantes :

■ Toutes

■ Groupe

■ Adresse IP


■ Nom d'utilisateur

Disponible pour le rapport sur les Principales notifications de trafic dela protection contre

les menaces réseau. Sélectionnez parmi les options suivantes :

■ Toutes

■ Trafic

■ Paquet

Cible

Disponible pour le rapport de corrélation des principales détections de risque. Sélectionnez

parmi les options suivantes :

■ Ordinateur

■ Nom d'utilisateur

■ Domaine

■ Groupe

■ Server (Serveur)

■ Nom du risque

Axe X

Axe Y

Spécifie la largeur d'un emplacement pour former un histogramme. Disponible pour lerapport d'analyse d'histogramme d'analyses statistiques.

Largeur

d'emplacement





Spécifie le nombre d'emplacements que vous voulez utiliser pour former les barres d'unhistogramme. Disponible pourle rapport d'analysed'histogrammed'analysesstatistiques.

Nombre

d'emplacements

Les paramètres avancés permettent un contrôle supplémentaire desdonnées quevous voulez afficher. Ils sont spécifiques au type et au contenu de rapport.

Pour une description de chaque paramètre que vous pouvez configurer, vouspouvez cliquer sur Plus d'infos pour afficher l'aide contextuelle pour ce type derapport.

Si votre réseau comprend plusieurs domaines, de nombreux rapports vouspermettent d'afficher des données sur tous les domaines, sur un site ou surplusieurs sites. Par défaut, les rapports rapides affichent tous les domaines,

groupes, serveurs, etc., selon le rapport que vous souhaitez créer.

Remarque : Si vous avez uniquement installé Symantec Network Access Control,un nombre important de rapports sont vides. Les rapports Contrôle des

applicationsetdespériphériques , Protectioncontrelesmenacesréseau, Risque

et Analyse ne contiennent pas de données. Les rapports Conformité et Audit

contiennent desdonnées, de même quecertains desrapports Etatdel'ordinateur

et Système.


Se reporter à "A propos de l'utilisation des filtres qui recherchent des groupesdans les rapports et les journaux" à la page 282.

Création de rapports rapidesGénérez un rapport rapide en sélectionnant des options de paramètres de filtrede base qui s'affichent sous Quels paramètres de filtrage voulez-vous utiliser ?.Pour configurer d'autres options afin de générer un rapport, cliquez surParamètres avancés. Les paramètres de base et les paramètres avancés varient

d'un rapport à l'autre.Pour consulter une description de chaque paramètre avancé, cliquez sur le lienEn savoir plus correspondant au type de rapport dans la console SymantecEndpoint Protection Manager. Le lien En savoir plus affiche l'aide contextuellerelative à ce type de rapport.

Vous pouvez enregistrer les paramètres d'un rapport afin de pouvoir exécuter lemême rapport ultérieurement et vous pouvezimprimer et enregistrer desrapports.

Affichage et configuration des rapportsCréation de rapports rapides

274



Remarque : Les champs d'option de filtre qui acceptent des caractères génériqueset recherchent des correspondances ne distinguent pas les majuscules et lesminuscules. L'astérisqueASCII estle seul astérisque quipuisseêtre utilisé comme

caractère générique.

Se reporter à "Enregistrement et suppression des filtres de rapports rapides"à la page 276.

Sereporterà"Impression et enregistrementd'une copied'unrapport" àlapage282.


Pour créer un rapport rapide

1 Dans la console, cliquez sur Reports.

2 Dans l'onglet Rapports rapides, dans la liste Type de rapport, sélectionnezle type de rapport à créer.

3 Danslazonedeliste Sélectionnerunrapport , sélectionnezle nom du rapportà afficher.

Pour le rapport Etatdeconformitéduréseau etlerapport Etatdeconformité,dans la zone de liste Etat, sélectionnez une configuration de filtre enregistréeque vous souhaitez utiliser ou maintenez le filtre par défaut.

Pour le rapportCorrélationdedétectiondesprincipauxrisques ,vouspouvezsélectionner des valeurs pour que les zones de liste Axex et Axey spécifientle mode d'affichage du rapport.

Pour le rapport Analyse d'histogramme de statistiques d'analyse, vouspouvez sélectionner des valeurs pour Largeur d'emplacement et Nombre

d´emplacements.

Pour certains rapports, vous pouvez spécifier comment grouper les résultatsdu rapport dans la zone de liste Groupe. Pour d'autres rapports, vous pouvezsélectionner une cible dans le champ Cible sur lequel filtrer les résultats durapport.

4 Dans la liste Utiliser un filtre enregistré, sélectionnez une configuration defiltrage enregistrée que vous souhaitez utiliser, ou conservez le filtre par

défaut.

5 Sous Quels paramètres de filtrage voulez-vous utiliser ?, dans la zone deliste Plage horaire, sélectionnez la plage horaire du rapport.

Affichage et configuration des rapportsCréation de rapports rapides



6 Si vous sélectionnez Définir des dates spécifiques, utilisez les zones de listeDate de début et Date de fin. Ces options définissent l'intervalle de tempspour lequel vous voulez afficher des informations.

Lorsque vous générez un rapport Etat de l'ordinateur et sélectionnez Définirdes dates spécifiques, vous spécifiez que vous voulez consulter toutes lesentrées qui impliquent un ordinateur qui ne s'est pas authentifié avec sonserveur depuis la période que vous avez spécifiez dans le champ Dernier

contrôle après.

7 Pour configurer desparamètres supplémentairespour le rapport, cliquez surParamètres avancés et définissez les options souhaitées.

Vous pouvez cliquer sur En savoir plus pour consulter des descriptions desoptions de filtre dans l'aide contextuelle.

Vous pouvez enregistrer les paramètres de configuration du rapport si vouspensez vouloir exécuter à nouveau ce rapport à l'avenir.

8 Cliquez sur Créer un rapport.

Enregistrement et suppression des filtres de rapportsrapides

Vous pouvez enregistrer les paramètres de rapport personnalisés afin de pouvoirrestaurer un rapport ultérieurement. Lorsque vous enregistrez vos paramètres,

ceux-ci sont enregistrés dans la base de données. Le nom que vous attribuez aufiltre s'affiche dans la zone de liste Utilisez un filtre sauvegardé pour le type de

journal et de rapport approprié.

Remarque : Les paramètres de configuration de filtre que vous enregistrez sontuniquement disponibles pour votre compte de connexion utilisateur. Les autresutilisateurs disposant de droits de notification n'ont pas accès aux paramètresenregistrés.

Vous pouvez également supprimer les configurations de rapport que vous avez

créées.Lorsque vous supprimez uneconfiguration, le rapportn'est plus disponible.Le nom de configuration du rapport par défaut s'affiche dans la zone de listeUtilisez un rapport sauvegardé et l'écran est rempli des paramètres deconfiguration par défaut.

Se reporter à "A propos des noms de filtre dupliqués" à la page 277.

Se reporter à "A propos de l'utilisation du filtre Dernières 24 heures dans lesrapports et les journaux" à la page 281.

Affichage et configuration des rapportsEnregistrement et suppression des filtres de rapports rapides

276




Pour enregistrer un filtre


2 Dans l'onglet Rapports rapides, sélectionnez un type de rapport de la zonede liste.

3 Modifiez les paramètres de base ou les paramètres avancés du rapport.

4 Cliquez sur Enregistrer le filtre.

5 Dans la zone de texte Nomdufiltre, saisissez un nom descriptif pour le filtrede rapport. Seuls les 32 premiers caractères du nom s'affichent lorsque lefiltre sauvegardé est ajouté à la liste Utiliser un filtre sauvegardé.

6 Cliquez sur OK.

7 Lorsque la boîte de dialogue de validation s'affiche, cliquez sur OK.

Une fois enregistré, le filtre s'affiche dans la zone de liste Utilisez un filtre

sauvegardé pour les rapports et les journaux associés.

Pour supprimer un filtre sauvegardé


2 Dans l'onglet Rapports rapides, sélectionnez un type de rapport.

3 Dans la zone de liste Utilisez un filtre sauvegardé, sélectionnez le nom du

filtre à supprimer.

4 Cliquez sur l'icône Supprimer qui se trouve à côté de lazone de liste Utiliser

un filtre sauvegardé.

5 Lorsque la boîte de dialogue de validation s'affiche, cliquez sur Oui.

A propos des noms de filtre dupliqués

Le stockage de filtre est basé en partie sur le créateur, ainsi aucun problème nese pose quand deux utilisateurs différents créent un filtre avec le même nom.Cependant, un utilisateur ou deux utilisateurs quiseconnectent au compte"admin"par défaut ne doivent pas créer des filtres avec le même nom.

Si les utilisateurs créent des filtres avec le même nom, un conflit peut se produiredans deux conditions :

■ Deux utilisateurs sont connectés au compte "admin" par défaut sur différentssites et chacun d'eux crée un filtre avec le même nom.

■ Un utilisateur crée un filtre, se connecte à un site différent et créeimmédiatement un filtre avec le même nom.

Affichage et configuration des rapportsEnregistrement et suppression des filtres de rapports rapides



Si l'une ou l'autre condition se produit avant que la réplication de site ait lieu,deux filtres avec le même nom s'affichent alors dans la liste des filtres. Seul l'undes filtres est utilisable. Si ce problème se pose, la meilleure action consiste à

supprimer le filtre utilisable et à le recréer avec un nom différent. Si voussupprimez le filtre utilisable, vous supprimez également le filtre inutilisable.


A propos des rapports planifiésLes rapports planifiés sont des rapports qui s'exécutent automatiquement enfonction d'une planification que vous devez configurer. Les rapports planifiéssont envoyés aux destinataires par courrier électronique, ce qui signifie que vous

devez inclurel'adresseélectronique d'au moins un destinataire. Unefoisle rapportexécuté, il est envoyé sous forme de pièce jointe (fichier .mht) aux destinatairesque vous avez configurés.

Lesrapports planifiéssont envoyés à leurs destinataires à l'heure qui a étédéfiniepar l'administrateur à l'aide de l'option Exécuter tous les. Les données quiapparaissent dans les rapports cliché sont mises à jour chaque heure dans la basede données. Lorsque Symantec Endpoint Protection envoie un rapport cliché parcourrier électronique, les données contenues dans le rapport sont actuelles à uneheure près. Les autres rapports qui contiennent des données pour une périodeparticulière sont mis à jour dans la base de données en fonction de l'intervalle de

téléchargement que vous avez configuré pour les journaux client.

Se reporter à "Configuration des paramètres de journal client" à la page 400.

Remarque : Si plusieurs desserveurs installéspartagent la même base de donnéessur un site, seul le premier serveur installé exécute les rapports planifiés pour lesite. Ce paramètre par défaut permet de garantir que tous les serveurs du siten'exécutent pas les mêmes analyses planifiées simultanément. Si vous souhaitezspécifierun serveur différent pour l'exécution desrapports planifiés, vous pouvezconfigurer cette option dans les propriétés du site local.

Se reporter à "Modification des propriétés du site" à la page 343.

Les rapports suivants sont disponibles seulement en tant que rapports planifiés :

■ Déploiement de logiciel client (clichés)

■ Clients en ligne/hors ligne dans le temps (clichés)

■ Clients avec la dernière politique dans le temps (clichés)

Affichage et configuration des rapportsA propos des rapports planifiés

278



■ Clients non compatibles à 100% au cours du temps (clichés)

■ Déploiement de définition de virus (clichés)

Vous pouvez imprimer et enregistrer des rapports planifiés de la même manièreque des rapports rapides.

Remarque : Lorsque vous créez un rapport planifié pour la première fois, vousdevez utiliser le filtre par défaut ou un filtre déjà sauvegardé. Une fois que vousavez planifié le rapport, vous pouvez y revenir à tout moment pour modifier lefiltre.

Se reporter à "Modificationdu filtreutilisé pour un rapport planifié"àlapage280.

Pour plus d'informations sur les options que vous pouvez définir au cours de ces

procédures, cliquez sur En savoir plus dans l'onglet Rapports planifiés.



Création et suppression de rapports planifiésVous pouvezajouter ou modifier des rapports planifiés, et vous pouvezsupprimerdes rapports planifiés. S'il existe un rapport planifié que vous ne voulez pas

exécuter, vous pouvez désélectionner l'option Activer ce rapport planifié plutôtque de supprimer le rapport.

Se reporter à "Modificationdu filtreutilisé pour un rapport planifié"àlapage280.

Pour créer un rapport planifié


2 Dans l'onglet Rapports planifiés, cliquez sur Ajouter.

3 Dans la zone de texte Nom du rapport, saisissez un nom descriptif et entrezune description plus détaillée (facultatif).

Bien que vous puissiez coller plus de 255 caractères dans la zone de texte dela description, seuls 255 caractères sont enregistrés dans la description.

4 Pour empêcher l'exécution de ce rapport, désélectionnez l'option Activer ce

rapport planifié.

5 Sélectionnez le type de rapport que vous souhaitez planifier dans la liste.

6 Sélectionnez le nom du rapport que vous souhaitez planifier dans la liste.

Affichage et configuration des rapportsCréation et suppression de rapports planifiés



7 Sélectionnez le nom du filtre sauvegardé que vous souhaitez utiliser dans laliste.

8 Danslazonedetexte Exécutertoutesles:, sélectionnezla fréquence (heures,

jours, semaines, mois) à laquelle vous souhaitez que le rapport soit envoyépar courrier électronique aux destinataires. Saisissez ensuite la valeur quevoussouhaitez attribuer à l'intervalle quevousavezsélectionné. Parexemple,si vous souhaitez que le rapport vous soit envoyé un jour sur deux,sélectionnez Jours et saisissez 2.

9 Dans la zone de texte Démarrer après, saisissez la date à laquelle le rapportdoit démarrer ou cliquez sur l'icône du calendrier et sélectionnez une date.Sélectionnez ensuite l'heure et la minute à partir des zones de liste.

10 Sous Destinataires du rapport, saisissez une ou plusieurs adressesélectroniques en les séparant par des virgules.

Vous devez avoir déjà installé des propriétés de serveur de messagerie pourque les notifications par message électronique fonctionnent.

11 Cliquez sur OK pour enregistrer la configuration du rapport planifié.

Pour supprimer un rapport planifié


2 Dans la liste des rapports de l'onglet Rapports planifiés, cliquez sur le nomdu rapport à supprimer.

3 Cliquez sur Supprimer.

4 Lorsque la boîte de dialogue de validation s'affiche, cliquez sur Oui.

Modification du filtre utilisé pour un rapport planifiéVous pouvez modifier les paramètres de n'importe quel rapport déjà planifié. Laprochaine fois que le rapport s'exécute, il utilise les nouvelles configurations defiltre. Vous pouvez également créer des rapports planifiés supplémentaires, quevous pouvez associer à un filtre de rapport précédemment sauvegardé.

Remarque : Quand vous associez un filtre enregistré à un rapport planifié,assurez-vous que le filtre ne contient pas de dates personnalisées. Si le filtre estassocié à une date personnalisée, vous obtiendrez le même rapport à chaqueexécution du rapport.

Se reporter à "A propos des noms de filtre dupliqués" à la page 277.

Affichage et configuration des rapportsModification du filtre utilisé pour un rapport planifié

280



Se reporter à "A propos de l'utilisation du filtre Dernières 24 heures dans lesrapports et les journaux" à la page 281.

Se reporter à "A propos de l'utilisation des filtres qui recherchent des groupes

dans les rapports et les journaux" à la page 282.

Pour modifier le filtre utilisé par un rapport planifié

1 Dans la console, cliquez sur Rapports.

2 Cliquez sur Rapports planifiés.

3 Dans la liste des rapports, cliquez sur le rapport planifié que vous souhaitezmodifier.

4 Cliquez sur Modifier le filtre.

5 Apportez vos modifications au filtre.


Si vous souhaitez conserver le filtre d'origine, vous devez lui attribuer unenouveau nom.

7 Cliquez sur OK.

8 Cliquez sur OK dans la boîte de dialogue qui s'affiche.

A propos de l'utilisation du filtre Dernières 24 heures

dans les rapports et les journauxSi vous sélectionnez l'option Dernières 24 heures comme plage horaire pour unevue de rapport ou de journal, la plage horaire débute lorsque vous sélectionnezle filtre. Si vous actualisez la page, le point de départ de l'intervalle de 24 heuresn'est pas réinitialisé. Si vous sélectionnez le filtre et décidez d'afficher un journal,la plage horaire débute lorsque vous sélectionnez le filtre. Cette conditions'appliqueégalementlorsque vous affichez un journal desévénements ou d'alertes.La plage horaire ne débute paslorsque vous créez le rapport ou affichez le journal.

Si voussouhaitez que la plage horaireDernières 24 heures débute immédiatement,sélectionnez une autre plage horaire, puis resélectionnez le filtre Dernières24 heures.

Remarque : La plage horaire du filtre Dernières 24 heures de la page d'accueil estdéterminé au moment où vous accédez à la page d'accueil.


Affichage et configuration des rapportsA propos de l'utilisation du filtre Dernières 24 heures dans les rapports et les journaux



A propos de l'utilisation des filtres qui recherchentdes groupes dans les rapports et les journaux

Puisque tous lesgroupes sont dessous-groupes du groupe parentMonentreprise,quand un filtre recherche des groupes, il recherche hiérarchiquement encommençant par la chaîne Mon entreprise. Si le nom du groupe ne commence paspar la lettre m, mettez un astérisque devant la chaîne que vous recherchez. Ou,vous pouvez commencer la chaîne par m* quand vous utilisez des caractèresgénériques.

Par exemple, si vous avez un groupe nommé Services et que vous saisissez s* danscette zone de texte,aucungroupe ne sera trouvéet utilisé dans la vue. Pour trouverun groupenommé Services,vous devez utiliser la chaîne*s*à la place.Si plusieursgroupes contiennent la lettre s, vous pouvez utiliser une chaîne comme*ser*.


Impression et enregistrement d'une copie d'unrapport

Lorsque vous générez un rapport, celui-ci apparaît dans une nouvelle fenêtre.Vous pouvez imprimer le rapport ou enregistrer une copie du rapport.

Remarque : Pardéfaut, Internet Explorer n'imprime pas lescouleurs et les imagesd'arrière-plan. Si cette optiond'impression est désactivéele rapport imprimé peutêtre différentdu rapport quevous avez créé. Vous pouvezmodifier lesparamètresde votre navigateur pour qu'il imprime les couleurs et les images d'arrière-plan.


Pour imprimer une copie d'un rapport

1 Dans la fenêtre du rapport, cliquez sur Imprimer.

2 Dans la boîte de dialogue Imprimer, sélectionnez l'imprimante que voussouhaitez utiliser puis cliquez sur Imprimer.

Lorsque vous enregistrez un rapport, vous enregistrez un "cliché" de votreenvironnement de sécurité basé sur les données qui se trouvent actuellementdans votre base de données Reporting. Si vous exécutez le même rapportultérieurement, avecla mêmeconfiguration de filtrage, le nouveaurapport affichedes données différentes.

Affichage et configuration des rapportsA propos de l'utilisation des filtres qui recherchent des groupes dans les rapports et les journaux

282



Pour enregistrer une copie d'un rapport

1 Dans la fenêtre du rapport, cliquez sur Enregistrer.

2 Dans la boîte dedialogue de téléchargement defichier, cliquez surEnregistrer.

3 Dans la boîte de dialogue Enregistrer sous, dans la zone Enregistrer dans,localisez l'emplacement où vous souhaitez enregistrer le fichier.

4 Dans la zone de liste Nom du fichier, vous pouvez modifier le nom de fichierpar défaut si vous le souhaitez.

5 Cliquez sur Enregistrer.

Le rapport est enregistré sous forme de fichier unique (*.mht) au formatd'archivage Webde Microsoftdans l'emplacement quevous avez sélectionné.

6 Dans la boîte de dialogue Téléchargement terminé, cliquez sur Fermer.

A propos de l'utilisation de SSL avec les fonctions denotification

Vous pouvez utiliser SSL avec les fonctions de notification pour une sécuritéaccrue. SSLpermetlaconfidentialité, l'intégrité devosdonnées et l'authentificationentre le client et le serveur.

Pour plus d'informations sur l'utilisation de SSL avec les fonctions de rapport,consultez le document suivant dans base de connaissances de Symantec :

Configuration de la couchedessockets sécurisés (Protocole SSL) pour fonctionneravec Symantec Endpoint Protection signalant des fonctions sur Windows 2000

Configuration de la couchedessockets sécurisés (Protocole SSL) pour fonctionneravec Symantec Endpoint Protection signalant des fonctions sur Windows Server2003


Points importants quant à l'utilisation des rapportsVeillez à tenir compte des informations suivantes lorsque vous utilisez desrapports :

■ Les horodatages, y compris les périodes d'analyse du client, des rapports etdes journaux sont donnés en heure locale de l'utilisateur. Les événements dela base de données de génération de rapports sont basés sur l'heure GMT(Greenwich Mean Time). Lorsque vous créez un rapport, les valeurs GMT sontconverties en heure locale de l'ordinateursurlequelvous affichez lesrapports.

Affichage et configuration des rapportsA propos de l'utilisation de SSL avec les fonctions de notification

http://www.symantec.com/techsupp/servlet/ProductMessages?product=SAVCORP&version=11.0&language=english&module=DOC&error=Conf_SSL_for_SEP_W2K&build=symantec_ent


http://www.symantec.com/techsupp/servlet/ProductMessages?product=SAVCORP&version=11.0&language=english&module=DOC&error=Conf_SSL_for_SEP_W2K3&build=symantec_ent










■ Si les clients gérés sont dans un fuseau horaire différent de celui du serveurde gestion et que vous utilisez l'option de filtre Définir des dates spécifiques,desrésultats inattendus peuvent s'afficher. L'exactitudedes donnéeset l'heure

sur le client et le serveur de gestion peuvent être affectés.■ Si vous modifiezle fuseau horairesur le serveur, fermez la session de la console

et rouvrez-la pour voir les heures précises dans les journaux et les rapports.

■ Dans certains cas, les données de rapport ne peuvent être mises encorrespondance avec les données affichées par vos produits de sécurité. Cemanque de correspondance résulte de la collecte des événements de sécuritépar le logiciel de notification.

■ Vous pouvez utiliser SSL avec les fonctions de notification pour une sécuritéaccrue. SSL permet la confidentialité, l'intégrité des données etl'authentification entre le client et le serveur.

Sereporterà "A propos del'utilisation deSSLavec les fonctions denotification"à la page 283.

■ Lesinformationsrelativesauxcatégories de risquedesrapports sont obtenuesauprès du site Web de Symantec Security Response. Jusqu'à ce que la consoleSymantec Endpoint Protection Manager puisse récupérer ces informations,tous les rapports que vous générez affichent Inconnu dans les champs decatégorie de risque.

■ Les rapports que vous générez offrent un aperçu détaillé des ordinateurscompromis sur le réseau. Les rapports reposent sur les données du journal et

non pas sur les données de registre Windows.■ Les pages de rapport et de journal s'affichent toujours dans la langue avec

laquelle le serveur de gestion a été installé. Pour afficher ces pages lorsquevous utilisez une console distante ou un navigateur, vous devez disposer de lapolice appropriée sur l'ordinateur que vous utilisez.

■ Si des erreurs de base de données surviennent lorsque vous générez desrapports contenant un volume important de données, cela peut signifier quevous devez modifier les paramètres d'expiration de la base de donnéesconcernée.

Se reporter à "Modification des paramètres d'expiration" à la page 406.

■ Si deserreurs CGI ou d'arrêts de processus surviennent, vous pouvez modifierd'autres paramètres d'expiration.

Pour plus d'informations, consultez le document suivant dans la base deconnaissances de Symantec : Le SAV Reporting Server ou le SEPM Reportingne réagit pas ou n'affiche pas de message d'erreur de délai d'attente lors d'unerequête à un grand nombre de données

Affichage et configuration des rapportsPoints importants quant à l'utilisation des rapports

284

http://www.symantec.com/techsupp/servlet/ProductMessages?product=SAVCORP&version=11.0&language=english&module=DOC&error=SAV_Rep_Serv_not_responding&build=symantec_ent








Veillez à tenir compte des informations suivantes si certains des ordinateursprésents sur votre réseau exécutentdes versions héritées de Symantec AntiVirus :

■ Lorsque vous utilisez desfiltresde rapport et de journal, lesgroupes de serveurs

sont classés par domaine. Les groupes clients sont classés par groupe et lesserveurs parents sont classés par serveur.

■ Si vous générez un rapport comprenant des ordinateurs hérités, les champsd'adresse IP et d'adresse MAC affichent Aucun(e).





286



Affichage et configurationdes journaux et des

notificationsCe chapitre traite des sujets suivants :

■ A propos des journaux

■ Affichage des journaux

■ Enregistrement et suppression des filtres

■ Paramètres de base du filtre pour les journaux et les rapports

■ Paramètres avancés du filtre pour les journaux et les rapports

■ Exécuter des commandes et des actions à partir des journaux

■ Exportation des données de journal

■ A propos de l'utilisation de notifications

A propos des journauxL'utilisation de journaux vous permet d'afficher les événements détaillés qui ontété détectés par vos produits de sécurité. Les journaux contiennent des donnéesd'événement issues de vos serveurs de gestion ainsi que de tous les clients quicommuniquent avec ces serveurs. Etant donné que les rapports sont statiques etn'incluent pas autant de détails que les journaux, certains administrateurspréfèrent contrôler leur réseau en utilisant des journaux.

13Chapitre



Vous pouvez utiliser le filtre par défaut pour afficher les journaux ou vous pouvezconfigurer les options de filtre pour limiter les données affichées. Vous pouvezenregistrer un filtre quevous avez personnalisé de sorte quevous puissiez l'utiliser

à l'avenir.Vosu pouvez également consulter les journaux pour résoudre les problèmes desécurité et de connectivité dans le réseau. Ces informations peuvent égalementêtre utiles pour rechercher d'éventuelles menaces ou vérifier l'historique desévénements.

Remarque : Les pages des rapports et des journaux s'affichent toujours dans lalangue du serveur de gestion. Pour afficher ces pages lorsque vous utilisez uneconsole SymantecEndpoint ProtectionManager ou un navigateurdistant, la policeappropriée doit être installée sur l'ordinateur que vous utilisez.

Vous pouvez exporter certaines données d'événements de journal vers un fichierdélimité par des virgules, puis l'importer dans une application de tableur. Vouspouvez également exporter d'autres données du journal vers un fichier de vidagemémoire ou un serveur Syslog.

Se reporter à "Exportation des données de journal" à la page 307.

Se reporter à "A propos des événements consignés issus de votre réseau"à la page 214.

A propos des types de journauxVous pouvez afficher les types de journaux suivants à partir dela page Contrôles :

■ Audit


■ Conformité

■ Etat de l'ordinateur



■ Risque

■ Analyse

■ Système

Affichage et configuration des journaux et des notificationsA propos des journaux

288



Remarque : Tous ces journaux sont accessibles à partir de la page de Contrôles

de l'onglet Journaux.

Certains types de journaux sont encore divisés en différents types de contenupour faciliter l'affichage. Par exemple, les journaux Contrôle des applications et

Contrôle des périphériques incluent le journal Contrôle des applications et le journal Contrôle des périphériques. Vous pouvez également exécuter descommandes à partir de certains journaux.

Remarque : Si seul Symantec Network Access Control est installé, seulementcertains des journaux contiennent des données ; d'autres journaux sont vides. Le

journal d'audit, le journal de conformité, le journal d'état des ordinateurs et le journal système contiennent des données. Si seul Symantec Endpoint Protection

est installé, les journaux Conformité et Enforcer sont vides, mais tous les autres journaux contiennent des données.

Vous pouvez afficher des informations sur les notifications créées dans l'ongletNotifications et des informations sur l'état des commandes dans l'onglet Etat de

la commande.

Sereporterà"Affichage et filtrage desinformations de notification administrateur"à la page 313.

Se reporter à "Exécuter des commandes et des actions à partir des journaux"

à la page 304.Tableau 13-1 décrit les différents types de contenu que vous pouvez afficher etles actions que vous pouvez entreprendre à partir de chaque journal.

Tableau 13-1 Types de journaux

Contenus et actionsType de journal

Le rapport d'audit contient des informations sur l'activité de modification de lapolitique.

Les informations disponibles incluent l'heure et le type d'événement, la politique

modifiée, le domaine, le site et l'administrateur concernés, ainsi qu'une description.Aucune action n'est associée à ce journal.

Audit





Le journal Contrôle des applications et le journal Contrôle des périphériquescontiennent des informations sur les événements dans lesquels certains types decomportement étaient bloqués.

Les journaux de contrôle des applications et des périphériques suivants sontdisponibles :

■ Contrôle des applications, qui inclut des informationssurla protection contre lesinterventions

■ Contrôle des périphériques

Les informations disponibles incluent l'heure de l'événement, l'action entreprise, ledomaine, l'ordinateur et l'utilisateur concernés, la gravité, la règle concernée, leprocessus de l'appelant et la cible.

Vous pouvez ajouter un fichier à la politique d'exceptions centralisées à partir du journal Contrôle des applications.

Les informations disponibles incluent l'heure de l'événement, le type d'événement,le domaine, le groupe, l'ordinateur et l'utilisateur concernés, le nom du systèmed'exploitation, une description, l'emplacement et le nom de l'application concernée.

Contrôledesapplicationset

des périphériques


290




Lesjournauxde conformitécontiennent des informations au sujet du trafic du serveurEnforcer, des clients Enforcer et d'Enforcer et sur la conformité des hôtes.

Les journaux de conformité suivants sont disponibles si vous avez installé SymantecNetwork Access Control :

■ Serveur Enforcer

Ce journal suit la communication entre lesmodules d'application Enforcer et leurserveur de gestion. Lesinformations consignées incluent le nomd'Enforcer, l'heurede connexion au serveur de gestion, le type d'événement, le site et le nom duserveur.

■ Client Enforcer

Fournit les informations sur toutes les connexions client Enforcer, y compris lesinformationsd'authentificationpoint à pointLes informations disponibles incluent

l'heure, le nom, le type, le site, l'hôte distant et l'adresse MAC distante de chaqueEnforcer, et indiquent si le client a été accepté, rejeté ou authentifié.

■ Trafic Enforcer (Gateway Enforcer uniquement)

Fournit quelques informations au sujet du traficqui passe parun boîtier Enforcer.Les informations disponibles incluent l'heure, le nom de l'Enforcer, le typed'Enforcer et le site. Les informations incluent également le port local utilisé, ladirection, l'action et le nombre d'occurrences. Vous pouvez filtrer les tentativesde connexion qui ont été permises ou bloquées.

■ Conformité d'hôte

Ce journal réalise un suivi des détails des vérifications de l'intégrité d'hôte desclients. Les informations disponibles incluent l'heure, le type d'événement, le

domaine/groupe, l'ordinateur, l'utilisateur, le système d'exploitation,la descriptionet l'emplacement.

Aucune action n'est associée à ces journaux.

Conformité





Etat de l'ordinateur


292




Le journal d'étatde l'ordinateur contientdesinformationssur l'étatde fonctionnementdes ordinateurs clients dans le réseau en temps réel.

Les informations disponibles incluent le nom de l'ordinateur, l'adresse IP, l'étatd'infection; les technologies de protection, l'état d'Auto-Protect, les versions, la datedes définitions, l'utilisateur, l'heure du dernier contrôle, la politique, le groupe, ledomaine et l'état de redémarrage requis.

Vous pouvezexécuter lesactions suivantesà partir du journal d'état de l'ordinateur:

■ Analyse

Cette commande lance une analyse active, complète ou personnalisée. Les optionsd'analyse personnalisée sont celles que vous avez définies pour des analyses decommande sur la page Analyse définie par l'administrateur. La commande utiliseles paramètres de la politique antivirus et antispyware qui s'applique aux clientsque vous avez sélectionnés pour analyse.

■ Mise à jour de contenu

Cette commande déclenche une mise à jour des politiques, des définitions et dulogiciel de la console Symantec Endpoint Protection Manager vers les clients dugroupe sélectionné.

■ Mise à jour de contenu et analyse

Cette commande déclenche une mise à jour des politiques, des définitions et dulogiciel sur les clients du groupe sélectionné. Cette commande lance ensuite uneanalyse active, complète ou personnalisée. Les options d'analyse personnaliséesont celles que vous avez définies pour des analyses de commande sur la pageAnalyse définie par l'administrateur. La commande utilise les paramètres de lapolitique antivirus et antispyware qui s'applique aux clients que vous avezsélectionnés pour analyse.

■ Annuler toutes les analyses

Cette commande annule toutes les analyses en cours et toutes les analyses enattente sur les destinataires sélectionnés.

■ Redémarrer les ordinateurs client

Cette commande redémarre les ordinateurs que vous avez sélectionnés. Si desutilisateurs sont connectés, ils sont avertis du redémarrage basé sur les optionsde redémarrage que l'administrateur a configurées pour cet ordinateur. Vouspouvez configurer lesoptions de redémarrage desclientsdansl'ongletParamètres

généraux de la boîte de dialogue Paramètres généraux, dans l'onglet Politiques

de la page Clients.

■ Activation d'Auto-Protect

Cette commande active Auto-Protect pour tous les ordinateurs clients que vousavez sélectionnés.

■ Activation de la protection contre les menaces réseau

Cette commande active la protection contre les menaces réseau pour tous lesordinateurs clients que vous avez sélectionnés.

■ Désactivation de la protection contre les menaces réseau





Cette commande désactive la protection contre les menaces réseau pour tous lesordinateurs clients que vous avez sélectionnés.

Vous pouvez égalementeffacerl'état d'infection desordinateursà partir de ce journal.

Les journaux de protection contre les menaces réseau contiennent des informationsà propos desattaques surle pare-feuet surla prévention d'intrusion.Desinformationssont disponibles au sujet des attaques de refus de service, des analyses de port et desmodificationsquiontétéapportéesauxfichiersexécutables. Ilscontiennent égalementdes informations sur les connexions qui sont faites par le pare-feu (trafic) et sur lespaquets de données qui le traversent. Ces journaux contiennent égalementcertainesdes modifications opérationnelles apportées aux ordinateurs, telles que la détectiondes applications réseau et la configuration des logiciels.

Les journaux suivants de protection contre les menaces réseau sont disponibles :■ Attaques

Lesinformations disponibles incluentl'heure, le typed'attaque,le domaine/groupe,l'ordinateur et le nom d'utilisateur du client. D'autres informations sontdisponibles, notamment la gravité, la direction/le protocole, l'IP de l'hôtelocal/distant, l'emplacement et le nombre.

■ Trafic

Les informations disponibles incluent l'heure, le type d'événement, l'action, lagravité, la direction, l'ordinateur, l'IP de l'hôte local/distant, le protocole, le nomd'utilisateur du client et le nombre d'occurrences.

■ Paquet

Les informations disponibles incluent l'heure, le type d'événement, l'action, ledomaine, la direction, l'ordinateur, l'IP de l'hôte local, le port local et l'IP de l'hôtedistant.


Protection contre les

menaces réseau

Le journal de protection proactive contre les menaces TruScan contient desinformations sur les menaces qui ont été détectées lors d'une analyse proactive. Lesanalyses proactives des menaces TruScan utilisent des technologies heuristiquespour analyser tout comportement similaire à celui des virus ou présentant un risquepour la sécurité. Cette méthode peut détecter des virus inconnus et les risques desécurité.

Les informations disponibles incluent des éléments tels que l'heure de l'événement,l'action réelle de l'événement, le nom d'utilisateur, l'ordinateur, le domaine,l'application, le type d'application, le nombre d'occurrences, le fichier et le chemind'accès.

Vous pouvez ajouter un processus détecté à une politique d'exceptions centraliséespréexistente à partir de ce journal.

Analyse proactive des

menaces TruScan


294




Le journal de Risque contient des informations sur des événements à risque. Lesinformations disponibles incluent l'heure de l'événement, l'action réelle del'événement, le nom d'utilisateur, l'ordinateur/le domaine, le nom et la source durisque, le nombre d'occurrences, le fichier et le chemin d'accès.

Vous pouvez prendre les mesures suivantes à partir de ce journal :

■ Ajouter le risque à la politique d'exception centralisée

■ Ajouter un fichier à la politique d'exceptions centralisées

■ Ajouter un dossier à la politique d'exceptions centralisées

■ Ajouter une extension à la politique d'exceptions centralisées

■ Suppression de la quarantaine

Risque

Le journal d'Analyse contient des informations sur l'activité d'analyse antivirus et

antispyware.

Les informations disponibles incluent des éléments concernant l'analyse, tels quel'heure, l'ordinateur, l'adresseIP, l'état, la durée, les détections, le nombre d'élémentsanalysés, le nombre d'éléments omis et le domaine.


Analyse





Les journaux système contiennent des informations sur des événements tels que ledémarrage et l'arrêt des services.

Les journaux système suivants sont disponibles :

■ Administratif

Les informations disponibles incluent des éléments tels que l'heure et le typed'événement,le domaine, le site et le serveur concernés, la gravité, l'administrateuret la description.

■ Activité client-serveur

Les informations disponibles incluent des éléments tels que l'heure et le typed'événement, le domaine, le site et le serveur concernés, le client et le nomd'utilisateur.

■ Activité serveur

Les informations disponibles incluent des éléments tels que l'heure et le typed'événement, le site et le serveur concernés,la gravité, la descriptionet le message.

■ Activité client

Les informations disponibles incluentdes élémentstelsque l'heure de l'événement,le type d'événement, la source de l'événement, le domaine, la description, le site,l'ordinateur et la gravité.

■ Activité Enforcer

Les informations disponibles incluentdes élémentstelsque l'heure de l'événement,le type d'événement, le nom de l'Enforcer, le type d'Enforcer, le site, la gravité etla description.


Système

Affichage des journauxVous pouvez générer une liste des événements à afficher à partir des journauxbasés sur des paramètres de filtrage particuliers. Chaque type de journal et decontenu est associé à une configuration de filtre par défaut que vous pouvezutiliser tel quel ou sous une forme modifiée. Vous pouvez également créer etenregistrer de nouvelles configurations de filtre. Ces nouveaux filtres peuventêtre basés sur le filtre par défaut ou sur un filtre que vous avez créé précédemment.

Si vous enregistrez une configuration de filtre, vous pouvez la restaurerultérieurementdans la même vuede journal. Celavous évite de devoirreconfigurerles paramètres à chaque fois. Vous pouvez supprimer vos configurations de filtrepersonnalisées si elles ne vous sont plus utiles.

Se reporter à "Enregistrement et suppression des filtres" à la page 299.

Affichage et configuration des journaux et des notificationsAffichage des journaux

296



Remarque : Si des erreurs de base de données se produisent lorsque vous affichezdes journaux comprenant de nombreuses données, vous pouvez modifier lesparamètres d'expiration de la base de données.

Se reporter à "Modification des paramètres d'expiration" à la page 406.

Si des erreurs de CGI ou de processus arrêtés surviennent, vous pouvez modifierd'autres paramètres d'expiration.

Vous pouvez obtenir de plus amplesinformations surlesparamètres d'expirationsupplémentaires. Reportez-vous à l'article de la base de connaissances Symantecsuivant : "Reporting server does not report or shows a timeout error messagewhen querying large amounts of data (Le serveur Reporting ne génère pas derapport ou affiche un message d'erreur signalant un dépassement de délai)".

Etant donné que certaines des informations contenues dans les journaux sontcollectées à intervalles réguliers, vous pouvez actualiser vosvues de journal. Pourconfigurer la fréquence d'actualisation d'un journal, affichez le journal de votrechoix et sélectionnez une option dans la zone de liste Actualisationautomatique

qui se trouve dans la partie supérieure droite de la vue du journal.

Remarque : Si vous affichez des données de journal pour des dates spécifiques,les données ne changent pas après avoir cliqué sur Actualisation automatique.

Pour une description de chaque option configurable, vous pouvez cliquer sur En

savoir plus en regard du type de rapport sur la console Symantec EndpointProtection Manager. Cliquez sur En savoirplus pour afficher l'aide contextuelle.

Remarque : Les champs d'option de filtre qui acceptent des caractères génériqueset recherchent des correspondances ne fait aucune distinction entre majusculeset minuscules. Le caractère astérisque ASCII est le seul astérisque qui puisse êtreutilisé comme caractère générique.

Pour afficher un journal

1 Dans la fenêtre principale, cliquez sur Contrôles.2 Dans la zone de liste Type de journal de l'onglet Journaux, sélectionnez le

type de journal que vous souhaitez afficher.

3 Pour certains types de journaux, la zone de liste Contenudujournal s'affiche.Si elle apparaît, sélectionnez le contenu que vous voulez afficher.

4 Dans la zone de liste Utiliser un filtre sauvegardé, sélectionnez un filtresauvegardé ou conservez la valeur par défaut.




5 Sélectionnez uneheure dans la liste Plagehoraire ou conservez la valeur pardéfaut. Si voussélectionnez Définirdesdatesspécifiques, vous devez définirla ou les dates et heures dont vous souhaitez afficher les entrées.

6 Cliquez sur Paramètres avancés pour limiter le nombre d'entrées à afficher.

Vous pouvez également définir les autres Paramètres avancés disponiblespour le type de journal que vous avez sélectionné.

Sereporterà "Paramètres avancés du filtre pour les journaux et lesrapports"à la page 303.

7 Une fois que vous avez obtenu la configuration de vue souhaitée, cliquez surAfficher le journal.

La vue de journal apparaît dans la même fenêtre.

Affichage des détails des événements dans les journaux

Vous pouvez afficher les détails des événements stockés dans les journaux.


Pour afficher les détails d'un événement

1 Dans la fenêtre principale, cliquez sur Contrôles.

2 Dans la zone de liste Type de journal de l'onglet Journaux, sélectionnez letype de journal que vous souhaitez afficher.

3 Pour certains types de journaux, la zone de liste Contenudujournal s'affiche.Si elle apparaît, sélectionnez le contenu que vous voulez afficher.


5 Cliquez sur l'événement dont vous souhaitez afficher les détails, puis cliquezsur Détails.

Afficher les journaux d'autres sites

Pour consulter les journaux à partir d'un autre site, vous devez vous connecter àun serveur de site distant sur la console Symantec Endpoint Protection Manager.

Si vous avez un compte sur un serveur dusite distant, vous pouvez vous connecterà distance et afficher les journaux du site.

Si vous avez configuré des Partenaires de réplication, vous pouvez choisir quetous les journaux des partenaires de réplication soient copiés sur le partenairelocal et vice versa.

Se reporter à "Réplication des journaux" à la page 419.


298



Si vous choisissez de répliquer des journaux, vous consultez par défaut à la foisles informations de votre site et celles des sites répliqués lorsque vous afficheztout journal. Pour consulter un seul site, vous devez filtrer les données pour les

limiter à l'emplacement à afficher.

Remarque : Si vous choisissez de répliquerdes journaux,assurez-vous de disposerde suffisamment d'espace disque pour les journaux supplémentaires de tous lespartenaires de réplication.

Pour afficher les journaux d'un autre site

1 Ouvrez un navigateur Web.

2 Tapez le nom ou l'adresse IP du serveur et le numéro de port, 9090, dans la

zone d'adresse de la manière suivante :http://192.168.1.100 :9090

La console effectue alors le téléchargement. L'environnement d'exécution Java 2 (JRE) doit être installé sur l'ordinateur à partir duquel vous vousconnectez. Si tel n'est pas le cas, vous êtes invité à télécharger et à installer

JRE. Suivez les invites pour installer JRE.

Se reporter à "Connexion à la console Symantec Endpoint ProtectionManager." à la page 39.

3 Dans la boîte de dialogue de connexion de la console, tapez votre nom

d'utilisateur et votre mot de passe.4 Dans la zone de texte Serveur, si elle ne se remplit pas automatiquement,

saisissez le nom ou l'adresse IP du serveur et le numéro de port 8443 de lamanière suivante :

http://192.168.1.100 :8443

5 Cliquez sur Connexion.

Enregistrement et suppression des filtresVous pouvez construire des filtres personnalisés à l'aide des Paramètres de baseetdes Paramètresavancés, lesquels vouspermettent de modifier les informationsque vous souhaitez consulter. Vous pouvez enregistrer vos paramètres de filtresur la base de données afin de pouvoir restaurer cette même vueà l'avenir. Lorsquevous enregistrezvosparamètres, ceux-ci sont enregistrésdans la base de données.Lenomquevousattribuezaufiltreapparaîtdanslazonedeliste Utilisezunfiltre

sauvegardé pour le type de journal et de rapport appropriés.

Affichage et configuration des journaux et des notificationsEnregistrement et suppression des filtres



Remarque : Si vous avez sélectionné Dernières 24 heures comme plage horairepour un filtre de journal, la plage horaire de 24 heures débute lorsque voussélectionnez le filtre pour la première fois. Si vous actualisez la page, le point de

départ de l'intervalle de 24 heures n'est pas réinitialisé. Si vous sélectionnez lefiltre et décidez d'afficher un journal, la plage horaire débute lorsque voussélectionnez le filtre et non pas lorsque vous affichez le journal.

Si voussouhaitez que la plage horaireDernières 24 heures débute immédiatement,sélectionnez une autre plage horaire, puis resélectionnez le filtre Dernières

24 heures.

Pour enregistrer un filtre

1 Dans la fenêtre principale, cliquez sur Contrôles.

2 Dans l'onglet Journaux, sélectionnez le type d'affichage de journal pour lequelvous souhaitez configurer un filtre dans la zone de liste Type de journal.

3 Pour certains types de journaux, la zone de liste Contenudujournal s'affiche.Si elle apparaît, sélectionnez le contenupourlequel vous souhaitez configurerun filtre.

4 Dans la zone de liste Utilisez un filtre sauvegardé, sélectionnez le filtre àpartir duquelvous souhaitez démarrer. Vous pouvez sélectionnerle filtre pardéfaut, par exemple.

5 Sous Quels paramètres de filtrage voulez-vous utiliser ?, cliquez sur

Paramètres avancés.6 Modifiez les paramètres selon vos besoins.


8 Dans la zone Nom de filtre de la boîte de dialogue qui s'affiche, tapez le nomà utiliser pour cette configuration de filtre de journal. Seuls les 32 premierscaractères du nom s'affichent lorsque le filtre sauvegardé est ajouté à la listedes filtres.

9 Cliquez sur OK. Votre nouveau nom de filtre est ajouté à la zone de listeUtilisez un filtre sauvegardé.

10 Lorsque la boîte de dialogue de confirmation s'affiche, cliquez sur OK.

Affichage et configuration des journaux et des notificationsEnregistrement et suppression des filtres

300



Pour supprimer un filtre sauvegardé

1 Dans la zone de liste Utilisez un filtre sauvegardé, sélectionnez le nom dufiltre de journal à supprimer.

2 En regard de la zone de liste Utilisezun filtre sauvegardé, cliquez sur l'icôneSupprimer.

3 Vous êtes alors invité à confirmer la suppression du filtre. Cliquez sur Oui.

A propos des noms de filtre dupliqués

Le stockage de filtre est basé en partie sur le créateur, ainsi aucun problème nese pose quand deux utilisateurs différents créent un filtre avec le même nom.Cependant, un utilisateur ou deux utilisateurs quiseconnectent au compte"admin"par défaut ne doivent pas créer des filtres avec le même nom.

Si les utilisateurs créent des filtres avec le même nom, un conflit peut se produiredans deux conditions :

■ Deux utilisateurs sont connectés au compte "admin" par défaut sur différentssites et chacun d'eux crée un filtre avec le même nom.

■ Un utilisateur crée un filtre, se connecte à un site différent et créeimmédiatement un filtre avec le même nom.

Si l'une ou l'autre condition se produit avant que la réplication de site ait lieu,deux filtres avec le même nom s'affichent alors dans la liste des filtres. Seul l'undes filtres est utilisable. Si ce problème se pose, la meilleure action consiste àsupprimer le filtre utilisable et à le recréer avec un nom différent. Si voussupprimez le filtre utilisable, vous supprimez également le filtre inutilisable.


Paramètres de base du filtre pour les journaux et lesrapports

La plupart des journaux disposent des mêmes paramètres de base.

Tableau 13-2 décrit les paramètres de base communs à la plupart des journaux etdes rapports.

Affichage et configuration des journaux et des notificationsParamètres de base du filtre pour les journaux et les rapports



Tableau 13-2 Paramètres de base des journaux


Spécifie le type de journal ou rapport à afficher.Sélectionnez parmi les types suivants :

■ Audit


■ Conformité

■ Etat de l'ordinateur



■ Risque

■ Analyse

■ Système

Type de journal /Type derapport

S'il existe plusieurs journaux ou rapport de ce type, vouspouvez sélectionner le type de contenu à afficher.

Contenudujournal /Contenu

du rapport

Spécifie le filtre à utiliser pour créer la vue.

Vous pouvez utiliser le filtre par défaut ou un filtrepersonnalisé que vous avez nommé et enregistré pourafficher des informations du journal ou du rapport.

Utiliser un filtre enregistré

Spécifie l'intervalle de temps des événements à afficher

dans le journal ou le rapport.Sélectionnez une des périodes suivantes :

■ Dernières 24 heures

■ La semaine dernière

■ Le mois dernier

■ Le mois en cours

■ Les trois derniers mois

■ L'année dernière

■ Définir des dates spécifiques

Plage horaire

Disponible uniquement pour le journal Etatdel'ordinateurlorsque vous sélectionnez Définir des dates spécifiques

pour l'intervalle de temps.

Spécifie que vous voulez consulter toutes les entrées quiimpliquent un ordinateur qui ne s'est pas authentifié à sonserveur depuis cette époque.

Dernière authentificationaprès

Affichage et configuration des journaux et des notificationsParamètres de base du filtre pour les journaux et les rapports

302




Chaque journal ou rapport dispose de paramètres avancésqui lui sont spécifiques.Cliquez sur Paramètres avancés etParamètres de base pour alterner entre les deux.

Paramètres avancés

Les paramètres avancés permettent un contrôle supplémentaire des données àafficher. Ils sont spécifiques au type et au contenu de rapport.

Pour une description de chaque paramètre avancé que vous pouvez configurer,vous pouvez cliquer sur Plusd'infos pour afficher l'aide contextuellepour ce typede rapport.


Paramètres avancés du filtre pour les journaux et lesrapports

Les paramètres avancés apportent un contrôle supplémentaire sur les donnéesque vous voulez afficher. Ils sont spécifiques au type et au contenu du journal oudu rapport.

Si vous avez des ordinateursdans votre réseau quiexécutentdesversions héritéesde Symantec AntiVirus, lorsque vous utilisez des filtres de journal ou de rapport,la terminologie suivante s'applique :

■ Les groupes de serveurs hérités sont classés comme des domaines

■ Les groupes de clients hérités sont classés comme des groupes

■ Les serveurs parents hérités sont classés comme des serveurs

Remarque : Vous ne pouvezpasfiltrer surles données héritées de Symantec ClientFirewallpourles signatures de prévention d'intrusion.Pourconsulterles versionsde signature qui s'exécutent sur un ordinateur, vous pouvez accéder au journalouaurapport Etatdel'ordinateur. Sélectionnezun ordinateur surlequelSymantecClientFirewall estinstallé,puis cliquez surDétails.Lechamp VersionIDS contientces informations.

Pour unedescription de chaqueoptionconfigurable, vous pouvezcliquer surPlus

d'infos pour ce type de journal ou de rapport sur la console Symantec EndpointProtection Manager. Cliquez sur Plus d'infos pour afficher l'aide contextuelle.


Affichage et configuration des journaux et des notificationsParamètres avancés du filtre pour les journaux et les rapports



Exécuter des commandes et des actions à partir des journaux

Dans le journal Etatdel'ordinateur, vous pouvez exécuter plusieurs commandessur les clients.

Remarque : Les clients Mac traitent seulement certaines de ces commandes.


D'autre part, vous pouvez cliquer avec le bouton droit de la souris sur un groupede la page Clients de la console Symantec Endpoint Protection Manager pour

exécuter des commandes. L'ordre dans lequel les commandes et les actions sonttraitées sur le client diffère selon la commande. Indépendamment d'où lacommande est lancée, les commandes et les actions sont traitées de la mêmemanière.

Pour plus d'informations sur les options que vous pouvez définir lorsque vousexécutezdes commandes, sur l'onglet Journaux de la console,vous pouvezcliquersur Plus d'infos. Le fait de cliquer sur Plus d'infos affiche l'aide contextuelle.

Sur l'onglet Etat de la commande, vous pouvez afficher l'état des commandesexécutées à partir de la console et leurs détails. Vous pouvez également annulerune analyse spécifique depuis cet onglet si l'analyse est en cours.

Vous pouvez annuler toutes les analyses en cours et en attente pour les clientssélectionnés dansle journal Etatdel'ordinateur. Si vous confirmezla commande,le tableau est actualisé et vous voyez la commande d'annulation ajoutée au tableaud'état de commande.

Remarque : Si vous exécutez la commande d'analyse et sélectionnez une analysepersonnalisée, l'analyse utilise les paramètres d'analyse de commande que vousavez configurés sur la page Analyse définie par l'administrateur. La commandeutiliselesparamètresde la politique antivirus et antispywareappliquée auxclients

sélectionnés.Si vous exécutez une commande Redémarrer l'ordinateur à partir d'un journal,la commande est envoyée immédiatement. Si des utilisateurs sont connectés auclient, ils sont avertis du redémarrage selon les options que l'administrateur aconfigurées pour ce client. Vous pouvez configurer les options de redémarragedu client sur l'onglet Paramètres Généraux de la boîte de dialogue Paramètres

Généraux, et sur l'onglet Politiques de la page Clients.

Affichage et configuration des journaux et des notificationsExécuter des commandes et des actions à partir des journaux

304



Les journaux suivants permettent d'ajouter des exceptions à une politiqueExceptions centralisées :

■ Journal de Contrôle d'applications

■ Journal d'Analyse proactive des menaces TruScan

■ Journal de Risques


Pour ajouter un type quelconque d'exception à partir d'un journal, vous devezavoir déjà créé une politique Exceptions centralisées.

Sereporterà "Configuration d'une politiqued'exceptionscentralisées"àlapage649.

Dans le journal Risques, vous pouvez également supprimer des fichiers de

Quarantaine.

Si Symantec Endpoint Protection détecte des risques dans un fichier compressé,le fichier compressé est mis en quarantaine dans son ensemble. Toutefois, le

journal Risques contient une entrée séparée pour chaque fichier du fichiercompressé. Il est impossible d'utiliser la commande Supprimerdelaquarantaine

du journal Risques pour supprimer uniquement les fichiers infectés de laQuarantaine. Pour supprimer le(s) risque(s) avec succès, vous devez sélectionnertous les fichiers du fichier compressé avant d'utiliser la commande Supprimer

de la quarantaine.

Remarque : Pour sélectionner les fichiers dans le fichier compressé, vous devezlesafficher tous dans la vue de journal. Vous pouvez utiliser l'option Limiter dansle filtre du journal Risques, à la zone Paramètres avancés, pour augmenter lenombre d'entrées de la vue.

Pour supprimer des fichiers de la quarantaine à partir du journal Risques

1 Cliquez sur Contrôleurs.

2 Sur l'onglet Journaux de la zone de liste Type de journal, sélectionnez le journal Risques, puis cliquez sur Afficher le journal.

3 Sélectionnez dans le journal une entrée qui a un fichier en quarantaine.

4 Dans la liste Action, sélectionnez Supprimer de la quarantaine.

5 Cliquez sur Démarrer.

6 Dans la boîte de dialogue qui s'affiche, cliquez sur Supprimer.

7 Dans la boîte de dialogue de confirmation, cliquez sur OK.




Pour supprimer un fichier compressé de la quarantaine à partir du journal Risques


2 Sur l'onglet Journaux de la zone de liste Type de journal, sélectionnez le journal Risques, puis cliquez sur Afficher le journal.

3 Sélectionnez toutes les entrées de fichier dans le fichier compressé.

Vous devezvoir toutesles entrées du fichier compressé dans la vuede journal.Vous pouvez utiliser l'option Limiter sous Paramètres avancés pouraugmenter le nombre d'entrées dans la vue.

4 Dans la liste Action, sélectionnez Supprimer de la quarantaine.


6 Dans la boîte de dialogue qui s'affiche, cliquez sur Supprimer.


Pour exécuter une commande depuis le journal d'état de l'ordinateur


2 Sur l'onglet Journaux, dans la zone de liste Type de journal, sélectionnezEtat de l'ordinateur.


4 Sélectionnez une commande dans la zone de liste Action.


S'il y a des choix deparamètrespour la commande quevous avez sélectionnée,une nouvelle page paraît pour configurer les paramètres appropriés.

6 Une fois la configuration terminée, cliquez sur Oui ou sur OK.

7 Dans la boîte de message de confirmation de commande qui s'affiche, cliquezsur Oui.

8 Dans la boîte de dialogue Message, cliquez sur OK.

Si la commande n'est pas mise en attente avec succès, vous devrez peut-êtrerépéter cette procédure. Vous pouvez vérifier si le serveur est en panne. Si

la console a perdu la connectivité avec le serveur, vous pouvez fermer lasession de console puis rouvrir une session pour essayer de résoudre leproblème.

Pour afficher les détails d'état de commande


2 Sur l'onglet Etat de la commande, sélectionnez une commande dans la listepuis cliquez sur Détails.


306



Pour annuler une analyse spécifique en cours


2 Sur l'onglet Etatdelacommande, cliquez sur l'icone Annuler l'analyse dansla colonne Commande de la commande d'analyse à annuler.

3 Lorsqu'un message s'affiche pour confirmer que la commande a été mise enfile d'attente, cliquez sur OK.

Pour annuler toutes les analyses en cours et en attente


2 Sur l'onglet Journaux, dans la zone de liste Type de journal, sélectionnezEtat de l'ordinateur.


4 Sélectionnez les ordinateurs dans la liste, puis Toutannuler dans la liste descommandes.


6 Lorsque la boîte de dialogue de confirmation s'affiche, cliquez sur Oui pourannuler toutes les analyses en cours et en attente pour les ordinateurssélectionnés.

7 Lorsqu'un message s'affiche pour confirmer que la commande a été mise enfile d'attente, cliquez sur OK.

Exportation des données de journalVous avez plusieurs choix pour exporterlesdonnéesdevosjournaux. Vous pouvezexporter les données de certains journaux vers un fichier texte délimité par desvirgules.Vous pouvezexporterles données d'autresjournauxvers un fichier textedélimité par des tabulations qui est appelé fichier de vidage mémoire ou vers unserveur Syslog. L'exportation des données du journal est utile si vous voulezregroupertous lesjournauxde votre réseauentierdans un emplacement centralisé.L'exportation des données du journal est également utile si vous voulez utiliserun programme tiers tel qu'un tableur pour organiser ou manipuler les données.Vous pouvezégalementexporter lesdonnées devosjournaux avant d'en supprimerles enregistrements.

Quand vous exportez les données du journal vers un serveur Syslog, vous devezconfigurer le serveur Syslog pour recevoir ces journaux. Pour transférer des

journaux vers un programme tiers, ce dernier doit être installé et sur le réseau.Parexemple, vouspouvez utiliserMicrosoft Excel pourouvrir lesfichiersjournaux

Affichage et configuration des journaux et des notificationsExportation des données de journal



exportés. Chaque champ apparaît dans une colonne séparée, un enregistrementséparé du journal sur chaque ligne.

Remarque : Vous ne pouvez pas restaurer la base de données en utilisant lesdonnées exportées du journal.

Se reporter à "Exportation des données de journal vers un fichier texte délimitépar des virgules" à la page 311.

Se reporter à "L'exportation de données vers un serveur Syslog" à la page 310.

Sereporterà"Exportationde données dejournal vers un fichier texte"àlapage308.

Exportation de données de journal vers un fichier texte

Lorsque vous exportez des données desjournaux dans un fichier texte, les fichierssont par défaut placés dans un dossier. Le chemin d'accès au dossier est lecteur :\ Program Files\Symantec\Symantec Endpoint Protection Manager\data\dump.Des entrées sont placées dans un fichier .tmp jusqu'à ce que les enregistrementssoient transférés vers le fichier texte.

Si Symantec Network Access Control n'est pas installé sur votre ordinateur,certains journaux n'existent pas.

Tableau 13-3 affiche la correspondance des types de données de journal avec lesnoms des fichiers de données de journal exportés.

Tableau 13-3 Noms de fichiers texte de journal pour Symantec Endpoint Protection

Nom de fichier texteDonnées de journal

scm_admin.logAdministration de serveur

agt_behavior.logContrôle des applications du serveur

scm_agent_act.logClient serveur

scm_policy.logPolitique serveur

scm_system.logSystème serveur

agt_packet.logPaquet client

agt_proactive.logMenace proactive client

agt_risk.logRisque client

agt_scan.logAnalyse client


308




agt_security.logSécurité client

agt_system.logSystème client

agt_traffic.logTrafic client

Remarque : Les noms de journal dans Tableau 13-3 ne correspondent paslinéairement auxnoms de journal utilisés surl'onglet Journaux delapage Ecrans.

Tableau 13-4 affiche la correspondance des types de données de journal avec lesnoms des fichiers de données de journal exportés pour les journaux d'Enforcer.

Tableau 13-4 Noms de fichiers texte supplémentaires pour Symantec NetworkAccess Control


scm_enforcer_act.logActivité du serveur Enforcer

enf_client_act.logActivité de client Enforcer

enf_system.logSystème Enforcer

enf_traffic.logTrafic Enforcer

Remarque : Lorsque vous exportez des données de journal vers un fichier texte,le nombre d'enregistrements exportés peut différer du nombre définidans la boîtede dialogue Journalisation externe. Cette situation apparaît lorsque vousredémarrez le serveur de gestion. Après que vous ayez redémarré le serveur degestion, le compte d'entrée de journal se réinitialise à zéro, mais il peut déjà yavoir des entrées dans les fichiers journaux temporaires. Dans cette situation, lepremier fichier *.log de chaque type qui est généré après le redémarrage contientplus d'entrées que la valeur spécifiée. Tous les fichiers journaux qui sontultérieurement exportés contiennent le nombre correct d'entrées.

Pour plus d'informations sur les options à définir dans cette procédure, cliquezsur Aide sur l'onglet Général, dans la boîte de dialogue Journalisation externe

du site .





Pour l'exportation des données de journal vers un fichier de vidage


2 Cliquez sur Serveurs.

3 Cliquez sur le site local ou le site à distance dont vous voulez configurer la journalisation externe.

4 Cliquez sur Configurer la journalisation externe.

5 Sur l'onglet Général, sélectionnez la fréquence à laquelle vous voulez que lesdonnées de journal soient envoyées au fichier.

6 Dans la zone de liste Serveur principal de journalisation, sélectionnez leserveur vers lequel vous voulez envoyer des journaux.

Si vous utilisez Microsoft SQLavec plus d'un serveur de gestion se connectant

à la base de données, un seul serveur doit être le serveur principal de journalisation.

7 Cochez Exporter les journaux vers un fichier de vidage.

8 Au besoin, cochez l'option Limiter les enregistrements du fichier de vidage

et tapez le nombre d'entrées à envoyer à la fois au fichier texte.

9 Sur l'onglet Filtre de journal, sélectionnez tous les journaux à envoyer auxfichiers texte.

Si un type de journal que vous sélectionnez vous permet de sélectionner leniveau de gravité, vous devez cocher les niveaux de gravité que vous voulez

enregistrer. Tous les niveaux que vous sélectionnez sont enregistrés.

10 Cliquez sur OK.

L'exportation de données vers un serveur Syslog

Vous pouvez configurer SSymantec Endpoint Protection pour envoyerlesdonnéesde journal à partir de certains journaux à un serveur Syslog.

Remarque : N'oubliez pas de configurer votre serveur Syslog pour recevoir les

données de journal.

Pour plus d'informations sur les options que vous pouvez définir dans cetteprocédure, vous pouvez cliquer sur Aide dans l'onglet de Général de la boîte dedialogue de Journalisation externe de Site .



310



Pour exporter des données de journal vers un serveur Syslog

1 Dans la console, cliquez sur Administration.


3 Cliquez sur le site local ou le site à distance à partir duquel vous souhaitezexporter des données de journal.

4 Cliquez sur Configurer la consignation externe.

5 Sur l'onglet Général, sélectionnez la fréquence à laquelle vous voulez que lesdonnées de journal soient envoyées au fichier.

6 Dans la zone de liste de Serveur de journalisation principal, sélectionnez leserveur que vous voulez envoyer des journaux à.

Si vous utilisez Microsoft SQL et si vous avez plusieurs serveurs de gestion

connectés à la base de données, vous n'avez besoin que d'un seul serveur quisoit serveur principal de consignation.

7 Cochez Activer la transmission des journaux à un Serveur Syslog.

8 Configurez selon vos préférences les champs suivants :

■ Serveur Syslog :

Entrez l'adresse IP ou le nom de domaine du serveur Syslog qui doitrecevoir les données de journal.

■ Port de destination UDP :

Entrez le port de destination utilisé par le serveur Syslog pour écouter lesmessages Syslog ou utilisez le paramètre par défaut.

■ Service de journal :

Entrez le numéro du service de journal qui sera utilisé dans le fichier deconfiguration Syslog ou utilisez le paramètre par défaut. Les valeursvalides sont comprises entre 0 et 23.

9 Dansl'onglet Filtredejournal, sélectionneztous lesjournaux quevous désirezenvoyer aux fichiers texte. Si un type de journal que vous sélectionnez vouspermet de choisir le niveau de gravité, cochez les niveaux de gravitéque vousvoulez enregistrer.

10 Cliquez sur OK.

Exportation des données de journal vers un fichier texte délimité pardes virgules

Vous pouvez exporter les données des journaux vers un fichier texte délimité pardes virgules.





Pour exporter des journaux vers un fichier texte délimité par des virgules

1 Dans la console, cliquez sur Contrôles.

2 Dans l'onglet Journaux, sélectionnez le journal à exporter.

3 Modifiez les Paramètres de base ou les Paramètres avancés.



6 Dans la nouvelle fenêtre qui s'affiche, cliquez sur le menu Fichier, puis surEnregistrer sous.

7 Si vous êtes invité à continuer, cliquez sur Oui.

8 Dans la fenêtre EnregistrerlapageWebqui s'affiche, utilisez la zone de listeEnregistrer dans pour rechercher le répertoire dans lequel vous souhaitezenregistrer le fichier.

9 Dans la zone de texte Nom du fichier, tapez le nom de fichier à utiliser.

10 Pour enregistrer les données brutes, sélectionnez le type Fichier texte(*.txt)

dans la zone de liste Enregistrer sous.

11 Cliquez sur Enregistrer pour exporter les données vers le fichier.

A propos de l'utilisation de notificationsLes notifications sont des messages au sujet des événements de sécurité qui onteu lieu dans votre réseau. Vous pouvez configurer une multiplicité de types denotifications. Certaines notifications sont adressées aux utilisateurs et certainesnotifications sont adressées aux administrateurs.

Vous pouvez configurer les actions de notification suivantes pour alerter lesadministrateurs ou autres utilisateurs spécifiques lorsque certaines conditionsen relation avec la sécurité sont remplies :

■ Envoyer un courrier électronique.

■ Exécuter un fichier batch ou un autre fichier exécutable.

■ Consigner une entrée dans le journal des notifications de la base de données.


Sereporterà"Affichage et filtragedesinformations de notification administrateur"à la page 313.

Affichage et configuration des journaux et des notificationsA propos de l'utilisation de notifications

312



Affichage et filtrage des informations de notification administrateur

Vous pouvez afficher les informations du journal Notifications de la même façonque les informations qui sont contenues dans d'autres journaux. Vous pouvezfiltrer le journal Notifications pour afficher des informations sur un seul typed'événement de notification à la fois. Vous pouvez filtrer l'affichage desnotifications et enregistrer les filtres pour future référence.

Vous pouvez filtrer le journal des notifications en fonction des critères suivants :

■ Plage horaire

■ Etat accusé de réception

■ Type de notification

■ Créé par

■ Nom de notification.

Pour afficher toutes les notifications :


2 Dans l'onglet Notifications, cliquez sur Afficher les notifications.

La liste de tous les types de notifications apparaît.

Pour filtrer l'affichage des notifications :

1 Dans la console, cliquez sur Indicateurs.

2 Dans l'onglet Notifications, sous Quels paramètres de filtrage voulez-vousutiliser ?, cliquez sur Paramètres avancés.

3 Définissez l'option de filtrage souhaitée.

Vous pouvez réaliser un filtrage surn'importe quellecombinaison : intervallede temps, état d'accusé de réception, type de notification, créateur ou nomspécifique de notification.

4 Cliquez sur Afficher les notifications.

Une liste du type de notifications que vous avez sélectionnées apparaît.

Directives de seuil pour les notifications d'administrateur

Certains types de notification contiennent des valeurs par défaut quand vous lesconfigurez. Ces directives fournissent des points de départ raisonnables selon lataille de votre environnement, mais qui peuvent devoir être ajustés. Des essais eterreurs peuvent être requis pour trouver le bon équilibre entre un trop grandnombre de notifications et trop peupour votre environnement. Définissezle seuilà une première limite, puis attendez quelques jours. Voyez si vous recevez des




notifications trop rarement ou si les notifications vous inondent, vous ou votreréseau.

Pour la détection des virus, des risques de sécurité et des événement de pare-feu,

supposons que vous ayez moins de 100 ordinateurs dans un réseau. Un point dedépart raisonnable pour ce réseau serait de configurer une notification quanddeux événements de risque sont détectés dans un délai d'une minute. Si vous avez100 à 1000 ordinateurs, la détection de cinq événements de risque dans un délaid'une minute peut constituer un point de départ plus utile.

Vous pouvez également vouloir être alerté quand les clients ont des définitionspérimées. Vous pouvez vouloir être avisé de chaque client dont le fichier dedéfinitions est périmé de plus de deux jours.


Création des notifications d'administrateur

Vous pouvez créer et configurer des notifications à déclencher quand certainsévénements en relation avec la sécurité se produisent.

Vous pouvez configurer le logiciel pour prendre les mesures de notificationsuivantes :

■ Consigner la notification dans la base de données.

■ Envoyer un courrier électronique aux individus.

Remarque : Pour envoyer des notifications par message électronique, vousdevez également configurer un serveur de messagerie. Pour configurer unserveur de messagerie, cliquez sur la page Admin>Serveurs, sélectionnez unserveur, cliquez sur Modifier les propriétés du serveur, puis cliquez surl'onglet Serveur de messagerie :.

■ Exécuter un fichier batch ou tout autre genre de fichier exécutable.

La période d'atténuation par défaut des notifications est Auto (automatique). Siune notification est déclenchée et que l'état de déclenchement continue à exister,

l'action de notification que vous avez configurée n'est pas exécutée de nouveaupendant 60 minutes.Parexemple,supposons quevousdéfinissiezune notificationde sorte que vous être avisé par courrier électronique quand un virus infecte cinqordinateurs dans un délai d'une heure. Si un virus continue à infecter vosordinateurs à ce taux ou à un taux supérieur, Symantec Endpoint Protection vousen informe par courrier électroniquetoute lesheures. Lesmessagesélectroniquescontinuent jusqu'à ce que la cadence ralentisse à moins de cinq ordinateurs parheure.


314



Vous pouvez configurer le logiciel pour vous informer quand un certain nombrede différents types d'événements se produisent.

Se reporter à "Directives de seuil pour les notifications d'administrateur"

à la page 313.

Tableau 13-5 décrit les différents types d'événements qui déclenchent différentstypes de notifications.

Tableau 13-5 Types de Notification

DescriptionNotification

Les échecs de connexion déclenchent ce type denotification. Vous définissez le nombre d'échecs deconnexion et la période qui doivent déclencher une

notification. Symantec Endpoint Protection vousinforme si le nombre d'échecs de connexion qui seproduisent au cours de la période dépasse votreparamètre. Il signale le nombre d'échecs de connexionqui se sont produits.

Echec d'authentification

Les modifications aux clients déclenchent ce type denotification. Les types de modifications qui peuventdéclencher cette notification comprennent l'ajout, lemouvement, le changement de nom ou la suppressiond'un client. Les possibilités supplémentaires sont quel'état du détecteur non géré d'un client, le mode client

ou le matériel ont été modifiés.

La liste des clients a changé

Vous pouvez choisir parmi les événements deconformité, de protection contre les menaces réseau,de trafic, de paquet, de contrôle de périphériques et decontrôle d'applications. Vouspouvez égalementchoisirle type et l'ampleur de la manifestation qui devraitdéclencher cette notification et la période. Les typescomprennent les occurrences sur n'importe quelordinateur, les occurrences sur un unique ordinateuret les occurrences sur des ordinateurs distincts.Certains de ces types requièrent que vous activiezégalement la consignation dans la politique associée.

Alerte de sécurité client

Un boîtier Enforcer hors ligne déclenche ce type denotification. La notification vous indique le nom dechaque module Enforcer, son groupe et la période deson dernier état.

Enforcer est arrêté





La détection d'une application de la liste desapplications commerciales ou de la liste desapplications à observer de l'administrateur déclenchecette notification.

Application forcée ou

commerciale détectée

Les nouvelles applications apprises déclenchent cetype de notification.

Nouvelle application apprise

Les nouveaux risques déclenchent ce type denotification.

Nouveau risque détecté

Les téléchargements de nouveaux packages logicielsdéclenchent ce type de notification.

Nouveau package logiciel

Vous définissez le nombre et le type d'occurrences desnouveauxrisqueset la période quidevraientdéclencherce type de notification. Les types comprennent lesoccurrences sur n'importe quel ordinateur, lesoccurrences sur un unique ordinateur et lesoccurrences sur des ordinateurs distincts.

Propagation de risque

Les états de santé du serveur hors ligne, médiocre oucritique déclenchent cettenotification.La notificationliste le nom du serveur, l'état de santé, la raison et ledernier état.

Etat du serveur

La détection d'un unique événement de risquedéclenche cette notification. La notification liste uncertain nombre de détails au sujet du risque, incluantl'utilisateuret l'ordinateur impliquéset la mesure prisepar Symantec Endpoint Protection.

Evénement de risque unique

Les événements système tels que les activités duserveur et du module Enforcer, les échecs deréplication, les problèmes de sauvegarde et derestauration et les erreurs système déclenchent cettenotification. La notification liste le nombred'événements de ce type qui ont été détectés.

Evénement système

Les ordinateurs autonomes déclenchent cettenotification. La notification liste des détails tels quel'adresseIP, l'adresseMAC et le système d'exploitationpour chaque ordinateur.

Ordinateurs autonomes


316




Vous définissez le délai "périmé" en configurant lanotification. Vous définissez le nombre d'ordinateurset le nombre de jours dont les définitions del'ordinateur doivent être âgées pour déclencher cettenotification.

Définitions de virus périmées

En utilisant les paramètres Conditions de notification, vous pouvez configurerunealerte de sécuritéclient paroccurrences sur tout ordinateur, sur un ordinateuruniqueousurplusieursordinateurs.Vous pouvezégalementconfigurer cesoptionspour une propagation de risque.

Vous pouvezvouloir créer unenotification de protectioncontrelesmenacesréseaudéclenchée quand un événement de trafic correspond aux critères définis pour

une règle de filtrage.

Pour créer ce type de notification, vous devez effectuer les tâches suivantes :

■ Dans la liste Règles de politique de pare-feu, cochez l'option Envoyer une

alerte par message électronique dans la colonne Consigner des règles dontvous souhaitez recevoir des notifications.

■ Sur l'onglet Notifications, configurez une alerte de sécurité client pour lesévénements de la protectioncontre lesmenaces réseau, de paquet ou de trafic.

Se reporter à "Configurer des notifications pour la protection contre les menacesréseau" à la page 573.

Pour unedescription de chaqueoptionconfigurable, vous pouvezcliquer surPlus

d'infos surla consoleSymantec EndpointProtection Manager. Plusd'infos affichel'aide contextuelle.

Remarque : Vous pouvez filtrer la vue des Conditions de notification que vousavez créée, en utilisant la zone de liste Afficher les types de notification. Pourêtre sûr que les nouvelles notifications créées sont affichées, vérifiez que l'optionTout est sélectionnée dans cette zone de liste.

Pour créer une notification

1 Dans la console, cliquez sur Contrôleurs.

2 Sur l'onglet Notifications, cliquez sur Conditions de notification.

3 Cliquez sur Ajouter,puissélectionnezletypedenotificationquevousvoulezajouter, à partir de la liste qui s'affiche.

4 Dans la nouvelle fenêtre qui s'affiche, dans la zone de texte Nomdela

notification, saisissez un nom descriptif.




5 Spécifiez les options de filtre que vous voulez. Par exemple, pour certainstypes de notifications, vous pouvez limiter la notification à des domaines,groupes, serveurs, ordinateurs, risques ou applications spécifiques.

6 Spécifiez les paramètres de notification et les actions que vous voulez voirse produire quand cette notification est déclenchée. Vous pouvez cliquer surAide pour consulterlesdescriptionsd'optionsdisponibles pour tous les typesde notifications.

Si vous sélectionnez Exécuter le fichier batch ou exécutable comme actionà effectuer, tapez le nom du fichier. Les noms de chemin d'accès ne sont pasautorisés. Le fichier batch ou le fichier exécutable à exécuter doit se trouverdans le répertoire suivant :

lecteur :\Program Files\Symantec\Symantec Endpoint Protection Manager\ bin

Si vous sélectionnez Envoyer un message électronique à comme action àeffectuer, la notification par email dépend de l'option du nom d'utilisateurdu serveur de messagerie. Le nom d'utilisateur configuré pour le serveur demessagerie dans la boîte de dialogue Propriétés de serveur doit être de laforme utilisateur @domaine. Si ce champ est laissé vide, les notifications sontenvoyées par SYSTEM@nom d'ordinateur . Si le serveur de notification a unnom utilisant des caractères sur deux octets (DBCS), vous devez spécifier lechamp de nom d'utilisateur avec un nom de compte d'email de la formeutilisateur @domaine.

7 Cliquez sur OK.Pour créer une notification de protection contre les menaces réseau

1 Dans la console, cliquez sur Contrôleurs.

2 Sur l'onglet Notifications, cliquez sur Conditions de notification.

3 Cliquez sur Ajouter et sélectionnez Alerte de sécurité client.

4 Tapez un nom pour cette notification.

5 Si vous voulez limiter cette notification à des domaines, groupes, serveursou ordinateurs spécifiques, spécifiez les options de filtrage que vous voulez.

6 Sélectionnez un des types suivants de manifestation :

■ Occurrences sur des ordinateurs distincts

■ Occurrences sur tout ordinateur

■ Occurrences sur un ordinateur

7 Pour spécifier le type d'activité de protection contre les menaces réseau,cochez l'une des cases suivantes :


318



■ Pour les attaques et les événements que le pare-feu ou la préventiond'intrusion détecte,cochez Evénementsdeprotectioncontrelesmenaces

réseau.

■ Pour les règles de filtrage déclenchées et enregistrées dans le journalPaquets, cochez Evénements de paquets.

■ Pour les règles de filtrage déclenchées et enregistrées dans le journalTrafic, cochez Evénements de trafic.

8 Eventuellement,modifiez lesconditions denotificationpardéfautpour définirle nombre d'occurrences dans le nombre de minutes que vous voulez voirdéclencher cette notification.

9 Cochez Envoyer un message électronique à, puis tapez les adressesélectroniques des personnes que vous voulez informer quand ces critères

sont remplis.10 Cliquez sur OK.

L'option Envoyer une alerte par message électronique dans la colonneConsigner de la liste Règles de filtrage de la politique est à présentopérationnelle. Quand cette notification est déclenchée, le courrierélectronique est envoyé.

Se reporter à "Configurer les messages électroniques pour les événementsde trafic" à la page 574.

A propos de la modification des notifications existantesVous pouvez modifier les paramètres d'une notification existante. Toutes lesentrées précédentes générées à partir de la notification affichent des messagesdans le journal des notifications en fonction de vos nouveaux paramètres. Si vousvoulez conserver vos messages de notification précédents dans la vue du journaldes notifications, ne modifiez les paramètres d'aucune notification existante. Aulieu de cela, créez une notification avec un nouveau nom. Ensuite, désactivez lanotification existante en désélectionnant les actions que vous avez configuréessous Que doit-il se produire lorsque cette notification est déclenchée.






320



Gérer des domaines et desadministrateurs


■ Gérer des domaines et des comptes administrateur

■ A propos des domaines

■ Ajout d'un domaine

■ Spécifier le domaine courant

■ A propos des administrateurs

■ Ajouter un compte d'administrateur

■ A propos des droits d'accès

■ Configurer les droits d'accès pour un administrateur limité

■ Basculer entre un administrateur et un administrateur limité

■ Verrouillage d'uncompted'administrateur aprèsde tropnombreusestentativesde connexion

■ Réinitialisation du mot de passe administrateur à admin

■ Installer l'authentification pour les comptes administrateur

■ Renommer un compte administrateur

■ Modifier le mot de passe d'un administrateur

14Chapitre



Gérer des domaines et des comptes administrateurVous gérez des domaines et des comptes administrateur sur la page Admin.

Tableau 14-1 Administration de compte

DescriptionTâche

Décidez si vous souhaitez ajouter ajouter des domainessupplémentaires pour des entreprises multiples.

Se reporter à "A propos des domaines" à la page 323.

Se reporter à "Ajout d'un domaine" à la page 324.

Se reporter à "Spécifier le domaine courant" à la page 325.

Décidez si voussouhaitez ajouter desdomaines multiples

Décidez quidoit accéderà SymantecEndpoint Protection Manager.Décidez si l'accès devrait être restreint ou sans restriction.

Ces administrateurs peuvent afficher et gérer le contenu de leurpropre domaine, mais ils ne peuvent pas afficher et gérer lecontenu d'autres domaines.


Décidez qui a besoind'un compte

Créez un compte pour les administrateurs et les utilisateurs quiont besoin de l'accès à Symantec Endpoint Protection Manager.

Se reporter à "Ajouter un compte d'administrateur" àlapage329.

Créez des comptes

Au besoin, vous pouvez modifier des comptes après que vous lesavez créé.

Se reporter à "Basculer entre un administrateur et unadministrateur limité" à la page 333.

Modifiez des comptes

Vous pouvez verrouiller un compte administrateur après quequelqu'un a essayé d'ouvrir une session à Symantec EndpointProtection Manager trop de fois.

Se reporter à "Verrouillage d'un compte d'administrateur aprèsde trop nombreuses tentatives de connexion" à la page 333.

Verrouiller un compteadministrateur

Gérer des domaines et des administrateursGérer des domaines et des comptes administrateur

322



DescriptionTâche

Vous pouvezeffectuer lestâchessuivantes pour desmots de passe :

■ Réinitialiser le mot de passe de compte d'administrateur àadmin.

Se reporter à "Réinitialisation du mot de passeadministrateurà admin" à la page 334.

■ Modifier le mot de passe d'un administrateur

Se reporter à "Modifier le mot de passe d'un administrateur"à la page 337.

Réinitialiser les motsde passe

A propos des domainesUn domaine est un conteneur structural dans la console Symantec EndpointProtection Manager utilisé pour organiser unehiérarchie des groupes,desclients,des ordinateurs et des politiques. Vous installez des domaines pour gérer vosressources réseau. Les domaines dans Symantec Endpoint Protection Managerne sont pas associés aux domaines de Microsoft.

Si votre entreprise est grande, avec des sites dans plusieurs régions, vous pouvezavoir besoind'une vueuniquedesinformationsdegestion. Cependant, vous pouvezdéléguer l'autorité administrative, séparer physiquement les données de sécuritéou avoir une plus grande flexibilité dans la façon dont les utilisateurs, lesordinateurset les politiques sont organisés. Si vous êtes un fournisseur de services

de supervision (MSP), vous pouvez avoir besoin de gérer plusieurs sociétésindépendantes, aussi bien que des fournisseurs d'accès Internet. Pour répondreà ces besoins, vous pouvez créer plusieurs domaines. Par exemple, vous pouvezcréer un domaine séparé pour chaque pays, région ou entreprise.

Quand vous installez un serveur de gestion, la console inclut un domaine. Chaquedomaine ajouté par vos soins partage les mêmes serveur de gestion et base dedonnées. Chaque domaine fournit une instance supplémentaire de la console.Toutes les données de chaque domaine sont complètement séparées. Cetteséparation empêche les administrateurs d'un domaine d'afficher les données desautres domaines. Vous pouvez ajouter un compte administrateur de sorte que

chaque domaine ait son propre administrateur. Ces administrateurs peuventafficheret gérer lecontenu deleur propredomaine, mais ils nepeuvent pas afficheret gérer le contenu d'autres domaines.


Gérer des domaines et des administrateursA propos des domaines



Figure 14-1 Présentation des domaines de Symantec Endpoint Protection

Manager

Symantec Endpoint Protection Manager

Domaine A

Console

SEPM

https

Domaine B

Console

SEPM

https

Domaine C

Console

SEPM

https

Client A

Client B

Client C

Base de données

SEPM (séparée

par domaine et

client)

Quand vous ajoutez le domaine, au début, le domaine est vide. Vous devezconfigurer le domaine pour qu'il soit le domaine courant. Vous ajoutez alors desgroupes, des clients, des ordinateurs et des politiques à ce domaine.


Se reporter à "Spécifier le domaine courant" à la page 325.

Vous pouvezcopier des politiqueset des clients d'un domaineà l'autre.Pour copierdespolitiques entre lesdomaines, vous exportez la politiquedu domaine d'origineet vous importez la politique dans le domaine de destination. Pour copier desclients entre les domaines, vous pouvez utiliser l'outil SylinkDrop. Cet outilremplace le fichier de communication sur un client pour permettre au client deparler à un serveur de gestion différent. L'outil SylinkDrop se trouve dans ledossier Tools\NoSupport\Sylinkdrop sur le CD 3.

Se reporter à "Exporter une politique" à la page 109.

Se reporter à "Récupérer les paramètres de communication client en utilisant

l'outil SylinkDrop" à la page 205.

Ajout d'un domaineVous pouvez ajouter un domaine si vous voulez utiliser plusieurs domaines. Parexemple, si vous gérez plusieurs sociétés indépendantes, vous pouvez vouloiravoir un domaine séparé pour chaque entreprise.

Gérer des domaines et des administrateursAjout d'un domaine

324



Se reporter à "A propos des domaines" à la page 323.

Remarque : Vous pouvez utiliser un ID de domaine pour la reprise après incident.

Si tous les serveurs de gestion de votre entreprise sont défaillants, vous devezrecréer le serveur de gestion en utilisant le même ID que l'ancien serveur. Vouspouvezobtenir l'ancien ID de domaine depuis le fichier sylink.xml dans n'importequel client.

Pour ajouter un domaine


2 Dans la page Admin, cliquez sur Domaines.

3 Sous Tâches, cliquez sur Ajouter domaine.

4 Dans la boîte de dialogue Ajouter un domaine, tapez un nom de domaine etun nom de société facultatif.

5 Dans la zone de texte Liste de contacts, tapez éventuellement desinformationssupplémentaires, telles que le nom de la personne responsable du domaine.

6 Pour ajouter un ID de domaine, cliquez sur Avancé et tapez la valeur dans lazone de texte.

7 Cliquez sur OK.

Spécifier le domaine courantAprès quevous ajoutezun nouveau domaine dans la console de Symantec EndpointProtection Manager, le domaine est vide. Pour ajouter de nouveaux groupes,clients, politiques et administrateurs au domaine, vous devez d'abord spécifierquel est le domaine courant. Dans le volet nom du domaine, le texte (Domainecourant) suit le nom de domaine. Le nom de domaine par défaut est Par défaut.Si vous avez beaucoup de domaines, vous devez parcourir la liste Affichage desdommaines pour afficher le domaine courant.

Si vous vous êtes connecté à la console en tant qu'administrateur système, vous

pouvez afficher tous les domaines quel que soit le domaine courant. Mais vous nepouvez afficher que les administrateurs et administrateurs limités qui ont étécréés dans le domaine courant. Si vous vous êtes connecté à la console en tantqu'administrateur ou administrateur limité, vous ne pouvez voir que le domaineauquel vous avez accès.

Si vous supprimez le domaine actuel, le serveur de gestion ferme votre session.Vous ne pouvez supprimer un domaine que s'il n'est pas le domaine courant et leseul domaine.

Gérer des domaines et des administrateursSpécifier le domaine courant



Pour spécifier le domaine courant


2 Dans la page Admin, cliquez sur Domaines.

3 Ajoutez et puis sélectionnez un nouveau domaine.


4 Sous Tâches, cliquez sur Administrer le domaine.

5 Dans la boîte de dialogue Administrer domaine, pour confirmer, cliquez surOui.

6 Cliquez sur OK.

A propos des administrateursVous utilisez des administrateurs pour gérer la structure organisationnelle et lasécurité du réseau de votre entreprise. Pour une petite entreprise, vous pouvezseulement avoir besoin d'un administrateur. Pour une grande entreprise avecplusieurssites et domaines, vous auriezbesoinde plusieursadministrateurs, dontune partie ont plus de droits d'accès que d'autres.

Pour vous aider à administrer le réseau, la console Symantec Endpoint ProtectionManager offre différents types de rôles d'administrateur : administrateursystème,administrateur et administrateur limité.

L'administrateur système est le super administrateur d'un réseau. Lesadministrateurs système peuvent afficher et modifier l'organisation tout entière.Un administrateur et un administrateurlimitésont tous deux un niveau en dessousd'un administrateur système. Un administrateur peut afficher et gérer toutes lestâches d'un seul domaine. Un administrateurlimité peut seulementgérer certainestâches dans le domaine. Par exemple, un administrateur limité peut seulementgérer un nombre limité de groupes dans un domaine.

Tableau 14-2 indique les responsabilités de chaque rôle d'administrateur.

Gérer des domaines et des administrateursA propos des administrateurs

326



Tableau 14-2 Rôles et responsabilités types de l'administrateur

ResponsabilitésRôle d'administrateur

Un administrateur système peut effectuer les tâchessuivantes :

■ Gèrer tous les domaines.

■ Créer et gérer tous les autres comptes administrateursystème, comptes administrateur et administrateurlimité pour tous les domaines.

■ Gèrer les bases de données et les serveurs de gestion.

■ Gèrer les modules d'application Enforcer.

■ Afficher et utiliser tous les paramètres de console.

Administrateur système

Un administrateur peut effectuer les tâches suivantes :

■ Gère un seul domaine.

■ Créer et gérer des comptes administrateur et descomptes administrateur limité dans un seul domaine.

Ces droits incluent les notifications, paramètres desécurité, paramètres de groupe et paramètres depolitique.

■ Ne peut pasgérerdes basesde données ou desserveursde gestion.

■ Ne peut pas gérer des modules d'application Enforcer.

■ Peut afficher et utiliser tous les paramètres de console

pour un seul domaine.

Administrateur




ResponsabilitésRôle d'administrateur

Un administrateur limité peut effectuer les tâchessuivantes :

■ Effectuer les tâches dans un domaine mais ne peut pasgérer un domaine.

■ Gèrer les rapports, exécuter les commandes distanteset configurer lespolitiques pour lesgroupes spécifiquesdans un seul domaine.

Les administrateurs limités qui n'ont pas accès à unepolitique spécifique et à des paramètres relatifs nepeuvent pasafficher ou modifier la politique. En outre,ils ne peuvent pas appliquer, remplacer ou retirer unepolitique.

■ Ne peut pas créer d'autres comptes administrateurlimités.

Seulun administrateur système ou un administrateurpeutconfigurer les droits pour l'administrateur limité.

■ Gère les droits de mot de passe pour son comptepersonnel uniquement.

■ PeutafficherDomicile, Contrôles ou signalerdespagesdans la console seulement s'il a recçu les droits luipermettant d'effectuer des rapports.

Administrateur limité

Vous pouvez définir un rôle d'administrateur pour chaque type d'administrateur

dans votre société. Par exemple, une grande entreprise peut utiliser les typesd'administrateurs suivants :

■ Un administrateur qui installe le serveur de gestion et les packagesd'installation client. Après que le produit soit installé, un administrateurresponsable des opérations prend la relève.

■ Un administrateur d'opérations met à jour les serveurs, bases de données etinstalle des correctifs.

■ Un administrateurd'antivirus, quicrée et met à jour l'antivirus et les politiquesantivirus et le Politiques LiveUpdate sur les clients.

■ Un administrateur de bureau, qui est responsable de la sécurité et crée et metà jour les politiques de pare-feu et des politiques de prévention d'intrusionpour les clients.

■ Un administrateur de service de support, qui crée des rapports et a accès auxpolitiques en lecture seule. L'administrateur d'antivirus et l'administrateurde bureaulisentles rapportsquel'administrateurde service de support envoie.


328



Dans ce scénario, l'administrateur qui installe le serveur de gestion etl'administrateur d'opérations devraient être des administrateurs système.L'administrateur d'antivirus et l'administrateur de bureau devraient être des

administrateurs pour leur domaine uniquement. L'administrateur de service desupport devrait être un administrateur limité.

Lorsquevousinstallez Symantec EndpointProtectionManager, un administrateursystème par défaut appelé admin est créé. Vous pouvez ensuite créer un comptepour tous les administrateurs que vous ajoutez.


Ajouter un compte d'administrateur

A mesure que votre réseau se développe ou évolue, il se peut que vous trouviez lenombre d'administrateurs insuffisant pour répondre à vos besoins. Vous pouvezajouter un ou plusieurs administrateurs.Lorsque vousajoutez un administrateur,vousspécifiez sesfonctions et sescontraintes.En tantqu'administrateur système,vous pouvez ajouter un autre administrateur système, un administrateur ou unadministrateur limité. En tant qu'administrateur d'un domaine, vous pouvezajouter d'autres administrateurs et administrateurs limités et configurer leursdroits.


Avertissement : Si vous créez un nouveau compte d'administrateur pourvous-même,vous pouvez remplacer votre proprenom d'utilisateur et mot de passede connexion.

Pour ajouter un administrateur


2 Dans la page Admin, cliquez sur Administrateurs.

3 Sous Tâches, cliquez sur Ajouter un administrateur.

4 Dans la boîte de dialogue Ajouter un administrateur, entrez le nom del'administrateur.

Ce nom est celui avec lequel l'administrateur se connecte et par lequel il estreconnu dans l'application.

5 Eventuellement, entrezle nomcomplet de l'administrateur dans la deuxièmezone de texte.

Gérer des domaines et des administrateursAjouter un compte d'administrateur



6 Entrez puis confirmez le mot de passe.

Le mot de passe doit contenir au moins six caractères. Tous les caractèressont autorisés.

7 Pour configurer la méthode d'authentification, cliquez sur Modifier.

La valeur par défaut est Authentification de serveur de gestion Symantec.Vous pouvez configurer le délai d'expiration du motde passe pour la méthodepar défaut ou modifier la méthode d'authentification.

Se reporter à "Installer l'authentification pour les comptes administrateur"à la page 335.

8 Cliquez sur OK.

9 Sélectionnez l'un des types d'administrateur suivante :

■ Administrateur système

■ Administrateur

les administrateurs peuvent exécuter des rapports sur tous les groupes.Si vous avez migré depuis Symantec AntiVirus 10.x et voulez quel'administrateur exécutedesrapports pour cesgroupes de serveurs migrés,cliquez sur Droits sur les rapports.

■ Administrateur limité


10 Cliquez sur OK.

A propos des droits d'accèsPar défaut, les administrateurs ont accès à toutes les fonctions dans un domaineunique. Ils peuvent également exécuter des rapports sur tous les groupes dudomaine,excepté les groupes quiontmigré depuis Symantec AntiVirus 10.x. Vousdevez configurer de manière explicite les droits de rapport à ces groupes migrés.

Les administrateurs limités par défaut n'ont aucun droit d'accès. Vous devez

configurer de manière explicite les droits de rapport, les droits sur les groupes,les droits de commande et les droits de politique pour ce type d'administrateur.

Remarque : Certaines parties de l'interface utilisateur ne sont pas à la dispositiondes administrateurs limités quand vous limitez les droits d'accès.

Quand vous limitez les droits, vous limitez les types de journaux quel'administrateur limité peut afficher ou manipuler dans l'onglet Contrôles. Vous

Gérer des domaines et des administrateursA propos des droits d'accès

330



limitez également les paramètres disponibles dans l'onglet Politiques de la pageClients.

Les administrateurs ont par défaut tous les droits d'accès, excepté des droits de

rapport auxgroupes de serveursde Symantec AntiVirus10.x. Lesadministrateurslimités n'ont aucun droit d'accès par défaut ; vous devez explicitement configurerles droits.

Tableau 14-3 Types de droits d'accès

DescriptionTypes de droits

d'accès

Pourles administrateurs, indiquelesgroupesde serveurs de SymantecAntiVirus exécuté 10.x pour lequel l'administrateur peut afficher desrapports.Lesadministrateurs peuventaffichertouslesautres rapports.

Pour les administrateurs limités, indique tous les ordinateurs pourlesquels l'administrateur peut exécuter des rapports. Indiqueégalement les groupes de serveursqui exécutent Symantec AntiVirus10.x pour lequel l'administrateur peut afficher des rapports.

Droits de reporting

Pour les administrateurs limités seulement, indique quels groupesl'administrateur limité peut afficher et gérer (accès complet), peutafficher uniquement (accès en lecture seule) ou ne peut pas afficher(aucun accès).

Droits de Groupe

Pourlesadministrateurslimités seulement, indiquequels commandes

l'administrateur limité peut exécuter sur les ordinateurs client.L'administrateur limité peut seulement exécuter ces commandes surles clients et les groupes auxquels elles ont un accès total.

Les droits de commande sont seulement disponibles si le reportingdesdroits ou lesdroitsde groupesont configurés pour l'administrateurlimité.

Droits de

Commande

Pourlesadministrateurs limitésseulement, indique quellespolitiqueset paramètres liés aux politiques l'administrateur peut gérer.

Droits de type depolitique

Se reporter à "Configurer les droits d'accès pour un administrateur limité"

à la page 331.

Configurer les droits d'accès pour un administrateurlimité

Si vous ajoutez un compte pour un administrateur limité, vous devez égalementspécifier les droits d'accèsde l'administrateur. Vous devez spécifier queles droits

Gérer des domaines et des administrateursConfigurer les droits d'accès pour un administrateur limité



d'accès créés pour l'administrateur limité sont dans un état désactivé etl'empêchent de se connecter au serveur de gestion.

Se reporter à "A propos des droits d'accès" à la page 330.

Remarque : Assurez-vous que vous accordez des droits de création de rapportsaux administrateurs limités qui utiliseront Symantec Protection Center pouraccéderà la consoleSymantec Endpoint ProtectionManager. Lesdroits de créationde rapport sont nécessairespourintégrer Symantec EndpointProtection Manageravec Symantec Protection Center.


Pour configurer les droits pour un administrateur limité1 Dans la console, cliquez sur Admin.

2 Sur la page Administrateur, cliquez sur Administrateurs.

3 Sélectionnez un administrateur limité.

Vous pouvez également configurer les droits d'accès quand vous créez uncompte administrateur limité.


4 Sous Tâches, cliquez sur Modifier les propriétés administrateur, puis sur

Droits d'accès.5 Sur l'onglet Droits d'accès, assurez-vous qu'Administrateur limité est

sélectionné et effectuez l'une des actions suivantes :

■ Cochez Afficher les rapports et cliquez sur Droits sur les rapports.

■ Cochez Afficher les groupes et cliquez sur Droits sur les groupes.

■ Cochez l'option Exécuter des commandes à distance et puis cliquez surDroits de commande.

■ Cochez Gérerles politiques, puis cliquez sur Droitsdetypedepolitique.

Vouspouvez autoriser l'administrateur à créeruniquement despolitiquesnon partagées pour un emplacement en cochant Autoriser uniquement

la modification de politiques spécifiques à un emplacement.

6 Cliquez sur OK.

Gérer des domaines et des administrateursConfigurer les droits d'accès pour un administrateur limité

332



Basculer entre un administrateur et un administrateurlimité

Vous pouvez passerd'un administrateurà un administrateur limité et vouspouvezpasser d'un administrateur limité à un administrateur. Vous pourriez vouloirmodifier le type d'administrateur si les responsabilités de vos administrateurschangent. Par exemple, vous pourriez vouloir qu'un administrateur limité puissecréer d'autres comptes d'administrateur. Ou, vous pourriez vouloir passer d'unadministrateur à un administrateur limité pour limiter les droits d'accès.

Pour passer d'un administrateur à un administrateur limité


2 Dans la page Admin, cliquez sur Administrateurs.

3 Sous Afficher les administrateurs, sélectionnez l'administrateur.

4 Sous Tâches, cliquez sur Edit Administrator Properties, puis sur Droits

d'accès.

5 Dans l'onglet Droits d'accès, exécutez l'une des tâches suivantes :

■ Cliquez sur Administrateur.

Si vous avez migré depuis Symantec AntiVirus 10.x et voulez quel'administrateur exécutedesrapports pour cesgroupes de serveurs migrés,cliquez sur Droits sur les rapports.

■ Cliquez sur Administrateur limité.Configurez les droits pour l'administrateur limité.

6 Cliquez sur OK.

Verrouillage d'un compte d'administrateur après detrop nombreuses tentatives de connexion

Vous pouvez verrouiller le compte de l'administrateur après un certain nombrede tentatives de connexion. Vous pouvez également configurer le serveur de

gestion pour envoyer un message électronique à l'administrateur au sujet ducompte verrouillé. La notification peut alerter l'administrateur qu'un autreutilisateur a essayé d'ouvrir une session avec les informations d'authentificationde l'administrateur.

Par défaut, les comptes administrateur sont verrouillés après 5 tentativesd'ouverture de session. La valeur des tentatives de connexion est réinitialisée à 0après quel'administrateur s'est connecté avec succèset ensuite, s'est déconnecté.

Gérer des domaines et des administrateursBasculer entre un administrateur et un administrateur limité



L'administrateur a le nombre complet de tentatives pour se connecter à nouveauultérieurement. Après que l'administrateur a atteint la limite de tentatives deconnexion infructueuses, le compte est verrouillé. L'administrateur doit alors

attendre le nombre de minutes spécifié avant d'essayer de se connecterà nouveau.Pour verrouiller un compte d'administrateur après de trop nombreuses tentatives

de connexion


2 Sur la page Admin (Admin), cliquez sur Administrators (Administrateurs).

3 Sous View Administrators (Afficher les administrateurs), sélectionnezl'administrateur.

4 Sous Tasks (Tâches), cliquez sur Edit Administrator Properties (Modifierles propriétés d'administrateur).

5 Sur l'onglet Général, dans la zone de texte Courrier électronique, tapezl'adresse électronique de l'administrateur.

Le serveur de gestion envoie un message électronique à cette adresseélectronique lorsque le serveur de gestion verrouille le compted'administrateur. Vous devez sélectionner la case à cocher Send email alert

when account is locked (Envoyer une alerte par message électronique

lorsque le compte est verrouillé) pour envoyer le messsage électronique.

6 Sous Log On Attempt Threshold (Seuil de Tentative de Connexion), déplacezle curseur pour définir le nombre de tentatives de connexion incorrectes

permises.

7 Pour verrouiller le compte lorsque l'administrateur a dépassé le nombre detentatives de connexion, cliquez sur Lockthisaccountwhenlogonattempts

exceed the threshold (Verrouiller ce compte lorsque les tentatives de

connexion dépassent le seuil).

8 Cochez ou désélectionnez le Envoyer une alerte par courrier électronique

quand le compte est verrouillé, puis définissez le nombre de minutes.

9 Cliquez sur OK.

Réinitialisation du mot de passe administrateur àadmin

Vous pouvez utiliser le resetpass.bat pour réinitialiser le mot de passe pour lecompte d'administrateur Symantec Endpoint Protection Manager.

Gérer des domaines et des administrateursRéinitialisation du mot de passe administrateur à admin

334



Remarque : Si vous modifiez le nom admin du compte d'administrateur, puis

exécutez resetpass.bat, le nom du compte redevient admin.


Pour réinitialiser le mot de passe d'administrateur

1 Ouvrez l'Explorateur Windowssurl'ordinateurquiexécute SymantecEndpointProtection Manager.

2 Recherchez le dossier <Drive>:\Program Files\Symantec\Symantec

Endpoint Protection Manager\Tools.

3 Cliquez deux fois sur le fichier exécutable resetpass.bat.

Le mot de passe est réinitialisé sur admin.

4 Modifiez le mot de passe immédiatement.

Avertissement : N'utilisez pas le compte de "admin" lors de l'installation d'ActiveDirectory Authentication. Utilisez un nouveau compte administrateur pour utiliserActive Directory Authentication. Pour plusd'informations, consultez le documentde la base de données du support technique de Symantec, How to setup a SEPMadministrator account to use your Active Directory authentication (Commentinstaller un compte administrateur SEPM pour utiliser votre authentificationActive Directory).

Installer l'authentification pour les comptesadministrateur

Lorsque vous ajoutez un administrateur, vous pouvez spécifier la méthoded'authentification qu'utilise le serveur de gestion pour authentifier les comptesadministrateurs.

Vous pouvez authentifier les administrateurs en utilisant le serveur de gestionavec RSASecurID.Vous devez vérifier quevous disposez d'un serveur RSAexistant

et que vous avez déjà installé et configuré le serveur RSA SecurID sur un autreordinateur. Vérifiez également que le serveur SecurID RSA peut communiqueravec l'agent SecurID.

Vous pouvezactiver lasécurité RSApour des comptes administrateur surSymantecEndpoint Protection Manager.

Les mécanismes suivants de connexion RSA sont pris en charge :

■ Jeton RSA SecurID (pas les jetons logiciels RSA)

Gérer des domaines et des administrateursInstaller l'authentification pour les comptes administrateur







■ Carte SecurID RSA

■ Carte de pavé numérique RSA (pas les cartes à puce RSA)

Pour installer l'authentification des comptes administrateur1 Ajoutez un compte administrateur.


2 A la page Administrateurs, sous Afficher les administrateurs, sélectionnezl'administrateur.

3 Sous Tâches,cliquezsurModifierpropriétésdel'administrateurpuiscliquezsur Authentification.

4 Dans l'onglet Authentification, sélectionnez l'une des optionsd'authentifications suivantes que vous souhaitez utiliser pour authentifier

le compte de l'administrateur :

■ Authentificationdu serveurde gestionSymantec, puissélectionnez quandle mot de passe d'authentification doit expirer.

Se reporter à "Ajout de serveurs de répertoires" à la page 354.

■ Authentification RSA SecurID

Se reporter à "Configuration de Symantec Endpoint Protection Managerpour utiliser l'authentification RSA SecurID" à la page 370.

■ Authentification du répertoire

Tapez ensuite le nom du serveur de répertoires et du compte de

l'administrateur.

5 Cliquez sur OK.

Renommer un compte administrateurPour modifier des responsabilités ou des affectations, vous pouvez modifier lenom que vous avez donné à un compte administrateur.

Pour renommer un compte administrateur

1 Dans la console, cliquez sur Administration.2 Dans la page Admin, cliquez sur Administrateurs.

3 SousAfficher les administrateurs, sélectionnezl'administrateur à renommer.

4 Sous Tâches, cliquez sur Renommer l'administrateur.

Gérer des domaines et des administrateursRenommer un compte administrateur

336



5 Dans la boîte de dialogue Renommer l'administrateur pour nom, modifiez lenom du compte.

6 Cliquez sur OK.

Modifier le mot de passe d'un administrateurPour des raisons de sécurité, vous pouvez devoir modifier le mot de passe d'unadministrateur.

Lorsque vous configurez le serveur de gestion dans l'Assistant de configurationdu serveur de gestion, vous sélectionnez une installation simple ou avancée. Sivous sélectionnez l'installation simple, le mot de passe que vous saisissez estidentique au mot de passe de chiffrement. Si vous modifiez le mot de passe de

l'administrateur, le mot de passe de chiffrement ne change pas.Pour modifier le mot de passe d'un administrateur


2 Sur la page Admin, cliquez sur Administrateurs.

3 Sous Afficher les administrateurs, sélectionnez l'administrateur voulu.

4 Sous Tâches, cliquez sur Modifier le mot de passe de l'administrateur.

5 Entrez et confirmez le nouveau mot de passe.

Le mot de passe doit comporter six caractères ou plus et tous les caractères

sont permis.

6 Cliquez sur OK.

Gérer des domaines et des administrateursModifier le mot de passe d'un administrateur



Gérer des domaines et des administrateursModifier le mot de passe d'un administrateur

338



Tâches administratives

avancées

■ Chapitre 15. Gérer des sites

■ Chapitre 16. Gestion des serveurs

■ Chapitre 17. Gestion des serveurs de répertoires

■ Chapitre 18. Gestion des serveurs de messagerie

■ Chapitre 19. Gestion des serveurs proxy

■ Chapitre 20. Gestion des serveurs RSA

■ Chapitre 21. Gestion des certificats de serveur

■ Chapitre 22. Gestion des bases de données

■

Chapitre 23. Réplication des données■ Chapitre 24. Gestion de la protection contre les interventions

2Section



340



Gérer des sites


■ A propos de la gestion de site

■ A propos de la réplication de site sur plusieurs sites de l'entreprise

■ A propos des sites distants

■ Modification des propriétés du site

■ Sauvegarde d'un site

■ Suppression de sites distants

A propos de la gestion de siteSymantec Endpoint Protection organise les installations de composants dans lessites. Unsite comporte un ouplusieurs serveurs degestion et une basededonnées(MS SQL ou intégrée). Il peut également comprendre un ou plusieurs modulesd'application Enforcer, lesquels sont généralement stockés ensemble, dans lesmêmes locaux d'entreprise. Les grandes sociétés installent généralement denombreux sites. Le nombre de sites nécessaires varie en fonction du nombre delocaux et de filiales de l'entreprise ainsi que des zones affectées aux différentssous-réseaux. La direction de l'entreprise et les services informatiques sont

généralement chargés de déterminer le nombre et l'emplacement de ces sites.Le site local est la console Symantec Endpoint Protection Manager sur laquellevous êtes connecté. Toutefois, cela ne signifie pas nécessairement que le site estphysiquement local. Ce site peut se trouverdans une autre ville. Lessites distantscorrespondent aux sites liés au site local en tant que partenaires de réplication.

Vous pouvez centralement gérer la sécurité du réseau à partir de toute consolesur laquelle vous pouvez gérer des sites locaux et des sites distants.

15Chapitre



Pour les sites locaux et distants, vous pouvez effectuer les tâches suivantes àpartir d'un site particulier :

■ Modifier la description d'un site.


■ Définir la console pour fermer une session après un certain temps.


■ Effacer les clients qui n'ont pas été connectés depuis un certain temps.


■ Configurer les seuils des journaux.

■ Planifier des rapports quotidiens et hebdomadaires.

■ Configurer la journalisation externe pour filtrer les journaux et les transférer

vers un fichier ou un serveur Syslog.

■ Modifier le nom et la description d'une base de données.

Sereporterà"Modification du nomet de la description d'une base de données"à la page 391.

Lorsque vous vous trouvez sur un site particulier,vous pouvezeffectuerles tâchessuivantes pour un site local uniquement :

■ Sauvegarder le site local immédiatement.

Sereporterà"Sauvegarde d'une base de données MicrosoftSQL"àlapage383.

Se reporter à "Sauvegarde d'une base de données intégrée" à la page 388.

■ Modifier la planification de sauvegarde.

Se reporter à "Planification des sauvegardes automatiques de la base dedonnées" à la page 389.

■ Supprimer un serveursélectionné (uniquement si plusieurs serveurs de gestionsont connectés à une seule base de données Microsoft SQL).

■ Ajouter une connexion à un partenaire de réplication du même site.

Sereporterà "Ajouteret déconnecter un partenairede réplication" àlapage414.

■ Mettre à jour le certificat de serveur.

Se reporter à "A propos des types de certificats de serveur" à la page 373.

■ Rechercher des informations dans la base de données.

Ces listes ne sont pas complètes. Elles donnent simplement une idée des types detâche que vous pouvez effectuer localement ou à distance.

Il estimpossible d'effectuer certainestâchesà partird'un site distant. Pour installerun nouveau site, vous devez accéder à un ordinateur spécifique sur lequel vousavezinstallé un serveurde gestion ou un moduled'application Enforcer. Toutefois,

Gérer des sitesA propos de la gestion de site

342



vous pouvez vous connecter sur un site à distance pour effectuer d'autres tâchesqui peuvent être effectuées uniquement sur la console d'un site local.

Se reporter à "Connexion à la console Symantec Endpoint Protection Manager."

à la page 39.

A propos de la réplication de site sur plusieurs sitesde l'entreprise

Après l'installation du premier site dans uneentreprise, vous pouvez installerdessites supplémentairescomme partenaires de réplication.Vous pouvezajouter despartenaires de réplication en installant un deuxième site et les sites ultérieurs.

Consultez le Guide d'Installation de Symantec Endpoint Protection et de Symantec

Network Access Control pour plus d'informations sur la façon dont configurer lepremier site pendant l'installation initiale.

A propos des sites distantsVous pouvez afficher d'autres sites à partir de l'onglet Serveurs. Si vous êtesconnecté auxautresconsolesSymantec Endpoint Protection Manager, vous pouvezégalementmodifier despropriétés deserveur du site distant. Vous pouvezeffectuerles tâches suivantes sur des sites distants :

■ Supprimer un site distant et ses partenariats de réplication.■ Modifier la description du serveur distant.

■ Modifier l'accès à la console de site à distance.

■ Installer un serveur de messagerie pour un site distant.

■ Planifier une synchronisation de serveur de répertoire pour un site distant.

■ Configurer une connexion du serveur du site distant à un serveur proxy.

■ Configurer la consignation externe pour envoyer des journaux à un fichier ouun serveur Syslog.

Modification des propriétés du siteLes propriétés du site sont les suivantes :

■ Nom du site et description de site

■ Spécification du laps de temps pour l'expiration de la console

Gérer des sitesA propos de la réplication de site sur plusieurs sites de l'entreprise



■ S'il faut supprimer les clients qui ne se sont pas connectés après un certainlaps de temps

■ Si les applications apprises sont activées ou non pour le site

■ Tailles maximum de journal qui sont conservées sur le site

■ Planification des rapports

Vous pouvez modifier des propriétés de site local ou à distance à partir de laconsole.

Pour modifier des propriétés de site


2 Dans la page Admin, sous Tâches, cliquez sur Serveurs.

3 Dans la page Admin, sous Afficher, développez Site local (nom_site) ou Sitesdistants.

4 Sélectionnez le site dont vous voulez modifier les propriétés.

5 Dans la page Admin, sous Tâches, cliquez surModifierlespropriétésdusite.

6 Dans la boîte de dialogue Propriétés du site, dans l'onglet Général, modifiezla description du site dans la zone Description.

Vous pouvez utiliser jusqu'à 1024 caractères.

7 Dans la boîte de dialogue Propriétés du site, dans l'onglet Général, sélectionnezune valeur, de 5 minutes à Jamais, dans la liste de délai d'expiration de la

console.

Le paramètre par défaut est d'une (1) heure. L'administrateur estautomatiquement déconnecté de la console quand le délai d'expiration de laconsole est atteint.

8 Dans la boîte de dialogue Propriétés du site, dans l'onglet Général, cochezSupprimer les clients ne s'étant pas connectés depuis x jours.

Vous pouvez supprimer les utilisateurs qui ne se sont pas connectés pendantun nombre spécifié de jours (de 1 à 99999). Le paramètre par défaut est activépendant une période de trente (30) jours.

Gérer des sitesModification des propriétés du site

344



9 Dans la boîte de dialogue Propriétés de site, dans l'onglet Général, cochezSuivre chaque application excutée par les clients.

Lesapplicationsapprises aidentlesadministrateurs à suivrel'accès au réseau

d'un client et l'utilisation d'applications en enregistranttoutes lesapplicationsdémarrées surchaque client. Vouspouvez activer ou désactiverl'apprentissagedes applications pour un site spécifique. Si cette option n'est pas activée, lesuivi des applications ne se produit pas pour ce site. De même, le suivi desapplications ne se produit plus même s'il est activé pour les clients qui seconnectent au siteindiqué. Cette option fonctionnecomme une option maître.

10 Dans la boîte de dialogue Propriétésde site, dans l'onglet Général, sélectionnezun serveur de rapport dans la liste Sélectionner un serveur pour envoyer desnotifications et exécuter des rapports planifiés.

Cette option n'est appropriée que si vous utilisez une base de donnéesMicrosoft SQL qui est connectée à plusieurs bases de données.

11 Cliquez sur OK.

Sauvegarde d'un siteQuand vous sauvegardez des informations sur un site, vous effectuez la mêmetâche que lorsque vous sauvegardez une base de données pour un site.

Se reporter à "Sauvegarde d'une base de données Microsoft SQL" à la page 383.

Se reporter à "Sauvegarde d'une base de données intégrée" à la page 388.Pour sauvegarder un site :


2 Dans la page Administrateur, sous Tâches, cliquez sur Serveurs.

3 Dansla page Administrateur, sous Afficher lesserveurs, cliquezsur localhost.

4 Dans la page Administrateur, sous Tâches, cliquez sur Modifier les

paramètres de sauvegarde.

5 Dans la boîte de dialogue Site de sauvegarde pour le site local : (Nom du site),

sélectionnez le nom du serveur de sauvegarde dans la liste des serveurs desauvegarde.

Pardéfaut,le chemind'accèsestProgram Files\Symantec\Symantec EndpointProtection Manager\data\backup.

Cependant,vous pouvezmodifier le nomdu chemin de sauvegarde en utilisantl'un des utilitaires de sauvegarde disponibles.

Gérer des sitesSauvegarde d'un site



6 Sélectionnez le nombre de sauvegardes à conserver dans la liste intituléeNombre de sauvegardes à conserver.

Vous pouvez sélectionnerjusqu'à 10 sauvegardes quevous pouvez conserver

avant qu'une copie de sauvegarde soit automatiquement supprimée.

7 Cliquez sur OK.

Suppression de sites distantsLorsque vous supprimez un serveur sur le site distant d'une société, vous devezle supprimer manuellement de tous les serveurs de gestion. Les serveurs sontrépertoriés sous Sites distants. La désinstallation du logiciel d'une console deserveur de gestion ne fait pas disparaître l'icône du volet Serveurs sur les autres

consoles.Pour supprimer des sites distants


2 Dans la page Admin, sous Tâches, cliquez sur Serveurs.

3 Dans la page Admin, sous Afficher, cliquez sur Sites distants.

4 Dans la page Admin, sous Afficher, développez Sites distants et sélectionnezle site que vous prévoyez de supprimer.

5 Cliquez sur Supprimer un site distant.

Dans la boîte de dialogue Supprimer un site distant, vous êtes invité àconfirmer la suppression du site distant :

La suppression du site distant supprime également tous les

partenariats de réplication auxquels ce site participe.

Etes-vous sûr de vouloir supprimer ce site ?

6 Cliquez sur Oui pour supprimer le site distant.

Vous pouvez rajouter un site distant qui a été supprimé en ajoutant un

partenaire de réplication.

Gérer des sitesSuppression de sites distants

346



Gestion des serveurs


■ A propos de la gestion de serveur

■ A propos des serveurs et des mots de passe tiers

■ Démarrer et arrêter le service de serveur de gestion

■ Octroi ou refus d'accéder auxconsoles distantes Symantec EndpointProtectionManager

■ Suppression des serveurs sélectionnés

■ Exportation et importation des paramètres de serveur

A propos de la gestion de serveurVous pouvez gérer tous les types de serveurs de façon centralisée depuis la pageAdmin dans la console Symantec Endpoint Protection Manager.

La page Admin, sous Afficherles serveurs, répertorie lesregroupementssuivants:

■ Site local

La console sur le site local, bases de données, partenaires de réplication, telsque d'autres consoles dont les bases de données répliquent et modulesd'application Enforcer facultatifs

■ Sites distants

La console sur tout site distant, les bases de données, les partenaires deréplication, tels que les autres serveurs de gestion dont les bases de donnéessont répliquées, et les modules d'application Enforcer facultatifs

16Chapitre



A propos des serveurs et des mots de passe tiersTous les serveurs pour lesquels vous pouvez établir une connexion exigent que

vous configuriez des mots de passe tiers dans Symantec Endpoint ProtectionManager. Les mots de passe tiers sont automatiquement enregistrés dans la basede données créée lors de l'installation du serveur de gestion.

Vous êtes généralement invité à fournir un mot de passe tiers lors de laconfiguration des types de serveur suivants :

■ Serveurs de messagerie

■ Serveurs de répertoires

■ Serveurs RSA

■ Serveurs proxy

Démarrer et arrêter le service de serveur de gestionQuand vous installez Symantec Endpoint Protection Manager, la dernière étapede l'assistant de configuration de serveur inclut une case à cocher pour la console(sélectionnée par défaut). Si vous laissez la case à cocher sélectionnée, la consoledémarre automatiquement.

Le serveur de gestion s'exécute en tant que service automatique. S'il ne démarrepas automatiquement, vous pouvez le démarrer (et l'arrêter ensuite) en utilisant

Services dans Outils d'administration du menu Démarrer.

Remarque : Si vous arrêtez le service de serveur de gestion, les clients ne peuventplus ne se connecter à elle. S'il faut que les clients communiquent avec le serveurde gestion afin de se connecter au réseau, l'accès leur est refusé jusqu'auredémarrage du service de serveur de gestion.

Par exemple, un client doit communiquer avec le serveur de gestion pour réussirune vérification de l'intégrité de l'hôte.

Pour démarrer le service de serveur de gestion

◆ A partir d'une invite de commande, tapez :

net start semsrv

Gestion des serveursA propos des serveurs et des mots de passe tiers

348



Pour arrêter le service de serveur de gestion

◆ A partir d'une invite de commande, tapez :

net stop semsrv

Vous pouvez également redémarrer la console pour démarrer le serviceautomatiquement.

Octroi ou refus d'accéder aux consoles distantesSymantec Endpoint Protection Manager

Vous pouvez sécuriser la console principale en autorisant ou en refusant l'accèsaux ordinateurs sur lesquels une console distante est installée. Par défaut, l'accès

est autorisé à toutes les consoles. Les administrateurs peuvent se connecter à laconsole principale localement ou à distance de n'importe quel ordinateur sur leréseau.

Outre la possibilité d'accorder ou de refuser globalement l'accès, vous pouvezspécifier des exceptions par adresse IP. La liste d'exceptions refuseautomatiquementl'accèssi vous avez choisi d'accorderl'accèsà toutes lesconsolesdistantes. A l'inverse, si vous refusez l'accès à toutes les consoles distantes, vousaccordez automatiquement l'accès à toutes les exceptions.

Quand vous créez une exception, l'ordinateur que vous avez spécifié doit avoirune adresse IP statique. Vous pouvez également créer une exception pour ungroupe d'ordinateurs en spécifiant un masque de sous-réseau. Par exemple, vouspouvez autoriser l'accès dans toutes les zones que vous gérez. Cependant, vouspouvez vouloir refuser l'accès à une console qui se trouve dans un secteur public.

Pour autoriser ou refuser l'accès à une console distante


2 Sous Afficher les serveurs, sélectionnez le serveur dont vous souhaitezmodifier l'autorisation d'accès de console.

3 Sous Tâches, cliquez sur Modifier les propriétés du serveur.

4 Dans l'onglet Général, cliquez sur Accès autorisé ou Accès refusé.

Gestion des serveursOctroi ou refus d'accéder aux consoles distantes Symantec Endpoint Protection Manager



5 Si vous voulez spécifier des adresses IP des ordinateurs qui sont exempts decette autorisation d'accès à la console, cliquez sur Ajouter.

Les ordinateurs que vous ajoutez deviennent des exceptions par rapport à

ceux auxquels l'accès estaccordé. L'accèsestrefuséà cesordinateurs.Si voussélectionnez Accès refusé, les ordinateurs que vous spécifiez deviennent lesseuls auxquel l'accès est autorisé. Créez une exception pour un ordinateurunique ou un ensemble d'ordinateurs.

6 Dans la boîte de dialogue Refuser l'accès console, cliquez sur l'une desoptionssuivantes :

■ Ordinateur individuel

Pour un ordinateur individuel, tapez l'adresse IP.

■ Groupe d'ordinateurs

Pour plusieurs ordinateurs, tapez à la fois l'adresse IP et le masque desous-réseau du groupe.

7 Cliquez sur OK.

Les ordinateurs apparaissent maintenant dans la liste d'exceptions. L'étatd'autorisation de chaque adresse IP/masque apparaît.

Si vous modifiez Accès autorisé pour Accès refusé ou vice versa, toutes lesexceptions changent également.Si vousavezcréédesexceptions pourrefuserl'accès, l'accès leur est maintenant accordé.

8 Cliquez sur Modifier tout pour modifier les adresses IP ou les noms d'hôte

des ordinateurs qui apparaissent dans la liste d'exceptions.

L'éditeur d'adresse IP apparaît. L'éditeur d'adresse IP est un éditeur de textequi vous permet de modifier des adresses IP et des masques de sous-réseau.

9 Cliquez sur OK.

10 Quand vous avez terminé d'ajouter des exceptions à la liste ou de modifier laliste, cliquez sur OK.

Suppression des serveurs sélectionnésMalgré la désinstallationd'installations multiplesde SymantecEndpointProtectionManager, il estpossible quecesinstallations continuentà s'afficherdans la consoledu serveur de gestion. Dans ce cas, vous devez supprimer les connexions.

Ces situations se présentent généralement lorsque vous utilisez une base dedonnées Microsoft SQL à laquelle plusieurs serveurs de gestion sont connectés.Un serveur de gestion désinstallé continue à apparaître dans les autres consoles.Vous devez supprimer manuellement les serveurs qui ne sont plus connectés.

Gestion des serveursSuppression des serveurs sélectionnés

350



Pour supprimer les serveurs sélectionnés

1 Arrêtez le service Symantec Endpoint Protection Manager.

Se reporter à "Démarrer et arrêter le service de serveur de gestion"à la page 348.


3 Dans la page Administration, cliquez sur Serveurs.

4 Sous Afficher les serveurs, développez Site local (nom de site) et cliquez surle serveur de gestion que vous voulez supprimer.

5 Cliquez sur Supprimer le serveur sélectionné.

6 Cliquez sur Oui pour confirmer que vous voulez supprimer le serveursélectionné.

Exportation et importation des paramètres de serveurVous pouvez exporter ou importer des paramètres pour un Symantec EndpointProtection Manager. Les paramètres sont exportés vers un fichier au format .xml.

Pour exporter des paramètres de serveur


2 Sous Afficher les serveurs, développez Site local (nom de site de site), puissélectionnez le serveur de gestion que vous voulez exporter.

3 Cliquez sur Exporter les propriétés du serveur.

4 Sélectionnez un emplacement dans lequel enregistrer le fichier et spécifiezun nom de fichier.


Pour importer des paramètres de serveur


2 Sous Afficher les serveurs, développez Site local (Site nom de site), puissélectionnez le serveur de gestion pour lequel vous voulez importer desparamètres.

3 Cliquez sur Importer les propriétés du serveur.

4 Sélectionnezle fichier quevous souhaitezimporter, puis cliquezsurImporter.

5 Cliquez sur Oui pour confirmer l'importation.

Gestion des serveursExportation et importation des paramètres de serveur



Gestion des serveursExportation et importation des paramètres de serveur

352



Gestion des serveurs derépertoires


■ A propos de la gestion des serveurs de répertoires

■ Ajout de serveurs de répertoires

■ Synchronisation des comptes utilisateur entre les serveurs de répertoire etSymantec Endpoint Protection Manager

■ A propos de l'importation des informations d'utilisateur et de compted'ordinateur à partir d'un serveur de répertoire LDAP

■ Recherche d'utilisateurs sur un serveur de répertoires LDAP

■ Importation d'utilisateurs à partir d'une liste de résultats de recherche issued'un serveur de répertoires LDAP

■ A propos des unités organisationnelles et du serveur LDAP

A propos de la gestion des serveurs de répertoiresVous devez configurer Symantec Endpoint ProtectionManager pour communiquer

avec un serveur de répertoire.Vous devezétablir uneconnexionentre les serveursde répertoires et le serveur de gestion. Si vous n'établissez pas une connexion,vous ne pourrez ni importer des utilisateurs à partir des serveurs de répertoiresActive Directory ou LDAP, ni les synchroniser avec ceux-ci.

17Chapitre



Ajout de serveurs de répertoiresLes serveurs Active Directory ne permettent pas de filtrer les utilisateurs avant

d'importer des données. Les serveurs LDAP permettent de filtrer les utilisateursavant d'importer des données. Par conséquent, vous pouvez ajouter un serveurActive Directory compatible LDAP en tant que serveur LDAP si vous devez filtrerles données.

Lorsque vous avez terminé d'ajouter un serveur de répertoires, vous pouvezconfigurer la synchronisation.

Se reporter à "Synchronisation des comptes utilisateur entre les serveurs derépertoire et Symantec Endpoint Protection Manager" à la page 355.

Pour ajouter des serveurs de répertoires

1 Dans la console, cliquez sur Admin, puis sur Serveurs.2 Sous Afficher les serveurs, sélectionnez le serveur de gestion auquel vous

voulez ajouter un serveur de répertoire.


4 Dans la boîte de dialogue Propriétés du serveur pour nom_site, dans l'ongletServeurs de répertoires, cliquez sur Ajouter.

5 Dans la boîte de dialogue Ajouter un serveur de répertoires, entrez le nom duserveur de répertoires que vous voulez ajouter dans le champ Nom.

6 Dans la boîte de dialogue Ajouter un serveur de répertoire, cochez Active

Directory ou LDAP en tant que type de serveur.

7 Dans la boîte de dialogue Ajouter un serveur de répertoires, entrez l'adresseIP, le nom d'hôte ou le nom de domaine dans la zone Adresse IP ou nom deserveur.

Vous devez taper l'adresse IP, le nom d'hôte ou le nom de domaine du serveurde répertoires que vous voulez ajouter.

8 Si vous ajoutez un serveur LDAP, entrez le numéro de port du serveur LDAPdans la zone Port LDAP.

Vous ne pouvez pas modifier les valeurs si vous ajoutez un serveur ActiveDirectory.

Le paramètre de port par défaut est 389.

9 Si vous ajoutez un serveur LDAP, entrez le DN de base LDAP dans la zone DNde base LDAP.

10 Entrez le nom d'utilisateur du compte de serveur du répertoire autorisé dansla zone Nom d'utilisateur.

Gestion des serveurs de répertoiresAjout de serveurs de répertoires

354



11 Entrez le mot de passe du compte du serveur de répertoires dans la zone Motde passe.

12 Pour vous connecterau serveur de répertoire à l'aide du protocole SSL(Secure

Sockets Layer), sélectionnez Utiliser une connexion sécurisée.

Si vous ne cochez pas cette option, une connexion normale non chiffrée estutilisée.

13 Cliquez sur OK.

Synchronisation des comptes utilisateur entre lesserveurs de répertoire et Symantec Endpoint

Protection ManagerVous pouvez configurer desserveurs de répertoire pour importer et synchroniserdesutilisateursavec Symantec Endpoint Protection Manager. Vous devez d'abordajouter lesserveurs de répertoiresavant de pouvoirsynchroniser desinformationssur les utilisateurs.

Pour synchroniser des comptes utilisateur entre les serveurs de répertoire et

Symantec Endpoint Protection Manager


2 Sous Afficher les serveurs, sélectionnez le serveur de gestion auquel vous

voulez ajouter un serveur de répertoire.


4 Dans la boîte de dialogue Propriétés du serveur, cliquez sur l'onglet Serveursde répertoires.

5 Cochez la case Synchroniser avec les serveurs de répertoires si nécessaire.

Il s'agit du paramètre par défaut.

6 Pour définir la fréquence de synchronisation du serveur de gestion avec leserveur de répertoires, procédez à l'une des actions suivantes :

■ Pour réaliser une synchronisation automatique toutes les 24 heures,cliquez sur Planification automatique.

Le paramètre par défaut est planifié pour synchroniser toutes les 86400secondes. Vous pouvez également personnaliser l'intervalle en modifiantle fichier tomcat\etc\conf.properties.

Gestion des serveurs de répertoiresSynchronisation des comptes utilisateur entre les serveurs de répertoire et Symantec Endpoint Protection Manager



■ Pour spécifier la fréquence à laquelle vous souhaitez réaliser unesynchronisation, cliquez sur Synchroniser toutes les et indiquez unnombre d'heures.

7 Cliquez sur OK.

A propos de l'importation des informationsd'utilisateur et de compte d'ordinateur à partir d'unserveur de répertoire LDAP

Les administrateurs peuvent importer des informations sur les comptesd'utilisateur et d'ordinateur à partir d'un serveur de répertoire LDAP à l'aide du

protocole LDAP.Si vous prévoyez d'importer des informationssurl'utilisateur et les comptes, vousdevez d'abord établiruneconnexion entre Symantec Endpoint ProtectionManageret un serveur de répertoire.


Vous pouvez alors rechercher et importer des informations sur les utilisateurs etles comptes en effectuant les tâches suivantes :

■ Recherchez des utilisateurs sur le serveur LDAP.

Se reporter à "Recherche d'utilisateurs sur un serveur de répertoires LDAP"

à la page 356.■ Importez les informations sur les comptes utilisateur.

Se reporter à "Importation d'utilisateurs à partir d'une liste de résultats derecherche issue d'un serveur de répertoires LDAP" à la page 359.

Recherche d'utilisateurs sur un serveur de répertoiresLDAP

Pour importer des informations sur des utilisateurs vers le serveur de gestion,

vous devez rechercher ces utilisateurs sur un serveur LDAP.

Pour rechercher des utilisateurs sur un serveur de répertoires LDAP


2 Sous Afficher les clients, sélectionnez le groupe dans lequel vous voulezimporter des utilisateurs.

3 Sous Tâches, cliquez sur Importer les utilisateurs de Active Directory et

LDAP.

Gestion des serveurs de répertoiresA propos de l'importation des informations d'utilisateur et de compte d'ordinateur à partir d'un serveur de répertoire

LDAP

356



4 Dans la boîte de dialogue Importer les utilisateurs Active Directory et LDAP,tapez l'adresse IP ou le nom d'hôte dans la zone Serveur.

5 Dans la boîte de dialogue Importer les utilisateurs Active Directory et LDAP,

saisissez le numéro de port du serveur LDAP ou du serveur Active Directorydans la zone Port du serveur.

Le numéro de port par défaut est 389.

6 Si vous souhaitez vous connecter au serveur de répertoires à l'aide de SecureSockets Layer (SSL), cliquez sur Utiliser une connexion sécurisée.

Si vous ne cochez pas cette case, une connexion non codée sera utilisée.

Gestion des serveurs de répertoiresRecherche d'utilisateurs sur un serveur de répertoires LDAP



7 Affichez les utilisateurs en cliquant sur Répertorier des utilisateurs.

Vous pouvez également taper une requête LDAP afin de localiser les nomsdes utilisateurs que vous souhaitez importer dans la zone Base de recherche

LDAP.

Vous pouvez spécifier des options de recherche telles que des pairesattribut=valeur. Vous devez séparer les attributs par des virgules.

CommonNameCN

DomainComponentDC

LocalityNameL

StateOrProvinceNameST

OrganizationNameO

OrganizationalUnitNameOU

CountryNameC

StreetAddressSTREET

La disponibilité des options varieen fonction des serveurs LDAP. Par exemple,Microsoft Active Directory ne prend pas en charge l'attribut O.

L'ordre dans lequel vous spécifiez les paires attribut=valeur est important

puisqu'il indique l'emplacement de l'entrée dans la hiérarchie des répertoiresLDAP.

Si vous spécifiez un nom de domaine de type DNStelque itsupport.sygate.compendant l'installation d'un serveur de répertoires,vous pourrez effectuer desrecherches sur ce serveur de répertoires, itsupport étant un nom typique dedomaine NetBIOS.

Pour effectuer des recherches sur un serveur Active Directory, vous devezspécifier la base de recherche LDAP dans cet ordre :

CN=Users, DC=itsupport, DC=sygate, DC=com

Vous pouvez utiliser des caractères génériques ou des expressions standarddans la base de recherche. Par exemple :

CN=a*, CN=Users, DC=itsupport, DC=sygate, DC=com

Cette requête renvoie tous les noms d'utilisateur quicommencent par la lettrea.

Gestion des serveurs de répertoiresRecherche d'utilisateurs sur un serveur de répertoires LDAP

358



Un autre exemple représente les organismes dans lesquels vous êtessusceptible de vouloir effectuer une recherche de répertoire structurale :

mycorp.com -> engineering.mycorp.com ou sales.mycorp.com

Vous pouvez spécifier l'une ou l'autre de ces options selon l'emplacement oùvous souhaitez lancer la recherche sur le répertoire LDAP.

o=mycorp.com ou o=engineering.mycorp.com

Vous pouvez spécifier une comparaison en plaçant des opérateurs logiques> ou < dans le chaîne de recherche LDAP.

Toute requête LDAP aboutissant à plus de 1 000 résultats est susceptibled'échouer. Veillez à installer la base de recherche defaçon à ce moins de 1 000utilisateurs soient renvoyés.

8 Saisissez le nom du compte d'utilisateur LDAP dans la zone Compte autorisé.

9 Saisissez le mot de passe du compte d'utilisateur LDAP dans la zone Mot depasse.

10 Cliquez sur Répertorierdesutilisateurs pour afficher uneliste desutilisateursdisponibles sur le serveur LDAP.

Si la case Afficher uniquement les utilisateurs qui n'appartiennent à aucungroupe est cochée, seuls les utilisateurs qui n'appartiennent à aucun groupeet qui n'ont pas déjà été ajoutés apparaissent.

Importation d'utilisateurs à partir d'une liste derésultats de recherche issue d'un serveur derépertoires LDAP

Vous pouvez également importer des utilisateurs à partir d'une liste de résultatsde recherche issue d'un serveur LDAP.

Pour importer des utilisateurs à partir d'une liste de résultats de recherche issue

d'un serveur de répertoires LDAP


2 Dans l'arborescence Liste des groupes, sélectionnez le groupe auquel voussouhaitez ajouter des utilisateurs à partir du serveur de LDAP.

Cliquez sur Ajouter tout pour ajouter tous les utilisateurs ou sélectionnezdes utilisateurs particuliers dans la liste avant de cliquer sur Ajouter.

Gestion des serveurs de répertoiresImportation d'utilisateurs à partir d'une liste de résultats de recherche issue d'un serveur de répertoires LDAP



3 Cliquez sur le nom de la zone que vous souhaitez utiliser pour le tri.

Vous pouvez trier les résultats de la recherche par champ dans l'ordredécroissant ou croissant.

4 Sélectionnez un ou plusieurs utilisateurs dans la liste des utilisateurs LDAP.

Vous pouvezutiliser lestouches de sélection standard de Windows,tellesquela touche de Ctrl, pour sélectionner des utilisateurs non contigus.

5 Cliquez sur Ajouter de sorte que les noms de nouveaux utilisateursapparaissent dans l'arborescence du groupe.

6 Répétez cette procédure pour ajouter des utilisateurs à d'autres groupes jusqu'à ce que vous ayez ajouté tous les nouveaux utilisateurs aux groupesappropriés.


A propos des unités organisationnelles et du serveurLDAP

Symantec Endpoint Protection Manager peut automatiquement synchroniser lesutilisateurs, les ordinateurs et l'ensemble de la structure de groupe d'une unitéorganisationnelle (UO) à partir d'un serveur Active Directory ou LDAP. Une foisles unités organisationnelles importées, vous pouvez attribuer des politiques auxgroupes créés. Les unités organisationnelles importées ne peuvent pas êtremodifiées dans la console. L'ajout, la suppression et la modification des unitésorganisationnelles s'effectuent sur le serveur LDAP. Le serveur de gestion resteautomatiquement synchronisé avec la structure qui est mise en application surle serveur de répertoire si vous activez la synchronisation.

Vous pouvez également créer des groupes dans la console et leur assigner desutilisateurs issus de l'unitéorganisationnelle.Un même utilisateurpeut appartenirà la fois au groupe du serveur de gestion et à une unité organisationnelle. Dansce cas, le groupea préséance surl'unité organisationnelle et c'est donc la politiquedu groupe qui s'applique à l'utilisateur ou à l'ordinateur.

Importation d'unités organisationnelles à partir d'un serveur ActiveDirectory ou LDAP

Si vous souhaitez importer une unité organisationnelle ou un conteneur, vousdevez déjà avoir connecté Symantec Endpoint Protection Manager à un serveurLDAP.


Gestion des serveurs de répertoiresA propos des unités organisationnelles et du serveur LDAP

360



Vous ne pouvez pas filtrer les résultats de la boîte de dialogue Importer une unitéorganisationnelle. Si vous devez filtrer des utilisateurs, vous devez le faire quandvous ajoutez le serveur LDAP au serveur de gestion. Lesserveurs Active Directory

ne peuvent en aucun cas être filtrés.La durée de ce processus varie en fonction du nombre d'utilisateurs. Une unitéorganisationnelle ne peut pasêtre placéedans plus d'une arborescencede groupe.

Pour importer une unité organisationnelle à partir d'un serveur LDAP


2 Sous Afficher les clients, sélectionnez le groupe auquel vous voulez ajouterl'unité organisationnelle ou le conteneur.

3 Sous Tâches, cliquez sur le Importer une unité organisationnelle ou un

conteneur.

4 Choisissez le domaine.

5 Sélectionnez l'unité organisationnelle.

6 Cliquez sur OK.

A propos de la synchronisation des unités organisationnelles

L'intégration et la synchronisation avec des serveurs LDAP et Active Directoryestunefonction de Symantec Endpoint ProtectionManager. Vous pouvezimporterdes unités organisationnelles à partir d'autres serveurs et configurer la

synchronisation automatique de l'unitéorganisationnelle importéeaveclesautresserveurs.

Les modifications que vous apportez sur le serveur LDAP n'apparaissent pasimmédiatement dans l'unité organisationnelle qui a été importée dans le serveurde gestion. Le temps d'attente dépend de la fréquence de synchronisation. Vouspouvez définir la fréquence de synchronisation en modifiant les propriétés duserveur sur la console .

Lenomd'utilisateurapparaîttoujoursdanslegroupesurlaconsole,mêmesivousavez effectué les tâches suivantes :

■ copié un utilisateur à partir d'une unité organisationnelle vers un groupe ;■ supprimé cet utilisateur du serveur LDAP.

La synchronisation se produit uniquement entre le serveur LDAP et l'unitéorganisationnelle.





362



Gestion des serveurs demessagerie


■ A propos de la gestion des serveurs de messagerie

■ Etablissement de la communication entre Symantec Endpoint ProtectionManager et les serveurs de messagerie électronique

A propos de la gestion des serveurs de messagerieSi votre réseau prend en charge des serveurs de messagerie électronique, il peutêtre utile de réaliser les tâches suivantes après avoir établi la communicationentre Symantec Endpoint Protection Manager et le serveur de messagerie :

■ Installez les notifications automatiques par message électronique pour queles événements de sécurité soient envoyés aux administrateurs.

■ Installez les notifications automatiques par message électronique pour queles événements de sécurité soient envoyés aux clients.

Les notifications automatiques par message électronique peuvent être envoyéesuniquement si vous établissez une connexion entre le serveur de gestion et aumoins un des serveurs de messagerie du réseau.

Se reporter à "Configurer les messages électroniques pour les événements detrafic" à la page 574.

18Chapitre



Etablissement de la communication entre SymantecEndpoint Protection Manager et les serveurs de

messagerie électroniqueSi vous voulez utiliser la notification de courrier électronique, vous devezconfigurer le serveur de messagerie électroniquesurSymantecEndpoint ProtectionManager.

Pour établir la communication entre Symantec Endpoint Protection Manager et les

serveurs de messagerie électronique

1 Dans la console, cliquez sur Admin, puis sur Serveur.

2 Sous Afficher les serveurs, sélectionnez le serveur de gestion pour lequel

vous voulez établir une connexion au serveur de messagerie électronique.3 Sous Tâches, cliquez sur Modifier les propriétés du serveur.

4 Dans laboîtede dialogue Propriétés deserveur, cliquez sur l'onglet de Serveur

de messagerie.

5 Tapez l'adresse IP, le nom d'hôte ou le nom de domaine du serveur demessagerie dans la zone Adresse du serveur.

6 Tapez le nom d'utilisateur du compte du serveur de messagerie dans la zoneNom d'utilisateur.

Vous devez ajouter un nom d'utilisateur uniquement si le serveur demessagerie requiert une authentification.

7 Dans la boîte de dialogue Propriétés du serveur, tapez le mot de passe d'uncompte du serveur de messagerie dans la zone Mot de passe.

Vous devez ajouter un mot de passe uniquement si le serveur de messagerierequiert une authentification.

8 Cliquez sur OK.

Gestion des serveurs de messagerieEtablissement de la communication entre Symantec Endpoint Protection Manager et les serveurs de messagerie

électronique

364



Gestion des serveurs proxy


■ A propos des serveurs proxy

■ Etablissement d'une connexion entre un serveur proxy HTTP et SymantecEndpoint Protection Manager

■ Configuration d'une connexion entre un serveur proxy FTP et SymantecEndpoint Protection Manager

A propos des serveurs proxyVous pouvez utiliser les serveurs proxy HTTP et FTP pour gérer LiveUpdate.

Vouspouvez établir desconnexions entre Symantec EndpointProtection Manageret les types de serveur suivants :

■ serveur proxy HTTP

Se reporter à "Etablissement d'une connexion entre un serveur proxy HTTPet Symantec Endpoint Protection Manager" à la page 365.

■ serveur proxy FTP

Se reporter à "Configuration d'une connexion entre un serveur proxy FTP etSymantec Endpoint Protection Manager" à la page 366.

Etablissement d'une connexion entre un serveur proxyHTTP et Symantec Endpoint Protection Manager

En présence d'un serveur proxy HTTP dans le réseau d'entreprise, vous devezconnecterle serveur proxy HTTP à Symantec Endpoint Protection Manager. Vouspouvez utiliser le serveur proxy HTTP pour télécharger automatiquement lecontenu LiveUpdate.

19Chapitre



Pour établir une connexion entre un serveur proxy HTTP et Symantec Endpoint

Protection Manager


2 Sous Afficher les serveurs, sélectionnez le serveur de gestion auquel vousvoulez connecter un serveur proxy HTTP.


4 Dans la boîte de dialogue Propriétés de serveur, cliquez sur l'onglet Serveur

proxy.

5 Sous Paramètres proxy HTTP, sélectionnez Utiliser les paramètres proxy

personnalisés dans la liste.

6 Tapez l'adresse IP du serveur proxy HTTP dans la zone d'adresse du serveur.

Une adresse IP ou un nom du serveur valide ayant jusqu'à 256 caractères.

7 Tapez le numéro de port du serveur proxy dans la zone Port.

Les numéros de port valides vont de 0 à 65535.

8 Cochez la case Authentification nécessaireà laconnexionviaserveur proxy.

9 Tapez le nom d'utilisateur du serveur proxy dans la zone appropriée.

10 Tapez le mot de passe du serveur proxy auquel vous voulez vous connecterdans la zone Mot de passe.

11 Cliquez sur OK.

Configuration d'une connexion entre un serveur proxyFTP et Symantec Endpoint Protection Manager

Vous pouvez utiliser le serveur proxy HTTP pour télécharger automatiquementle contenu de LiveUpdate.

Pour configurer une connexion entre un serveur proxy FTP et Symantec Endpoint

Protection Manager


voulez connecter un serveur proxy FTP.


4 Dans la boîte de dialogue Propriétés de serveur, cliquez sur l'onglet Serveur

proxy.

Gestion des serveurs proxyConfiguration d'une connexion entre un serveur proxy FTP et Symantec Endpoint Protection Manager

366



5 SousParamètres de serveursproxy FTP,sélectionnezUtiliserlesparamètres

Proxy personnalisés dans la liste d'utilisation Proxy.

6 Tapez l'adresse IP du serveur proxy FTP dans la zone Adresse du serveur.

L'adresse IP ou le nom du serveur peut contenir un maximum de256 caractères.

7 Saisissez le numéro du port du serveur proxy dans le champ Port.

Un numéro de port valide s'étend de 0 à 65535.

8 Cliquez sur OK.





368



Gestion des serveurs RSA


■ A propos des conditions préalables pour l'utilisation de RSA SecurID avecSymantec Endpoint Protection Manager

■ Configuration de Symantec Endpoint Protection Manager pour utiliserl'authentification RSA SecurID

■ Spécification d'une authentification SecurID pour un administrateurSymantecEndpoint Protection Manager

■ Configuration du serveur de gestion pour prendre en charge la communicationHTTPS

A propos des conditions préalables pour l'utilisationde RSA SecurID avec Symantec Endpoint ProtectionManager

Si vous voulez authentifier des administrateurs utilisant Symantec EndpointProtection Manager avec RSA SecurID, vous devez activer l'authentificationchiffrée en exécutant l'assistant d'installation de RSA.

Avant d'exécuter l'assistant, assurez-vous que :

■ Un serveur RSA ACE est installé.

■ L'ordinateur sur lequel vous avez installé le serveur de gestion est enregistrécomme hôte valide sur le serveur RSA ACE

■ Créez le fichier secret de nœud pour le même hôte.

■ Le fichier sdconf.rec sur le serveur RSA ACE est accessible sur le réseau.

20Chapitre



■ Un fob synchronisé de carte ou de clé de SecurID a été attribué à un comptedu serveur de gestion. Le nom de connexion doit être activé sur le serveur duRSA ACE.

■ L'administrateur possède le code RSA ou le mot de passe.

Symantec prend en charge les types suivants de connexions RSA :

■ Jeton RSA SecurID (pas des jetons RSA de logiciel)

■ Carte RSA SecurID

■ Carte de pavé numérique RSA (pas de cartes à puce RSA)

Pour se connecter au serveur de gestion avec RSA SecurID, l'administrateur abesoin d'un nom de connexion, du jeton (matériel) et d'un code PIN.

Configuration de Symantec Endpoint ProtectionManager pour utiliser l'authentification RSA SecurID

Si votre réseau d'entreprise comprend un serveur RSA, vous devez installer lelogiciel pour un agent RSA ACE sur l'ordinateur sur lequel vous avez installéSymantec Endpoint Protection Manager et le configurer en tant que clientd'authentification SecurID.

Pour configurer Symantec Endpoint Protection Manager de manière à utiliser

l'authentification RSA SecurID

1 Installez le logiciel pour l'agent RSA ACE sur l'ordinateur sur lequel vousavez installé le serveur de gestion. Vous pouvez installer le logiciel enexécutant le fichier .msi de Windows à partirdu CD d'agentd'authentificationRCA.

2 Copiez les fichiers nodesecret.rec, sdconf.rec et agent_nsload.exe du serveurRSA ACE sur l'ordinateur sur lequel vous avez installé le serveur de gestion.

3 A l'invite, saisissez la commande qui suit :

agent_nsload -f nodesecret.rec -pmotdepassepourlefichiernodesecret


voulez connecter un serveur RSA.

6 Sous Tâches, cliquez sur le Configurer l'authentification de SecurID.

7 Au panneau de bienvenue de l'assistant de configuration de l'authentificationSecurID, cliquez sur Suivant.

Gestion des serveurs RSAConfiguration de Symantec Endpoint Protection Manager pour utiliser l'authentification RSA SecurID

370



8 Au panneau Qualification du panneau Assistant de configuration del'authentification SecurID, lisez les informations nécessaires afin de pouvoirrépondre à toutes les exigences.


10 Au panneau Charger le fichier RSA du panneau Assistant de configurationde l'authentification SecurID, recherchez le dossier dans lequel se trouve lefichier sdconf.rec.

Vous pouvez également taper le nom du chemin d'accès.


12 Cliquez sur Test pour tester votre configuration.

13 Dans la boîte de dialogue Tester la configuration, tapez le nom d'utilisateur

et le mot de passe pour votre SecurID puis cliquez sur Test.Il authentifie maintenant avec succès.

Spécification d'une authentification SecurID pour unadministrateur Symantec Endpoint ProtectionManager

Vous pouvez spécifier que les administrateurs doivent d'abord être authentifiéspar SecurID pour pouvoir se connecter la console de gestion.

Vous pouvez créer un nouvel administrateur ou modifier les paramètres pour unadministrateur existant. La procédure décrit ici comment spécifierl'authentification pour un nouvel administrateur.


Pour créer une authentification SecurID pour un administrateur de Symantec

Endpoint Protection Manager

1 Dans la console, cliquez sur Admin, puis sur Administrateurs.

2 Sous Tâches, cliquez sur Ajouter un administrateur.

3 Dans la boîte de dialogue Ajouter un administrateur, tapez le nom d'unutilisateur que vous avez précédemment configuré pour le client RSA ACE.

4 En regard de Type d'authentification, cliquez sur Modifier.

5 Dans la boîte de dialogue Authentification de l'administrateur, sélectionnezAuthentification RSA SecurID , puis cliquez sur OK.

6 Dans la boîte de dialogue Ajouter un administrateur, cliquez sur OK.

Gestion des serveurs RSASpécification d'une authentification SecurID pour un administrateur Symantec Endpoint Protection Manager



Configuration du serveur de gestion pour prendre encharge la communication HTTPS

Si vous prévoyez d'utiliser la communication HTTPS et l'authentification SSLentre les clients, les serveurs de gestion et les modules d'application Enforcerfacultatifs, vous devez ajouter un certificat SSL. Vous devez ajouter le certificatSSL à Internet Information Server (IIS) de Microsoft.

Vous devez effectuer les tâches suivantes dans cet ordre :

■ Générez ou achetez un certificat SSL.

■ Ajoutez le certificat au serveur IIS qui est installé sur le même ordinateur quele serveur de gestion.

■

Configurez les listes de serveurs de gestion devant prendre en charge lacommunication HTTPS.

Pour ajouter le certificat au serveur IIS

1 Cliquez sur Démarrer > Programmes > Outils d'administration > Internet

Information Services (IIS) Manager.

2 Dans l'ordinateur local, sélectionnez Serveur Web Symantec sous Sites Web.

3 Cliquez avec le bouton droit de la souris sur Serveur Web Symantec etchoisissez Propriétés.

4 Dans l'onglet Sécurité du répertoire, cliquez sur Certificat de serveur pour

démarrer l'assistant de certificat de serveur Web.

5 Créez ou importez un certificat de serveur en suivant lesétapesde l'assistant.

Pour plus d'informations, reportez-vous à l'aide en ligne IIS.

6 Dans l'onglet Site Web, spécifiez le numéro du port SSL (443 par défaut).

Gestion des serveurs RSAConfiguration du serveur de gestion pour prendre en charge la communication HTTPS

372



Gestion des certificats deserveur


■ A propos des types de certificats de serveur

■ Mettre à jour un certificat de serveur

■ Sauvegarde d'un certificat de serveur

■ Recherche du mot de passe keystore

A propos des types de certificats de serveurLes certificatsnumériquesconstituentla normeindustrielle pourl'authentificationet le chiffrementdesdonnées sensibles. Pour empêcherla lecturedesinformationslorsqu'ellestraversent desrouteurs dans le réseau, vous devez chiffrer lesdonnées.Parconséquent vous avez besoin d'un certificat numériquequi utilise le protocoleHTTPS.

En tant qu'élément de cette procédure sécurisée, le serveur s'identifie ets'authentifie à l'aide d'un certificat de serveur. Symantec utilise le protocoleHTTPS pour la communication entre tous les serveurs, clients et modules

d'application Enforcer facultatifs d'un réseau.Vous devez également activer le chiffrement sur Symantec Endpoint ProtectionManager pour permettre au serveur de s'identifier et s'authentifier à l'aide d'uncertificat de serveur. Si vousn'activez pas cette option, l'installationd'un certificatnumérique est inefficace.

Le serveur de gestion prend en charge les types de certificat suivants :

■ Fichier keystore JKS (.jks)

21Chapitre



Un outil Java appelékeytool.exe génèrele fichierkeystore. Symantec ne prenden charge quele format de la norme cléJava (JKS). Le format Java CryptographyExtension (JCEKS) nécessite une version spécifique de Java Runtime

Environment (JRE). Le serveur de gestion prend en charge uniquement unfichier keystore de JCEKS généré avec la même version que Java DevelopmentKit (kit de développement Java, JDK) sur le serveur de gestion.

Le mot de passe keystore doit contenir à la fois un certificat et une clé privée.Le mot de passe keystore doit être identique au mot de passe clé. Il est engénéral exporté à partir d'Internet Information Services (IIS).

■ Fichier keystore PKCS12 (.pfx et .p12)

■ Certificat et fichier de clé privée (formats DER et PEM)

Symantec prend en charge les certificats et les clés privées non chiffrés dansle format DER ou PEM. Les fichiers de clé privée PKCS8 chiffrés ne sont pas

pris en charge.

Vous pouvez sauvegarder les informations sur le certificat comme mesure desécurité. Si le serveur de gestion est endommagé ou si vous avez oublié le mot depasse Keystore, vous pouvez facilement récupérer le mot de passe.

Se reporter à "Recherche du mot de passe keystore" à la page 377.

Pour plus d'informations surl'installation descertificats de serveur, voir le Guide


Control .

Se reporter à "Mettre à jour un certificat de serveur" à la page 374.

Se reporter à "Sauvegarde d'un certificat de serveur" à la page 376.

Mettre à jour un certificat de serveurVous pouvez utiliser l'assistant de mise à jour de certificat de serveur pour vousguider le long du processus de mise à jour des certificats.

Pour mettre à jour un certificat de serveur de JKS


2 Sous Afficher les serveurs, cliquez sur le serveur de gestion dont voussouhaitez mettre à jour le certificat.

3 Sous Tâches, cliquez sur Gérer le certificat de serveur.

4 Dans le volet de bienvenue de l'assistant de gestion du certificat de serveur,cliquez sur Suivant.

5 Dans le panneau Gérer le certificat de serveur, sélectionnez Mettre à jour le

certificat de serveur, puis cliquez sur Suivant.

Gestion des certificats de serveurMettre à jour un certificat de serveur

374



6 Au volet Mettre à jour le certificat de serveur, cliquez sur Fichier keystore

JKS (.jks) et puis cliquez sur Suivant.

7 Dans le volet Keystore JKS, cliquez sur Parcourir pour localiser le Fichier

keystoreJKS (.jks)sur leserveur degestion ou tapez le nom d'accès à ce fichierdans le champ de texte, puis cliquez sur Ouvrir.

8 Saisissez le mot de passe de keystore dans la zone de texte de texte Mot depasse de keystore.

9 Saisissez le mot de passe de keystore dans le champ des textes de mot depasse de clé pour la deuxième fois. et puis cliquez sur Suivant.

10 Dans le volet Manage Server Certificate Wizard is complete, cliquez surTerminer.

Dans le volet indiquant que l'assistant de gestion de certificat de serveur est

terminé, un message s'affiche,indiquant si le certificat a étéajoutéavec succèsou non.

Vous devez vous déconnecter et redémarrer le serveur de gestion avant quele certificat ne prenne effet.

Pour mettre à jour un certificat de serveur PKCS12



3 Sous Tâches, cliquez sur Gérer le certificat de serveur.4 Dans le volet de bienvenue de l'assistant de gestion du certificat de serveur,

cliquez sur Suivant.



6 Au volet Mettre à jour le certificat de serveur, cliquez sur Fichier keystore

PKCS12 (.pfx et .p12), puis cliquez sur Suivant.

7 Dans le volet Keystore PKCS12, cliquez surParcourir pourlocaliser le Fichierkeystore PKCS12 (.pfx et .p12)sur le serveur degestion ou tapez le nom d'accès

à ce fichier dans le champ de texte, puis cliquez sur Ouvrir.

Gestion des certificats de serveurMettre à jour un certificat de serveur



8 Au volet Keystore PKCS12, saisissez le mot de passe de keystore dans la zonede texte de texte Mot de passe de keystore, puis cliquez sur Suivant.

9 Dans le volet indiquant que l'assistant de gestion de certificat de serveur est

terminé, cliquez sur Terminer.

Dans le volet indiquant que l'assistant de gestion de certificat de serveur estterminé, un message s'affiche,indiquant si le certificat a étéajoutéavec succèsou non.

Vous devez vous déconnecter et redémarrer le serveur de gestion avant quele certificat ne prenne effet.

Pour mettre à jour les certificats de serveur décryptés et les clés privées (format

DER ou PEM)




4 Dans le volet de bienvenue de l'assistant de gestion du certificat de serveur,cliquez sur Suivant.



6 Au volet Mettre à jour le certificat de serveur, cliquez sur le Fichier de

certificat et de clé privée (format DER et PEM), puis cliquez sur Suivant.7 Au volet Fichier de certificat, cliquez sur Parcourir pourlocaliser le certificat

(formatDERetPEM)surleserveurdegestionoupoursaisirlenomduchemind'accès pour ce fichier dans la zone de texte de texte Chemin d'accès aucertificat, puis cliquez sur Ouvrir.

8 Dans le volet indiquant que l'assistant de gestion de certificat de serveur estterminé, cliquez sur Terminer.

Dans le volet indiquant que l'assistant de gestion de certificat de serveur estterminé, un message s'affiche,indiquant si le certificat a étéajoutéavec succès

ou non.Vous devez vous déconnecter et redémarrer le serveur de gestion avant quele certificat ne prenne effet.

Sauvegarde d'un certificat de serveurDans le cas où le serveur de gestion serait endommagé, vous devez sauvegarderla clé privée ainsi que les fichiers qui représentent le certificat.

Gestion des certificats de serveurSauvegarde d'un certificat de serveur

376



Pour sauvegarder un certificat de serveur :


2 Sous Afficher les serveurs, cliquez sur le serveur de gestion dont voussouhaitez sauvegarder le certificat de serveur.


4 Dans le panneau Bienvenue dans l'Assistant de gestion des certificats deserveur, cliquez sur Suivant.

5 Dans le panneau Gérer le certificat de serveur, sélectionnez Sauvegarder le


6 Dans le volet Sauvegarder le certificat de serveur, saisissezle nomdu chemind'accès ou cliquez sur Parcourir pour localiser le dossier dans lequel vous

voulez sauvegarder la clé privée, puis cliquez sur Ouvrir.Notez que vous sauvegardez le certificat du serveur de gestion dans le mêmedossier.

Le fichier Keystore JKS est sauvegardé pendant l'installation initiale. Unfichier qui est appelé servertimestamp.xml est également sauvegardé. Lefichier keystore JKS inclut les paires de clés privées et publiques du serveuret le certificat auto-signé.

7 Dans le panneau Certificat de serveur de sauvegarde, cliquez sur Suivant.

8 Dans le panneau Gérer le certificat de serveur, cliquez sur Terminer.

Recherche du mot de passe keystoreEn cas de sinistre, vous pouvez devoir localiser le mot de passe keystore.

Pour plus d'informations sur la reprise après incident, consultez le Guide

d'installation pour Symantec Endpoint Protection et Symantec Network Access

Control .

Pour rechercher le mot de passe du mot clé :

1 Ouvrez Windows Explorer et localisez le dossier dans lequel vous avez

sauvegardé les fichiers pour le certificat.

Par défaut, Symantec Endpoint Protection Manager sauvegarde le certificatdans le répertoire répertoire_installation:\Program Files\Symantec\SymantecEndpoint Protection Manager\Server Private Key Backup.

2 Ouvrez le fichier server_ horodateur .xml et recherchez le mot de passekeystore.

Gestion des certificats de serveurRecherche du mot de passe keystore



Gestion des certificats de serveurRecherche du mot de passe keystore

378



Gestion des bases dedonnées


■ A propos de la gestion des bases de données

■ Sauvegarde d'une base de données Microsoft SQL

■ Sauvegarde d'une base de données intégrée

■ Planification des sauvegardes automatiques de la base de données

■ Restauration d'une base de données

■ Modification du nom et de la description d'une base de données

■ Reconfiguration d'une base de données Microsoft SQL

■ Reconfiguration d'une base de données intégrée

■ A propos de la gestion des données de journal

A propos de la gestion des bases de donnéesSymantec Endpoint Protection et Symantec Network Access Control prennent encharge une base de données Microsoft SQL ou une base de données intégrée. Labase de données intégrée est généralement utilisée pour les sociétés avec tout auplus 1000 clients qui se connectent à la console Symantec Endpoint ProtectionManager. Les organisations de plus grande taille utilisent généralement la basede données Microsoft SQL Server.

Si vous installez une base de données intégrée, le serveur de gestion peutautomatiquementinstallerla basede données.Si votreenvironnement d'entreprise

22Chapitre



prend déjà en chargeun serveur MicrosoftSQL, vous pouveztirer profitdu matérielet des logiciels existants. Les serveurs Microsoft SQL permettent généralementde prendre en charge un plus grand nombre de clients.

Une base de données contient des informations sur les politiques de sécurité etd'application. En outre, tous les paramètres de configuration, les donnéesconcernant les attaques, les journaux et les rapports sont également inclus dansla base de données. Par conséquent, vous pouvez contrôler les failles de sécuritésur le réseau.

Les informations de la base de données sont stockées dans des tableaux égalementappelés schémas de bases de données. Le schéma est fourni aux administrateursqui peuvent en avoir besoin pour générer des rapports spécialisés.

Pour plus d'informations sur le schéma de base de données, téléchargez laSymantec Endpoint Protection ManagerRéférence du schéma de base de données

la plus récente à partir du site site de documentation de Symantec EndpointProtection.

A propos des conventions de dénomination de base de données

Une base de données Microsoft SQL utilise des conventions d'appellationdifférentes de celles d'une base de données incorporée.

Vous pouvez installerune base de données Microsoft SQL surle même ordinateurque Symantec Endpoint Protection Manager ou sur un autre ordinateur. Dans lesdeuxcas, la basede donnéesMicrosoft SQLconserve lemême nom que l'ordinateursur lequel le serveur de base de données Microsoft SQL est installé.

Vous pouvez installer le serveur de gestion et la base de données Microsoft SQLsur l'ordinateur appelé PolicyMgrCorp. La base de données conserve le nom del'ordinateur sur lequel elle est installé. Le nom de base de données apparaît dansl'arborescence de la page Admin sous Afficher. Il est également visible dansl'adresse de base de données de la base de données Microsoft SQL dans le voletGestion des bases de données.

Si vous utilisez une base de données intégrée, le nom de la base de données esttoujours appelé localhost.

Le nom, localhost, apparaît dans la page Admin sous Afficher. Il figure égalementen tant qu'adresse de base de données intégrée dans le volet Gestion de bases dedonnées.

Gestion des bases de donnéesA propos de la gestion des bases de données

380







A propos de l'Assistant de configuration de serveur de gestion et desoutils de base de données Symantec

Vous pouvez sauvegarder, planifier et modifier certains paramètres de base dedonnées, par exemple le nom de la base, à partir de la console de SymantecEndpoint Protection Manager. Cependant, vous pouvez restaurer et modifier desbases de données uniquement en utilisant l'Assistant de configuration du serveurde gestion et l'utilitaire Symantec Database Backup and Restore.

Vous pouvez utiliser l'Assistant de configuration du serveur de gestion pourmodifier tous les paramètres de bases de données Microsoft SQL et de bases dedonnées intégrées.

Se reporterà "A proposde la reconfiguration d'unebase de données" àlapage382.

Vous pouvez utiliser l'utilitaire Outils de base de données Symantec poursauvegarder, restaurer et modifier tous les paramètres de bases de donnéesMicrosoft SQL et de bases de données intégrées.

Se reporter à "A propos de la sauvegarde de la base de données" à la page 381.

A propos de la sauvegarde de la base de données

Quand vous sauvegardez une base de données, vous en créez une copie séparée.Il y a plusieurs raisons pour sauvegarder votre base de données régulièrement.

Puisque la taille d'une base de données augmente avec le temps, vous devez

sauvegarder régulièrement la base de données. Sauvegarder desbases de donnéeset supprimer l'espace inutilisédesbases de données est uneétape nécessaire dansla maintenance d'une base de données de production.

En cas de sinistre (corruption de données ou panne matérielle, par exemple), vouspouvez restaurer le dernier cliché de la base de données. Pour obtenir une copiepropredela basededonnées, vous devezretournerau pointprécédent le problème.Quelques données peuvent devoir être saisies à nouveau dans la base de donnéespendant le processus de restauration. Cependant, la structure principale et lamajorité des données est conservée à l'aide d'une sauvegarde récente.

Vous pouvez sauvegarder la base de données à partir de la console de Symantec

Endpoint Protection Manager ou à l'aide de l'utilitaire Symantec Database Backupand Restore. L'utilitaire Symantec Database Backup and Restore estautomatiquement installé pendant l'installation.

Vous pouvez effectuer la sauvegarde de l'une des façons suivantes :

■ Base de données Microsoft SQL uniquement

Vous pouvez utiliser Microsoft SQL Server Enterprise Manager pour configurerun plande maintenance quipermet de planifier dessauvegardes automatiques.




■ Base de données incorporée ou Microsoft SQL

Vous pouvez effectuer une sauvegarde sur demande et également planifier lessauvegardes automatiques depuis la console.

Les sauvegardes doivent être stockées de préférence sur une unité de disquesséparée. Il est conseillé de sauvegarder le lecteur de disques périodiquement.


Se reporter à "Sauvegarde d'une base de données intégrée" à la page 388.

A propos de la reconfiguration d'une base de données

Vous pouvez reconfigurer une base de données Microsoft SQL ou une base dedonnées intégrée pour les raisons suivantes : Vous devez reconfigurer la base dedonnées dans un certain nombre de circonstances :

■ L'adresse IP ou le nom d'hôte du serveur de base de données ont été modifiés.

■ Le port du serveur de base de données par lequel il se connecte à SymantecEndpoint Protection Manager a été modifié.

■ Le nom de la base de données a été modifié.

Remarque : Vous pouvez également modifier le nom de la base de donnéesdans le serveur de gestion.

Sereporterà"Modification du nomet de la description d'une base de données"à la page 391.

■ Microsoft SQL uniquement : Le nom de l'utilisateur responsable de la base dedonnées a été modifié. Si vous modifiez le nom d'utilisateur du serveur de basededonnées sur un serveur debasededonnées, laconsole duserveur degestionne peut plus se connecter au serveur de base de données.

■ Le mot de passe de l'utilisateur responsable de la base de données a étémodifié.Vous pouvez modifier le mot de passe de l'utilisateur responsable du serveurde base de données. Si vous modifiez le mot de passe, le serveur de gestion nepeut plus se connecter au serveur de base de données.

■ Microsoft SQL uniquement : Le chemin du client SQL a été modifié. Le dossierCorbeilleduclientSQLquisetrouvepardéfautdans C:\Program Files\MicrosoftSQL Server\80\Tools\Binn a été modifié.

Si vous avez modifié le chemin d'accès client SQL sur le serveur de base dedonnées de Microsoft SQL, la console ne peut plus se connecter au serveur debase de données.


382



■ Vous mettez à niveau une base de données intégrrée vers une base de donnéesMicrosoft SQL.

Sereporterà "Reconfigurationd'une base de données MicrosoftSQL"àlapage392.

Se reporter à "Reconfiguration d'une base de données intégrée" à la page 394.

Consultez le Guide d'installation de Symantec Endpoint Protection et Symantec

Network Access Control . Il fournit des informations sur la procédure de mise àniveau d'une base de données intégrée vers une base de données Microsoft SQL.

Sauvegarde d'une base de données Microsoft SQLVous pouvezréaliser unesauvegarde à lademande d'unebase dedonnées MicrosoftSQLà partirde la console SymantecEndpoint Protection Manager ou de l'utilitaire

Symantec Database Backup and Restore. L'utilitaire Symantec Database Backupand Restore est automatiquement installé pendant l'installation du serveur degestion. Vous pouvez également utiliser l'assistant de planification de lamaintenance de la base de données qui est inclus au logiciel Microsoft SQL Serverpour sauvegarder la base de données Microsoft SQL. L'assistant de planificationde la maintenance de la base de données MicrosoftSQL peut égalementvous aiderà configurer une planification de sauvegarde et d'autres tâches de maintenance.


Se reporter à "Sauvegarde d'une base de données SQL Microsoft avec l'assistantde plan de maintenance de base de données" à la page 384.

Consultez le Guide d'installation de Symantec Endpoint Protection et de Symantec

Network Access Control . Il fournit des informations sur la manière d'effectuer lasauvegarde d'une base de données Microsoft SQL avec l'utilitaire SymantecDatabase Backup and Restore.

Sauvegarde d'une base de données Microsoft SQL

La console inclut unesauvegarde de site que vous pouvez utiliser pour sauvegarderet restaurer ultérieurement la base de données. En outre, vous pouvez installerun plan de maintenance sur l'agent Microsoft SQL Server.

La procédure suivante inclut les paramètres recommandés.

Il se peut quevous deviez utiliser différentsparamètresselon les critères suivants:

■ La taille de votre société.

■ La quantité d'espace disque que vous avez réservée pour les sauvegardes.

■ Toutes directives requises de votre entreprise.

Gestion des bases de donnéesSauvegarde d'une base de données Microsoft SQL



Pour sauvegarder une base de données Microsoft SQL à la demande


2 Sous Afficher les serveurs, cliquez surl'icône représentant la base de donnéesintégrée.

3 Sous Tâches, cliquez sur Sauvegarder maintenant.

Cette méthode sauvegarde toutes les données de site, y compris la base dedonnées. Vous pouvez vérifier le journal Système comme le dossier desauvegarde pour l'état pendant et après la sauvegarde.


Sauvegarde d'une base de données SQL Microsoft avec l'assistant de

plan de maintenance de base de donnéesMicrosoftSQLServerEnterprise Manager fournit un assistantpour aider à installerun plan de maintenance de base de données. Vous pouvez utiliser l'assistant deplan de maintenance de base de données pour gérer la base de données et pourplanifier des sauvegardes automatiques de la base de données Microsoft SQL.

Remarque : Assurez-vous que l'agent SQL Server est démarré.

Des droits d'accès Sysadmin sont requis pour exécuter l'assistant de plan demaintenance de base de données.

Consultez la documentation de Microsoft SQL Server pour desdétails sur la façonde mettre à jour une base de données Microsoft SQL Server.

Pour sauvegarder une base de données SQL Microsoft en utilisant l'assistant de

plan de maintenance de base de données dans Microsoft SQL Sever 2000 Enterprise

Manager

1 Dans SQL Server Enterprise Manager, cliquez sur Programmes > Microsoft

SQL Server > Enterprise Manager.

2 Développez le nom du serveur où le nom du serveur est le nom du serveur sur

lequel la base de données est installée.3 Cliquez deux fois sur le dossier Gestion.

L'agent SQL Server affiche une flèche verte sur l'icone s'il est déjà démarré.S'iln'est pasdémarré, démarrez SQL Server Service Manager en sélectionnantl'agent SQL Server et en cliquant avec le bouton droit de la souris surDémarrer et en sélectionnant l'option.

4 Développez Bases de données.


384



5 Cliquez avec le bouton droit de la souris sur sem5 et sélectionnez Toutes les

tâches > Plan de maintenance.

6 Sur l'écran Bienvenue dans l'assistant de plan de maintenance de base de

données, cliquez sur Suivant.

7 Dans l'écran de sélection de bases de données, sélectionnez Ces bases de

données et,àcôté,cochez sem5 pour sauvegarder la base de données.Cliquezensuite sur Suivant.

8 Sur l'écran de mise à jour des informations d'optimisation, sélectionnezSupprimer l'espace inutilisé des fichiers de base de données.

9 Dans la zone de texte Lorsque la base de données dépasse , tapez 1024 ouunetaille maximale appropriée en fonction de la taille de votre entreprise.

Quand la base de données dépasse la taille spécifiée, l'espace inutilisé est

automatiquement supprimé.

10 Dans la zone de texte Quantité d'espace libre restant après réduction,choisissez 20 % de l'espace de données ou une autre valeur répondant auxbesoins de votre entreprise.

11 Les données sont optimisées chaque semaine et un paramètre par défautacceptable est spécifié. Si vous voulez modifier la planification, cliquez surModifier.

Dans la boîte de dialogue Modifier la planification de la tâche périodique quiapparaît, spécifiez avecquelle fréquence et quand supprimer l'espace inutilisé

de la base de données puis cliquez sur OK.

12 Quand vous avez fini de configurer l'optimisation, cliquez sur Suivant.

13 Sur l'écran de contrôle d'intégrité de la base de données, cliquez sur Suivant

sans configurer cette option, puisque le serveur de gestion assure l'intégritéde la base de données.

14 Dans l'écran Spécifier le plan de sauvegarde de la base de données, cochezles cases Sauvegarder la base de données en tant qu'élément du plan de

maintenance et Vérifier l'intégrité de la sauvegarde.

15 Sélectionnez les supports sur lesquels enregistrer la sauvegarde.

16 Cliquez sur Modifier pour modifier la planification pour la sauvegarde.

17 Dans la boîte de dialogue Modifier la planification de la tâche périodique,après Se produit, cliquez sur Quotidiennement.

Sélectionnez la fréquence avec laquelle la base de données doit êtresauvegardée. Tout les 1 jour est recommandé.

18 Cochez Activer la planification.




19 Définissez l'heure à laquelle vous voulez que les sauvegardes se produisent.Vous pouvez également choisir une date de début et de fin ou aucune de datede fin, le cas échéant, et cliquer sur OK.


21 Dans l'écran Spécifier un répertoire de sauvegarde, choisissez un répertoirede sauvegarde en cliquant sur Utiliserlerépertoiredesauvegardepardéfaut

(lechemind'accès pardéfaut est\MSSQL\BACKUP)ou Utilisercerépertoire.

22 Sélectionnez le répertoire dans lequel vous voulez copier des fichiers.

Le répertoire doit se trouver sur le même ordinateur que la base de données.Vous devez diriger la sauvegarde vers un lecteur de disque séparé.

23 Cochez Créer un sous-répertoire pour chaque base de données.

24 Cliquez sur Supprimer les fichiers antérieurs à, puis spécifiez une périodeaprès laquelle les sauvegardes les plus anciennes seront automatiquementsupprimées.

Veillez à disposer de suffisamment d'espace disque pour enregistrer dessauvegardes pour la période spécifiée et cliquez sur Suivant.

25 Procédez comme suit :

Passez à l'étape 41Si vous avez sélectionné Mettre à jourautomatiquement la base de donnéesSem5pendant la configurationdu serveur

de base de données

Passez à l'étape 41Si la boîte de dialogue de modèle derécupération affiche Simple

Passez à l'étape 26Si la boîte de dialogue de modèle derécupération affiche Complète

26 Dans l'écranSpécifier le plan de sauvegarde du journal de transactions,cochezSauvegarder le journal de transactions en tant qu'élément du plan de

maintenance.

27 Sélectionnez le support de stockage de la sauvegarde.


386



28 Cliquez sur Modifier pour modifier la planification pour sauvegarder le journal de transactions.

La boîte de dialogue Modifier la planification de la tâche périodique apparaît.

La taille maximale du journal de transactions est définie à 8 Go par défaut.Si le journal de transactions atteint la taille maximale, il ne fonctionne pluset la base de données peut être corrompue. (Vous pouvez modifier la taillemaximale du journal de transactions dans SQL Server Enterprise Manager.)

29 Après Se produit, cliquez sur Quotidiennement.

Sélectionnez la fréquence avec laquelle le journal de transactions doit êtresauvegardé. Tout les 1 jour est recommandé. Veilez à cocher Activer la

planification.

30 Sélectionnez la fréquence de la sauvegarde.

L'option par défaut (recommandée) est Se produit toutes les 4 heures.

31 Sélectionnez une date de début et une date de fin ou Pasdedatedefin,lecaséchéant, et cliquez sur OK.


33 Sur l'écran Spécifier un répertoire de sauvegarde, sélectionnez un répertoirede sauvegarde en cliquant sur Utiliserlerépertoiredesauvegardepardéfaut

ou Utiliser ce répertoire.

Le chemin d'accès par défaut est \MSSQL\BACKUP.

34 Sélectionnez le répertoire de destination de la copie des fichiers.

35 Cochez Créer un sous-répertoire pour chaque base de données.

36 Cliquez sur Supprimer les fichiers antérieurs à :

37 Spécifiez une période après laquelle les sauvegardes les plus anciennes sontautomatiquement supprimées.

Assurez-vous que vous avez suffisamment d'espace disque pour enregistrerdes sauvegardes pour la période spécifiée, puis cliquez sur Suivant.

38 Sur l'écran Rapports à générer, cochez Rédiger le rapport dans un fichier

texte dans le répertoire.Spécifiez le chemin d'accès complet et le nom du fichier texte où vous voulezque le rapport soit généré.

39 Cochez Supprimer les fichiers texte de rapport antérieurs à et laissez cetteoption définie sur 4 semaines.




40 Cochez Envoyer un rapport par courrier électronique à l'opérateur etspécifiez l'administrateur système à qui le rapport généré sera envoyé par lecourrier SQL. Si l'opérateur de courrier électronique n'est pas disponible,

sélectionnez Nouvel opérateur, puis cliquez sur Suivant.41 Dans l'écran Historique de plan de maintenance, cliquez sur Suivant.

Vous devriez utiliser les paramètres par défaut pour l'historique de plan demaintenance à moins que vous ne deviez les modifier.

42 Dans l'écran Historique de plan de maintenance de base de données, tapezun nom pour le plan de maintenance tel que Maintenance de base de donnéesSQL, puis cliquez sur Terminer.

43 Lorsque le plan est terminé, affichez le message indiquant que le plan a étécréé et cliquez sur OK.

Sauvegarde d'une base de données intégréeVouspouvezeffectuerunesauvegardeàlademanded'unebasededonnéesintégréede la console.


Network Access Control . Il fournit des informations sur la manière d'effectuer lasauvegarde d'une base de données intégrée avec l'utilitaire Symantec DatabaseBackup and Restore.

Pour sauvegarder une base de données intégrée


2 Sous Afficher les serveurs, cliquez surl'icône représentant la base de donnéesintégrée.

3 Sous Tâches, cliquez sur Sauvegarder maintenant.

Cette méthode sauvegarde toutes les données de site, y compris la base dedonnées. Vous pouvez vérifier l'état du journal du systèmeainsi quedu dossierde sauvegarde pendant et après la sauvegarde.

4 Cliquez sur Oui lorsque le message de sauvegarde apparaît.


Gestion des bases de donnéesSauvegarde d'une base de données intégrée

388



Planification des sauvegardes automatiques de labase de données

Vous pouvez établir des planifications pour la sauvegarde automatique des basesde données Microsoft SQL et des bases de données intégrées.

Vous pouvez effectuer des sauvegardes à la demande des bases de données oudéfinir uneplanification pour lessauvegardes automatiquesdesbases de donnéesMicrosoftSQLet desbases de données intégrées. Toutefois, vous pouvezégalementutiliser l'assistant de maintenance de base de données du serveur Microsoft SQLpour planifier les sauvegardes automatiques d'une base de données MicrosoftSQL. En outre, vous pouvez également recourir à l'utilitaire Symantec DatabaseBackupandRestore pour sauvegarder unebase de données MS SQL ou incorporée.

Se reporter à "Sauvegarde d'une base de données Microsoft SQL" à la page 383.Se reporter à "Sauvegarde d'une base de données intégrée" à la page 388.

Se reporter à "Sauvegarde d'une base de données SQL Microsoft avec l'assistantde plan de maintenance de base de données" à la page 384.

Consultez le Guide d'installation de Symantec Endpoint Protection et de Symantec

Network Access Control . Il fournit des informations sur la manière d'effectuer lasauvegarde d'une base de données Microsoft SQL avec l'utilitaire SymantecDatabase Backup and Restore.

Pour planifier des sauvegardes automatiques de base de données


2 Sous Afficher les serveurs, cliquez sur l'icône qui représente la base dedonnées Microsoft SQL ou intégrée et dont vous souhaitez modifier lesparamètres de sauvegarde.

3 Sous Tâches, cliquez sur Modifier les paramètres de sauvegarde.

4 Dans la boîte de dialogue Site de sauvegarde pour le site local, cliquez surPlanifier des sauvegardes.

5 Spécifiez la fréquencede sauvegarde en sélectionnant Horaire, Quotidienne

ouHebdomadaire

, puis choisissez l'une des options suivantes :■ Si vous choisissez Horaire dans la zone Heure de début, entrez le nombre

de minutes après l'heure à laquelle les sauvegardes doivent avoir lieu.

■ Si vous choisissezQuotidienne dansla zone Heure dedébut, entrez l'heureet les minutes pour indiquer le moment auquel les sauvegardes doiventavoir lieu chaque jour.

Gestion des bases de donnéesPlanification des sauvegardes automatiques de la base de données



■ Si vous choisissez Hebdomadaire dans la zone Heure de début, entrezl'heure et les minutes pour indiquer le moment auquel les sauvegardesdoivent avoir lieu.

■ Si vous choisissez Hebdomadaire, spécifiez la Jour de la semaine pourindiquer le jour où les sauvegardes doivent se produire.

6 Cliquez sur OK.

A l'heure planifiée, les sauvegardes se produisent automatiquement et sontplacées dans un fichier.zip qui est libellé avec la date de la sauvegarde. Lefichier de sauvegarde est stocké dans un dossier de sauvegarde qui est créédans le chemin d'accès comme spécifié pour les données de serveur racine.

Par exemple, un fichier de sauvegarde qui est créé le 1er août 2007 à 09h46est appelé 2007-Aug-01_09-46-13-AM.zip.

Restauration d'une base de donnéesSi la base de données ne fonctionne plus correctement, vous pouvez la restaurerà condition de l'avoir précédemment sauvegardée.

Pour restaurer une base de données :

1 Recherchez le dernier fichier de sauvegarde que vous avez. Ce fichier est enformat .zip et libellé avec la date. Le fichier est enregistré dans un dossier desauvegarde qui a été créé dans le chemin d'accès qui a été spécifié pour la

racine de données de serveur.2 Configurez l'ordinateur sur lequel vous voulez restaurer la base de données

en utilisant l'une des méthodes suivantes :

■ En utilisant un autre ordinateur

Si l'ordinateur précédent a été victime d'une défaillance matérielle, vousdevez installer le système d'exploitation et le serveur de gestion sur lenouvel ordinateur. Bien que vous remplaciez la base de données par denouvelles données, vous devez encore configurer une base de donnéesaprès avoir terminé l'installation.

■ En utilisant le même ordinateurSi le matériel et le serveur de gestion fonctionnent correctement, vouspouvez restaurer la base de données sur le même ordinateur. Si vousrencontrez desproblèmes, vous pouvez désinstaller le serveur de gestion,le réinstaller, configurer la base de données, puis restaurer les données.

3 Déconnectez-vous de la console de Symantec Endpoint Protection Manager.

4 Arrêtez le service Symantec Endpoint Protection Manager en sélectionnantDémarrer > Programmes > Outils d'administration > Services.

Gestion des bases de donnéesRestauration d'une base de données

390



5 Recherchez le service du serveur de gestion et cliquez avec le bouton droitde la souris afin de sélectionner Arrêter.

6 Sélectionnez Démarrer > Programmes > Symantec Endpoint Protection

Manager > Database Back Up and Restore.

7 Cliquez sur Restaurer, puis sur Oui dans la fenêtre de message qui s'ouvre.

8 Dans la boîte de dialogue Restauration de base de données, sélectionnez lasauvegarde que vous souhaitez appliquer dans la liste.

9 Cliquez sur OK.

La restauration de la base de données prend quelques minutes. La durée dela restauration dépend de la taille de la base de données, du nombred'utilisateurs, des partenaires de réplication et d'autres critères.

10 Dèsquela restaurationde la base de données est terminée, le message suivants'affiche :

La base de données a été restaurée avec succès.

11 Cliquez sur Quitter.

12 Cliquez sur Démarrer > Programmes > Symantec Endpoint Protection

Manager si vous avez restauré la base de données sur un autre ordinateurdifférent parce que vous deviez effacer l'ancien serveur de base de données.Autrement la restauration de la base de données est terminée.

13 Connectez-vous à la console .

14 Cliquez sur Admin.


16 Dans la page d'Administration, sous Tâches, cliquez avec le bouton droit dela souris sur l'ancien serveur de base de données et sélectionnez Supprimer.

17 Modifiez les critères supplémentaires, tels que des noms d'utilisateur et lemot de passe, au besoin.

Se reporter à "Reconfiguration d'une base de données Microsoft SQL"à la page 392.

Modification du nom et de la description d'une basede données

Vous pouvez modifier le nom et la description d'une base de données locale oud'une base de données à distance.

Gestion des bases de donnéesModification du nom et de la description d'une base de données



Vous pouvez également modifier le nom de la base de données en utilisantl'assistant de configuration du serveur de gestion.

Sereporterà "Reconfigurationd'une base de données MicrosoftSQL"àlapage392.

Pour modifier le nom et la description d'une base de données


2 Sous Afficher les serveurs, développez Site local.

3 Sélectionnez la base de données locale ou développez Sites distants poursélectionnerla base de données d'un site à distance dont vous voulezmodifierles propriétés.

4 Sous Tâches, cliquez sur Modifier les propriétés de base de données.

5 Dans la boîte de dialogue Propriétés de base de données, modifiez le nom de

la base de données dans le champ Nom.

6 Dans la boîte de dialogue Propriétés de base de données, modifiez ladescription de la base de données dans le champ Description.

7 Cliquez sur OK.

Reconfiguration d'une base de données MicrosoftSQL

Vous devez utiliser l'Assistant de configuration du serveur de gestion pourreconfigurer la base de données Microsoft SQL.

Se reporter à "A proposde la reconfigurationd'unebase de données" àlapage382.

Pour reconfigurer une base de données Microsoft SQL

1 Arrêtez le service Symantec Endpoint Protection Manager en sélectionnantDémarrer > Tous les programmes > Outils d'administration > Services.

2 Recherchez Symantec Endpoint Protection Manager, cliquez avec le boutondroit de la souris et sélectionnez Arrêter.

3 Cliquez sur Démarrer > Tous les programmes > Symantec Endpoint

Protection Manager > Assistant de configuration du serveur de gestion.

4 Dans l'écran de bienvenue de l'assistant de configuration du serveur degestion, cliquez sur Reconfigurer le serveur de gestion.

5 Cliquez sur Suivant pour lancer la reconfiguration.

6 Dans la zone Nom du serveur, modifiez le nom de l'ordinateur sur lequel leserveur de gestion est installé.

Gestion des bases de donnéesReconfiguration d'une base de données Microsoft SQL

392



7 DanslazonePort duserveur, modifiezlenumérodeport HTTPS que leserveurde gestion écoute.


8 Modifiez l'emplacement du dossier des données du serveur ou localisez ledossier racine où les fichiers de données se trouvent.

Le dossier racine contient des fichiers de sauvegarde et de réplication ainsique d'autres fichiers du serveur de gestion.

Le nom du chemin d'accès par défaut est C:\Program Files\ Symantec\Symantec Endpoint Protection Manager\data)


10 Cliquez sur Microsoft SQL Server.


12 Tapez le nom du serveur de base de données dans la zone Serveur de base dedonnées, le cas échéant.

Tapez l'adresse IPou lenom d'hôte duserveur debasededonnées danslequelle serveur SQL Server Enterprise Manager (SEM) enregistre des données del'application.

13 Tapez le numéro de port du serveur SQL dans la zone Port du serveur SQL.


14 Tapez le nom de la base de données dans la zone Nom de la base de données.Le nom de la base de données Microsoft SQL où les données de l'applicationsont stockées.

15 Tapez le nom de l'utilisateur dans la zone Utilisateur

Ce nom représente l'utilisateur qui est responsable de la base de données.

16 Tapez le mot de passe dans le champ Mot de passe.

Ce mot de passe est pour l'utilisateur de la base de données. Ce champ ne peutpas être vide.

Gestion des bases de donnéesReconfiguration d'une base de données Microsoft SQL



17 Tapez le nom du chemin d'accès client SQL dans Chemin d'accès client SQL.

Par défaut, le dossier SQL client contient le fichier bcp.exe. Par exemple,C:\Program Files\Microsoft SQL Server\80\Tools\Binn.

Le fichier bcp.exe doit se trouver surl'ordinateur surlequel vous avez installéle serveur de gestion. Ce fichier fait partie du package client SQL Server. Vousdevez également spécifier le nom d'accès correct du client Microsoft SQLdans l'Assistant de configuration du serveur de gestion. Si ce nom n'est passpécifié correctement ou si le package Microsoft SQL Client n'a jamais étéinstallé, vous ne pouvez pas reconfigurer la base de données.


La base de données est alors créée. Ce processus ne prend que quelquesminutes. Un message de base de données apparaît au cours de ce laps de

temps si le service du serveur de gestion est toujours en cours d'exécution.19 Vouspouvez sélectionnerdedémarrerSymantecEndpointProtection Manager

et de démarrer la console de gestion.

Ces options sont sélectionnées par défaut.

20 Cliquez sur Terminer.

Vous avez terminé la reconfiguration de la base de données. Si vous avezmaintenu les options de démarrage sélectionnées, la fenêtre de connexionde la console apparaît.

Reconfiguration d'une base de données intégréeVous devez utiliser l'assistant de configuration de serveur de gestion Symantecpour reconfigurer la base de données.

Se reporter à "A proposde la reconfigurationd'unebase de données" àlapage382.

Pour reconfigurer une base de données intégrée :

1 Arrêtez le service Symantec Endpoint Protection Manager en sélectionnantDémarrer > Programmes > Outils d'administration > Services.

2 Recherchez Symantec Endpoint Protection Manager et cliquez avec le boutondroit de la souris afin de sélectionner Arrêter.

3 Cliquez sur Démarrer > Programmes > Symantec Endpoint Protection

Manager > Assistant de configuration du serveur de gestion.

4 Dans l'écran de bienvenue de l'assistant de configuration du serveur degestion, cliquez sur Reconfigurer le serveur de gestion.

5 Cliquez sur Suivant pour lancer la reconfiguration.

Gestion des bases de donnéesReconfiguration d'une base de données intégrée

394



6 Dans la zone Nom du serveur, modifiez le nom de l'ordinateur sur lequel leserveur de gestion est installé.

7 Dans la zone Port de serveur, modifiez le numéro du port HTTPS écouté par

le serveur de gestion.


8 Modifiez l'emplacement du dossier des données du serveur ou localisez ledossier racine où les fichiers de données se trouvent.

Le dossier racineinclutlesfichiers de sauvegarde et de réplication du serveurde gestion, ainsi que d'autres fichiers.

Le nom du chemin d'accès par défaut est C:\Program Files\ Symantec\Symantec Endpoint Protection Manager\data)

9 Cliquez sur Suivant.10 Cliquez sur Base de données intégrée.


12 Entrez le numéro de port du serveur dans la zone de texte du port de serveurde base de données.


13 Saisissez le mot de passe dans la zone de texte Mot de passe.

Ce champ ne peut pas être vide.

14 Entrez le mot de passe dans la zone de texte Confirmez le mot de passe.


La création de la base de données prend quelques minutes. Un message debase de données s'affiche au cours de cette période si le service du serveurde gestion est toujours en cours d'exécution.

16 Vous pouvez choisir de démarrer Symantec Endpoint Protection Manager etla console de gestion.

Ces options sont sélectionnées par défaut.

17 Cliquez sur Terminer.Vous avez terminé la reconfiguration de la base de données. Si vous avezmaintenu les options de démarrage sélectionnées, la fenêtre de connexionde la console apparaît.

Gestion des bases de donnéesReconfiguration d'une base de données intégrée



A propos de la gestion des données de journalVous pouvez configurer un certain nombre d'options pour gérer les journaux qui

sont enregistrés dans la base de données.

A propos des données de journal et du stockage

Les données de tous les journaux qui sont chargés dans la console de SymantecEndpoint Protection Manager sont stockées dans la base de données de la console.

Les données des types de journaux suivants sont enregistrées dans deux tablesde base de données :


■ Audit

■ Enforcer


■ Système

Les données des autres journaux sont enregistrées dans une table unique.

Vous pouvez définir les options de journal pour gérer les journaux de base dedonnées qui sont enregistrés dans deux tables.

Se reporter à "Configuration des paramètres de journal pour les serveurs d'un

site" à la page 398.Latableuniquequicontientlesdonnéesdesautresjournauxestgéréeenutilisantles options de maintenance de base de données dans les propriétés de site. Vouspouvez définir les options de maintenance de base de données qui affectent lesdonnées qui sont enregistrées dans une seule table.

Se reporter à "Configuration des options de maintenance de la base de donnéespour des journaux" à la page 404.

Pour les journaux qui sont enregistrés dans deux tables, une table (la table A)correspond à la table de journal actuelle. Les nouvelles entrées de journal sontconsignées dans cette table. Quand le seuil ou la date d'expiration de journal estatteint, les nouvelles entrées de journal sont consignées dans la deuxième table(table B). Les données demeurent dansla table A jusqu'à ce que le seuilou lenombrede joursspécifié dans le champ Expireaprèssoit atteint pour la table B. A ce stade,la table A est effacée complètement et de nouvelles entrées y sont consignées. Lesinformations dans la table B demeurent jusqu'au prochain basculement. Lebasculement d'une table à l'autre, aussi appelé suppression des données des

journaux de la base de données, se produit automatiquement. L'échéance debasculement dépenddesparamètres de journal définisdans lespropriétés de site.

Gestion des bases de donnéesA propos de la gestion des données de journal

396



Le processus est identique indépendamment de si le champ est automatique oumanuel.

Vous pouvez supprimer les données de journal manuellement après avoir

sauvegardé la base de données, si vous préférez utiliser cette méthode en tantqu'élément de la maintenance courante de base de données.

Si une suppression automatique intervient, vous risquez de perdre quelquesdonnées de journal si vos sauvegardes de la base de données ne se produisent pasassez fréquemment. Si vous effectuez régulièrement une suppression manuelledes données de journal après une sauvegarde de la base de données, vous êtesassuré de conserver toutes lesdonnées.Cette procédureesttrès utile si vous devezmaintenir vos journaux pendant une période relativement longue (par exemple,une année).

Remarque : La procéduremanuelle décritedans Suppression manuelle des donnéesde journal de la base de données n'affecte pas les données présentes dans les

journaux qui sont stockés dans une table unique de la base de données.

Suppression manuelle des données de journal de la base de données

Vous pouvez supprimer manuellement les données des journaux, mais cetteprocédure est facultative.

Pour supprimer manuellement des données de journal de la base de données :

1 Pour empêcher la suppression automatique du contenu de la base de donnéesavant qu'une sauvegarde se produise, définissez l'option des paramètres de

journal des propriétés de site sur la valeur maximale.

Se reporter à "Configuration desparamètres de journal pour lesserveursd'unsite" à la page 398.

2 Effectuez la sauvegarde, comme approprié.

3 Sur l'ordinateur où Symantec Endpoint Protection Manager est installé,ouvrez un navigateur Web et tapez l'URL suivante :

https://localhost:8443/servlet/ConsoleServlet?ActionType=ConfigServer&action

=SweepLogs

Après que vous avez effectué cette tâche, les entrées de journal pour tous lestypes de journaux sont enregistrées dans la table de base de donnéesalternative. La table initiale estconservée jusqu'à ce quel'effacement suivantsoit lancé.




4 Pour vider tout sauf les entrées les plus actuelles, effectuez un deuxièmeeffacement. La table initiale est effacée et des entrées sont à nouveauenregistrées.

5 Souvenez-vous des restaurer les valeurs de paramètres de journal depropriétés de site.

Données consignées des clients hérités

Pour plusieursraisons, lesfonctions de reportingdeSymantec Endpoint Protectionfont appel à un dossier temporaire, situé à l'emplacement suivant : lecteur :\ Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\Temp.Les administrateurs peuvent planifier leurs propres tâches automatisées afin denettoyer ce dossier temporaire à intervalles réguliers. Si telest le cas, assurez-vous

que vous ne supprimez pas le fichier de LegacyOptions.inc, s'il existe. Si voussupprimez ce fichier, vous perdrez les données entrantes des journaux de clientSymantec AntiVirus hérités.

Configuration des paramètres de journal pour les serveurs d'un site

Pour faciliter le contrôlede l'utilisation de l'espacedisque, vouspouvez configurerle nombred'entréesqui sont conservées surle serveur dans lesjournaux d'un site.Vous pouvez également configurer le nombre de jours pendant lesquels lesentréessont gardées. Vous pouvez configurer différents paramètres pour les différentssites.

Remarque : Les informations de journal concernant la console de SymantecEndpoint Protection Manager, qui figurent dans l'onglet Journaux de la pageContrôles, sont organisées en groupes logiques pour plus de lisibilité. Les nomsde journaux qui figurent dans l'onglet Paramètres de journal de propriétés de

site correspondent au contenu des journaux et non aux types de journaux del'onglet Journaux de la page Contrôles.

Pour consulter unedescription de chaqueoption configurable,vouspouvez cliquerdans la console sur le lien En savoirplus en regard du type de rapport. Le lien En

savoir plus affiche l'aide contextuelle.

Pour configurer des paramètres de journal pour les serveurs d'un site :


2 Dans le coin inférieur gauche, cliquez sur Serveurs.

3 Sélectionnez le site que vous voulez configurer.



398



5 Dans l'onglet Paramètres de journal, définissez le nombre d'entrées et lenombre de jours à conserver pour chaque type de journal.

Vous pouvez définir des tailles pour des journaux de serveur de gestion, des

journaux client et des journaux d'Enforcer.

6 Cliquez sur OK.

A propos de la configuration du regroupement des événements

Vous pouvez configurer le regroupement des événements des journaux client àdeuxendroitsdifférentsdansla consolede SymantecEndpoint Protection Manager.

Tableau 22-1 décrit où configurer le regroupement des événements client et ceque signifient les paramètres.

Tableau 22-1 Regroupement des événements client

DescriptionEmplacement

Utilisez cet emplacement pour configurer leregroupement des événements de risque. Le temps deregroupement pardéfaut est de 5 minutes. La premièreoccurrence d'un événement est immédiatementconsignée. Des occurrences ultérieures des mêmesévénementssontcollectéeset le nombre d'occurrencesest consigné sur le client toutes les 5 minutes.

Danslapage Politiques, Politique

antivirusetantispyware, Divers,onglet Gestion des journaux

Utilisez cet emplacement pour configurer leregroupement d'événements de protection contre lesmenaces réseau. Des événements sont maintenus surles clients pour la période d'atténuation avant qu'ilssoient collectés en un événement unique puis chargéssurla console. La période d'atténuation aide à ramenerles événements à un nombre maniable. La valeur pardéfaut de la période d'atténuation est Auto(automatique). La période d'inactivité de l'atténuateurdétermine le laps de temps qui doit passer entre lesentréesde journal avant que l'occurrencesuivantesoit

considérée comme une nouvelle entrée. L'inactivitépar défaut de l'atténuateur est 10 secondes.

Dans la page Clients, pagePolitiques, Paramètres de

journalisation client






Configuration des paramètres de journal client

Si vous avez installé Symantec Endpoint Protection, vous pouvez configurercertaines options de journal client. Vous pouvez configurer le nombre d'entréesconservéesdansles journaux et le nombre de jourspendant lesquels chaque entréeest conservée sur le client.

Vous pouvez configurer des paramètres pour les journaux client suivants :

■ Contrôle

■ Paquet

■ Risque

■ Sécurité

■ Système

■ Trafic

Si SymantecNetwork Access Controlest installé, vous pouvezactiver et désactiverla consignation et envoyer des journaux Enforcer au serveur de gestion. Vouspouvezégalementconfigurer le nombred'entréesde journal et le nombrede jourspendant lesquels les entrées sont conservées sur le client.

Pour plus d'informations sur les journaux Enforcer, consultez le Guide de mise

en oeuvre de Symantec Network Access Control Enforcement .

Pour les journaux Sécurité, Risque et Trafic, vous pouvez également configurer

la période d'atténuation et la période d'inactivité de l'atténuateur à utiliser pourle regroupement des événements.

Vous pouvez indiquer si vous souhaitez ou non charger chaque type de journalclient au serveur et la taille maximale des téléchargements.

La non-configuration du chargement des journaux client a les conséquencessuivantes :

■ Vous ne pouvez pas afficher les données de journal client de la console deSymantec Endpoint Protection Manager par le biais de l'onglet Journaux dela page Contrôles.

■ Vous ne pouvez pas sauvegarder les journaux client quand vous sauvegardezla base de données.

■ Vous ne pouvez pas exporter les données de journal client vers un fichier ouun serveur de journal centralisé.


400



Pour configurer les paramètres de journal client :


2 Dans l'onglet Politiques, sous Politiques et paramètres indépendants de

l'emplacement, sous Paramètres, cliquez sur Paramètres de journalisation

client.

3 Dans la boîte de dialogue Paramètres de journal client de nom du groupe,définissez la taille de fichier maximale et le nombre de jours de conservationdes entrées de journal.

4 Activez Taille de chargement maximale : pour tous les journaux que vousvoulez que les clients transfèrent au serveur.

5 Pour le journal Sécurité et le journal Trafic, définissez la période d'atténuationet la période d'inactivité de l'atténuateur.

Ces paramètres déterminent la fréquence de regroupement des événementsProtection contre les menaces réseau.

6 Spécifie le nombre maximal d'entrées qu'un client doit charger en une foisvers le module Symantec Endpoint Protection Manager.

7 Cliquez sur OK.

A propos de la configuration des options de gestion des journaux pourles politiques antivirus et antispyware

Vous pouvez configurer les options suivantes de gestion des journaux pour lespolitiques antivirus et antispyware :

■ Lesévénementsantivirus et antispywarequi sont transférésà partir desclientsvers les journaux de protection antivirus et antispyware dans le serveur.

■ Combien de temps les événements dans les journaux de protection antiviruset antispyware sont maintenus sur le serveur.

■ Comment les événements fréquemment collectés sont chargés à partir desclients sur le serveur.


Sauvegarde des journaux pour un site

Les données des journaux ne sont pas sauvegardées, sauf si vous configurezSymantecEndpointProtection à cet effet. Si vous ne sauvegardez pasles journaux,alors seules vos options de configuration de journal sont enregistrées pendantune sauvegarde. Vous pouvez utiliser la sauvegarde pour restaurer votre base de




données, mais les connexions la base de données ne contiennent pas de donnéesquand elles sont restaurées.

Cette option de configuration se trouve au même endroit que les autres options

de sauvegarde des sites locaux, c'est-à-dire dans la page Serveurs de la pageAdministrateur. Vous pouvez choisir de conserver jusqu'à à dix versions desauvegardes de site. Vous devriez vous assurer que vous avez suffisammentd'espace disque disponible pour conserver toutes vos données si vous choisissezde conserver plusieurs versions.

Pour sauvegarder les journaux d'un site :


2 Sélectionnez un serveur de base de données.

3 Sous Tâches, cliquez sur Modifier les paramètres de sauvegarde.

4 Dans la zone de groupe Paramètres de sauvegarde, cochez Sauvegarder les

journaux.

5 Cliquez sur OK.

A propos du chargement de grandes quantités de données de journalclient

Si vous avez un grand nombre de clients, vous pouvez avoir un grand volume dedonnées de journal client.

Vous devriez considérer si vous voulez réduire ou non le volume de données enutilisant les configurations suivantes :

■ Charger seulement certains des journaux client dans le serveur.


■ Filtrer les événements de risque et les événements système moins importantsde sorte que moins de données soient transférées au serveur.

Se reporter à "Définir des paramètres de gestion des journaux dans unepolitique antivirus et antispyware" à la page 457.

Si vous prévoyez toujours de charger un grand nombre de données de journal

client à un serveur, vous devez tenir compte des facteurs suivants :

■ nombre de clients dans votre réseau ;

■ fréquence de battement, qui contrôle à quelle fréquence les journaux clientsont chargés au serveur ;

■ quantité d'espace dans le répertoire où lesdonnéesde journalsont enregistréesavant d'être insérées dans la base de données.


402



Une configuration qui charge un grand volume de données de journal client auserveur à intervalles fréquents peut poser des problèmes d'espace. Si vous devezcharger un grand volume de données de journal client, vous devrez peut-être

régler quelques valeurs par défaut pour éviter ces problèmes d'espace. Pendantle déploiementvers des clients, surveillez l'espace sur le serveur dans le répertoirede mise en place de journal et réglez ces valeurs si nécessaire. Le répertoire pardéfaut dans lequelles journauxsont convertisen fichiers .dat avant d'être inscritsdanslabasededonnéesest lecteur :\ProgramFiles\Symantec\Symantec EndpointProtection Manager\data\inbox\log. L'emplacement du répertoire de données deserveur est défini pendant l'installation quand vous êtes invité à sélectionner ledossier de données de serveur. Si vous le souhaitez, vous pouvez exécuterl'Assistant de configuration du serveur de gestion à partir du menu Démarrer

afin de modifier ce répertoire. Le répertoire \inbox\log s'ajoute automatiquementau répertoire configuré.

La fréquence à laquelle les journaux client sont chargés est configurée dans lapage Politiques de la page de Clients, sous Paramètres de communication. Pardéfaut, la fréquence de chargement des journaux est toutes les cinq minutes.

Pour régler les valeurs qui contrôlent l'espace disponible sur le serveur, vousdevez modifier ces valeurs dans le registre de Windows. Les clés de registre deWindows que vous devez modifier se trouvent sur le serveur dansHKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SEPM.

Tableau 22-2 affiche une liste des clés de registre de Windows et de leurs valeurs

par défaut, et décrit leur rôle.

Tableau 22-2 Clés de registre de Windows qui contiennent des paramètres de

téléchargement de journal

Valeur par défaut et descriptionNom de valeur

MaxInboxSpace spécifie l'espace qui est alloué aurépertoire où des fichiers journaux sont convertis enfichiers .datavant qu'ilssoientenregistrés dans la basede données.

La valeur par défaut est 200 Mo.

MaxInboxSpace

MinDataFreeSpace spécifie la quantité minimumd'espace à conserver libre dans ce répertoire. Cette cléest utile pour s'assurer que les autres applications quiutilisent le même répertoire ont assez d'espace pours'exécuter sans effets nuisibles sur la performance.

La valeur par défaut est 0.

MinDataFreeSpace




Valeur par défaut et descriptionNom de valeur

IntervalOfInboxSpaceChecking spécifie la duréed'attente de Symantec Endpoint Protection entre lescontrôles sur la quantité d'espace qui reste disponiblepour les données de journal dans la boîte de réception.

La valeur par défaut est 30 secondes.

IntervalOfInboxSpaceChecking

A propos de la gestion des événements de journal dans la base dedonnées

La base de données reçoit et stocke un flux constant d'entrées dans ses fichiers journaux. Vous devez gérer les données qui sont enregistrées dans la base de

données de sortequeles donnéesstockées ne consomment pastout l'espace disquedisponible. Unequantité trop importante dedonnées peut entraînerl'arrêt imprévude l'ordinateur sur lequel la base de données s'exécute.

Vous devez comprendre vos paramètres de maintenance de la base de donnéespar défaut et les modifier si l'espace disque utilisé par la base de données semblecontinuellement augmenter. Si un grand pic apparaît dans l'activité à risque, ilest possible que vous deviez supprimer certaines données pour protéger l'espacedisque disponible sur le serveur.

Configuration des options de maintenance de la base de données pourdes journaux

Les administrateurs peuvent configurer les options de maintenance de la base dedonnées pour les données qui sont stockées dans les journaux. Les options demaintenance de la base de données vous aident à gérer la taille de votre base dedonnées en spécifiant desparamètres decompression ainsi qu'un délai de rétentionpour les données.

Pour plus d'informations sur les options de maintenance de la base de données,reportez-vous à l'aide contextuelle de l'onglet Base de données de la boîte dedialogue Propriétés de site de nom du site .

Pour configurer lesoptions de maintenance de la base de données pour des journaux


2 Sélectionnez un site.



404



4 Dans l'onglet Basededonnées, définissez le nombre de jours pendant lesquelsles événements de risque devront être conservés.

Pour conserver le sous-ensemble d'événements d'infection à risque au-delà

duseuil défini pour les événements derisque, cochez lacase Nepassupprimerles événements d'infection.

5 Indiquez la fréquenceà laquelle lesévénements de risqueidentiques devrontêtre compressés sous forme d'événement unique.

6 Définissez le nombre de jours pendant lesquels les événements compressésdevront être conservés.

Cette valeur inclut le délai avant que les événements ne soient compressés.Supposez parexemple quelesévénements compressés devront être suppriméstous les dix jours et que les événements devront être compressés tous les sept

jours. Dans ce cas, les événements sont supprimés trois jours après avoir étécompressés.

7 Définissez le nombre de jours pendant lesquels les notifications avec et sansaccusé de réception devront être conservées.

8 Définissez le nombre de jours pendant lesquels les événements d'analysedevront être conservés.

9 Définissez le nombrede jours pendant lesquels lescommandesquevous avezexécutées à partirde la console et leurs informations d'état associéesdevrontêtre conservées. Une fois ces opérations effectuées, Symantec Endpoint

Protection ne peut plus distribuer les commandes à leurs destinatairesrespectifs.

10 Cochez les cases appropriées si vous souhaitez supprimer les définitions etles événements de virus inutilisés qui indiquent EICAR comme nom de virus.

Le virus de test EICAR est un fichier texte développé par l'Institut européenpour la recherche antivirus informatique (EICAR). Il offre un moyen sûr detester la plupart des logiciels antivirus. Vous pouvez le télécharger à partirdu site Web de l'EICAR. Vous pouvez l'utiliser pour vérifier que la partieantivirus de Symantec Endpoint Protection fonctionne.

11 Cliquez sur OK.

A propos de l'utilisation de l'utilitaire interactif SQL avec la base dedonnées intégrée

Si vous choisissez d'utiliser la base de données intégrée avec Symantec EndpointProtection ou Symantec Network Access Control, prenezen compteles remarquessuivantes. Lorsque vous exécutez l'application de base de données InteractiveSQL (dbisqlc.exe), l'insertion de données dans la base de données intégrée est




bloquée. Si vous utilisez l'application pendant un certain temps, les fichiers .dats'accumulent dans les répertoires lecteur :\Program Files\Symantec\Symantec\ SymantecEndpointProtection Manager\data\inbox\log.Pouréviter l'accumulation

de fichiers .dat et redémarrer l'insertion de données dans la base de données,fermez l'application.

Modification des paramètres d'expiration

Si deserreurs de base de données se produisent lorsque vous affichez desrapportsou des journaux contenant de nombreuses données, vous pouvez apporter lesmodifications suivantes :

■ Modification du délai d'expiration des connexions au serveur Microsoft SQL

■ Modification du délai d'expiration des commandes du serveur Microsoft SQL

Les valeurs par défaut de Reporting sont les suivantes :

■ Le délai d'expiration des connexions est de 300 secondes (5 minutes).

■ Le délai d'expiration des commandes est de 300 secondes (5 minutes).

Si des erreurs de CGI ou de processus arrêtés surviennent, vous pouvez modifierd'autres paramètres d'expiration. Reportez-vous à l'article de la base deconnaissances Symantec suivant : "Reporting server does not report or shows atimeouterror messagewhenquerying large amountsof data(Le serveurReportingne génère pas de rapport ou affiche un message d'erreursignalantun dépassementde délai)".

Pour modifier des paramètres d'expiration

1 Ouvrez le fichier Reporter.php qui se trouve dans le répertoire \ProgramFiles\Symantec\Symantec EndpointProtection Manager\Inetpub\Reporting\ Resources.

2 Utilisez un éditeur de texte pour ajouter les paramètres suivants au fichier :

■ $CommandTimeout = xxxx

■ $ConnectionTimeout = xxxx

Les délais d'expiration sont exprimés en secondes. Si vous spécifiez la

valeur zéro ou laissez le champ vide, les paramètres par défaut sontutilisés.

A propos de la restauration des journaux système client corrompussur les ordinateurs 64 bits

Si un journal Système est corrompu sur un client 64 bits, un message d'erreurinconnue est susceptible de s'afficher dans les journaux Système de la console


406



SymantecEndpointProtection Manager. Lorsqu'un journalsystèmeest corrompu,vous ne pouvez pas en afficher les données dans le client et les données ne sontpas chargées sur la console. Ce problème peut affecter les données des journaux

et des rapports Etat de l'ordinateur, Risque et Analyse de la console.Pour corriger ce problème, vous pouvez supprimer le fichier journal corrompu etle fichier serialize.dat sur le client. Ces fichiers se trouvent sur le client dansLecteur:\Documentsand Settings\AllUsers\Application Data\Symantec\SymantecAntiVirus Corporate Edition\7.5\Logs\ date.Log. Une fois ces fichiers supprimés,le fichier journal est recréé et les entrées sont consignées correctement.





408



Réplication des données


■ A propos de la réplication des données

■ A propos de l'incidence de la réplication

■ Ajouter et déconnecter un partenaire de réplication

■ Planification de la réplication automatique et à la demande

■ Réplication des packages client et contenu LiveUpdate

■ Réplication des journaux

A propos de la réplication des donnéesLa réplication est le processus consistant à partager des informations entre desbases de données pour s'assurerque le contenu est cohérent. Vous pouvez utiliserla réplication pour augmenter le nombre de serveurs de base de données qui sontà la disposition des clients et réduire de ce fait la charge de chacun d'eux. Laréplication est habituellement configurée pendant l'installation initiale.

Consultez le Guide d'Installation pour Symantec Endpoint Protection et Symantec

Network Access Control pour plus d'informations sur la façon dont configurer laréplication de données pendant une première installation.

Un partenaire de réplicationest un autresite doté d'un serveur debase de données.Il dispose également d'une connexion au site que vous établissez comme sited'exploitation principal ou local. Un site peut avoir autant de partenaires deréplication que nécessaire. Tous les partenaires de réplication partagent une cléde licence commune. Les modifications que vous avez apportées sur n'importequel partenaire de réplication sont reproduites chez tous les autres partenairesde réplication chaque foisque SymantecEndpointProtection Managerest planifiépour répliquer des données.

23Chapitre



Par exemple, vous pouvez installer un site à votre bureau principal (site 1) et undeuxième site (site 2). Le site 2 est un partenaire de réplication du premier site.Les bases de données sur le site 1 et sur le site 2 sont synchronisées en utilisant

uneplanification que vous devez configurer. Si une modification esteffectuée surle site 1, elle apparaît automatiquement sur le site 2 après la réplication. Si unemodification est effectuée sur le site 2, elle apparaît automatiquement sur le site1 après la réplication. Vous pouvez également installer un troisième site (site 3)qui peut répliquer les données du site 1 ou du site 2. Le troisième site est unpartenaire de réplication des deux autres sites.

Figure 23-1 illustre comment la réplication des données se produit d'un site localà deux autres sites.

Réplication des donnéesA propos de la réplication des données

410



Figure 23-1 Une présentation de la réplication des données entre un site local

et deux partenaires

Site 1

Symantec Endpoint

Protection Manager

Base de données

MS SQL

Symantec

Endpoint

Protection

Manager

Réplication

Site 2

Base de données

MS SQL

Site 3

Symantec Endpoint

Protection Manager

Base de données

MS SQL

R é p l i c a t i o n

Les partenaires de réplication sont listés à la page Administration. Vous pouvezafficher des informations sur les partenaires de réplication en sélectionnant lepartenaire dans l'arborescence. Tous les sites ont habituellement le même typede base de données. Vous pouvez toutefoisconfigurer la réplication entre lessitesen utilisant différents typesde bases de données. En outre, vous pouvezconfigurerla réplication entre une base de données intégrée et une base de données MS SQL.

Réplication des donnéesA propos de la réplication des données



Si vous utilisez une base de données intégrée, vous ne pouvez y connecter qu'unSymantec Endpoint ProtectionManager en raisondesconditionsde configuration.Si vous utilisez une base de données MS SQL, vous pouvez connecter plusieurs

serveurs de gestion ou partager une base de données. Seul le premier serveur degestion doit être configuré comme partenaire de réplication.

Tous les sites qui sont configurés en tant que partenaires de réplication sontconsidérés comme faisant partie de la même ferme de site. Au commencement,vous devez installez le premier site, puis installer un deuxième site en tant quepartenaire de réplication. Un troisième site pourra être installé et configuré pourse connecter à l'un ou l'autre des deux premiers sites. Vous pouvez ajouter autantde sites que nécessaire à la ferme de sites.

Vous pouvez supprimer les partenaires de réplication pour arrêter la réplication.Vous pourrez ajouter ce partenaire de réplication ultérieurement pour assurer la

cohérence des bases de données. Cependant, certains changements peuvent êtreen conflit.

Se reporter à "A propos des paramètres qui sont répliqués" à la page 412.

Vous pouvez définir la réplication de données pendant l'installation initiale ouultérieurement. Quand vous définissezla réplicationpendant l'installation initiale,vous pouvez également définir une planification pour la synchronisation despartenaires de réplication.

A propos de l'incidence de la réplicationSi les administrateurs apportent des modifications sur chaque site de réplicationsimultanément, certains changements peuvent être perdus. Si vous modifiez lemême paramètre sur les deux sites et si un conflit surgit, le dernier changementest celui qui entre en vigueur quand la réplication se produit.

Par exemple, le site 1 (New York) se réplique avec le site 2 (Tokyo) et le site 2 seréplique avec le site 3 (Londres). Vous souhaitez que les clients qui se connectentau réseau à New York se connectent également au Symantec Endpoint ProtectionManager à New York. Vous ne souhaitez toutefoispasqu'ilspuissent se connecteraux serveurs de gestion à Tokyo ou Londres.

A propos des paramètres qui sont répliqués

Quand vous configurez la réplication, les paramètres de communication du clientsont également répliqués. Par conséquent, vous devez vous assurer que lesparamètres de communication sont corrects pour tous les sites d'une ferme desite de la manière suivante :

Réplication des donnéesA propos de l'incidence de la réplication

412



■ Créez desparamètres de communication génériques de sorte quela connexiond'un client soit basée sur le type de connexion. Par exemple, vous pouvezutiliser un nomDNS générique, telque symantec.com pour tous lessites d'une

ferme de site. A chaque connexion d'un client, le serveur DNS résout le nomet connecte le client au Symantec Endpoint Protection Manager local.

■ Créez des paramètres de communication spécifiques en attribuant desgroupesaux sites de sorte que tous les clients d'un groupe se connectent au serveur degestion indiqué.

Par exemple, vous pouvez créer deux groupes pour les clients du site 1, deuxgroupes différents pour le site 2 et deux autres pour le site 3. Vous pouvezappliquer les paramètres de communication au niveau de groupe pour que lesclients se connectent au serveur de gestion.

Vous pouvez définir des directives pour gérer des paramètres d'emplacement

pour les groupes. Ces directives peuvent contribuer à empêcher des conflits de seproduire sur les mêmes emplacements. Vous pouvez également contribuer àempêcher les conflits pour tous les groupes qui se trouvent dans des sitesdifférents.

Mode de fusion des changements pendant la réplication

Lorsque la réplication s'est produite, la base de données du site 1 et la base dedonnées du site 2 sont identiques. Seules les informations d'identification desserveurs diffèrent.

Si les administrateurs modifient les paramètres sur tous les sites d'une ferme desite, des conflits peuvent se produire. Par exemple, les administrateurs du site 1etdusite2peuventajouterchacunungroupeportantlemêmenom.Sivousvoulezrésoudre ce conflit, les deux groupes existent après réplication. Toutefois, l'und'entre eux est renommé avec un tilde et le chiffre 1 (~1).

Si les deux sites ont ajouté un groupe nommé Ventes, après la réplication, vouspouvez voir deux groupes sur les deux sites. Un groupe est nommé Ventes etl'autre est appelé Ventes 1. Cette duplication se produit toutes les fois qu'unepolitique avec le même nom est ajoutée au même emplacement sur deux sites.

Si lesadaptateurs de réseaudupliquéssont créés surdifférents sites avec le mêmenom, un tilde et le chiffre 1 sont ajoutés (~1). Les deux symboles sont ajoutés à undes noms.

Si des paramètres différents sont modifiés sur les deux sites, les changementssont fusionnés après réplication. Par exemple, si vous modifiez les paramètres desécurité client sur le site 1 et la protection par mot de passe sur le site 2, les deuxensembles de changements apparaissent après réplication. Autant que possible,les changements sont fusionnés entre les deux sites.

Réplication des donnéesA propos de l'incidence de la réplication



Si despolitiques sont ajoutées aux deux sites, lesnouvelles politiques apparaissentsur les deux sites après réplication. Des conflits peuvent se produire quand unepolitique est modifiée sur deux sites différents. Si une politique est modifiée sur

plusieurs sites, la dernière mise à jour de n'importe quel changement est conservéeaprès réplication.

Si vous effectuez les tâches suivantes avec la réplication prévue pour se produirechaque heure à l'heure :

■ Vous modifiez AvAsPolicy1 sur le site 1 à 14:00.

■ Vous modifiez la même politique sur le site 2 à 14:30.

Seulement les changements terminés sur le site 2 apparaissent lorsque laréplication est terminée quand la réplication se produit à 15:00.

Si l'un despartenaires de réplicationestdéconnecté, le sitedistantpeutnéanmoins

indiquer l'état comme en ligne.

Ajouter et déconnecter un partenaire de réplicationSi vous voulez répliquer des données avec un autre site, vous l'avez peut-êtredéjàdéfini lors de l'installation initiale. Si vous n'avez pasdéfini la réplication pendantl'installation initiale, vous pouvez le faire maintenant en ajoutant un partenairede réplication. Un ensemble de plusieurs sites est appelé ferme de site s'ils sontdéfinis en tant quepartenaires de réplication.Vous pouvez ajouter n'importe quelsite à la ferme de site en tant que partenaire de réplication.


Network Access Control pour plus d'informations.

En outre,vous pouvez ajouter un partenaire de réplication quia étéprécédemmentsupprimé en tant que partenaire.

Avant de commencer, vous devez avoir les informations suivantes :

■ Adresse IP ou nom d'hôte de l'installation Symantec Endpoint ProtectionManager pour laquelle vous voulez créer un partenaire de réplication.

■ Le serveur de gestion auquel vous voulez vous connecter doit avoir déjà été

un partenaire de réplication. Le serveur de gestion peut également avoir étépartenaire d'un autre site de la même ferme de sites.

Pour ajouter un partenaire de réplication :


2 Sous Afficher les serveurs, sélectionnez un site.

3 Sous Tâches, cliquez sur Ajouter un partenaire de réplication.

Réplication des donnéesAjouter et déconnecter un partenaire de réplication

414



4 Dans l'assistant d'ajout d'un partenaire de réplication, cliquez sur Suivant.

5 Saisissez l'adresse IP ou le nom d'hôte du serveur de gestion que voussouhaitez définir comme partenaire de réplication.

6 Saisissez le numéro de port du serveur distant sur lequel vous avez installéle serveur de gestion.

Le paramètre par défaut du port de serveur distant est 8443.

7 Entrez le nom d'utilisateur et le mot de passe de l'administrateur.


9 Dans le volet Planifier la réplication,entrez la date prévue pour la réplicationentre les deux partenaires en effectuant l'une des opérations suivantes :

■ Supprimez la coche de l'option Réplication automatique.

Cela entraîne une réplication fréquente et automatique entre deux sites.Il s'agit du paramètre par défaut. Par conséquent vous ne pouvez pasinstaller une planification personnalisée pour la réplication.

■ Désélectionner Réplication automatique

Vous pouvez maintenant installer une planification personnalisée pourla réplication :

■ Sélectionnez une Fréquence de réplication horaire, quotidienne ouhebdomadaire.

■ Sélectionnez le jour spécifique de la réplication dans la liste Jour de

la semaine pour installer une planification hebdomadaire.


11 Dans le volet Réplication des fichiers journaux et des packages client, cochezousupprimezlacochedesoptions,selonquevoussouhaitezounonrépliquerles journaux.

Par défaut, les options ne sont pas activées.

12 Sur la boîte de dialogue Ajouter un partenaire de réplication effectuez l'unedes actions suivantes :

■ Si la basede données a étérestaurée sur le site dupartenairederéplication,cliquez sur Oui.

Vous devez restaurer la base de données sur chaque site de partenaire deréplication avant de continuer si vous mettez à niveau ou restaurez unebase de données.

■ Cliquez sur Non si la base de données n'a pas été restaurée. Restaurezensuite la base de données et redémarrez cette procédure.

Réplication des donnéesAjouter et déconnecter un partenaire de réplication





Le site de partenaires de réplication est ajouté sous Partenaires de réplicationdans la page Administrateur.

Déconnexion des partenaires de réplication

La suppression d'un partenairede réplicationdéconnectesimplement le partenairede réplication de Symantec Endpoint Protection Manager. Cela ne supprime pasle site. Vous pouvez ajouter le site ultérieurement si nécessaire en ajoutant unpartenaire de réplication.

Pour supprimer des bases de données du processus de réplication :

1 Dans la console, cliquez sur Administration.2 Dans la page Administrateur, sous Afficher les serveurs, cliquez sur

Partenaires de réplication.

3 Développez Partenaires de réplication et sélectionnez le partenaire dontvous voulez vous déconnecter.

4 Dans la page Administrateur, sous Tâches, cliquez sur Supprimer le


5 Saisissez Oui lorsqu'il vous est demandé de confirmer que vous voulezsupprimer le partenaire de réplication.

Planification de la réplication automatique et à lademande

Vous pouvez planifier uneréplication automatique ou à la demande. Vous pouvezégalement spécifier la fréquenceavec laquellevousvoulez planifier la réplication.

Réplication des données à la demande

La réplication se produit normalement selon la planification que vous avezconfigurée quand vous avez ajouté un partenaire de réplication pendantl'installation. Le site avec le numéro d'ID le plus petit lance la réplicationprogrammée. Parfois, vous souhaiterez que la réplication se produiseimmédiatement.

Réplication des donnéesPlanification de la réplication automatique et à la demande

416



Planifier la réplication à la demande


2 Sous Afficher les serveurs, développez Partenaires de réplication etsélectionnezle partenaire dont vous voulezrépliquerimmédiatement la basede données.

3 Sous Tâches, cliquez sur Répliquer maintenant.

4 Cliquez sur Oui lorsqu'il vous est demandé de confirmer que vous voulezdémarrer immédiatement une réplication unique.

Le message suivant apparaît :

La réplication a été planifiée.

Pour plus de détails sur le résultat de l'événement planifié,

consultez les journaux système du serveur aprèsun délai de quelques minutes. Le délai dépend de la charge

du serveur, de la quantité de modifications à répliquer

et de la bande passante du canal de communication.

5 Cliquez sur OK. La base de données est répliquée immédiatement.

Si vous utilisez une base de données Microsoft SQL avec plusieurs serveurs,vous ne pouvez lancer la réplication qu'à partir du premier serveur configurésur le site. Si vous essayez d'effectuer la réplication maintenant à partir dudeuxième serveur, vous recevrez le message suivant :

Seul le premier serveur du site peut effectuer la réplication.

Veuillez vous connecter au serveur : <nom premier serveur> pour

lancer la réplication

Modification des fréquences de réplication

La réplication se produit normalement selon la planification définie lorsque vousavez ajouté un partenaire de réplication pendant l'installation initiale.Le site avecle numérod'ID le plus petit lance la réplication programmée.Quand un partenaire

de réplication a été établi, vous pouvez modifier la planification de réplication.Quandvous modifiez la planification d'un partenaire de réplication,la planificationdes deux côtés est identique après la réplication suivante.

Pour modifier les fréquences de réplication :


2 Sous Afficher les serveurs, cliquez sur Partenaires de réplication.

3 Sous Tâches, cliquez sur Modifier un partenaire de réplication.

Réplication des donnéesPlanification de la réplication automatique et à la demande



4 Dans la boîte de dialogue Modifier le partenaire de réplication, spécifiez laplanification pour la réplication entre les deux partenaires en effectuant unedes actions suivantes :

■ Supprimez la coche de l'option Réplication automatique.Cela entraîne une réplication fréquente et automatique entre deux sites.Il s'agit du paramètre par défaut. Par conséquent vous ne pouvez pasinstaller une planification personnalisée pour la réplication.

■ Désélectionner Réplication automatique

Vous pouvez maintenant installer une planification personnalisée pourla réplication.

■ Sélectionnez une Fréquence de réplication horaire, quotidienne ouhebdomadaire.

■ Sélectionnez le jour spécifique de la réplication dans la liste Jour dela semaine pour installer une planification hebdomadaire.

5 Cliquez sur OK.

Réplication des packages client et contenu LiveUpdateVous pouvez répliquer ou dupliquer les packages client et le contenu LiveUpdateentre lesite local et ce partenaire sur unsite distant. Vouspouvez copier la dernièreversion d'un package client ou du contenu LiveUpdate d'un site local à un site

distant. L'administrateur du site distant peut ainsi déployer le package client etle contenu LiveUpdate.


NetworkAccess Control pour plus d'informations surla façon dont créer et déployerles packages d'installation client sur un site.

Si vous décidez de répliquer des packages client et le contenu LiveUpdate, vouspouvez dupliquer un grand volume de données. Si vous répliquez de nombreuxpackages, les données peuvent aller jusqu'à 5 Go en taille. Les packagesd'installation de Symantec Endpoint Protection et Symantec Network AccessControl de 32 bits et 64 bits peuvent nécessiter jusqu'à 500 Mo d'espace disque.


Network Access Control pour plus d'informations sur les exigences en matièred'espace disque.

Pour répliquer les packages client et le contenu LiveUpdate



Réplication des donnéesRéplication des packages client et contenu LiveUpdate

418



3 Développez Partenaires de réplication et sélectionnez le partenaire deréplication avec lequel vous voulez répliquer les packages client.

4 Sous Tâches, cliquez surModifierlespropriétésdupartenairederéplication.

5 Dans la boîte de dialogue Propriétés de partenaire de réplication, sousPartenaire, cliquez sur Répliquer les packages client entre le site local et le

site partenaire.

6 Cliquez sur OK.

Réplication des journauxVous pouvez spécifier que vous voulezrépliquer ou reproduire des journaux ainsique la base de données d'un partenaire de réplication. Vous pouvez spécifier la

réplication des journaux lorsque vous ajoutez des partenaires de réplication ouen modifiant les propriétés des partenaires de réplication. Si vous prévoyez derépliquer des journaux, assurez-vousque vousavezsuffisammentd'espacedisquepour les journaux supplémentaires sur tous les ordinateurs des partenaires deréplication.

Se reporter à "Afficher les journaux d'autres sites" à la page 298.

Pour répliquer des journaux entre les partenaires de réplication



3 Développez Partenaires de réplication et sélectionnez le partenaire deréplication pour lequel vous voulez démarrer la génération des journaux deréplication.

4 Dans la page Admin, sous Tâches, cliquez sur Modifier les propriétés du


5 Dans la boîte de dialogue Propriétés de partenaire de réplication, sousPartenaire, cliquez sur Répliquer les journaux du site local vers ce site de

partenaire ou Répliquer les journaux de ce partenaire vers le site local

6 Cliquez sur OK.

Réplication des donnéesRéplication des journaux



Réplication des donnéesRéplication des journaux

420



Gestion de la protectioncontre les interventions


■ A propos de la protection contre les interventions

■ Configuration de la protection contre les interventions

A propos de la protection contre les interventionsLa protection contre les interventions assure une protection en temps réel desapplications Symantec sur les serveurs et les clients. Il empêche les processusnon Symantec tels que les vers, les chevaux de Troie, les virus et les risques desécurité, d'affecter les processus Symantec. Vous pouvez configurer le logicielpour bloquer ou consignerles tentatives de modificationdesprocessusSymantec.

Remarque : Si vous utilisez des outils de détection des risques de sécurité issus defournisseurs autres que Symantec et conçus pour rechercher et éliminer lesspywares et logiciels publicitaires indésirables, ces outils ont généralement unimpact sur les processus Symantec. Si vous activez la protection contre lesinterventions alors qu'un tel type d'analyseur est utilisé, la protection contre lesinterventions génère un grand nombre de notifications et d'entrées de journal.Une pratique d'excellence consiste à laisser la protection contre les interventionstoujours activée. Utilisez le filtrage du journal si le nombre d'événements générésest trop important.

Lorsqu'un client est installé en tant que client non géré, la protection contre lesinterventions adopte les valeurs suivantes par défaut :

■ La protection contre les interventions est activée.

24Chapitre



■ L'action entreprise par la protection contre les interventions lorsqu'unetentative d'intervention est détectée consiste à bloquer la tentative et deconsigner l'événement.

■ La protection contre les interventions envoie un message par défaut àl'utilisateur lorsqu'une tentative d'intervention est détectée.

Vous pouvez désactiver les notifications de protection contre les interventionssur des ordinateurs client. Vous pouvez également créer des exceptions pour lesapplications détectées par la protection contre les interventions.

Se reporterà "Configurationde la protectioncontre les interventions"àlapage422.

Se reporter à "Configurer une exception centralisée pour la protection contre lesinterventions" à la page 657.

Sereporterà"Ajoutd'une exceptioncentralisée pour desévénementsde protection

contre les interventions" à la page 661.

Lorsqu'un client est installé en tant que client géré, la protection contre lesinterventions adopte les valeurs suivantes par défaut :

■ La protection contre les interventions est activée.

■ L'action entreprise par la protection contre les interventions lorsqu'unetentative d'intervention est détectée consiste à consigner l'événementuniquement.

■ La protection contre les interventions n'envoie aucun message à l'utilisateurlorsqu'une tentative d'intervention est détectée.

Remarque : Si vous activez des notifications quand Symantec Endpoint Protectiondétecte une tentative d'intervention, des notifications concernant les processusde Windows sont envoyées aux ordinateurs affectés ainsi que des notificationsconcernant les processus de Symantec.

Se reporterà "Configurationde la protectioncontre les interventions"àlapage422.

Configuration de la protection contre lesinterventionsVous pouvez activer et désactiver la protection contre les interventions etconfigurerl'action à entreprendre lorsqu'unetentative d'interventionestdétectée.Vous pouvez également configurer la protection contre les interventions demanière à ce que les utilisateurs soient informés lorsqu'une tentatived'intervention est détectée.

Gestion de la protection contre les interventionsConfiguration de la protection contre les interventions

422



Lorsque vous utilisez Symantec Endpoint Protection pour la première fois, il estconseillé d'utiliser l'actionConsignerl'événementuniquement tout en contrôlantles journaux chaque semaine. Lorsque vous êtes certain qu'aucun faux positif

n'est présent, définissez la protection contre les interventions sur Bloquer etconsigner l'événement.

Se reporter à "A propos de la protection contre les interventions" à la page 421.

Vous pouvez configurer un message de façon à ce qu'il apparaisse sur les clientslorsque Symantec Endpoint Protection détecte une tentative d'intervention. Pardéfaut, les messages de notification apparaissent lorsque le logiciel détecte unetentative d'intervention.

Le message que vous créez peut contenir un mélange de texte et de variables. Lesvariablessont renseignées à l'aide desvaleurs qui identifient descaractéristiquesde l'attaque. Si vous utilisez une variable, vous devez la saisir exactement tellequ'elle apparaît.

Tableau 24-1 décrit les variables disponibles pour configurer un message.

Tableau 24-1 Variables et descriptions du message de protection contre les

interventions

DescriptionChamp

Action entreprisepar la protectioncontre les interventionsen réponse à l'attaque.

[ActionEffectuée]

Numéro d'identification du processus ayant attaqué uneapplication Symantec.

[IDProcessusActeur]

Nom du processus ayant attaqué une application Symantec.[NomProcessusActeur]

Nom de l'ordinateur attaqué.[Ordinateur]

Date à laquelle l'attaque s'est produite.[DateTrouvé]

Type de cible attaqué par le processus.[TypeEntité]

Nom du fichier ayant attaqué les processus protégés.[Nomfichier]

Zone du matériel ou des logiciels de l'ordinateur protégéecontre les interventions. Pour les messages de protectioncontre les interventions, il s'agit des applications Symantec.

[Emplacement]

Chemin et nom complet du fichier ayant attaqué lesprocessus protégés.

[CheminNomfichier]

Type de tentative d'intervention s'étant produit.[EvénementSystème]

Emplacement de la cible que le processus a attaqué.[NomCheminCible]




DescriptionChamp

Identifiant de processus de la cible que le processus aattaquée.

[IDProcessusCible]

Identifiant de la session de terminal au cours de laquellel'événement s'est produit.

[IDSessionTerminalCible]

Nom de l'utilisateur connecté lorsque l'attaque s'estproduite.

[Utilisateur]

Pour activer ou désactiver la protection contre les interventions


2 Dans l'onglet Politiques, sous Paramètres, cliquez sur Paramètresgénéraux.

3 Dans l'onglet Protection contre les interventions, cochez ou désélectionnezla case Protéger les logiciels de sécurité Symantec contre les interventions

ou interruptions.

4 Cliquez sur l'icône de verrouillage si vous souhaitez que les utilisateurs nepuissent pas modifier ce paramètre.

5 Cliquez sur OK.

Pour configurer les paramètres de base de la protection contre les interventions


2 Dans l'onglet Policies (Politiques), sous Settings (Paramètres), cliquez surGeneral Settings (Paramètres généraux).

3 Dans l'onglet Protection contre les interventions, dans les zones de liste,sélectionnez l'une des actions suivantes :

■ Pour bloquer et consigner l'activité non autorisée, cliquez sur Bloquer et

consigner l'événement.

■ Pourconsignerl'activiténonautoriséesansinterdiresonexécution,cliquezsur Consigner l'événement uniquement.

4 Cliquez sur l'icône de verrouillage si vous souhaitez que les utilisateurs ne

puissent pas modifier ce paramètre.

5 Cliquez sur OK.


424



Pour activer et personnaliser des messages de notification de protection contre

les interventions


2 Dans l'onglet Policies (Politiques), sous Settings (Paramètres), cliquez surGeneral Settings (Paramètres généraux).

3 Dans l'onglet Protection contre les interventions, cliquez sur le Afficher un

message de notification si une modification est détectée.

4 Dans la zone de texte, vous pouvez saisir ou supprimer du texte afin demodifier le message par défaut.

Si vous utilisez une variable, vous devez la saisir exactement telle qu'elleapparaît.

5 Cliquez sur l'icône de verrouillage si vous souhaitez que les utilisateurs nepuissent pas modifier ce paramètre.

6 Cliquez sur OK.





426



Configuration de la

protection antivirus etantispyware

■ Chapitre 25. Paramètres de base de la politique antivirus et antispyware

■ Chapitre 26. Configuration d'Auto-Protect

■ Chapitre 27. Utilisation d'analyses définies par l'administrateur

3Section



428



Paramètres de base de lapolitique antivirus et

antispywareCe chapitre traite des sujets suivants :

■ Bases de la protection antivirus et antispyware

■ A propos de l'utilisation des politiques antivirus et antispyware

■ A propos des virus et des risques de sécurité

■ A propos des analyses

■ A propos des actions pour les virus et les risques de sécurité détectés par lesanalyses sur des clients Windows

■ A propos des actions pour les virus et les risques de sécurité détectés par lesanalyses sur des clients Mac

■ Définir des paramètres de gestion des journaux dans une politique antiviruset antispyware

■ A propos de l'interaction client avec des options d'antivirus et de protection

antispyware■ Modifier le mot de passe nécessaire pour analyser des lecteurs réseau mappés

■ Configuration du Centre de sécurité Windows pour qu'il fonctionne avec leclient Symantec Endpoint Protection

■ Afficher un avertissementlorsque lesdéfinitions sont périmées ou manquantes

25Chapitre



■ Spécification d'une URL devant apparaître dans des notifications d'erreurd'antivirus et de protection antispyware

■ Spécifier une URL pour une page d'accueil de navigateur

■ Configuration des options qui s'appliquent aux analyses antivirus etantispyware

■ Transmettre des informations sur des analyses à Symantec

■ Gestion des fichiers en quarantaine

Bases de la protection antivirus et antispywareVous pouvez apporter une protection antivirus et antispyware aux ordinateurs

de votre réseau de sécurité en procédant comme suit :

■ Créez un plan pour réagir face aux virus et aux risques de sécurité.

Se reporter à "A propos de la création d'un plan pour réagir face aux virus etaux risques de sécurité" à la page 430.

■ Affichez le statut de votre réseau sur la page d'accueil dans la console.

Sereporterà "A propos de la page d'accueil de Symantec Endpoint Protection"à la page 215.

■ Exécutez des commandes via la console pour activer Auto-Protect, lancez uneanalyse à la demande ou mettez à jour les définitions.




■ Utilisez les politiques antivirus et antispyware pour modifier Auto-Protect etles paramètres d'analyse sur les ordinateurs client.

Se reporter à "Configuration d'Auto-Protect pour le système de fichiers pourdes clients Windows" à la page 481.

Se reporter à "Configurer des options avancées d'analyse et de surveillance"à la page 484.

A propos de la création d'un plan pour réagir face aux virus et auxrisques de sécurité

Pour répondre de manière rapide et efficace à une propagation de virus et derisques de sécurité, vous devez élaborer une stratégie. Créez un plan pour faire

Paramètres de base de la politique antivirus et antispywareBases de la protection antivirus et antispyware

430



face aux épidémies de virus et définissez des actions permettant de traiter lesfichiers suspects.

Se reporter à "Bases de la protection antivirus et antispyware" à la page 430.

Tableau 25-1 présente les tâches de création d'un plan antivirus et de lutte contrela propagation des risques de sécurité.

Tableau 25-1 Un exemple de plan

DescriptionTâche

Vérifiez que les ordinateurs infectés comportent lesderniers fichiers de définitions. Vous pouvez exécuterdes rapports pour vérifier que les ordinateurs clientcomportent les dernières définitions.

Pour mettre à jour les définitions, effectuez l'une desopérations suivantes :

■ Appliquez une politique LiveUpdate.

Se reporter à "A propos des politiques LiveUpdate"à la page 150.

■ Exécutez la commande Update Content pour ungroupe ou les ordinateurs sélectionnés répertoriésdans l'onglet Clients.

■ Exécutez la commande Update Content sur lesordinateurs sélectionnés répertoriés dans le fichier

journal d'état ou des risques de l'ordinateur.

Vérifiez que les fichiers dedéfinitions sont à jour.

Préparez une carte de la topologie de votre réseau pourpouvoir systématiquement isoler et nettoyer lesordinateurs par segment avant de les reconnecter auréseau local.

Votre carte doit contenir les informations suivantes :

■ Noms et adresses des ordinateurs clients

■ Protocoles réseau

■ Ressources partagées

Mappez la topologie du réseau.




DescriptionTâche

Maîtrisez la topologie de votre réseau et votre mise enœuvreduclientdansvotreréseau.Maîtrisezégalementla miseenœuvre de tous les autres produits de sécuritéutilisés sur votre réseau.

Considérez les points suivants :

■ Quels programmesde sécurité protègentlesserveurset stations de travail en réseau ?

■ Quelle est la planification de la mise à jour desdéfinitions ?

■ Quelles autres méthodes de récupération des misesà jour sont disponibles si les canaux habituels sontattaqués ?

■ Quels fichiers journaux sont disponibles poureffectuer le suivi des virus sur votre réseau ?

Maîtrisez les solutions desécurité.

En cas d'infection catastrophique, il se peut que vousdeviez restaurer les ordinateurs client. Assurez-vousque vous disposez d'un plan de secours pour restaurerles ordinateurs vitaux.

Disposez d'un plan de secours.

Lesmenaces combinées(par exemple, lesvers)peuventcirculer via des ressources partagées sans interventionde l'utilisateur. Pour réagir à une infection par un verinformatique, il est essentiel d'isoler les ordinateurs

infectés en les déconnectant du réseau.

Isolez les ordinateurs infectés.

Les rapports et journaux de la console de gestionreprésentent une mined'informationsquantauxrisquesauxquels votre réseau est exposé. Vous pouvez utiliserl'encyclopédie de virusde Symantec Security Responsepour en savoir plus sur un risque particulier que vousidentifiez dans les rapports ou les fichiers journaux.Danscertains cas,vouspouvez trouver des instructionssupplémentaires permettant de traiter le risque.

Identifiez le risque.


432



DescriptionTâche

Il est souhaitable d'accéder au site Web SymantecSecurityResponse pourobtenir des informations à jour,lorsque les situations suivantes sont vraies :

■ Vous ne pouvez pas identifier un fichier suspect enexaminant les fichiers journaux et les rapports.

■ Les derniers fichiers de définitions de virus nenettoient pas le fichier suspect.

Sur le site Web, il se peut que vous trouviez desinformations récentes sur le fichier suspect. Vérifiezles derniers conseils relatifs aux menaces virales et à lasécurité.

http://www.symantec.com/fr/fr/security_response/

Réagissez face aux risquesinconnus.

A propos de Symantec Security Response

Vous trouverez surla page Webde Symantec Security Response desinformationsà jour sur les virus et les risques de sécurité.


http://www.symantec.com/fr/fr/enterprise/security_response/

A propos de l'affichage de l'état d'antivirus et de protection antispywarede votre réseau

Vous pouvez rapidement afficher l'état de votre réseau de sécurité sur la paged'accueil de la console. Un récapitulatif d'état indique combien d'ordinateurs devotre réseau de sécurité comportent un antivirus et une protection antispywaredésactivés. Un récapitulatif d'action affiche les actions que le client a effectuéesau niveau des virus et des risques de sécurité détectés. La page d'accueil inclutégalement la distribution des définitions de virus à travers le réseau.


Vous pouvez également exécuter des rapports et afficher des fichiers journaux.

Se reporter à "Surveillance de la protection de terminal" à la page 207.










A propos de l'exécution de commandes pour la protection antivirus etantispyware

Vous pouvez rapidement exécuter des commandes via la page Clients dans laconsole ou en utilisant les journaux d'état d'ordinateur de la page Contrôles.



A propos de l'activation manuelle d'Auto-Protect

La politiqueantiviruset contreleslogicielsespions par défaut activeAuto-Protect

par défaut. Si les utilisateurs sur des ordinateurs client désactivent Auto-Protect,vous pouvez rapidement le réactiver via la console.

Vous pouvez sélectionner les ordinateurs pour lesquels vous voulez activerAuto-Protect via la console dans la page Clients. Vous pouvez également activerAuto-Protect via un fichier journal que vous générez à partir de la page Contrôles.

Se reporter à "Activer Auto-Protect pour le système de fichiers" à la page 480.

A propos de l'exécution d'analyses à la demande

Vous pouvez inclure des analyses planifiées en tant qu'élément des politiques

antivirus et contre les logiciels espions. Cependant, il se peut que vous deviezexécuter manuellement des analyses sur les ordinateurs client.

Vous pouvez sélectionner lesordinateurs pour lesquels vous souhaitez lancer desanalyses à la demande, à partir de la console de la page Clients. Vous pouvezégalement exécuter une analyse à la demande à partir d'un fichier journal quevous générez via la page Contrôles.

Vous pouvez exécuter une analyse rapide, complète ou personnalisée. Si vouschoisissez de lancer une analyse personnalisée, le client applique les paramètresdes analyses à la demande que vous configurez dans la politique d'antivirus etd'antispyware.


A propos des politiques antivirus et antispyware

Une politique antivirus et antispyware inclut les types suivants d'options :

■ Analyses Auto-Protect

■ Analyses définies par l'administrateur (planifiées et à la demande)


434




■ Options de quarantaine

■

Options de transmission■ Paramètres divers

Quand vousinstallezSymantec Endpoint Protection, plusieurs politiquesantiviruset antispywareapparaissentdans la liste des politiques de la console.Vous pouvezmodifier l'une des politiques préconfigurées ou vous pouvez créer de nouvellespolitiques.

Remarque : Les politiquesantivirus et antispyware incluent la configuration pourdes analyses proactives des menaces TruScan.

Se reporter à "A propos des analyses" à la page 442.

A propos des politiques antivirus et antispyware préconfigurées

Les politiquesantivirus et antispywarepréconfiguréessuivantes sont disponibles :

■ Politique antivirus et antispyware

■ Politique antivirus et antispyware – Haute sécurité

■ Politique antivirus et antispyware – Haute performance

La politique haute sécurité estla plus rigoureuse de toutes lespolitiquesantiviruset antispyware préconfigurées. Vous devez garder à l'esprit qu'elle peut affecterles performances d'autres applications.

La politique hautes performances fournit de meilleures performances que lapolitique haute sécurité, mais elle ne fournit pas les mêmes dispositifs deprotection. Pour détecter les menaces, elle se fonde principalement surAuto-Protect pour le système de fichiers pour analyser les fichiers dont lesextensions sont sélectionnées.

La politiqueantiviruset antispyware pardéfautcontient lesparamètres importantssuivants :

■ Auto-Protect pour le système de fichiers est chargé au démarrage del'ordinateur et activé pour tous les fichiers.

■ Le courrier électronique Internet, Microsoft Outlook et Auto-Protect pourLotus Notes sont activés pour tous les fichiers.

■ L'analyseréseaudela protection automatique dusystème defichiersestactivée.

■ Les analyses proactives des menaces TruScan sont activées et sont exécutéestoutes les heures.




■ ActiveScan ne s'exécutepas automatiquementquandles nouvellesdéfinitionsarrivent.

■ Une analyse planifiée s'exécute une fois par semaine, avec l'optimisation

d'analyse définie sur Meilleures performances d'application.

La politique hautes performances contient les paramètres importants suivants :

■ Auto-Protect pour le système de fichiers est chargéquand Symantec EndpointProtection démarre et est activé pour les fichiers dont les extensions sontsélectionnées.

■ L'analyse réseau de la protection automatique du système de fichiers estdésactivée.

■ Le courrier électronique Internet, Microsoft Outlook et Auto-Protect pourLotus Notes sont désactivés.

■ Lesanalyses proactivesdesmenaces sont activéeset s'exécutent unefois toutesles six heures.

■ ActiveScan n'estpas exécuté automatiquementlorsque de nouvellesdéfinitionsarrivent.

■ Une analyse planifiée s'exécute une fois par mois, avecl'optimisationd'analysedéfinie sur Meilleures performances d'application.

La politique haute sécurité contient les paramètres importants suivants :

■ Auto-Protect pour le système de fichiers est chargé au démarrage de

l'ordinateur et activé pour tous les fichiers.■ Internet Email, Microsoft Outlook et Lotus Notes Auto-Protect sont activés

pour tous les fichiers.

■ L'analyse réseaudela protection automatique dusystème defichiersestactivée.

■ Les analyses proactives des menaces sont activées et s'exécutent toutes lesheures, ainsi qu'à chaque démarrage d'un nouveau processus.

■ ActiveScans'exécuteautomatiquement quand de nouvelles définitions arrivent.

■ Une analyse planifiée s'exécute une fois par semaine, avec l'optimisationd'analyse définie pour être équilibrée.

A propos du verrouillage de paramètres dans les politiques antiviruset antispyware

Vous pouvez verrouiller quelques paramètres dans une politique antivirus etantispyware. Quand vous verrouillez des paramètres, les utilisateurs ne peuventpas modifier les paramètres sur les ordinateurs client qui utilisent la politique.


436



A propos des politiques antivirus et antispyware pour des clients hérités

Si votre environnement contient des multiples versions des clients hérités, votrepolitique antivirus et antispywarepourraitcontenir lesparamètres qui ne peuventpasêtre appliqués. Vous pourriez devoirconfigurer et gérer despolitiquesantiviruset antispyware séparées pour des clients hérités.

A propos des paramètres par défaut de prise en charge des fichierssuspects

Grâce à la politique antivirus et antispyware par défaut, le client de SymantecEndpoint Protection exécute les actions suivantes lorsqu'il identifie un fichiersusceptible d'être infecté par un virus :

■ Le client essaye de réparer le fichier.

■ Si le fichier ne peut pas être réparé à l'aide de l'ensemble de définitions actuel,le clienttransfert le fichier infecté dans la zone de quarantaine locale. En outre,le client crée une entrée dans le journal des événements de risque. Le clienttransmet les données au serveur de gestion. Vous pouvez afficher les donnéesdu journal à partir de la console.

Vous pouvez effectuer lesactionssupplémentairessuivantes pourcompléter votrestratégie de gestion des virus :

■ Configurez la fonction de création de rapports pour être informé lorsque desvirus sont détectés.

Se reporter à "A propos de l'utilisation de notifications" à la page 312.

■ Définissez les différentes actions de réparation en fonction du type de virus.Par exemple, vous pouvez configurer le client de façon à ce qu'il répareautomatiquement les virus macro. Vous pouvez également configurer uneaction différente pour les cas de figure où le client détecte un fichier deprogramme et

■ attribuer une action de sauvegarde pour les fichiers que le client ne peut pasréparer.

Se reporter à "Configuration des actions pour des détections connues de virus

et de risque de sécurité sur les clients Windows" à la page 466.

■ Configurez la zone de quarantaine locale de manière à ce que les fichiersinfectés soient transférés vers la quarantaine centralisée. Vous pouvezconfigurer la quarantaine centralisée de manière à ce qu'elle tente uneréparation. Lorsquela quarantaine centralisée tente uneréparation, elle utiliseson propre ensemble de définitions de virus. Les définitions de la quarantainecentralisée sont parfois plus appropriées que cellesde l'ordinateur local. Vous




pouvez également configurer le transfertautomatique d'échantillonsde fichiersinfectés à Symantec Security Response à des fins d'analyse.

Pour plus d'informations, consultez le Guide de mise en oeuvre de Symantec

Central Quarantine.

A propos de l'utilisation de politiques pour gérer des éléments dansla zone de quarantaine

Quand le client détecte un virus connu, il place le fichier dans la zone dequarantaine locale de l'ordinateur client. Le client peut également mettre enquarantaine les élémentsque lesanalyses proactives desmenaces détectent. Vousconfigurez les paramètres de quarantaine dans le cadre d'une politique antiviruset antispyware que vous appliquez aux clients.

Vous pouvez définir les éléments suivants :

■ Un chemin de répertoire de quarantaine local

■ Si lesclients soumettent manuellement ou nonà Symantec Security Responseles éléments mis en quarantaine

■ Si lesclients soumettentautomatiquement ou non à un serveur de quarantainecentralisé les éléments mis en quarantaine

■ La manière dont la zone de quarantaine locale traite la correction quand denouvelles définitions de virus sont reçues

Se reporter à "Gestion des fichiers en quarantaine" à la page 474.Vous pouvez également supprimer des éléments mis en quarantaine sur vosordinateurs client du journal des risques de la console.

Se reporter à "Surveillance de la protection de terminal" à la page 207.

A propos de l'utilisation des politiques antivirus etantispyware

Vous créez et modifiezdespolitiques antivirus et antispyware de la même manièreque vous créez et modifiez d'autres types de politiques. Vous pouvez attribuer,retirer,remplacer, copier, exporter, importerou supprimer une politique antiviruset antispyware.

Vous attribuez généralement une politique à plusieurs groupes de votre réseaude sécurité. Vous pouvez créer une politique non partagée à un emplacementspécifique si un emplacement particulier nécessite des conditions spécifiques.

Paramètres de base de la politique antivirus et antispywareA propos de l'utilisation des politiques antivirus et antispyware

438



Les procédures de ce chapitre supposent que vous maîtrisez les bases de laconfiguration des politiques.

Se reporter à "Utilisation de politiques pour gérer la sécurité du réseau"

à la page 96.

A propos des virus et des risques de sécuritéUne politique antivirus et antispyware analyse à la fois la présence de virus et derisques de sécurité ; les exemples de risques de sécurité sont des spywares, deslogiciels publicitaires et d'autres fichiers qui peuvent mettre un ordinateur ou unréseau en danger. Les analyses antivirus et antispyware détectent les rootkits deniveau noyau. Les rootkits sont les programmes qui essayent de se masquervis-à-vis du système d'exploitation d'un ordinateur et peuvent être utilisés à des

fins malveillantes.

La politique antivirus et antispyware par défaut effectue les actions suivantes :

■ Détection, élimination et réparation des effets secondaires desvirus, des vers,des chevaux de Troie et des menaces combinées.

■ Détection, élimination et réparation des effets secondaires des risques desécurité tels queleslogicielspublicitaires, lescomposeurs, lesoutilsde piratage,lesblagues, lesprogrammes d'accèsà distance, lesspywares, lesoutilsde suiviet autres.

Se reporter à "Bases de la protection antivirus et antispyware" à la page 430.

Tableau 25-2 décrit les types de risques que le logiciel client analyse.

Tableau 25-2 Virus et risques de sécurité

DescriptionRisque

Programmes ou code qui ajoutent une copie d'eux-mêmes à unautre programme ou document, au moment de leur exécution.Quand le programme infecté s'exécute, le programme de virus

joint s'active et s'ajoute à d'autres programmes et documents.Quand un utilisateur ouvre un document qui contient un virus

macro, le programme de virus joint s'active et s'ajoute à d'autresprogrammes et documents.

La plupart des virus produisent un effet, comme l'affichage d'unmessage, à une date particulière. Quelques virus endommagentspécifiquement des données. Ces virus peuvent corrompre desprogrammes, supprimer des fichiers ou reformater des disques.

Virus

Paramètres de base de la politique antivirus et antispywareA propos des virus et des risques de sécurité



DescriptionRisque

Programmesqui exécutentdes tâches automatisées sur Internetà des fins malveillantes.

Des robots Web peuvent être utilisés pour automatiser desattaques sur des ordinateurs ou pour collecter des informationsde sites Web.

Robots Webmalveillants

Programmes qui se reproduisent sans infecter d'autresprogrammes. Certains vers se répandent en se copiant de disqueen disque, tandis que d'autres se reproduisent uniquement dansla mémoire afin de ralentir les ordinateurs.

Vers

Programmes malveillants qui se masquent dans quelque chosed'inoffensif, comme un jeu ou un utilitaire.

Chevaux de Troie

Menaces qui combinent les caractéristiques des virus, des vers,des chevaux de Troie et des codes malveillants avec lesvulnérabilités de serveur et d'Internet pour lancer, transmettreet propager une attaque. Les menaces combinées utilisentplusieurs méthodes et techniques pour se propager rapidementet causent des dommages étendus à travers un réseau.

Menaces combinées

Programmes autonomes ou ajoutés qui collectent, de façonclandestine, des informations personnelles via Internet etrelayent ces informationsvers un autre ordinateur. Ces logicielspeuvent surveiller vos habitudes de navigation dans un but

publicitaire. Ils peuvent également diffuser des contenuspublicitaires.

Vousêtessusceptible de télécharger inconsciemmentdeslogicielspublicitaires à partir de sites Web (généralement sous la formede partagiciel ou graticiel), de courriers électroniques ou deprogrammes de messagerie instantanée. Parfois, un utilisateurtélécharge à son insu un logiciel publicitaire en acceptant leContrat de licence Utilisateur d'un programme.

Logiciel de publicité

Programmes qui utilisent un ordinateur, sans permission del'utilisateur ou à soninsu, pourcomposer par Internet un numéro

900 ou accéder à un site FTP. Habituellement, ces numéros sontcomposés pour engendrer des frais.

Composeurs


440



DescriptionRisque

Programmes utilisés par un pirate pour obtenir un accès nonautorisé à l'ordinateur d'un utilisateur. Une exemple est unprogramme d'enregistrement automatique des frappes qui pisteet enregistre chaquefrappe au clavier et envoieces informationsau pirate. Le pirate peut ensuite effectuer des analyses de portou de vulnérabilité. Les outils de piratage peuvent égalementservir à créer des virus.

Outils de piratage

Programmes qui altèrent ou interrompent le fonctionnementd'un ordinateur d'une manière qui se veut amusante oueffrayante. Par exemple, un programme téléchargé depuis unsite Web, dans un courrier électronique ou dans un programmede messagerie instantanée. Il peut, par exemple, déplacer la

Corbeille loin de la souris lorsque l'utilisateur tente de lesupprimer ou inverser les boutons de la souris.

Programmesplaisanterie

Tous les autres risques de sécurité qui ne se conforment pas auxdéfinitions strictes des virus, des chevaux de Troie, des vers oud'autres catégories de risque de sécurité.

Autres

Programmes permettant un accès par Internet à partir d'unautreordinateur afin d'obtenir des informations ou d'attaquer voired'altérer votre ordinateur. Un utilisateur ou un autre processuspeut, par exemple, installerun programme sans que l'utilisateurle sache. Le programme peut être utilisé à des fins malveillantes

avec ou sans modification du programme d'accès à distanced'origine.

Programmes d'accèsdistant

Programmes autonomes pouvant surveiller secrètement lesactivités du système et détecter desinformations comme lesmotsde passe et autres informations confidentielles et retransmettreces informations à un autre ordinateur.

Vous êtes susceptible de télécharger inconsciemment desspywares à partir de sites Web (généralement sous la forme departagiciel ou graticiel), de courriers électroniques ou deprogrammes de messagerie instantanée. Parfois, un utilisateur

télécharge à son insu un spyware en acceptant le Contrat delicence Utilisateur d'un programme.

Spyware




DescriptionRisque

Applications autonomes ou ajoutées qui suivent l'itinéraire d'unutilisateur sur Internet et envoient les informations au systèmecible. Par exemple, l'application peut être téléchargée depuis unsite Web, dans un courrier électronique ou dans un programmede messagerie instantanée. Elle peut ensuite obtenir desinformations confidentielles concernant le comportement del'utilisateur.

Logiciel de pistage

Par défaut, Auto-Protect analyse la présence des virus, des chevaux de Troie, desvers et des risques de sécurité quand il s'exécute.

Certains risques, tels que Back Orifice, étaient détectés comme étant des virusdans les versions antérieures du logiciel client. Ils restent détectées comme étant

desvirus afin quele logiciel clientpuisse continuerà protéger lesanciens systèmes.

A propos des analysesVous pouvez inclure les types suivants d'analyses dans une politique antivirus etantispyware :

■ Analyses antivirus et antispyware

■ Analyses Auto-Protect

Se reporter à "A propos des analyses Auto-Protect" à la page 443.

■ Analyses définies par l'administrateur

Se reporter à "A propos des analyses définies par l'administrateur"à la page 448.


Se reporter à "A propos des analyses proactives des menaces TruScan"à la page 450.

Par défaut, toutes les analyses antivirus et antispyware détectent des virus et desrisques de sécurité, tels que des logiciels publicitaires et des spywares ; les analysesmettent en quarantaine les virus et les risques de sécurité, puis elles suppriment

ou réparent leurs effets secondaires. Les analyses Auto-Protect et définies parl'administrateur détectent lesvirus et lesrisques de sécurité connus. Lesanalysesproactives des menaces détectent les virus et les risques de sécurité inconnus enanalysant la possibilité d'un comportement malveillant.

Paramètres de base de la politique antivirus et antispywareA propos des analyses

442



Remarque : Dans certains cas, vous pouvez installer à votre insu une applicationincluant un risque de sécurité tel qu'un logiciel publicitaire ou un spyware. SiSymantec détermine qu'il n'est pas nuisible pour un ordinateur de bloquer un

risquede sécurité, le logicielclient bloque celui-ci pardéfaut. Pour éviterde laisserl'ordinateur dans un état instable, le logiciel client attend que l'installation del'application soit terminée avant de placer le risque en quarantaine. Il répareensuite les effets secondaires du risque.

A propos des analyses Auto-Protect

Les analyses Auto-Protect incluent les types suivants d'analyses :

■ Analyses Auto-Protect pour le système de fichiers

■

Analyses Auto-Protect des pièces jointes pour Lotus Notes et Outlook (MAPIet Internet)

■ Analyses Auto-Protect pour les messages Internet et les pièces jointes demessage utilisantlesprotocoles de communication POP3 ou SMTP ; lesanalysesAuto-Protect pour messagerie Internet inclut aussi l'analyse heuristique desmessages sortants

Remarque : Pour des raisons de performance, Auto-Protect pour messagerieInternet pour POP3 n'est pasprisen chargesurlessystèmes d'exploitationserveur.Sur un serveur Microsoft Exchange, vous ne devrez pas installer Auto-Protect

pour Microsoft Outlook.

Auto-Protect analyse continuellementlesfichiers et lesdonnées de message pourrechercher les virus et les risques de sécurité ; les virus et les risques de sécuritépeuvent inclure des spywares et des logiciels publicitaires, car ils sont lus ouenregistrés sur un ordinateur.

Vous pouvez configurer Auto-Protect pour analyser seulement des extensions defichier choisies. Quand il analyse desextensions sélectionnées, Auto-Protect peutégalement déterminer le type d'un fichier même si un virus modifie l'extensionde fichier.

Lorsque vous effectuez la configuration, vous pouvez verrouiller les optionsd'Auto-Protect sur les clients pour imposer une politique de sécurité au niveaude l'entreprise afin d'assurer une protection contre les virus et les risques desécurité. Lesutilisateursne peuvent pasmodifier les options quevous verrouillez.

Auto-Protect est activé par défaut. Vouspouvez afficherl'état d'Auto-Protect dansla console sous l'onglet Clients ou en générant les rapports et les journaux qui




affichent l'état de l'ordinateur. Vous pouvez également afficher l'étatd'Auto-Protect directement sur le client.

Auto-Protect peut analyser les pièces jointes de messagerie des applications

suivantes :

■ Lotus Notes 4.5x, 4.6, 5.0 et 6.x

■ Microsoft Outlook 98/2000/2002/2003/2007 (MAPI et Internet)

Si vous utilisez Microsoft Outlook sur MAPI ou le client Microsoft Exchange etque Auto-Protect est activé pour le courrier électronique, les pièces jointes sontimmédiatement téléchargées sur l'ordinateur qui exécute le client de messagerie.Les pièces jointes sont analysées au moment de leurs ouvertures. Si voustéléchargez une pièce jointe volumineuse sur une connexion lente, lesperformances de la messagerie sont affectées. Vous pouvez désactiver cette

fonction pour les utilisateurs qui reçoivent souvent des pièces jointes de grandetaille.

Remarque : Si Lotus Notes ou Microsoft Outlook est déjà installé sur l'ordinateurquand vous effectuez une installation de logiciel client, le logiciel client détectel'application de messagerie. Le clientinstalle alorsle type de courrier électroniquecorrect d'Auto-Protect. Les deux types sont installés si vous sélectionnez uneinstallation complète quand vous exécutez une installation manuelle.

Si votre programmede messagerieélectroniquene correspond à aucun desformats

de données pris en charge, vous pouvez protéger votre réseau en activantAuto-Protect sur votre système de fichiers. Si un utilisateur reçoit un messageavec unepièce jointe infectée surun système de messagerie de NovellGroupWise,Auto-Protect peut détecter le virus quand l'utilisateur ouvre la pièce jointe. Eneffet, la plupart desprogrammes de messagerie électronique (commeGroupWise)enregistrent lespiècesjointesdansun répertoiretemporairelorsque lesutilisateursles lancent depuis le client de messagerie. Si vous activez Auto-Protect sur votresystème de fichiers, Auto-Protect détecte le virus quand il est enregistré dans lerépertoire temporaire. Auto-Protect détecte également le virus si l'utilisateuressaye d'enregistrer la pièce jointe infectée sur un lecteur local ou lecteur réseaulocal.

Se reporter à "A propos de la configuration d'Auto-Protect" à la page 479.

Se reporter à "A propos de la détection d'Auto-Protect des processus quitéléchargent continuellement le même risque de sécurité" à la page 445.

Se reporter à "A propos de l'exclusion automatique des fichiers et des dossiers"à la page 445.


444



Se reporter à "Si les applications de messagerie client utilisent une boîte deréception unique" à la page 447.

A propos de la détection d'Auto-Protect des processus quitéléchargent continuellement le même risque de sécurité

Si Auto-Protect détecte un processus qui télécharge continuellement un risquede sécurité vers un ordinateur client, il peut afficher unenotificationet consignerla détection. (Auto-Protect doit être configuré pour envoyer des notifications.) Sile processus continue à télécharger le même risque de sécurité, plusieursnotificationsapparaissentsur l'ordinateur de l'utilisateur et Auto-Protect consigneces événements. Pour empêcher que plusieurs notifications aient lieu et queplusieurs événements soient consignés, Auto-Protect arrête automatiquementd'envoyer des notifications au sujet du risque de sécurité au bout de trois

détections. Auto-Protect arrête également de consigner l'événement au bout detrois détections.

Dans certaines situations, Auto-Protect n'arrête pas d'envoyer des notificationset de consigner des événements pour le risque de sécurité.

Auto-Protect continue à envoyer des notifications et à consigner des événementsquand l'un des cas suivants se produit :

■ Vous ou des utilisateurs sur des ordinateurs client désactivez le blocage del'installation des risques de sécurité (par défaut, il est activé).

■ L'action pour le type de risque de sécurité des téléchargements de processus

est Ignorer.

A propos de l'exclusion automatique des fichiers et desdossiers

Le logiciel client détecte automatiquement la présence de certaines applicationstierces et produits Symantec. Après les avoir détectés, il crée des exclusions pources fichiers et ces dossiers. Le client exclut ces fichiers et ces dossiers de toutesles analyses antivirus et antispyware.

Le logiciel client créeautomatiquement desexclusionspourleséléments suivants :

■ Microsoft Exchange

■ Contrôleur de domaine Active Directory

■ Certains produits Symantec




Remarque : Pour consulter les exclusions que le client crée sur les ordinateurs32 bits, vous pouvez examiner le contenu du registre WindowsHKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint

Protection\AV\Exclusions. Vous ne devez pas modifier ce registre Windowsdirectement. Sur les ordinateurs 64 bits, consultezHKEY_LOCAL_MACHINE\Software\Wow6432Node\Symantec\Symantec EndpointProtection\AV\Exclusions.

Le clientn'exclut pasde l'analyselesdossierssystème temporaires carcela pourraitaboutir à une vulnérabilité grave de l'ordinateur.

Vous pouvezconfigurer desexclusions supplémentairesen utilisant desexceptionscentralisées.

Sereporterà "Configuration d'une politique d'exceptionscentralisées"àlapage649.

A propos de l'exclusion automatique des fichiers et des dossiers pourMicrosoft Exchange Server

Si des serveurs Microsoft Exchange sont installés sur l'ordinateur sur lequel vousavez installé le client Symantec Endpoint Protection, le logiciel client détecteautomatiquement la présence de Microsoft Exchange. Quand le logiciel clientdétecte un serveur Microsoft Exchange, il crée les exclusions de fichiers et dedossiers appropriées pour les analyses Auto-Protect pour le système de fichierset toutes les autres analyses. Les serveurs Microsoft Exchange peuvent incluredesserveurs en cluster. Le logiciel client vérifie la présence de modifications dans

l'emplacementdesfichiers et dossiers MicrosoftExchange appropriésà intervallesréguliers. Si vous installez Microsoft Exchange sur un ordinateur où le logicielclient est déjà installé, les exclusions sont créées quand le client recherche desmodifications. Le client exclut les fichiers et les dossiers ; si un fichier unique estdéplacé d'un dossier exclu, il demeure exclu.

Le logiciel client crée des exclusions d'analyse de fichiers et de dossiers pour lesversions suivantes de Microsoft Exchange Server :

■ Exchange 5.5

■ Exchange 6.0

■ Exchange 2000

■ Exchange 2003

■ Exchange 2007

■ Exchange 2007 SP1

Pour Exchange 2007, consultez votre documentation utilisateur pour plusd'informations sur la compatibilité avec les logiciels antivirus. Dans certaines


446



circonstances, vouspourriez devoir créermanuellement des exclusionsd'analysepour certains dossiers Exchange 2007. Dans un environnement de cluster, vouspouvez devoir créer des exclusions.

Pour plus d'informations, consultez le document suivant dans la base de donnéesdeSymantec: Empêcher Symantec Endpoint Protection11.0d'analyser la structurede répertoire de Microsoft Exchange 2007

A propos de l'exclusion automatique des fichiers et des dossiers issus deproduits Symantec

Le client crée des exclusions d'analyses de fichiers et dossiers appropriées pourcertains produits Symantec quand ils sont détectés.

Le client crée des exclusions pour les produits Symantec suivants :

■ Symantec Mail Security 4.0, 4.5, 4.6, 5.0 et 6.0 pour Microsoft Exchange

■ Symantec AntiVirus/Filtering 3.0 pour Microsoft Exchange

■ Norton AntiVirus 2.x pour Microsoft Exchange

■ Base de données intégrée et journaux de Symantec Endpoint ProtectionManager

A propos de l'exclusion automatique des fichiers et des dossiers ActiveDirectory

Le logiciel client crée des exclusions de fichiers et de dossiers pour la base dedonnées, les journaux et lesfichiers en fonctionnement du contrôleur de domaineActive Directory. Le client contrôle les applications qui sont installées surl'ordinateur client. Si le logiciel détecte Active Directory sur l'ordinateur client,le logiciel crée automatiquement les exclusions.

Si les applications de messagerie client utilisent une boîte deréception unique

Les applications qui stockent tout le courrier électronique dans un fichier uniquecomprennent Outlook Express, Eudora, Mozilla et Netscape. Si vos ordinateursclient utilisent une application de messagerie qui utilise une boîte de réception

unique, créez uneexceptioncentralisée pour exclure le fichier deboîte de réception.L'exception s'applique à toutes les analyses antivirus et antispyware aussi bienqu'à Auto-Protect.

Le client Symantec Endpoint Protection met en quarantaine la boîte de réceptionentière et les utilisateurs ne peuvent pas accéder à leur courrier électronique siles cas suivants se produisent :

■ Le client détecte un virus dans le fichier de boîte de réception pendant uneanalyse à la demande ou une analyse planifiée.


http://www.symantec.com/techsupp/servlet/ProductMessages?product=SAVCORP&version=11.0&language=english&module=DOC&error=Stop_SEP11_scan_Msexch&build=symantec_ent






■ L'action configurée pour le virus est Quarantaine.

Symantec ne recommande généralement pas d'exclure des fichiers des analyses.Quand vous excluez le fichier de boîte de réception des analyses, la boîte de

réception ne peut pas être mise en quarantaine ; cependant, si le client détecte unvirus quand un utilisateur ouvre un message, il peut sans risque mettre enquarantaine ou supprimer le message.

A propos des analyses définies par l'administrateur

Les analyses définies par l'administrateur sont les analyses antivirus etantispyware qui détectent les virus et les risques de sécurité connus. Pour laprotectionla pluscomplète, vousdevez planifierdes analysesoccasionnelles pourvos ordinateurs client. A la différence d'Auto-Protect, qui analyse les fichiers et

le courrier électronique pendant qu'ils sont lus vers et à partir de l'ordinateur, lesanalyses définiespar l'administrateur détectent les virus et lesrisques de sécurité.Les analyses définies par l'administrateur détectent les virus et les risques desécurité en examinant tous les fichiers et processus (ou un sous-ensemble defichiers et de processus). Les analyses définies par l'administrateur peuventégalement analyser la mémoire et les points de chargement.

Vous configurez des analyses définies par l'administrateur en tant qu'élémentd'une politique antivirus et antispyware.

Les analyses définies par l'administrateur comprennent les types suivantsd'analyses :

■ Analyses planifiéesSe reporter à "A propos des analyses planifiées" à la page 448.

■ Analyses sur demande

Se reporter à "A propos des analyses à la demande" à la page 449.

En général, il est conseillé de créer une analyse planifiée complète à exécutionhebdomadaire et une analyse Active Scan à exécution quotidienne. Par défaut, leclient Symantec Endpoint Protection génère une analyse active "Active Scan"pour s'exécuter au démarrage sur les ordinateurs client.

A propos des analyses planifiéesVous pouvez planifier des analyses pour qu'elles s'exécutent à des momentsdonnés. Les utilisateurs peuvent également planifier des analyses pour leursordinateurs à partir des ordinateurs client, mais ils ne peuvent pas modifier oudésactiver les analyses que vous programmez pour leurs ordinateurs. Le logicielclient exécute une analyse planifiée à la fois. Si plusieurs analyses sont planifiéespour le même moment, elles sont exécutées l'une après l'autre.


448



Certains paramètres des analyses planifiées sont similaires à ceux des analysesAuto-Protect,mais chaquetype d'analyseestconfiguréséparément. Lesexceptionscentralisées que vousconfigurez s'appliquent à tousles types d'analyses antivirus

et antispyware.Si un ordinateur est hors tension lors d'une analyse planifiée, l'analyse n'est pasexécutée, sauf si l'ordinateur est configuré pour exécuter les analyses manquées.

Les analyses planifiées recherchent lesvirus et les risques de sécurité (comme leslogiciels publicitaires et spywares).

Se reporter à "Configurer une analyse planifiée pour des clients Windows"à la page 502.

Se reporter à "Définir des options avancées pour des analyses définies parl'administrateur" à la page 511.

Tableau 25-3 décrit les types d'analyses planifiées.

Tableau 25-3 Types d'analyses planifiées

DescriptionType

Analyse rapidement la mémoire système et tous lesemplacements de l'ordinateur contenant classiquementdes virus et des risques de sécurité. L'analyse inclut touslesprocessus exécutés en mémoire, lesfichiers de registrede Windows importants et des fichiers, telsque config.syset windows.ini, ainsi que certains dossiers systèmeimportants.

Active Scan

Recherche les virus et les risques de sécurité dansl'intégralité de l'ordinateur, y compris dans le secteur dedémarrage et la mémoire système.

Analyse complète

Recherche les virus et les risques de sécurité dans lesfichiers et dossiers sélectionnés.

Analyse personnalisée

A propos des analyses à la demande

Vous pouvez exécuter une analyse à la demande de la console pour examiner lesfichiers et lesdossiers choisis surlesordinateurs client sélectionnés.Lesanalysesà la demande assurent des résultats rapides pour l'analyse d'une zone du réseauou d'un disque dur local. Vous pouvez exécuter ces analyses de l'onglet Client dela console. Vous pouvez également exécuter ces analyses de l'onglet Contrôles dela console.






L'analyseà la demande pardéfautanalyse tous lesfichiers et dossiers.Vous pouvez

modifier les paramètres pour des analyses à la demande dans une politiqueantivirus et antispyware. Dans la politique, vous pouvez spécifier les extensionsde fichier et les dossiers que vous voulez analyser. Quand vous exécutez uneanalyse à la demande de la page Contrôles, l'analyse s'exécute sur le client selonles paramètres qui sont configurés dans la politique.

Se reporter à "Configurer une analyse sur demande pour des clients Windows"à la page 505.

A propos des analyses proactives des menaces TruScan

Les analyses proactives des menaces TruScan utilisent des technologiesheuristiques pour analyser les comportement similaires à ceux des virus ouprésentant un risque pour la sécurité. Contrairement aux analyses antivirus etantispyware, qui détectent les virus et lesrisques de sécurité connus, les analysesproactives des menaces détectent les virus et les risques de sécurité inconnus.

Remarque : Parce qu'elle examine les processus actifs sur les ordinateurs client,l'analyse proactive des menaces peut affecter les performances du système.

Le logiciel client exécute des analyses proactives des menaces par défaut. Vous

pouvez activer ou désactiver l'analyse proactive des menaces dans une politiqueantivirus et antispyware.Les utilisateurs sur lesordinateursclient peuvent activerou désactiver ce type d'analyse si vous ne verrouillez pas le paramètre.

Bien que vous incluiez des paramètres pour des analyses proactives des menacesdans une politique antivirus et antispyware, vous configurez les paramètresd'analyse différemment des analyses antivirus et antispyware.

Sereporterà "Aproposdesanalysesproactives desmenaces TruScan"àlapage582.

A propos de l'analyse après la mise à jour des fichiers de définitions

Si Auto-Protect est activé, le logiciel client commence immédiatement à effectuerl'analyse avec les fichiers de définitions mis à jour.

Quand lesfichiers de définitions sont misà jour, le logiciel clientessaye de réparerles fichiers stockés en quarantaine et analyse les processus actifs.

Pour l'analyse proactive des menaces des détections mises en quarantaine, lesfichiers sont analysés pour savoir s'ils sont maintenant considérés comme unvirus ou un risque de sécurité. Le client analyse les éléments mis en quarantaine


450



par des analyses proactives des menaces comme il analyse les éléments mis enquarantaine par d'autres types d'analyses. Pour les détections mises enquarantaine, le logiciel client procède à la correction et élimine les effets

secondaires. Si la détection proactive de menaces figure maintenant sur la listeblanche de Symantec, le logiciel client restaure et supprime la détection de laquarantaine ; cependant, le processus n'est pas relancé.

A propos de l'analyse des extensions ou des dossiers sélectionnés

Pour chaque type d'analyse antivirus et antispyware et pour Auto-Protect, vouspouvez sélectionnerdesfichiersà inclure par extension. Pour les analyses définiespar l'administrateur, vous pouvez également sélectionner des fichiers à inclurepar dossier. Par exemple, vous pouvez spécifier qu'une analyse planifiée analyseseulement certaines extensions et qu'Auto-Protect analyse toutes les extensions.

Quand vous sélectionnez des extensions de fichier ou desdossiers à analyser, vouspouvez sélectionner plusieurs extensions ou lesdossiers que vousvoulez analyser.Lesextensions ou lesdossiers quevous ne sélectionnezpassont exclusde l'analyse.

Dans la boîte de dialogue Extensions de fichier, vous pouvez rapidement ajouterdes extensions pour tous les programmes ou documents courants. Vous pouvezégalement ajouter vos propres extensions. Quand vous ajoutez vos propreextensions, vous pouvez spécifier des extensions comportant jusqu'à quatrecaractères.

Dans la boîte de dialogueModifier les dossiers, sélectionnezdesdossiers Windows

plutôt que des chemins de dossier absolus. Il se peut que les ordinateurs clientsurvotre réseaude sécurité utilisentdeschemins d'accès à cesdossiers différents.Vous pouvez sélectionner l'un des dossiers suivants :

■ COMMON_APPDATA

■ COMMON_DESKTOPDIRECTORY

■ COMMON_DOCUMENTS

■ COMMON_PROGRAMS

■ COMMON_STARTUP

■ PROGRAM_FILES

■ PROGRAM_FILES_COMMON

■ SYSTEM

■ WINDOWS

Quand vous analysez des extensions de fichier ou des dossiers sélectionnés, vouspouvez améliorer les performances de l'analyse. Par exemple, si vous copiez un




dossier volumineux ne figurant pas dans la liste des dossiers sélectionnés, leprocessus de copie est plus rapide car le contenu du dossier est exclu.

Vous pouvez excluredesfichiersde l'analysepar typed'extension ou de répertoire.

Pour exclure des fichiers, définissez une politique d'exceptions centralisée quicontient les exclusions. Quand vous spécifiez des exclusions dans une politique,les exclusions sont appliquées chaque fois que des analyses antivirus etantispyware sont exécutées sur des clients comportant cette politique.


Quand vous analysez les extensions sélectionnées, le logiciel client ne lit pasl'en-tête de fichier pour déterminer le type de fichier. Quand vous analysez lesextensions sélectionnées, le client analyse seulement les fichiers avec lesextensions que vous spécifiez.

Avertissement : Parce que le logiciel client exclut des fichiers et des dossiers desanalyses, il ne protège pas les fichiers et les dossiers exclus contre les virus et lesrisques menaçant la sécurité.

Tableau 25-4 décrit les extensions qu'il est recommandé d'analyser.

Tableau 25-4 Extensions de fichier recommandées pour l'analyse

DescriptionExtension de fichier

Le HTML a compilé le fichier d'aide pour MicrosoftWindowsCHM

Gestionnaire386

Gestionnaire ; gestionnaire de compression audioACM

Gestionnaire ; gestionnaire decompression/décompression audio

ACV

Fichier ADT ; télécopieADT

Fichier AXAX

Fichier de traitement par lotBAT

Fichier de traitement par lotBTM

BinaireBIN

Classe JavaCLA

Fichier de commandeCMD


452




Fichier exécutableCOM

Panneau de configuration d'applet pour MicrosoftWindows

CPL

Script CorelCSC

Script de shell UNIXCSH

Bibliothèque de liaisons dynamiques (Dynamic LinkLibrary)

DLL

Microsoft WordDOC

Microsoft WordDOT

PiloteDRV

Fichier exécutableEXE

Fichier d'aideHLP

Application HTMLHTA

HTMLHTM

HTMLHTML

HTMLHTT

Script d'installationINF

Fichier d'initialisationINI

Fichier graphique JPEG

Fichier graphique JPG

JavaScript JS

Encodé JavaScript JSE

Ichitaro JTD

Microsoft AccessMDB

Microsoft ProjectMP?

Microsoft Office 2000MSO

Classeur Microsoft OfficeOBD





Classeur Microsoft OfficeOBT

Objet de Microsoft qui joint et inclut le contrôlepersonnalisé

OCX

RecouvrementOV?

Format PDF d'AdobePdf

Fichier d'informations de programmePIF

Code source de programme PERL (UNIX)PL

Graphique bitmap Presentation ManagerPM

Microsoft PowerPointPOT

Microsoft PowerPointPPT

Microsoft PowerPointPPS

Document RTF (Rich Text Format)RTF

Télécopie, écran de veille, cliché ou script pour Farviewou Microsoft Windows

SCR

Script Shell (UNIX)SH

Fichier d'arrière-plan Corel ShowSHB

Fichier de travail ShellSHS

Lotus AmiProSMM

Gestionnaire de périphériqueSYS

BIOS VESA (fonctions de base)VBE

Script Visual BasicVBS

Microsoft Office VisioVSD

Microsoft Office VisioVSS

Microsoft Office VisioVST

Gestionnaire de périphérique virtuelVXD

Fichier script WindowsWSF

Fichier de paramètres hôte de script WindowsWSH


454




Microsoft ExcelXL?

Microsoft ExcelXL?

Microsoft Office AccessACCD ?

Microsoft Office WordDOC

Microsoft Office WordDOT

Microsoft Office PowerPointPp ?

Microsoft Office PowerPointPp ?

A propos de l'exclusion de fichiers et de dossiers spécifiques

La politique de sécurité de votre entreprise peut autoriser certains risques desécurité sur vos ordinateurs. Vous pouvez configurer le client pour exclure cesrisques de toutes les analyses antivirus et antispyware.

Vous pouvez exclure desfichiers et des dossiers spécifiques d'Auto-Protect et desanalyses définies parl'administrateur. Parexemple, vous pouvezexclure le chemind'accès C:\Temp\Install ou les dossiers qui contiennent un risque de sécuritéautorisé. Vous pouvez exclure lesfichiers qui déclenchent desalertes faussementpositives.Parexemple, si vous avez utilisé un autre programmed'analysede virus

pour nettoyer un fichier infecté, le programme peut ne pas complètementsupprimer le code de virus. Le fichier peut être inoffensif mais le code de virusdésactivé peut faire quele logiciel clientenregistre un faux positif. Adressez-vousau support technique de Symantec si vous n'êtes pas sûr qu'un fichier est infecté.

Quandvous créez uneexclusion, elle s'applique à tous lestypesd'analyses antiviruset antispyware que vous exécutez. Vous créez une exclusion en tant qu'élémentd'une exception centralisée.


A propos des actions pour les virus et les risques desécurité détectés par les analyses sur des clientsWindows

De nombreuses options d'analyse semblables sont disponibles pour différentstypes d'analyse. Cependant, les actions que vous pouvez attribuer quand une

Paramètres de base de la politique antivirus et antispywareA propos des actions pour les virus et les risques de sécurité détectés par les analyses sur des clients Windows



analyse trouve des virus et des risques de sécurité sont différentes en fonctiondes systèmes d'exploitation client.

Pour des ordinateurs Windows, vous pouvez attribuer la première et la deuxième

action que le logiciel prend quand une analyse à la demande, planifiée oud'Auto-Protect trouve des virus et des risques de sécurité.

Vous pouvez définir une première et une seconde action particulières à effectuerlorsque le client découvre les types suivants de risques :

■ Virus macro

■ Virus non-macro

■ Tous les risques de sécurité (logiciels publicitaires, spywares, blagues,composeurs, outils de piratage, programmes d'accès à distance, outils de suiviet autres)

■ Catégories individuelles de risque de sécurité, comme les spywares

■ Actions personnalisées pour un risque spécifique

Par défaut, le client Symantec Endpoint Protection tente d'abord de nettoyer unfichier infecté par un virus.

Si le logiciel client ne peut pas nettoyer le fichier, il effectue les actions suivantes:

■ Place le fichier en quarantaine sur l'ordinateur infecté

■ Refuse l'accès au fichier

■ Consigne l'événementPar défaut, le client place tous les fichiers infectés par des risques de sécurité enquarantaine sur l'ordinateur infecté. Le client tente également de supprimer ouréparer les effets secondaires du risque. Par défaut, la quarantaine contient unenregistrement de toutes les actions que le client a effectuées. Vous pouvezremettre l'ordinateur client dans l'état précédant la tentative de suppression etde réparation par le client.

Siunrisquedesécuriténepeutpasêtremisenquarantaineetréparé,ladeuxièmeaction est de consigner le risque.

Pour des détections d'analyse proactive des menaces TruScan, les actionsdépendentde votre choix d'utiliser desparamètres pardéfautgérés parSymantecou de définir les actions vous-même. Vous devez configurer les actions pour lesanalyses proactives des menaces dans unepartiedistincte de la politique antiviruset antispyware.

Sereporterà "Spécification desactionset desniveaux de sensibilité pour détecterdes chevaux de Troie, des vers et des enregistreurs de frappe" à la page 594.

Paramètres de base de la politique antivirus et antispywareA propos des actions pour les virus et les risques de sécurité détectés par les analyses sur des clients Windows

456



Sereporterà "A propos des actions pour lesvirus et les risques de sécuritédétectéspar les analyses sur des clients Mac" à la page 457.

A propos des actions pour les virus et les risques desécurité détectés par les analyses sur des clients Mac

Pour lesordinateurs clientMac, vous pouvez choisir si le logiciel doit réparer tousles fichiers infectés détectés par une analyse. Vous pouvez également choisir sile logiciel doit mettre en quarantaine tous les fichiers infectés qu'il ne peut pasréparer.

Ces options sont disponibles pour des analyses planifiées et des analysesAuto-Protect.

Sereporterà "A propos des actions pour lesvirus et les risques de sécuritédétectéspar les analyses sur des clients Windows" à la page 455.

Définir des paramètres de gestion des journaux dansune politique antivirus et antispyware

Vous pouvez inclure des paramètres de gestion des journaux dans la politiqueantivirus et antispyware. Par défaut, les clients envoient toujours certains typesd'événements au serveur de gestion (tels que les événements Arrêt d'analyse ou

Démarrage d'analyse). Vous pouvez choisir d'envoyer ou de ne pas envoyerd'autres types d'événements (tel que l'événement Fichier non analysé).

Les événements que les clients envoient au serveur de gestion affectent lesinformations des rapports et des journaux. Vous devez déterminer les typesd'événements à transférer au serveur de gestion. Vous pouvez réduire la tailledes journaux et la quantité d'informations incluses dans les rapports, si voussélectionnez seulement certains types d'événements.

Vous pouvez également configurer la durée de conservation des éléments de journal par le client . L'option n'affecte aucun événement que les clients envoientà la console de gestion. Vous pouvez utiliser l'option pour réduire la taille réelledu journal sur les ordinateurs client.

Vous pouvez cliquer sur Aide pour obtenir plus d'informations sur les optionsutilisées dans cette procédure.

Paramètres de base de la politique antivirus et antispywareA propos des actions pour les virus et les risques de sécurité détectés par les analyses sur des clients Mac



Pour définir des paramètres de gestion des journaux pour une politique antivirus

et antispyware

1 A la page Politique antivirus et antispyware, sous Paramètres Windows,

cliquez sur Divers.

2 Sur l'ongletGestiondesjournaux,sous Filtragedesévénementsdesjournaux

antivirusetantispyware, sélectionnez lesévénements à transférerau serveurde gestion.

3 Sous Conservationdujournal, sélectionnez la fréquence de suppression deslignes de journal par le client.

4 Sous Regroupementdesévénementsdesjournaux , sélectionnez la fréquenced'envoi des événements regroupés au serveur.

5 Lorsque vous avez terminé la configuration de cette politique, cliquez surOK.

A propos de l'interaction client avec des optionsd'antivirus et de protection antispyware

Vous pouvez configurerlesparamètresspécifiquesdans la politique quicontrôlentl'interaction client.

Vous pouvez afficher et personnaliser des messages d'avertissement sur lesordinateurs infectés. Par exemple, si les utilisateurs ont un spyware sur leursordinateurs,vous pouvez les informer qu'ilsontviolé votre politiqued'entreprise.Vous pouvezinclure un message dans la notification indiquant queles utilisateursdoivent désinstaller l'application immédiatement.

Pour les clients Windows et Mac, vous pouvez afficher un avertissement lorsqueles définitions sont périmées ou manquantes.

Pour les clients Windows, vous pouvez également effectuer l'une des actionssuivantes :

■ Configurer des options de progression d'analyse pour des analyses planifiées.

■

Définir des options d'analyse pour des clients.■ Modifier le mot de passe nécessaire pour analyser des lecteurs mappés.

■ Spécifier la manière dont le Centre de sécurité Windows interagitavec le clientSymantec Endpoint Protection.

■ Spécifier une URL à inclure dans des notifications d'erreur d'antivirus et deprotection antispyware.

Paramètres de base de la politique antivirus et antispywareA propos de l'interaction client avec des options d'antivirus et de protection antispyware

458



■ Spécifierune URL pour rediriger un navigateurInternet si unrisque desécuritéessaye de modifier l'URL.

Remarque : Vous pouvez également verrouiller des paramètres de politique desorte que les utilisateurs ne puissent pas modifier les paramètres.

Modifier le mot de passe nécessaire pour analyserdes lecteurs réseau mappés

Symantec EndpointProtection exige que les utilisateurssur desordinateurs clientfournissent un mot de passe avant de pouvoir analyser un lecteur réseau mappé.Par défaut, ce mot de passe est symantec.

Remarque : Si les utilisateurs analysent des lecteursréseau, l'analyse peut affecterla performance d'ordinateur client.

Vous pouvez cliquer sur Aide pour plus d'informations sur les options utiliséesdans la procédure.

Pour modifier le mot de passe nécessaire pour analyser des lecteurs mappés

1 A la page Politique antivirus et antispyware, sous Paramètres Windows,cliquez sur Divers.

2 Dans l'onglet Divers, sous Analyser le lecteur réseau, cochez la case Exiger

un mot de passe avant l'analyse des lecteurs réseau mappés.

3 Cliquez sur Modifier le mot de passe.

4 Dans la boîte de dialogue de configuration de mot de passe, saisissez unnouveau mot de passe et confirmez-le.

5 Cliquez sur OK.

6 Lorsque vous avez terminé la configuration de la politique, cliquez sur OK.

Configuration du Centre de sécurité Windows pourqu'il fonctionne avec le client Symantec EndpointProtection

Le Centre de sécurité Windows fournit des alertes sur vos ordinateurs client si unlogiciel de sécurité n'est pas à jour ou si des paramètres de sécurité doivent être

Paramètres de base de la politique antivirus et antispywareModifier le mot de passe nécessaire pour analyser des lecteurs réseau mappés



renforcés. Il est inclus avec le Service Pack 2 de Windows XP, Windows Vista etWindows 7. Utilisez unepolitiqueantiviruset antispyware pour configurer certainsparamètres de Centre de sécurité Windows sur les ordinateurs client utilisant le

Service Pack 2 de Windows XP.

Remarque : Vous ne pouvez pas utiliser une politique antivirus et antispywarepour configurer le Centre de sécurité Windows sur lesordinateurs client utilisantWindows Vista ou Windows 7.

Tableau 25-5 Options de configuration de la manière dont le Centre de sécurité

Windows fonctionne avec le client

Quand l'utiliser ?DescriptionOption

Désactiver le Centre de sécurité Windows demanière permanente pour que vosutilisateursclientne reçoivent pas lesalertesde sécurité qu'il envoie. Lesutilisateursclientpeuvent toujours recevoir des alertesSymantec Endpoint Protection.

Désactiver le Centre de sécurité Windows demanière permanente pour que vosutilisateursclientne reçoivent pas lesalertesde sécurité qu'il envoie. Vous pouvezconfigurer le Centre de sécurité Windows

pour afficherSymantec Endpoint Protectiondes alertes.

Vous permet de désactiver de manièrepermanente ou temporairementle Centre desécurité Windows sur vos ordinateurs client

Options disponibles :

■ JamaisLe Centre de sécuritéWindows esttoujours activé sur l'ordinateur client.

■ Une fois Le Centre de sécurité Windowsest désactivé seulement une fois. Si unutilisateur l'active, il n'est alors plusdésactivé.

■

Toujours Le Centre de sécurité Windowsestdésactivé de manière permanente surl'ordinateur client. Si un utilisateurl'active, il est immédiatement désactivé.

■ RestaurerLe Centre de sécurité Windowsest activé si la politique antivirus etantispyware le désactivait précédemment.

Désactiver WindowsSecurity Center

Activez ce paramètre pour que vosutilisateurs client reçoivent SymantecEndpoint Protection des alertes ainsi qued'autres alertes de sécurité dans la zone de

notification de Windows de leursordinateurs.

Vous permet de définir l'affichagedes alertesd'antivirus Symantec Endpoint Protectiondu client dans la zone de notification deWindows.

Afficher les alertes

antivirus dans le

Centre de sécurité

Windows

Paramètres de base de la politique antivirus et antispywareConfiguration du Centre de sécurité Windows pour qu'il fonctionne avec le client Symantec Endpoint Protection

460



Quand l'utiliser ?DescriptionOption

Définissez cette optionpour que le Centre desécurité Windows informe vos utilisateursclient au sujet des définitions périmées plussouvent que la fréquence par défaut (30

jours).

Remarque : Sur les ordinateurs client, leclient Symantec Endpoint Protection vérifietoutes les 15 minutes la date de péremption,la date des définitions et la date actuelle.Généralement, aucun état de péremptionn'est signalé au Centre de sécurité Windows,car les définitionssonthabituellement misesà jour automatiquement. Si vous mettez à

jour manuellement les définitions, vousdevrez patienter 15 minutes avant que l'étatexact s'affiche dans le Centre de sécuritéWindows.

Vous permet de définir le nombre de joursaprès lequel le Centre de sécurité Windowsconsidère que des définitions périmées. Pardéfaut, le Centre de sécurité Windowsenvoiece message après 30 jours.

Afficher un message

du Centre de sécurité

Windows lorsque les

définitions sont

périmées

Configurer le Centrede sécurité Windows pour fonctionner avec Symantec Endpoint

Protection


2 Sous Centre de sécurité Windows, définissez les options que les politiquesde sécurité de votre entreprise requièrent.

Remarque : L'état du produit Symantec est toujours disponible dans la console degestion, que le Centre de sécurité Windows soit actif ou non.

Afficher un avertissement lorsque les définitions sontpérimées ou manquantes

Vous pouvez afficher des messages d'avertissement personnalisés sur lesordinateurs client lorsque leurs définitions de virus et de risques de sécurité sontpérimées ou manquantes. Vous pouvez également alerter les utilisateurs si vousn'avez pas planifié de mises à jour automatiques.

Paramètres de base de la politique antivirus et antispywareAfficher un avertissement lorsque les définitions sont périmées ou manquantes



Pour afficher un avertissement concernant les définitions


2 Dans l'onglet Notifications,sous Notifications, sélectionnez l'une desoptionssuivantes ou les deux :

■ Afficher un avertissement lorsque les définitions sont périmées

■ Afficher un avertissement lorsque Symantec Endpoint Protection

s'exécute sans définition de virus

3 Pour la péremptiondesdéfinitions de virus et de risques de sécurité,définissezla durée (en jours) pendant laquelle les définitions peuvent être périméesavant affichage de l'avertissement.

4 Pour lesdéfinitions de virus et de risques de sécurité manquantes, définissezle nombrede tentatives de correction queSymantec Endpoint Protection doitobserver avant affichage de l'avertissement.

5 Cliquez sur Message d'avertissement pour chaque option que vous avezcochée, puis personnalisez le message par défaut.


7 Si vous avez terminé de configurer cette politique, cliquez sur OK.

Spécification d'une URL devant apparaître dans desnotifications d'erreur d'antivirus et de protectionantispyware

Dans de rares cas, les utilisateurs peuvent voir apparaître des erreurs sur desordinateurs client. Par exemple, l'ordinateur client peut rencontrer desdépassementsde tamponoudesproblèmesdedécompression pendant lesanalyses.

Vous pouvez spécifier URL qui pointe vers le site du support technique deSymantec ou vers une URL personnalisée. Par exemple, vous pouvez, à la place,spécifier un site Web interne.

Remarque : L'URL apparaît également dans le journal des événements systèmepour l'ordinateur client sur lequel l'erreur se produit.

Paramètres de base de la politique antivirus et antispywareSpécification d'une URL devant apparaître dans des notifications d'erreur d'antivirus et de protection antispyware

462



Pour spécifier une URL devant apparaître dans des notifications d'erreur d'antivirus

et de protection antispyware

1 Alapagede Politiqueantivirusetantispyware,sous ParamètresWindows,

cliquez sur Divers.

2 Dans l'onglet Notifications, sélectionnez Afficherlesmessagesd'erreuravec

un lien vers une solution.

3 Sélectionnez l'une des options suivantes :

■ Afficher l'URL d'un article de la base de connaissances du support

technique de Symantec.

■ Afficher une URL personnalisée

4 Cliquez sur Personnaliser le message d'erreur si vous voulez personnaliser

le message.5 Entrez le texte personnalisé que vous voulez inclure, puis cliquez sur OK.

6 Si vous avec terminé la configuration de cette politique, cliquez sur OK.

Spécifier une URL pour une page d'accueil denavigateur

Vous pouvez spécifier une URL à utiliser comme page d'accueil quand le clientSymantec Endpoint Protection répare un risque de sécurité qui a détourné unepage d'accueil de navigateur.

Pour spécifier une URL pour une page d'accueil de navigateur


2 Dans l'onglet Divers, sous Protection du navigateur Internet, tapez l'URL.

3 Si vous avez fini de configurer cette politique, cliquez sur OK.

Configuration des options qui s'appliquent auxanalyses antivirus et antispywareQuelques options d'analyse sont communes à toutes les analyses antivirus etantispyware. Lesanalyses antivirus et antispyware incluent à la fois Auto-Protectet des analyses définies par l'administrateur.

La politique inclut les options suivantes :

■ Configurer les analyses d'extensions de fichiers ou de dossiers sélectionnés.

Paramètres de base de la politique antivirus et antispywareSpécifier une URL pour une page d'accueil de navigateur



■ Configurer les exceptions centralisées pour les risques de sécurité.

■ Configurer les actions pour les virus connus et les détections de risque desécurité.

■ Gérer les messages de notification sur les ordinateurs infectés.

■ Personnaliser et afficher les notifications sur les ordinateurs infectés.

■ Ajouter des avertissements dans les messages électroniques infectés.

■ Avertir les expéditeurs de messages infectés

■ Avertir les utilisateurs de messages infectés.

Des informations au sujet des actions et des notifications pour les analysesproactives des menaces sont incluses dans une section séparée.

Se reporter à "Configuration des notifications pour les analyses proactives desmenaces TruScan" à la page 596.

Configurer des analyses des extensions de fichier choisies

Le client Symantec Endpoint Protection peut effectuer des analyses plus rapidesen les limitant aux fichiers portant des extensions spécifiques. Les analyses quianalysentseulement desextensions sélectionnéeoffrent moins de protection auxordinateurs ; cependant, quand vous analysez seulement des extensionssélectionnées vous pouvezsélectionner lestypes de fichier quelesvirus attaquenttypiquement. Quand vous analysez des extensions sélectionnées, vous pouvez

rendre les analyses plus efficaces et utiliser moins de ressources informatiques.

Vous pouvez configurer les extensions à analyser pour équilibrer les conditionssuivantes :

■ La quantité de protection que votre réseau requiert

■ Le laps de temps et les ressources requis pour assurer la protection

Par exemple, vous pouvez choisir de n'analyser que les fichiers portant certainesextensions, susceptibles d'être infectés par un virus ou un risque de sécurité.Lorsque vous choisissez de n'analyser que certaines extensions, vous excluezautomatiquement de l'analyse tous les fichiers qui portent d'autres extensions.Quand vous excluez des fichiers des analyses, vous diminuez la quantité deressources informatiques requises pour exécuter l'analyse.

Avertissement : Quand vous sélectionnezlesextensions quevous voulezanalyser,aucune autre extension n'est protégée des virus et des risques de sécurité.

Paramètres de base de la politique antivirus et antispywareConfiguration des options qui s'appliquent aux analyses antivirus et antispyware

464



Vous pouvez cliquer sur Aide pour obtenir des informations supplémentaires surles options utilisées dans la procédure.

Pour inclure seulement des fichiers avec des extensions particulières pour

Auto-Protect ou des analyses définies par l'administrateur

1 Dans l'onglet Détailsdel'analyse,sous Typesdefichier, cliquez sur Analyser

les extensions sélectionnées uniquement.

2 Cliquez sur Sélectionner des extensions.

3 Dans la boîte de dialogue Extensions de fichier, vous pouvez effectuer lesactions suivantes :

■ Ajoutezvos propres extensions en les saisissant et en cliquant sur Ajouter.

■ Pour supprimer une extension, sélectionnez-la et cliquez sur Supprimer.

■ Pour ramener la liste à sa valeur par défaut, cliquez sur Utiliser défaut.

■ Cliquez sur Ajouter les programmes communs pour ajouter toutes lesextensions de programme.

■ Cliquez sur Ajouter les documents commun pour ajouter toutes lesextensions de document.

4 Si vous avez terminé avec la configuration pour cette politique, cliquez surOK.

Configurer les analyses des dossiers sélectionnésVous pouvez configurer desdossiers sélectionnés à analyser parcertaines analysesdéfinies par l'administrateur. Ces analyses définies par l'administrateurcomprennent desanalysesplanifiées personnalisées et desanalysesà la demande.Vous ne pouvez pas configurer de dossiers sélectionnés pour Auto-Protect.

Se reporter à "A propos de l'analyse des extensions ou des dossiers sélectionnés"à la page 451.


Pour configurer les analyses des dossiers sélectionnés

1 Surlapage Politiqueantivirusetantispyware , cliquez sur Analysesdéfinies

par l'administrateur.

2 Sur l'onglet Analyses, effectuez l'une des opérations suivantes :

■ Cliquez sur Ajouter.

■ Sous Analysesplanifiées, sélectionnez uneanalyseexistante, puiscliquezsur Modifier.




■ Sous Analyse sur demande de l'administrateur, cliquez sur Modifier.

3 Sur l'onglet Détails de l'analyse, dans la liste déroulante Type d'analyse,cliquez sur Analyse personnalisée.

Les analyses à la demande sont prédéfinies sur Analyse personnalisée.

4 Sous Analyse, cliquez sur Modifier les dossiers.

5 Dans la boîte de dialogue Modifier les dossiers, cliquez sur Analyser les

dossierssélectionnés, puis, dans la liste desdossiers, sélectionnez lesdossiersque cette analyse analyse.

Le champ Dossiers sélectionnés affiche tous vos choix.

6 Cliquez sur OK jusqu'à ce que vous reveniez à la page Analyses définies par

l'administrateur.


A propos des exceptions de risques de sécurité

Si vous voulezquedesrisques de sécuritésubsistent sur votreréseau, vous pouvezignorer les risques de sécurité quand ils sont détectés sur des ordinateurs client.

Si un utilisateur a configurédesactionspersonnalisées pour un risquede sécuritéque vous avez défini pour être ignoré, ces actions personnalisées ne sont paseffectuées.

Remarque : Lorsque vous ajoutez un risque de sécurité à la liste des exclusions, leclient Symantec Endpoint Protection ne consigne plus aucun événementimpliquant ce risque de sécurité. Vous pouvez configurer le client pour consignerle risque même si vous incluez le risque dans la liste des exceptions. Que le risquesoit consigné ou non, les utilisateurs ne sont notifiés d'aucune manière quand lerisque est présent sur leurs ordinateurs.

Vous pouvez utiliser une politique Exceptions centralisées pour définir desexceptions.


Configuration des actions pour des détections connues de virus et derisque de sécurité sur les clients Windows

Les actions permettent de spécifier la réponse des clients lorsqu'une analyseantivirus et antispyware détecte un virus connu ou un risque de sécurité. Ces


466



actions s'appliquent aux analyses Auto-Protect et définies par l'administrateur.Vousconfigurez séparément les actions pourles analyses proactives des menaces.

Sereporterà "Aproposdes analysesproactives des menaces TruScan"àlapage582.

Les actions aident à définir le mode de réponse du logiciel client lorsqu'il détecteun virus connu ou un risque de sécurité. Pour des ordinateurs de client Windows,vous pouvez attribuer une première action et une deuxieme action au cas où lapremière actionn'est paspossible.Le clientSymantec Endpoint Protectionutiliseces actions quand il découvre un virus ou un risque de sécurité tel qu'un logicielpublicitaire ou un spyware. Les types de virus et de risques de sécurité sontrépertoriés dans l'arborescence.

Vous configurez les actions différemment pour des ordinateurs client Mac.

Se reporter à "Configuration des actions pour des détections connues de virus et

de risque de sécurité sur les clients Mac" à la page 468.Pour plus d'informations surlesoptions utilisées dans lesprocédures, cliquez surAide.

Remarque : Pour les risques de sécurité, soyez prudents lors de l'utilisation del'action de suppression. Dans certains cas, la suppression d'un risque de sécuritépeut empêcher les applications de fonctionner correctement.

Avertissement : Si vous configurez le logiciel client pour supprimer les fichiers

affectés par le risque de sécurité, il ne peut pas restaurer les fichiers.

Pour sauvegarder les fichiers affectés par les risques de sécurité, configurez lelogiciel client pour les mettre en quarantaine.

Pour configuration des actions pour des détections connues de virus et de risque

de sécurité sur des clients Windows

1 Sur l'onglet Actions, sous Détection, sélectionnez un type de virus ou derisque de sécurité.

Pardéfaut, chaque sous-catégorie de risque de sécurité estautomatiquement

configurée pour utiliser les actions définies pour la catégorie Risques desécurité entière.

2 Pour configurer uneinstancespécifique d'une catégorie de risquesde sécuritépour utiliser différentes actions, cochez Remplacer les actions configurées

pour les risques de sécurité, puis définissez les actions pour cette catégorieuniquement.




3 Sous Opérations pour, sélectionnez la première et la deuxième mesure quele logiciel client prend lorsqu'il détecte cette catégorie de virus ou de risquede sécurité.

Vous pouvez verrouiller des actions de sorte que les utilisateurs ne puissentpas modifier l'action sur les ordinateurs client qui utilisent cette politique.

Pour lesrisques de sécurité,utilisez l'action Supprimer avec précaution. Danscertains cas, la suppression d'un risque de sécurité peut empêcher lesapplications de fonctionner correctement.

4 Répétez l'étape 3 pour chaquecatégorie pour laquelle vous voulezdéfinir desactions (virus et risques de sécurité).

5 Une fois que vous avez terminé de configurer cette politique, cliquez sur OK.

Configuration des actions pour des détections connues de virus et derisque de sécurité sur les clients Mac

Les actions permettent de spécifier la réponse des clients lorsqu'une analysed'antivirus et d'antispyware détecte un virus ou un risque de sécurité connu. Cesactions s'appliquent aux analyses Auto-Protect et définies par l'administrateur.

Pour les ordinateurs client Mac, choisissez si vous voulez réparer les fichiers oumettre en quarantaine les fichiers qui ne peuvent pas être réparés.

Vous configurez des actions différemment pour les ordinateurs Windows.

Se reporter à "Configuration des actions pour des détections connues de virus etde risque de sécurité sur les clients Windows" à la page 466.

Pour configurer des actions pour des détections connues de virus et de risque de

sécurité sur les clients Mac

1 Dansl'onglet de Paramètrescommuns,sous Actions, vérifiez l'uneou l'autredes options suivantes :

■ Réparer automatiquement les fichiers infectés

■ Mettre en quarantaine les fichiers ne pouvant pas être réparés

Vous pouvez verrouiller des actions de sorte que les utilisateurs ne puissentpas modifier l'action sur les ordinateurs client qui utilisent cette politique.


A propos des messages de notification sur les ordinateurs infectés

Vous pouvez activer un message de notification personnalisé sur les ordinateursinfectés quand une analyse définie par l'administrateur ou Auto-Protect trouve


468



un virus ou un risquede sécurité. Cesnotificationspeuvent alerter lesutilisateurspour qu'ils passent en revue leur activité récente sur l'ordinateur client. Parexemple, un utilisateur pourrait télécharger une application ou afficher une page

Web aboutissant à une infection par un spyware.Vous pouvez également afficher la boîte de dialogue Résultats de l'analyse surl'ordinateur infecté lorsqu'une analyse File System Auto-Protect trouve un virusou un risque de sécurité.

Remarque : La langue du système d'exploitation sur lequel vous exécutez le clientpeut ne passavoir interpréter certains caractères desnoms de virus. Si le systèmed'exploitation ne peut pas interpréter les caractères, ceux-ci s'affichent commedes points d'interrogation dans les notifications. Par exemple, certains noms devirus Unicode peuvent contenir des caractères à deux octets. Sur les ordinateurs

qui exécutent le client sur un système d'exploitation en anglais, des pointsd'interrogation s'affichent à la place de ces caractères.

Pour lesanalyses de messagerie Auto-Protect, vous pouvez également configurerles options suivantes :

■ Insérer un avertissement dans le message électronique

■ Envoyer un message électronique à l'expéditeur

■ Envoyer le message électronique à d'autres destinataires.

Se reporter à "Configurer des options de notification pour Auto-Protect"à la page 492.

Les notifications des résultats d'analyse proactive des menaces sont configurésséparément.

Se reporter à "Configuration des notifications pour les analyses proactives desmenaces TruScan" à la page 596.

Personnaliser et afficher des notifications sur les ordinateurs infectés

Vous pouvez concevoir un message personnalisé qui doit s'afficher sur les postes

infectés lorsqu'un virus ou un risque de sécurité est détecté. Vous pouvez taperdirectement dans la zone de message pour ajouter ou modifier le texte.

Quand vous exécutez une analyse distante, vous pouvez informer l'utilisateurd'un problème en affichant un message sur l'écran de l'ordinateur infecté. Vouspouvez personnaliser le message d'avertissement en incluant des informationstellesquelenomdurisque,lenomdufichierinfectéetl'étatdurisque.Unmessaged'avertissement pourrait ressembler à l'exemple suivant :




Type d'analyse : Analyse planifiée

Evénement : Risque détecté

NomRisqueSécurité: Stoned-C

Fichier : C:\Autoexec.batEmplacement : C:

Ordinateur : ACCTG-2

Utilisateur : JSmith

Action effectuée : Nettoyé(s)

Tableau 25-6 décrit les champs de variables disponibles pour les notifications.

Tableau 25-6 Champs de message de notification

DescriptionChampNom

Type d'analyse (à la demande,planifiée, etc...) qui a détecté levirus ou le risque de sécurité.

ConsignéParType d'analyse

Type d'événement tel que"Risque détecté".

EvénementEvénement

Nom du virus ou du risque desécurité détecté.

NomRisqueSécuritéRisquedesécurité

détecté

Chemin d'accès complet et nomdu fichier infecté par le virus ou

le risque de sécurité.

CheminNomfichierFichier

Lecteur de l'ordinateur sur lequelle virus ou le risque de sécuritéa été détecté.

EmplacementEmplacement

Nom de l'ordinateur sur lequelle virus ou le risque de sécuritéa été détecté.

OrdinateurOrdinateur

Nom de l'utilisateur qui étaitconnecté lorsque le virus ou lerisque de sécurité a été détecté.

UtilisateurUtilisateur

Action effectuée en réponse à ladétection du virus ou du risquede sécurité. Il peut s'agir del'actionprincipale ou secondaireconfigurée.

ActionEffectuéeAction effectuée

Date à laquelle le virus ou lerisque de sécurité a été détecté.

DateTrouvéDate de détection


470



Pour afficher des messages de notification sur les ordinateurs infectés

1 Sur la page Politiqueantivirus et antispyware, cliquez sur l'une des optionssuivantes :

■ Analyses définies par l'administrateur :


■ Auto-Protect pour le courrier électronique Internet



2 Si vous avez sélectionné Analysesdéfiniesparl'administrateur,surl'ongletAnalyses, cliquez sur Ajouter ou Modifier.

3 Sur l'onglet Notifications,cochezlacase Afficherunmessagedenotificationsur l'ordinateur infecté et modifiez le corps du message de notification.

4 Cliquez sur OK.

Transmettre des informations sur des analyses àSymantec

Vous pouvez spécifier que des informations sur des détections de l'analyseproactive des menaces et des informations sur Auto-Protect ou les détections

d'analyse sont automatiquement envoyées à Symantec Security Response.

Les informations transmises par les clients aident Symantec à déterminer si unemenace détectée est réelle. Si Symantec détermine que la menace est réelle,Symantec peut générer une signature pour traiter la menace. La signature estincluse dans uneversion mise à jour desdéfinitions. Pour les détections proactivesde menaces TruScan, Symantecpeut mettre à jour seslistes de processus autorisésou rejetés.

Quand un client envoie des informations sur un processus, les informationsincluent les éléments suivants :

■ Le chemin d'accès à l'exécutable■ L'exécutable

■ Les informations d'état interne

■ Les informations sur le fichier et les points de registre de Windows qui serapportent à la menace

■ La version de contenu utilisée par l'analyse proactive des menaces

Paramètres de base de la politique antivirus et antispywareTransmettre des informations sur des analyses à Symantec



Aucune coordonnée permettant d'identifier l'ordinateur client n'est envoyée.

Les informations sur les taux de détection aident potentiellement Symantec àaffiner les mises à jour de définitions de virus. Les taux de détection indiquent les

virus et lesrisques de sécurité lesplus détectés par desclients. Symantec SecurityResponse peut supprimer les signatures qui ne sont pas détectées et fournir uneliste de définitions de virus segmentée aux clients qui la demandent. Les listessegmentées améliorent les performances des analyses antivirus et antispyware.

Quand une analyse proactive des menaces fait une détection, le logiciel clientvérifie si des informations sur le processus ont été déjà envoyées. Si lesinformationsontété envoyées, le client n'envoie paslesinformationsde nouveau.

Remarque : Quand les analyses proactives des menaces détectent des élémentssur la liste des applications commerciales, les informations sur ces détections nesont pas transférées à Symantec Security Response.

Si vous activez la transmission pour des processus, les éléments qui sont mis enquarantaine par des analyses proactives des menaces sont mis à jour. Quand leséléments sont mis à jour, la fenêtre Quarantaine indique que les échantillons ontété transmis à Symantec Security Response. Le logiciel client n'informe pas desutilisateurs et la console de gestion ne donne pas une indication quand desdétections avec d'autres types d'actions sont transmises. D'autres types d'actionsincluent la consignation ou l'arrêt.

Vous pouvez transmettre des échantillons de quarantaine à Symantec.Sereporterà "Transmettre deséléments en quarantaine à Symantec" àlapage477.

A propos de la limitation des soumissions

Les clients peuvent soumettre ou ne pas soumettre des échantillons à Symantecselon les informations suivantes :

■ La date du fichier de contrôle des données de soumission

■ Le pourcentage des ordinateurs autorisés à envoyer des soumissions

Symantec publie son fichier SCD (Submission Control Data) et l'inclut en tantqu'élément d'un package LiveUpdate. Chaque produit Symantec comporte sonpropre fichier SCD.

Le fichier contrôle les paramètres suivants :

■ Le nombre de soumissions qu'un client peut soumettre en un jour

■ La durée d'attente avant que le logiciel client relance des soumissions

■ Le nombre de nouvelles tentatives des soumissions ayant échoué


472



■ Quelleadresse IP du serveur Symantec SecurityResponsereçoit la soumission

Si le fichier SCD est périmé, les clients arrêtent d'envoyer des soumissions.Symantec considère le fichier SCD comme périmé quand un ordinateur client n'a

pas récupéré de contenu LiveUpdate depuis 7 jours.

Si les clients arrêtent la transmission dessoumissions, le logicielclientne collectepas les informations de soumission et ne les envoie pas ultérieurement. Quandles clients recommencent à transmettre les soumissions, ils n'envoient que lesinformations relatives aux événements se produisant après le redémarrage de latransmission.

Les administrateurs peuvent également configurer le pourcentage d'ordinateursautorisés à soumettre des informations. Chaque ordinateur client détermine s'ildoit ou nonsoumettredesinformations.L'ordinateurclient sélectionne de manièrealéatoire un nombre allant de 1 à 100. Si le nombre est inférieur ou égal aupourcentage défini dans la politique de cet ordinateur, l'ordinateur soumet desinformations. Si le nombre est supérieur au pourcentage configuré, l'ordinateurne soumet pas d'informations.

Configurer des options de soumission

Vous pouvez activer ou désactiver les transmissions pour les clients Windowsdans une politique antivirus et antispyware. Par défaut, les soumissions sontactivées.

Pour obtenir plus d'informations sur les options utilisées dans cette procédure,cliquez sur Aide.

Pour spécifier si des informations sont envoyées ou non concernant les processus

détectés par les analyses proactives des menaces TruScan

1 A la page Politique antivirus et antispyware, sous Paramètres Windows,cliquez sur Transmissions.

2 Sous Analyses proactives des menaces TruScan, activez ou désactivez lacase Autoriser les ordinateursclients à transmettreles processus détectés

par les analyses.

3 Quand vous sélectionnez ce paramètre, vous pouvez modifier le pourcentaged'ordinateursclient autorisés à soumettre desinformations surdesprocessus.

4 Si vous avez activé les soumissions, utilisez la flèche vers le haut ou vers lebas pour sélectionner le pourcentage ou tapez la valeur désirée dans la zonede texte.





Pour indiquer si des informations sont envoyées ou non concernant Auto-Protect

et les taux de détection d'analyse manuelle

1 A la page Politique antivirus et antispyware, sous Paramètres Windows,

cliquez sur Transmissions.

2 Sous Tauxdedétection, cochezou décochez Autoriserlesordinateursclient

à transmettre les taux de détection de menaces.

Quand vous sélectionnez ce paramètre, vous pouvez modifier le pourcentaged'ordinateurs client autorisés à soumettre des taux de détection de menaces.

3 Une fois la définition de la politique terminée, cliquez sur OK.

Gestion des fichiers en quarantaineLa gestion des fichiers en quarantaine inclut ce qui suit :

■ Spécifier un répertoire de quarantaine local

■ Transmettre des éléments en quarantaine à Symantec

■ Configurer des actions à effectuer à la réception de nouvelles définitions devirus

A propos des paramètres de quarantaine

Utilisez la politique antivirus et contre les logiciels espions pour configurer les

paramètres de quarantaine client.

La gestion des paramètres de quarantaine représente un aspect important devotre stratégie antivirus.

Spécifier un répertoire de quarantaine local

Si vous ne voulez pas utiliser le répertoire de quarantaine par défaut pourenregistrer des fichiers en quarantaine sur des ordinateurs client, vous pouvezspécifierun répertoire local différent. Vous pouvez utiliser l'expansion de chemind'accès en incluant le signe pourcentage quand vous tapez le chemin d'accès. Par

exemple, vous pouvez taper %COMMON_APPDATA%. Les chemins relatifs nesont pas autorisés.

Le logiciel prend en charge les paramètres d'expansion suivants :

Il s'agit généralement du chemin d'accès C:\ Documents and Settings\All Users\ Application Data

%COMMON_APPDATA%

Paramètres de base de la politique antivirus et antispywareGestion des fichiers en quarantaine

474



Il s'agit généralement du chemin d'accèsC:\Program Files.

%PROGRAM_FILES%

Il s'agit généralement du chemin d'accèsC:\Program Files\Common.

%PROGRAM_FILES_COMMON%

Il s'agit généralement du chemin d'accès C:\ Documents and Settings\All Users\StartMenu\Programs

%COMMON_PROGRAMS%

Il s'agit généralement du chemin d'accès C:\ Documents and Settings\All Users\StartMenu\Programs\Startup

%COMMON_STARTUP%

Il s'agit généralement du chemin d'accès C:\ Documents and Settings\All Users\Desktop

%COMMON_DESKTOPDIRECTORY%

Il s'agit généralement du chemin d'accès C:\ Documents and Settings\All Users\ Documents

%COMMON_DOCUMENT%

Il s'agit généralement du chemin d'accès C:\ Windows\System32

%SYSTEM%

Il s'agit généralement du chemin d'accèsC:\Windows.

%WINDOWS%

Pour spécifier un répertoire de quarantaine local

1 Dans la page Politique antivirus et antispyware, cliquez sur Quarantaine.

2 Dans l'onglet Divers, sous Options de quarantaine locales,cliquez surSpécifier

le répertoire de quarantaine.

3 Dans la zone de texte, tapez le nom d'un répertoire local sur les ordinateursclient. Vous pouvezutiliser l'expansion de chemind'accès en incluantle signepourcentage quand vous tapez le chemin d'accès. Par exemple, vous pouveztaper %COMMON_APPDATA%, maisdescheminsrelatifsne sontpaspermis.


Configurer des options de nettoyage automatique

Quand le logiciel client détecte un fichier suspect, il le place dans le dossier dequarantaine local de l'ordinateur infecté. La fonction de nettoyage de laquarantaine supprime automatiquement les fichiers en quarantaine lorsqu'ilsatteignent un âge donné. La fonction de nettoyage de la quarantaine supprimeautomatiquementlesfichiers enquarantaine lorsque lerépertoire oùilsse trouventatteint une taille donnée.




Vous pouvez configurer ces options dans la politique antivirus et antispyware.Vous pouvez individuellement configurer le nombre de jours pour conserver lesfichiers réparés, de sauvegarde et en quarantaine. Vous pouvez également définir

la taille maximum de répertoire qui est permise avant que des fichiers soientautomatiquement supprimés de l'ordinateur client.

Vous pouvez utiliser l'un de ces paramètres ou utiliser les deux en même temps.Si vous configurez les deux types de limites, les fichiers antérieurs à la durée deconservation que vous avez définiesontpurgésen premier. Si lataille durépertoiredépasse toujours la limite de taille que vous définissez, alors les fichiers les plusanciens sont supprimés un à un. Les fichiers sont supprimés jusqu'à ce que lataille de répertoire tombe au-dessous de la limite. Par défaut, ces options ne sontpas activées.

Pour configurer des options de nettoyage automatique

1 Sur la page Politique antivirus et antispyware, cliquez sur Quarantaine.

2 Dans l'onglet Nettoyer, sous Fichiers réparés, cochez ou décochez l'optionActiver la suppression automatique des fichiers réparés.

3 Dans la zone Supprimer après, tapez une valeur ou cliquez sur une flèchepour sélectionner la période en jours.

4 Cochez Supprimer les fichiers les plus anciens pour limiter la taille du

dossierà, puis tapez la taille maximale de répertoire expriméeen mégaoctets.Le paramètre par défaut est 50 Mo.

5 Sous Fichiers de sauvegarde, cochez ou décochez l'option Activer lasuppression automatique des fichiers de sauvegarde.

6 Dans la zone Supprimer après, entrez une valeur ou cliquez sur une flèchepour sélectionner l'intervalle de temps en jours.



8 Sous Fichiers en quarantaine, activez ou désactivez l'option Activer la

suppressionautomatiquedesfichiersmisenquarantainedontlaréparation

n'a pu être effectuée.

9 Dans la zone Supprimer après, tapez une valeur ou cliquez sur une flèchepour sélectionner la période en jours.





476



Transmettre des éléments en quarantaine à un serveur de quarantainecentralisée

Vous pouvez activer des éléments en quarantaine pour les transférer de laquarantaine locale à un serveur de quarantaine centralisée. Configurez le clientpour transférer les éléments si vous utilisez un serveur de quarantainecentraliséedans votre réseaude sécurité.Le serveur de quarantaine centralisée peut transférerles informations à Symantec Security Response. Les informationstransmises parles clients aident Symantec à déterminer si une menace détectée est réelle.

Remarque : Seuls les éléments en quarantaine qui sont détectés par des analysesd'antivirus et de protection contre les logiciels espions peuvent être envoyés à unserveur de quarantaine centralisée. Des éléments en quarantaine qui sont détectés

par des analyses proactives des menaces ne peuvent pas être envoyés.

Pour activer la transmission des éléments en quarantaine à un serveur de

quarantaine

1 Dans la page Politique antivirus et antispyware, cliquez sur Transmissions.

2 Sous Eléments en quarantaine, sélectionnez Permettre aux ordinateurs

client de transmettre automatiquement les éléments en quarantaine à un

serveur de quarantaine.

3 Tapez le nom du serveur de quarantaine.

4 Tapez le numéro de port à utiliser, puis sélectionnez le nombre de secondespour relancer une connexion.

5 Lorsque vous avez terminé de configurer les paramètres de la politique,cliquez sur OK.

Transmettre des éléments en quarantaine à Symantec

Vous pouvez configurer le logiciel client pour que les utilisateurs puissenttransmettre à Symantec Security Response leurs fichiers infectés ou suspects,ainsi que les effets secondaires connexes, pour analyse. Quand les utilisateurs

envoient des informations, Symantec peut affiner ses processus de détection etde réparation.

Les fichiers transmis à Symantec Security Response deviennent la propriété deSymantec Corporation. Dans certains cas, ces fichiers peuvent être partagés avecla communauté des éditeurs de solutions antivirus. Si Symantec partage desfichiers, Symantec utilise un chiffrement standard et peut rendre des donnéesanonymes pour aider à protéger l'intégrité du contenu et la confidentialité.




Se reporter à "Transmettre des informations sur des analyses à Symantec"à la page 471.

Dans certains cas, Symantec pourrait rejeter un fichier. Par exemple, Symantec

pourrait rejeter un fichier parce que le fichier ne semble pas être infecté. Vouspouvez activer la retransmission des fichiers si vous voulez que les utilisateurspuissent retransmettre des fichiers sélectionnés. Les utilisateurs peuventretransmettre des fichiers une fois par jour.

Pour activer la transmission des éléments en quarantaine à Symantec

1 A la page Politique antivirus et antispyware, sous Paramètres Windows,cliquez sur Transmissions.

2 Sous Eléments en quarantaine, cochez la case Permettre la transmission

manuelle des éléments en quarantaine à Symantec Security Response.


Configurer des actions à effectuer à la réception de nouvellesdéfinitions de virus

Vous pouvez configurer lesmesures que vous voulez prendre quand lesnouvellesdéfinitions arrivent sur des ordinateurs client. Par défaut, le client analyse denouveau les éléments en quarantaine et répare et restaure automatiquement leséléments. Vous devriez normalement toujours utiliser ce paramètre.

Pour configurer des actions pour les nouvelles définitions

1 Dans la page Politique antivirus et antispyware, cliquez sur Quarantaine.

2 Dans l'onglet Général, sous A la réception de nouvelles définitions de virus,sélectionnez l'une des options suivantes :

■ Automatiquement réparer et restaurer les fichiers mis en quarantaine

en mode silencieux

■ Réparer les fichiers mis en quarantaine en mode silencieux sans les

restaurer

■ Demander à l'utilisateur

■ Ne rien faire



478



Configurationd'Auto-Protect


■ A propos de la configuration d'Auto-Protect

■ A propos de types d'Auto-Protect

■ Activer Auto-Protect pour le système de fichiers

■ Configuration d'Auto-Protect pour le système de fichiers pour des clientsWindows

■

Configuration d'Auto-Protect pour le système de fichiers pour les clients Mac■ Configurer Auto-Protect pour messagerie Internet

■ Configurer Auto-Protect pour messagerie Microsoft Outlook

■ Configuration d'Auto-Protect pour messagerie Lotus Notes

■ Configurer des options de notification pour Auto-Protect

A propos de la configuration d'Auto-ProtectAuto-Protect se configure dans le cadre d'une politique antivirus et contre leslogiciels espions. Vous pouvez aussi activer Auto-Protect manuellement pour ungroupe de clients ou des ordinateurs et des utilisateurs particuliers.

Vous pouvez verrouiller ou déverrouiller de nombreuses options d'Auto-Protectdans unepolitiqueantiviruset contreles logicielsespions.Quand vous verrouillezune option, lesutilisateursdesordinateursclient ne peuvent pas modifier l'option.Par défaut, les options sont déverrouillées.

26Chapitre



Certaines options d'Auto-Protect sont semblables aux options d'autres analysesantivirus et de protection contre les logiciels espions.

Se reporter à "Configuration des options qui s'appliquent aux analyses antivirus

et antispyware" à la page 463.

A propos de types d'Auto-ProtectAuto-Protect protège le système de fichiers et les pièces jointes que les clientsreçoivent.

Vous pouvez configurer les types suivants d'Auto-Protect :


■ Auto-Protect pour la messagerie Internet



Par défaut, tous les types d'Auto-Protect sont activés. Si vos ordinateurs clientexécutent d'autres produits de protection de messagerie, tels que Symantec MailSecurity, il se peut que vous ne deviez pas activer Auto-Protect pour le courrierélectronique.

Se reporter à "A propos des analyses Auto-Protect" à la page 443.

Activer Auto-Protect pour le système de fichiersLes paramètres d'Auto-Protect sont inclus dans la politique antivirus etantispyware que vous appliquez aux ordinateurs client. Par défaut, Auto-Protectpour le système de fichiers est activé. Vous pouvez verrouiller le paramètre desorte que les utilisateurs sur les ordinateurs client ne puissent pas désactiverAuto-Protect pour le système de fichiers. Il se peut que vous deviez activerAuto-Protectvia la console si vous autorisezlesutilisateursà modifier le paramètreou désactivez Auto-Protect pour le système de fichiers.

Vous pouvez activer Auto-Protect pour le système de fichiers via l'onglet Clients

de la console. Vous pouvez également activer manuellement Auto-Protect pourle système de fichiers via les journaux d'état d'ordinateur.


Si vous voulez désactiver Auto-Protect, vous devez désactiver le paramètre dansla politique antivirus et antispyware appliquée au groupe.

Configuration d'Auto-ProtectA propos de types d'Auto-Protect

480



Pour activer Auto-Protect pour le système de fichiers

1 Dans la console, cliquez sur Clients, puis, sous Afficher les clients,sélectionnez le groupe qui inclut les ordinateurs pour lesquels vous voulez

activer Auto-Protect.

2 Dans le volet droit, sélectionnez l'onglet Clients.


■ Dans le volet gauche, sous Afficherlesclients, cliquez avec le bouton droitde la souris sur le groupe pour lequel vous voulez activer Auto-Protect.

■ Dans le volet droit, dans l'onglet Clients, sélectionnez les ordinateurs etlesutilisateurs pour lesquels vous voulezactiverAuto-Protect,puiscliquezavec le bouton droit de la souris sur cette sélection.

4 Cliquez sur une des commandes suivantes :■ Exécuter la commande sur le groupe > Activer Auto-Protect

■ Exécuter la commande sur les clients > Activer Auto-Protect

5 Dans le message qui apparaît, cliquez sur OK.

Si vous voulezactiver ou désactiver Auto-Protectpour lecourrier électronique,vous devez inclure le paramètre dans la politique antivirus et antispyware.

Configuration d'Auto-Protect pour le système defichiers pour des clients Windows

Quand vous configurez Auto-Protectpour le système de fichiers en tant qu'élémentd'une politique antivirus et antispyware, vous configurez les paramètres quidéfinissent comment Auto-Protect et ses fonctionsassociéesse comportent. Vousspécifiez également si vous voulez analyser les lecteurs de disquette, les lecteursréseau ou les deux.

Remarque : Configurez Auto-Protect pour le système de fichiers pour les clientsMac séparément.

Se reporter à "Configuration d'Auto-Protect pour le système de fichiers pour lesclients Mac" à la page 487.

Configuration d'Auto-ProtectConfiguration d'Auto-Protect pour le système de fichiers pour des clients Windows



Remarque : Quand vousconfigurez lesoptionsd'Auto-Protect,vouspouvez cliquersur l'icône de verrou à côté des paramètres d'Auto-Protect. Les utilisateurs avecles ordinateurs client qui utilisent cette politique ne peut pas modifier les

paramètres verrouillés.

Vous pouvez cliquer sur Aide pour plus d'informations sur les options utiliséesdans les procédures.

Pour configurer Auto-Protect pour le système de fichiers

1 Dans la page de la politique antivirus et antispyware, sous Paramètres

Windows, cliquez sur Auto-Protect pour le système de fichiers.

2 Dans l'onglet Détails de l'analyse, activez ou désactivez la case Activer

Auto-Protect pour le système de fichiers.

3 Sous Analyse, sous Types de fichier, cliquez sur l'une des options suivantes :

■ Analyser tous les fichiers

■ Analyser les extensions sélectionnées uniquement

Se reporter à "Configurer des analyses des extensions de fichier choisies"à la page 464.

4 Sous Options supplémentaires, activez ou désactivez la case Rechercher les

risques de sécurité et Bloquer l'installation du risque de sécurité.

Se reporter à "A propos de l'analyse et et du blocage des risques de sécurité

Auto-Protect" à la page 483.

5 Sous Paramètres réseau, activez ou désactivez la case Réseau pour activerou désactiver les analyses Auto-Protect des fichiers réseau.

6 Si vous avez activé la case Réseau, cliquez sur Paramètres réseau.

7 Dans la boîte de dialogue Paramètres réseau, effectuez l'une des opérationssuivantes :

■ Permettezou interdisezà Auto-Protectde faire confiance auxfichiers desordinateurs distants qui exécutent Auto-Protect.

■

Configurez les options de cache réseau pour les analyses d'Auto-Protect.8 Cliquez sur OK.

9 Sous lesParamètres desdisquettes, activezou désactivezla case Rechercher

les virus de secteur de démarrage lors de l'accès à la disquette.


482



10 Si vous avez coché Vérifier les disquettes pour des virus de secteur de

démarrage une fois accédé, définissez l'action que vous voulez entrprendrequand un virus de secteur de démarrage est trouvé. Vous pouvez le nettoyer

de la zone de démarrage ou le consigner et l'ignorer.11 Dans l'onglet Actions, définissez les options.

Se reporter à "Configuration des actions pour desdétections connues de viruset de risque de sécurité sur les clients Windows" à la page 466.

Vous pouvez également définir des options de résolution pour activerAuto-Protect pour le système de fichiers.

12 Dans l'onglet Notifications, définissez les options de notification.


13 Dans l'onglet Avancé, définissez l'une des options suivantes :

■ Démarrage et arrêt

■ Recharger les options

14 Sous Options supplémentaires, cliquez sur Cache de fichier ou sur Risk

Tracer.

15 Configurez le cache du fichier ou les paramètres Risk Tracer, puis cliquez surOK.


A propos de l'analyse et et du blocage des risques de sécuritéAuto-Protect

Par défaut, Auto-Protect effectue les opérations suivantes :

■ Il recherche les risques de sécurité tels que les logiciels publicitaires et leslogiciels espions.

■ Il met en quarantaine les fichiers infectés.

■ Il supprime ou répare les effects secondaires des risques de sécurité

Dans le cas où le blocage de l'installation d'un risque de sécurité n'affecte pas lastabilité de l'ordinateur, Auto-Protect bloque également l'installation par défaut.Si Symantec détermine que le blocage d'un risque de sécurité peut compromettrela stabilité d'un ordinateur, alors Auto-Protect permet l'installation du risque. Deplus, Auto-Protect effectue immédiatement l'opération configurée pour le risque.

De temps à autre, il se peut néanmoins que vous deviez désactivertemporairementl'analyse des risques de sécurité dans Auto-Protect pour le système de fichiers et




la réactiver ensuite. Il peut également être nécessaire de désactiverle blocage desrisques de sécurité pour contrôler le moment où Auto-Protect réagit à certainsrisques de sécurité.

Remarque : La recherche des risques de sécurité ne peut pas être désactivée pourles autres types d'analyse. Vous pouvez toutefois configurer Symantec EndpointProtection afin d'ignorer le risque de sécurité et consigner la détection. Vouspouvez également exclure des risques spécifiques globalement de tous les typesd'analyses en les ajoutant à la liste d'exceptions centralisées.

Se reporter à "A propos des politiques d'exceptions centralisées" à la page 645.

Configurer des options avancées d'analyse et de surveillance

Vous pouvez configurer des options avancées d'analyse et de surveillance pourdes analyses Auto-Protect des fichiers et des processus. Les options permettentde déterminer le moment où les fichiers sont analysés et contiennent desparamètres d'analyse heuristiques.

L'analyse heuristiqueen tantqu'élément d'Auto-Protect est différente de l'analyseproactive de menace. L'analyse heuristique en tant qu'élément d'Auto-Protectanalyse des fichiers pour chercher un comportement malveillant, alors quel'analyse proactive de menace examine les processus actifs pour localiser descomportements malveillants.


Vous pouvez cliquer sur Aide pour plus d'informations sur les options utiliséesdans les procédures.

Pour configurer des options avancées d'analyse et de surveillance

1 Sur la page Politique antivirus et antispyware, cliquez sur Fichier système

Auto-Protect.

2 Dans l'onglet Détails de l'analyse, sous Analyse, cliquez sur Analyse et suivi

avancés.

3 Sous Analyse desfichiers, spécifiez quelles activités déclenchent desanalyses.4 Sous Paramètres de détection de Bloodhound (TM), cochez ou supprimez la

coche pour Activer la détection de virus de Bloodhound (TM).

Vous pouvez également modifier le niveau de protection.

5 Cliquez sur OK.

6 Si vous avez terminé avec la configuration pour cette politique, cliquez surOK.


484



A propos de Risk Tracer

Risk Tracer identifie la source des infectionsvirales du réseau basées sur le partagesur vos ordinateurs client.

Lorsque Auto-Protect détecteune infection, il envoie des informationsà Rtvscan,le service principal de Symantec Endpoint Protection. RtvScan détermine sil'infection a une origine locale ou distante.

Si l'infection est issue d'un ordinateur distant, Rtvscan peut faire les actionssuivantes :

■ Chercher et noter le nom NetBIOS de l'ordinateur et son adresse IP.

■ Chercher et noter qui était connecté à l'ordinateur lors de l'envoi.

■ Afficher les informations dans la boîte de dialogue Propriétés d'un risque.

Par défaut, RtvScan interroge les sessions réseau toutes les secondes, puis metces informations en mémoire cache sous la forme d'une liste source secondaired'ordinateurs distants. Ces informations maximisent la fréquence avec laquelleRisk Tracer peut avec succès identifier l'ordinateur distant infecté. Par exemple,un risque peut fermer le partage réseau avant que RtvScan ne puisse enregistrerla session réseau. Risk Tracer utilise alors la liste source secondaire pour tenterd'identifier l'ordinateur distant. Vous pouvez configurer ces informations dansla boîte de dialogue Auto-Protect - Options avancées.

Les informationsde Risk Tracer apparaissent dans la boîte de dialogue Propriétésd'un risque et sont uniquement disponibles pour lesentrées de risqueprovoquéespar des fichiers infectés. Quand Risk Tracer détermine que l'activité d'hôte locala entraîné une infection, il liste la source comme hôte local.

RiskTracerlisteunesourcecommeinconnuequandlesconditionssuivantessontvraies :

■ Il ne peut pas identifier l'ordinateur distant.

■ L'utilisateur authentifié pour un partage de fichiers se réfère à plusieursordinateurs. Cette conditionpeut se produire si l'ID d'un utilisateur estassociéà plusieurs sessions réseau. Par exemple, plusieurs ordinateurs peuvent êtreconnectés à un serveur de partage de fichiers avec le même ID de l'utilisateur

de serveur.

Vous pouvez enregistrer la liste complète des ordinateurs distants multiples quiinfectent actuellement l'ordinateur local. Définissez la valeur de chaîneHKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint Protection\ AV\ProductControl\Debug sur "THREATTRACER X" de l'ordinateur client local.La valeur de THREATTRACER active la sortie de débogage et le X vérifie que seulela sortie de débogage pour Risk Tracer apparaît. Vous pouvez également ajouterL pour diriger la consignation vers le fichier journal




<Dossier_Programme_SAV>\vpdebug.log.Pourgarantirquela fenêtre de débogagen'est pas affichée sur l'ordinateur, ajoutez XW.

Vous pouvez tester cette fonctionnalité en utilisant le fichier de virus test

Eicar.com (inoffensif), disponible à l'adresse

www.eicar.org

Risk Tracer inclut également une option pour bloquer les adresses IP desordinateurs source. Pour que cette option entre en vigueur, vous devez définirl'option correspondante dans la politique de pare-feu pour activer ce type deblocage automatique.

Se reporter à "Configuration d'Auto-Protect pour le système de fichiers pour desclients Windows" à la page 481.

A propos du cache de fichierAuto-Protect utilise un cache de fichier de sorteà se souvenir des fichiers propresde la dernière analyse. Le cache de fichier persiste à travers des démarrages. Sil'ordinateur client s'arrête et redémarre, le système de fichiers Auto-Protect sesouvient des fichiers propres et ne les analyse pas.

Le système de fichiers Auto-Portect analyse à nouveau les fichiers dans lessituations suivantes :

■ L'ordinateur client télécharge de nouvelles définitions.

■

Auto-Protect détecte que les fichiers pourraient avoir été modifiés quandAuto-Protect ne s'exécutait pas.

Vous pouvezdésactiver le cache de fichier si vous vouleztoujoursqu'Auto-Protectanalyse tous les fichiers. Si vous désactivez le cache de fichier, vous pourriezaffecter les performances de vos ordinateurs client.

Vous pouvez également définir les paramètres suivants :

■ La taille de cache de fichier

La taille du cache par défaut est de 10 000 fichiers par volume. Vous pouvezmodifier la taille d'antémémoire si vous voulez que le système de fichiersAuto-Protect analyse à nouveau plus ou moins de fichiers.

■ Si Auto-Protect analyse ou non à nouveau le cache lors du chargement denouvelles définitions

Vous pourriez vouloir désactiverce paramètrepour améliorerlesperformancesdu système de fichiers Auto-Protect.

Se reporter à "Configuration d'Auto-Protect pour le système de fichiers pourdes clients Windows" à la page 481.


486



Configuration d'Auto-Protect pour le système defichiers pour les clients Mac

Configurez Auto-Protect pour le système de fichiers en tant qu'élément d'unepolitique antivirus et antispyware. Configurez les paramètres qui définissent lecomportement d'Auto-Protect et de ses fonctions associées. Pour desclients Mac,vous spécifiez ce qui suit : les fichiers et les dossiers à analyser, et si vous voulezanalyser les disques ou les périphériques installés.

■ Les actions prises par Auto-Protect quand il trouve un risque

■ Les fichiers et les dossiers à analyser ou à exclure des analyses

■ Analyse des disques ou des périphériques installés

Remarque : Configurez séparément Auto-Protect pour le système de fichiers pourles clients Windows.

Se reporter à "Configuration d'Auto-Protect pour le système de fichiers pour desclients Windows" à la page 481.

Cliquez sur Aide pour en savoir plus à propos des options utilisées dans lesprocédures.

Pour configurer Auto-Protect pour le système de fichiers pour des clients Mac

1 Dans la page de la politique antivirus et antispyware, sous Paramètres Mac,cliquez sur Auto-Protect pour le système de fichiers.

2 En haut de l'onglet de Détails de l'analyse, cliquez sur l'icône de verrou pourverrouiller ou déverrouiller tous les paramètres d'Auto-Protect de systèmede fichiers.

3 Cochez ou décochez l'une des options suivantes :

■ Activer Auto-Protect pour le système de fichiers

■ Réparer automatiquement les fichiers infectés

■ Mettre en quarantaine les fichiers ne pouvant pas être réparés

■ Analyser les fichiers compressés

Configuration d'Auto-ProtectConfiguration d'Auto-Protect pour le système de fichiers pour les clients Mac



4 Sous Détails généraux de l'analyse, spécifiez les fichiers analysés parAuto-Protect.

Remarque : Pour exclure desfichiers de l'analyse, sélectionnezAnalysertoutsauflesdossiersspécifiés, puisajoutez unepolitique d'exceptions centraliséespour spécifier les fichiers à exclure.

Se reporter à "Configuration d'une exception centralisée pour desfichiers oudossiers sur des clients Mac" à la page 654.

5 Sous Détailsdel'analysedesdisquesinstallés , cochez ou décochez l'une desoptions disponibles. Pour plus d'informations, consultez l'aide.

6 Dans l'onglet de Notifications, définissez l'une des options de notification,

puis cliquez sur OK.


Configurer Auto-Protect pour messagerie InternetAuto-Protect pour messagerie Internet protège les messages entrants et lesmessages sortants qui utilisent le protocole de communication de POP3 ou deSMTP au-dessus de Secure Sockets Layer (SSL). Quand Auto-Protect pour

messagerieInternet estactivé, le logiciel client analyse le texte de corps du courrierélectronique et toutes les pièces jointes qui sont inclus.

Vous pouvez permettre à Auto-Protect de prendre en charge prendre en chargedu courrier électronique chiffré au-dessus des connexions de POP3 et de SMTP.Auto-Protect détecte les connexions bloquées et n'analyse pas les messageschiffrés.Mêmesi Auto-Protect pourmessagerie Internet n'analysepaslesmessageschiffrés, il continue à protéger desordinateurs desvirus et desrisques de sécuritédans les pièces jointes.

Auto-Protect pour le système de fichiers analyse les pièces jointes lorsque vousenregistrez les pièces jointes sur le disque dur.

Remarque : Auto-Protect pour messagerie Internet n'est pas pris en charge pourles ordinateurs 64 bits. Auto-Protect pour messagerie Internet ne prend pas nonplus en charge l'analyse de messagerie POP3 sur les systèmes d'exploitationserveur.

Le client Symantec Endpoint Protectionfournitégalementuneanalyse heuristiquedu courrier électronique sortant. L'analyser heuristique utilise la détection de

Configuration d'Auto-ProtectConfigurer Auto-Protect pour messagerie Internet

488



virus Bloodhound pour identifier les risques qui peuvent être contenus dans lesmessages sortants. Quand le client analyse les messages sortants, l'analyse aideà empêcher la propagation des risques. Ces risques incluent les vers qui peuvent

utiliser des clients de messagerie pour se répliquer et se distribuer à travers unréseau.

L'analyse de messagerie ne prend pasen charge les clients de messagerie suivants:

■ Clients IMAP

■ Clients AOL

■ Messagerie HTTP comme Hotmail et Yahoo! Mail

Pour plus d'informations surlesoptions utilisées dans lesprocédures, cliquez surAide.

Pour configurer Auto-Protect pour messagerie Internet

1 A la page Politique antivirus et antispyware, sous Paramètres Windows,cliquez sur Auto-Protect pour le courrier électronique Internet.

2 Dans l'onglet Détailsdel'analyse,cochezoudécochez ActiverAuto-Protect

pour le courrier électronique Internet.

3 Sous Analyse,sous Typesdefichier, cliquez sur l'une des options suivantes :




4 Cochez ou supprimez la coche Analyser les fichiers dans les fichiers

compressés.

5 Cliquez sur OK.

6 Dans l'onglet Actions, définissez les options.


7 Cliquez sur OK.

8 Dans l'onglet Notifications, sous Notifications par message électronique,activez ou désactivez les options suivantes :



■ Envoyer le message électronique à d'autres destinataires

Configuration d'Auto-ProtectConfigurer Auto-Protect pour messagerie Internet




9 Cliquez sur OK.

10 Dans l'onglet Avancé, sous Connexions chiffrées, activez ou désactivez lesconnexions chiffrées de POP3 ou de SMTP.

11 Sous Heuristiquedeverd'envoidecourrierdemasse, cochez ou supprimezla coche Heuristique de ver sortant.


Configurer Auto-Protect pour messagerie Microsoft

Outlook Par défaut, Auto-Protect analyse les pièces jointes de Microsoft Outlook. Vouspouvez personnaliser les paramètres d'analyse.


Pour configurer Auto-Protect pour Microsoft Outlook

1 A la page Politique antivirus et antispyware, sous Paramètres Windows,cliquez sur Auto-Protect pour Microsoft Outlook.

2 Dans l'onglet Détails de l'analyse, cochez ou supprimez la coche Activer

Auto-Protect pour Microsoft Outlook.





4 Cochez ou supprimez la coche Analyser les fichiers dans les fichiers

compressés.


Se reporter à "Configuration desactions pour desdétections connues de viruset de risque de sécurité sur les clients Windows" à la page 466.

6 Dans l'onglet Notifications, cochez ou décochez les options suivantes :



Configuration d'Auto-ProtectConfigurer Auto-Protect pour messagerie Microsoft Outlook

490






Configuration d'Auto-Protect pour messagerie LotusNotes

Par défaut, Auto-Protect analyse les pièces jointes de Lotus Notes. Vous pouvezpersonnaliser les paramètres d'analyse.

Pour plus d'informations surlesoptions utilisées dans lesprocédures, cliquez sur

Aide.Pour configurer Auto-Protect pour Lotus Notes

1 A la page Politique antivirus et antispyware, sous Paramètres Windows,cliquez sur Auto-Protect pour Lotus Notes.

2 Dans l'onglet Détails de l'analyse, cochez ou décochez pour Activer

Auto-Protect pour Lotus Notes.





4 Cochez ou supprimez la coche pour Analyser les fichiers dans les fichiers

compressés.








7 Si vous avez fini de configurer les paramètres de politique, cliquez sur OK.

Configuration d'Auto-ProtectConfiguration d'Auto-Protect pour messagerie Lotus Notes



Configurer des options de notification pourAuto-Protect

Par défaut, les résultats des analyses d'Auto-Protect pour le système de fichiersapparaissent sur les ordinateurs infectés. Vous pouvez configurer la politiqueantivirus et antispyware de sorte que les résultats n'apparaissent pas sur desordinateurs client.

Vous pouvez personnaliser le message de notification qui s'affiche sur lesordinateurs client lorsque Auto-Protect effectue une détection.

Se reporter à "Personnaliser et afficher des notifications sur les ordinateursinfectés" à la page 469.

Pour leslogiciels de messagerie prisen charge, vous pouvezégalementconfigurer

Auto-Protect pour l'exécution des actions suivantes :



■ Envoyer le message électronique à d'autres destinataires.

Vous pouvez personnaliser les messages que vous envoyez pour informer lesutilisateurs.

Remarque : Soyez prudent quand vous configurez des options pour informer les

expéditeurs et les autres utilsiateurs sur les messages infectés. L'adresse dumessage infecté pourrait être usurpée. Si vous envoyez des notifications, vouspourriez générer du spam et entraîneruneaugmentation de trafic survotre réseau.

Les champs variables que vous personnalisez pour des messages de notificationset des messages normaux sont légèrement différents. Vous pouvez personnaliserles informations dans le corps du message et les informations dans le champd'infection.

Tableau 26-1 décrit les types d'informations que vous pouvez personnaliser pourle corps du message.

Tableau 26-1 Champs de corps de message

DescriptionChamp

Nomde l'utilisateur qui était connecté lorsque le virus oule risque de sécurité a été détecté.

Utilisateur

Configuration d'Auto-ProtectConfigurer des options de notification pour Auto-Protect

492



DescriptionChamp

Date à laquelle le virus ou le risque de sécurité a étédétecté.

DateTrouvé

Adresseélectronique quia envoyéle courrier électroniqueavec la pièce jointe infectée.

ExpéditeurEmail

Liste desadresses auxquellesle courrier électronique avecla pièce jointe infectée a été envoyé.

ListeDestinatairesEmail

Tableau 26-2 décrit les types d'informations que vous pouvez personnaliser pourles champs d'infection.

Tableau 26-2 Champs d'informations sur l'infection

DescriptionChamp

Nom du virus ou du risque de sécurité détecté.NomRisqueSécurité

Action effectuée en réponse à la détection du virus ou durisque de sécurité. Il peut s'agir de la première actionconfigurée ou de la seconde.

ActionEffectuée

Etat du fichier : Infecté, Non infecté ou Supprimé.

Cette variable de message n'est pas utilisée par défaut.Pour afficher ces informations, ajoutez manuellement

cette variable au message.

Etat

Nom du fichier infectépar le virus ou le risquede sécurité.Nomfichier

Chemin d'accès complet et nom du fichier infecté par levirus ou le risque de sécurité.

CheminNomfichier

Nom de l'ordinateur sur lequel le virus ou le risque desécurité a été détecté.

Ordinateur

Nomde l'utilisateur qui était connecté lorsque le virus oule risque de sécurité a été détecté.

Utilisateur

Date à laquelle le virus ou le risque de sécurité a étédétecté.

DateTrouvé

Nom de la pièce jointe contenant le virus ou le risque desécurité.

NomPiècejointeOrigine

Domaine de l'application affecté. Par exemple, le nom destockage pourrait être Auto-Protect pour le système defichiers ou Auto-Protect pour Lotus Notes.

NomStockage




Afficher des résultats d'Auto-Protect sur les ordinateurs infectés

Si vousvoulez quelesutilisateursaffichent lesrésultats desanalyses Auto-Protectdes fichiers et desprocessus, vous pouvez afficher les résultats surlesordinateursinfectés. Vous pouvez également désactiver l'affichage si vous ne voulez pas queles résultats apparaissent sur des ordinateurs client.


Pour afficher les résultats d'Auto-Protect sur les ordinateurs infectés

1 Sur la page Politique antivirus et antispyware, cliquez sur Auto-Protect

pour le système de fichiers.

2 Sur l'onglet Notifications, sélectionnez ou désélectionnez l'option Afficher

la boîte de dialogue des résultats d'Auto-Protect sur l'ordinateur infecté.

3 Si vous avez fini de configurer les paramètres de politique, cliquez sur OK.

Ajouter des avertissements dans les messages électroniques infectés.

Pour les logiciels de messagerie pris en charge, vous pouvez configurerAuto-Protect de manière à automatiquement insérer un avertissement dans lecorps des messages électroniques infectés. Un message d'avertissement estimportant si le client Symantec Endpoint Protection ne parvient pas à éliminerle virus décrit dans le message. L'avertissement est également important si unepiècejointe infectéeest déplacée, conservée, supprimée ou renommée. Le messaged'avertissement vous indique le nom du virus détecté et décrit l'action effectuée.

Vous pouvez ajouter le texte suivant au début du message électronique associé àla pièce jointe infectée :

Symantec EndpointProtection a trouvéun risquede sécuritédans unepièce jointede [ExpéditeurEmail].

Pour chaque fichier infecté, les informations suivantes sont également ajoutéesau message électronique :

■ Nom de la pièce jointe de fichier

■ Nom du risque

■ Mesure prise

■ Etat d'infection du fichier

Vous pouvez personnaliser l'objet et le corps du message.

Le messageélectroniquecontientun champ appelé ExpéditeurEmail.Vouspouvezpersonnaliser le message par défaut.


494



Pour le destinataire, le message s'affiche sous la forme suivante :

Symantec Endpoint Protection a trouvé un risque de sécurité dans une

pièce jointe provenant de Bernard.Dupond@masociété.com.


Pour ajouter des avertissements dans les messages électroniques infectés.

1 A la page Politique antivirus et antispyware, sous Paramètres Windows,cliquez sur l'une des options suivantes :

■ Auto-Protect pour la messagerie Internet.

■ Auto-Protect pour Microsoft Outlook.

■ Auto-Protect pour Lotus Notes.2 Sur l'onglet Notifications, sous Notifications par message électronique,

cochez Insérer un avertissement dans le message électronique.

3 Cliquez sur Avertissement et effectuez l'une des actions suivantes :

■ Cliquez sur OK pour accepter le message par défaut.

■ Personnalisez le message d'avertissement.


Envoi d'un avertissement aux expéditeurs d'un message infecté

Pour un logiciel de messagerie prisen charge, vouspouvezconfigurer Auto-Protectafin de répondre automatiquement à l'expéditeur d'un message électroniquecontenant une pièce jointe infectée.

Remarque : Soyez prudent quand vous configurez des options pour informer lesexpéditeurs de messages infectés. L'adresse du message infecté pourrait êtreusurpée. Si vous envoyez des notifications, vous pourriez générer du spam et

entraîner une augmentation de trafic sur votre réseau.

Vous pouvez également configurer Auto-Protect pour envoyer un message deréponse par défaut avec l'objet suivant :

Risque de sécurité trouvé dans le message "[ObjetEmail]"

Le corps du message informe l'expéditeur de la pièce jointe infectée :




Symantec Endpoint Protection a trouvé un risque de sécurité dans une pièce

jointe que vous [ExpéditeurEmail] avez envoyé à [ListeDestinatairesEmail].

Pour vous assurer que les destinataires peuvent utiliser les fichiers envoyés,

exécutez une analyse virus sur votre ordinateur, supprimez tous les fichiersinfectés, puis renvoyez cette pièce jointe.



■ Nom du risque

■ Mesure prise


Vous pouvez également personnaliser ce message.

Pour informer des expéditeurs de messages infectés





2 Sur l'onglet Notifications, sous Notifications par message électronique,cochez Envoyer un message électronique à l'expéditeur.

3 Cliquez sur Expéditeur.

4 De la boîte de dialogue Envoyer un message électronique à l'expéditeur,surl'onglet Message, sous Texte du message, effectuez l'une des actionssuivantes :

■ Cliquez sur OK pour accepter le message par défaut.

■ Tapez un objet, un corps du message et des informations d'infection quis'afficheront dans chaque message, puis cliquez sur OK.

Pour plus d'informations sur les variables que vous pouvez utiliser dansle message, cliquez sur Aide.

5 Pour Auto-Protect pour le message électronique uniquement, sur l'ongletServeur de messagerie, saisissez les informations suivantes :

■ Nom et port de serveur de messagerie

■ Nom d'utilisateur et mot de passe


496



■ Chemin d'accès inversé pour le courrier électronique


Notifier d'autres utilisateurs de messages infectés

Pour un logiciel de messagerie prisen charge, vouspouvezconfigurer Auto-Protectpourprévenir les destinataires chaque foisqu'un message électronique contenantune pièce jointe infectée est ouvert.

Remarque : Soyez prudent quand vous configurez des options pour informerd'autres utilisateurs au sujet des messages infectés. L'adresse du message infectépourrait être usurpée. Si vous envoyez des notifications, vous pourriez générer

du spam et entraîner une augmentation de trafic sur votre réseau.

Vous pouvez envoyer un message à d'autres utilisateurs avec l'objet suivant :

Risque de sécurité trouvé dans le message "[ObjetEmail]"

Le corps du message inclut des informations sur l'expéditeur de la pièce jointeinfectée :

Symantec Endpoint Protection a trouvé un risque de sécurité dans une pièce

jointe de [ExpéditeurEmail].



■ Nom du risque

■ Mesure prise


Vous pouvez également personnaliser ce message.

Pour informer d'autres utilisateurs de messages infectés







■ Auto-Protect pour Lotus Notes.

2 Sur l'onglet Notifications, sous Notifications par message électronique,cochez Envoyer un message électronique à d'autres destinataires.

3 Cliquez sur Autres.

4 Dans la boîte de dialogue Envoyer le message électronique à d'autres

destinataires, dans l'onglet Autres, fournissez une ou plusieurs adressesélectroniques auxquelles des notifications doivent être envoyées.

5 Cliquez sur l'onglet Message et saisissez l'objet, le corps du message et lesinformations sur l'infection qui doivent s'afficher dans chaque message.

Pour plus d'informations sur les variables que vous pouvez utiliser dans lemessage, cliquez sur Aide.

6 Pour Auto-Protect pour le message électronique uniquement, sur l'ongletServeur de messagerie, saisissez les informations suivantes :

■ Nom et port de serveur de messagerie

■ Nom d'utilisateur et mot de passe

■ Chemin d'accès inversé pour le courrier électronique

7 Cliquez sur OK.


Configurer des notifications de progression pour des analysesAuto-Protect pour messagerie Internet

Vous pouvez activer ou désactiver des options d'indicateur de progression pourdes analyses Auto-Protect pour messagerie Internet.

Vous pouvez configurer les options suivantes :

■ Affichaged'une fenêtre deprogressionsurl'ordinateurclientquandun messageest envoyé.

■

Affichage d'une icône dans la zone de notification pour indiquer l'état detransmission du message.

Les deux options sont activées par défaut.


498



Pour configurer des notifications de progression

1 A la page Politique antivirus et antispyware, sous Paramètres Windows,cliquez sur Auto-Protect pour le courrier électronique Internet.

2 Sur l'onglet Notifications, sous Notifications de progression, cochez oudécochez les options suivantes :

■ Afficher un indicateur de progression quand le courrier électronique

est envoyé.

■ Afficher une icône de zone de notification.






500



Utilisation d'analysesdéfinies par

l'administrateurCe chapitre traite des sujets suivants :

■ A propos de l'utilisation d'analyses définies par l'administrateur

■ Configurer une analyse planifiée pour des clients Windows

■ Configuration d'une analyse planifiée pour les clients Mac

■ Configurer une analyse sur demande pour des clients Windows

■ Configuration d'une analyse sur demande pour les clients Mac

■ Exécuter des analyses à la demande

■ Configurer des options de progression d'analyse pour des analyses définiespar l'administrateur

■ Définir des options avancées pour des analyses définies par l'administrateur

A propos de l'utilisation d'analyses définies parl'administrateur

Lesanalyses définies parl'administrateur incluent lesanalyses planifiées antiviruset antispyware et les analyses à la demande. Vous configurez des options pources types d'analyses dans le cadre d'une politique antivirus et antispyware.

Vous utilisez desanalyses planifiées et des analyses à la demande pour compléterla protection qu'Auto-Protect apporte. Auto-Protect assure la protection quand

27Chapitre



vous lisez et écrivez des fichiers. Les analyses planifiées et les analyses à lademande peuvent analyser les fichiers figurant sur vos ordinateurs client. Ellespeuvent également protéger la mémoire, les points de chargement et autres

emplacements importants sur vos ordinateurs client.

Remarque : Pour les clients gérés, Symantec Endpoint Protection fournit uneanalyse planifiée par défaut qui examine l'ensemble des fichiers, dossiers etemplacements sur les ordinateurs clients.

Certaines options des analyses définies par l'administrateur sont semblables auxoptions des analyses Auto-Protect. Ces options incluent les actions de détectionet les notifications que vous spécifiez.

Se reporter à "Configuration des options qui s'appliquent aux analyses antivirus

et antispyware" à la page 463.

Configurer une analyse planifiée pour des clientsWindows

Vous configurez des analyses planifiées en tant qu'élément d'une politiqueantiviruset antispyware.Lesparamètres d'analyse sont différents pour lesclientsWindows et Mac

Se reporter à "Configuration d'une analyse planifiée pour les clients Mac"à la page 504.

Vous pouvezenregistrer vosparamètres d'analyseplanifiéecomme modèle. Vouspouvez utiliser n'importe quelle analyse que vous enregistrez comme modèle entant que base pour une politique antivirus et antispyware différente. Les modèlesd'analyse permettent de faciliter la configuration de plusieurs politiques antiviruset antispyware. Un modèle d'analyse planifiée est inclus par défaut dans lapolitique. L'analyse planifiée par défaut analyse tous les fichiers et répertoires.

Vous pouvez cliquer sur Aide pour plus d'informations sur les options utiliséesdans cette procédure.

Configurer une analyse planifiée pour des clients Windows

1 Dans lapage depolitique antiviruset antispyware,sous ParamètresWindows,cliquez sur Analyses définies par l'administrateur.

2 Dans l'onglet Analyses, sous Analyses planifiées, cliquez sur Ajouter.

3 Dans la boîte de dialogue Ajouter une analyse planifiée, cliquez sur Créer

une analyse planifiée.

Utilisation d'analyses définies par l'administrateurConfigurer une analyse planifiée pour des clients Windows

502



4 Cliquez sur OK.

5 Dans la boîte de dialogueAjouteruneanalyseplanifiée, dans l'ongletDétails

de l'analyse, tapez un nom et une description pour cette analyse planifiée.

6 Cliquez sur Active Scan, Analyse complète ou Analyse personnalisée.

7 Si vous avez sélectionné Personnalisée, sous Analyse, vous pouvez spécifierles dossiers à analyser.

8 Sous Types de fichier, cliquez sur Analyser tous lesfichiers ou Analyser les

extensions sélectionnées uniquement.


9 Sous Améliorer l'analyse en vérifiant, cochez ou désactivezla case Mémoire,

Emplacementsd'infectionscourants ou Emplacementsderisquesdesécuritéet de virus connus.

10 Cliquez sur Options d'analyse avancées.

11 Définissez les options pour les fichiers compressés, la migration de stockageou l'optimisation des performances.

12 Cliquez sur OK pour enregistrer les options d'analyse avancées de cetteanalyse.

13 Dans l'onglet Planification, sous Planification d'analyse, définissez lafréquence et l'heure auxquelles l'analyse doit s'exécuter.



Vous pouvez également définir des options de résolution pour l'analyse.

15 Dans l'onglet Notifications, définissez les options.

Se reporter à "A propos des messages de notification sur les ordinateursinfectés" à la page 468.

16 Pour enregistrer l'analysesous la formed'un modèle, cochez Enregistrerune

copie sous la forme d'un modèle d'analyse planifiée.17 Cliquez sur OK.

Utilisation d'analyses définies par l'administrateurConfigurer une analyse planifiée pour des clients Windows



Configuration d'une analyse planifiée pour les clientsMac

Vous configurez des analyses planifiées en tant qu'élément d'une politiqueantiviruset antispyware.Lesparamètres d'analyse sont différents pour lesclientsWindows et Mac


Vous pouvezenregistrer vosparamètres d'analyseplanifiéecomme modèle. Vouspouvez utiliser n'importe quelle analyse que vous enregistrez comme modèle entant que base pour une politique antivirus et antispyware différente. Les modèlesd'analyse permettent de faciliter la configuration de plusieurs politiques antivirus

et antispyware. Un modèle d'analyse planifiée est inclus par défaut dans lapolitique. L'analyse planifiée par défaut analyse tous les fichiers et répertoires.

Pour configurer une analyse planifiée pour des clients Mac

1 Dans la page de politique antivirus et antispyware, sous Paramètres Mac,cliquez sur Analyses définies par l'administrateur.

2 Dans l'onglet Analyses, sous Analyses planifiées, cliquez sur Ajouter.

3 Dans la boîtede dialogue de Ajouteruneanalyseplanifiée, cliquez sur Créer

une analyse planifiée puis cliquez sur OK.

4 Dans la boîte de dialogue Ajouteruneanalyseplanifiée, dans l'ongletDétails

de l'analyse, saisissez un nom et une description pour cette analyse.

5 Sous Analyser lecteurs et dossiers, spécifiez les éléments à analyser.

6 Déplacer le curseur pour définir la priorité de l'analyse.

La priorité d'analyse sur des clients Mac est équivalente au réglage d'accordou des performances sur des clients Windows. La priorité haute signifie quel'analyses'exécute aussi rapidement quepossible, mais lesautres applicationss'exécutent plus lentement pendant l'analyse. La priorité basse signifie queles autres applications s'exécutent aussi rapidement que possible, mais quel'analyse s'exécute plus lentement. La priorité moyenne équilibre la vitesse

d'exécution des applications et des analyses.

7 Dans l'onglet Planification, sous Planification d'analyse, définissez lafréquence et l'heure auxquelles l'analyse doit être exécutée.

8 Pour enregistrer l'analysesous la forme d'un modèle, cochez Enregistrerune

copie sous la forme d'un modèle d'analyse planifiée.

9 Cliquez sur OK.

Utilisation d'analyses définies par l'administrateurConfiguration d'une analyse planifiée pour les clients Mac

504



Configurer une analyse sur demande pour des clientsWindows

Vous pouvez configurer des options pour les analyses personnalisées que vousvoulez exécuter à la demande. Vous exécutez les analyses à la demandemanuellementdans la page Clients. Vous pouvez également exécuter lesanalysesà la demande dans la page Contrôles de la console de gestion.

Vous ne pouvez pas configurer un nom d'analyse ou une description pour lesoptions d'analyse. Le client utilise les options toutes les fois que vous exécutezune analyse à la demande personnalisée de la console de gestion sur l'ordinateurclient.

Remarque : Vous pouvez exécuter une analyse active ou une analyse complète surdemande.

Se reporter à "A propos des analyses définies par l'administrateur" à la page 448.

Les paramètres pour des analyses à la demande sont semblables aux paramètrespour des analyses planifiées.


Les paramètres d'analyse pour des clients Windows et pour des clients Mac sont

différents.Se reporter à "Configuration d'une analyse sur demande pour les clients Mac"à la page 506.


Pour configurer des paramètres pour des analyses sur demande pour des clients

Windows

1 Dans lapage depolitique antiviruset antispyware,sous ParamètresWindows,cliquez sur Analyses définies par l'administrateur.

2 Dans l'onglet Analyses,sous Analyse surdemande de l'administrateur, cliquezsur Edition.

3 Dans la boîte de dialogue Modifier l'analysesurdemande de l'administrateur,dans l'onglet Détails de l'analyse, sous Analyse, cliquez sur Modifier les

dossiers.

Par défaut, l'analyse inclut tous les dossiers.

Utilisation d'analyses définies par l'administrateurConfigurer une analyse sur demande pour des clients Windows



4 Dans la boîte de dialogue Modifier les dossiers, sélectionnez les dossiersdésirés et cliquez sur OK.

5 Dans la boîte de dialogueModifier l'analysesurdemande de l'administrateur,

sous Types de fichier, cliquez sur Analyser tous les fichiers ou Analyser lesextensions sélectionnées uniquement.

Se reporter à "A propos de l'analyse des extensions ou des dossierssélectionnés" à la page 451.

6 Sous Enhance the scan by checking, cochez ou désactivez les cases Mémoire,Emplacements d'infections courants ou Emplacements de risques de

sécurité et de virus connus.

7 Cliquez sur Options d'analyse avancées.

8 Définissez les options pour les fichiers compressés, la migration de stockage

ou l'optimisation des performances.

9 Cliquez sur OK pour enregistrer les options avancées de cette analyse.


Se reporter à "Configuration desactions pour desdétections connues de viruset de risque de sécurité sur les clients Windows" à la page 466.

Vous pouvez également définir des options de résolution pour l'analyse.

11 Dans l'onglet Notifications, définissez les options.

Se reporter à "A propos des messages de notification sur les ordinateurs

infectés" à la page 468.

12 Cliquez sur OK.

Configuration d'une analyse sur demande pour lesclients Mac

Vous pouvez configurer des options pour les analyses personnalisées à exécuterà la demande. Vous exécutez les analyses sur demande manuellement dans lapage Clients. Vous pouvez également exécuter les analyses sur demande dans lapage Contrôles de la console de gestion.

Toutes les fois que vous exécutez une analyse sur demande sur des clients Mac,vousexécutezuneanalysepersonnalisée. Les optionsd'analyserapide et d'analysecomplète sont disponibles seulement pour les clients Windows.

Les paramètres pour des analyses sur demande sont semblables aux paramètrespour des analyses planifiées. Cependant, vous ne pouvez pas configurer un nomd'analyse ou une description pour une analyse sur demande.

Utilisation d'analyses définies par l'administrateurConfiguration d'une analyse sur demande pour les clients Mac

506



Se reporter à "Configuration d'une analyse planifiée pour les clients Mac"à la page 504.

Les paramètres d'analyse pour les clients Windows et Mac sont différents.



Avertissement : Si vous ne choisissez pas Réparer automatiquement les fichiers

infectés, aucun fichier infecté n'est mis en quarantaine, même si vous choisissezMettre en quarantaine les fichiers qui ne peuvent pas être réparés.

Le logiciel demande si vous voulez réparer un fichier infecté. Si vous ne réparezpas le fichier, il reste dans l'ordinateur. Si vous choisissez Réparer

automatiquement les fichiers infectés et si vous ne choisissez pas Mettre en

quarantainelesfichiersquinepeuventpasêtreréparés , tous lesfichiers infectésseront supprimés.

Pour configurer une analyse sur demande pour des clients Mac

1 Dans la page de politique antivirus et antispyware, sous Paramètres Mac,cliquez sur Analyses définies par l'administrateur.

2 Dans l'onglet Analyses, sous Analyse sur demande de l'administrateur,

cliquez sur Edition.3 Dans l'onglet de Détails de l'analyse, sous Analyser lecteurs et dossiers,

sélectionnez les éléments que vous voulez inclure dans cette analyse.

Utilisation d'analyses définies par l'administrateurConfiguration d'une analyse sur demande pour les clients Mac



4 Sous Actions, cochez ou décochez les options suivantes.

Symantec Endpoint Protection essaye

automatiquement de réparer le fichierinfecté quand un risque est identifié. Sivous ne choisissez pas cette option, touteréparation doit être effectuéemanuellement.

Réparer automatiquement les fichiers

infectés

Symantec Endpoint Protection metautomatiquementen quarantainetouslesfichiers qui ne peuvent pas être réparés.

Mettre en quarantaine les fichiers nepouvant pas être réparés

5 Dansl'onglet Notifications, définissez l'une desoptions, puis cliquez surOK.

Se reporter à "A propos des messages de notification sur les ordinateursinfectés" à la page 468.

Exécuter des analyses à la demandeVous pouvez exécuter une analyse manuelle ou à la demande, à distance avec laconsole de gestion de l'une des manières suivantes :

■ Dans l'onglet Clients

■ Des journaux d'état d'ordinateur que vous générez dans l'onglet Ecrans


Pour des ordinateurs client Windows, vous pouvez exécuter une analyse surdemande rapide, complète, ou personnalisée.

Par défaut, les articles suivants sont inclus dans l'analyse :

■ Tous les répertoires

■ Tous les types de fichier

■ Mémoire

■ Emplacements d'infections courants

■ Emplacements de risques de sécurité et de virus connus

Pour des ordinateurs client Mac, vous ne pouvez exécuter qu'une analyse surdemande personnalisée.

L'analyse personnalisée utilise les paramètres configurés pour des analyses à lademande dans la politique antivirus et antispyware.

Utilisation d'analyses définies par l'administrateurExécuter des analyses à la demande

508




Se reporter à "Configuration d'une analyse sur demande pour les clients Mac"

à la page 506.

Vous pouvez cliquer sur Aide pour obtenir plus d'informations sur les optionsutilisées dans les procédures.

Remarque : Si vous émettez une commande de redémarrage sur un ordinateurclient qui exécute une analyse à la demande, l'analyse s'arrête et l'ordinateurclient redémarre. L'analyse ne redémarre pas.

Pour exécuter une analyse à la demande sur un groupe


2 Sous Afficherlesclients,cliquezavecleboutondroitdelasourissurlegroupequi inclut les ordinateurs à analyser.

3 Cliquez sur Exécuter la commande sur le groupe > Analyser.

4 Dans la boîtede dialogue Sélectiond'untyped'analyse , sélectionnez Analyse

rapide, Analyse complète, ou Analyse personnalisée.

5 Cliquez sur OK.

6 Dans la fenêtre de message qui s'affiche, cliquez sur Oui.

7 Dans la fenêtre de confirmation qui s'affiche, cliquez sur Oui.

Pour exécuter une analyse à la demande sur un ordinateur ou un utilisateur


2 Dans le panneau droit, sous Clients, sélectionnez les ordinateurs et lesutilisateurs à analyser.

3 Cliquez avec le bouton droit de la souris sur la sélection, puis cliquez surExécuter la commande sur les clients > Analyser.

4 Dans la fenêtre de message qui s'affiche, cliquez sur Oui.

5 Dans la boîtede dialogue Sélectiond'untyped'analyse , sélectionnez Analyserapide, Analyse complète, ou Analyse personnalisée.

6 Cliquez sur OK.

7 Dans la fenêtre de confirmation qui s'affiche, cliquez sur Oui.

Utilisation d'analyses définies par l'administrateurExécuter des analyses à la demande



Configurer des options de progression d'analyse pourdes analyses définies par l'administrateur

Vous pouvezconfigurer si la boîte de dialogue Résultatsde l'analysedoit apparaîtresur des ordinateurs client. Si vous permettez l'affichage de la boîte de dialoguesur desordinateursclient, desutilisateurspeuvent toujourssuspendre ou retarderune analyse définie par l'administrateur.

Vous pouvez permettre à des utilisateurs d'arrêter une analyse entièrement. Desoptions permettent également de configurer comment des utilisateurs peuventsuspendre ou retarder des analyses.

Vous pouvez permettre à l'utilisateur d'exécuter les actions d'analyse suivantes :

Quand un utilisateur suspend une analyse, la boîte de dialogueRésultats de l'analyse reste ouverte jusqu'à ce que l'analyse soitrelancée ou abandonnée.Si l'ordinateur estmis hors tension, l'analysesuspendue est abandonnée.

Pause

Quand un utilisateur met en sommeil une analyse planifiée, il peutchoisir la durée de la mise en sommeil, une heure ou trois heures. Lenombre de mises en sommeil est configurable. Quand une analyse esten sommeil, la boîte de dialogue Résultatsde l'analyseest fermée. Elleréapparaît quand l'analyse reprend.

Mise en sommeil

Quand un utilisateur arrête une analyse, l'analyse s'arrête en général

immédiatement. Si un utilisateur arrête une analyse alors que lelogiciel client analyse un fichier compressé, l'analyse ne s'arrête pasimmédiatement. Dans ce cas, l'analyse s'arrête dès que l'analyse dufichier compressé est terminée. Une analyse arrêtée ne redémarrepas.

Stop

Une analyse suspendue redémarre automatiquement au bout d'un délai spécifié.


Pour configurer des options de progression d'analyse pour des analyses définies

par l'administrateur

1 Dansla page Politique antivirus et antispyware, cliquez sur Analysesdéfinies

par l'administrateur.

2 Dans l'onglet Avancé, sous Options de progression d'analyse, cliquez surAfficher la fenêtre de progression ou Afficher la progression de l'analyse

si un risque est détecté.

Utilisation d'analyses définies par l'administrateurConfigurer des options de progression d'analyse pour des analyses définies par l'administrateur

510



3 Pourfermer automatiquement l'indicateurde progression d'analyse au termede l'analyse, cochezla case Fermerlafenêtredeprogressionaprèsl'analyse .

4 Cochez l'option Autoriser l'utilisateur à abandonner l'analyse.

5 Cliquez sur Options de pause.

6 Dans la boîte de dialogue Options de pause de l'analyse, effectuez l'une desactions suivantes :

■ Pour limiter le temps pendant lequel un utilisateur peut suspendre uneanalyse, cochez la case Limiter la durée de la mise en pause de l'analyse

et tapez un nombre de minutes. La valeur doit être comprise entre 3 et180.

■ Pour limiter le nombre de fois où un utilisateur peut retarder (ou mettreen sommeil) une analyse, dans la zone Nombre maximal d'opportunités

de répétition, tapez un nombre entre 1 et 8.

■ Par défaut, un utilisateur peut retarder une analyse d'une heure. Pourmodifier cette limite à trois heures, cochez la case Autoriser les

utilisateurs à répéter l'analyse pendant 3 heures.

7 Cliquez sur OK.

Définir des options avancées pour des analysesdéfinies par l'administrateur

Vous pouvez définir des options avancées pour des analyses planifiées et desanalyses à la demande.


Pour définir des options avancées pour des analyses définies par l'administrateur

1 Dans la page de la politique antivirus et de protection antispyware, cliquezsur Analyses définies par l'administrateur.

2 Dans l'onglet Avancé, sous Analyses planifiées, activez ou désactivez les

options suivantes :

■ Différer les analyses planifiées en cas d'utilisation des batteries

■ Autoriserl'exécutiondesanalysesplanifiéesparl'utilisateuràs'exécuter

lorsque l'auteur de l'analyse n'est pas connecté

■ Afficher des notifications sur les détections lorsque l'utilisateur se

connecte

Utilisation d'analyses définies par l'administrateurDéfinir des options avancées pour des analyses définies par l'administrateur



3 Sous Analysesdedémarrageetdéclenchées , activez ou désactivezlesoptionssuivantes :

■ Exécuter des analyses de démarrage lorsque des utilisateurs se

connectent

■ Autoriser les utilisateurs à modifier les analyses de démarrage

■ ExécuteruneanalyseActiveScanàlaréceptiondenouvellesdéfinitions

de virus

4 Cliquez sur OK.

Utilisation d'analyses définies par l'administrateurDéfinir des options avancées pour des analyses définies par l'administrateur

512



Configuration de la

protection contre lesmenaces réseau

■ Chapitre 28. Paramètres de base de protection contre les menaces réseau

■ Chapitre 29. Configuration de la prévention d'intrusion

■ Chapitre 30. Personnalisation de la protection contre les menaces réseau

4Section



514



Paramètres de base deprotection contre les

menaces réseauCe chapitre traite des sujets suivants :

■ A propos de la protection contre les menaces réseau et des attaques

■ A propos du pare-feu

■ A propos de l'utilisation des politiques de pare-feu

■ A propos des règles de filtrage

■ Ajouter des règles vierges

■ Ajouter des règles avec un assistant

■ Ajouter des règles héritées d'un groupe parent

■ Importation et exportation de règles

■ Copier et coller des règles

■ Modification de l'ordre des règles

■ Activer et désactiver des règles

■ Activation du filtrage de trafic intelligent

■ Activation des paramètres de trafic et des paramètres furtifs

■ Configuration de l'authentification point à point

28Chapitre



A propos de la protection contre les menaces réseauet des attaques

Les attaques réseau exploitent la manière dont les ordinateurs transfèrent lesdonnées. Le client peut protéger les ordinateurs en contrôlant les informationsqui entrent et sortent sur l'ordinateur et en bloquant des tentatives d'attaque.

Sur Internet, les informations circulent sous la forme de paquets. Chaque paquetcomprend un en-tête contenant des informations sur l'ordinateur à l'origine del'envoi, le destinataire, le mode de traitement des données du paquet et le port deréception du paquet.

Les ports sont les canaux qui divisent le flux d'informations qui vient d'Interneten chemins d'accèsséparés quelesapplicationsindividuellesprennent en charge.

Les programmes Internet exécutés sur un ordinateur sont à l'écoute d'un ou deplusieurs ports et acceptent les informations qui y sont envoyées.

Lesattaques réseautirentprofitdesfaiblesses de programmes Internet spécifiques.Les attaquants utilisent les outils qui envoient les paquets contenant le code deprogrammation malveillant à un port particulier. Si un programme vulnérable àcette attaque est à l'écoute de ce port, le code permet au pirate d'accéder àl'ordinateur, de le désactiver, voire de le contrôler. Le code de programmationservant à générer les attaques peut être inclus dans un seul paquet ou se répartirsur plusieurs paquets.

Vous pouvez installer le client avec des paramètres par défaut pour la protection

contre les menaces réseau. Dans la plupart des cas vous n'avez pas besoin demodifier les paramètres. Il est généralement sûr de laisser les paramètresinchangés. Cependant, si vous avez une connaissance détaillée des réseaux, vouspouvez apporter de nombreuses modifications au pare-feu client pour affinervotre protection.

Se reporter à "Comment Symantec Endpoint Protection protège les ordinateurscontre des attaques réseau" à la page 516.

Comment Symantec Endpoint Protection protège les ordinateurs contre

des attaques réseauLe client Symantec Endpoint Protection inclut les outils suivants qui protègentvos ordinateurs contre les tentatives d'intrusion :

Paramètres de base de protection contre les menaces réseauA propos de la protection contre les menaces réseau et des attaques

516



Surveille l'ensemble desconnexionsInternetet crée un bouclierqui qui bloque ou limite les tentatives de visualisation desinformations sur l'ordinateur.

Se reporter à "A propos du pare-feu" à la page 517.

Pare-feu

Analyse toutes les informations entrantes et sortantes desstructures de données qui sont typiques d'une attaque.

Se reporter à "A propos du système de prévention d'intrusion"à la page 541.


A propos du pare-feuLe pare-feu Symantec Endpoint Protection est un logiciel qui fournit une barrière

entre l'ordinateur et Internet. Le pare-feu empêche les utilisateurs non autorisésd'accéder aux ordinateurs et aux réseaux qui se connectent à Internet. Il détecteles éventuelles attaques de pirates, protège les informations personnelles etélimine les sources indésirables de trafic réseau.

Figure 28-1 Flux d'informations sur un réseau lorsqu'un ordinateur est équipé

d'un pare-feu

Internet

Ordinateur

client

Le pare-feu contrôle

les tentatives d'accès

à partir d'Internet

Le pare-feu autoriseou bloque le trafic

réseau spécifié par la

politique de pare-feu

Toutes les informationsqui entrent ou quittent le réseau privé doivent passer parle pare-feu quiexamine lespaquets d'informations. Le pare-feubloquelespaquetsquine répondent pasaux critères de sécuritéspécifiés. La manière dont le pare-feu

Paramètres de base de protection contre les menaces réseauA propos du pare-feu



examine les paquets d'informations consiste à utiliser une politique de pare-feu.Les politiques de pare-feuse composent d'une ou plusieurs règlesqui fonctionnentensemble pour permettre ou bloquer l'accès des utilisateurs au réseau. Seul le

trafic autorisé peut passer. La politique de pare-feu définit le trafic autorisé.Le pare-feu fonctionne à l'arrière-plan. Vous déterminez le niveau d'interactionentre les utilisateurs et le client en autorisant ou en bloquant leur possibilité deconfigurer les règles du pare-feu et les paramètres du pare-feu. Les utilisateurspeuvent interagir avec le client seulement quand il les informe des nouvellesconnexions réseauet desproblèmeséventues,ou ilspeuvent avoir l'accès completà l'interface utilisateur.

Se reporter à "A propos des règles de filtrage" à la page 519.

Se reporter à "A propos de l'utilisation des politiques de pare-feu" à la page 518.

A propos de l'utilisation des politiques de pare-feuSymantec Endpoint Protection Manager comprend une politique de pare-feu pardéfaut avec des règles de filtrage et des paramètres du pare-feu pourl'environnement de bureau. L'environnement de bureau est normalement sous laprotection des pare-feu d'entreprise, des filtres de paquet de frontière ou desserveurs d'antivirus. Par conséquent, il est normalement plus sécurisé que laplupart des environnements de domicile, où il n'existe qu'une protection defrontière limitée.

Lorsque vous installez la console pour la première fois, elle ajouteautomatiquement une politique de pare-feu par défaut à chaque groupe. Chaquefois que vous ajoutez un nouvel emplacement, la console copie automatiquementune politique de pare-feu à l'emplacement par défaut.

Si la protection par défaut n'est pas appropriée, vous pouvez personnaliser lapolitique de pare-feu pour chaque emplacement, comme pour un site domestiqueou un site client. Si vous ne voulez pas de la politique de pare-feu par défaut, vouspouvez la modifier ou la remplacer par une autre politique partagée.

Les politiques de pare-feu incluent les éléments suivants :

Les règles de filtrage sont des composants de politique quicontrôlent comment le pare-feu protège les ordinateurs dutrafic entrant et des applications malveillantes.Le pare-feuvérifie automatiquement touslespaquets entrant et sortantspar rapport à ces règles et autorise ou bloque les paquetsen fonction des informations spécifiées dans les règles.

Se reporter à "A propos des règlesde filtrage"à lapage 519.

Règles de filtrage

Paramètres de base de protection contre les menaces réseauA propos de l'utilisation des politiques de pare-feu

518



Autoriselestypesdetraficrequissurlaplupartdesréseauxtels que le trafic DHCP, DNS et WINS.

Se reporter à "Activation du filtrage de trafic intelligent"

à la page 537.

Filtres de trafic intelligents

Détecteet bloque le trafic en provenance de certains pilotes,protocoles et d'autres sources.

Se reporter à "Activation des paramètres de trafic et desparamètres furtifs" à la page 538.

Paramètres de trafic et defurtivité

Empêche un ordinateur distant de se connecter à unordinateur client tant que l'ordinateur client n'a pasauthentifié cet ordinateur distant.

Se reporter à "Configuration de l'authentification point à

point" à la page 539.

Paramètresd'authentification point àpoint

Vous pouvez définir un emplacement pour le contrôle client ou le contrôle mixteafin que l'utilisateur puisse personnaliser la politique de pare-feu.

Sereporterà"Configurer desparamètres de protectioncontrelesmenaces réseaupour la commande mélangée" à la page 559.

Vous créez et modifiez des politiques de pare-feu de la même manière que vouscréez et modifiez d'autres types de politiques. Vous pouvez attribuer, retirer,remplacer, copier, exporter, importer ou supprimer une politique de pare-feu.


Il est conseillé de maîtriser les principes de base de la configuration de politiquepour travailler avec les politiques.


A propos des règles de filtrageLes règles de filtrage contrôlent la manière dont le client protège l'ordinateurclient du trafic entrant et sortant malveillant. Le pare-feu vérifieautomatiquementtous les paquets entrants et sortantsen fonctionde cesrègles. Le pare-feu autoriseou bloquealorsles paquets en fonctiondes informations spécifiées dans les règles.Quand un ordinateur essaye de se connecter à un autre ordinateur, le pare-feucompare le type de connexion à sa liste de règles de filtrage.

Se reporter à "A propos des éléments d'une règle de filtrage" à la page 520.

Paramètres de base de protection contre les menaces réseauA propos des règles de filtrage



Se reporter à "A propos de l'ordre de traitement des règles" à la page 525.

Se reporter à "A propos de l'inspection Stateful" à la page 528.

A propos des éléments d'une règle de filtrage

Généralement une règle de pare-feu décrit les conditions dans lesquelles uneconnexion réseau peut être autorisée ou refusée. Vous utilisez les critères suivantspour définir une règle de pare-feu :

Applications, hôtes, protocoles et cartes réseau

Lorsque le pare-feu évalue la règle, tous les déclencheurs doivent êtrevrais pour qu'une correspondance positive se produise. Si aucundéclencheur n'est vrai par rapport au paquet actuel, le pare-feu ne peut

pas appliquer la règle. Vous pouvez combiner les définitions dedéclencheeur pour former des règles plus complexes, comme d'identifierun protocole particulier par rapport à une adresse de destinationspécifique.

Se reporter à "A propos des déclencheurs d'application" à la page 521.

Se reporter à "A propos des déclencheurs d'hôte" à la page 521.

Sereporterà "A proposdes déclencheursde service de réseau" àlapage523.

Se reporter à "A propos des déclencheurs de carte réseau" à la page 524.

Déclencheurs

Planification et état d'écran de veille

Les paramètresconditionnelsne décriventpas un aspect d'uneconnexionréseau. Au lieu de cela, les paramètres conditionnels déterminent l'étatactif d'une règle. Vous pouvez définir une planification ou identifier unétat d'écrande veille qui détermine quand une règle est considérée activeou inactive. Les paramètres conditionnels sont facultatifs et nonsignificatifs s'ils ne sont pas définis. Le pare-feu n'évalue pas les règlesinactives.

Conditions

Autoriser ou bloquer et consigner ou ne pas consigner

Les paramètresd'action spécifient quelles mesures le pare-feu prendquandil trouve une correspondance avec une règle. Si la règle correspond et est

sélectionnée en réponse à un paquet reçu, le pare-feu exécute toutes lesactions. Le pare-feuautorise ou bloquele paquetetconsigne oune consignepas le paquet. Si le pare-feu permet le trafic, il laisse le trafic spécifié parla règle accéder à votre réseau. Si le pare-feu bloque le trafic, il bloque letrafic spécifié par la règle de sorte qu'il n'accède pas au réseau.

Actions

Une règle qui combine tous les critères pourrait permettre le trafic de l'adresseIP 192.58.74.0 sur le port distant 80 entre 9 heures et 17 heures chaque jour.


520




A propos des déclencheurs d'application

Quand l'application est le seul déclencheur défini dans une règle qui autorise letrafic, le pare-feu permet à l'application d'effectuer n'importe quelle opérationréseau. L'application est la valeur significative, pas les opérations réseau quel'applicationeffectue. Parexemple, supposez quevous autorisiez Internet Exploreret ne définissiez aucun autre déclencheur. Les utilisateurs peuvent accéder auxsites distants qui utilisent HTTP, HTTPS, FTP, Gopher et n'importe quel autreprotocole que le navigateur Web prend en charge. Vous pouvez définir desdéclencheurs supplémentaires pour décrire les protocoles réseau et les hôtesparticuliers avec lesquels la communication est autorisée.

Il peut être difficile de dépanner des règles basées sur les applications parcequ'uneapplication peututiliserdesprotocoles multiples. Parexemple,si le pare-feutraiteune règle qui autorise Internet Explorer avant une règle qui bloque FTP,l'utilisateur peut encore communiquer avec FTP. L'utilisateur peut entrer uneURL basée sur FTP dans le navigateur, tel que ftp://ftp.symantec.com.

Il n'est pas recommandé d'utiliser desrègles d'application pour contrôler le traficau niveauréseau. Parexemple, unerègle quibloqueou limitel'utilisation d'InternetExplorer n'aura aucun effet si l'utilisateur utilise un autre navigateur Web. Letrafic que l'autre navigateur Web génère sera comparé à toutes les autres règlesexcepté la règle d'Internet Explorer. Les règles basées sur les applications sontplus efficaces quand elles sont configurées pour bloquer les applications qui

envoient et reçoivent le trafic.

Remarque : Si Trend Micro PC-cillin IS 2007 et le client Symantec EndpointProtection sont installés sur le même ordinateur, les règles de pare-feu pour unnavigateur Web spécifique ne fonctionnent pas. Trend Micro PC-cillin fournit letrafic web à son propre logiciel de proxy. Dans Trend Micro PC-cillin, vous devezdésactiver lescontrôlesd'accès du site Web et l'option de prévention desmenacesde données.


A propos des déclencheurs d'hôte

Quand vous définissez des déclencheurs d'hôte, vous spécifiez l'hôte des deuxcôtés de la connexion réseau décrite.

Traditionnellement, le moyen d'exprimer la relation entre les hôtes est désignécomme étant la source ou la destination d'une connexion réseau.




Vous pouvez définir la relation entre les hôtes de l'une ou l'autre des manièressuivantes :

L'hôte source et l'hôte de destination dépendent de la directiondu trafic. Dans un cas, l'ordinateur client local peut être lasource, tandis que dans un autre cas l'ordinateur distant peutêtre la source.

La relation entre la source et la destination est plusgénéralement utilisée dans les pare-feu réseau.

Source et destination

L'hôte local est toujoursl'ordinateurclient local et l'hôte distantest toujours un ordinateur distant placé ailleurs sur le réseau.Cette expression du rapport d'hôte est indépendante de ladirection du trafic.

La relation local et distant est plus généralement utilisée dansles pare-feu basés sur l'hôte et constitue un moyen plus simplepour observer le trafic.

Local et distant

Figure 28-2 illustre la relation entre la source et la destination par rapport à ladirection du trafic.

Figure 28-2 Le rapport entre les hôtes source et les hôtes de destination

`

Client SEPSymantec.com

HTTP

`

Autre client

`

Client SEP

RDP

Source Destination

SourceDestination

Figure 28-3 illustre la relation entre l'hôte local et l'hôte distant par rapport à ladirection du trafic.


522



Figure 28-3 Le rapport entre les hôtes locaux et distants

`

Client SEPSymantec.com

HTTP

`

Autre client

`

Client SEP

RDP

Local Distant

DistantLocal

Vous pouvez définir plusieurs hôtes source et plusieurs hôtes de destination. Leshôtes quevous définissez de chaquecôté de la connexionsont évalués en utilisantune instruction OR (OU). La relation entre les hôtes sélectionnés est évaluée enutilisant une instruction AND (ET).

Par exemple, considérez une règle qui définit un hôte local unique et plusieurshôtes distants. Lorsque le pare-feu examine les paquets, l'hôte local doitcorrespondre à l'adresse IP appropriée. Cependant, les côtés opposés de l'adresse

peuvent être en correspondance avec n'importe quel hôte distant. Par exemple,vous pouvez définir unerègle pour autoriserla communication HTTP entre l'hôtelocal et symantec.com, yahoo.com ou google.com. La règle unique revient à troisrègles.

Se reporter à "Ajout d'hôtes et de groupes d'hôtes à une règle" à la page 562.


A propos des déclencheurs de service de réseau

Un déclencheur de service réseau identifie un ou plusieurs protocoles réseau qui

sont significatifs par rapport au trafic réseau décrit.Vous pouvez définir les types de protocoles suivants :

Ports ou plages de portsTCP

Ports ou plages de portsUDP

Type et codeICMP




Numéro de protocole (type d'IP)

Exemples : Type 1 = ICMP, Type 6 = TCP, Type 17 = UDP

IP

Type de structure EthernetExemples : Type 0x0800 = IPv4, Type = 0x8BDD = IPv6, Type0x8137 = IPX

Ethernet

Quand vous définissez des déclencheurs de service basés sur TCP ou basés surUDP, vous identifiez les ports des deux côtés de la connexion réseau décrite.Traditionnellement, les ports sont désignés comme source ou comme destinationd'une connexion réseau.

Vous pouvez définir la relation du service réseau de l'une ou l'autre des manièressuivantes :

Le port source et le port de destinationdépendent de la directiondu trafic. Dans un cas l'ordinateur client local peut détenir leport source, tandis que dans un autre cas l'ordinateur distantpeut détenir le port source.

Source et destination

L'ordinateur d'hôte local possède toujours le port local etl'ordinateur distant possède toujours le port distant. Cetteexpression de la relation de ports est est indépendante de ladirection du trafic.

Local et distant

Vous spécifiez la direction du trafic quand vous définissez le protocole.Vous pouvez définir plusieurs protocoles. Par exemple, une règle peut inclure lesprotocoles ICMP, IP et TCP. La règle décrit plusieurs types de connexion quipeuvent intervenir entre les ordinateurs client identifiés ou utilisés par uneapplication.


A propos des déclencheurs de carte réseau

Lorsque vous définissez un déclencheur de carte réseau, la règle est appropriée

seulement au trafic qui est transmis ou reçu en utilisant le type spécifié de carte.Vous pouvez spécifier un des types de cartes suivants :

■ Ethernet

■ Sans fil

■ A distance

■ Tout VPN


524



■ Cartes virtuelles spécifiques

Quand vous définissez un type particulier de carte, vous devez considérer sonutilisation. Par exemple, si une règle permet le trafic HTTP sortant des cartes

Ethernet,HTTP est autorisépartoutes lescartes installées du même type. Il existeune seule exception si vous spécifiez également des adresses d'hôte local.L'ordinateur client peut utiliser des serveurs avec plusieurs cartes d'interfaceréseau et les stations de travail qui relient deux segments de réseau ou plus. Pourcontrôler le trafic relativement à une carte particulière, le schéma d'adressage dechaque segment doit être utilisé plutôt que la carte elle-même.


A propos de l'ordre de traitement des règles

Les règles de filtrage sont classées séquentiellement, de la priorité la plus élevéeà la priorité la plus basse ou du haut vers le bas dans la liste Règles. Le pare-feuexamine les règles dans cet ordre. Si la première règle ne spécifie pas commenttraiter un paquet, le pare-feu examine la deuxième pour obtenir des informationssur la manière de traiter un paquet. Ce processus se poursuit jusqu'à ce que lepare-feu trouve une correspondance. Une fois qu'il a trouvé une correspondance,le pare-feu effectue l'action que la règle spécifie et lesrèglesde priorité inférieuresuivantesne sont pasexaminées. Par exemple, si unerègle quibloquetout le traficest répertoriée en premier et est suivie d'une règle qui autorise tout le trafic, leclient bloque tout le trafic.

Tableau 28-1 Ordre de traitement des règles de filtrage, des signatures IPS et des

paramètres

ParamètrePriorité

Signatures IPD personnaliséesPremier

Paramètresde préventiond'intrusion, paramètresde trafic et paramètresfurtifs

Second

Filtres intelligents de traficTroisième

Règles de filtrageQuatrième

Vérification d'analyse de portCinquième

Signatures IPS téléchargées via LiveUpdateSixième

La liste Règles contient une ligne de démarcation bleue. La ligne de démarcationdéfinit la priorité des règles dans les situations suivantes :

■ Quand un sous-groupe hérite des règles d'un groupe parent.




■ Quand le client est défini sur un contrôle mixe. Le pare-feu traite les règles deserveur et les règles client.

Figure 28-4 liste Règles


A propos des règles héritées

Le pare-feu traite les règles de filtrage héritées dans la liste Règles, comme suit :

■ Au-delà de la ligne séparatricebleue, lesrèglesdont hérite la politiqueprimentsur les règlent que vous créez.

■ Sous la ligne de démarcation bleue, les règles que vous créez ont la prioritésur les règles dont la politique hérite.

Figure 28-5 indique dans quel ordre la liste Règles organise les règles lorsqu'unsous-groupe hérite des règles d'un groupe parent. Dans cet exemple, le groupe deventes est le groupe parent. Le groupe de ventes de l'Europe hérite du groupe deventes.


526



Figure 28-5 Exemple d'héritage des règles de filtrage

Groupe

Vente

Groupe Vente

Europe

Prioritaire

Groupe Vente

Europe

Vente Europe hérite des

règles de filtrage de Vente

Prioritaire

Règle 1 Règle 3

Règle 4Règle 2

Règle 2

Règle 4

Règle 3

Règle 1

Ligne bleue Ligne bleue Ligne bleue

Se reporter à "Ajouter des règles héritées d'un groupe parent" à la page 534.

A propos des règles de serveur et des règles de client

Il existe deux catégories de règles : les règles de serveur et les règles de client. Lesrèglesdeserveur sont lesrèglesquevous créez dans Symantec Endpoint Protection

Manager et qui sont téléchargées vers le client Symantec Endpoint Protection.Les règles de client sont les règles que l'utilisateur crée sur le client.

Tableau 28-2 décrit le rapport entre le niveau de contrôle de l'utilisateur du clientet l'interaction de l'utilisateur avec les règles de filtrage.

Tableau 28-2 Etat de niveau de contrôle et de règle de l'utilisateur

Interaction utilisateurNiveau de contrôle de

l'utilisateur

Le client reçoit des règles du serveur mais l'utilisateur ne peutpas les afficher. L'utilisateur ne peut pas créer des règles declient.

Contrôle du serveur

Le client reçoit des règles de serveur. L'utilisateur peut créerdes règles de client, qui sont fusionnées avec les règles deserveur et les paramètres de sécurité de client.

Contrôle mixte

Le client ne reçoit pas les règles de serveur. L'utilisateur peutcréer desrèglesde client. Vous ne pouvezpas afficher lesrèglesde client.

Contrôle client




Sereporterà"Configuration des paramètres d'interface utilisateur"àlapage183.

Pour les clients du contrôle mixte, le pare - feu traite les règles de serveur et lesrègles de client dans un ordre précis.

Tableau 28-3 établit l'ordre de traitement des règles de serveur, des règles declient et des paramètres de client par le pare-feu.

Tableau 28-3 Priorité de traitement des règles de serveur et des règles de client

Type ou paramètre de règlePriorité

Règles de serveur avec niveaux de priorité élevés (règlesau-dessus de la ligne bleue de la liste Règles)

Premier

Règles de clientSecond

Règles de serveur avec niveaux de priorité inférieurs (règles endessous de la ligne bleue de la liste Règles)

Sur le client, les règles de serveur en dessous de la ligne bleuesont traitées après les règles de client.

Troisième

Paramètres de sécurité de clientQuatrième

Paramètres de client spécifiques à des applicationsCinquième

Sur le client, les utilisateurs peuvent modifier une règle ou un paramètre desécurité de client, mais les utilisateurs ne peuvent pas modifier une règle de

serveur.

Avertissement : Si le client est en contrôle mixte, les utilisateurs peuvent créerunerègle de client quiautorise tout le trafic. Cette règle remplace toutes lesrèglesde serveur en dessous de la ligne bleue.

Se reporter à "Modification de l'ordre des règles" à la page 536.

A propos de l'inspection Stateful

Le pare-feu utilise uneinspectiondynamique despaquets, processusqui surveilleles informations sur les connexions en cours, telles que les adresses IP source etde destination, les ports et les applications. Le client prend des décisions sur letrafic en utilisant ces informations de connexion avant d'examiner les règles defiltrage.

Par exemple, si une règle de filtrage autorise un client à se connecter à un serveurWeb, le pare-feu consigne les informations de connexion. Lorsque le serveurrépond, le pare-feu découvrequ'une réponse du serveur Webau client est attendue


528



et autorise le trafic du serveur Web vers le client ayant initié la connexion sansinspecter la base de règle. Une règle doit autoriser le trafic sortant initial avantque le pare-feu ne consigne la connexion.

L'inspection dynamique des paquets permet de simplifier les bases de règle dansla mesure où il est inutile de créer des règles qui autorisent le trafic dans les deuxsens, pour le trafic habituellement transmis dans un seul sens. Le trafic clientgénéralement initié dans une direction inclut Telnet (port 23), HTTP (port 80) etHTTPS (port 443). Les clients initient ce trafic vers la sortie de sorte qu'il voussuffit decréer une règle autorisant le trafic sortant pour ces protocoles. Le pare-feuautorise le trafic de retour.

En ne configurant que des règles sortantes, vous augmentez la sécurité clientcomme suit :

■ En réduisant la complexité de la base de règle.

■ En supprimant la possibilité qu'un verou autre programmemalveillant puisseétablir des connexions avec un client sur les ports configurés pour le traficsortant uniquement. Vous pouvez également ne configurer que des règles detrafic entrant pour le trafic vers des clients qui n'en sont pas les initiateurs.

L'inspection Stateful prend en charge toutes les règles qui régissent le trafic TCP.L'inspection Stateful ne prend pas en charge les règles qui filtrent le trafic ICMP.Pour le trafic ICMP, vous devez créer les règles autorisant le trafic dans les deuxdirections lorsque c'est nécessaire. Par exemple, si vous souhaitez que les clientsutilisent la commande ping et reçoivent des réponses, vous devez créer une règle

autorisant le trafic ICMP dans les deux directions.Le pare-feu étant à état, il vous suffit de créer des règles qui établissent uneconnexion, et non les caractéristiques d'un paquet particulier. Tous les paquetspropres à une connexion autorisée sont implicitement autorisés en tant queconstituant intégral de cette même connexion.


A propos des connexions UDP

Dans le cas des communications UDP, le client analyse le premier datagramme

UDPet applique l'action effectuéesurcelui-ci à tous lesdatagrammesUDPsuivantsde la session en cours. Le trafic entrant ou sortant entre les mêmes ordinateursest considéré comme faisant partie de la connexion UDP.

Pour le trafic UDP à l'état activé, quand une connexion UDP est établie, lacommunication UDPentrante estautorisée, même si la règle de filtrage la bloque.Par exemple, si une règle bloque les communications UDP entrantes pour uneapplication spécifique mais que vous choisissez d'autoriser un datagramme UDPsortant, toutes les communications UDPentrantessont autorisées pour la session




actuelle de l'application. Pour le trafic UDP sans état, vous devez créer une règlede filtrage pour autoriser la réponse de communication UDP entrante.

Une session UDP expire au bout de 40 secondes si l'application ferme le port.

Ajouter des règles viergesQuand vous créez une nouvelle politique de pare-feu, elle inclut plusieurs règlespar défaut. Les règles par défaut vous donnent la protection de base pour unenvironnement de bureau. Si vous avez besoin de règles de pare-feusupplémentaires, vous pouvez les ajouter.

Vous pouvez ajouter des règles comme suit :

■ Ajoutez une règle vierge à la liste, puis configurez-la manuellement.

■ Exécutez l'assistant de création de règles de filtrage.

Se reporter à "Ajouter des règles avec un assistant" à la page 533.

Pour simplifier la gestion de la base de règle, vous devez spécifier le trafic entrantet sortant dans la règle autant que possible. Vous n'avez pas besoin de créer desrègles entrantes pour le trafic tel que HTTP. Le client Symantec EndpointProtection utilise l'inspection "Stateful" pour le trafic TCP et n'a pas besoin d'unerègle pour filtrer le trafic de retour initié par les clients.

Se reporter à "A propos de l'inspection Stateful" à la page 528.

Pour ajouter des règles vierges

1 Dans la console, ouvrez une politique de pare-feu.


2 Dans la page Politique de pare-feu, cliquez sur Règles.

3 Dans l'onglet Règles, sous la listeRègles, cliquez surAjouterunerèglevierge.

4 Dans la zone de texte Nom, entrez le nom de la règle.

5 Dans le champ Gravité, cliquez sur la liste déroulante et sélectionnez une desoptions suivantes :

■

Critique■ Majeur

■ Mineur

■ Information

Paramètres de base de protection contre les menaces réseauAjouter des règles vierges

530



6 Cliquez avec le bouton droit de la souris sur le champ Application, cliquezsur Edition et dans la boîte de dialogue Liste d'applications, définissez uneapplication.

Se reporter à "Ajouter des applications à une règle" à la page 570.

7 Cliquez sur OK, puis sur OK de nouveau.

8 Cliquez avec le bouton droit delasouris sur lechamp Hôte, cliquez sur Edition

et dans la liste Hôte, définissez un hôte.

Se reporter à "Ajout d'hôtes et de groupes d'hôtes à une règle" à la page 562.


10 Cliquez avec le bouton droit de la souris sur le champ Heure, cliquez surEdition, puis définissez une planification.

Se reporter à "Ajout de planifications à une règle" à la page 572.


12 Cliquez avec le bouton droit de la souris sur le champ Service, puis cliquezsur Modifier pour ajouter ou configurer un service de réseau personnalisé.

Se reporter à "Ajout des services réseau à une règle" à la page 565.

13 Cliquez sur OK.

14 Cliquez avec le bouton droit de la souris sur le champ Adaptateur etsélectionnez un ou plusieurs des éléments suivants :

■ Tous les adaptateurs

■ Tout VPN

■ A distance

■ Ethernet

■ Sans fil

■ Plus d'adaptateurs

Vous pouvez ajouter des adaptateurs spécifiques au fabricant en lessélectionnant dans une liste

Se reporter à "Ajouter des adaptateurs réseau" à la page 568.

15 Cliquez avec le bouton droit de la souris sur le champ Ecran de veille etsélectionnez l'état de ce dernier :

■ Activé

■ Désactivé

■ N'importe lequel




16 Cliquez avec le bouton droit de la souris sur le champ Opération etsélectionnez l'action que vous voulez que le pare-feu effectue quand le traficcorrespond à la règle :

■ Autoriser

■ Bloquer

■ Demander

17 Cliquez avec le bouton droit de la souris sur le champ Consignation etsélectionnez une ou plusieurs actions de consignation que vous voulez quele pare-feu prenne quand le trafic correspond à la règle :

■ Enregistrer dans le journal de trafic

■ Enregistrer dans le journal des paquets

■ Envoyer une alerte par message électronique

Se reporter à "Configurer les messagesélectroniquespourles événementsde trafic" à la page 574.

Le champ Créé à n'est pas modifiable. Si la politique est partagée, le champaffiche le terme Partagé. Si la politique n'est pas partagée, le champ affichele nom du groupe auquel la politique non-partagée est attribuée.

18 Cliquez avec le bouton droit de la souris sur le champ Description et puiscliquez sur Edition.

19 Dans la boîte de dialogue Saisissez la description, tapez une description

facultative pour la règle et cliquez sur OK.

20 Quand vous avez terminé d'ajouter la règle, effectuez l'une des opérationssuivantes :

■ Ajoutez une nouvelle règle.

■ Ajoutez les paramètres de filtrage de trafic intelligent ou les paramètresde trafic et de discrétion.


Se reporter à "Activation des paramètres de trafic et des paramètresfurtifs" à la page 538.

■ Si vous en avez terminé avec la configuration de la politique, cliquez surOK.

21 Le cas échéant, attribuez la politique à un emplacement.



532



Ajouter des règles avec un assistantUtilisez l'assistant de règle de filtrage pour créer l'un des types de règlessuivants :

Une règle qui est basée sur un processus spécifique en coursd'exécution qui tente d'utiliser des ressources réseau.

Règles d'application

Une règle qui est basée sur les terminaux clients des connexionsréseau.

Règles de l'hôte

Une règle qui est basée sur les protocoles qui sont utilisés par desconnexions réseau.

Règles de service

Il se peut quevous deviez inclure deux critères ou plus pour décrire le trafic réseauspécifique, tel qu'un protocoleparticulier qui provient d'un hôte spécifique. Vous

devez configurer la règle après l'avoir ajoutée, parce que l'assistant de règle defiltrage ne configure pas de nouvelles règles avec plusieurs critères.

Quand vous vous êtes familiarisé avec la façon dont des règles sont définies ettraitées, ll se peut que vous vouliez ajouter des règles vierges et configurer lesdivers champs selon les besoins. Une règle vierge autorise tout le trafic.

Se reporter à "Ajouter des règles vierges" à la page 530.

Pour ajouter des règles avec un assistant


Se reporter à "Modifier une politique" à la page 104.2 Sur la page de politique de pare-feu, cliquez sur Règles.

3 Dans l'onglet Règles, sous la liste Règles, cliquez sur Ajouter une règle.

4 Dans l'assistant de règle de filtrage, cliquez sur Suivant.

5 Dans le panneau Sélectionner un type de règle, sélectionnez un des types derègles.


7 Entrez les données sur chaque panneau pour créer le type de règle que vous

avez sélectionné.8 Pour des applications et des hôtes, cliquez sur Ajouter d'autres pour ajouter

des applications et des services supplémentaires.

9 Lorsque vous avez terminé, cliquez sur Terminer.

10 Dans la liste Règles, cliquez avec le bouton droit de la souris sur n'importequel champ pour modifier la règle.

11 Quand vous avez terminé la configuration de cette politique, cliquez sur OK.

Paramètres de base de protection contre les menaces réseauAjouter des règles avec un assistant



Ajouter des règles héritées d'un groupe parentVous pouvez ajouter des règles en héritant seulement les règles d'un groupe

parent. Pour hériter les règles d'un groupe parent, la politique du sous-groupedoit être une politique non partagé.

Remarque : Si le groupe hérite toutes ses politiques d'un groupe parent, cetteoption est indisponible.

Des règles héritées sont automatiquement activées. La politique du sous-groupepeut hériter seulement des règlesde filtrage quisont activées surle groupeparent.Quand vousavez hérité des règles, vouspouvez les désactiver, mais vous ne pouvezpas les modifier. Quand les nouvelles règles sont ajoutées à la politique du groupe

parent, les nouvelles règles sont automatiquement ajoutées à la politiqued'héritage.

Quand les règles héritées apparaissent dans la liste Règles, elles sont ombrées enviolet. Au-dessus de la ligne bleue, les règles héritées sont ajoutées au-dessus desrègles que vous avez créées. Au-dessous de la ligne bleue, les règles héritées sontajoutées au-dessous des règles que vous avez créées.

Unepolitiquede pare-feu hérite également desrèglespardéfaut, ainsi la politiquede pare-feudu sous-groupepeut avoir deux jeux de règlespardéfaut. Vous pouvezvouloir supprimer un jeu de règles par défaut.

Si vous voulez supprimer les règles héritées, vous annulez l'héritage plutôt quede les supprimer. Vous devez supprimer toutes les règles héritées plutôt que lesrègles sélectionnées.

Pour ajouter des règles héritées d'un groupe parent



2 Sur la page de politique de pare-feu, cliquez sur Règles.

3 Dans l'onglet Règles, au-dessus de la liste Règles, cochez Hériter des règles

de filtrage du groupe parent.

Pour supprimer les règles héritées, supprimez la coche Hériter desrègles de

filtrage du groupe parent.

4 Cliquez sur OK.

Paramètres de base de protection contre les menaces réseauAjouter des règles héritées d'un groupe parent

534



Importation et exportation de règlesVous pouvez exporter et importer les règles et paramètres d'une autre politique

de pare-feu, ce qui vous évite d'avoir à les récréer. Par exemple, vous pouvezimporterun groupede règles partiel d'une politique dans uneautre. Pour importerdes règles, vous devezd'abord exporter les règles vers un fichier .dat et avoir accèsà ce fichier.

Lesrèglessont ajoutées dans l'ordre où elles apparaissentdans la politique parente,parrapport à la ligne bleue. Vous pouvez ensuitemodifier leur ordre detraitement.

Pour exporter des règles



2 Dans la page Firewall Policy, cliquez sur Règles.

3 Dans la liste Règles, sélectionnez les règlesque vous voulez exporter, cliquezavec le bouton droit de la souris et cliquez sur Exporter.

4 Dans la boîte de dialogue Exporter la politique, localisez un répertoire pourenregistrerlefichier .dat, tapez un nom defichier et puis cliquez sur Exporter.

Pour importer des règles




3 Cliquez avec le bouton droit de la souris sur la liste Règles, puis cliquez surImporter.

4 Dans la boîte de dialogue Importer la politique, localisez le fichier .dat quicontient les règles de filtrage à importer et cliquez sur Importer.

5 Dans la boîte de dialogue Entrée, tapez le nouveau nom de la politique, puiscliquez sur OK.

6 Cliquez sur OK.

Copier et coller des règlesVous pouvez copier et coller des règles de la même politique ou d'une politiquedifférente.

Paramètres de base de protection contre les menaces réseauImportation et exportation de règles



Pour copier et coller des règles




3 Dans l'onglet Règles, cliquez avec le bouton droit de la souris sur la règle quevous voulez copier, puis cliquez sur Copier la règle.

4 Cliquez avec le bouton droit de la souris sur la ligne où vous voulez coller larègle, puis cliquez sur Coller la règle.

5 Cliquez sur OK.

Modification de l'ordre des règlesLe pare-feu traite la liste des règles de pare-feu de haut en bas. Vous pouvezdéterminer comment le pare-feu traite les règles de pare-feu en modifiant leurordre. Lorsque vous modifiez l'ordre, ce changement ne concerne quel'emplacement sélectionné.

Pour modifier l'ordre des règles



2 Dans la page de politique de pare-feu, cliquez sur Règles, puis sélectionnezla règle que vous voulez déplacer.


■ Pour traiter cette règle avant la règle précédente, cliquez sur Verslehaut.

■ Pour traiter cette règle après la règle qui se trouve au-dessous de elle,cliquez sur Vers le bas.

4 Cliquez sur OK.

Activer et désactiver des règlesLes règles doivent être activées pour que le pare-feu les traite. Vous pouvezdésactiver une règle de filtrage si vous devez accorder un accès spécifique à unordinateur ou un programme. La règle est désactivée pour tous les emplacementss'il s'agit d'une politique partagée et pour un seul emplacement s'il s'agit d'unepolitique spécifique à un emplacement. La règle est également désactivée pourtoutes les politiques héritées.

Paramètres de base de protection contre les menaces réseauModification de l'ordre des règles

536



Pour activer et désactiver des règles




3 Dans l'onglet Règles, sélectionnez la règle que vous voulez activer oudésactiver, puis cochez ou décochez la case dans la colonne Activée.

4 Cliquez sur OK.

Activation du filtrage de trafic intelligentLes filtres de trafic intelligents permettent la communication entre certains

services réseau de sorte que vous n'avez pas besoin de définir les règles quipermettentexplicitement ces services.Les filtres de trafic intelligents permettentd'effectuer les demandes sortantes et les réponses entrantes sur les connexionsréseau configurées pour utiliser DHCP, DNS et WINS.

Les filtres permettent aux clients DHCP, DNS ou WINS de recevoir une adresseIP d'un serveur tout en protégeant les clients contre des attaques à partir duréseau.

■ Si le client envoie une demande au serveur, le client attend cinq secondes pourpermettre une réponse entrante.

■

Si le client n'envoie pas de demande au serveur, chaque filtre ne permet pasle paquet.

Les filtres intelligents permettent le paquet si une demande a été faite. Ils nebloquent pas des paquets. Les règles de filtrage permettent ou bloquent despaquets.

Remarque : Pour configurer ces paramètres dans le contrôle mixte, vous devezégalementactivercesparamètres dans la boîte de dialogue Paramètresdecontrôle

mixtes de l'interface utilisateur du client.


Pour activer le filtrage de trafic intelligent



2 Dans la page Politique de pare-feu, cliquez sur Filtres de trafic intelligents.

3 Si elles ne sont pas déjà cochées, cochez les cases suivantes à votre gré :

Paramètres de base de protection contre les menaces réseauActivation du filtrage de trafic intelligent



■ Activer le DHCP intelligent

■ Activer le DNS intelligent

■

Activer le WINS intelligentPour plus d'informations sur ces options, cliquez sur Aide.

4 Cliquez sur OK.



Activation des paramètres de trafic et des paramètres

furtifs Vous pouvez permettre à divers paramètres du trafic et paramètres furtifs denavigation webde se protéger contrecertains types d'attaques réseausurle client.Vous pouvez permettre à des paramètres de trafic de détecter et de bloquer letraficquicommunique parles pilotes, NetBIOS et les anneaux à jeton. Vous pouvezégalementconfigurer desparamètres pour détecter le trafic quiutilisedesattaquesmoins visibles. Vous pouvez également contrôler le comportement du trafic IP necorrespondant à aucune règle de filtrage. Dès que le pare-feu termine certainesopérations, la commande est transmise à un certain nombre de composants.Chaquecomposantestconçu pour effectuerun type différent d'analyse de paquet.

Remarque : Pour configurer ces paramètres en mode contrôle mixte, vous devezégalement les activer dans la boîte de dialogue Paramètres de contrôle mixtes del'interface utilisateur du client.


Pour activer les paramètres de trafic et les paramètres furtifs



2 Dans la page Politique de pare-feu, cliquez sur Paramètres de trafic et de

furtivité.

3 Si une case à cocher n'est pas déjà cochée, cochez toute cases à cocher de lazone de groupe Paramètres du trafic et la zone de groupe Paramètres furtifs.


Paramètres de base de protection contre les menaces réseauActivation des paramètres de trafic et des paramètres furtifs

538



4 Cliquez sur OK.



Configuration de l'authentification point à pointVous pouvez utiliser l'authentification point à point pour autoriserun ordinateurclient distant (homologue) à se connecter à un autre ordinateur client(authentificateur) sur le même réseau d'entreprise. L'authentificateur bloquetemporairement le trafic TCP et UDP entrant de l'ordinateur distant jusqu'à ceque ce dernier réussisse la vérification de l'intégrité de l'hôte.

La vérification de l'intégrité de l'hôte permet de contrôler les caractéristiques

suivantes de l'ordinateur distant :

■ Symantec Endpoint Protection et Symantec Network Access Control sontinstallés sur l'ordinateur distant.

■ L'ordinateur distant répond aux conditions requises par les politiquesd'intégrité de l'hôte.

Si l'ordinateur distant réussit la vérification de l'intégrité de l'hôte,l'authentificateur autorise sa connexion.

Si l'ordinateur distant échoue à la vérification de l'intégrité de l'hôte,l'authentificateurcontinue de le bloquer. Vouspouvez également spécifier le délai

de blocage de l'ordinateur distant avant toute nouvelle tentative de reconnexionà l'authentificateur.Il estpossiblede toujours autoriser la connexion pour certainsordinateurs distants, même s'ils échouent à la vérification de l'intégrité de l'hôte.Si vous n'activez pas de politique d'intégrité de l'hôte pour l'ordinateur distant,celui-ci réussit la vérification.

Les informations d'authentification point à point sont affichées dans le journalde conformité de client Enforcer et dans le journal de trafic de protection contreles menaces réseau.

Remarque : L'authentification point à point est possible en mode commandeserveur et commande mixte, mais pas en mode contrôle client.

Avertissement : N'activez pas l'authentification point à point pour les clientsinstallés sur le même ordinateur que le serveur de gestion. Dans ce cas, le serveurde gestion ne peut pascharger lespolitiquesvers l'ordinateurdistant si ce dernieréchoue à la vérification de l'intégrité de l'hôte.

Paramètres de base de protection contre les menaces réseauConfiguration de l'authentification point à point



Pour configurer l'authentification point à point



2 Dans la page Politique depare-feu, cliquez sur Paramètresd'authentification

point à point.

3 Dans le volet Paramètres d'authentification point à point, cochez Activer

l'authentification point à point.

4 Configurez chacune des valeurs figurant dans la liste de cette page.


5 Pour autoriser des ordinateurs distants à se connecter à l'ordinateur clientsans authentification, cochez Exclure les hôtes de l'authentification, puis

cliquez sur Hôtes exclus.

L'ordinateur client autorise le trafic vers lesordinateurs figurant dans la listedes hôtes.

6 Dans la boîte de dialogue Hôtes exclus, cliquez sur Ajouter pour ajouter lesordinateurs distants dont l'authentification n'est pas nécessaire.

7 Dans la boîte de dialogue Hôte, définissez l'hôte à l'aide de l'adresse IP, de laplage d'IP, ou du sous-réseau, puis cliquez sur OK.

8 Dans la boîte de dialogue Hôtes exclus, cliquez sur OK.

9 Quand vous avez terminé la configuration de cette politique, cliquez sur OK.10 Le cas échéant, attribuez la politique à un emplacement.


Paramètres de base de protection contre les menaces réseauConfiguration de l'authentification point à point

540



Configuration de laprévention d'intrusion


■ A propos du système de prévention d'intrusion

■ Configuration de la prévention d'intrusion

■ Création de signatures IPS personnalisées

A propos du système de prévention d'intrusion

Le système de prévention d'intrusion (IPS) est la deuxième couche du clientSymantec Endpoint Protection assurant la défense après le pare-feu. Le systèmede prévention d'intrusion est un système basé sur le réseau qui fonctionne surchaque ordinateur sur lequel le client est installé et le système de préventiond'intrusion est activé. Si une attaque connue est détectée, une ou plusieurstechnologies de prévention d'intrusion peuvent automatiquement la bloquer.

Le système de prévention d'intrusion analyse chaque paquet qui entre et sort desordinateurs du réseau pour des signatures d'attaque. Les signatures d'attaquesont les séquences de paquets qui identifient la tentative d'un attaquant des'infiltrer dans un système d'exploitation connu ou d'exploiter la vulnérabilité

d'un programme.

Si les informations correspondent à une attaque connue, IPS rejetteautomatiquement le paquet. IPS peut également interrompre la connexion avecl'ordinateur qui a envoyé les données pendant un laps de temps spécifié. Cettefonction est appelée intervention active et elle protège les ordinateurs de votreréseau contre tout dommage.

29Chapitre



Le client inclut les types suivants de moteurs IPS pour identifier les signaturesd'attaque.

Les signatures IPS de Symantec utilisent un moteur basésur fluxpouranalyser des paquetsmultiples. Les signaturesIPS Symantec interceptent les données réseau dans lacouche de session et capturent les segments de messageenvoyés entre une application et la pile réseau.

Se reporter à "A propos des signatures IPS Symantec"à la page 542.

Signatures IPS de Symantec

Les signatures IPS personnalisées utilisent un moteur basésur paquet qui analyse chaque paquet individuellement.

Se reporter à "A propos des signatures IPS personnalisées"

à la page 543.

Signatures IPDpersonnalisées

Le système de prévention d'intrusion consigne les attaques détectées dans le journal de sécurité. Vous pouvez permettre aux signatures IPS personnalisées deconsigner des attaques détectées dans le journal des paquets.

A propos des signatures IPS Symantec

IPS Symantec examine les paquets de deux manières. Elle analyse chaque paquetindividuellement pour rechercher les modèles de données non conformes auxspécifications et pouvant bloquer la pile TCP/IP. Elle contrôle également lespaquets en tant queflux d'informations. Elle procède à un contrôle en recherchantles commandes orientées sur un service particulier pour exploiter ou bloquer lesystème. Par ailleurs, IPS peut mémoriserla liste desmodèles ou modèles partielsde paquets précédents et appliqur ces informationsauxinspections suivantes despaquets.

Pour détecter et bloquer lesactivités réseau douteuses, IPS s'appuie sur une vasteliste de signatures d'attaque. L'équipe Symantec Security Response fournit la listedes menaces connues, que vous pouvez mettre à jour sur le client en utilisantSymantec LiveUpdate. Téléchargez les signatures vers la console, puis utilisezunepolitiquedecontenuLiveUpdatepourlestéléchargerversleclient.LemoteurSymantec IPS et le jeu correspondant de signatures IPS sont installés sur le clientpar défaut.

Se reporterà "Configuration d'une politique de contenu LiveUpdate" àlapage153.

Vous pouvez également modifier le comportement des signatures IPS Symantec.

Sereporterà "Modifier lecomportementdessignaturesIPS Symantec"àlapage546.

Configuration de la prévention d'intrusionA propos du système de prévention d'intrusion

542



A propos des signatures IPS personnalisées

Le clientcontient un moteurIPS supplémentaire quiprend en chargelessignaturesbasées surpaquet. Tant le moteurbasé sur flux quecelui basé sur paquetdétectentlessignaturesdans lesdonnées réseauqui attaquent la pileTCP/IP, lescomposantsdu système d'exploitation et la couche application. Cependant, les signaturesbasées sur paquet peuvent détecter des attaques dans la pile TCP/IP plus tôt queles signatures basées sur flux.

Le moteurbasé surpaquetnedétecte paslessignatures couvrant plusieurspaquets.Le moteur IPS basé sur paquet est plus limité, car il ne bufferise pas lescorrespondances partielles et analyse seulement les résultats d'activation depaquets uniques.

les signatures basées sur paquet examinent un paquet unique qui correspond à

une règle. La règle est basée sur divers critères, tels que le port, le protocole, lasource ou l'adresse IP de destination, le numéro d'indicateur TCP ou uneapplication. Par exemple, une signature personnalisée peut contrôler les paquetsde données qui sont reçus pour la chaîne "phf" dans GET / cgi-bin/phf? commeindicateur d'une attaque de programme CGI. Chaque paquet est évalué pour cemodèle spécifique. Si le paquet de trafic correspond à la règle, le client permet oubloque le paquet et consigne éventuellement l'événement dans le journal despaquets.

Une signature IPS personnalisée inclut les éléments suivants :

■ Nom descriptif

Le nom et la description apparaissent dans le journal de sécurité et sur optiondans le journal des paquets.

■ Description facultative

■ Gravité

Fournit un niveau de gravité pour l'événement dans le journal de sécurité sil'événement déclenche la signature.

■ Direction du trafic

■ Contenu

Le contenu est la syntaxe. Utilisez la syntaxe standard suivante :

règle type_protocole, [options_protocole,] [options_protocole_IP ,

message, contenu...

■ règle type_protocole, [options_protocole,] [option_protocole_IP ,] = descriptiondu trafic

■ message = chaîne de texte qui apparaît dans le journal de sécurité.

Configuration de la prévention d'intrusionA propos du système de prévention d'intrusion



■ contenu = chaîne comparée au composant de charge utile dans le paquetpour une correspondance possible.

■ Application facultative

En option, vous pouvez fournir le nom de l'application qui déclenche lasignature. Le moteur IPS peut alors faire correspondre la signature pourseulement les applications spécifiées au lieu de toutes les applications. Enfournissant le nom de l'application, vous pouvez également aider à réduire lesfaux positifs que d'autres applications peuvent générer.

■ Opération à effectuer quand l'événement déclenche la signature.

Quand une signature est déclenchée, le trafic est permis ou bloqué et cetteaction est consignée dans le journal de sécurité. Vous devriez bloquer le traficsi la gravité est élevée. Permettez le trafic si vous voulez seulement contrôlerle trafic. Vous pouvez en option enregistrer l'événement dans le journal des

paquets. Le journal des paquets contient un vidage mémoire du paquet de latransaction.

Les signatures peut entraîner des faux positifs car ils sont souvent basés sur desexpressions régulières et des correspondances de chaînes. Les signaturespersonnaliséesutilisentlesdeux critères pour rechercher deschaînes en essayantde correspondre à un paquet.

Le client n'inclut pas les signatures personnalisées par défaut. Vous créez dessignatures IPS personnalisées.

Se reporter à "Création de signatures IPS personnalisées" à la page 550.

Configuration de la prévention d'intrusionLes paramètres IPS par défaut protègent les ordinateurs client contre une grandevariété de menaces. Vous pouvezpersonnaliser les paramètres pardéfautde votreréseau. Vous pouvez personnaliser les paramètres IPS des façons suivantes :

■ Activez les paramètres de prévention d'intrusion.

Se reporter à "Activation des paramètres de prévention d'intrusion"à la page 545.

■ Modifiez le comportement des signatures d'attaque spécifiques.Se reporter à "Modifier le comportement des signatures IPS Symantec"à la page 546.

■ Excluez l'analyse de certains ordinateurs.

Se reporter à "Installation d'une liste des ordinateurs exclus" à la page 549.

■ Bloquez automatiquement un ordinateur attaquant.

Se reporter à " Blocage d'un ordinateur attaquant" à la page 548.

Configuration de la prévention d'intrusionConfiguration de la prévention d'intrusion

544



■ Activez les notifications de prévention d'intrusion.

Se reporter à "Configurer des notifications pour la protection contre lesmenaces réseau" à la page 573.

■ Créez des signatures IPS personnalisées.Se reporter à "Création de signatures IPS personnalisées" à la page 550.

A propos de l'utilisation des politiques de prévention d'intrusion

Excepté les signatures IPS personnalisées et les notifications de préventiond'intrusion, lorsque vous configurez la prévention d'intrusion, vous créez unepolitique de prévention d'intrusion. Pour les signatures IPS personnalisées, vouscréez une bibliothèque IPS personnalisée.

Vous créez et modifiez lespolitiquesde préventiond'intrusion de la même manière

que vous créez et modifiez d'autres types de politiques. Vous pouvez attribuer,retirer, remplacer, copier, exporter, importer ou supprimer une politique deprévention d'intrusion ou une bibliothèque de prévention d'intrusionpersonnalisée.


Les procédures de ce chapitre supposent que vous maîtrisez les bases de laconfiguration des politiques.


Activation des paramètres de prévention d'intrusion

Vous pouvez bloquer certains types d'attaques sur le client, selon la technologiede prévention d'intrusion que vous sélectionnez.

Vous devez permettreauxparamètres deprévention d'intrusiond'activerle moteurde signatures IPS de Symantec ou le moteur personnalisé de signatures IPS. Sivousn'activez pas ce paramètre, le client ignore les signatures d'attaque possibles.

Remarque : Pour configurer ces paramètres en commande mixte, vous devezégalement activer cesparamètres dans la boîte de dialogue Paramètres de contrôlemixtes de l'interface utilisateur du client.






Pour activer des paramètres de prévention d'intrusion

1 Dans la console, ouvrez une politique de prévention d'intrusion.


2 Sur la page de politique de prévention d'intrusion, cliquez sur Paramètres.

3 Sur la page de Paramètres, sélectionnez les cases à cocher suivantes quis'appliquent :

■ Activer la prévention d'intrusion

■ Activer la détection de déni de service

■ Activer la détection d'analyse de port

4 Quand vous avez terminé de configurer cette politique, cliquez sur OK.

Se reporter à "Installation d'une liste des ordinateurs exclus" à la page 549.

Modifier le comportement des signatures IPS Symantec

Vous pouvez vouloir modifier le comportement par défaut des signatures IPSSymantec pour les raisons suivantes :

■ Pour réduire la possibilité d'un faux positif. Certaines activités de réseauinoffensives peuvent ressembler à des signatures d'attaque. Si vous recevezdes avertissementsrépétés portant sur des attaques potentielles et déclenchéspar des comportements inoffensifs,vouspouvez exclure la signature d'attaquecorrespondante.

■ Pour réduire la consommation des ressources en réduisant le nombre designatures d'attaque pour lesquelles le client procède à une vérification. Enrevanche, vous devez vous assurer qu'une signature d'attaque ne représenteaucune menace avant de l'exclure du blocage.

Vous pouvez modifier l'action que le client effectue quand l'IPS identifie unesignature d'attaque. Vous pouvez également décider si le client consigne ou nonl'événement dans le journal de sécurité.

Remarque : Pour modifier le comportement d'une signature IPS personnaliséeque vous créez ou importez, modifiez la signature directement.


546



Pour modifier le comportement des signatures IPS Symantec



2 Dans la page de politique de prévention d'intrusion, cliquez sur Exceptions.

3 Dans la page Exceptions, cliquez sur Ajouter.

4 Dans la boîte de dialogue Ajouter des exceptions de prévention d'intrusion,effectuez l'une des actions suivantes pour filtrer les signatures :

■ Pour afficher les signatures dans une catégorie particulière, sélectionnezune option dans la liste déroulante Afficher la catégorie.

■ Pour afficher les signatures classées avec une gravité particulière,sélectionnez une option dans la liste déroulante Afficher la gravité.

5 Sélectionnez une ou plusieurs signatures IPS.

Pour rendre le comportement de toutes les signatures identique, cliquez surSélectionner tout.


7 Dans la boîte de dialogue Opération de la signature, redéfinissez l'action deBloquer à Autoriser ou de Autoriser à Bloquer.

8 Vous pouvez éventuellement modifier l'opération de consignation de l'uneou l'autre des manières suivantes :

■ Redéfinissez l'option Consigner le trafic sur Ne pas consigner le trafic.

■ Redéfinissez l'option Ne pas consigner le trafic sur Consigner le trafic.

9 Cliquez sur OK.

Si vous voulezsupprimerl'exceptionet retournerau comportementd'originede la signature, sélectionnez la signature et cliquez sur Supprimer.

10 Cliquez sur OK.

11 Si vous souhaitez modifier le comportement d'autres signatures, répétez lesétapes 3 à 10.


Pour supprimer l'exception



2 Dans la page de politique de prévention d'intrusion, cliquez sur Exceptions.




3 Dans le volet Exceptions, sélectionnez l'exception quevous voulezsupprimeret cliquez sur Supprimer.

4 Quand vous êtes invité à confirmer la suppression, cliquez sur Oui.

Blocage d'un ordinateur attaquant

Si le client Symantec Endpoint Protection détecte une attaque réseau, il peutbloquer automatiquement la connexion pour s'assurer que l'ordinateur client estsûr. Le client active une intervention active qui bloque automatiquement toutela communication vers et depuis l'ordinateurattaquant pendant un laps de tempsdéfini. L'adresse IP de l'ordinateur attaquant est bloquée pour un uniqueemplacement.

L'adresse IP du pirate est consignée dans le journal de sécurité. Dans le contrôle

du client, lesutilisateurspeuvent débloquer une attaque en arrêtantl'interventionactive dans le journal de sécurité.

Si vous définissez le client pour un contrôle mixte, vous pouvez spécifier si leparamètre peut être activéou non parl'utilisateur sur le client. S'il n'estpas activé,vous devez l'activer dans la boîte de dialogue Paramètres de contrôle mixte del'interface utilisateur du client.


Les signatures IPS mises à jour, les signatures de déni de service mises à jour, les

analyses de port et l'usurpation d'adresse MAC déclenchent également uneintervention active.

Pour bloquer un ordinateur attaquant




3 Surla page de Paramètres,sélectionnezBloquerautomatiquementl'adresse

IP d'un attaquant.

4 Dans la zone de texte Nombre de secondes du blocage de l'adresse IP ...secondes, spécifiez le nombre de secondes pendant lesquelles les piratespotentiels sont bloqués.

Introduisez un nombre compris entre une et 999 999 secondes.



548



Installation d'une liste des ordinateurs exclus

Le client Symantec Endpoint Protection peut définir quelques activités Internetnormales comme des attaques. Par exemple, certains fournisseurs d'accès àInternet analysent les ports de l'ordinateur afin de vérifier que vous respectezleur contrat. Ou, vous pouvezavoir quelques ordinateurs dans votre réseauinterneque vous voulez installer à des fins du test.

Vous pouvez créer une liste des ordinateurs pour lesquels le client ignore lessignatures d'attaque ou ne vérifie pas le trafic pour détecter les attaques par dénide service. Le client autorise tout le trafic entrant et sortant qui transite par ceshôtes, quels que soient les règles et les paramètres du pare-feu ou les signaturesIPS.

Remarque : Vous pouvez également configurer une liste d'ordinateurs qui permettout le trafic entrant et le trafic sortant à moins qu'une signature IPS ne détecteune attaque. Dans ce cas-ci, vous créez une règle de pare-feu qui autorise tous leshôtes.

Pour configurer une liste des ordinateurs exclus




3 Si ce n'est déjà fait, sélectionnezActiverleshôtesexclus et cliquez sur Hôtesexclus.

4 Dans la boîte de dialogue Hôtes exclus, cliquez sur Ajouter.

5 Dans la boîte de dialogue Hôte, dans la liste déroulante, sélectionnez un destypes d'hôte suivants :

■ Adresse IP

■ Intervalle IP

■ Sous-réseau

6 Entrez les informations appropriées qui sont associées au type d'hôte quevous avez sélectionné.


7 Cliquez sur OK.

8 Répétez 4 et 7 pour ajouter des périphériques et des ordinateurssupplémentaires à la liste des ordinateurs exclus.




9 Pour modifier ou supprimer deshôtes exclus,sélectionnez uneligne et cliquezsur Edition ou sur Supprimer.

10 Cliquez sur OK.

11 Quand vous avez fini de configurer la politique, cliquez sur OK.

Création de signatures IPS personnaliséesVous pouvez enregistrer vos propres signatures pour identifier une intrusionspécifique et pour réduire la possibilité de signatures qui entraînent un fauxpositif. Plus vous ajoutez d'informations à une signature personnalisée, pluscelle-ci est efficace.

Quand vous créez une bibliothèque personnalisée, vous pouvez organiser des

signatures en groupes pour les gérerplus facilement.Vous devezajouter au moinsun groupe de signatures à une bibliothèque personnalisée de signatures avantd'ajouter les signatures au groupe. Vous pouvez copier et coller des signaturesentre les groupes et entre les bibliothèques.

Avertissement : Vous devez être familiarisé avec lesprotocoles TCP, UDPou ICMPpour développer des signatures de prévention d'intrusion. Une signatureincorrectement formée peut corrompre la bibliothèque IPS personnalisée etendommager l'intégrité des clients.

Pour créer des signatures IPS personnalisées, vous devez effectuer les étapessuivantes :

■ Créez une bibliothèque IPS personnalisée.

■ Ajoutez une signature.

Pour créer une bibliothèque IPS personnalisée

1 Dans la console,cliquez sur Politiques et cliquez surPréventiond'intrusion.

2 Sous Tâches, cliquez sur Ajouter des signatures de prévention d'intrusion

personnalisée.

3 Dans la boîte de dialogue Signaturespersonnalisées de prévention d'intrusion,tapez un nom et description facultative pour la bibliothèque.

Le groupe NetBIOS Groupe est un groupe de signatures témoin avec unesignature témoin. Vous pouvez modifier le groupe existant ou ajouter unnouveau groupe.

4 Pour ajouter un nouveau groupe, surl'onglet Signatures, sous la liste Groupesde signatures, cliquez sur Ajouter.

Configuration de la prévention d'intrusionCréation de signatures IPS personnalisées

550



5 Dans la boîte de dialogue Groupe de signatures de prévention d'intrusion,tapez un nom de groupe et une description facultative et cliquez sur OK.

Le groupe est activé par défaut. Si le groupe de signatures est activé, toutes

les signatures au sein du groupe sont activées automatiquement. Pourconserver le groupe pour référence mais le désactiver, supprimez la cocheActiver ce groupe.

6 Ajoutez une signature personnalisée.

Pour ajouter une signature personnalisée

1 Créez une bibliothèque IPS personnalisée.

2 Sur l'onglet Signatures, sous Signatures pour ce groupe, cliquez surAjouter.

3 Dans la boîte de dialogue Ajouter une signature, tapez un nom et une

description facultative pour la signature.4 Dans la liste déroulante Gravité, sélectionnez un niveau de gravité.

Lesévénements quicorrespondent auxconditions de signaturesont consignésavec cette gravité.

5 Dans la liste déroulante Sens, spécifiez la direction du trafic que vous voulezque la signature vérifie.

6 Dans le champ Contenu, tapez la syntaxe de la signature.

Pour plus d'informations sur la syntaxe, cliquez sur Aide.

7 Si vous voulez qu'uneapplication déclenche la signature, cliquez surAjouter.

8 Dans la boîte de dialogue Ajouter une application, tapez le nom de fichier etune description facultative pour l'application.

Par exemple, pour ajouter l'application Internet Explorer, entrez iexplore ouiexplore.exe en tant que nom de fichier. Si vous ne spécifiez pas de nom defichier, n'importe quelle application peut déclencher la signature.

9 Cliquez sur OK.

L'application ajoutée est activée par défaut. Si vous voulez désactiverl'application plus tard, décochez la case de la colonne Enabled (Activé).

10 Dans la zone de groupe Action, sélectionnez l'action que vous voulez que leclient effectue quand la signature détecte l'événement :

Identifie et bloque les évènements ou les attaques et les enregistre dansle Journal de Sécurité.

Bloquer

Identifieet autorise lesévènementsou lesattaqueset lesenregistre dansle Journal de Sécurité.

Autoriser




11 Pour enregistrer l'événementou l'attaquedans le journal despaquets, cochezEcrire dans le journal des paquets.

12 Cliquez sur OK.

La signature ajoutée est activée par défaut. Si vous voulez désactiver lasignature plus tard, décochez la case de la colonne Enabled (Activé).

13 Pour ajouter dessignatures supplémentairesau groupe de signatures, répétezles étapes 2 à 12.

Pour modifier ou supprimer une signature, sélectionnez-la et cliquez surModifier ou Supprimer.

14 Si vous avez terminé avec la configuration de cette bibliothèque, cliquez surOK.

15 Si vous y êtes invité, attribuez les signatures IPS personnalisées à un groupe.Se reporter à "Affectation d'une politique partagée" à la page 105.

Vous pouvez également attribuer des bibliothèques IPS personnaliséesmultiples à un groupe.

Se reporter à "Attribution de multiples bibliothèques IPS personnalisées àun groupe" à la page 552.

Attribution de multiples bibliothèques IPS personnalisées à un groupe

Après avoir créé une bibliothèque IPS personnalisée, vous l'attribuez à un groupeplutôt qu'à un emplacement particulier. Vous pouvez ultérieurement attribuerau groupe des bibliothèques IPS personnalisées supplémentaires.

Pour attribuer de multiples bibliothèques IPS personnalisées à un groupe


2 Sous Afficher les clients, sélectionnez le groupe auquel vous souhaitezattribuer les signatures personnalisées.

3 Dans l'onglet Politiques, sous Politiques et paramètres indépendants del'emplacement, cliquez sur Prévention d'intrusion personnalisée.

4 Dans la boîte de dialogue Prévention d'intrusion personnalisée pour nom de groupe, vérifiez la case à cocher de la colonne Activée de chaque bibliothèqueIPS à attribuer à ce groupe.

5 Cliquez sur OK.


552



Modifier l'ordre des signatures

Le moteur IPS de signatures personnalisées vérifie les signatures dans l'ordredans lequel elles sont répertoriées dans la liste des signatures. Uneseulesignatureest déclenchée par paquet. Quand une signature correspond à un paquet de traficentrant ou sortant, le moteur IPS arrête de vérifier les autres signatures. Pourquele moteurIPS exécutelessignaturesdans l'ordre correct, vous pouvez modifierl'ordre des signatures dans la liste de signatures. Si plusieurs signaturescorrespondent, déplacez vers le haut les signatures présentant une priorité plusélevée.

Par exemple, si vous ajoutez un groupe de signatures pour bloquer le trafic TCPdans les deux directions sur le port de destination 80, vous pouvez ajouter lessignatures suivantes :

■

Bloquer l'ensemble du trafic sur le port 80■ Autoriser l'ensemble du trafic sur le port 80

Si la signature Bloquerl'ensembledu traficest répertoriéeen premier, la signatureAutoriser l'ensemble du trafic n'est jamais exécutée. Si la signature Autoriserl'ensemble du trafic est répertoriée en premier, la signature Bloquer l'ensembledu trafic n'est jamais exécutée et l'ensemble du trafic HTTP est toujours autorisé.

Pour modifier l'ordre des signatures

1 Ouvrez une bibliothèque IPS personnalisée.

2 Ajoutez ou modifiez une signature.

Se reporter à "Pour ajouter une signature personnalisée" à la page 551.

3 Dans l'onglet Signatures, dans la table Signatures pour ce groupe, sélectionnezla signature que vous souhaitez déplacer, puis effectuez l'une des opérationssuivantes :

■ Pour traiter cette signature avant la signature située au-dessus d'elle,cliquez sur Vers le haut.

■ Pour traiter cette signature après la signature située au-dessous elle,cliquez sur Vers le bas.

4 Une fois que vous avez terminé de configurer cette bibliothèque, cliquez surOK.

Copier et coller des signatures

Vous pouvezcopieret collerdessignatures au sein du même groupe de signatures,entre des groupes de signatures ou entre des bibliothèques de signatures. Parexemple, vous pouvez vous rendre compte que vous avez ajouté une signature au




mauvais groupe de signatures. Ou bien, vous pouvez vouloir avoir deux signaturespresque identiques.

Pour copier et coller des signatures

1 Ouvrez une bibliothèque IPS personnalisée.

2 Dans l'onglet Signatures de la boîte de dialogue Signatures de préventiond'intrusion personnalisées, dans les signatures pour ce tableau de groupe,cliquez avec le bouton droit de la souris sur la signature à copier, puis cliquezsur Copier.

3 Cliquez avec le bouton droit de lasouris sur la liste de signatures, puis cliquezsur Coller.

4 Quand vous avez fini de configurer cette bibliothèque, cliquez sur OK.

Définir des variables pour des signatures

Quand vous ajoutez une signature IPS personnalisée, vous pouvez utiliser desvariables pour représenter des données modifiables dans les signatures. Si lesdonnées changent, vous pouvez modifier la variable au lieu de modifier lessignatures dans toute la bibliothèque.

Pour pouvoir utiliser les variables dans la signature, vous devez les définir. Lesvariables que vous définissez dans la bibliothèque de signatures personnaliséepeuvent être utilisées dans n'importe quelle signature de cette bibliothèque.

Vous pouvez copier et coller le contenu de la variable d'échantillon existante pourdémarrer en tant que base à la création de contenu.

Pour définir des variables

1 Créez une bibliothèque IPS personnalisée.

2 Dans la boîte de dialogue Signaturespersonnalisées de prévention d'intrusion,cliquez sur l'onglet Variables.

3 Cliquez sur Ajouter.

4 Dans la boîtede dialogue Ajouter une variable, tapez un nom pour la variable,ainsi qu'une description si vous le souhaitez.


554



5 Ajoutez une chaîne de contenu pour la valeur de la variable, en entrant aumaximum 255 caractères.

Quand vous entrez la chaîne de contenu de la variable, observez les règles de

syntaxe quevous utilisez pour entrerdesvaleurs dans le contenu de signature.

6 Cliquez sur OK.

Une fois la variable ajoutée au tableau, vous pouvez l'utiliser dans n'importequelle signature dans la bibliothèque personnalisée.

Pour utiliser des variables dans des signatures

1 Dans l'onglet Signatures, ajoutez ou modifiez une signature.

Se reporter à "Pour ajouter une signature personnalisée" à la page 551.

2 Dans la boîte de dialogue Ajouter unesignature ou Modifier la signature, dans

le champ Contenu, tapez le nom de la variable avec un symbole dollar ($)devant.

Par exemple, si vous créez une variable nommée HTTP pour spécifier desports HTTP, tapez ce qui suit :

$HTTP

3 Cliquez sur OK.

4 Une fois que vous avez terminé de configurer cette bibliothèque, cliquez surOK.





556



Personnalisation de laprotection contre les

menaces réseauCe chapitre traite des sujets suivants :

■ Activer et désactiver la protection contre les menaces réseau

■ Configurer des paramètres de protection contre les menaces réseau pour lacommande mélangée

■ Ajouter des hôtes et des groupes d'hôtes

■ Modifier et supprimer les groupes d'hôtes

■ Ajout d'hôtes et de groupes d'hôtes à une règle

■ Ajout de services réseau

■ Modifier et supprimer des services réseau personnalisés

■ Ajout des services réseau à une règle

■ Activation du partage des fichiers et des imprimantes du réseau

■ Ajouter des adaptateurs réseau

■ Ajout de cartes réseau à une règle

■ Modifier et supprimer les adaptateurs réseau personnalisés

■ Ajouter des applications à une règle

■ Ajout de planifications à une règle

30Chapitre



■ Configurer des notifications pour la protection contre les menaces réseau

■ Installation de la surveillance d'application réseau

Activer et désactiver la protection contre les menacesréseau

Par défaut, la protection contre les menaces réseau est activée. Vous pouvezdésactiver laprotection contrelesmenaces réseausurdesordinateurssélectionnés.Par exemple, il peut être nécessaire d'installer un correctif sur les ordinateursclient qui sinon obligeraient le pare-feu à bloquer l'installation.

Si vous désactivez la protection contre les menaces réseau, elle estautomatiquement activée quand les cas suivants se produisent :

■ L'utilisateur arrête et redémarre l'ordinateur client.

■ L'emplacement client passe de contrôle de serveur à contrôle de client.

■ Vous avez configuré le client pour activer la protection au bout d'un certainlaps de temps.

■ Unenouvelle politique de sécurité qui active la protection est téléchargée versle client.

Vous pouvez également activer manuellement la protection contre les menacesréseau via les journaux d'état d'ordinateur.


Vous pouvez également accorder à l'utilisateur de l'ordinateur client l'autorisationd'activer ou de désactiver la protection. Cependant, vous pouvez remplacer leparamètre du client. Ou vous pouvez désactiver la protection sur le client mêmesi les utilisateurs l'ont activée. Vous pouvez activer la protection même si lesutilisateurs l'ont désactivée.

Sereporterà"Configuration des paramètres d'interface utilisateur"àlapage183.

Pour activer et désactiver la protection contre les menaces réseau pour un groupe


2 Sous Afficher les clients, sélectionnez un groupe pour lequel vous voulezactiver ou désactiver la protection.


■ Pour tous lesordinateurs et utilisateurs du groupe, cliquez avec le boutondroit de la souris sur le groupe, cliquez sur Exécuter la commande sur le

Personnalisation de la protection contre les menaces réseauActiver et désactiver la protection contre les menaces réseau

558



groupe, puis sur Activer la protection contre les menaces réseau ouDésactiver la protection contre les menaces réseau.

■ Pour lesutilisateurs ou lesordinateurs sélectionnés dans un groupe, dans

l'onglet Clients, sélectionnez les utilisateurs ou les ordinateurs. Cliquezensuite avec le bouton droit de la souris sur la sélection, puis cliquez surExécuter la commande sur les clients > Activer la protection contre les

menaces réseau ou Désactiver la protection contre les menaces réseau.

4 Pour confirmer l'action, cliquez sur Oui.

5 Cliquez sur OK.

Configurer des paramètres de protection contre les

menaces réseau pour la commande mélangéeVous pouvezinstaller le clientde sorte quelesutilisateursn'aient aucun contrôle,un contrôle complet ou un contrôle limité surlesparamètres de protection contreles menaces réseau qu'ils peuvent configurer. Quand vous configurez le client,utilisez les directives suivantes :

■ Si vous définissez le client sur la commande de serveur, l'utilisateur ne peutcréer aucune règles de filtrage ni activer des paramètres de pare-feu et deprévention d'intrusion.

■ Si vous définissez le client sur la commande client, l'utilisateur peut créer des

règles de filtrage et activer tous les paramètres de pare-feu et de préventiond'intrusion.

■ Si vous définissez le client sur la commande mélangée, l'utilisateur peut créerdes règles de filtrage et vous décidez quels paramètres de pare-feu et deprévention d'intrusion l'utilisateur peut activer.

Sereporterà"Configuration des paramètresd'interface utilisateur" àlapage183.

Pour configurer des paramètres de protection contre les menaces réseau pour la

commande mélangée


2 Sous Afficher lesclients, sélectionnezle groupedont vous souhaitez modifierle niveau de contrôle de l'utilisateur.

3 Dans l'onglet Politiques, sous Politiques et paramètres dépendants del'emplacement, sous un emplacement, développez Paramètres spécifiques

aux emplacements.

4 A la droite de Paramètres de contrôle d'interface utilisateur client, cliquezsur Tâches > Modifier les paramètres….

Personnalisation de la protection contre les menaces réseauConfigurer des paramètres de protection contre les menaces réseau pour la commande mélangée



5 Dans la boîte de dialogue Paramètres de mode de contrôle,cliquez surContrôle

mixte et cliquez sur Personnaliser.

6 Dans l'onglet Paramètres de contrôle client/serveur, sous les catégories

Politique de pare-feu et Politique de prévention d'intrusion, faites une desactions suivantes :

■ Pour rendre un paramètre client configurable par les utilisateurs, cliquezsur Client.

■ Pour configurer un paramètre client, cliquez sur Serveur.

7 Cliquez sur OK.

8 Cliquez sur OK.

9 Pour chaque paramètre de pare-feu et de prévention d'intrusion que vous

définissez sur Serveur, activez ou désactivez le paramètre dans la politiquede pare-feu ou la politique de prévention d'intrusion.


Se reporter à "Activation des paramètres de trafic et des paramètres furtifs"à la page 538.


Ajouter des hôtes et des groupes d'hôtes

Un groupe d'hôtes est une collection de noms de domaine de DNS, de noms d'hôteDNS, d'adresses IP, d'intervalles IP, d'adresses MAC ou de sous-réseaux groupéssous un nom. Les groupes d'hôtes ont pour but d'éviter d'avoir à ressaisir lesadresses et les noms d'hôte. Par exemple, vous pouvez ajouter des adresses IPmultiples, une à la fois, en suivant une règle de filtrage. Ou alors, vous pouvezajouter des adresses IP multiples à un groupe d'hôtes, puis ajouter le groupe à larègle de filtrage.

Lorsque vous incorporez desgroupes d'hôtes, vous devez décrire le lieu d'utilisationdes groupes. Si vous décidez par la suite de supprimer un groupe d'hôtes, vousdevez d'abord supprimer le groupe d'hôtes de toutes les règles qui font référence

au groupe.

Lorsque vous ajoutez un groupe d'hôtes, il apparaît au bas de la liste des hôtes.Vous pouvez accéder à la liste des hôtes du champ Hôte dans une règle de filtrage.

Se reporter à "A propos des déclencheurs d'hôte" à la page 521.

Se reporter à "Modifier et supprimer les groupes d'hôtes" à la page 561.

Personnalisation de la protection contre les menaces réseauAjouter des hôtes et des groupes d'hôtes

560



Procédure de création de groupes d'hôtes


2 Développez les Composants de politique, puis cliquez sur Groupes d'hôtes.

3 Sous Tâches, cliquez sur Ajouter un groupe d'hôtes.

4 Dans la boîte de dialogue Groupe d'hôtes, saisissez un nom puis cliquez surAjouter.

5 Dans la boîte de dialogue Hôte, dans la liste déroulante Type, sélectionnezl'un des hôtes suivants :

■ Domaine DNS

■ Hôte DNS

■

Adresse IP■ Intervalle IP

■ Adresse MAC

■ Sous-réseau

6 Entrez les informations appropriées pour chaque type d'hôte.

7 Cliquez sur OK.

8 Ajoutez des hôtes supplémentaires, au besoin.

9 Cliquez sur OK.

Modifier et supprimer les groupes d'hôtesVous pouvez modifier ou supprimer tous les groupes d'hôtes ajoutés. Vous nepouvez modifier ni supprimer un groupe d'hôtes par défaut. Avant de supprimerun grouped'hôtes personnalisé, vous devez supprimerle groupe d'hôtes de touteslesrèglesquifont référenceau groupe.Lesparamètres quevous modifiez changentdans toutes les règles qui font référence au groupe.

Se reporter à "Ajouter des hôtes et des groupes d'hôtes" à la page 560.

Pour modifier les groupes d'hôtes

1 Dans la Console,cliquez sur Politiques>Composantsdepolitique>Groupes

d'hôtes.

2 Dans le volet Groupes d'hôtes, sélectionnez le groupe d'hôtes à modifier.

3 Sous Tâches, cliquez sur Modifier le groupe d'hôtes.

Personnalisation de la protection contre les menaces réseauModifier et supprimer les groupes d'hôtes



4 Dans la boîte de dialogue Groupe d'hôtes, modifiez optionnellement le nomde groupe, sélectionnez un hôte, puis cliquez sur Modifier.

Pour supprimer l'hôte du groupe, cliquez sur Supprimer, puis sur Oui.

5 Dans la boîte de dialogue Hôte, modifiez le type d'hôte ou modifiez lesparamètres d'hôte.

6 Cliquez sur OK.

7 Cliquez sur OK.

Pour supprimer des groupes d'hôtes

1 Dans la Console, cliquez sur Politiques>Composantsdepolitique>Groupes

d'hôtes.

2 Dans le volet Groupes d'hôtes, sélectionnez le groupe d'hôtes à supprimer.

3 Sous Tâches, cliquez sur Supprimer le groupe d'hôtes.

4 Lorsque vous êtes invité à confirmer, cliquez sur Supprimer.

Ajout d'hôtes et de groupes d'hôtes à une règlePour bloquer le trafic à ou d'un serveur spécifique, bloquez le trafic par l'adresseIP plutôt que par nom de domaine ou nom d'hôte. Autrement, il se peut quel'utilisateur puisse accéder à l'équivalent de l'adresse IP du nom d'hôte.

Pour ajouter des hôtes et des groupes d'hôtes à une règle




3 Dans l'onglet Règles, dans la liste Règles, sélectionnez la règle que voussouhaitez modifier, cliquez avec le bouton droit de la souris sur le champHôte et cliquez sur Edition.

4 Dans la boîte de dialogue Liste des hôtes, effectuez l'une des opérationssuivantes :

■ Cliquez sur Source/Destination.

■ Cliquez sur Local/Distant.

5 Dans Source et Destination ou les tableaux locaux et distants, effectuez l'unedes opérations suivantes :

■ Pour activer un groupe d'hôtes que vous avez ajouté par l'intermédiairede la liste Composants de politique, allez à l'étape 10.

Personnalisation de la protection contre les menaces réseauAjout d'hôtes et de groupes d'hôtes à une règle

562



Se reporter à "Ajouter des hôtes et des groupes d'hôtes" à la page 560.

■ Pour ajouter un hôte pour la règle sélectionnée seulement, cliquez surAjouter.

6 Dans la boîte de dialogue Hôte, sélectionnez un type d'hôte de la listedéroulante Type et entrez les informations appropriées pour chaque typed'hôte.

Pour plus de détails sur chaque option de cette boîte de dialogue, cliquez surAide.

7 Cliquez sur OK.

8 Ajoutez les hôtes supplémentaires, au besoin.

9 Dans la boîte de dialogue Liste des hôtes, pour chaque hôte ou groupe d'hôtes

pour lequel vous voulez déclencher la règle de filtrage, assurez-vous que lacase à cocher de la colonne Activée est sélectionnée.

10 Cliquez sur OK pour revenir à la liste Règles.

Ajout de services réseauLesservices réseaupermettent auxordinateursen réseaud'envoyer et de recevoirdes messages, des fichiers partagés et d'imprimer. Un service réseau utilise unou plusieurs protocoles ou ports pour transmettre un type de trafic spécifique.Par exemple, le service HTTP utilise les ports 80 et 443 dans le protocole TCP.

Vous pouvez créer une règle de pare-feuqui autorise ou bloque des services réseau.

La liste des services réseau évite de retaper un protocole et un port pour chaquerègle que vous créez. Vous pouvez sélectionner un service réseau dans une listepar défaut des services réseau utilisés couramment. Vous pouvez alors ajouter leservice réseau à la règle du pare-feu. Vous pouvez également ajouter des servicesréseau à la liste par défaut.

Se reporter à "Ajout des services réseau à une règle" à la page 565.

Remarque : IPv4 et IPv6 sont deux protocoles de couche réseau qui sont utilisés

sur Internet. Le pare-feu bloque les attaques qui transitent par IPv4, mais pas parIPv6. Si vous installez le client sur les ordinateurs qui exécutent Microsoft Vista,la liste Règles inclut plusieurs règles par défaut qui bloquent le type de protocoleEthernet d'IPv6. Si vous supprimez les règles par défaut, vous devez créer unerègle qui bloque IPv6.

Personnalisation de la protection contre les menaces réseauAjout de services réseau



Si vous voulez autoriser ou bloquer un service réseau qui n'est pas dans la listepar défaut, vous pouvez l'ajouter. Vous devez connaître le type de protocole et lesports qu'il utilise.

Pour ajouter un serviceréseau personnalisé qui est accessible de n'importe quellerègle de pare-feu, vous l'ajoutez par l'intermédiaire de la liste Composants depolitique.

Pour ajouter un service réseau personnalisé à la liste par défaut


2 Développez Composants de politique, puis cliquez sur Services réseau.

3 Sous Tâches, cliquez sur Ajouter un service réseau….

4 Dans la boîte de dialogue Service réseau, tapez le nom du service et cliquez

sur Ajouter.5 De la liste déroulante Protocole, sélectionnez l'un des protocoles suivants :

■ TCP

■ UDP

■ ICMP

■ IP

■ Ethernet

Les options changent selon le protocole que vous sélectionnez. Pour plusd'informations, cliquez sur Aide.

6 Remplissez les champs appropriés, puis cliquez sur OK.

7 Ajoutez un ou plusieurs protocoles supplémentaires, le cas échéant.

8 Cliquez sur OK.

Vous pouvez ajouter le service à n'importe quelle règle de pare-feu.

Modifier et supprimer des services réseau

personnalisésVous pouvez modifier ou supprimer tous les services réseau personnalisées quevous avez ajoutés. Vous ne pouvez modifier ni supprimer un service réseau pardéfaut. Avant que vous puissiez supprimer un service réseau personnalisé, vousdevez le supprimer de toutes les règles qui font référence au service.

Se reporter à "Ajout de services réseau" à la page 563.

Personnalisation de la protection contre les menaces réseauModifier et supprimer des services réseau personnalisés

564



Pour modifier les services réseau personnalisés

1 Dans la console, cliquez surPolitiques>Composantsdepolitique>Services

réseau.

2 Dans le volet Services réseau, sélectionnez le service à modifier.

3 Sous Tâches, cliquez sur Modifier le service réseau.

4 Dans la boîte de dialogue Service réseau, modifiez le nom du service ousélectionnez le protocole et cliquez sur Modifier.

5 Modifiez les paramètres de protocole.

Pour plus d'informations au sujet des options dans cette boîte de dialogue,cliquez sur Aide.

6 Cliquez sur OK.

7 Cliquez sur OK.

Pour supprimer les services réseau personnalisés

1 Dans la console, cliquez surPolitiques>Composantsdepolitique>Services

réseau.

2 Dans le volet Service réseau, sélectionnez le service à supprimer.

3 Sous Tâches, cliquez sur Supprimer le service réseau.

4 Lorsque vous êtes invité à confirmer, cliquez sur Oui.

Ajout des services réseau à une règleVous pouvez ajouter un service réseau personnalisé par une règle de pare-feu.Cependant, ce service réseau n'est pas ajouté à la liste par défaut. Vous ne pouvezaccéder à l'adaptateur personnalisé à partir d'aucune autre règle.

Se reporter à "Ajout de services réseau" à la page 563.

Pour ajouter des services réseau à une règle


Se reporter à "Modifier une politique" à la page 104.2 Sur la page de politique de pare-feu, cliquez sur Règles.

3 Dans l'onglet Règles, dans la listeRègles, sélectionnez la règle que vous voulezmodifier, cliquez avec le bouton droit de la souris sur le champ Service, puiscliquez sur Edition.

4 Dans la boîte de dialogue Liste des services, cochez la case Activer pourchaque service devant déclencher la règle.

Personnalisation de la protection contre les menaces réseauAjout des services réseau à une règle



5 Pour ajouter un service supplémentaire pour la règle sélectionnéeseulement,cliquez sur Ajouter.

6 Dans la boîte de dialogue Protocole, sélectionnez un protocole de la liste

déroulante Protocole.

7 Complétez les champs appropriés.

Pour plus d'informations en ces options, cliquez sur Aide.

8 Cliquez sur OK.

9 Cliquez sur OK.

10 Cliquez sur OK.

Activation du partage des fichiers et des imprimantesdu réseauVous pouvez permettre au client departager ses fichiers ou d'accéder à des fichierset des imprimantes partagés sur le réseau local. Pour empêcher des attaquesbasées sur le réseau, vous pouvez désactiver le partage des fichiers et desimprimantes du réseau.

Vous activez le partage des fichiers et des imprimantes du réseau en ajoutant desrègles de filtrage. Les règles de filtrage autorisent l'accès aux ports pour l'accèsaux fichiers et aux imprimantes ainsi que leur partage. Vous créez une règle de

filtrage permettant au client de partager ses fichiers. Vous créez une deuxièmerègle de filtrage afin quele client puisse accéder à d'autresfichiers et imprimantes.

Si le client est en contrôle client ou en contrôle mixte, les utilisateurs sur le clientpeuvent activer ces paramètres automatiquement en les configurant dans laprotection contre les menaces réseau. En contrôle mixte, une règle de filtrage deserveur qui spécifie ce type de trafic peut remplacer ces paramètres. En contrôlede serveur, ces paramètres ne sont pas disponibles sur le client.

Pour permettre aux clients d'accéder aux fichiers et imprimantes




3 Ajoutez une règle vide, puis tapez son nom dans la colonne Nom.


4 Cliquez avec le bouton droit de la souris sur le champ Service, puis cliquezsur Modifier.

Personnalisation de la protection contre les menaces réseauActivation du partage des fichiers et des imprimantes du réseau

566



5 Dans la boîte de dialogue Liste des services, cliquez sur Ajouter.

6 Dans la boîte de dialogue Protocole, dans la liste déroulante Protocole, cliquezsur TCP, puis cliquez sur Local/Distant.

7 Dans la liste déroulante Port distant, tapez 88, 135, 139, 445.

8 Cliquez sur OK.


10 Dans la boîte de dialogue Protocole, dans la liste déroulante Protocole, cliquezsur UDP.

11 Dans la liste déroulante Port local, tapez 137, 138.

12 Dans la liste déroulante Port distant, tapez 88.

13 Cliquez sur OK.

14 Dans laboîtededialogue Liste des services, assurez-vous que les deux servicessont activés et cliquez sur OK.

15 Dans l'onglet Règles, vérifiez que le champ Action a pour valeur Autoriser.

16 Si vous en avez terminé avec la configuration de la politique, cliquez sur OK.



Pour permettre aux autres ordinateurs d'accéder aux fichiers sur le client

1 Dans la console, ouvrez une politique de pare-feu.Se reporter à "Modifier une politique" à la page 104.


3 Ajoutez une règle vide, puis tapez son nom dans la colonne Nom.


4 Cliquez avec le bouton droit de la souris sur le champ Service, puis cliquezsur Modifier.


6 Dans la liste déroulante Protocole de la boîte de dialogue Protocole, cliquezsur TCP, puis sur Local/Distant.

7 Dans la liste déroulante Port local, tapez 88, 135, 139, 445.

8 Cliquez sur OK.


Personnalisation de la protection contre les menaces réseauActivation du partage des fichiers et des imprimantes du réseau



10 Dans la liste déroulante Protocole de la boîte de dialogue Protocole, cliquezsur UDP.

11 Dans la liste déroulante Port local, tapez 88, 137, 138.

12 Cliquez sur OK.

13 Dans la boîte de dialogue Liste des services, vérifiez que les deux servicessont activés et cliquez sur OK.

14 Dans l'onglet Règles, vérifiez que le champ Action a pour valeur Autoriser.




Ajouter des adaptateurs réseauVous pouvez appliquer une règle de filtrage séparée à chaque adaptateur réseau.Par exemple, vous pouvez vouloir bloquer le trafic par un VPN à un emplacementde bureau, mais pas à un emplacement domestique.

Vous pouvez sélectionner un adaptateur réseau à partir d'une liste par défautpartagée entre les politiques de pare-feu et les règles de filtrage. Les adaptateursles plus communs sont inclus dans la liste par défaut dans la liste Composants depolitique. Les adaptateurs communs incluent les adaptateurs VPN, Ethernet,

sans-fil, Cisco, Nortel et Enterasys. Utilisez la liste par défaut afin de ne pasdevoirressaisir chaque adapteur réseau pour chaque règle que vous créez.

Remarque : Le client ne filtre pas et ne détecte pas le trafic réseau des PDA(assistant numérique personnel).

Se reporter à "Ajout de cartes réseau à une règle" à la page 569.

Se reporter à "Modifier et supprimer les adaptateurs réseau personnalisés"à la page 570.

Pour ajouter un adaptateur réseau personnalisé à la liste par défaut1 Dans la console, cliquez sur Politiques > Composants de politique >

Adaptateurs réseau.

2 Sous Tâches, cliquez sur Ajouter un adaptateur réseau.

3 Dans la boîte de dialogue Adaptateur réseau, dans la liste déroulanteAdaptateur, sélectionnez un adaptateur.

4 Dans le champ Nom de l'adaptateur, tapez une description optionnelle.

Personnalisation de la protection contre les menaces réseauAjouter des adaptateurs réseau

568



5 Dans la zone de texte Identification de l'adaptateur, tapez un nom sensible àla casse de marque pour l'adaptateur.

Pour trouver la marque de l'adaptateur, ouvrez une ligne de commande sur

le client, puis tapez le texte suivant :

ipconfig/all

6 Cliquez sur OK.

Vous pouvez alors ajouter l'adaptateur à n'importe quelle règle de filtrage.

Ajout de cartes réseau à une règleVous pouvezajouter unecarte réseaupersonnalisée à partird'une règle depare-feu.Cependant, cette carte n'est pasajoutée à la liste partagée. Vous ne pouvezaccéderà la carte personnalisée à partir d'aucune autre règle.


Pour ajouter une carte réseau à une règle




3 Dans l'onglet Règles, dans la liste Règles, sélectionnez la règle que voussouhaitez modifier, cliquez avec le bouton droit de la souris sur le champAdaptateur, puis cliquez sur Adaptateurs supplémentaires.

4 Dans la boîte de dialogue Adaptateur réseau, effectuez l'une des opérationssuivantes :

■ Pour déclencher la règle pour n'importe quel adaptateur, même s'il n'estpas repertorié, cliquez sur Appliquer cette règle à tous les adaptateurs,puis passez à l'étape 8.

■ Pour déclencher la règle pour les adaptateurs sélectionnés, cliquez surAppliquer cette règle aux adaptateurs suivants, puis cochez la case dela colonne Activée pour chacun des adaptateurs devant déclencher la

règle.

5 Pour ajouterun adaptateurpersonnalisépour la règle sélectionnée seulement,cliquez sur Ajouter.

6 Dansla boîte de dialogue Adaptateur réseau,sélectionnez le typed'adaptateuret tapez la marque de l'adaptateur dans la zone de texte Identification del'adaptateur.

7 Cliquez sur OK.

Personnalisation de la protection contre les menaces réseauAjout de cartes réseau à une règle



8 Cliquez sur OK.

9 Cliquez sur OK.

Modifier et supprimer les adaptateurs réseaupersonnalisés

Vous pouvez modifier ou supprimer tous les adaptateurs réseau personnalisésque vous avez ajoutés. Vous ne pouvez modifier ni supprimer un adaptateur réseaupar défaut. Avant que vous puissiez supprimer un adaptateur personnalisé, vousdevez le supprimer de toutes les règles qui font référence à l'adaptateur. Lesparamètres que vous modifiez changent dans toutes les règles qui qui fontréférence à l'adaptateur.


Pour modifier un adaptateur réseau personnalisé


2 Sous Composants de politique, cliquez sur Adaptateurs réseau.

3 Dans le volet Adaptateurs réseau, sélectionnez l'adaptateur personnalisé àmodifier.

4 Sous Tâches, cliquez sur Modifier l'adaptateur réseau.

5 Dans la boîte de dialogue Adaptateur réseau, modifiez le type d'adaptateur,

le nom ou le texte d'identification d'adaptateur.

6 Cliquez sur OK.

Pour supprimer un adaptateur réseau personnalisé


2 Sous Composants de politique, cliquez sur Adaptateurs réseau.

3 Dans le volet Adaptateurs réseau, sélectionnez l'adaptateur personnalisé àsupprimer.

4 Sous Tâches, cliquez sur Supprimer l'adaptateur réseau.

5 Lorsque vous êtes invité à confirmer, cliquez sur Oui.

Ajouter des applications à une règleVous pouvez définir desinformations sur lesapplicationsqueles clients exécutentet inclure ces informations dans une règle de filtrage. Par exemple, vous pourriezvouloir autoriser des versions antérieures de Microsoft Word.

Personnalisation de la protection contre les menaces réseauModifier et supprimer les adaptateurs réseau personnalisés

570



Vous pouvez définir des applications des manières suivantes :

■ Vous pouvez définir les caractéristiques d'une application en entrantmanuellement les informations. Si vous n'avez pas assez d'informations, vous

pouvez vouloir rechercher la liste d'applications assimilées.

■ Vous pouvez définir les caractéristiques d'une application en recherchant laliste d'applications assimilées. Les applications de la liste d'applicationsassimilées sont les applications exécutées par des ordinateurs client de votreréseau.

Pour définir des applications



2 Sur la page Politique de pare-feu, cliquez sur Règles.3 Dans l'onglet Règles, dans la liste Règles, cliquez avec le bouton droit de la

souris sur le champ Application , puis cliquez sur Modifier.

4 Dans la boîte de dialogue Liste d'applications, cliquez sur Ajouter.

5 Dans la boîte de dialogue Ajouter une application, entrez l'un ou plusieursdes champs suivants :

■ Chemin d'accès et nom de fichier

■ Description

■ Taille, en octets■ Date de dernière modification de l'application

■ Signature du fichier

6 Cliquez sur OK.

7 Cliquez sur OK.

Pour rechercher des applications dans la liste des applications assimilées

1 Sur la page Politique de pare-feu, cliquez sur Règles.

2 Dans l'onglet Règles, sélectionnez une règle, cliquez avec le bouton droit dela souris sur le champ Application puis cliquez sur Modifier.

3 Dans la boîte de dialogue Liste des applications, cliquez sur Ajouter à partir

de.

4 Dans la boîte de dialogue Rechercher des applications, recherchez uneapplication.


Personnalisation de la protection contre les menaces réseauAjouter des applications à une règle



5 Sous la table Résultats de la requête, pour ajouter l'application à la liste desapplications, sélectionnez l'application, cliquez sur Ajouter, puis sur OK.


7 Cliquez sur OK.

Ajout de planifications à une règleVous pouvez définir une période pendant laquelle une règle est active ou non.

Pour ajouter des planifications à une règle




3 Dans l'onglet Règles, sélectionnezla règle quevous souhaitezmodifier,cliquezavecleboutondroitdelasourissurlechamp Heure,puiscliquezsur Edition.

4 Dans la boîte de dialogue Liste de planifications, cliquez sur Ajouter.

5 Dans la boîte de dialogue Ajouter une planification, configurez l'heure dedébut et l'heure de fin définissant la période d'activité ou de non activité dela règle.

6 Dans la liste déroulante Mois, sélectionnez Tous ou un mois spécifique.

7 Sélectionnez l'une des cases à cocher suivantes :■ Tous les jour

■ Week-end

■ Jours de la semaine

■ Spécifier les jours

Si vous sélectionnezSpécifier les jours, sélectionnezun ou plusieurs joursde la liste.

8 Cliquez sur OK.

9 Dans la liste Planification, effectuez l'une des opérations suivantes :

■ Pour maintenir la règle active pendant ce temps, désactivez la case àcocher Toute heure à l'exception de.

■ Pour rendre la règle inactive pendant ce temps, activez la case à cocherToute heure à l'exception de.

10 Cliquez sur OK.

Personnalisation de la protection contre les menaces réseauAjout de planifications à une règle

572



Configurer des notifications pour la protection contreles menaces réseau

Par défaut, lesnotifications apparaissentsurles ordinateurs clientquand le clientdétecte divers événements de protection contre les menaces réseau. Vous pouvezactiver certaines de ces notifications. Les notifications activées affichent unmessage standard.Vous pouvezajouter du texte personnaliséau message standard.

Tableau30-1 affiche lestypes d'événements que vous pouvez activer et configurer.

Tableau 30-1 Notifications de protection contre les menaces réseau

DescriptionType de

notification

Type de notification

Une règle de pare-feu surle clientbloque uneapplication. Vouspouvez activer ou désactivercette notification et lui ajouter du texte

Pare-feuAfficher une notification

lorsque le client bloque

une application

Les applications sur le client essayentd'accéder au réseau. Cette notification esttoujours activée etne peut pasêtre désactivée.

Pare-feuTexte supplémentaire à

afficher si l'action d'une

règle de filtrage est

'Demander'

Le client détecte une attaque de préventiond'intrusion. Vouspouvez activer ou désactivercette notification via le contrôle de serveurou le contrôle mixte.

Préventiond'intrusion

Afficher les notificationsde prévention d'intrusion

Pour configurer des notifications de pare-feu




3 Dans l'onglet Notifications,cochez Afficherunenotificationlorsqueleclient

bloque une application.

4 Pour ajouter du texte personnalisé au message standard qui s'affiche quandl'action d'une règle est définie sur Demander, cochez Texte supplémentaireà afficher si l'action d'une règle de filtrage est "Demander".

5 Pour l'une ou l'autre des notifications, cliquez sur Définir le texte

supplémentaire.

Personnalisation de la protection contre les menaces réseauConfigurer des notifications pour la protection contre les menaces réseau



6 Dans la boîte de dialogue Saisissezdutextesupplémentaire , saisissez le textesupplémentaire à afficher dans la notification, puis cliquez sur OK.


Pour configurer des notifications de prévention d'intrusion

1 Dans la console, cliquez sur Clients et sélectionnez un groupe sous Afficher

les clients.


l'emplacement, sous un emplacement, développez Paramètres spécifiques

aux emplacements.

3 Adroitede Paramètresdecontrôledel'interfaceutilisateurduclient , cliquezsur Tâches, puis sur Modifier les paramètres.

4 Dans la boîte de dialogue Paramètres de contrôle de l'interface utilisateurduclientpour nomdugroupe , cliquez sur Contrôledesserveursou Contrôle

mixte.

5 Près de Contrôle mixte ou de Contrôle des serveurs, cliquez surPersonnaliser.

Si vous cliquez sur Contrôle mixte, dans l'onglet Paramètres de contrôle du

client/serveur, près de Afficher/Masquer les notifications de prévention

d'intrusion, cliquez sur Serveur. Cliquez ensuite sur l'onglet Paramètresde

l'interface utilisateur du client.

6 Dans la boîte de dialogue ou l'onglet Paramètres de l'interface utilisateur

du client, cliquez sur Afficher les notifications de prévention d'intrusion.

7 Pour activer un bip quand la notification apparaît, cliquez sur Utiliser des

effets sonores pour la notification des utilisateurs.

8 Dans le champ Durée (en secondes) d’affichage des notifications, indiquezle nombre de secondes pendant lesquelles la notification doit s'afficher.

9 Pour ajouter du texte à la notificationstandard qui apparaît, cliquez surTexte

supplémentaire.

10 Dans la boîte de dialogue Texte supplémentaire, saisissez le texte

supplémentaire à afficher dans la notification, puis cliquez sur OK.11 Cliquez sur OK.

12 Cliquez sur OK.

Configurer les messages électroniques pour les événements de trafic

Vous pouvez configurer Symantec Endpoint Protection Manager pour qu'il vousenvoie un message électronique chaque fois que le pare-feu détecte une violation

Personnalisation de la protection contre les menaces réseauConfigurer des notifications pour la protection contre les menaces réseau

574



de règle,uneattaque ou un événement. Parexemple, vous pouvezsouhaiter savoirà quel moment un client bloque le trafic venant d'une adresse IP particulière.

Pour configurer les messages électroniques pour les événements de trafic



2 Sur la page Politique de pare-feu, cliquez sur Règles.

3 Dans l'onglet Règles, sélectionnez une règle, cliquez avec le bouton droit dela souris sur le champ Consignation et effectuez les actions suivantes :

■ Pour envoyer un message de courrier électronique lors du déclenchementde la règle de filtrage, cochez Envoyer une alerte par message

électronique.

■ Pour générer un événement de journal lors du déclenchement d'une règlede filtrage,cochez lescases Ecriredanslejournaldetraficet Ecriredans

le journal de paquet.


5 Configurer une alerte de sécurité.


6 Configurer un serveur de messagerie.

Se reporter à "Etablissement de la communication entre Symantec Endpoint

Protection Manager et les serveursde messagerie électronique"àlapage364.

Installation de la surveillance d'application réseauVous pouvez configurer le client pour détecter et contrôler n'importe quelleapplication qui s'exécute sur l'ordinateur client et qui est en réseau. Lesapplications réseau envoient et reçoivent le trafic. Le client détecte si le contenud'une application change.

Le contenu d'une application change pour les raisons suivantes :

■

Un cheval de Troie a attaqué l'application.■ L'application a été mise à jour avec une nouvelle version ou une mise à jour.

Si vous suspectez qu'un cheval de Troie ait attaqué une application, vous pouvezutiliser la surveillance d'application de réseau pour configurer le client afin qu'ilbloque l'application. Vous pouvez également configurer le client pour demanderaux utilisateurs d'autoriser ou de bloquer l'application.

Personnalisation de la protection contre les menaces réseauInstallation de la surveillance d'application réseau



La surveillanced'application Réseausuit le comportementd'une application dansle journal de sécurité. Si le contenu d'une application est modifié tropfréquemment, il est probable qu'un cheval de Troie ait attaqué l'application et

que la sécurité de l'ordinateur client n'est pas assurée. Si le contenu d'uneapplication est modifié peu fréquemment, il est probable qu'un correctif ait étéinstallé et que la sécurité de l'ordinateur client n'est pas en cause. Vous pouvezutiliser ces informations pour créer une règle de pare-feu qui autorise ou bloqueune application.

Vous pouvez ajouter des applications à une liste de sorte que le client ne lessurveille pas. Vous pouvez vouloir exclure les applications que vous pensez êtesà l'abri d'une attaque de cheval de Troie, mais qui ont des mises à jour fréquenteset automatiques de correctif.

Vous pouvez vouloir désactiver la surveillanced'application de réseausi vous êtes

confiant que lesordinateurs client reçoivent la protection adéquate de l'antiviruset de la protection antispyware. Vous pouvezégalementvouloir réduire le nombrede notifications qui demandent aux utilisateurs d'autoriser ou de bloquer uneapplication réseau.

Pour installer la surveillance d'application réseau


2 Sous Afficher lesclients, sélectionnez un groupeet puiscliquez surPolitiques.

3 Dans l'onglet Politiques, sous Politiques et paramètres indépendants del'emplacement, cliquez sur le Contrôle des applications réseau.

4 Dans la boîte de dialogue Contrôle desapplications réseaupour nomde groupe,cliquez sur Activer le contrôle des applications réseau.

5 Dans la liste déroulante Lorsqu'une modification est détectée pour une

application, sélectionnez la mesure que le pare-feu prend sur l'applicationqui s'exécute sur le client :

■ Demander

Demande à l'utilisateur d'autoriser ou de bloquer l'application.

■ Bloquer le trafic

Empêche l'application de s'exécuter.■ Autoriser et consigner

Permet l'application de s'exécuter et enregistre les informations dans le journal de sécurité.

Le pare-feu prend cette mesure sur les applications qui ont été modifiéesseulement.

6 Si vous avez sélectionné Demander, cliquez sur Texte supplémentaire.


576



7 Dans la boîtede dialogue Texte supplémentaire, tapez le texte que vous voulezvoir apparaître sous le message standard, puis cliquez sur OK.

8 Pour exclure une application de la surveillance, sous Liste des applications

non contrôlées, effectuez l'une des opérations suivantes :

■ Pour définiruneapplication manuellement, cliquez surAjouter,complétezun ou plusieurs champs et cliquez sur OK.

■ Pour définirune application à partir d'une liste desapplications apprises,cliquez sur Ajouter à partir de….


La fonction des applications apprises doit être activée.

Se reporter à "Configuration du serveur de gestion pour la collecte

d'informations sur les applications que les ordinateurs client exécutent"à la page 122.

La liste des applications apprises surveille les applications en réseau et horsréseau. Vous devez sélectionner des applications en réseau seulement de laliste des applications apprises. Après avoir ajouté des applications à la listeApplicationsnoncontrôlée, vous pouvezlesactiver, lesdésactiver, lesmodifierou les supprimer.

9 Pour activerou désactiveruneapplication,sélectionnez la case à cocherdansla colonne Activée.

10 Cliquez sur OK.





578



Configuration de la

protection proactive contreles menaces

■ Chapitre 31. Configuration des analyses proactives des menaces de TruScan

■ Chapitre 32. Configurer l'application et le contrôle des périphériques

■ Chapitre 33. Personnalisation des politiques de contrôle des applications etdes périphériques

5Section



580



Configuration des analysesproactives des menaces de

TruScanCe chapitre traite des sujets suivants :

■ A propos des analyses proactives des menaces TruScan

■ A propos de l'utilisation des paramètres par défaut de Symantec

■ A propos des processus détectés par les analyses proactives des menacesTruScan

■ A propos de la gestion des faux positifs détectés par les analyses proactivesdes menaces TruScan

■ A propos de les processus que les analyses proactives des menaces TruScanignorent

■ Comment les analyses proactives des menaces TruScan fonctionnent avec laquarantaine

■ Comment lesanalyses proactives desmenaces TruScanfonctionnent avec desexceptions centralisées

■ Comprendre les détections proactives de menaces TruScan

■ Configurer la fréquence d'analyse proactive des menaces TruScan

■ Configuration des notifications pour les analyses proactives des menacesTruScan

31Chapitre



A propos des analyses proactives des menacesTruScan

Les analyses proactives desmenaces TruScan représententun degré de protectionsupplémentaire pourvotreordinateur. L'analyseproactive desmenaces complètevos logiciels existants de protection antivirus et antispyware, de préventiond'intrusion et de protection par pare-feu.

Les analyses antivirus et antispyware se fondent la plupart du temps sur dessignatures pour détecter des menaces connues. Les analyses proactives desmenaces utilisent des technologies heuristiques pour détecter des menacesinconnues. Les analyses de processus heuristiques analysent le comportementd'une application ou d'un processus. L'analyse détermine si le processusprésenteles caractéristiques de menaces telles que les chevaux de Troie, les vers ou lesenregistreurs de frappe. Ce type de protection est parfois désigné sous le nom dela protection contre des attaques "zero day".

Se reporter à "A propos des processus détectés par les analyses proactives desmenaces TruScan" à la page 583.

Remarque : Auto-Protect utilise également un type d'heuristique appeléBloodhound pourdétecter le comportement suspectdans desfichiers. Lesanalysesproactives des menaces détectent le comportement suspect dans des processusactifs.

Les paramètres concernant les analyses proactives des menaces sont ajoutés entant qu'élément d'une politique antivirus et antispyware. Un grand nombre deparamètres peuvent être verrouillésdesorte quelesutilisateurssurdesordinateursclient ne puissent pas les modifier.

Vous pouvez configurer les paramètres suivants :

■ Quels types de menaces analyser

■ Combien de fois exécuter des analyses proactives des menaces

■ Si les notifications doivent apparaître sur l'ordinateur client quand une

détection proactive de menaces se produit

Les analyses proactivesdesmenaces TruScan sont activées quand lesparamètresRechercher les chevaux de Troie et les vers ou Rechercher les enregistreurs defrappe sont activés. Si l'un de ces deux paramètres est désactivé, la page Etat duclient Symantec Endpoint Protection affiche la protection proactive contre lesmenaces comme étant désactivée.

L'analyse proactive des menaces est activée par défaut.

Configuration des analyses proactives des menaces de TruScanA propos des analyses proactives des menaces TruScan

582



Remarque : Puisque les analyses proactives des menaces analysent les anomaliesde comportement des applications et des processus, elles peuvent affecter lesperformances de votre ordinateur.

A propos de l'utilisation des paramètres par défautde Symantec

Vous pouvez décider comment vous voulez gérer les détections des menacesproactives. Vous pouvezutiliser lesparamètres pardéfautdeSymantec ouspécifierle niveau de sensibilité et l'action de détection.

Si vous choisissez de permettre à Symantec de gérer les détections, le logicielclient détermine l'action et le niveau de sensibilité. Le moteur d'analyse quis'exécute sur l'ordinateur client détermine les paramètres par défaut. Si vouschoisissez de gérer les détections, vous pouvez définir une action de détectionunique et un niveau spécifique de sensibilité.

Pour réduirelesdétections faussementpositives,Symantec recommanded'utiliserinitialement les paramètres par défaut gérés par Symantec. Après un certaintemps, vous pouvez observer le nombre de faux positifs que les clients détectent.Si ce nombre est faible, vous pouvez ajuster progressivement les paramètresd'analyse proactive des menaces. Par exemple, pour la détection des chevaux deTroie et des vers, vous pouvez placer le curseur de sensibilité légèrement plushaut quele paramètrepar défaut. Vous pouvezobserver lesrésultatsdesanalysesproactives des menaces exécutées avec la nouvelle configuration.

Se reporter à "Comprendre les détections proactives de menaces TruScan"à la page 591.

Sereporterà "Spécification desactionset desniveaux de sensibilité pour détecterdes chevaux de Troie, des vers et des enregistreurs de frappe" à la page 594.

A propos des processus détectés par les analyses

proactives des menaces TruScanLes analyses proactives des menaces détectent les processus qui se comportentcommeleschevauxdeTroie,lesversoulesenregistreursdefrappe.Lesprocessusaffichent généralement un type de comportement qu'une menace peut exploiter(par exemple, ouvrir un port sur l'ordinateur d'un utilisateur).

Vous pouvez configurer des paramètres pour certains types de détectionsproactives de menaces. Vous pouvez activer ou désactiver la détection desprocessus qui se comportent comme des chevaux de Troie, des vers ou des

Configuration des analyses proactives des menaces de TruScanA propos de l'utilisation des paramètres par défaut de Symantec



enregistreurs de frappe. Par exemple, vous pouvez détecter les processus qui secomportent comme des chevaux de Troie et des vers, mais pas les processus quise comportent comme des applications d'enregistreur de frappe.

Symantec maintientà jour uneliste desapplicationscommercialesquipourraientêtre utilisées à des fins malveillantes. Cette liste inclut les applicationscommerciales qui enregistrent les frappes de clavier de l'utilisateur. Elle inclutégalement les applications qui contrôlent un ordinateur client à distance. Voussouhaiterez peut-être savoir si ces types d'applications sont installés sur desordinateurs client. Par défaut, les analyses proactives des menaces détectent cesapplications et consignent l'événement. Vouspouvez spécifier différentes actionsde remédiation.

Vous pouvez configurer le type d'action de remédiation que le client effectuequand il détecte les types particuliers d'applications commerciales. La détection

inclut les applications commerciales qui contrôlent ou enregistrent les frappesde clavier d'un utilisateur ou contrôlent l'ordinateur d'un utilisateur à distance.Si une analyse détecte un enregistreur de frappe commercial ou un programmecommercial de téléintervention, le client utilise l'action qui est définie dans lapolitique. Vouspouvez également permettre à l'utilisateur de contrôler lesactions.

Les analyses proactives des menaces détectent également les processus qui secomportent comme des logiciels publicitaires et des spywares. Vous ne pouvezpas configurer la manière dont les analyses proactives des menaces traitent cestypes de détection. Si les analyses proactives des menaces détectent des logicielspublicitaires ou des spywares quevous voulez autoriser sur vosordinateursclient,

créez une exception centralisée.Sereporterà "Configuration d'une politique d'exceptionscentralisées"àlapage649.

Tableau 31-1 décrit lesprocessus détectés par lesanalyses proactives desmenaces.

Tableau 31-1 Processus détectés par les analyses proactives des menaces TruScan

DescriptionType de processus

Processus quiaffichentles caractéristiquesdes chevaux de Troieou des vers.

Les analyses proactives des menaces utilisent des technologiesheuristiques pour rechercher les processus qui se comportentcommedeschevauxdeTroieoudesvers.Cesprocessuspeuventêtre ou ne pas être des menaces.

Se reporter à "Spécification des actions et des niveaux desensibilité pour détecter des chevaux de Troie, des vers et desenregistreurs de frappe" à la page 594.

Chevaux de Troie et vers

Configuration des analyses proactives des menaces de TruScanA propos des processus détectés par les analyses proactives des menaces TruScan

584



DescriptionType de processus

Processus qui montrent les caractéristiques des enregistreursde frappe.

Les analyses proactives desmenacesdétectent lesenregistreursde frappe commerciaux, mais elles détectent également lesprocessus inconnus qui montrent un comportementd'enregistreur de frappe. Les enregistreurs de frappes sont desapplications d'enregistrement de frappes qui capturent lesfrappes de l'utilisateur. Ces applications peuvent être utiliséespour recueillir des informations sur les mots de passe et autresinformations essentielles. Elles peuvent être ou ne pas être desmenaces.

Se reporter à "Spécification des actions et des niveaux de

sensibilité pour détecter des chevaux de Troie, des vers et desenregistreurs de frappe" à la page 594.

Enregistreurs de frappe

Applicationscommercialesconnues qui pourraient être utiliséesà des fins malveillantes.

Les analyses proactives des menaces détectent plusieurs typesdifférents d'applications commerciales. Vous pouvezconfigurerdes actions pour deux types : enregistreurs de frappe etprogrammes de contrôle à distance.

Se reporter à "Spécifier des actions pour les détectionsd'application commerciale" à la page 595.

Applicationscommerciales

Processus qui montrent les caractéristiques des logicielspublicitaires et des spywares

Les analyses proactives des menaces utilisent des technologiesheuristiques pour détecter les processus inconnus qui secomportent comme des logiciels publicitaires et des spywares.Ces processus peuvent être ou ne pas être des risques.

Logiciels publicitaires etspywares

Se reporter à "Spécifier les types de processus que les analyses proactives desmenaces détectent" à la page 593.

Vous pouvez configurer le logiciel client pour qu'il envoie ou non à Symantec desinformations sur les détections proactives de menaces. Incluez ce paramètre entant qu'élément d'une politique antivirus et antispyware.

Se reporter à "Transmettre des informations sur des analyses à Symantec"à la page 471.

Configuration des analyses proactives des menaces de TruScanA propos des processus détectés par les analyses proactives des menaces TruScan



A propos de la gestion des faux positifs détectés parles analyses proactives des menaces TruScan

Les analyses proactives des menaces TruScan renvoient parfois des faux positifs.Ces analyses recherchent les applications et les processus présentant uncomportement suspect plutôt que les virus ou les risques de sécurité connus. Depar leur nature, ces analyses signalent généralement les éléments que vous nepenseriez pas à détecter.

Pour la détection des chevaux de Troie, des vers ou des enregistreurs de frappe,vous pouvez choisir d'utiliser l'action et les niveaux de sensibilité par défaut queSymantec spécifie. Ou vous pouvez choisir de gérer les actions de détection et lesniveaux de sensibilité vous-même. Si vous gérez les paramètres vous-même, vousrisquez de détecter de nombreux faux positifs. Si vous voulez gérer les actions etles niveaux de sensibilité, soyez conscient de l'impact résultant sur votre réseaude sécurité.

Remarque : Si vous changez le niveaude sensibilité, vous pouvezchanger le nombretotal de détections. Si vous modifiez le niveau de sensibilité, il se peut que vousréduisiez le nombre de faux positifs que les analyses proactives des menacesproduisent. Si vous modifiez lesniveaux desensibilité,Symantec vous recommandede le faire graduellement et de vérifier les résultats.

Si une analyse proactive des menaces détecte un processus que vous déterminezcomme ne constituant pas un problème, vous pouvez créer une exception. Grâceà uneexception, les analyses futures ne signalent pasle processus. Lesutilisateurssur les ordinateurs client peut également créer des exceptions. En cas de conflitentre une exception définie par l'utilisateur et une exception définie parl'administrateur, l'exception définie par l'administrateur l'emporte.


Tableau 31-2présente lestâchesde création d'un plan de gestion desfaux positifs.

Configuration des analyses proactives des menaces de TruScanA propos de la gestion des faux positifs détectés par les analyses proactives des menaces TruScan

586



Tableau 31-2 Plan de gestion des faux positifs

DescriptionTâche

Les politiques antivirus et antispyware incluent les paramètresgérés par Symantec. Ce paramètre est activé par défaut. Quandce paramètre estactivé,Symantec détermineles actionseffectuéeslorsdesdétections de cestypes de processus.Symantecdétermineégalement le niveau de sensibilité utilisé pour les analyser.

Quand Symantec gère les détections, les analyses proactives desmenaces effectuentune action basée sur la manière dontl'analyseinterprète la détection.

L'analyse effectue l'une des actions suivantes au niveau de ladétection :

■ Mise en quarantaineL'analyse effectue cetteaction pour les détections constituantprobablement des menaces réelles.

■ Journal uniquement

L'analyse effectue cetteaction pour les détections constituantprobablement des faux positifs.

Remarque : Si vous choisissez de gérer l'action de détection,choisissez une action. Cette action est toujours effectuée pour cetype de détection. Si vous définissez l'action sur Quarantaine, leclient met en quarantaine toutes les détections de ce type.

Assurez-vous queSymantec gère leschevaux de Troie, lesvers et les détectionsd'enregistreur defrappe.

Vérifiez que les ordinateurs qui produisent des faux positifscomportent le dernier contenu de Symantec. Le dernier contenuinclut les informations sur les processus que Symantec jugecorrespondre à des faux positifs connus. Ces faux positifs connussont exclus de la détection de l'analyse proactive des menaces.

Vous pouvez exécuter un rapport via la console pour savoir quelsordinateurs exécutent la dernière version du contenu.

Se reporter à "Surveillance de la protection de terminal"à la page 207.

Vous pouvez mettre à jour le contenu par l'une des actions

suivantes :

■ Appliquez une politique LiveUpdate.

Sereporterà "A propos despolitiquesLiveUpdate" àlapage150.

■ Exécutez la commande Update pour les ordinateurssélectionnés répertoriés dans l'onglet Clients.

■ Exécutez la commandeUpdate surlesordinateurs sélectionnésrépertoriés dans le fichier journal d'état ou des risques del'ordinateur.

Assurez-vous que lecontenu de Symantecest actuel.

Configuration des analyses proactives des menaces de TruScanA propos de la gestion des faux positifs détectés par les analyses proactives des menaces TruScan



DescriptionTâche

Les paramètres de soumission sont inclus en tant qu'élément dela politique antivirus et antispyware.

Assurez-vous que les ordinateurs client sont configurés pourenvoyer automatiquement à Symantec Security Response desinformationssurlesprocessus détectés parlesanalysesproactivesdes menaces. Ce paramètre est activé par défaut.

Se reporter à "Transmettre des informations sur des analyses àSymantec" à la page 471.

Assurez-vous que lessoumissions sontactivées.

Vous pouvez créer une politique qui inclut des exceptions pourles faux positifs que vous découvrez. Par exemple, vous pouvezexécuter un processus ou une application spécifique sur votre

réseau de sécurité. Vous savez que le processus peut s'exécuteren toute sécurité dans votre environnement. Si les analysesproactives des menaces TruScan détectent le processus, vouspouvez créer une exception de sorte que les analyses futures nele détectent pas.

Se reporter à "Configuration d'une politique d'exceptionscentralisées" à la page 649.

Créez des exceptionspour les faux positifsque vous découvrez.

A propos de les processus que les analyses proactives

des menaces TruScan ignorentLes analyses proactives des menaces TruScan autorisent certains processus etdispensent ces processus des analyses. Symantec gère cette liste de processus.Symantec remplit généralement cette liste avec les applications qui sont desfauxpositifs connus. Les ordinateurs client de votre réseau de sécurité reçoiventpériodiquement des mises à jour de cette liste quand ils téléchargent un nouveaucontenu. Les ordinateurs client peuvent télécharger le contenu de différentesmanières. Le serveur de gestion peut envoyer le contenu mis à jour. Vous ou vosutilisateurs peut également exécuter LiveUpdate sur les ordinateurs client.

Les analyses proactives des menaces TruScan ignorent certains processus. Cesprocessus peuvent inclure lesapplicationspour lesquelles Symantec n'apasassezd'informations ou les applications qui chargent d'autres modules.

Vous pouvezégalementspécifier quelesanalyses de menaces proactives TruScanignorentcertains processus. Vousspécifiezque lesanalysesproactivesdesmenacesignorent certains processus en créant une exception centralisée.

Les utilisateurs des ordinateurs client peuvent également créer des exceptionspour des analyses proactives des menaces. Si une exception définie par

Configuration des analyses proactives des menaces de TruScanA propos de les processus que les analyses proactives des menaces TruScan ignorent

588



l'administrateur esten conflità une exception définiepar l'utilisateur, lesanalysesproactives des menaces appliquent seulement l'exception définie parl'administrateur. L'analyse ignore l'exception de l'utilisateur.

Sereporterà"Comment lesanalyses proactivesdesmenaces TruScan fonctionnentavec des exceptions centralisées" à la page 590.

Comment les analyses proactives des menacesTruScan fonctionnent avec la quarantaine

Vous pouvez configurer des analyses proactives des menaces pour mettre enquarantaine des détections. Les utilisateurs des ordinateurs client peut restaurerdes éléments mis en quarantaine. Le client Symantec Endpoint Protection peut

également restaurer automatiquement des éléments mis en quarantaine.Quand un client reçoit de nouvelles définitions, il réanalyse les éléments mis enquarantaine. Si les éléments mis en quarantaine sont considérés commemalveillants, le client consigne l'événement.

Les ordinateurs client reçoivent régulièrement des mises à jour de listes deprocessus et applicationscorrects définis par Symantec.Quand de nouvelles listessont disponibles sur des ordinateurs client, les éléments mis en quarantaine sontvérifiés par rapport à ces listes. Si ces listes à jour autorisent des éléments mis enquarantaine, le client les restaure automatiquement.

En outre, lesadministrateurs ou lesutilisateurspeuvent créer desexceptions pourdes détectionsdes menaces proactives. Quandles dernièresexceptionsautorisentles éléments mis en quarantaine, le client les restaure.

Les utilisateurs peut afficher les éléments mis en quarantaine sur à la paged'Afficher la quarantaine dans le client.

Le client ne soumet pas les éléments que les analyses proactives des menacesmettent en quarantaine à un serveur de quarantaine centralisée. Les utilisateurspeuvent soumettre automatiquement ou manuellement des éléments de laquarantaine locale à Symantec Security Response.

Sereporterà "Transmettre deséléments en quarantaine à Symantec" àlapage477.

Configuration des analyses proactives des menaces de TruScanComment les analyses proactives des menaces TruScan fonctionnent avec la quarantaine



Comment les analyses proactives des menacesTruScan fonctionnent avec des exceptions

centraliséesVous pouvez créer vos propres listes d'exception pour que le client de SymantecEndpoint Protection vérifie quand il exécute des analysesproactives des menaces.Vous créez ces listes en créant des exceptions. Les exceptions spécifient leprocessus et la mesure à prendre quandune analyse proactivedes menacesdétecteun processus spécifié. Vous pouvez créer des exceptions seulement pour lesprocessus qui ne sont pas inclus dans la liste définie par Symantec des processuset des applications connus.

Par exemple, vous pourriez vouloir créer une exception pour effectuer l'une des

opérations suivantes :■ Ignorer un certain enregistreur de frappe commercial

■ Mettre en quarantaine une application particulière qui ne doit pas s'exécutersur des ordinateurs client

■ Permettre à une application spécifique de téléintervention de s'exécuter

Pour éviter les conflits entre les exceptions, les analyses de menaces proactivesutilisent l'ordre de priorité suivant :

■ Exceptions définies par Symantec

■ Exceptions définies par l'administrateur

■ Exceptions définies par l'utilisateur

La liste définie par Symantec a toujours la priorité sur les exceptions définies parl'administrateur. Les exceptions définies par l'administrateur ont toujours lapriorité sur les exceptions définies par l'utilisateur.

Vous pouvez utiliser une politique d'exceptions centralisées pour spécifier quedes processus détectés connu sont autorisés en définissant l'action de détectionà ignorer. Vous pouvez également créer une exception centralisée pour spécifierqu'on ne permet pas certains processus en définissant l'action Mettre en

quarantaine ou Terminer.Les administrateurs peuvent obliger une détection des menaces proactive encréant une exception centralisée qui spécifie un nom de fichier pour des analysesproactives des menaces à détecter. Quand l'analyse proactivedesmenaces détectele fichier, le client consigne l'instance. Puisque les noms de fichier ne sont pasuniques, des processus multiples peuvent utiliser le même nom de fichier. Vouspouvez utiliser des détections obligatoires pour vous aider à créer des exceptionspour ignorer, mettre en quarantaine ou terminer un processus particulier.

Configuration des analyses proactives des menaces de TruScanComment les analyses proactives des menaces TruScan fonctionnent avec des exceptions centralisées

590



Quand une analyse proactive des menaces sur l'ordinateur client consigne ladétection, celle-ci fait partie d'une liste des processus connus. Vous pouvezsélectionner dans la liste quand vous créez une exception desanalyses proactives

des menaces. Vous pouvez définir une action particulière pour la détection. Vouspouvez également utiliser le journal proactif de détection sous l'onglet Contrôlesdans la console pour créer l'exception.



Les utilisateurs peuvent créer des exceptions sur l'ordinateur client par une desméthodes suivantes :

■ La liste Afficher la quarantaine

■ La boîte de dialogue des résultats de l'analyse

■ Exceptions centralisées

Un administrateurpeutverrouiller uneliste d'exceptions de sorte qu'un utilisateurne puisse créer aucune exception. Si un utilisateur a créé des exceptions avantque l'administrateur n'ait verrouillé la liste, lesexceptionscréées par l'utilisateursont désactivées.

Comprendre les détections proactives de menacesTruScan

Quand une analyse proactive des menaces TruScan détecte des processus qu'ellesignale comme potentiellement malveillants, certains de ces processus sontgénéralement des processus légitimes. Certaines détections ne fournissent pasassez d'informations pour pouvoir être classées comme menaces ou faux positifs ;ces processus sont considérés comme "inconnus."

Une analyse proactivedesmenacesexamine le comportementdesprocessus actifspendant qu'elle s'exécute. Le moteurd'analyserecherchedescomportements telsque l'ouverture de ports ou la capture de frappes de clavier. Si un processusimplique une quantité suffisante de ces typesde comportements, l'analyse signale

ce processuscomme constituant unemenace potentielle. L'analyse ne signale pasle processus s'il n'affiche aucun comportement suspect pendant l'analyse.

Par défaut, les analyses proactives des menaces détectent les processus qui secomportent comme deschevaux de Troie, desvers ou desenregistreurs de frappe.Vous pouvez activer ou désactiver ces types de détection dans une politiqueantivirus et antispyware.

Configuration des analyses proactives des menaces de TruScanComprendre les détections proactives de menaces TruScan



Remarque : Lesparamètres d'analyse proactive desmenaces n'ont aucun effet surles analyses antivirus et antispyware, qui utilisent des signatures pour détecterles risques connus. Le client détecte d'abord les risques connus.

Se reporter à "Spécifier les types de processus que les analyses proactives desmenaces détectent" à la page 593.

Le client utilise les paramètres par défaut de Symantec pour déterminer quellemesure prendre au niveaudes éléments détectés. Si le moteur d'analyse détermineque l'élément n'a besoin d'aucune correction, le client consigne la détection. Si lemoteur d'analyse détermine que l'élément doit être corrigé, le client met enquarantaine l'élément.

Remarque : Les options RechercherleschevauxdeTroieetlesvers et Rechercherles enregistreurs de frappe ne sont actuellement pas prises en charge sur lessystèmes d'exploitation Windows Server et Windows XP Professionnel 64 bits.L'option Rechercherlesenregistreursdefrappe n'estpasnonpluspriseenchargepar Windows 7. Vous pouvez modifier les options dans la politique antivirus etantispywaredesclients qui s'exécutentsurdessystèmes d'exploitation de serveur,mais lesanalyses ne s'exécutent pas. Dans l'interface utilisateur clientdessystèmesd'exploitation de serveur, les options d'analyse ne sont pas disponibles. Si vousactivez les options d'analyse dans la politique, elles sont sélectionnées et nondisponibles.

Les paramètres par défaut de Symantec sont également utilisés pour déterminerla sensibilité de l'analyse proactive des menaces. Quand le niveau de sensibilitéest plus élevé, plus de processus sont signalés. Quand le niveau de sensibilité estplus bas, moins de processus sont signalés. Le niveau de sensibilité n'indique pasle niveau de certitude relatif à la détection. De même, il n'affecte pas le taux dedétections de faux positifs. Plus le niveau de sensibilité est élevé, plus l'analysedétecte des faux positifs et des vrais positifs.

Utilisez les paramètres par défaut de Symantec pour mieux réduire le nombre defaux positifs que vous détectez.

Vous pouvez désactiver les paramètres par défaut de Symantec. Quand vousdésactivez les paramètres par défaut de Symantec, vous pouvez configurer lesactions et le niveau de sensibilité pour la détection des chevaux de Troie, des versou des enregistreurs de frappe. Dans l'interface utilisateur client, les paramètrespardéfautquiapparaissentne reflètentpaslesparamètres pardéfautdeSymantec.Ils reflètent les paramètres par défaut utilisés quand vous gérez manuellementles détections.


592



Pour les applications commerciales, vous pouvez spécifier la mesure que le clientprend quand une analyse proactive des menaces fait une détection. Vous pouvezspécifier des actions distinctes pour la détection d'un enregistreur de frappe

commercial et la détection d'une application commerciale de téléintervention.Sereporterà "Spécification desactionset desniveaux de sensibilité pour détecterdes chevaux de Troie, des vers et des enregistreurs de frappe" à la page 594.

Se reporterà "Spécifier des actionspourlesdétections d'applicationcommerciale"à la page 595.

Remarque : Les utilisateurs sur des ordinateurs client peuvent modifier lesparamètres d'analyse proactive des menaces si les paramètres sont déverrouillésdans la politique antivirus et antispyware. Sur l'ordinateur client, les paramètresd'analyseproactive desmenaces TruScan apparaissent sous Protection proactivecontre les menaces.

Spécifier les types de processus que les analyses proactives desmenaces détectent

Par défaut, les analyses proactives des menaces TruScan détectent les chevauxde Troie, lesverset lesenregistreurs de frappe.Vous pouvezdésactiverla détectiondes chevaux de Troie et des vers ou des enregistreurs de frappe.

Se reporter à "Comprendre les détections proactives de menaces TruScan"

à la page 591.Vous pouvez cliquer sur Aide pour plus d'informations sur les options de type deprocessus de l'analyse.

Pour spécifier les types de processus que les analyses proactives des menaces

TruScan détectent

1 Dans la page Politique antivirus et antispyware, cliquez sur Analyses

proactives des menaces TruScan.

2 Dans l'onglet Détails de l'analyse, sous Analyse, cochez ou désélectionnezRechercherleschevauxdeTroieetlesvers et Rechercherles enregistreurs

de frappe.

3 Cliquez sur OK.




Spécification des actions et des niveaux de sensibilité pour détecterdes chevaux de Troie, des vers et des enregistreurs de frappe

Les analyses proactives des menaces TruScan diffèrent des analyses antivirus etantispyware. Les analyses d'antivirus et antispyware recherchent des risquesconnus. Les analyses proactives des menaces recherchent des risques inconnusbasés sur le comportement de certains types de processus ou d'applications. Lesanalyses détectent n'importe quel comportement semblable au comportementdes chevaux de Troie, des vers ou des enregistreurs de frappe.

Se reporter à "Comprendre les détections proactives de menaces TruScan"à la page 591.

Quand vous permettez à Symantec de gérer les détections, l'action de détectionest Mettre en quarantaine pour les vrais positifs et Consigner suelement pour les

faux positifs.Quand vous gérez les détections vous-même, vous pouvez configurer l'action dedétection. Cette action est toujours utilisée quand les analyses proactives desmenaces effectuent une détection. Par exemple, vous pourriez spécifier que leclient de Symantec Endpoint Protection consigne la détection des processus quise comportent comme des chevaux de Troie et des vers. Quand le client effectueune détection, il ne met pas le processus en quarantaine, il consigne seulementl'événement.

Vous pouvez configurer le niveau de sensibilité. Les analyses proactives desmenaces effectuent plus de détections (vrais positifs et faux positifs) quand vous

définissez le niveau de sensibilité plus haut.

Remarque : Si vous activez ces paramètres, vous risquez de détecter beaucoup defaux positifs. Vous devez connaître lestypes de processusque vous exécutez dansvotre réseau de sécurité.

Vous pouvezcliquer surAide pour plus d'informations surlesoptions de l'analyseet sa sensibilité.

Pour spécifier l'action et la sensibilité des chevaux de Troie, des vers ou des

enregistreurs de frappe



2 Dans l'onglet Détails de l'analyse, sous Analyse, assurez-vous que voussélectionnez Rechercher les chevaux de Troie et les vers et Rechercher les

enregistreurs de frappe.


594



3 Pour l'un ou l'autre type de risque, désactivez la case Utiliser les paramètres

par défaut définis par Symantec.

4 Pour l'un ou l'autre type de risque, définissez l'action sur Journal, Supprimer

ou Mise en quarantaine.

Des notifications sont envoyées si une action est définie sur Mettre enquarantaine ou sur Terminer, et si vous avez activé les notifications. (Lesnotifications sont activées par défaut.) Utilisez l'action Terminer avecprudence. Dans certains cas, vous pouvezentraînerla perte de fonctionnalitéd'une application.


■ Déplacez la case de défilement vers la gauche ou la droite ou augmenter,respectivement la sensibilité.

■ Cliquez sur Basse ou Elevée.

6 Cliquez sur OK.

Spécifier des actions pour les détections d'application commerciale

Vous pouvezmodifier l'actioneffectuéequand uneanalyse proactivedesmenacesTruScan fait une détection. Si vous définissez l'action sur Ignorer, les analysesproactives des menaces ignorent les applications commerciales.

Se reporter à "Comprendre les détections proactives de menaces TruScan"

à la page 591.Vous pouvez cliquer sur Aide pour obtenir plus d'informations sur les optionsutilisées dans les procédures.

Pour spécifier des actions pour les détections d'application commerciale



2 Dans l'onglet Détails de l'analyse, sous Application commerciale détectée,définissez l'opération à effectuer : Ignorer, Consigner, Arrêter ou Mettre enquarantaine.

3 Cliquez sur OK.




Configurer la fréquence d'analyse proactive desmenaces TruScan

Vous pouvez configurer la fréquence d'exécution des analyses proactives desmenaces TruScan en incluant le paramètre dans une politique antivirus etantispyware.

Remarque : Si vous modifiez la fréquence des analyses proactives des menaces,cela peut affecter la performance des ordinateurs client.


Vous pouvez cliquersurAide pourplusd'informations surlesoptions de fréquence

de l'analyse.Pour configurer la fréquence d'analyse proactive des menaces



2 Dans l'onglet Fréquence d'analyse, sous Fréquence d'analyse, définissez unedes options suivantes :

■ A la fréquence d'analyse par défaut

Le logiciel de moteur d'analyse détermine la fréquence d'analyse. Il s'agitdu paramètre par défaut.

■ A une fréquence d'analyse personnalisée

Si vous activez cette option, vous pouvez indiquer que le client analyseles nouveaux processus dès qu'il les détecte. Vous pouvez égalementconfigurer le temps de fréquence d'analyse.

3 Cliquez sur OK.

Configuration des notifications pour les analyses

proactives des menaces TruScanPar défaut, des notifications sont envoyées aux ordinateurs client toutes les foisqu'il y a une détection de l'analyse proactive des menaces TruScan. Vous pouvezdésactiver les notifications si vous ne voulez pas que l'utilisateur soit notifié.


Les notifications avertissent l'utilisateur qu'une analyse proactive des menacesa détecté une menace que l'utilisateur doit résoudre. L'utilisateur peut utiliser la

Configuration des analyses proactives des menaces de TruScanConfigurer la fréquence d'analyse proactive des menaces TruScan

596



boîte de dialogue Notifications pour corriger le problème. Certaines détectionsd'analyse proactive des menaces ne nécessitent aucune intervention. Pour cesdétections, le client Symantec Endpoint Protection consigne la détection, mais

n'envoie pas de notification.

Remarque : Si vous définissez l'utilisation par les détections des paramètres pardéfautdeSymantec,desnotificationsne sont envoyées quesi le clientrecommandeune résolution pour le processus.

Les utilisateurs peuvent également résoudredes détections en affichant le journaldes menaces et en sélectionnant une action.

Vous pouvez créer une exception centralisée pour exclure un processus de ladétection ; les utilisateurs des ordinateurs client peuvent également créer des

exceptions.

Se reporter à "A propos des politiques d'exceptions centralisées" à la page 645.

Vous pouvez cliquer sur Aide pour obtenir des informations supplémentaires surles options de notification de l'analyse.

Pour configurer des notifications pour lesanalyses proactives des menaces TruScan




■ Afficher un message en cas de détection

■ Afficher un avertissement avant la fin d'un processus

■ Afficher un avertissement avant l'arrêt d'un service

3 Cliquez sur OK.

Configuration des analyses proactives des menaces de TruScanConfiguration des notifications pour les analyses proactives des menaces TruScan



Configuration des analyses proactives des menaces de TruScanConfiguration des notifications pour les analyses proactives des menaces TruScan

598



Configurer l'application etle contrôle des

périphériquesCe chapitre traite des sujets suivants :

■ A propos du contrôle des applications et des périphériques

■ A propos de la structure d'une politique de contrôle des applications et despériphériques

■ A propos du contrôle des applications

■ A propos du contrôle des périphériques

■ A propos de l'utilisation du contrôle des applications et des périphériques

■ Créer un ensemble de règles par défaut de contrôle des applications

■ Création d'une politique de contrôle des applications et des périphériques

■ Configuration du contrôle des applications pour une politique de contrôle desapplications et des périphériques

■ Configuration d'un contrôle des périphériques pour une politique de contrôledes applications et des périphériques

32Chapitre



A propos du contrôle des applications et despériphériques

Vous voulez utiliser le contrôle des applications et des périphériques pour lesraisons suivantes :

■ Pour empêcher un programme malveillant de pirater des applications sur lesordinateurs client.

■ Pour éviter une suppression involontaire de données des ordinateurs client.

■ Pour limiter les applications pouvant être exécutées sur un ordinateur client.

■ Pour réduire la possibilité d'infection d'un ordinateur par des menaces desécurité à partir d'un périphérique.

Le contrôle des applications et des périphériques est mis en oeuvre sur lesordinateurs clients à l'aide d'une politique de contrôle des applications et despériphériques.

Une politique de contrôle des applications et des périphériques offre les types deprotection suivants aux ordinateurs client :

■ Le contrôle des applications permet la surveillance des appels API Windowseffectués sur les ordinateurs clients et le contrôle de l'accès aux fichiers,dossiers, clés de registre de Windows et processus des clients.

Il protège les ressources du système des applications.

Se reporter à "A propos du contrôle des applications" à la page 602.■ Contrôle despériphériques pourgérer lesdispositifs périphériques quipeuvent

s'attacher aux ordinateurs.

Se reporter à "A propos du contrôle des périphériques" à la page 608.

Lorsque vous créez une nouvelle politique de contrôle des applications et despériphériques, vous pouvez définir chacun des deux types de protection. Vousavez également l'option d'ajouter d'abord, soit le contrôle d' application, soit lecontrôle de périphérique, puis l'autre type de protection ultérieurement.

Se reporterà "A proposde la structured'unepolitiquede contrôle des applicationset des périphériques" à la page 601.

Vous pouvez appliquer uniquement une politique de contrôle des applications etdes périphériques à chaque emplacement au sein d'un groupe. Si vous voulezmettre en oeuvre les deux types de protection, vous devez définir le contrôle desapplications et celui des périphériques dans la même politique.

Se reporter à "A propos de l'utilisation du contrôle des applications et despériphériques " à la page 609.

Configurer l'application et le contrôle des périphériquesA propos du contrôle des applications et des périphériques

600



Remarque : L'information dans ce chapitres'appliqueuniquement aux ordinateursclient 32 bits. Les Politiques de contrôle des applications et des périphériques nefonctionnent pas sur les ordinateurs client 64 bits.

A propos de la structure d'une politique de contrôledes applications et des périphériques

La partie contrôle des applications d'une politique de contrôle des applicationset des périphériques peut contenir plusieurs ensembles de règles et chaqueensemble contient uneou plusieursrègles. Vous pouvezconfigurer des propriétéspour un ensemble de règles, des propriétés, des conditions et des actions pourchaque règle.

Les règles contrôlent les tentatives d'accès aux entités informatiques, telles queles fichiers et les clés de registre de registre de Windows que Symantec EndpointProtection contrôle. Configurez ces différents types de tentatives comme desconditions. Pour chaquecondition, vous pouvezconfigurer desmesures à prendrelorsque les conditions sont réunies. Configurez les règles à appliquer à certainesapplications uniquement ; vous pouvez éventuellement les configurer de façon àexclure l'application de ces mesures à d'autres applications.

Se reporter à "A propos des propriétés de règle de contrôle des applications"à la page 605.

Se reporter à "A propos des conditions de règle de contrôle des applications"à la page 605.

Se reporter à "A propos des propriétés de condition de règle de contrôle desapplications" à la page 606.

Se reporter à "A propos des actions de condition de règle de contrôle desapplications" à la page 607.

Le contrôle des périphériques est composé d'une liste de périphériques bloquéset d'une liste de périphériques exclus du blocage. Vous pouvez y ajouter deséléments et gérer leur contenu.

Figure 32-1 illustre les composants de contrôle des applications et despériphériques et les relations qui existent entre eux.

Configurer l'application et le contrôle des périphériquesA propos de la structure d'une politique de contrôle des applications et des périphériques



Figure 32-1 Structure de la politique de contrôle des applications et des

périphériques

A propos du contrôle des applicationsLe contrôle des application permet de surveiller et de contrôler le comportementdes applications. Vous pouvez bloquer ou autoriser l'accès à des clés de registrede Windows, fichiers et dossiers spécifiques. Vous pouvez également bloquer ouautoriser des applications à lancer ou terminer d'autres processus. Vous pouvezdéfinir les applications autorisées à être éxécutées et celles qui ne peuvent pasêtre terminées par desprocessusirréguliers. Vous pouvez définir lesapplicationspouvant appeler des bibliothèques de liens dynamiques (DLL);

Avertissement : Le contrôle des applications est une fonction de sécurité avancéeque seuls les administrateurs expérimentés peuvent configurer.

Le contrôle des applications est mis en oeuvre à l'aide d'ensembles de règlesdéfinissant la méthode de contrôle des applications. Le contrôle des applicationsest un ensemble de commandes autorisant ou bloquant une action. Vous pouvezcréer autant d'ensembles de règles que nécessaires dans une politique. Vous

Configurer l'application et le contrôle des périphériquesA propos du contrôle des applications

602



pouvez également configurer les ensembles de règles actifs à un moment donnéen utilisant l'option Activé pour chaque ensemble de règles.

Vous pouvez utiliser le contrôle des applications pour protéger les ordinateurs

client de la manière suivante :

■ Protéger des clés de registre de Windows et des valeurs spécifiques.

■ Répertoires de sauvegarde, comme le répertoire \WINDOWS\system.

■ Empêcher les utilisateurs de modifier des fichiers de configuration.

■ Protège les fichiers de programmes importants comme le répertoire privé deSymantec sur lequel l'ordinateur client est installé.

■ Protège des processus spécifiques ou exclut des processus de la protection.

■ Contrôle l'accès aux DLL.

Se reporter à "Création d'une politique de contrôle des applications et despériphériques" à la page 611.

Se reporter à "A propos du mode test" à la page 603.

Se reporter à "A propos des règles et des groupes de règles de contrôle desapplications" à la page 604.

A propos du mode test

Lorsque vous créez un ensemble de règles de contrôle des applications, vous le

créez dans le mode par défaut, qui est le mode Test (consigner seulement). Lemode Test vous permet de tester vos règles avant de les activer. En mode Test,aucuneaction n'est appliquée, mais lesactions configurées sont consignées commesi elles étaient appliquées. En mode Test, vous pouvez attribuer la politique auxgroupes et aux emplacements et générer un journal de contrôle client. Examinezles journaux de contrôle client pour y rechercher des erreurs et apportez lescorrections nécessaires à la règle. Lorsque la politique fonctionne comme prévu,vous pouvez changer le mode en mode Production pour mettre en oeuvrel'ensemble de règles de contrôle des applications.

La meilleure méthode consiste à exécuter tous les ensembles de règle en mode

Test pendant une période de temps avant de les passer en mode Production. Cetteméthode réduit le risque de problèmes pouvant survenir lorsque vous n'anticipezpas toutes les ramifications possibles d'une règle.

Se reporter à "Modification du mode d'un ensemble de règles de contrôle desapplications" à la page 623.




A propos des règles et des groupes de règles de contrôle desapplications

Les ensembles de règles se composent des règles et de leurs conditions. Une règleest un ensemble de conditions et d'actions qui s'appliquent à un ou des processusdonnés. Une pratique d'excellence consiste à créer un ensemble de règles quiinclut toutes les actions qui autorisent, bloquent et surveillent une tâche donnée.Suivez ce principe pour vous aider à tenir vos règles organisées. Par exemple,supposez que vous désirez bloquer les tentatives d'écriture sur tous les lecteursamovibles et que vous souhaitez bloquer les applications contre les interventionsavec une application particulière. Pour atteindre ces objectifs, vous devez créerdeux ensembles de règles différents. Vous ne devez pas créer toutes les règlesnécessaires à l'accomplissement de cesdeux objectifs avec un ensemble de règles.

Remarque : Actuellement, Symantec Endpoint Protection Manager ne prend pasen charge les ensembles de règles spécifiant le blocage de tentatives d'écrituressur des CD ou des lecteurs de DVD. Vous pouvez sélectionner l'option dans lepolitique de contrôle desapplications et despériphériques. Elle ne sera cependantpas appliquée. Vous pouvez en revanche créer un politique de contrôle desapplicationset despériphériques qui bloque les applicationsaccédant en écritureaux CD ou lecteurs de DVD. Vous devez également créer une politique d'intégritéde l'hôte définissant la clé de registre de Windows de manière à bloquer lestentatives d'écriture sur les CD ou les lecteurs de DVD.

Pour obtenir des informations actuelles, consultez le document suivant de basede données Symantec : Après avoir installé une politique de contrôle desapplications et des périphériques pour bloquer l'écriture de CD, cette opérationn'est pas bloquée comme prévu, et la tentative d'écriture n'est pas consignée

Vous appliquez une règle à une ou plusieurs applications pour définir lesapplications que vous surveillez. Les règles contiennent des conditions. Cesconditions surveillent l'application ou les applications qui sont définies dans larègle pour lesopérations spécifiées. Les conditions définissent ce que vous voulezautoriser les applications à faire ou les empêcher de faire. Les conditionscontiennent également les actions à prendre lorsque l'opération qui est spécifiée

dans la condition est respectée.

Remarque : Souvenez-vous que lesactions s'appliquent toujours au processusquiest défini dans la règle. Elles ne s'appliquent pas aux processus qui sont définisdans la condition.


604

http://www.symantec.com/techsupp/servlet/ProductMessages?product=SAVCORP&version=11.0&language=english&module=DOC&error=ADC_CD_write_noblock&build=symantec_ent








Se reporter à "Création d'un groupe de règles de contrôle d'applications et ajoutd'une nouvelle règle au groupe" à la page 613.

Se reporter à "A propos des propriétés de règle de contrôle des applications"

à la page 605.

Se reporter à "A propos des conditions de règle de contrôle des applications"à la page 605.

Se reporter à "A propos des propriétés de condition de règle de contrôle desapplications" à la page 606.

Se reporter à "A propos des actions de condition de règle de contrôle desapplications" à la page 607.

A propos des propriétés de règle de contrôle des applications

Vous pouvez configurer les propriétés suivantes pour une règle :

■ Un nom

■ Une description (facultative)

■ Si la règle est activée ou désactivée

■ Une liste des applications sur lesquelles la règle doit être appliquée

■ Une liste des applications sur lesquelles la règle ne doit pas être appliquée(facultative)

Se reporter à "A proposde la structured'unepolitique de contrôle desapplicationset des périphériques" à la page 601.

A propos des conditions de règle de contrôle des applications

Les conditions sont des opérations pouvant être autorisées ou refusées pour lesapplications.

Tableau 32-1 décrit les conditions de règle de contrôle des applications pouvantêtre configurées pour une règle.

Tableau 32-1 Types de conditions de règle

DescriptionCondition

Autoriser ou bloquer l'accès aux paramètres de registre deWindows d'un ordinateur client.

Vous pouvez autoriser ou bloquer l'accès aux clés, valeurset données spécifiques de registre de Windows.

Tentatives d'accès au registre




DescriptionCondition

Autoriserou bloquer l'accès auxfichiers oudossiers spécifiéssur un ordinateur client.

Vous pouvez limiter la seuveillance des fichiers et dossiersà des types spécifiques de disque.

Tentatives d'accès au fichieret au dossier

Autoriser ou bloquer la possibilité de lancement d'unprocessus sur un ordinateur client.

Tentatives de lancement deprocessus

Autoriser ou bloquerla possibilité de terminer un processussur un ordinateur client

Vous pouvez par exemple vouloir bloquer l'arrêt d'uneapplication particulière. Cette condition recherche lesapplications essayant d'arrêter une applicaton spécifiée.

Remarque : Cetteconditionempêche lesautres applicationsou procédures de terminer le processus. Elle n'empêchepasla finde l'application à l'aide de méthodes usuelles de sortied'une application, comme en cliquant sur Quitter dans lemenu Fichier.

Tentatives d'arrêt duprocessus

Autoriser ou bloquer la possibilité de chargement d'un DLLsur un ordinateur client.

Vous pouvez définir les fichiers DLL dont vous voulezbloquer ou autoriser le chargement dans une application.

Vous pouvez utiliser des noms de fichiers, des caractèresgénériques, des listes de signature et des expressionsstandards spécifiques. Vous pouvez également limiter lasurveillance des DLL sur les DLL lancés à partir d'un typede disque particulier.

Tentatives de chargementdeDLL


Se reporter à "Ajout de conditions à une règle" à la page 615.

Se reporterà "Configuration despropriétés de condition d'une règle" àlapage616.

Se reporter à "Configurer les actions à prendre lorsqu'une condition est remplie"à la page 618.

A propos des propriétés de condition de règle de contrôle desapplications

Vous pouvez configurer les propriétés suivantes pour une condition de règle :

■ Un nom


606



■ Une description (facultative)

■ Si la condition de règle est activée ou désactivée

■

Uneliste desentitésinformatiques quidevront être contrôlées pour lacondition■ Une liste des entités informatiques qui devront être exclues du contrôle pour

la condition (facultative)


A propos des actions de condition de règle de contrôle desapplications

Vous pouvez configurer certaines actions à prendre lorsqu'une condition est

remplie.Les actions suivantes peuvent être configuréeslorsqu'une tentative d'applicationse produit :

■ Continuer le traitement d'autres règles.

■ Autoriser l'application pour accéder à l'entité.

■ Bloquer l'accès à l'entité pour l'application.

■ Arrêter le processus d'application.

Par exemple, vous pouvez configurer un ensemble d'actions à exécuter lorsqu'un

processus tente de lire une entité contrôlée. Vous pouvez configurer un ensembledifférent d'actions devant se produire lorsque le même processus tente de créer,supprimer ou écrire sur une entité contrôlée. Vous pouvez configurer une actiondans chaque cas pour autant de processus que vous le souhaitez.

Vous pouvez également configurer un contrôle des applications pour consignerles tentatives et afficher un message personnalisé à l'utilisateur lorsqu'unetentative s'est produite.

Avertissement : Utiliser prudemment l'action de processusTerminer car elle peutne pas avoir l'effet escompté lorsque vous l'utilisez dans une règle. Elle arrête leprocessus qui effectue l'action configurée, pas le processus que l'utilisateur lanceactuellement.

Par exemple, supposez que vous désirez arrêter Winword.exe chaque fois qu'unprocessuslance Winword.exe.Vous décidez decréer unerègle,et vous laconfigurezavec la conditionLancerlestentatives de processuset Arrêter l'action du processus.Vous appliquez la condition à Winword.exe et vous appliquez la règle à tous lesprocessus. On peut s'attendre à ce que cette règle arrête Winword.exe, mais ce




n'est pas ce que fait une règle avec cette configuration. Si vous essayez de lancerWinword.exe depuis Windows Explorer, une règle avec cette configuration arrêteExplorer.exe, pas Winword.exe.


A propos du contrôle des périphériquesUtilisez le contrôle des périphériques pour gérer l'accès des périphériques auxordinateurs client. Le contrôle des périphériques offre à l'administrateur unmeilleur niveau de contrôle sur les périphériques autorisés à accéder auxordinateurs. Vous pouvez construire une liste de périphériques qui doivent êtrebloqués à l'accès de l'ordinateur et une liste de périphériques dont l'accès est

autorisé. Biens qu'un périphérique soit physiquement connecté à un ordinateur,l'accès à l'ordinateur peut toujours lui être interdit. Vous pouvez bloquer ouautoriserdespériphériques USB, infrarouge, FireWire et SCSI, ainsi quedesportsséries et parallèles. Vous pouvez également autoriser d'autres types depériphérique (comme lesdisques durs USB) à être exclusdu blocage. Vous pouvezégalementchoisir de définir le contrôle despériphériques en utilisantsoit WindowsGUID, soit l'ID de périphérique. Vous pouvez mettre en application le contrôledes périphériques en construisant des listes d'équipements.

Tableau 32-2 liste des exemples de combinaisons de configuration d'un port etd'un périphérique et l'effet de chaque combinaison sur le périphérique qui tente

d'accéder à l'ordinateur client.

Tableau 32-2 Combinaisons de configuration de ports et de périphériques

RésultatConfiguration

Périphérique actif Port bloqué + périphérique exclu

Le périphérique ne fonctionne pas.

Remarque : Vous ne devez jamais bloquerun clavier.

Port bloqué + périphérique bloqué

Vous pouvez décider, par exemple, de bloquer tous les ports, mais d'exclure unesouris USB afin qu'elle puisse être connectée à un ordinateur client. Dans cescénario, lasouris USB travaille sur l'ordinateur client, bien que ce port soit bloqué.

Se reporter à "A propos du contrôle des applications et des périphériques"à la page 600.

Se reporter à "Configuration d'un contrôle des périphériques pour une politiquede contrôle des applications et des périphériques" à la page 623.

Configurer l'application et le contrôle des périphériquesA propos du contrôle des périphériques

608



A propos de l'utilisation du contrôle des applicationset des périphériques

Par défaut, une Politique de contrôle d'applications et de périphériques estdisponible sur le serveur de gestion. Toutefois, le pilote par défaut de la Politiquede contrôle d'applications et de périphériques est désactivé sur le client. Pouractiver le pilote, vous devez activer une règle existante ou ajouter et activer unenouvelle règle dans la politique. Unefois la politiquetéléchargée vers l'ordinateurclient, une notification demande à l'utilisateur de redémarrer l'ordinateur client.L'utilisateur doit redémarrer le client pour permettre à la politique de protégerl'ordinateur client.

Si la politiquede contrôle des applications et des périphériques par défaut n'assurepas la protection dont vous avez besoin, vous pouvez effectuer les opérations

suivantes :

■ Modifier la politique par défaut.

■ Créer une politique personnalisée.

Se reporter à "Configuration du contrôle des applications pour une politique decontrôle des applications et des périphériques" à la page 612.

Si vous retirez ou désactivez la Politique de contrôle d'applications et depériphériques, le pilote est désactivé et le client n'est pas protégé. Pour activer laprotectionde nouveau, l'utilisateurdoit redémarrer l'ordinateurclient de nouveau.

Avertissement : Une politique de contrôle d'applications et de périphériques estun outil puissant qui permet de créer des politiques d'application personnaliséespour votre environnement. Toutefois, les erreurs de configuration peuventdésactiver un ordinateur ou un serveur. L'ordinateurclient peut tomber en panneou sa communication avec Symantec Endpoint Protection Manager peut êtrebloquée lors de la mise en oeuvre d'une politique de contrôle d'applications et depériphériques. Si ce type de panne se produit, vous risquez de ne pas pouvoirconfigurer l'ordinateur client à distance. La seule solution serait peut êtred'effectuerunerestaurationlocale de l'ordinateur. Symantecrecommanded'utiliser

d'abord une politique en mode essai avant de la déployer. Vous pouvez alorsexaminer les erreurs dans le journal de contrôle.

Les événements de contrôle d'applications et de périphériques sont enregistrésdans le journal de contrôle du client. Vous pouvez les afficher sur la console dansle journal de contrôle desapplications et le journal de contrôle des périphériques.

Configurer l'application et le contrôle des périphériquesA propos de l'utilisation du contrôle des applications et des périphériques



Créer un ensemble de règles par défaut de contrôledes applications

La partie contrôle des applications d'une politique de contrôle des applicationset des périphériques se compose des ensembles de règles de contrôle desapplications. Chaque ensemble de règles de contrôle des applications se composed'une ou plusieurs règles. Des règles de commande d'application par défaut sontinstallées avec Symantec Endpoint Protection Manager. Les ensembles de règlespar défaut sont désactivés lors de l'installation.

Remarque : Ne modifiez pas ces ensembles de règles de contrôle des applicationspar défaut. Si les groupes de règles et les contrôles par défaut ne répondent pasà vos exigences, vous pouvez créer des groupes de règles de contrôle desapplications personnalisés.

Si vous voulezutiliser lesensemblesde règlespardéfautd'une politiquede contrôledes applications et des périphériques, vous devez les activer.

Se reporter à "A propos des règles et des groupes de règles de contrôle desapplications" à la page 604.

Pour créer un ensemble de règles par défaut de contrôle des applications :


2 Sous Afficher les politiques, cliquez sur Contrôle des applications et despériphériques.

3 Dans la page Politiques de contrôle des applications et des périphériques,cliquez sur la politique à laquelle vous voulez ajouter un ensemble de règlespar défaut de contrôle des applications.


5 Dans le volet Politique de contrôle des applications et des périphériques,cliquez sur Contrôle des applications.

6 Pour revoir laconfiguration dans un ensemble de règles pardéfaut decontrôle

des applications, cliquez sur le nom sous Ensemble de règles, puis surModifier.

Prenez soin de n'effectuer aucune modification.

7 Lorsque vous avez terminé la révision de la configuration des règles et desconditions, cliquez sur Annuler.

8 Cochez la case en regard de chaque ensemble de règles à activer.

9 Cliquez sur OK.

Configurer l'application et le contrôle des périphériquesCréer un ensemble de règles par défaut de contrôle des applications

610



Création d'une politique de contrôle des applicationset des périphériques

Vous pouvez créer une nouvelle politique de contrôle des applications et despériphériques. Une fois que vous avez créé une nouvelle politique, vous pouvezcréer un ou plusieurs ensembles de règles de contrôle des applications, ou deslistes de contrôle des périphériques matériels ou les deux.

Vous ne devez pas créer une politique qui ne contient qu'un contrôle despériphériques et une autre qui ne contient qu'un contrôle des applications. Unepolitique de contrôle desapplications et despériphériques doit contenir le contrôledes applications et le contrôle des périphériques si vous souhaitez mettre enoeuvre les deux. Vous pouvez uniquement attribuer une politique de contrôle desapplications et des périphériques à la fois à un groupe à un emplacement.


Pour créer et attribuer une politique de contrôle des applications et des

périphériques

1 Dans la console Symantec Endpoint Protection Manager, cliquez surPolitiques.

2 Sous Afficher les politiques, cliquez sur Contrôle des applications et des

périphériques.

3 Sous Tâches, cliquez sur Ajouter une politiquede contrôle des applicationset des périphériques.

4 Dans le volet Présentation, dans le champ Policy name (nom de politique),tapez le nom de la nouvelle politique de contrôle des applications et despériphériques.

Le nom par défaut pour une nouvelle politique est Nouvelle politique decontrôle des applications et des périphériques.

5 Dans le champ Description, tapez une description de la nouvelle politique.

Ces informations sont facultatives; elles ne sont utilisées qu'à titre de

référence.

Configurer l'application et le contrôle des périphériquesCréation d'une politique de contrôle des applications et des périphériques



6 Si vous ne souhaitez pas immédiatement mettre en oeuvre la politique,désélectionnez Enable this policy (Activer cette politique).

Les nouvelles politiques sont activées par défaut.

7 Cliquez sur OK.

Se reporter à "Configuration du contrôle des applications pour une politiquede contrôle des applications et des périphériques" à la page 612.

Se reporter à "Configuration d'un contrôle des périphériques pour unepolitique de contrôle des applications et des périphériques" à la page 623.

Configuration du contrôle des applications pour une

politique de contrôle des applications et despériphériquesPour configurer un contrôle des applications, vous devez effectuer les tâchessuivantes :

■ Créer un nouvel ensemble de règles de contrôle des applications.

Se reporter à "Création d'un groupe de règles de contrôle d'applications etajout d'une nouvelle règle au groupe" à la page 613.

■ Ajouter une ou plusieurs règles à l'ensemble de règles.

Se reporter à "Création d'un groupe de règles de contrôle d'applications et

ajout d'une nouvelle règle au groupe" à la page 613.

■ Ajouter une ou plusieurs conditions aux règles.

Se reporter à "Ajout de conditions à une règle" à la page 615.

Se reporter à "Configuration des propriétés de condition d'une règle"à la page 616.

■ Configurer les mesures à prendre lorsque les conditions sont réunies.

Sereporterà"Configurer lesactions à prendre lorsqu'une conditionestremplie"à la page 618.

■ Appliquer les conditions aux entités.

Sereporterà"Applicationd'une règleà desapplicationsspécifiqueset exclusiond'une règle pour certaines applications" à la page 619.

■ Eventuellement, exclure l'application des conditions à des entités.

Sereporterà"Applicationd'une règleà desapplicationsspécifiqueset exclusiond'une règle pour certaines applications" à la page 619.

■ Appliquer les règles à des processus.

Configurer l'application et le contrôle des périphériquesConfiguration du contrôle des applications pour une politique de contrôle des applications et des périphériques

612



Sereporterà"Applicationd'une règle à desapplicationsspécifiques et exclusiond'une règle pour certaines applications" à la page 619.

■ Eventuellement, exclure l'application des règles à des processus.

Sereporterà"Applicationd'une règle à desapplicationsspécifiques et exclusiond'une règle pour certaines applications" à la page 619.

■ Activer les règles.

Se reporter à "Création d'un groupe de règles de contrôle d'applications etajout d'une nouvelle règle au groupe" à la page 613.

■ Activer l'ensemble des règles.

Se reporter à "Créer un ensemble de règles par défaut de contrôle desapplications" à la page 610.

Se reporter à "Désactivation des ensembles de règles de contrôle des

applications et des règles individuelles dans une politique de contrôle desapplications et des périphériques" à la page 622.

Création d'un groupe de règles de contrôle d'applications et ajoutd'une nouvelle règle au groupe

Un nouveau groupe de règles d'applications contient une ou plusieurs règlesdéfiniespar l'administrateur. Chaque groupe de règles et chaque règle comportentdespropriétés. Chaquerègle peut égalementcomporteruneou plusieursconditionspermettant de surveiller lesapplications et leur accès à desfichiers, dossiers, clésde registre Windows et processus donnés.

Vous pouvez créer plusieurs règles et les ajouter à un seul groupe de règles decontrôle d'applications. Créez le nombre de règles et de groupes de règles dontvous avez besoin pour mettre en oeuvre la protection que vous souhaitez. Vouspouvez supprimer des règles de la liste des règles et modifier leur position dansla hiérarchie des groupes de règles comme vous le souhaitez. Vous pouvezégalement activer et désactiver des groupes de règles ou des règles individuellesau sein d'un groupe.

L'ordre dans lequel les règles sont répertoriées est important pour lefonctionnement du contrôle d'applications. Les règles de contrôle d'applications

fonctionnent comme la plupart des règles de filtrage réseau, dans le sens où ellesfont toutes les deux appel à la fonction de première correspondance de règle. S'ilexiste plusieurs règles pour lesquelles les conditions sont vraies, seule la règlesupérieure est appliquée, sauf si l'action configurée pour la règle est de Continuerà traiter d'autres règles.

Vous devez prendre en compte l'ordre des règles et leurs conditions lorsque vousles configurez afin d'éviter toute conséquence inattendue. Envisagez le scénariosuivant : Supposez qu'un administrateur souhaite empêcher tous les utilisateurs




de déplacer, copier et créer des fichiers sur des lecteurs USB. L'administrateurdispose d'une règle existante avec une condition qui autorise l'accès en écritureau fichier Test.doc. L'administrateur ajoute une seconde condition à ce groupe de

règlesexistant pour bloquer tous leslecteurs USB.Dans ce scénario, lesutilisateurssont toujoursen mesure de créer et demodifier un fichier Test.doc sur les lecteursUSB. Puisque la condition Autoriser l'accès en écriture à Test.doc vient avantBloquer l'accès en écriture aux lecteurs USB dans la règle, la condition Bloquerl'accès en écriture aux lecteurs USB n'est pas traitée lorsque la condition qui laprécède dans la liste est vraie.

Vous pouvez vérifier la structure des groupes de règles par défaut pour voir lafaçon dont ils sont conçus.

Avertissement : Seuls les administrateurs avancés peuvent créer des groupes de

règles de contrôle d'applications.

Leserreurs de configuration dans lesgroupes de règlesutilisés dans unepolitiquede contrôle et d'application peuvent désactiver un ordinateur ou un serveur.L'ordinateur client peut tomber en panne ou sa communication avec SymantecEndpoint Protection Manager peut être bloquée.

Pour créer un groupe de règles et lui ajouter des règles

1 Créez une nouvelle politique de contrôle d'applications et de périphériques.


2 Dans le volet Contrôle d'applications, cliquez sur Ajouter.

3 Dans la boîte de dialogue Ajouter un groupe de règles de contrôled'applications, désélectionnez Activerlaconsignation pour ne pasconsignerdes événements concernant ces règles.

La consignation est activée par défaut.

4 Dans la zone de texte Nom du groupe de règles, modifiez le nom par défautdu groupe de règles.

5 Dans le champ Description, tapez une description.

6 Modifiez le nom par défaut de la règle dans la zone de texte Nom de règle,puis tapez une description de la règle.

7 Si vous ne souhaitez pas activer immédiatement cette nouvelle règle,désélectionnez Activer cette règle.


614



8 Pour ajouter une deuxième règle, cliquez sur Ajouter, puis sur Ajouter une

règle.

9 Cliquez sur OK.

Une fois legroupe derègleset larègle créés, vousdevezdéfinir les applicationsauxquelles la règle doit s'appliquer. Le cas échéant, vous pouvez égalementdéfinir lesapplications auxquelles larègle ne doit pass'appliquer.Vous pouvezensuite ajouter des conditions à la règle et configurer les actions à prendrelorsque les conditions sont remplies.

Se reporter à "Application d'une règle à des applications spécifiques etexclusion d'une règle pour certaines applications" à la page 619.

Ajout de conditions à une règle

Lorsque vous appliquezunerègle à au moinsuneapplication,vous pouvez ajouteret configurer des conditions pour la règle. Les conditions ont des propriétés etdesactions. Lespropriétésd'une conditionspécifient ce quela conditionrecherche.Ses actions définissent ce qu'il se passe lorsque la condition est remplie.


Pour ajouter une condition à une règle

1 Dans le volet de contrôle de l'application, cliquez sur l'ensemble de règle quevous avez créé, puis cliquez sur Edition.

2 Dans la boîte de dialogue Edit Application Control Rule Set (Modifierl'ensemble des règles de contrôle des applications), cliquez sur la règle àlaquelle vous souhaitez ajouter une condition.

3 Dans la liste Règles, cliquez sur Ajouter, puis cliquez sur Add Condition

(Ajout de condition).

4 Sélectionner l'une des conditions suivantes :

■ Registry Access Attempts (Tentatives d'accès au registre)

■ File and Folder Access Attempts (Tentatives d'accès au fichier et dossier)

■ Launch Process Attempts (Lancer les tentatives de processus)

■ Terminate Process Attempts (Arrêter les tentatives de processus)

■ Load DLL Attempts (Charger les tentatives de DLL)

Vous pouvez ajouter, configurer et supprimerdesconditions depuis unerèglelorsque cela est nécessaire.




Configuration des propriétés de condition d'une règle

Les propriétés de condition incluent le nom et la description et indiquent si lacondition estactivéeou désactivée.Les propriétésde condition incluentégalementl'application de la condition aux entités et, le cas échéant, l'exclusion de certainesentités auxquelles la condition ne s'appliquent pas.

Remarque : Lorsque vous appliquez une condition à toutes les entités dans undossier spécifique, une pratique d'excellence consiste à utiliser nom_dossier \* ounom_dossier \*\*. Un astéristiqueinclut tous lesfichiers et dossiersdans le dossiernommé. Utilisez nom_dossier \*\* pour inclure chaque fichier et dossier dans ledossier nommé, ainsi que chaque fichier et dossier dans chaque sous-dossier.


Pour configurer des propriétés de condition

1 Dans la boîte de dialogue Modifier un groupe de règles de contrôle desapplications, cliquez sur la condition que vous voulez appliquer.

2 Si vous le souhaitez, changez le nom par défaut indiqué dans la zone de texteNom, puis, le cas échéant, ajoutez une description.

3 Pour activer immédiatement cette condition, cochez la case Activer cette

condition.

4 A droite de Appliquer à l'entité suivante (entité représentant les processus,les clés de registre Windows, les fichiers et les dossiers ou les DLL), cliquezsur Ajouter.

5 Dans la boîte de dialogue Ajouter une définition d'entité, configurez l'un desgroupes d'options suivants :

■ Pour Tentatives d'accès au registre, tapez le nom de la clé de registreWindows, ainsi que sa valeur et ses données.

Cliquez sur Utiliser la correspondance de caractères génériques (* et ?

pris en charge) ou Utiliser la correspondance d'expressions standard.

■ Pour Tentatives d'accès aux fichiers et dossiers, tapez le nom du fichierou du dossier.



Si vous le souhaitez, cochez des types de lecteurs spécifiques sur lesquelsapparier les fichiers et dossiers.

Si vous lesouhaitez, cochez Apparieruniquementlesfichierss'exécutant

sur le type d'ID de périphérique suivant, puis tapez un type d'ID de


616



périphérique dans le champ de texte ou cliquez sur Sélectionner afin desélectionner un type d'ID de périphérique dans la liste de la boîte dedialogue Sélection de périphérique pour n'apparier que les processus qui

s'exécutent sur les périphérique présentant ce type d'ID.■ Pour Tentatives de lancement de processus, tapez le nom du processus.



Si vous le souhaitez, cochez des types de lecteurs spécifiques sur lesquelsapparier le processus.

Si vous le souhaitez, cochez Apparier uniquement les processus

s'exécutant sur le type d'ID de périphérique suivant, puis tapez un typed'ID de périphérique dans le champ de texte ou cliquez sur Sélectionner

afin de sélectionner un type d'ID de périphérique dans la liste de la boîte

de dialogue Sélection de périphérique pour n'apparier que les processusqui s'exécutent sur les périphérique présentant ce type d'ID.

Si vous le souhaitez, cliquez sur Options pour apparier les processus enfonction de la signature de fichier et pour n'apparier que les processuscomportant un argument désigné. Vous pouvez choisir d'apparier lesarguments exactement ou en appariant les expressions standard.

■ Pour Tentatives d'arrêt de processus ou Tentatives de chargement de

DLL, tapez le nom du processus.



Si vous le souhaitez, cochez des types de lecteurs spécifiques sur lesquelsapparier le processus.

Si vous le souhaitez, cochez Apparier uniquement les processus

s'exécutant sur le type d'ID de périphérique suivant, puis tapez un typed'ID de périphérique dans le champ de texte ou cliquez sur Sélectionner

afin de sélectionner un type d'ID de périphérique dans la liste de la boîtede dialogue Sélection de périphérique pour n'apparier que les processusqui s'exécutent sur les périphérique présentant ce type d'ID.

Si vous le souhaitez, cliquez sur Options pour apparier les processus enfonction de la signature de fichier.

6 Cliquez sur OK.

7 A droite du volet Ne pas appliquer cetterègle aux processus suivants, cliquezsur Ajouter, puis répétez le processus de configuration selon les besoins.

Lesoptionss'appliquant auxexclusions sont lesmêmes quecelless'appliquantaux inclusions.




8 Cliquez surlescommandes appropriées pour effectuervossélections et tapezles informations requises dans les zones de texte.

9 Cliquez sur OK.

Après avoir défini les propriétés de la condition, vous devez configurer lesactions s'effectuant lorsque la condition est remplie.

Se reporter à "Configurer les actions à prendre lorsqu'une condition estremplie" à la page 618.

Configurer les actions à prendre lorsqu'une condition est remplie

Les actions suivantes sont disponibles pour toutes les conditions :

Vous permet d'uniquement consigner l'événement,puis de continuer le traitement d'autres règles dans laliste

Pour touteslesautres actions, l'ordinateur clientarrêtele traitement des règles lorsque le premier critèrecorrespond

Continuer le traitement d'autresrègles

Permet la poursuite de l'opérationAutoriser l'accès

Empêche l'opérationBloquer l'accès

Arrête l'application qui a effectué la demandeArrêter le processus

Remarque : Une pratique d'excellence consiste à utiliser l'action Bloquer l'accèspour empêcher une condition plutôt que d'utiliser l'action Arrêter le processus.L'actionArrêterle processus doit êtreutilisée uniquement dans desconfigurationsavancées.


Pour configurer les actions à prendre lorsqu'une condition est remplie

1 Dans la boîte de dialogue Edit Application Control Rule Set (Modifierl'ensemble des règles de contrôle des applications), cliquez sur la conditionpour laquelle vous souhaitez configurer des actions.

2 Dans l'onglet Actions, effectuez l'une des opérations suivantes :

■ Pour la conditionLancerles tentatives de processus et la condition Arrêterles tentatives de processus, cliquez sur une des options suivantes :Continue processing other rules (Poursuivre le traitement d'autres


618



règles), Allow access (Permettre l'accès), Block access (Bloquer l'accès)

ou Terminate process (Arrêter le processus).

■ Pour la condition Tentatives d'accès au DLL, cliquez sur une des options

suivantes : Continue processing other rules (Poursuivre le traitementd'autresrègles), Allowaccess(Permettrel'accès), Blockaccess(Bloquer

l'accès) ou Terminate process (Arrêter le processus).

■ Pour la condition Tentativesd'accèsau registre et la condition Tentativesd'accès au fichier et au dossier, vous pouvez configurer deux ensemblesd'actions. Un ensemble s'applique lorsqu'il y a une tentative de lecture;l'autre ensemble s'applique lorsqu'il y a une tentation de création,suppression ou d'écriture.

Sous Tentativedelecture, cliquez sur unedes options suivantes : Continue

processingotherrules(Poursuivreletraitementd'autresrègles), Allow

access (Permettre l'accès), Block access (Bloquer l'accès) ou Terminateprocess (Arrêter le processus).

3 Si vous le souhaitez, sélectionnez Enable logging (Activer la consignation),puis sélectionnez un niveau de gravité à attribuer aux entrées qui sontconsignées.

4 Si vous le souhaitez, sélectionnez Notify user (Informer les utilisateurs),puis, tapez le texte que vous souhaitez faire apparaître à l'utilisateur.

5 Répétez les étapes 2 à 4 pour configurer lesmêmes options pour les tentativesde création, de suppression et d'écriture.

6 Cliquez sur OK.

Application d'une règle à des applications spécifiques et exclusiond'une règle pour certaines applications

Vous pouvez appliquer une règle à des applications et exclure certainesapplications des actions de la règle. Vous spécifiez une liste contenant lesapplications auxquelles la règle s'applique (les inclusions). Vous spécifiez uneautre liste contenant les applications auxquelles la règle ne s'applique pas (lesexclusions). Pour lier une règle à une application donnée, définissez cette

application dans la zone de texte Appliquer cette règle aux processus suivants.

Si vous souhaitezlier la règle à touteslesapplicationssauf un grouped'applicationsdonné, utilisez les paramètres suivants :

■ Dans la zone de texte Appliquer cette règle aux processus suivants, définissezun caractère générique pour tous les processus (*).

■ Dans la zone de texte Ne pas appliquer cette règle aux processus suivants,répertoriez les applications nécessitant une exception.




Vous pouvezdéfinir autantd'applications quevous le souhaitez pour chaqueliste.

Remarque : Chaque règle doit comporter au moins une application dans la zone

de texte Appliquer cette règle aux processus suivants.

Lorsque vous ajoutez des applications à une règle, vous pouvez utiliser lesméthodes suivantes pour spécifier l'application :

■ Le nom du processus

■ Les caractères génériques

■ Les expressions standard

■ Les signatures de fichiers

■ Les types de lecteurs à partir desquels l'application a été lancée

■ L'identifiant du périphérique


Pour appliquer une règle à des applications spécifiques

1 Dans laboîte dedialogue Modifier legroupede règle de contrôle d'applications,cliquez sur la règle que vous souhaitez appliquer.

2 Si vous souhaitez configurer une application à laquelle appliquer la règle, à

droite de l'option Appliquer cette règle aux processus suivants, cliquez surAjouter.

3 Dans la boîte de dialogue Ajouter une définition de processus, configurez leséléments suivants :

■ Tapez le nomde l'application quevous voulezrechercher dans cette règle.

■ Cliquez sur Rechercher avec les caractères génériques (* et ? pris en

charge) ou Rechercher avec les expressions standard pour rechercherle nom.

■ Le cas échéant, vérifiez les types de lecteurs spécifiques sur lesquels

rechercher le processus.

■ Le cas échéant, sélectionnez Rechercher uniquement les processus

s'exécutant surle typed'identifiant de périphérique suivant,puistapezun type d'identifiant de périphérique dans la zone de texte ou cliquez surSélectionner pour en sélectionner un dans la liste de la boîte de dialogueSélection des périphériques pour rechercher uniquement les processusqui s'exécutent sur les périphériques de ce type d'identifiant.


620



■ Le cas échéant, cliquez sur Options pour rechercher les processus enfonction de la signature du fichier et pour rechercher uniquement lesprocessus disposant d'un argument désigné. Vous pouvez choisir de

rechercher les arguments de façon exacte ou à l'aide des expressionsstandard.

4 Cliquez sur OK.

Vous pouvez répéter les étapes 2 à 4 pour ajouter autant d'applications quevous le souhaitez.

5 Si vous souhaitez configurer une ou plusieurs applications à exclure de larègle, à droite de l'option Ne pasappliquer cette règle auxprocessussuivants,cliquez sur Ajouter.

Répétez la configuration des applications à exclure,comme vous le souhaitez.

Vous disposez des mêmes options lorsque vous définissez une application àexclure que lorsque vous appliquez la règle à une application.

6 Une fois les applications définies, cliquez sur OK.

Modification de l'ordre dans lequel les ensembles de règles de contrôledes applications sont appliqués.

Vous pouvez contrôler l'ordre dans lequel les ensembles de règles de contrôle desapplicationssont appliqués. Vous pouvez également contrôlerl'ordre dans lequeldes règles individuelles dans un ensemble de règle sont appliquées.


Pour modifier l'ordre dans lequel les ensembles de règles de contrôle des

applications sont appliqués.


2 Dans le volet Afficher les politiques, cliquez sur Contrôle des applications

et des périphériques.

3 Cliquez sur la politique que vous souhaitez modifier.

4 Sous Tâches, cliquez sur Edit the Policy (Modifier la politique).

5 Cliquez sur Contrôle des applications.

6 Cliquez sur l'ensemble de règles de contrôle des applications que voussouhaitez déplacer.

7 Cliquez sur MoveUp (Vers le haut) ou MoveDown (Vers le bas) pour changersa priorité dans la liste.




8 Répétez lesdeux étapesprécédentes pour chaqueensemble de règle quevoussouhaitez remettre en priorité.

9 Cliquez sur OK.

Désactivation des ensembles de règles de contrôle des applicationset des règles individuelles dans une politique de contrôle desapplications et des périphériques

Vous devez désactiver un ensemble spécifique de règles de contrôle desapplications dans une politique de contrôle des applications et des périphériquessans retirer ou supprimer toute la politique.


Pour désactiver un ensemble de règles de contrôle des applications dans une

politique de contrôle des applications et des périphériques :



périphériques.

3 Cliquez sur la politique contenant l'ensemble de règles à désactiver.



6 Décochez la case en regard de l'ensemble de règles à désactiver.

7 Cliquez sur OK.

Vous avez désactivé un seul ensemble de règles sans désactiver toute lapolitique.

Pour désactiver une seule règle dans une politique de contrôle des applications et

des périphériques :


2 Sous Afficher les politiques, cliquez surContrôle des applications et des

périphériques.

3 Cliquez sur la politique contenant la règle à désactiver.



6 Cliquez sur l'ensemble de règles contenant la règle à désactiver et cliquezensuite sur Modifier.


622



7 Sous Règles, cliquez sur la règle à désactiver dans la liste des règles.

8 Sur l'onglet Propriétés, décochez Activer cette règle.

9 Dans la boîte de dialogue Modifier l'ensemble de règles de contrôle desapplications, cliquez sur OK.

10 Cliquez sur OK.

À présent, vous avez désactivé une seule règle subordonnée sans désactivertoute la politique ou l'ensemble des règles.

Modification du mode d'un ensemble de règles de contrôle desapplications

Quand vous créez un ensemble de règles de contrôle des applications pour la

première fois, vous le créez en mode Test. Après avoir testé l'ensemble de règlesdans une politique, vous pouvez passer au mode Production.

Se reporter à "A propos du mode test" à la page 603.

Pour modifier le mode d'un ensemble de règles de contrôle des applications



périphériques.

3 Cliquez sur la politique qui contient l'ensemble de règles de contrôle des

applications que vous souhaitez modifier.4 Cliquez sur Modifier la politique.


6 Cliquez sur l'ensemble de règles que vous souhaitez modifier.

7 SousTest/Production,cliquezsurla flèchede liste déroulantecorrespondantepour afficher la liste des modes.

8 Cliquez sur le nouveau mode.

9 Cliquez sur OK.

Configuration d'un contrôle des périphériques pourune politique de contrôle des applications et despériphériques

Utilisez un contrôle des périphériques pour gérer les périphériques matériels.Vous pouvez modifier cette liste à tout moment.

Configurer l'application et le contrôle des périphériquesConfiguration d'un contrôle des périphériques pour une politique de contrôle des applications et des périphériques



Se reporter à "A propos du contrôle des périphériques" à la page 608.

Se reporter à "A propos des périphériques matériels" à la page 625.

Pour ajouter le contrôle des périphériques

1 Dans le volet Politique de contrôle des applications et des périphériques,cliquez sur Contrôle des périphériques.

2 Sous Périphériques bloqués, cliquez sur Ajouter.

3 Examinez la liste des périphériques et cliquez sur un ou plusieurspériphériques que vous voulez empêcher d'accéder à l'ordinateur client.

4 Cliquez sur OK.

5 Sous Périphériques ne devant pas être bloqués, cliquez sur Ajouter.

6 Examinez la liste des périphériques et cliquez sur les périphériques que vousne voulez pas bloquer quand ils accèdent à l'ordinateur client.

7 Si vous ne souhaitez pas consigner les informations de contrôle despériphériques, désélectionnez Consigner les périphériques bloqués.

Les informations sont consignées par défaut.

8 Si vous souhaitez que les utilisateurs soient avertis, sélectionnez Avertir les

utilisateurs lorsque les périphériques sont bloqués.

Si vous avez activé la notification, cliquez sur Définir le texte du message,puis tapez le texte que les utilisateurs doivent voir.

9 Cliquez sur OK.

Configurer l'application et le contrôle des périphériquesConfiguration d'un contrôle des périphériques pour une politique de contrôle des applications et des périphériques

624



Personnalisation despolitiques de contrôle des

applications et despériphériques


■ A propos des périphériques matériels

■ Obtention d'un ID de classe ou de périphérique

■ Ajouter un équipement à la liste des périphériques matériels

■ Modifier un équipement dans la liste des périphériques matériels

■ A propos de l'autorisation d'utiliser des applications, des correctifs et desutilitaires

■ Création et importation d'une liste de signatures de fichiers

■ A propos du verrouillage du système

■ Configurer le verrouillage du système

A propos des périphériques matérielsVous pouvez utiliser une liste d'équipements par défaut pour ajouter unpériphérique spécifique à un fournisseur à une politique de contrôle desapplications et des périphériques. Cette liste élimine le besoin de retaper cespériphériques chaque fois que vous voulez en ajouter un d'une règle existante.

33Chapitre



Deux valeurs numériques identifient les périphériques : les ID de périphérique etde classe. Vous pouvez utiliser l'une ou l'autre de ces valeurs pour identifier lespériphériques de la liste Périphériques matériels.

Se reporter à "A propos des ID de périphérique" à la page 626.

Se reporter à "A propos des identificateurs de classe" à la page 626.

La console Symantec Endpoint Protection Manager inclut les listes despériphériques qui peuvent être bloqués et de ceux qui peuvent être exclus dublocage, selon le cas. Un administrateur peut ajouter, supprimer ou modifier lespériphériques des listes en question.

Remarque : Vous ne pouvez modifier ni supprimer les périphériques par défaut.

A propos des identificateurs de classe

L'identificateur de classe se rapporte au GUID Windows. A chaque type depériphérique est associé à la fois une Classe et un ClassGuid. Le ClassGuid est unevaleur hexadécimale au format suivant :

{00000000-0000-0000-0000-000000000000}

Se reporter à "Obtention d'un ID de classe ou de périphérique" à la page 627.


A propos des ID de périphérique

Un ID de périphérique est l'ID le plus spécifique d'un périphérique. La syntaxed'un ID de périphérique comprend certaines chaînes descriptives qui rendent salecture plus facile que celle d'une ID de classe

Lorsque vous ajoutez un ID de périphérique, vous pouvez utiliser un ID depériphérique spécifique. Vous pouvez également utiliser un caractère génériquedans la chaîne d'ID de périphérique pour indiquer un groupe de périphériquesmoins spécifique. Vous pouvez utiliser un astérisque (*) pour indiquer zérocaractère ou des caractères supplémentaires, ou un point d'interrogation (?) pour

indiquer un caractère unique de toute valeur.L'élément suivant est un ID de périphérique pour un périphérique USB SanDiskspécifique :

USBSTOR\DISK&VEN_SANDISK&PROD_CRUZER_MICRO&REV_2033\0002071406&0

L'élément suivant est un ID de périphérique avec un caractère générique quiindique tout périphérique USB SanDisk :

Personnalisation des politiques de contrôle des applications et des périphériquesA propos des périphériques matériels

626



USBSTOR\DISK&VEN_SANDISK*

L'élément suivant est un ID de périphérique avec un caractère générique quiindique tout périphérique d'unité USB :

USBSTOR\DISK*

L'élément suivant est un ID de périphérique avec un caractère générique quiindique tout périphérique de stockage USB :

USBSTOR*



Obtention d'un ID de classe ou de périphériqueL'outil Symantec DevViewer permet d'obtenir l'ID de classe (GUID) ou l'ID depériphérique. Vous pouvez utiliser le Gestionnaire de périphériques Windowspour obtenir l'ID de périphérique.

Après avoir obtenu un ID de périphérique, vous pouvez le modifier avec uncaractère générique pour indiquer un groupe de périphériques moins spécifique.

Pour obtenir un ID de classe ou de périphérique à l'aide de l'outil DevViewer

1 Sur le disque du produit, localisez le dossier\TOOLS\NOSUPPORT\DEVVIEWER, puis téléchargez l'outil DevViewer.exe

sur l'ordinateur client.

2 Sur l'ordinateur client, exécutez DevViewer.exe.

3 Développez l'arborescence Périphérique et localisez le périphérique pourlequel vous souhaitez obtenir l'ID de périphérique ou le GUID.

4 Dans le volet droit, cliquez avec le bouton droit de la souris sur l'ID depériphérique (il commence par [id de périphérique]) puis cliquez sur Copier

ID de périphérique.

5 Cliquez sur Quitter.

6 Surle serveur de gestion, collezl'ID de périphériquedans la liste de matériels.Pour obtenir un ID de périphérique à partir du Panneau de configuration

1 Dans la barre des tâches Windows, cliquez sur Démarrer > Paramètres >

Panneau de configuration > Système .

2 Sur l'onglet Matériel, cliquez sur Gestionnaire de périphériques.

3 Dans la liste Gestionnaire de périphériques, cliquez deux fois sur lepériphérique concerné.

Personnalisation des politiques de contrôle des applications et des périphériquesObtention d'un ID de classe ou de périphérique



4 Sur l'onglet Détails de la boîte de dialogue Propriétés du périphérique,sélectionnez l'ID de périphérique.

Par défaut, l'ID de périphérique est la première valeur affichée.

5 Appuyez sur la combinaison de touches Ctrl+C pour copier la chaîne de l'ID.

6 Cliquez sur OK ou sur Annuler.

Se reporter à "Ajouter un équipement à la liste des périphériques matériels"à la page 628.

Ajouter un équipement à la liste des périphériquesmatériels

Après avoir obtenu un ID de classe ou de périphérique pour un équipement, vouspouvez ajouter celui-ci à la liste des périphériques matériels par défaut. Vouspouvez alors accéder à cette liste par défaut à partir de la partie contrôle despériphériques de la politique de contrôle des applications et des périphériques.


Pour ajouter des équipements à la liste des périphériques matériels


2 Sous Composants de politique, cliquez sur Périphériques matériels.

3 Sous Tâches, cliquez sur Ajouter un périphérique matériel.4 Entrez le nom du périphérique que vous voulez ajouter.

Les ID de classe et de périphérique sont, par convention, placés entre desaccolades.

5 Sélectionnez ID de classe ou ID de périphérique et collez l'ID que vous avezcopié dans le Gestionnaire de périphériques Windows ou l'outil DevViewer.

6 Vous pouvez utiliser des caractères génériques pour définir un ensemble d'IDde périphériques. Par exemple, vous pouvez utiliser la syntaxe suivante :*IDE\CDROM*.


7 Cliquez sur OK.

Personnalisation des politiques de contrôle des applications et des périphériquesAjouter un équipement à la liste des périphériques matériels

628



Modifier un équipement dans la liste despériphériques matériels

Vous pouvez modifier lespériphériques matériels que vous avez ajoutés à la liste.Les périphériques par défaut qui sont répertoriés ne peuvent pas être modifiés.


Pour modifier un équipement dans la liste des périphériques matériels


2 Sous Composants de politique, cliquez sur Périphériques matériels.

3 Dans la liste Périphériques matériels, cliquez sur le périphérique que voussouhaitez modifier.

4 Cliquez sur Modifier le périphérique matériel.

5 Modifiez le nom, l'ID de classe ou l'ID de périphérique du périphérique.

6 Cliquez sur OK.

Les informations mises à jour sur le périphérique sont affichées dans la listeIdentification.

A propos de l'autorisation d'utiliser des applications,

des correctifs et des utilitairesSymantec Endpoint Protection Manager permet de protéger les ordinateurs clientdes attaques réalisées par le biais d'applications non approuvées. Elle vous donnedeux possibilités. D'abord elle vous permet d'utiliser des signatures de fichierpour identifier les applications approuvées, les correctifs et les utilitaires quipeuvent s'exécuter sur les ordinateurs client. Vous décidez ensuite de l'action àentreprendre lorsque les applications non autorisées essayent d'accéder auxordinateurs client. Si vous activez le verrouillage du système, vous pouvez alorsconfigurer Symantec Endpoint Protection Manager de manière à consigneruniquement les applications non approuvées ou à utiliser le verrouillage du

système pour protéger ces ordinateurs client en proie une attaque par desprogrammes non autorisés.

Se reporter à "A propos du verrouillage du système" à la page 636.

Pour utiliser le verrouillage du système, créez d'abord une liste de signatures defichiers pour chaque type de client dans votre environnement. Une liste designatures de fichiers est une liste d'applications autorisées pour cet ordinateurclient. Vous ajoutez ensuite chacune de ces signatures de fichier à une liste de

Personnalisation des politiques de contrôle des applications et des périphériquesModifier un équipement dans la liste des périphériques matériels



signatures de fichier stockée dans Symantec Endpoint Protection Manager. Pourterminer, vous configurez l'action à entreprendre sur le client lorsqu'uneapplication non autorisée essaye d'accéder à cet ordinateur.

Par exemple, créez une liste de signatures de fichiers pour chaque type de clientdans votre environnement. Supposez quevotre environnement contient desclientsWindows Vista 32 bits, Windows Vista 64 bits et Windows XP Service Pack 2.Exécutez le fichier Checksum.exe sur une image de chacun des trois types declients existant dans votre environnement. Checksum.exe génère des signaturesde fichier pour toutes les applications de chaque type de client et les place dansune liste de signatures de fichier. Dans cet exemple, vous vous retrouvez avectrois listes de signatures de fichiers : une pour chaque image.

Ensuite, utilisez Symantec Endpoint Protection pour créer uneliste de signaturesde fichiers à laquelle vous ajoutez chacune destrois listesquevous avez générées:

une liste de signatures de fichiers pour chaque type de client. Puis définissez lamesure Symantec Endpoint Protection à prendre lorsqu'une application nonapprouvée essaye d'accéder à un ordinateur client. Vous pouvez désactiver leverrouillage du système et permettre l'accès à l'application. Vous pouvez choisirde consigner seulement les applications non autorisées. Pour la plupart desprotections,vous pouvezactiver le verrouillagedu système sur l'ordinateur clientauquel l'application non autorisée essaye d'accéder.

Se reporter à "Création et importation d'une liste de signatures de fichiers"à la page 630.

Création et importation d'une liste de signatures defichiers

Une liste des signatures de fichier se compose d'une liste de sommes de contrôleou dessignatures de fichier pour chaqueapplication surcetordinateur client avecles chemins d'accès au fichier de ces applications. Vous pouvez créer une liste dessignatures de fichier d'une image de logiciel qui inclut toutes les applications queles utilisateurs peuvent exécuter sur leurs ordinateurs.

Se reporter à "A propos de l'autorisation d'utiliser des applications, des correctifs

et des utilitaires" à la page 629.

Pour créer une liste de signatures de fichier, vous pouvez recourir à l'utilitaireChecksum.exe installéavec Symantec Endpoint Protection sur l'ordinateur client.Vous pouvez exécuter cette commande sur chaque image d'ordinateur dans votreenvironnement afin de créer une liste de signatures de fichier pour ces images.

Le fichier Checksum.exe se trouve dans l'emplacement suivant :

C:\Program Files\Symantec\Symantec Endpoint Protection

Personnalisation des politiques de contrôle des applications et des périphériquesCréation et importation d'une liste de signatures de fichiers

630



Vous pouvez exécuter cet outil à partir de l'invite de commandes. Checksum.execrée un fichier texte qui contient une liste de tous les exécutables figurant sur cetordinateur et leurs sommes de contrôle correspondantes.

Se reporter à "Création d'une liste de signatures de fichiers" à la page 631.

Vous pouvez utiliser Symantec Endpoint Protection Manager pour importer deslistesdessignatures de fichier pour chaquetype d'ordinateurclientdans unelistedes signatures de fichier maître. Vous pouvez également ajouter des signaturesde fichier pour des fichiers individuels que vous voulez approuver.

Par exemple, créez une liste de signatures de fichiers pour chaque type de clientdans votre environnement. Supposez quevotre environnement contient desclientsWindows Vista 32 bits, Windows Vista 64 bits et Windows XP Service Pack 2.Exécutez l'utilitaire des sommes de contrôle sur une image de chacun des troistypes de clients existant dans votre environnement. Vous pouvez alors importerles trois listes des signatures de fichier dans Symantec Endpoint ProtectionManager.

Sereporterà "Importer uneliste dessignaturesde fichier dans SymantecEndpointProtection Manager" à la page 633.

Vous pouvez également fusionner des listes de signatures de fichiers multiplesqui existent dans une politique partagée.

Sereporterà"Fusionner deslistesde signatures de fichier dans Symantec EndpointProtection Manager " à la page 634.

Vous pouvez également supprimer des signatures de fichier si vous ne les utilisezplus dans votre configuration.

Se reporter à "Suppression d'une liste de signatures de fichier" à la page 635.

Création d'une liste de signatures de fichiers

Vous pouvez utiliser Checksum.exe pour créer une liste de signatures de fichier.La liste des signatures de fichiers nomme chaque fichier et somme de contrôlecorrespondante qui résidesurl'image d'ordinateurclient. Cetoutil estfourniavecSymantec Endpoint Protection sur le client.


Voici un exemple du fichier de sortie de Checksum.exe qui a été exécuté sur uneimage d'ordinateur. Le format de chaque ligne est checksum_du_fichier espacenom_chemin_complet_de_EXE_ou_DLL.

0bb018fad1b244b6020a40d7c4eb58b7 c:\dell\openmanage\remind.exe




35162d98c2b445199fef95e838feae4b c:\dell\pnp\m\co\HSFCI008.dll

77e4ff0b73bc0aeaaf39bf0c8104231f c:\dell\pnp\m\co\HSFHWBS2.sys

f59ed5a43b988a18ef582bb07b2327a7 c:\dell\pnp\m\co\HSF_CNXT.sys

60e1604729a15ef4a3b05f298427b3b1 c:\dell\pnp\m\co\HSF_DP.sys4f3ef8d2183f927300ac864d63dd1532 c:\dell\pnp\m\co\HXFSetup.exe

dcd15d648779f59808b50f1a9cc3698d c:\dell\pnp\m\co\MdmXSdk.dll

eeaea6514ba7c9d273b5e87c4e1aab30 c:\dell\pnp\m\co\MDMXSDK.sys

0a7782b5f8bf65d12e50f506cad6d840 c:\dell\pnp\mgmt\drac2wdm.sys

9a6d7bb226861f6e9b151d22b977750d c:\dell\pnp\mgmt\racser.sys

d97e4c330e3c940ee42f6a95aec41147 c:\dell\pnp\n\bc\b57xp32.sys

Pour créer une liste de signatures de fichiers

1 Accédez à l'ordinateur qui contient l'image pour laquelle vous voulez créerune liste de signatures de fichiers. Le logiciel client Symantec Endpoint

Protection doit être installé sur cet ordinateur.

2 Ouvrez une fenêtre d'invite de commande.

3 Accédez au répertoire contenant le fichier Checksum.exe. Par défaut, il setrouve dans l'emplacement suivant :

C:\Program Files\Symantec\Symantec Endpoint Protection

4 Tapez la commande suivante :

checksum.exe fichier_sortie lecteur

fichier_de_sortie étant le nom du fichier texte qui contient les sommes decontrôle de tous les exécutables figurant sur le lecteur spécifié. Le fichier desortie est un fichier texte ( fichier_de_sortie.txt).

Voici un exemple de la syntaxe que vous utilisez :

checksum.exe cdrive.txt c:\

Cette commande crée un fichier nommé cdrive.txt. Elle contient les sommesde contrôle et les chemins d'accès de tous les exécutables et fichiers DLLsitués sur le lecteur C de l'ordinateur client sur lequel elle a été exécutée.

Modifier une liste de signatures de fichier dans Symantec EndpointProtection Manager

Vous ne pouvez pas directement modifier une liste de signatures de fichierexistante. Au lieu de cela, vous pouvez ajouter une liste de signatures existanteavec une liste créée à partir de l'utilitaire Checksum.exe. Sinon, vous pouvezfusionner une liste de signatures existante avec une autre liste de signaturesimportée.


632




Pour fusionner des listes de signatures dans une nouvelle liste avec un nom

différent, utilisez l'Assistant d'ajout de signatures de fichier.

Sereporterà"Fusionner deslistesde signatures de fichier dans Symantec EndpointProtection Manager " à la page 634.

Pour modifier une liste de signatures de fichier


2 Sous Afficherlespolitiques, élargissez Composantsdepolitique,puiscliquezsur Liste de signatures de fichier.

3 Dans le panneau Listes des signatures de fichier, sélectionnez la liste des

signatures à modifier.4 Cliquez sur Modifier.

5 Dans Assistantdemodificationdessignaturesdefichier,cliquezsurSuivant.


■ Cliquez sur Annexerunfichierdesignaturesàcettesignaturedefichier

pour ajouter un nouveau fichier au fichier existant et cliquez sur Suivant.

■ Cliquez sur Ajouter une autre signature de fichier à cette signature de

fichier pour fusionner les listes des signatures de fichier déjà importées.

7 Effectuez l'une des opérations suivantes :■ Dans le panneau Importer la signature de fichier, cliquez sur Naviguer

pour localiser le fichier ou saisir le chemin d'accès de la listedes signaturesde fichier dans la zone de texte.

■ Dans le panneau Fusionnerplusieurssignaturesdefichier, sélectionnezles signatures de fichier à fusionner.




Importer une liste des signatures de fichier dans Symantec EndpointProtection Manager

Vous pouvez ajouter une liste des signatures de fichier à une politique partagéeen important un fichier. Vous devez avoir déjà créé la liste.





Se reporter à "Création d'une liste de signatures de fichiers" à la page 631.

Pour importer une liste de signatures de fichiers vers une politique partagée


2 Sous Afficherlespolitiques, élargissezComposantsdepolitique,puiscliquezsur Liste des signatures de fichier.

3 Sous Tâches, cliquez sur Ajouter une liste de signatures de fichier.

4 Dans Bienvenue dans l'assistant d'ajout de signatures de fichier, cliquezsur Suivant.

5 Dans le panneau Informationssurlanouvellesignaturedefichier , saisissez

un nom et une description pour la nouvelle liste fusionnée.


7 Dans le panneau Créerunesignaturedefichier,cliquezsur Créerlasignature

de fichier en important un fichier de signatures de fichiers.


9 Cliquez sur Parcourir pour rechercher le fichier ou tapez entièrement lechemin d'accès de la liste de signatures de fichier dans la zone de texte.




La liste apparaît sous Listes des signatures de fichier.

Fusionner des listes de signatures de fichier dans Symantec EndpointProtection Manager

Vous pouvez fusionner des listes de signatures de fichiers multiples qui existentdans une politique partagée.Vous devezavoir déjà ajouté les listes quevous voulez

fusionner avant de commencer cette tâche.Se reporter à "Création et importation d'une liste de signatures de fichiers"à la page 630.

Sereporterà "Importer uneliste dessignaturesde fichier dans SymantecEndpointProtection Manager" à la page 633.


634



Pour fusionner des listes de signatures de fichier


2 Sous Afficher les politiques, élargissez Composants de politique et cliquezsur Liste de signatures de fichier.

3 Sous Tâches, cliquez sur Ajouter une liste de signatures de fichier.

4 Dans Bienvenue dans l'assistant d'ajout de signatures de fichier, cliquezsur Suivant.

5 Danslepanneau Informationssurlanouvellesignaturedefichier , saisissezun nom et une description pour la nouvelle liste fusionnée.


7 Dans le panneau Créerunesignaturedefichier,cliquezsur Créerlasignature

de fichier en combinant plusieurs signatures de fichier existantes.

Cette option est disponible seulement si vous avez des listes de signaturesdéjà importées.


9 Sélectionnez les listes de signatures à fusionner.




La liste des signatures fusionnée apparaît sous Listes des signatures de

fichier.

Suppression d'une liste de signatures de fichier

Vous pouvez supprimer toutes les listes de signatures de fichier dont vous n'avezplus besoin. Avant de supprimer une liste de signatures de fichier d'une politiquepartagée, assurez-vous que celle-ci n'est plus nécessaire au niveau du groupe.


Pour supprimer une liste de signatures de fichier :


2 SousAfficher lespolitiques, développezComposantsdepolitique,puiscliquezsur Liste de signatures de fichier.

3 Dans le volet Liste de signatures de fichier, cliquez sur la liste à supprimer.




4 Sous Tâches, cliquez sur Supprimer la liste.

5 Cliquez sur Oui pour confirmer.

La liste de signatures de fichier est supprimée de Symantec EndpointProtection Manager, mais elle reste sur l'ordinateur à l'emplacement d'oùvous l'avez importée.

A propos du verrouillage du systèmeLe verrouillage du système estun paramètre de protectionquevous pouvezutiliserpourcontrôler lesapplicationsqui peuvent s'exécuter sur l'ordinateur client. Vouspouvez créer une liste designatures defichiersqui contient les sommes decontrôleet les emplacements de toutes les applications dont l'utilisation est autorisée par

votre entreprise. Le logiciel client comprend un outil Checksum.exe que vouspouvez utiliser pour créer une liste de signatures de fichier. L'avantage duverrouillagedu système est qu'il peut être appliqué même si l'utilisateur n'est pasconnecté au réseau.

Vous pouvez utiliser le verrouillage du système pour bloquer la quasi-totalité deschevaux de Troie, logiciels espions ou programmes malveillants qui essayent des'exécuter ou se charger dans uneapplication existante. Parexemple, vous pouvezempêcher le chargement de ces fichiers dans Internet Explorer. Le verrouillagedu système s'assure que votre système demeure dans un état connu et digne deconfiance.

Les applicationsqui s'exécutent sur l'ordinateur client peuvent inclure lesfichiersexécutables suivants :

■ .exe

■ .com

■ .dll

■ .ocx

Symantec recommande de mettre en application le verrouillage du système viales étapes suivantes :

Créez une image logicielle qui inclut toutes lesapplications que vous voulez que les utilisateurspuissent utiliser surleurs ordinateurs.Utilisez cetteimage pour créer unelistede signatures de fichiers.

Obtenez une image de logicielapprouvée :

Personnalisation des politiques de contrôle des applications et des périphériquesA propos du verrouillage du système

636



Activez le verrouillage du système en consignantles applications qui ne sont pasinclusesdans la listedessignatures de fichier. Vous pouvezalorsajuster

votre signature de fichier pour inclure lesapplications requises par des utilisateurs. Vouspouvez leur donner un avertissement appropriéavant de bloquer les applications désapprouvées.

Consignez les applicationsdésapprouvées :

ajoutez les exécutables que vous voulez autorisermême s'ils ne figurent pas dans la signature defichier.

Ajoutez les applications autorisées

Imposez le verrouillage du système et bloquez lesapplications désapprouvées.

Activez le verrouillage du système

Vous avez la possibilité de définir l'affichage d'un message personnalisé adresséaux utilisateurs dont les applications sont bloquées.

Se reporter à "Prérequis au verrouillage du système" à la page 637.

Se reporter à "Configurer le verrouillage du système" à la page 638.

Se reporter à "A propos de l'autorisation d'utiliser des applications, des correctifset des utilitaires" à la page 629.

Prérequis au verrouillage du système

Vous devez satisfaire lesconditions suivantespour pouvoir activer le verrouillagedu système :

Vous devez avoir créé une liste de signatures defichiers qui inclut les applications autorisées. Cetteliste peut être créée à partir d'une imaged'ordinateur installée régulièrement sur lesordinateurs des utilisateurs. Créez cetteliste sur unordinateur qui exécute le client.

Créez la liste des signatures defichiers

Après avoir créé leslistes de signatures, vous devezles ajouter au gestionnaire.

Ajoutez une ou plusieurs listes designatures de fichiers

Vous pouvez fusionner des listes de signatures defichiers multiples. Parexemple, vous pouvezutiliserdifférentes images pour différents groupes dansvotre entreprise.

Fusionnez les listes de signatures defichiers

Mettez en application le verrouillage du système par les étapes suivantes :

Personnalisation des politiques de contrôle des applications et des périphériquesA propos du verrouillage du système



Avant de bloquer les exécutables désapprouvés,vous pouvez ajouter une ou plusieurs listes designatures de fichiers. Ajoutez les applications

devant toujours être autorisées et consignez lesrésultats dans le journal de contrôle.

Configurez et testez le verrouillagedu système

Au bout de quelques jours de tests du verrouillage,vous pouvez afficher la liste des applications nonautorisées. Cette liste affiche les applicationsdésapprouvées que les utilisateurs dans le groupeexécutent. Vous pouvez décider d'ajouter ou nonplus d'applications à la liste de signatures de fichiersou à la liste des applications autorisées.

Vérifiez la liste des applications nonautorisées

Vous pouvez ensuite activer le verrouillage du

système bloquant les applications qui ne sont pasincluses dans les listes de signatures de fichiers.

Activez le verrouillage du système.


Configurer le verrouillage du systèmePour configurer le verrouillage du système, suivez les deux étapes suivantes :

■ A l'étape 1, vous contrôlez les applications qui s'exécutent sur les ordinateursclient.

Vous pouvez également suivre ces applications dans la liste des applicationsdésapprouvées. La listedes applicationsdésapprouvées inclutles applicationsque les clients exécutent mais qui ne sont pas répertoriées dans la liste dessignatures de fichiers des applications approuvées. Le client ne bloque pas lesapplications désapprouvées. Avant de bloquer ces applications, vous pouvezsuivre les applications que les clients utilisent à des fins informationnelles.Vous pouvez également vérifier si des applications apparaissent dans la listedes applications désapprouvées. Si un test est en cours, l'état indique depuiscombien de temps il s'exécute et si des exceptions se sont produites. Exécutezle verrouillage du système en mode de test suffisamment longtemps pour

détecter les applications désapprouvées qui s'exécutent sur les ordinateursclient. Activez alors le verrouillage du système.


Se reporter à "Prérequis au verrouillage du système" à la page 637.

■ A l'étape 2, vous activez le verrouillage du système.

Après avoir lancé le verrouillage du système en mode de test suffisammentlongtemps pour détecter les applications non autorisées qui s'exécutent,définissez les paramètres suivants :

Personnalisation des politiques de contrôle des applications et des périphériquesConfigurer le verrouillage du système

638



Ajoutez les applications à la liste des applicationsapprouvées ou ajoutez les applications à l'image oùvous avez créé la signature de fichier.

Approuver l'utilisation de cesapplications supplémentaires

Vous pouvez informerun utilisateur qu'il ne peut plusaccéder à un ordinateur. Vous pouvez également luisignifier que les applications spécifiées peuvent êtreutilisées à une date ultérieure spécifique que vousindiquez. Vous faites alors le nécessaire pourverrouiller le système à cette date.

Notifier les utilisateurs

Aucune autre mesure n'est nécessaire.Continuer à consignerl'utilisation des applicationsdésapprouvées

Remarque : Vous pouvez également créer des règles de filtrage afin d'autoriserles applications approuvées sur le client.

Pour configurer le verrouillage du système


2 Sous Afficherles clients,trouvez le groupe pour lequel vous voulez configurerle verrouillage du système.

3 Dans l'onglet Politiques, cliquez sur Verrouillage du système.

4 Dansla boîte de dialogue Verrouillage du système pournomdugroupe, cliquezsur Etape 1 : Consigner les applications non autorisées uniquement pouractiver cette protection en mode test.

Cette option consigne les applications réseau désapprouvées en coursd'exécution sur les ordinateurs client.

5 Cliquez sur Etape 2 : Activer le verrouillage du système pour activer cetteprotection. Cette étape bloque les applications désapprouvées que les clientsessayent d'exécuter.

6 Sous Applications approuvées, ajoutez ou supprimez des listes de signaturesde fichier ou des fichiers.

Se reporter à "Modifier une liste de signatures de fichier dans SymantecEndpoint Protection Manager" à la page 632.




7 Cochez Testeravant suppression pour les listes des signatures de fichier oules applications à tester avant de les supprimer définitivement.

Quand vous cochez cette option, les applications associées sont consignées

dans le journal decontrôle en tant qu'applicationsnonapprouvées. Cependant,les applicationsne sont pas bloquées sur vos ordinateurs client. Vous pouvezsupprimerdéfinitivement la liste dessignatures de fichier ou lesapplicationsultérieurement.

8 Pour afficher la liste des applications désapprouvées, cliquez sur Afficher

les applications désapprouvées.

Dans la boîte de dialogue Applications désapprouvées, passez en revue lesapplications. Cette liste indique le moment de l'exécution de l'application, lenom d'hôte de l'ordinateur, le nom d'utilisateur client et le nom du fichierexécutable.

9 Déterminez la manière de traiter les applications désapprouvées.

Vous pouvez ajouter les noms des applications que vous voulez autoriserdans la liste des applications approuvées. Vous pouvez ajouter l'exécutableà l'image d'ordinateur la prochaine fois que vous créez une signature defichier.


11 Pour spécifier les exécutables qui sont toujours autorisés même s'ils ne sontpas inclus dans la liste des signatures de fichiers, dans la liste Nom du fichier,

cliquez sur Ajouter.12 Dans la boîte de dialogue Ajouter une définition de fichier, entrez le nom

d'accès complet du fichier exécutable (.exe ou dll.).

Vous pouvez spécifier les noms avec une syntaxe de chaîne normale oud'expression standard.Les nomspeuvent comporterdescaractèresgénériques(* pour tous les caractères et ? pour un seul). Le nom peut égalementcomprendre des variables d'environnement tel que %ProgramFiles% pourreprésenter le répertoire Program Files ou %windir% pour le répertoired'installation de Windows.

13 Laissez l'option Utiliser les caractères génériques (priseen charge de * et ?)

sélectionnée par défaut ou cliquez sur Utiliser les expressions standard sivous avez utilisé des expressions standard dans le nom de fichier.

14 Si vous voulez autoriser le fichier uniquement lorsqu'il s'exécute sur un typede lecteur spécifique, sélectionnez Sélectionner seulement les fichiers sur

les types de lecteur suivants.

Ensuite, désélectionnez les types de lecteur que vous ne voulez pas inclure.Par défaut, tous les types de lecteur sont sélectionnés.


640



15 Pour sélectionner les fichiers par type d'ID de périphérique, cochez l'optionSélectionner seulement les fichiers sur les types d'ID de périphérique

suivants, puis cliquez sur Sélectionner.

16 Cliquez sur un périphérique de la liste, puis sur OK.

17 Cliquez sur OK.

18 Pour afficher un message sur l'ordinateur client quand le client bloque uneapplication, sélectionnez l'option Informer l'utilisateur si une application

est bloquée.

19 Pour enregister un message personnalisé, cliquez sur Notification, tapez lemessage et cliquez sur OK.

20 Cliquez sur OK.





642



Configuration des exceptions

centralisées

■ Chapitre 34. Configuration des politiques d'exceptions centralisées

6Section



644



Configuration despolitiques d'exceptions

centraliséesCe chapitre traite des sujets suivants :

■ A propos des politiques d'exceptions centralisées

■ Configuration d'une politique d'exceptions centralisées

■ Configurer des restrictions client pour des exceptions centralisées

■ Création d'exceptions centralisées à partir des événements de journal

A propos des politiques d'exceptions centraliséesLes politiques d'exceptions centralisées contiennent des exceptions pour les typesd'analyses suivants :

■ Analyses antivirus et antispyware

Se reporter à "Configuration d'une exception centralisée pour l'analyseantivirus et antispyware sur des clients Windows" à la page 650.

Se reporter à "Configuration d'une exception centralisée pour des fichiers oudossiers sur des clients Mac" à la page 654.


Se reporter à "Configuration d'une exception centralisée pour les analysesproactives des menaces TruScan" à la page 655.

■ Analyses des protections contre les interventions

Se reporter à "Configurer une exception centralisée pour la protection contreles interventions" à la page 657.

34Chapitre



Remarque : Les analyses antivirus et antispyware incluent toutes les analysesd'Auto-Protect, les analyses planifiées, les analyses à la demande ou les analysesdéfinies par l'utilisateur.

Généralement, les exceptions sont des risques ou des processus que vous voulezque le logiciel client exclue des analyses. Si vous utilisez des exceptions sur desordinateurs client, vous pouvez réduire le temps d'analyse. Si vous réduisez letemps d'analyse, vous augmentez la performance du système sur les ordinateursclient.

Pour les analyses proactives des menaces TruScan, vous pouvez souhaiter que lelogiciel client détecte un processus spécifique non détecté pardéfaut.Vous pouvezcréer une exception pour forcer la détection. Lorsque la détection s'affiche dansla liste desprocessusdétectés,vous pouvezcréer uneautre exceptionpour spécifier

une action pour la détection.

Se reporter à "Configurer une exception pour obliger les analyses proactives desmenaces TruScan à détecter un processus" à la page 656.

Remarque : Pour les analyses antivirus et antispyware ou de protection contre lesinterventions, utilisez des exceptions centralisées pour spécifier les élémentsparticuliers à exclure des analyses. Toutefois, pour les analyses proactives desmenaces, utilisez des exceptions centralisées pour spécifier des actions pour lesprocessus détectés ou pour forcer une détection.

Lorsque vous créez une politique d'exceptions centralisées, ces exceptionss'appliquent à toutes les analyses de ce type sur l'ordinateur client qui utilise lapolitique. Vous pouvez inclure toutes les exceptions dans la même politique.

A la différence d'autres politiques, la console Symantec Endpoint ProtectionManager n'inclut pas une politique d'exceptions centralisées par défaut. Vousdevez créer une nouvelle politique. Vous pouvez créer despolitiques d'exceptionscentralisées dans la page Politiques, ou vous pouvez créer des politiquesd'exceptions centralisées dans la page Clients de la console de gestion.

Vous pouvez ajouter des exceptions à une politique d'exceptions centralisées en

utilisant les journaux de la console de gestion. Vous devez créer une politiqued'exceptions centralisées avant de pouvoir utiliser cette méthode pour créer desexceptions.


Configuration des politiques d'exceptions centraliséesA propos des politiques d'exceptions centralisées

646



A propos de l'utilisation des politiques d'exceptions centralisées

Vous créez et modifiez despolitiquesd'exceptionscentraliséescomme vous créezet modifiezd'autrestypes de politiques. Vouspouvez attribuer, retirer, remplacer,copier, exporter, importer ou supprimer une politique d'exceptions centralisées.

Vous attribuez généralement une politique à plusieurs groupes de votre réseaude sécurité. Vous pouvez créer une politique non partagée et spécifique à unemplacement si un emplacement particulier requiert des critères spécifiques.

Pourtravailler avec des politiques d'exceptions centralisées, vous devez maîtriserles bases de la configuration de politique.


A propos des exceptions centralisées pour les analyses antivirus etantispyware

Vous pouvezvouloir exclure un risquede sécurité particulier desanalyses antiviruset antispyware.Vouspouvez vouloir exclure desanalyses desfichiers, desdossiersou des extensions de fichier spécifiques.

Remarque : Vouspouvez configurer desexceptions pour desclients Macseulementpour des fichiers ou des dossiers.

Lorsque vous excluez un risque de sécurité, les analyses ignorent le risque. Vouspouvez configurer l'exception de sorte que les analyses consignent la détection.Dans l'un ou l'autre cas, le logiciel client n'informe pas les utilisateurs lorsqu'ildétecte les risques de sécurité spécifiés. Lorsque vous excluez des fichiers, desdossiers ou des extensions, les analyses ignorent les fichiers, les dossiers ou lesextensions.

Se reporter à "Configuration d'une exception centralisée pour l'analyse antiviruset antispyware sur des clients Windows" à la page 650.

Remarque : Les exceptions centralisées s'appliquent à toutes les analyses antiviruset antispyware. Vous ne pouvez pas créer différentes exceptions pour différentstypes d'analyses. Parexemple, vouspouvez vouloir créer uneexception centraliséepour exclure une extension de fichier particulière. Le logiciel client exclut ainsil'extension des analyses Auto-Protect et de toutes les analyses définies parl'administrateur et par l'utilisateur. Les analyses définies par l'administrateur etpar l'utilisateur incluent les analyses planifiées et les analyses à la demande.




A propos des exceptions centralisées pour les analyses proactives desmenaces TruScan

Vous pouvez vouloir exclure certains processus des analyses proactives desmenaces. Vous devez déterminer qu'il est sûr d'exécuter les processus que voussouhaitez exclure sur les ordinateurs client de votre réseau de sécurité. Pourexclure un processus détecté, vous définissez l'action de détection sur ignorer.

Vous pouvez égalementcréer uneexception centralisée pourspécifier quecertainsprocessus ne sont pas autorisés. Pour spécifier que des processus ne sont pasautorisés, vous définissez l'action de détection sur la mise en quarantaine oul'arrêt.

Se reporter à "Ajouter une exception centralisée pour des événements d'analyseproactive des menaces TruScan" à la page 660.

Vous pouvezimposer unedétectionproactivede menaces en créantuneexceptioncentraliséequi spécifieun nomde fichier.Lorsquel'analyse proactive desmenacesdétectele fichier, le client consigne l'instance. Puisque lesnoms de fichier ne sontpas unique, plusieurs processus peuvent utiliser le même nom de fichier. Vouspouvez utiliser une détection obligatoire pour vous aider à créer une exceptionafin de mettre en quarantaine ou terminer un processus associé au fichier.

Sereporterà"Comment lesanalyses proactivesdesmenaces TruScan fonctionnentavec des exceptions centralisées" à la page 590.

A propos des exceptions centralisées pour la protection contre lesinterventions

La protection contre les interventions protège les ordinateurs client contre desprocessus qui interfèrent avec les processus de Symantec et des objets internes.Lorsque la protection contre les interventions détecte un processus pouvantmodifier les paramètres de configuration de Symantec ou les valeurs de registrede Windows, elle bloque le processus. Il peut être nécessaire de permettre à uneapplication de modifier des paramètres Symantec. Vous pouvez vouloir arrêterla protectioncontre lesinterventions pour certaineszones du registre ou certainsfichiers de l'ordinateur client.

Dans certains cas, la protection contre les interventions peut bloquer un lecteurd'écran ou une autre application de technologie d'aide. Vous pouvez créer uneexceptioncentralisée de sorte que l'applicationpuisse s'exécuter surlesordinateursclient.

Sereporterà"Ajoutd'une exceptioncentralisée pour desévénementsde protectioncontre les interventions" à la page 661.


648



A propos des interactions de client avec les exceptions centralisées

Les exceptions définies par l'administrateur ont toujours la priorité sur lesexceptions définies par l'utilisateur. Sur les ordinateurs client, les utilisateurs nepeuvent pas afficher la liste des exceptions définies par l'administrateur. Unutilisateur peut uniquement afficher les exceptions qu'il a créées.

Par défaut, les utilisateurs des ordinateurs client ont des droits de configurationlimités sur les exceptions centralisées.

Par défaut, les utilisateurs ont les restrictions suivantes :

■ Lesutilisateursne peuvent pascréer d'exceptionspour imposer desdétectionspour des analyses proactives des menaces. Les utilisateurs ne peuvent passélectionner dans une liste de processus détectés pour créer une exceptionpour des analyses proactives desmenaces. Cependant, lesutilisateurspeuvent

sélectionner un fichier sur l'ordinateur client pour créer une exceptiond'analyse proactive des menaces.

■ Les utilisateurs ne peuvent créer aucune exception pour la protection contreles interventions.

Vous pouvez restreindre des utilisateurs sur des ordinateurs client de sorte qu'ilsne puissent pas créer d'exceptions pour des analyses antivirus et antispyware oupour des analyses proactives des menaces.

Sereporterà"Configurerdes restrictions client pour des exceptions centralisées"à la page 658.

Configuration d'une politique d'exceptionscentralisées

La configuration d'une politique d'exceptions centralisées se fait de la mêmemanière que pour d'autres types de politiques.

Vous pouvez cliquer sur Aide pour obtenir plus d'informations sur les optionsutilisées dans les procédures.

Pour configurer une politique d'exceptions centralisées

1 Dans la page de politique d'exceptions centralisées, cliquez sur Exceptions

centralisées.

2 Sous Exceptions centralisées, cliquez sur Ajouter, puis effectuez l'une desactions suivantes :

■ Cliquez sur ExceptionsWindows>Exceptionsderisquesdesécurité , ouExceptions Mac > Exception de risques de sécurité pour un fichier ou

Configuration des politiques d'exceptions centraliséesConfiguration d'une politique d'exceptions centralisées



un dossier. Puis, ajoutez les exceptions de risque de sécurité à incluredans la politique.

Se reporter à "Configuration d'une exception centralisée pour l'analyse

antivirus et antispyware sur des clients Windows" à la page 650.Sereporterà"Configuration d'une exception centraliséepour des fichiersou dossiers sur des clients Mac" à la page 654.

■ Cliquez sur Exceptions Windows > Exceptions d'analyse proactive des

menaces TruScan, puis ajoutez une exception d'analyse proactive desmenaces à inclure dans la politique.

Se reporterà "Configuration d'une exception centralisée pour les analysesproactives des menaces TruScan" à la page 655.

■ Cliquez sur Windows Exceptions > Exception de protection contre les

interventations, puis ajoutez une exception d'analyse proactive des

menaces à inclure dans la politique.Se reporter à "Configurer une exception centralisée pour la protectioncontre les interventions" à la page 657.

3 Répétez l'étape 2 pour ajouter d'autres d'exceptions.


Configuration d'une exception centralisée pour l'analyse antivirus etantispyware sur des clients Windows

Vous pouvez créer des exceptions pour des risques de sécurité connus, des fichiers,des dossiers ou des extensions de fichier. Les exceptions s'appliquent à toutes lesanalyses antivirus et antispyware qui s'exécutent sur les ordinateurs client quiutilisent la politique.

Remarque : Vous pouvez créer une exception seulement pour des fichiers ou desdossiers de clients Mac.

Se reporter à "Configuration d'une exception centralisée pour des fichiers oudossiers sur des clients Mac" à la page 654.



650



Pour configurer une exception centralisée pour l'analyse antivirus et antispyware

sur des clients Windows

1 Sur la page Politique d'exceptions centralisées, cliquez sur Exceptions

centralisées.

2 Sous Exceptions centralisées, cliquez sur Ajouter > Exceptions Windows >

Exceptions de risques de sécurité, puis effectuez l'une des opérations :

■ Cliquez sur Risques connus, puis configurez l'exception.

Se reporter à "Configurer des exceptions centralisées pour des risques desécurité connus" à la page 651.

■ Cliquez sur Fichier, puis configurez l'exception.

Se reporter à "Configuration d'une exception centralisée pour un fichierpour des clients Windows" à la page 652.

■ Cliquez sur Dossier, puis configurez l'exception.

Se reporter à "Configuration d'une exception centralisée pour un dossierpour des clients Windows" à la page 653.

■ Cliquez sur Extensions, puis configurez l'exception.

Se reporter à "Configurer une exception centralisée pour une extensionde fichier" à la page 653.

3 Cliquez sur OK.


Configurer des exceptions centralisées pour des risques desécurité connus

Les risques de sécurité que le logiciel client détecte apparaissent dans la boîte dedialogue Exceptions de risques de sécurité connus.


La liste des risques de sécurité connus inclut des informations sur la gravité durisque.

Vous pouvez cliquer surAide pour plusd'informationssurlesoptionsd'exceptionscentralisées pour les risques de sécurité connus.

Pour configurer des exceptions centralisées pour des risques de sécurité connus


centralisées.


Exceptions de risques de sécurité > Risques connus.




3 Dans la boîte de dialogue Exceptions de risques de sécurité connus,sélectionnez un ou plusieurs risques de sécurité que vous voulez exclure desanalyses antivirus et antispyware.

4 Cochez Consigner lorsque le risque de sécurité est détecté si vous voulezconsigner la détection.

Si vous ne cochez pas cette option, le client ignore le risque quand il détecteles risques sélectionnés. Le client ne consigne donc pas la détection.

5 Cliquez sur OK.


Configuration d'une exception centralisée pour un fichier pourdes clients Windows

Vous ajoutez des exceptions pour des fichiers individuellement. Si vous voulezcréer des exceptions pour plus d'un fichier, répétez la procédure.


Pour configurer une exception centralisée pour un fichier pour des clients Windows


centralisées.


Exceptions de risques de sécurité > Fichier.3 Sous Exception de fichier à risques de sécurité, dans la liste déroulante

Variable de préfixe, sélectionnez un dossier commun.

Lorsque vous sélectionnez un préfixe, l'exception peut être utilisée surdifférents systèmes d'exploitation Windows.

Sélectionnez [AUCUN] si vous souhaitez saisir le chemin absolu et le nom defichier.

Remarque : Les chemins d'accès de dossier pour des clients Windows doivent

être dénotés à l'aide d'une barre oblique arrière.

4 Dans la zone de texte Fichier, saisissez le nom du fichier.

Si vous avez sélectionné une variable de préfixe, le chemin d'accès doit êtrerelatif au préfixe. Si vous avez sélectionné [AUCUN], saisissez le nom dechemin d'accès complet du fichier.


652



5 Cliquez sur OK.


Configuration d'une exception centralisée pour un dossier pourdes clients Windows

Vous ajoutez des exceptions pour des dossiers individuellement. Si vous voulezcréer des exceptions pour plus d'un dossier, répétez la procédure.


Pour configurer une exception centralisée pour un dossier pour desclients Windows


centralisées.2 Sous Exceptions centralisées, cliquez sur Ajouter > Exceptions Windows >

Exceptions de risques de sécurité > Dossier.

3 Sous Exception de dossiers à risques, dans la liste déroulante Variable de

préfixe, sélectionnez un dossier commun.



Remarque : Les chemins d'accès de dossier pour des clients Windows doiventêtre dénotés à l'aide d'une barre oblique arrière.

4 Dans la zone de texte Dossier, saisissez le nom du dossier.

Si vous avez sélectionné une variable de préfixe, le chemin d'accès doit êtrerelatif au préfixe. Si vous avez sélectionné [AUCUN], saisissez le nom dechemin d'accès complet.

5 Cliquez sur OK.


Configurer une exception centralisée pour une extension defichier

Vous pouvez ajouter des extensions de fichier multiples à une exception. Aprèsavoir créé l'exception, vous ne pouvez pas créer une autre exception d'extensionpour la même politique. Vous devez modifier l'exception existante.





Remarque : Vous ne pouvez ajouter qu'une seule extension à la fois. Si vous entrezdes noms d'extension multiples dans la zone de texte Ajouter, la politique traitel'entrée comme un seul nom d'extension.

Pour configurer une exception centralisée pour une extension de fichier


centralisées.


Exceptions de risques de sécurité > Extension.

3 Dans la zone de texte, tapez l'extension que vous voulez exclure, puis cliquezsur Ajouter.

4 Répétez l'étape 3 pour ajouter d'autres extensions à l'exception.

5 Cliquez sur OK.


Configuration d'une exception centralisée pour des fichiers ou dossierssur des clients Mac

Si vous configurez une exception centralisée pour desfichiers ou dossiers sur desclientsMac, vous devez sélectionner l'option appropriée dans la politique antiviruset antispyware pour les analyses Auto-Protect.

Se reporter à "Configuration d'Auto-Protect pour le système de fichiers pour lesclients Mac" à la page 487.


Pour configurer une exception centralisée pour des fichiers ou dossiers sur des

clients Mac


centralisées.

2 Sous Exceptions centralisées, cliquez sur Ajouter > Exceptions Mac >

Exceptions de risques de sécurité pour le fichier ou le dossier.


654



3 Sous Exception de fichier ou dossier à risques de sécurité, dans la listedéroulante Variable de préfixe, sélectionnez un dossier commun.

Sélectionnez [AUCUN] pour saisir le chemin absolu et le nom de fichier.

Remarque : Les chemins d'accès de dossier pour les clients Mac doivent êtredénotés à l'aide d'une barre oblique arrière.

4 Dans la zone de texte Dossier, saisissez le nom du dossier.

Si vous sélectionnez unevariable de préfixe, le chemind'accès doit être relatifau préfixe. Si vous sélectionnez [AUCUN], saisissez le nom de chemin d'accèscomplet.

5 Cliquez sur OK.

6 Une fois la définition de la politique terminée, cliquez sur OK.

Configuration d'une exception centralisée pour les analyses proactivesdes menaces TruScan

Vous pouvez configurer des exceptions pour exclure des processus détectés desfutures analyses proactives des menaces. Vous pouvez également obliger uneanalyse proactive des menaces à détecter un processus particulier.

Pour configurer uneexception centralisée pour les analyses proactives des menaces

TruScan


centralisées.

2 Cliquez sur Ajouter> Exceptions Windows> Exceptionsd'analyseproactive

des menaces TruScan, puis effectuez l'une des opérations suivantes :

■ Cliquez sur Processus détectés.

Se reporter à "Configurer une exception centralisée pour un processusdétecté" à la page 656.

■ Cliquez sur Traiter.

Se reporter à "Configurer une exception pour obliger les analysesproactives des menaces TruScan à détecter un processus" à la page 656.

3 Cliquez sur OK.





Configurer une exception centralisée pour un processusdétecté

Vous pouvez créer une exception pour un processus que les analyses proactives

des menaces TruScan détectent.

Quand vous créez une exception pour un processus détecté, vous choisissez dansune liste de détections. La console de gestion peuple la liste avec les détectionsque le client consigne dans votre réseau de sécurité.

La liste de détection apparaît vide si les ordinateurs client de votre réseau n'ontencore fait aucune détection.

Vous pouvez obliger desanalyses proactives desmenaces à détecter un processusparticulier. Quand une analyse proactive des menaces détecte le processus et quela console de gestion reçoit l'événement, le processus apparaît dans la liste des

processus détectés.

Se reporter à "Configurer une exception pour obliger les analyses proactives desmenaces TruScan à détecter un processus" à la page 656.

Pour configurer une exception centralisée pour un processus détecté


centralisées.


des menaces TruScan > Processus détectés.

3 Sélectionnez les processus pour lesquels vous voulez créer une exception.4 Dans la zone déroulante Action, sélectionnez Ignorer, Terminer, Mettre en

quarantaine ou Consigner seulement.

5 Cliquez sur OK.


Configurer une exception pour obliger les analyses proactivesdes menaces TruScan à détecter un processus

Vous pouvez configurer une exception pour obliger les analyses proactives des

menaces à détecter un processus. Vous pourriez configurer ce type d'exceptionquand les analyses proactives des menaces ne détectent pas actuellement unprocessus particulier.

Quand de futures analyses auront détecté le processus spécifié,vous pourrez créerune autre exception pour traiter le processus.

Se reporter à "Configurer une exception centralisée pour un processus détecté"à la page 656.


656



Pour configurer une exception pour obliger les analyses proactives des menaces

TruScan à détecter un processus


centralisées.


des menaces TruScan > Processus.

3 Dans la boîte de dialogue, tapez le nom du processus.

Par exemple, vous pouvez taper le nom d'un fichier exécutable comme suit :

foo.exe

4 Cliquez sur OK.


Configurer une exception centralisée pour la protection contre lesinterventions

Vous pouvez configurer des exceptions centralisées pour la protection contre lesinterventions. Vous devez connaître le nom du fichier associé à l'application quevous voulez autoriser.

Par exemple, la protection contre les interventions peut bloquer une applicationde technologie d'aide, telle qu'un lecteur d'écran. Vous devez connaître le nom dufichier associé à l'application de technologie d'aide. Vous pouvez alors créer une

exception pour permettre à l'application de s'exécuter.


Pour configurer une exception centralisée pour la protection contre les interventions


centralisées.

2 Cliquez sur Ajouter>ExceptionsWindows>Exceptiondeprotectioncontre

les interventions.

3 Dans la boîte de dialogue Ajouter une exception à la protection contre les

interventions, dans la liste déroulante Variable de préfixe, sélectionnez undossier commun.






4 Dans la zone de texte Fichier, saisissez le nom du fichier.

Si vous avez sélectionné un préfixe, le chemin d'accès doit être relatif aupréfixe. Si vous avez sélectionné [AUCUN] comme préfixe, saisissez le nom

de chemin d'accès complet.

5 Cliquez sur OK.


Configurer des restrictions client pour des exceptionscentralisées

Vous pouvez configurer des restrictions de sorte que les utilisateurs des

ordinateurs client ne puissent pas créer d'exceptions pour des analyses antiviruset antispyware ou pour des analyses proactives des menaces TruScan. Pardéfaut,les utilisateurs sont autorisés à configurer des exceptions. Pour les analysesproactives desmenaces, lesutilisateursontdesprivilèges de configuration limités.

Se reporter à "A proposdesinteractionsde client avec les exceptions centralisées"à la page 649.


Remarque : Les utilisateurs des ordinateurs client ne peuvent jamais créerd'exceptions pour la protection contre les interventions, indépendamment desparamètres de restriction.

Pour configurer des restrictions client pour des exceptions centralisées

1 Sur la page Politique d'exceptions centralisées, cliquez sur Restrictions de

client.

2 Sous Restrictions de client, cochez ou décochez Exceptions de risque de

sécurité et Exceptions d'analyse proactive des menaces TruScan.


Création d'exceptions centralisées à partir desévénements de journal

Vous pouvez créer desexceptionscentralisées à partir desévénements de journalpour les analyses antiviruset antispywareou les analysesproactives desmenaces.

Configuration des politiques d'exceptions centraliséesConfigurer des restrictions client pour des exceptions centralisées

658



Quand vous créez desexceptionsà partir desévénements de journal, vous ajoutezun risque, un fichier, un dossier, une extension ou un processus à la politiqued'exceptions centralisées. Vous spécifiez la politique d'exceptions centralisées

quand vous créez l'exception.Se reporter à "A propos des journaux" à la page 287.

Pour créer des exceptions centralisées à partir des événements de journal

1 Dans l'onglet Contrôles, cliquez sur l'onglet de Journaux.

2 Dans la liste déroulante Type de journal, sélectionnez l'une des optionssuivantes :

■ Risque



3 Si vous avez sélectionné Contrôle des applications et des périphériques,sélectionnez Contrôle des applications dans la liste de contenu du journal.


5 Suivez les instructions pour ajouter des exceptions centralisées pour le typede journal que vous avez sélectionné.

Se reporter à "Ajouter une exception centralisée pour des événements derisque" à la page 659.

Se reporter à "Ajouter une exception centralisée pour des événementsd'analyse proactive des menaces TruScan" à la page 660.

Se reporter à "Ajout d'une exception centralisée pour des événements deprotection contre les interventions" à la page 661.

Ajouter une exception centralisée pour des événements de risque

Vous pouvez ajouter une exception centralisée pour des événements de risque.


Pour ajouter une exception centralisée pour des événements de risque

1 Sur la page Journaux de risque, sélectionnez un ou plusieurs événementspour lesquels vous voulez ajouter une exception centralisée.

2 En regard de Action, sélectionnez l'une des options suivantes :

■ Ajouter le risque à la politique d'exception centralisée

■ Ajouter le fichier à la politique d'exception centralisée

Configuration des politiques d'exceptions centraliséesCréation d'exceptions centralisées à partir des événements de journal



■ Ajouter le dossier à la politique d'exception centralisée

■ Ajouter l'extension à la politique d'exception centralisée

3 Cliquez sur Démarrer.4 Dans la boîte de dialogue, vous pouvez supprimer l'un des risques, fichiers,

dossiers ouextensions associés à l'évènement.Si vous supprimezdeséléments,vous ne les incluez pas dans l'exception.

Si aucun élément n'apparaît dans les listes de risques, fichiers, dossiers ouextensions, vous ne pouvez pas créer d'exception.

5 Pour les risques de sécurité, cochez sur Consigner lorsque le risque de

sécuritéestdétecté si vous voulezque le logiciel client consigne la détection.

6 Sélectionnez toutesles politiquesd'exceptions centralisées qui doivent utiliser

cette exception.7 Cliquez sur OK.

Ajouter une exception centralisée pour des événements d'analyseproactive des menaces TruScan

Vous pouvez ajouter une exception centralisée pour des événements d'analyseproactive des menaces.


Pour ajouter une exception centralisée pour des événements d'analyse proactive

des menaces TruScan

1 Sur la page Journaux d'analyse proactive contre les menaces TruScan,sélectionnez un ou plusieurs événements pour lesquels vous voulez ajouterune exception centralisée.

2 En regard de Action, sélectionnez Ajouter le processus à la politique

d'exception centralisée.


4 Dans la boîte de dialogue, dans la liste déroulante Réponse, sélectionnezl'action de détection pour le processus.

En option, vous pouvez supprimer tous les processus que vous ne voulez pasinclure dans l'exception.

5 Sélectionnez les politiques d'exceptions centralisées qui doivent inclure cetteexception.

6 Cliquez sur OK.


660



Ajout d'une exception centralisée pour des événements de protectioncontre les interventions

Vous pouvezajouter uneexceptioncentralisée pour desévénements de protectioncontre les interventions. La fonction Protection contre les interventions doit déjàavoir bloqué l'application que vous voulez autoriser. Une fois que la protectioncontre les interventions a bloqué l'application, l'ordinateur client consignel'événement et l'envoie au serveur de gestion. Vous pouvez utiliser l'événementde journal pour créer l'exception.


Pour ajouter une exception centralisée pour des événements de Protection contre

les interventions

1 Dans la page Journaux du contrôle des application et des périphériques,sélectionnez un ou plusieurs événements pour lesquels vous voulez ajouterune exception centralisée.

Par exemple, vous pourriez sélectionner un ou plusieurs événements quis'appliquent aux applications de technologie d'aide que vousvoulez exécuter.

2 En regard d'Action, sélectionnez Ajouterlefichieràlapolitiqued'exception

centralisée.


4 Pour supprimer un fichier que vous ne voulez pas inclure dans l'exception,sélectionnez le fichier et cliquez sur Supprimer.

Répétez cette étape pour supprimer d'autres fichiers.

5 Sélectionnez les politiques d'exceptions centralisées qui doivent inclure cetteexception.

6 Cliquez sur OK.





662



Utilisation de l'interface deligne de commande

Cette annexe traite des sujets suivants :

■ Commandes Windows pour le service client

Commandes Windows pour le service clientVous pouvez manipuler le client directement depuis la ligne de commande sur unordinateur clientWindows en utilisantla commande smcpour le service de client.Vous pouvez vouloir utiliser cette commande dans un script qui exécute les

paramètres à distance. Par exemple, si vous devez arrêter le client pour installerune application sur des clients multiples, vous pouvez arrêter et redémarrerchaque service client.

Le service client doit s'exécuter pour que vous utilisiez les paramètres de ligne decommande, excepté le paramètre de smc -start. Les paramètres de ligne de

commande ne distinguent pas les majuscules et les minuscules.

Tableau A-1 décrit les paramètres que vous pouvez exécuter si les utilisateurssont membres de n'importe quel groupe d'utilisateurs Windows.

Tableau A-1 Paramètres que tous les membres de Windows peuvent utiliser


Vérifie si le service client de smc est installé.

Retourne 0, -3

smc -checkinstallation

Vérifie si le service client de smc s'exécute.

Retourne 0, -4

smc -checkrunning

AAnnexe




Ferme l'interface utilisateur client de Symantec EndpointProtection ou Symantec Network Access Control, y comprisl'icone de zone de notification.

Le client s'exécute toujours et protège l'ordinateur client.

Retourne 0

smc -dismissgui

Exporte le contenu entier d'un journal vers un fichier .txt.

Pour exporter un journal, utilisez la syntaxe suivante :

smc -exportlog type_journal 0 -1 fichier_sortie

où :

log_type est :■ 0 = journal système

■ 1 = journal de sécurité

■ 2 = journal du trafic

■ 3 = journal des paquets

■ 4 = journal de contrôle

Par exemple, vous pourriez saisir la syntaxe suivante :

smc -exportlog 2 0 -1 c:\temp\TrafficLog

Où :

0 représente le début du fichier

-1 représente la fin du fichierVous pouvez seulement exporter le journal de contrôle, le

journaldespaquets, le journal de sécurité, le journalsystèmeet le journal du trafic.

output_file estlenomduchemind'accèsetlenomdefichier

que vous attribuez au fichier exporté.

Retourne 0, -2, -5

smc -exportlog

Si Symantec Network Access Control est installé, exécute unevérification d'intégrité de l'hôte.

Retourne 0

smc -runhi

Affiche l'interface utilisateur client de Symantec EndpointProtection ou Symantec Network Access Control.

Retourne 0

smc -showgui

Utilisation de l'interface de ligne de commandeCommandes Windows pour le service client

664




Vérifie si le fichier de configuration sur le serveur de gestionest plus récent que le fichier de configuration sur le client. Lefichierde configurationincluttousles paramètres surle serveurde gestion, telquelespolitiques, groupes, paramètresde journal,paramètres de sécurité et paramètres d'interface utilisateur.

Si le fichier de configuration client est périmé, updateconfigtélécharge le fichier de configuration le plus récentet remplacele fichier de configuration existant, serdef.dat.

Retourne 0

smc -updateconfig

Vous pouvez exécuter lesparamètres dans TableauA-2seulement si lesconditionssuivantes sont remplies :

■ Le client exécute Windows 2003/XP/Vista ou Windows Server 2008 et lesutilisateurs sont membres du groupe d'administrateurs Windows.

■ Le clientexécute Windows 2003/XP et les utilisateurssont membres du groupede super-utilisateurs.

Si le client exécute Windows Vista et que le contrôle de compte d'utilisateur estactivé, l'utilisateur devient automatiquement membre à la fois des groupesd'administrateurs et d'utilisateurs. Pour utiliser les paramètres suivants,l'utilisateurs doit uniquement être membre du groupe d'administrateurs.

Tableau A-2 Paramètres que les membres du groupe d'administrateurs peuventutiliser


Exporte le fichier de configuration du clientvers un fichier.xml.Le fichier de configuration inclut tous les paramètres sur leserveur de gestion, tel que les politiques, groupes, paramètresde journal, paramètres de sécurité et paramètres d'interfaceutilisateur.

Vous devez spécifier le nom du chemin d'accès et le nom defichier. Parexemple, vous pouveztaper la commande suivante :

smc -exportconfig C:\My

Documents\MyCompanyprofile.xml

Retourne 0, -1, -5, -6

smc -exportconfig





Remplace le contenu du fichier de la configuration actuelle duclient par un fichier de configuration importé. Le client doits'exécuter pourimporterle contenudu fichier de configuration.


smc -importconfig C:\My

Documents\MyCompanyprofile.xml.

Retourne 0, -1, -5, -6

smc -importconfig

Exporte les règles de pare-feu du client vers un fichier .sar. Lesrègles exportées peuvent seulement être importées dans unclient autonome ou un client géré en mode de commande client

ou mixte. Le client géré ignore ces règles dans le mode decommande de serveur.


smc -exportadvrule C:\myrules.sar

Retourne 0, -1, -5, -6

smc -exportadvrule

Ajoute lesrègles de pare-feu importéespar la liste existantedesrègles de pare-feu du client. Ces règles ne remplacent pas lesrègles existantes. Le client liste à la fois les règles existantes et

les règles importées, même si chaque règle a les mêmes nom etparamètres.

Vous ne pouvez importer les règles de filtrage quedansunclientautonome ou un client géré en mode de commande client oumixte. Le client géré ignore ces règles dans le mode decommande de serveur.

Pour importer des règles de pare-feu, importez un fichier .sar.Par exemple, vous pouvez taper la commande suivante :

smc -importadvrule C:\myrules.sar

Une entrée est ajoutée au journal système après avoir importéles règles.

Retourne 0, -1, -5, -6

smc -importadvrule

Démarre le service client Symantec Endpoint Protection ouSymantec Network Access Control.

Retourne 0, -1

smc -start


666




Arrête le service client Symantec Endpoint Protection ouSymantec Network Access Control et le déchargede la mémoire.

Retourne 0, -1

smc -stop

Quand vous importez des fichiers de configuration et des règles de filtrage, notezque les règles suivantes s'appliquent :

■ Vous ne pouvez pas importer de fichiers de configuration ou de règles defiltrage directement depuis un lecteur réseau mappé.

■ Le client ne prend pas en charge les chemins d'accès UNC (convention denommage universelle).

Codes d'erreur

Tableau A-3 affiche les codes d'erreur que la commande smc renvoie quand les

paramètres requis sont erronés ou sont manquants.

Tableau A-3 Codes d'erreur smc

DescriptionCode d'erreur

La commande a réussi.0

L'utilisateur ne se trouve pas dans le groupe des administrateursWindows ou le groupe des utilisateurs Windows avec pouvoir. Si leclient exécute Windows Vista, l'utilisateur n'est pas un membre dugroupe d'administrateurs de Windows.

-1

Paramètre incorrect.

Il se peut que vous ayez tapé le paramètre de façon incorrecte ou quevous ayez ajouté une option incorrecte après le paramètre.

-2

Le service client smc n'est pas installé.-3

Le service client smc ne s'exécute pas.-4

Fichier d'entrée incorrect.

Par exemple, les paramètres importconfig, exportconfig,

updateconfig, importadv, exportadvrule et exportlog

requièrent le nom de chemin et le nom de fichier exact.

-5




DescriptionCode d'erreur

Le fichier d'entrée n'existe pas.

Par exemple, les paramètres importconfig, updateconfig etimportadvrule nécessitent le chemin d'accès, le nom de fichier de

configuration (.xml) ou le nom de fichier de règles de pare-feu exacts(.sar).

-6

Saisie d'un paramètre si le client est protégé par mot de passe

Vous pouvez définir la protection par mot de passe sur le client si vous ou unutilisateur différent arrêtez le service clientèle ou importez ou exportez le fichierde configuration. Vous devez saisir le mot de passe si le client est protégé par mot

de passe pour les paramètres suivants :

Le client demande un mot de passe avant que vous ou l'utilisateurarrête le client.

-stop

Le client demande un mot de passe avant que vous puissiez importerle fichier de configuration.

-importconfig

Le client demande un mot de passe avant que vous puissiez importerle fichier de configuration.

-exportconfig

Se reporter à "Protection du client par mot de passe" à la page 185.

Remarque : Le mot de passe est limité à 15 caractères ou moins.

Pour taper un paramètre si le client est protégé par mot de passe

1 Sur l'ordinateur client, dans la barre des tâches, cliquez sur Démarrer >

Exécuter.

2 Dans la boîte de dialogue Exécuter, tapez cmd


668



3 Dans l'invite MS-DOS de Windows, tapez l'un des paramètres suivants :

smc -paramètre -p mot de passe

smc -p mot de passe - paramètre

Où :

le paramètre est -stop, -importconfig ou -exportconfig.

mot de passe est le mot de passe que vous avez spécifié dans la console.

Par exemple, vous pouvez saisir l'une ou l'autre des syntaxes suivantes :

smc -exportconfig c:\profile.xml -p mot de passe, soit

smc -p mot de passe -exportconfig c:\profile.xml

4 Fermez l'invite de commandes.





670



A propos des paramètres decommunication entre le

client et le serveurCette annexe traite des sujets suivants :

■ A propos des paramètres de communication entre le client et le serveur

A propos des paramètres de communication entre le

client et le serveurLesparamètresdecommunicationentreleclientetleserveur,ainsiquelesautresparamètres client sont stockés dans les fichiers sur l'ordinateur client.

Tableau B-1 Fichiers client

DescriptionNom de fichier

Fichier chiffré qui stocke les paramètres de communication paremplacement. Chaquefois quel'utilisateur modifiedesemplacements,le fichier SerDef.dat est lu, et les paramètres de communication

appropriés pour le nouvel emplacement sont appliqués au client.

SerDef.dat

Stocke lesparamètresde communication globale. Ce fichier estréservéà un usage interne et ne doit pas être modifié. Il contient lesparamètres issus de Symantec Endpoint Protection Manager. Si vousmodifiez ce fichier, la plupart des paramètres seront écrasés par lesparamètres de serveur de gestion la prochaine fois que le client seconnecte au serveur de gestion.

sylink.xml

BAnnexe



DescriptionNom de fichier

Un fichier chiffré qui stocke des informations sur l'interfaceutilisateur, tel que la taille de l'écran du client, si la console du clientpour la protection contreles menaces réseau apparaît et si les servicesWindows apparaissent. Lorsque le client démarre, il lit ce fichier etreprend depuis l'état d'interface graphique dans lequel il était avantd'être arrêté.

SerState.dat

A propos des paramètres de communication entre le client et le serveurA propos des paramètres de communication entre le client et le serveur

672



Informations de gestion etde protection du client par

la plate-formeCette annexe traite des sujets suivants :

■ Fonctions de gestion par plate-forme

■ Fonctions de protection client par plate-forme

■ Paramètres de politique antivirus et antispyware disponibles pour Windowset Mac

■ Paramètres de politique LiveUpdate disponibles pour Windows et Mac

Fonctions de gestion par plate-formeLe tableau suivant présente les options de gestion disponibles pour lesplates-formes clients Windows et Mac.

Tableau C-1 Installation, gestion et mise à jour Symantec Endpoint Protection

(Windows et Mac seulement)

MacWindowsFonctionnalité

NonOuiDéploiement du client à distancedepuis Symantec EndpointProtection Manager

OuiOuiGestion de client à partir deSymantec Endpoint ProtectionManager

CAnnexe



MacWindowsFonctionnalité

NonOuiMise à jour des définitions devirus et de produit à partir duserveur de gestion

■ Analyse

■ Mise à jour de contenu

■ Miseàjourdecontenuetanalyse

■ Redémarrage desordinateurs client

■ Activationd'Auto-Protect



■ Analyse

■ Miseàjourdecontenu

■ Miseàjourdecontenuet analyse





■ Activation de laprotection contre lesmenaces réseau

■ Désactivation de laprotection contre lesmenaces réseau

Exécution des commandes àpartir du serveur de gestion

NonOuiInstallation des mises à jour en

utilisant des fournisseurs demises à jour groupées

OuiOuiExécution de Intelligent Updater

Non*OuiMises à jour de package pour desoutils tiers dans le serveur degestion

NonOuiDéfinitiondes analyses aléatoires

OuiOuiDéfinition des mises à jouraléatoires

*Cependant, vous pouvez exécuter Intelligent Updater pour obtenir des mises à jour de contenu Mac. Vous pouvez alors pousser les mises à jour aux clients Macà l'aide d'un outil tiers tel que Apple Remote Desktop.


Informations de gestion et de protection du client par la plate-formeFonctions de gestion par plate-forme

674




Se reporter à "Paramètres de politique antivirus et antispyware disponibles pour

Windows et Mac" à la page 676.

Se reporter à "Paramètres de politique LiveUpdate disponibles pour Windows etMac" à la page 678.

Se reporter à "Fonctions de protection client par plate-forme" à la page 675.

Fonctions de protection client par plate-formeLe tableau suivant présente les différentes fonctions de protection disponiblessur les différentes plates-formes clients.

Tableau C-2 Protection client de Symantec Endpoint Protection

LinuxMacWindows

Server 2003,

Windows

Server 2008,

64 bits

Windows

Server 2003,

Windows

Server 2008,

32 bits

Windows XP,

Windows

Vista,

Windows 7,

64 bits

Windows

2000

Professional

Edition,

Windows XP,

Windows

Vista,

Windows 7,

32 bits

Fonction client

OuiOuiOuiOuiOuiOuiAnalyses planifiées

OuiOuiOuiOuiOuiOuiAnalyses sur demande

OuiOuiOuiOuiOuiOuiAuto-Protect pour le systèmede fichiers

NonNonNonNonNonOuiAuto-Protect pourmessagerie Internet

NonNonNonOuiNonOuiAuto-Protect pour MicrosoftOutlook

NonNonNonOuiNonOuiAuto-Protect pour LotusNotes

NonNonOuiOuiOuiOuiAnalyses proactives desmenaces TruScan

NonNonOuiOuiOuiOuiPare-feu

Informations de gestion et de protection du client par la plate-formeFonctions de protection client par plate-forme



LinuxMacWindows

Server 2003,

Windows

Server 2008,64 bits

Windows

Server 2003,

Windows

Server 2008,32 bits

Windows XP,

Windows

Vista,

Windows 7,64 bits

Windows

2000

Professional

Edition,Windows XP,

Windows

Vista,

Windows 7,

32 bits

Fonction client

NonNonOuiOuiOuiOuiPrévention des intrusions

NonNonNonOuiNonOuiContrôle d'application etcontrôle de périphérique

NonNonOuiOuiOuiOuiIntégrité de l'hôteNonNonNonOuiNonOuiProtection contre les

interventions

Se reporter à "Fonctions de gestion par plate-forme" à la page 673.

Se reporter à "Paramètres de politique antivirus et antispyware disponibles pourWindows et Mac" à la page 676.


Paramètres de politique antivirus et antispywaredisponibles pour Windows et Mac

Tableau C-3 affiche les différences entre les paramètres de politique disponiblespour les clients Windows et Mac.

Informations de gestion et de protection du client par la plate-formeParamètres de politique antivirus et antispyware disponibles pour Windows et Mac

676



Tableau C-3 Paramètres de politique antivirus et antispyware (Windows et Mac

uniquement)

MacWindowsParamètre de politique

Vous pouvezspécifier l'une ou l'autre desactions suivantes :

■ Réparer automatiquement les fichiersinfectés

■ Mettre en quarantaine les fichiers nepouvant pas être réparés

Vous pouvez spécifier les premières etdeuxièmes actionsquand différents typesde virus ou de risque sont trouvés. Vouspouvez définir les éléments suivants :

■ Nettoyer

■ Mettre en quarantaine

■ Supprimer

■ Conserver

Définition des actions pourdes analyses

La résolution est automatiquement

associée aux actions.

Vous pouvez définir les actions de

résolution suivantes :

■ Sauvegarder des fichiers avant laréparation

■ Terminer les processus

■ Arrêter les services

Spécifier la résolution si un

virus ou un risque est trouvé

Personnalisée seulementActive, complète, personnaliséeDéfinir le type d'analyse

NonOuiRéessayer les analysesplanifiées

NonOuiDéfinir les analyses pourvérifier des emplacementssupplémentaires(amélioration d'analyse)

NonOuiConfigurer des analyses demigration de stockage

Spécifiez le paramètre dans la politiqueantivirus et antispyware et configurez lapolitique d'exceptions centralisées

Configurer seulement la politiqued'exceptions centralisées

Configurer des exceptionsd'analyse




Informations de gestion et de protection du client par la plate-formeParamètres de politique antivirus et antispyware disponibles pour Windows et Mac



Paramètres de politique LiveUpdate disponibles pourWindows et Mac

Tableau C-4 présente les options de politique des paramètres LiveUpdate prisesen charge par les clients Windows et Mac.

Tableau C-4 Paramètres de politique LiveUpdate (Windows et Mac seulement)

MacWindowsParamètre de politique

NonOuiUtiliser le serveur de gestion par défaut

OuiOuiUtiliser un serveur LiveUpdate (interneou externe)

NonOuiUtiliser un fournisseur de mises à jourgroupées

Non*OuiActiver la gestion de contenu tiers

OuiOuiPlanification de LiveUpdate

NonOuiParamètres utilisateur

OuiOuiParamètres de mise à jour du produit

*Cependant, vous pouvez exécuter Intelligent Updater pour obtenir des mises à

jour de contenu Mac. Vous pouvez alors pousser les mises à jour aux clients Macà l'aide d'un outil tiers tel que Apple Remote Desktop.



Se reporter à "Paramètres de politique antivirus et antispyware disponibles pourWindows et Mac" à la page 676.


Informations de gestion et de protection du client par la plate-formeParamètres de politique LiveUpdate disponibles pour Windows et Mac

678



AAccueil, page

Symantec Endpoint Protectionliens Security Response 224personnalisation 222

Active Directory, contrôleur de domaineexclusions automatiques 447

Active Directory, serveur

filtre 354importation de données utilisateur 60

adaptateurs. Se reporter à adaptateurs réseauadministrateur

à propos de 327ajouter 329authentification 335basculer le type de 333droits d'accès 330modifier le mot de passe 337renommer 336types 326

verrouiller le compte après un échec deconnexion 333

administrateur de domaine 327administrateur limité

à propos de 328configurer les droits d'accès 332

administrateur systèmeà propos de 327

administrerdomaines 325

ajoutadministrateur 329

d'un groupe 59ajout de produits

Protection Center 51Analyse

journal 295 journaux 261rapports 261

Analyse proactive contre les menaces TruScan journal 255

Analyse proactive des menaces TruScanexceptions centralisées 648

journal 294analyse proactive des menaces TruScan

niveau de sensibilité 594paramètres par défaut 583

analyses 448Voir aussi analyses planifiées

à propos 442affectation d'actions 456afficher un message d'avertissement sur le

client 469antivirus et protection antispyware 463

exceptions centralisées 647arrêtées 510Auto-Protect 443en sommeil 510exclusion de fichiers de l'analyse 455exécution à la demande 508extensions de fichier recommandées 452

options avancées pour des analyses définies parl'administrateur 511

options de progression d'analyse 510sélection des fichiers et des dossiers à

analyser 451suspendues 510

analyses à la demandeexécution 508

analyses définies par l'administrateur 501Voir aussi analyses à la demandeVoir aussi analyses planifiées

analyses manuelles. Se reporter à analyses sur

demandeanalyses planifiées 448

Voir aussi analysesà propos 448ajouter à une politique 502, 504enregistrer comme modèle 502, 504options avancées 511options de progression d'analyse 510

Analyses proactive de menaces TruScandétection obligatoire 591

Index



analyses proactives des menaces. Se reporter à

Analyses proactives des menaces TruScanAnalyses proactives des menaces TruScan

actions 594

détection des processus 583exceptions centralisées 590faux positifs 586fréquence 596ignorer des processus 588Mise en quarantaine 589notifications 596

analyses proactives des menaces TruScanapplications commerciales 595exceptions centralisées 655gestion des détections 591imposer une détection 656

Paramètres par défaut de Symantec 583processus 593

analyses sur demandeconfiguration sous Mac 506configurer 505options avancées 511options de progression d'analyse 510

antivirus et antispyware, politiquespolitique par défaut 435

applicationajout à une règle 570définition 571

recherche de 571application apprise

enregistrementdesrésultatsde la recherche 125applications 571

Voir aussi applications assimiléesautorisation 636recherche de 124surveillance des applications en réseau 575

applications apprisesactivation 122recherche de 124

applications assimilées 571Voir aussi applicationsà propos 120liste 571

architectureSymantec Protection Center 46

assistantde configuration du serveur de gestion 381assistant de règle de filtrage 533attaques

blocage 516, 548

signatures 541attaques "zero day" 582audit

journal 289

authentificationcertificat 373point à point 539pour les administrateurs 335

Auto-Protectafficher des résultats sur les ordinateurs

infectés 494analyse et blocage de risque de sécurité 483analyses 443cache de fichier 486configuration 479configurerdes notifications de progression 498

configurer des options de notification 492Lotus Notes 491Microsoft Outlook 490options avancées d'analyse et de

surveillance 484pour le système de fichiers

activation 480configuration 481

pour le système de fichiers sur des clients Macconfigurer 487

pour messagerie Internet 488types de 480

Auto-Protect pour le système de fichiers. Se reporter à Auto-Protect

Auto-Protect pour messagerie Internet 488Autre catégorie de risque 441

Bbase de données

Assistant de configuration du serveur degestion 381

erreur 406erreur de CGI 406

erreur de processus arrêté 406gestion 379intégrée

convention de dénomination 380maintenance 404Microsoft SQL

conventions de dénomination 380fichier bcp.exe 394

modification des paramètres d'expiration 406

Index680



modifierdescription 391nom 391

planification de sauvegarde automatique 389

reconfiguration 382intégrée 394Microsoft SQL 392

restaurationprocédure 390

sauvegarde 381automatique 389

taille 381utilitaire Symantec Database Backup and

Restore 381bibliothèques. Se reporter à signatures IPSblagues 441

blocageclients de groupes 72ordinateurs attaquant 548

brouillagede signaturedu système d'exploitation 538

Ccache de fichier

pour le système de fichiers Auto-Protect 486cartes réseau

ajout à la liste par défaut 568ajout à une règle 569

déclencheurs 524modification et suppression 570Centre de sécurité Windows 459certificat

certificat et fichier de clé privée (formats DERet PEM) 374

Fichier keystore JKS 373Fichier keystore PKCS12 374mise à jour 374numérique 373serveur 373

chevaux de Troie 440, 575

chiffrement 373ClassGuid 626client 418

Voir aussi réplicationcommandes 663définition 64hors ligne 238interface utilisateur

accès à 177configuration 178–179, 183

Journal de contrôle 609mises à jour

Intelligent Updater 167outils de distribution tiers 169

protection par mot de passe 185règles 527réplication de package 418supprimer des packages de mise à niveau 137

client géréverrouillage et déverrouillage 178

client MacAuto-Protect pour le système de fichiers 487exceptions centralisées 487, 654

clients autogérésdistribution des mises à jour avec des outils

tiers 173

clients hérités 158politiques antivirus et antispyware pour 437

clients hors ligne 238clients, types 64commande mélangée

configurer des paramètres de protection contreles menaces réseau 559

commande smc 663commandes

client 663exécuter depuis les journaux 304exécution sur des clients à partir de la

console 81communication

problèmes entre le client et le serveur 200composants

produit 30compte administrateur

à propos de 322compte administrateur limité

dans Protection Center 51comptes

Protection Center 49conformité

journal 291 journaux 246rapports 246

connectivitécommunication entre le client et le serveur 200mise à jour manuelle de la politique 119utilisation d'un navigateur pour tester 203utilisation du ping pour tester 202utiliser Telnet pour tester 203

Index



connexionSymantec Protection Center 48

connexion clienticône d'état 197

considérationsmodes de commutation 69

consoleà propos de 42augmentation de la période de dépassement de

délai 343contenu

à propos de l'enregistrement des révisions 148méthodes de distribution 142mise à jour sur des clients et des serveurs de

gestion 140révisions quine sont pas la dernière version 151

sélectionner de façon aléatoire 149contrôle client 180Contrôle d'applications

configuration 613contrôle d'applications et de périphériques

journaux 245, 609rapports 245règles 605

contrôle de niveau application 602contrôle de niveau périphérique

contrôle d'applications et de périphériques 608contrôle des applications et des périphériques

journal 290contrôle des applications réseau 575contrôle des applications, ensemble de règles

modes 603, 623réglage des priorités 621

contrôle du serveur 180contrôle mixte 181

à propos 182

Ddébogage, journal. Se reporter à journal

déclencheursapplication 521carte réseau 524hôte 521règles de pare-feu 520service réseau 523

déclencheurs d'applicationrègles du pare-feu 521

déclencheurs d'hôterègles du pare-feu 521

dépannageavec Rechercher les ordinateurs non gérés 133problèmes client 202redémarrage d'ordinateurs client 76

déplacergroupe 62

déploiementavec Rechercher les ordinateurs non gérés 133

distantes, consolesoctroi de l'accès 349

distribution de contenu tiersà propos 169activer avec une politique LiveUpdate 170aux clients gérés 170condition de clé de registre Windows pour les

clients autogérés 173

utilisation avec des clients autogérés 173documentation

Symantec Protection Center 54domaine courant 325domaines

ajout 324courant 325

données clientrechercher 77

dossiersanalyse sélectionnée 465

droits d'accès 330

Eenregistrement de produits

dans Protection Center 51envoyer desinformations de menace à Symantec 471erreur de CGI

base de données 406erreur de processus arrêté

base de données 406état

clients et ordinateurs 73

état clientafficher 73état d'ordinateur

journaux 248rapports 248

état de l'ordinateurafficher 73

journal 293

Index682



événementmaintenance de la base de données

option 404événements

à propos 214regroupement 399–400

exceptions 646Voir aussi exceptions centraliséesSignatures IPS 546

exceptions centralisées 646Voir aussi Politiques d'exceptions centraliséesapplications de technologie d'aide 657, 661client Mac 487, 654dossiers 653Evénements d'analyse proactive des menaces

TruScan 660

Evénements de protection contre lesinterventions 661

événements de risque 659extensions 653files 652imposer une détection TruScan 656pour des analyses proactives des menaces 590pour des analyses proactives des menaces

TruScan 648, 655pour des processus détectés 656pour les analyses antivirus et antispyware 647Protection contre les interventions 648

protection contre les interventions 657risques de sécurité connus 651

exceptions IPS 546exclusions. Se reporter à exceptions centralisées

créées automatiquement 445exclusions automatiques

à propos 445Microsoft Exchange Server 446pour des produits Symantec 447pour le contrôleur de domaine Active

Directory 447exportation

Installation client, packages 132liste de serveurs de gestion 196politique 109règles du pare-feu 535

extensionsanalyse sélectionnée 464

Ffaux positifs 544, 586

réduire 550Fichier keystore JKS 373Fichier keystore PKCS12 374fichiers

exclusion de l'analyse 455partage 566

fichiers de définitionsanalyse après mise à jour 450configurer des actions pour de nouvelles

définitions 478indiquant périmé ou manquant 461

fichiers MSI 147fichiers MSP 147fichiers suspects 437filtrage de trafic intelligent 537filtre

groupes 282filtres

enregistrer dans les journaux 299utilisateurs et ordinateurs 75

formatDER 374PEM 374

Format DER 374Format PEM 374Fournisseur de mise à jour groupée

clients hérités 158contrôle des téléchargements de contenu 162gestion 156multiple 158, 164multiples 162recherche 165type 158unique 158, 162–163

Fournisseurs de mise à jour groupéemultiple 160

Ggroupeajouter 59blocage 72déplacer 62renommer 62

Groupe Ma société 58Groupe par défaut 58groupe parent. Se reporter à héritage

Index



groupe, propriétésafficher 63

groupesassignation d'une liste de serveurs de

gestion 194dans des packages d'installation client 69définition 58héritage 63paramètre par défaut 58rechercher 77spécification d'une liste de serveurs de

gestion 192groupes d'hôtes

ajout à une règle 562création 560modification 561

suppression 561GUID

en tant que contrôle des périphériques 608GUID Windows

ID de classe 626

Hhéritage

activation 63règles de filtrage 526règles de pare-feu 534

héritée, politiquedéplacement d'un groupe avec 62hôtes

ajout à une règle 562exclusion de la prévention d'intrusion 549local et distant 522source et destination 522

hôtes exclus 549HTTP, protocole 191HTTPS, protocole 191

I

icône d'état. Se reporter à connexion clienticônes

cadenas 178icônes de cadenas 178ID de classe

à propos de 625ID de périphérique

à propos de 625–626en tant que contrôle des périphériques 608

obtention 627importation

données utilisateur depuisune recherchesurunserveur de répertoires LDAP 359

fichiers de politiquelimitations 667

informations sur les utilisateurs à partir d'unserveur LDAP 356

politique 110règles du pare-feu

limitations 667unités organisationnelles 360

importing (importation)règles du pare-feu 535

imprimantes, partage 566informations utilisateur, collecter 131

inspection. Se reporter à inspection Statefulinspection Stateful

à propos de 528création de règles de trafic 528

Installation client, packagesajout 135ajouter des mises à jour 135collecter des données utilisateur 131configuration 129–130exportation 132

installation client, packagesconfiguration 129

intégrité de l'hôteà propos de 37

Intelligent Updater 166–167interface utilisateur

à propos 177configuration 183configurer 178–179

intervention activeconfiguration 548

IPv4 563IPv6 563

J journal 287

actualisation 297affichage 296Analyse 295Analyse proactive des menaces TruScan 294audit 289conformité 291

Index684



contrôle des applications et despériphériques 290

détail des événements 298enregistrement des configurations de filtre 299

erreur de base de données 297état de l'ordinateur 293filtrage 299filtre Dernières 24 heures 300gestion 404IIS 205

journal de débogage, vérification sur leclient 204

maintenance de la base de donnéesoption 404

Protection contre les menaces réseau 294Risque 295

suppression de paramètresde configuration 301Système 296types 288vérification des journaux de boîte de

réception 204 journal des événements 296

filtre Dernières 24 heures 281, 300 journalisation externe 308 journaux 245

accès à distance 298afficher à distance 298Analyse 261

Analyse proactive contre les menacesTruScan 255

clientconfiguration de la taille 400

conformité 246contrôle d'applications et de périphériques 245effacement de la base de données 397état d'ordinateur 248exécuter des commandes 304exportation de données 307

Journal de contrôle client 609Protection contre les menaces réseau 252

réplication 298Risque 257

suppression de fichiers de laquarantaine 305

serveurconfiguration de la taille 398

stockage 396Système 262

journaux et rapports de pare-feu. Se reporter à

Protection contre les menaces réseau

Llecteur d'écran

application bloquée par la protection contre lesinterventions 648

liste de serveurs de gestionà propos 190affichage des groupes et des emplacements

assignés 195ajout 191assignation à un groupe et à un

emplacement 194collage 196

copie 196exportation et importation 196liste par défaut 190priorité des serveurs 193remplacement 195spécifier pour un groupe 192

liste des signatures de fichierfusionner 634modification 632

LiveUpdateAdministrateur de LiveUpdate 144au sujet de la mise à jour du contenu 140

configuration d'un site pour télécharger desmises à jour 147configurer une politique de contenu 153configurer une politique de paramètres 151fichiers MSI et MSP 147Fournisseur de mise à jour groupée 156, 162Intelligent Updater 166mise à jour des définitions et du contenu 141modification des politiques de contenu

appliquées aux groupes 155options tiers de distribution 142politiques

à propos 150configuration 151, 153révisions de contenu 148signatures et définitions 141types de mises à jour 141utiliser avec la réplication 147utiliser les outils de distribution tiers 169

logiciel publicitaire 440

Index



Mmenaces 255, 516

Voir aussi protection contre les menaces réseauVoir aussi Protection proactive contre les

menacescombinées 439

menaces combinées 440message d'avertissement

afficher sur l'ordinateur infecté 469ajout à un message électronique infecté 495exemple 469

messages 488, 497Voiraussi Auto-Protectpourmessagerie InternetVoir aussi messages infectés

messages de notificationpour les analyses antivirus et antispyware 469

messages électroniquespour les règles de filtrage 575

messages infectésajout d'un avertissement à 494notifier d'autres utilisateurs 497notifier des expéditeurs 495

Microsoft Exchange Serverexclusions automatiques 446

Microsoft SQLgestion de la base de données 379

mise à niveau des clients 135un ou plusieurs groupes 136

mise en quarantaineenvoyer des éléments à Symantec 477options de nettoyage 475répertoire local 474transférer des éléments à un serveur de

quarantaine centralisée 477mode de production 603mode Ordinateur 64mode ordinateur 66mode test 603mode Utilisateur 64mode utilisateur 66modèles pour des analyses planifiées 502, 504modes 623

ordinateur client 64, 66mot de passe

tiers 348mot de passe tiers 348mot de passe, modifier

administrateur 337

Moteurs IPSbasé sur paquet 543

moteurs IPS 542basés sur le flux 542

Nniveaux de contrôle 179niveaux de contrôle de l'utilisateur 179notifications

Analyse proactive des menaces TruScan 596options d'Auto-Protect 492Protection contre les menaces réseau 573

numéro de série. Se reporter à numéro de série depolitique

numéro de série de politique

affichage sur le client 119numéroteurs 440

Ooptions d'architecture réseau

pour la gestion tiers des mises à jour 142ordinateur client

dépannage 202exécution de commandes 76modes 64, 66redémarrage 76

ordinateur virtuel

sélectionner de façon aléatoire destéléchargements de contenu simultanés 150

ordinateursrechercher 77

ordinateurs infectésaffichage des résultats d'Auto-Protect 494

Outil de déploiement de client Rechercher lesordinateurs non gérés 133

outils de piratage 441outils de suivi 442

Ppackages d'installation client

à propos de 127Page d'accueil

Symantec Endpoint Protectionà propos 215utilisation 215

Symantec Network Access Controlà propos 226utilisation 226

Index686



paramètrespare-feu 518, 538protection contre les menaces réseau 559

paramètres d'expiration

base de données 406Paramètres de

gestion d'éléments 438quarantaine 474

paramètres de communicationclient et serveur 671

paramètres de serveur XML 351paramètres furtifs 538

brouillage de signature du systèmed'exploitation 538

remise en séquence TCP 538paramètres gérés

configuration sur le client 177paramètres verrouillés et déverrouillés

client 178pare-feu

à propos 516–517notifications 573paramètres de trafic 538

partage des fichiers et des imprimantes 566PC-cillin 521plan pour faire face aux épidémies de virus 431planification

sauvegarde à la demande de la base de données

MicrosoftSQLavec l'assistant de maintenancede base de données 384

sauvegardeautomatiquedebasededonnées 389sauvegarde de la base de données intégrée à la

demande 388planifications

ajout à une règle 572planifier

sauvegarde à la demande de la base de donnéesMicrosoft SQL 383

point à point, authentification 539politique

à propos 97ajout d'un politique partagée

à partir d'une politique partagéeexistante 103

ajout d'une politique non partagéeà partir d'une exportation 104page Clients 102

ajouterpage Politique 101

attribuer 105exporter partagée

page Politiques 109héritage 63

importation 110importation des fichiers de politique 667LiveUpdate 150modification 104modification d'une politique partagée

page Politiques 104non partagée 100paramètre par défaut 96partagée 100retirer 106supprimer non partagée 108supprimer partagée 107

Politique de contrôled'application et de périphériquerègles

désactivation 622Politique de contrôle des applications et des

périphériques 36politique par défaut 96politique partagée. Se reporter à politiquePolitiques antivirus et antispyware

analyses planifiées pour les clients Mac 504utilisation 438

politiques antivirus et antispywareà propos 435

analyses planifiées 502clients hérités 437configurer la gestion des journaux 457définir les options du Centre de sécurité

Windows 459gérer l'interaction client 458options de transmission 471Politique de haute performance 436Politique de haute sécurité 436verrouiller des paramètres 436

Politiques d'exceptions centralisées 646Voir aussi exceptions centralisées

configuration 649utilisation 647

politiques d'exceptions centraliséescréation d'exceptions à partir des événements

de journal 659exceptions pour des analyses proactives des

menaces TruScan 655exceptions pour les analyses antivirus et

antispyware 650

Index



interaction client 649restrictions client 658

Politiquesde contrôle d'application et de périphériquerègles

priorités 621Politiques de contrôle des applications et des

périphériquescréation 611structure 601types de contrôles 600utilisation 609

Politiques de pare-feuà propos 518

ports personnalisésProtection Center 51

préférences

rapports 230prévention d'intrusion

à propos 516à propos de 541activation 545blocage des ordinateurs attaquants 548configuration 544désactivation sur les ordinateurs spécifiés 549notifications 574

priorités de règlePolitiques de contrôle des applications et des

périphériques 621

production, mode 623produit

à propos de 29composants 30fonctions principales 34

produits Symantecexclusions automatiques 447

programmes d'accès distant 441propriétés

groupe 63propriétés d'utilisateuret d'ordinateur, affichage 76Protection antivirus et antispyware

bases 430protection antivirus et antispyware

verrouillage et déverrouillage, fonctions 178Protection contre les interventions

exceptions centralisées 648gestion 421

protection contre les interventionsexceptions centralisées 657

fonctions de verrouillage et dedéverrouillage 178

message 423Protection contre les menaces proactives

à propos de 36Protection contre les menaces réseau

activation 558 journal 294 journaux 252rapports 252

protection contre les menaces réseauconfigurer pour la commande mélangée 559création de notifications 573désactivation 558présentation 516

protection par mot de passe

analyse de lecteurs mappés 459client 185modifier un mot de passe 459paramètres 668

Protection proactive contre les menaces 582rapports 255

protocole LDAP 356protocoles

ajout 563ajout à une règle 565HTTP 191HTTPS 191, 373

LDAP 356modification et suppression 564

QQuarantaine

à propos de 438suppression de fichiers 305

Rrapport

configuration des filtres 244

enregistrement 282filtre Dernières 24 heures 281impression 282présentation 242Protection Center 53type 242

rapports 278Voir aussi rapports planifiésaffichage 266

Index688



afficher la résolution 266Analyse 261audit 245conformité 246

contrôle d'applications et de périphériques 245enregistrement des paramètres de

configuration 276état d'ordinateur 248fuseaux horaires 283horodatages 283langue 283périodes d'analyse du client 283points importants 283Protection contre les menaces réseau 252Protection proactive contre les menaces 255Risque 257

SSL 283suppression de paramètresde configuration 276Symantec AntiVirus hérité 283Symantec Network Access Control

Page d'accueil 226Système 262

rapports planifiés 278Voir aussi rapportsà propos de 278création 279modification 279suppression 280

rapports rapidescréation 275paramètres de filtre de base 271

rapports sur les favorisSymantec Endpoint Protection

personnalisation 222rechercher

groupes, utilisateurs et ordinateurs 77reconfiguration

base de données intégrée 394Base de données Microsoft SQL 392de base de données 382

redémarrage 76. Se reporter à redémarragecommande 81

règles. Se reporter à règles de filtragerègles de filtrage

à propos de 519, 527activation 536adaptateurs réseau

ajout 568modification et suppression 570

applicationsajout 570

copier 535groupes d'hôtes

création 560modification et suppression 561

héritage 526messages électroniques 575ordre de traitement 525services réseau

ajout 563modification et suppression 564

règles de pare-feuactions 520ajout

utilisation d'une règle vierge 530

applications 521cartes réseau

ajout 569conditions 520déclencheurs 520déclencheurs de carte réseau 524éléments de 520héritage 534modification de l'ordre 536services réseau

ajout 565règles du pare-feu

ajoututilisation de l'assistant 533

client 527coller 535déclencheurs de service réseau 523désactivation 536exportation 535groupes d'hôtes

ajout 562hôtes 521importation 535

limitations 667

liste 525ordre de traitement

changement 536planifications

ajout 572serveurs 527

règles vierges 530regroupement 399remise en séquence TCP 538

Index



renommeradministrateur 336groupe 62

réplication

ajout de partenaire de réplication 414déconnexion d'unpartenairede réplication 416définition

initiale 409post installation 409

exemple 412exemple illustré 411fréquence 417fusion des données 413

journaux 419LiveUpdate et 147package client 418

paramètres de communication 412planification à la demande 416présentation 409

reportingbase 213

journal 287Préférences de la page d'accueil 230Symantec Endpoint Protection

Accueil, page 215retrait d'une politique 106Risk Tracer 485

blocage d'adresses IP 486

risqueélimination 233

journal 295 journaux 257

suppression de fichiers de laquarantaine 305

rapports 257risque de sécurité

à propos des actions des clients Mac 457risques 439

Voir aussi risques de sécuritédétection 439

risques de sécurité 439Voir aussi risquesà propos des actions des clients Windows 456actions 437configuration d'actions 467

RSA, serveurconfigurer l'authentification SecurID 370utiliser avec Symantec Endpoint Protection

Manager 369

Ssauvegarde

base de données 381base de données intégrée de la console 388Base de données Microsoft SQL avec l'assistant

Microsoft SQL 384sauvegarder

Base de données de Microsoft SQL depuis laconsole 383

SecurID RSA

conditions d'authentification 335SecurID, authentificationconfigurer sur le serveur de gestion 370spécification pour un administrateur 371

Security Response, site WebSymantec Endpoint Protection

accès depuis la page d'accueil 224serveur

ajout d'un serveur de répertoires 354 journaux 398proxy FTP 365proxy HTTP 365

règles 527répertoire 353serveur de répertoires

à propos de 353serveur de répertoires LDAP

importationinformations sur l'utilisateur de 359unités organisationnelles 360

recherche d'utilisateurs 356serveur proxyserveur proxy FTP 365serveur proxy HTTP 365

serveur, paramètresexportation et importation 351serveurs

gestion 347serveurs de répertoire LDAP

filtre 354

Index690

Administration Guide SEP11.0.6

Documents

Transcript of Administration Guide SEP11.0.6