DPA_OfficeScan10.6_v1.1_2014-03

TrendMicro OfficeScan 10.6

Installation et paramtrage en mode client / serveur

Prconisations Acadmiques Nantes

Cellule Technique des Rseaux d'tablissements DSI-D2 Rectorat de Nantes

Rdacteur : Christian Le Breton Projet : Antivirus tablissement

Date de Mise Jour : 14/03/2012 Version : 1.1

AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 2 / 42

Contacts

Nom Socit Fonction Tlphone/fax Adresse lectronique

Type de document

Nom Confidentialit Primtre de diffusion

Prconisations Acadmiques Acadmique Etablissements, CRID, Collectivits

Rvision du document

Version Date de modification Auteur Description

1.0 08/03/2012 christian le breton Documentation initiale

1.1 14/03/2014 christian le breton Adaptation nouvelles fonctionnalits Optimisations / bonnes pratiques

Validation du document

Nom Fonction Date

Rdaction par : Christian Le Breton CTRE 08 / 03 / 2012

Vrification par : GT antivirus

Validation par :

Approbation par :




TTTAAABBBLLLEEE DDDEEESSS MMMAAATTTIIIEEERRREEESSS

TABLE DES MATIERES............................................................................................................................. 3

1. PRESENTATION ............................................................................................................................... 5

2. INSTALLATION ................................................................................................................................ 6

2.1. PRE-REQUIS........................................................................................................................................... 6 2.2. OBTENTION DU PROGRAMME ...................................................................................................................... 8 2.3. DEMARRAGE DE L'INSTALLATION .................................................................................................................. 9 2.4. DOSSIER D'INSTALLATION DE L'APPLICATION ................................................................................................. 10 2.5. PARAMETRES DE PROXY ........................................................................................................................... 10 2.6. CHOIX DU SERVEUR WEB......................................................................................................................... 10 2.7. IDENTIFICATION DU SERVEUR SUR LE RESEAU. .............................................................................................. 11 2.8. ACTIVATION DU PRODUIT ........................................................................................................................ 11 2.9. SERVEUR "SMART PROTECTION" INTEGRE .................................................................................................... 12 2.10. INSTALLATION DU CLIENT SUR LE SERVEUR ................................................................................................ 12 2.11. SMART PROTECTION NETWORK ................................................................................................................. 12 2.12. MOTS DE PASSE .................................................................................................................................... 13 2.13. PARAMETRES D'INSTALLATION CLIENT ......................................................................................................... 13 2.14. PARE-FEU DE STATION ............................................................................................................................ 13 2.15. MODE "EVALUATION DES SPYWARE" ........................................................................................................... 14 2.16. REPUTATION DE SITES WEB ...................................................................................................................... 14 2.17. PARAMETRES DU MENU DEMARRER ............................................................................................................. 14 2.18. RESUME ET DEMARRAGE DE L'INSTALLATION ................................................................................................. 14

3. ACCES A LA CONSOLE SERVEUR ................................................................................................... 15

3.1. ACCES A LA CONSOLE ............................................................................................................................. 15 3.2. RESUME .............................................................................................................................................. 16 3.3. MENU "CONFORMITE DE LA SECURITE" ....................................................................................................... 16

4. ORDINATEURS EN RESEAU ........................................................................................................... 17

4.1. GESTION DES CLIENTS ............................................................................................................................ 17 4.3. PARAMETRES CLIENTS GENERAUX ............................................................................................................... 25 4.4. EMPLACEMENT DE L'ORDINATEUR ............................................................................................................... 25 4.5. PARE-FEU ............................................................................................................................................ 26 4.6. INSTALLATION DU CLIENT ........................................................................................................................ 26 4.7. VERIFICATION DE LA CONNEXION ............................................................................................................... 26 4.8. PREVENTION DES EPIDEMIES .................................................................................................................... 26

5. SMART PROTECTION .................................................................................................................... 27

6. MISES A JOUR ............................................................................................................................... 28

6.1. MISE A JOUR DU SERVEUR ....................................................................................................................... 28 6.2. MISE A JOUR DES CLIENTS (ORDINATEURS EN RESEAU) .................................................................................... 29 6.3. RETROGRADER ..................................................................................................................................... 29

7. JOURNAUX .................................................................................................................................... 30

8. CISCO NAC .................................................................................................................................... 31

9. NOTIFICATIONS ........................................................................................................................... 32

9.1. NOTIFICATIONS ADMINISTRATEUR .............................................................................................................. 32 9.2. NOTIFICATION AUX UTILISATEURS CLIENTS ................................................................................................... 32




10. ADMINISTRATION ........................................................................................................................ 33

10.1. COMPTES UTILISATEURS .......................................................................................................................... 33 10.2. ROLES UTILISATEURS ............................................................................................................................. 33 10.3. PARAMETRES PROXY .............................................................................................................................. 33 10.4. PARAMETRES DE CONNEXION .................................................................................................................... 33 10.5. CLIENTS INACTIFS ................................................................................................................................. 34 10.6. GESTIONNAIRE DE QUARANTAINE ............................................................................................................... 34 10.7. LICENCE DU PRODUIT ............................................................................................................................. 34 10.8. PARAMETRES DE CONTROL MANAGER ......................................................................................................... 35 10.9. PARAMETRES DE LA CONSOLE WEB ............................................................................................................. 36 10.10. SAUVEGARDE DE LA BASE DE DONNEES ..................................................................................................... 36

11. OUTILS .......................................................................................................................................... 37

12. INSTALLATION DES CLIENTS ....................................................................................................... 38

12.1. METHODES D'INSTALLATION ..................................................................................................................... 38 12.2. VERIFICATION DE L'INSTALLATION .............................................................................................................. 38

13. ANNEXES ....................................................................................................................................... 39

13.1. MIGRATION VERS OFFICESCAN 10.X .......................................................................................................... 39 13.2. PREMIER CAS : ..................................................................................................................................... 39 13.3. DEUXIEME CAS : ................................................................................................................................... 40 13.4. AUTRES POSSIBILITES............................................................................................................................. 41 13.5. SCRIPT DE MIGRATION : .......................................................................................................................... 41

14. LIENS UTILES ................................................................................................................................ 42




111... PPPRRREEESSSEEENNNTTTAAATTTIIIOOONNN

TrendMicro OfficeScan est la solution antivirus retenue par le MEN,

destination des tablissements dans le cadre d'un march, tabli pour 5 ans dater d'octobre 2010.

C'est avant tout un logiciel antivirus rseau gestion centralise. Le client

OfficeScan a donc logiquement besoin d'un lien permanent avec sa console. Avec l'volution des pratiques et de la "mobilit", le systme maintenant

propos, dnomm "smart protection network" permet d'avoir un client jour en continu, partir du moment ou il est connect un rseau, que ce

soit celui de sa console ou l'Internet en gnral.

Pour plus d'infos : http://fr.trendmicro.com/fr/about/core-technologies/smart-protection-network/ Cette procdure fournit les consignes d'installation et de paramtrage dans le cadre d'un lyce public de l'acadmie de Nantes. Pour les autres types d'tablissements, se rfrer aux prconisations indiques la rubrique "scurit du rseau > stratgie antivirale" sur http://ctre.ac-nantes.fr

ATTENTION :

Le prsent document ne peut en aucun cas tre considr comme exhaustif pour l'installation

et le paramtrage de l'antivirus rseau OfficeScan ; la plupart des tapes n'y sont pas dveloppes plus que ncessaire.

Il est par contre adapt aux architectures dployes sur les tablissements cibles et conforme

aux prconisations de l'acadmie de Nantes.

Les documentations "officielles" et exhaustives d'origine TrendMicro sont en ligne sur

http://docs.trendmicro.com/fr-fr/enterprise/officescan.aspx




222... IIINNNSSSTTTAAALLLLLLAAATTTIIIOOONNN

2.1. Pr-requis

L'installation doit tre faite sur un serveur ddi la fonction antivirus (et WSUS au besoin).

2.1.1. Matriel :

Avant toute installation, vrifier que votre serveur, physique ou virtuel, respecte les pr-requis indiqus par l'diteur : http://docs.trendmicro.com/all/ent/officescan/v10.6/en-us/osce_10.6_req.pdf

On pourra s'tonner de la "faiblesse" (voire obsolescence) des configurations matrielles prconises et il faudra raisonnablement augmenter les valeurs pour pouvoir fonctionner de manire optimale, fortiori si d'autres applications (WSUS par ex.) tournent sur le mme serveur.

On peut aussi se baser sur les pr-requis de WSUS 3.0 fournies sur la documentation "pas pas" : http://www.microsoft.com/downloads/details.aspx?familyid=c8fa2fd1-72f6-4f19-a1b0-f689dae14be6&displaylang=fr

2.1.2. Systme :

L'OS serveur doit tre mis jour des derniers "patches", correctifs de scurit ou "service-packs".

IIS devra tre install ou activ pralablement au lancement de l'installation d'OfficeScan.

Afin de simplifier la supervision, nommer le serveur "[RNE]-UPDATE" (ex : 0440000R-UPDATE),

ajout du suffixe DNS :

Etant donn que cette machine n'est pas intgre un domaine AD et de faon lui permettre la rsolution de noms sur le domaine DNS

auquel elle appartient, on doit lui adjoindre le suffixe correspondant :

dans les proprits systme, onglet [nom de l'ordinateur]

cliquer sur [modifier] puis sur le bouton [autres]

saisir le suffixe DNS (qu'on obtient partir d'un ipconfig sur une

station du rseau administratif) : "type-nom-dep.in.ac-nantes.fr".

un redmarrage est ncessaire.

Pour que la rsolution de noms courts fonctionne ct clients, il est ncessaire que le suffixe

DNS soit correctement paramtr au niveau des stations (essentiellement ct administratif,

celles-ci n'utilisant pas Active Directory).

2.1.3. Rseau :

Le serveur doit tre dispos dans la "DMZ prive" (ou "interco Amon-Slis") de votre rseau :

o Adresse IP : 10.1xx.yyy.11 / masque 255.255.255.192 (ou 255.255.255.128 si slis) o Passerelle et serveur DNS : le serveur Amon 10.1xx.yyy.62 (ou 10.1xx.yyy.2 si slis)

o Serveur proxy : encore le serveur Amon, mme IP que ci-dessus, sur le port 3128.

Dans l'ancien plan d'adressage, en interco amon-slis, il est ncessaire d'ajouter une route statique et persistante vers le rseau pdagogique : route add p 172.17.0.0 mask 255.255.0.0 10.1xx.yyy.3 (IP "wan" du slis).

Il est aussi ncessaire d'ouvrir le port 8000 sur slis (source l'IP du serveur, sens extrieur > intrieur)

* xx reprsente le n de dpartement et yyy le n chrono (3me octet quon retrouve sur les postes administratifs) de ltablissement.




2.1.4. Entres DNS

Pour faciliter les communications vers ce nouveau serveur et surtout en cas de migration ultrieure (changement de serveur, d'adresse), il est indispensable de renseigner la machine dans les zones DNS locales.

Rseau pdagogique :

Sur un domaine Active Directory Windows 200X :

o Console DNS > zone de recherche directe "nom-du-domaine" > ajouter un "nouvel hte (A)" o Nom : SRV-UPDATE > IP : 10.1xx.yyy.11

o Renseigner la "zone de recherche inverse" (crer au besoin la zone yyy.1xx.10.in-addr.arpa)

Rseau administratif :

Amon tant le serveur DNS sur ce rseau, voir au paragraphe suivant

2.1.5. Configuration du pare-feu AMON :

Deux manipulations sont effectuer sur Amon par votre CRID ( partir de Zephir ou de gen_config) :

Ajout d'un hte DNS

Dans le menu de configuration, passer en [mode expert] ; ouvrir

l'onglet [zones-dns], Remplir les champs "ajout d'hosts dans le DNS" (si d'autres

entres sont prsentes, les sparer par "|") :

o Nom : srv-update. lyc-nom-dep.in.ac-nantes.fr

o Adresse IP : 10.1xx.yyy.11 Valider les modifications,

Autorisation des flux serveur > clients

On doit faire en sorte dautoriser les notifications de la console antivirus vers les postes des rseaux administratif et pdagogique. Les autres flux clients > serveur, destination de la DMZ, sont autoriss par dfaut.

Toujours partir de Zephir ou de gen_config, ouvrir l'onglet [Pare-Feu ac-nantes],

mettre [oui] la variable " Utiliser un serveur antivirus en DMZ " ; valider puis indiquer l'IP du serveur :

valider les valeurs,

Une fois ces modifications effectues :

enregistrer les modifications (soit de gen_config vers Zphir, soit de zephir vers Amon),

Lancer un "reconfigure" > courte interruption de service !

2.1.6. Vrifications :

rsolution du nom court : "nslookup srv-update" doit rpondre par l'adresse IP 10.1xx.yyy.11, la fois

des rseaux administratifs et pdagogiques ainsi que de la dmz prive (sur le serveur lui-mme ou

partir de ses voisins). connectivit entre le serveur et les clients (une fois ceux-ci installs) : effectuer, partir du serveur

OfficeScan, un "telnet [ip_du_client] 8000" (avec bien entendu l'IP d'un poste client allum). Cette

commande ne doit pas tre rejete ou en "time out" idem partir d'un client (une fois le serveur install) : "telnet srv-update 8080" doit aboutir.

Tout ceci doit aussi se confirmer par la suite : que ce soit sur l'icne des clients ou dans la console

OfficeScan, tout doit apparatre "en ligne".




2.2. Obtention du programme

Les programmes et mises jour TrendMicro sont disponibles au tlchargement :

accder au site http://www.trendmicro.fr

cliquer sur "Tlchargements" (1) puis sur "mettre jour votre produit" (2)

sur le "centre de tlchargement", slectionner "OfficeScan" parmi les produits "Poste de travail"

Tlcharger le dernier "package d'installation complet French" disponible. A l'heure de la rdaction, il

s'agit de "OSCE-106-SP2-Full-Installer-Repack1-FR.exe" (env. 820 MO) tlcharger. Des service-packs et patches sont gnralement disponibles (dans les onglets du mme nom). En cas

de patch en version Franaise (ou multilingues), on peut en profiter pour les tlcharger A l'heure actuelle, le SP3-(fr)-GM-B5193-r1.exe ainsi que le OSCE-10.6-WIN-SP3-Patch1-(fr).exe sont ncessaires

Avant de dmarrer l'installation elle-mme, s'assurer que :

Vous disposez d'un "certain temps" : une bonne heure environ La connectivit l'Internet du serveur est oprationnelle.

Vous devez avoir ouvert une session en tant qu'administrateur du serveur ou du domaine.

Si une version antrieure d'OfficeScan est dj dploye, consulter tout d'abord l'annexe 12.1 de ce

document ainsi que les pr-requis sur : http://docs.trendmicro.com/all/ent/officescan/v10.6/en-us/osce_10.6_req.pdf

1

2




2.3. Dmarrage de l'installation

L'installation dmarre en lanant l'excutable tlcharg l'tape prcdente.

Sur Windows Server 2008, ne pas hsiter "excuter en tant qu'administrateur".

Dans le cadre d'une mise jour d'un serveur existant, certaines tapes ci-dessous ne sont pas affiches et les paramtres existants sont conservs.

Dans les premires fentres, trs peu d'alternatives sont proposes :

On peut habituellement se passer du scan initial




2.4. Dossier d'installation de l'application

2.5. Paramtres de proxy

Indiquer l'adresse IP ainsi que le port du serveur proxy Internet

sur le segment de rseau : Amon 10.1xx.yyy.62 (ou 10.1xx.yyy.2 si slis) / port 3128)

Laissez les champs utilisateur / mot de passe vierges (l'authentification n'est habituellement pas active sur la dmz).

Si aucun proxy n'est indiqu, l'installation se poursuit sans vrification (il sera possible de le paramtrer par la suite) ; dans le cas contraire, un test de connexion Internet est effectu cette tape. Si celui-ci

s'avre ngatif, l'installation est bloque tant que le test n'aboutit pas.

Remarque : partir de cette tape, le bouton [Aide] permet d'obtenir des informations contextuelles. Ne pas hsiter en (ab)user

2.6. Choix du serveur Web

Si IIS est activ sur votre serveur, il est propos de choisir entre ce dernier et Apache. Dans le cas contraire, un apache fourni avec OfficeScan est install par dfaut.

Notes : o IIS doit tre install pralablement (ajout de composants Windows) sur 2003 Server ou le rle activ sur 2008 Server.

o Si on dsire utiliser, sur la mme machine, d'autres services web (par ex. WSUS sur le port 80), le fait de choisir IIS vitera

de faire tourner deux processus pour la mme fonctionnalit (tant qu'ils utilisent des ports diffrents !) o L'activation de SSL (https) permet de sparer les flux de

communications client / serveur de ceux de gestion de la console d'administration.

o Les ports proposs (8080 et 4343) permettent de conserver

les 80 et 443 (par dfaut) pour d'ventuels autres services hbergs sur le mme serveur.

Afin d'viter d'encombrer la partition systme on

peut choisir par ex : D:\OfficeScan




2.7. Identification du serveur sur le rseau.

Dans cette fentre, on indique de quelle faon les clients pourront joindre leur serveur OfficeScan.

Tout d'abord le choix du nom DNS est largement prfrable l'adresse IP : si la rsolution de nom est fonctionnelle sur

votre rseau et le suffixe automatiquement ajout aux clients, le "nom court" doit suffire (voir 2.1.4 & 2.1.5).

D'une manire gnrale, en cas d'volution du rseau

(dplacement du serveur vers une DMZ), il est prfrable

d'utiliser un "alias" renseign dans le DNS local. On indique donc "srv-update".

Ce paramtre est ventuellement modifiable par la suite mais pas pour l'ensemble des services (smart protection

intgr par ex.)

2.8. Activation du produit

L'enregistrement en ligne du n de licence ayant t effectu au niveau du contrat national, vous devez passer directement l'tape suivante.

C'est ici que vous saisissez le code fourni par le rectorat partir de http://infovir.ac-nantes.fr/

Laisser coche la case "utiliser le mme code d'activation" ; les champs damage cleanup services et rputation des sites sont automatiquement complts.

En cas d'installation d'un "nouveau serveur" en parallle ou en remplacement de l'existant, le mme code d'activation peut

tre utilis sur les deux machines.




2.9. Serveur "Smart Protection" intgr

L'installation du "serveur Smart Protection intgr" est

propose.

Cette fonctionnalit "serveur de rputation de fichiers" utilise,

sous IIS, un port supplmentaire : tcp 8082 par dfaut (et un 2me, tcp 4345 si ssl est activ).

Dans une architecture rseau en VLANS, si les stations

accdent au serveur au travers d'ACL, ces ports devront bien

entendu tre autoriss

Idem pour les "services de rputation de sites web" utilisant par dfaut sous IIS le port 5274.

Attention : Le fait de possder une "source de rputation autonome", locale ou non, ne dispense pas de l'activer sur le serveur OfficeScan. En cas d'indisponibilit de l'un, le

second permettra une certaine rpartition de charge / tolrance de panne

2.10. Installation du client sur le serveur

Si un client OfficeScan n'est pas dj prsent sur le serveur lui-mme, il est install dans la foule Les composants "Cisco NAC" sont utiles si vos quipements rseau implmentent ces fonctionnalits (habituellement non).

2.11. Smart Protection Network

Le "smart feedback" active la collecte (anonyme) d'informations entre les diffrentes consoles dployes

autour du globe et l'diteur.

Ceci permet l'diteur une plus grande ractivit face aux nouvelles menaces.

Il est possible de choisir un "secteur d'activit" : ducation semble un bon choix

Le rsultat de cette collecte plantaire est visible en direct

sur l'onglet "smart protection network" une fois sur la page d'accueil de la console




2.12. Mots de passe

Depuis la version 10.0 une dlgation est possible au niveau de la console : un mot de passe seul ne suffit plus pour se connecter. Le compte d'administration par dfaut est "root".

On indique tout d'abord le mot de passe "root". Attention bien le conserver

Le 2me mot de passe demand permet, comme indiqu, soit

la dsactivation temporaire du client, soit sa dsinstallation

pure et simple. Il est recommand de choisir un mot de passe diffrent du

"root" (afin de pouvoir dlguer au besoin). Une fois connect la console, il sera possible de fournir des

mots de passe distincts pour chacune de ces deux actions (pour autoriser par ex. la dsactivation certains usagers et

la dsinstallation aux seuls administrateurs).

2.13. Paramtres d'installation client

Le choix du dossier d'installation par dfaut permet de rester dans une configuration "standard" facilitant la maintenance.

Le "port de communication client" (permettant la

communication serveur > clients) est propos alatoirement.

Le remplacer imprativement par "8000". Dans la configuration de nos serveurs AMON, c'est le

seul port autoris dans ce but.

Sa modification par la suite n'est pas "conviviale"

Le "niveau de scurit lev" de l'installation client limite les

malveillances, qu'elles proviennent des utilisateurs ou de

malwares

2.14. Pare-feu de station

Le pare-feu intgr au client OfficeScan est, la diffrence de celui de Windows XP, entirement administrable distance et

de manire centralise.

Il est utile par exemple en cas "d'pidmie subite" : il est

alors possible de stopper tout ou partie du trafic rseau en

quelques clics !

Attention : l'utilisation de ce pare-feu consomme logiquement

des ressources sur les clients. Il est recommand d'effectuer un test sur les machines "un peu justes".

Etant donn qu'il est possible, par la suite, de l'activer / dsactiver au niveau de la console, ce choix est malgr tout

rversible.

Remarque : Il n'est, par dfaut, pas activ sur les OS serveurs




2.15. Mode "valuation des spyware"

2.16. Rputation de sites web

La consultation de sites web propageant des malwares tant

devenue une des principales sources d'infection, autant les stopper la base

C'est ce que propose la "stratgie de rputation de sites web", base sur la constitution automatique de listes noires en

fonction des remontes des clients (voir 1).

2.17. Paramtres du menu dmarrer

Il est possible de personnaliser le dossier du menu dans lequel

on trouvera le raccourci OfficeScan sur le serveur

2.18. Rsum et dmarrage de l'installation

Une fois valid le rcapitulatif et aprs plusieurs (longues) minutes, l'opration se termine enfin sur une annonce "installation termine avec succs !"

Attention : en fin d'installation (tapes "initialisation serveur http" et "installation plug-in

manager"), le processus peut sembler fig. Malgr cette impression, l'installation se poursuit :

il ne faut pas chercher l'interrompre et rester patient (c'est le moment de la pause caf ?)

En rgle gnrale, le

mode d'valuation ne doit pas tre activ !




333... AAACCCCCCEEESSS AAA LLLAAA CCCOOONNNSSSOOOLLLEEE SSSEEERRRVVVEEEUUURRR

Pour administrer votre nouveau serveur OfficeScan, il faut accder sa console web : https://srv-update:4343/officescan.

Restriction : pour administrer la console OfficeScan, seul le navigateur Internet Explorer (version 7 mini) est compatible !

Le certificat tant "autosign", celui-ci doit tre accept chaque connexion...

3.1. Accs la console

C'est ici qu'on se fait surprendre si on a cliqu trop vite sur "suivant" lors de l'installation

Le seul et unique utilisateur cr par dfaut est "root" ( 2.12).

!

Le fonctionnement de la console web tant bas sur des "contrles ActiveX", le navigateur demande confirmation. Afin d'viter de multiplier ces popup, cliquer sur "plus d'options" puis "toujours installer les logiciels en provenance de Trend Micro, Inc.".

RAPPEL :

Le but de ce document n'est pas de fournir une notice exhaustive sur l'utilisation de la console antivirus OfficeScan. Pour cela, seule la documentation "officielle" disponible sur le centre de mise jour TrendMicro fait rfrence (lien en 1)

Une autre source d'informations trs efficace consiste utiliser l'aide contextuelle intgre,

prsente pratiquement sur chaque page de la console sous la forme de boutons Aide

La suite du document prsente un ensemble d'oprations de base accomplir pour assurer un service minimum, au plus proche des besoins en tablissement.




3.2. Rsum

C'est la page d'accueil de la console. Maintenant organise en "widgets" et onglets personnalisables, on y trouve par dfaut :

les services activs et la validit des licences, un bilan des postes clients (connectivit et infections), les ventuels "historiques d'pidmies", la version et le pourcentage de mise jour des diffrents composants

Un message "de nouveaux widgets peuvent tre mis jour" peut s'afficher : cliquer sur "mettre jour" L'onglet "OfficeScan et plugiciels" permet de grer d'ventuels "plug-ins" (en fonction des licences acquises). L'onglet "smart protection network" affiche l'tat global des menaces pour info.

3.3. Menu "Conformit de la scurit"

Cette fonctionnalit permet un audit global des clients . Il y est mme possible de procder directement aux actions correctives de manire cible

Pour l'utiliser (une fois la console peuple uniquement) :

accder au menu "conformit de la scurit > valuation de conformit > rapport de conformit",

slectionner (ct droit) l'tendue de l'arborescence analyser > cliquer sur [valuer]

le rapport est affich en haut gauche de la fentre > un onglet par thme

la moiti infrieure de la fentre permet de slectionner et de lancer la correction des dfauts

Une console en "bonne sant" peut malgr tout afficher un nombre important de dfauts La plupart du temps il s'agit des clients "hors ligne" > pas forcment trs significatif, donc.




444... OOORRRDDDIIINNNAAATTTEEEUUURRRSSS EEENNN RRREEESSSEEEAAAUUU Dans cette rubrique de l'interface, on gre un ensemble de paramtres, soit communs l'ensemble des clients, soit ddis des groupes de machines.

Sachant qu' chaque modification d'un paramtre dans la console, celle-ci notifie tous ses clients qui tlchargent alors les fichiers de configuration modifis, il est prfrable de terminer le paramtrage de la console avant le dploiement massif des clients afin d'viter un trafic rseau "polluant".

L'installation des clients OfficeScan est donc relgue au paragraphe 12

4.1. Gestion des clients

C'est le menu le plus lourd paramtrer dans la console ; c'est aussi celui qu'on consulte en priorit

L'arborescence du rseau est automatiquement peuple en fonction du choix effectu dans le menu "regroupement des clients".

Dans un souci de lisibilit il est possible de rorganiser cette arborescence en crant autant de groupes que ncessaire : les clients peuvent alors y tre rpartis (par simple glisser/dposer) par ples disciplinaires, zones gographiques

Mais c'est inutile si les postes intgrent l'emplacement dans leur nommage

Ces nouveaux "domaines" (au sens OfficeScan) n'interfrent en rien avec les paramtres rseau des stations ou d'Active Directory et sont propres la base de donnes OfficeScan.

Le fait de crer ces domaines permet par la suite d'activer au besoin des options diffrentes sur un groupe particulier de machines (portables par ex.).

La multiplication de configurations diffrentes est, par contre, source de complexit : il faudra trouver un compromis !

Pour les parcs importants, un module de recherche (simple / avance) peut rendre de grands services.




4.1.1. Gestion des clients : onglet [tat]

4.1.2. Gestion des clients : onglet [Tches]

On trouve ici des fonctionnalits assez peu utilises : Le "scan immdiat" : effectu distance sur les clients, utiliser avec modration, moins d'tre

certain de ne pas perturber un ventuel utilisateur. La dsinstallation (toujours distance) du client OfficeScan, L'ventuelle restauration de spywares (en cas de "faux positifs")

4.1.3. Gestion des clients : onglet [Paramtres]

Importation des paramtres :

Un grand nombre de paramtres peut tre affin par rapport aux rglages par dfaut. Il est possible (mais surtout fastidieux) de les passer tous en revue.

Heureusement l'importation de paramtres en provenance d'un autre serveur est possible. Un paramtrage

type, "import-osce10.6.dat" est disponible sur : http://www.ac-nantes.fr/27647957/0/fiche___pagelibre/

Il vous est possible, de cette faon, d'appliquer en une fois un ensemble de paramtres (procdure dcrite

au 4.1.3.9), puis de les personnaliser au besoin par la suite :

Commencer par tlcharger le fichier indiqu ci-dessus

Ouvrir le menu [ordinateurs en rseau] puis [gestion des clients]

Dans l'onglet [paramtres], cliquer (tout en bas) sur [importer des

paramtres] A l'aide du bouton "parcourir", rcuprer le fichier tlcharg

prcdemment

Cliquer sur "importer" > cocher "appliquer tous les domaines" >

cliquer "appliquer la cible"

Attention : les mots de passe de dsinstallation (configurs au 2.12) sont rinitialiss lors de cette importation :

Ne pas oublier de les rectifier

Remarque importante :

tant donn qu'il est possible de personnaliser les paramtrages en fonction des "domaines", le bouton [enregistrer] ne valide les modifications effectues que pour la machine ou le groupe de machines

slectionn(e) au pralable.

Si vous slectionnez la racine de larborescence de domaines avant de configurer une option, un choix est propos au moment de valider : [Appliquer tous les clients] et [Appliquer aux futurs domaines uniquement].

Avant d'effectuer un paramtrage, il est important d'en avoir conscience et de bien slectionner le groupe "cible" d'autant qu'un paramtrage " la racine de la console" s'appliquera (par hritage) l'ensemble des sous-domaines, en crasant les ventuelles personnalisations !!!

Cette fonction permet, pour un client ou un groupe : d'afficher l'tat gnral (mises jour, virus dtects,

paramtres), de rinitialiser l'affichage de l'tat d'infection des clients

aprs consultation des journaux ( 4.1.4).




4.1.3.1. Paramtres de scan

a. Mthodes de scan

Pour bien comprendre chaque mthode et l'intrt de l'une par rapport l'autre, consulter l'aide en ligne

https://srv-update:4343/officescan/console/html/help/ohelp/scan/scanmet.htm

Par dfaut, la version 10.6 propose maintenant "smart scan" alors que le "traditionnel" tait rest prioritaire sur les prcdentes.

Ce mode smartscan est logiquement plus efficace sur les postes clients ; les serveurs pourront tre traits part, et faire l'objet d'un groupe utilisant le scan traditionnel dans la console

Les paramtres de scan se dcomposent ensuite en 4 volets. On trouve pour chaque type de scan une

interface de paramtrage similaire ; les choix y effectuer sont diffrents en fonction du type.

Pour chaque type de scan, on dtermine tout d'abord la "finesse" de la dtection, puis, dans l'onglet "action", les tches entreprendre en cas de dtection.

Ces rglages dfinissant les ractions de l'antivirus peuvent (doivent) tre personnaliss en fonction du type de scan, ceci permet de trouver, autant que possible, un compromis acceptable entre efficacit antivirale et

occupation des ressources systme

b. Paramtres de scan manuel

Ce type de scan est une opration logiquement rare et habituellement initie par l'utilisateur. On peut donc supposer que cette action est consciente et voulue. A cette fin, il est possible de dterminer (grossirement)

le taux d'utilisation CPU

Partant de ces considrations et par rapport la configuration par dfaut, on choisira :

Le scan de l'ensemble des fichiers,

D'augmenter le "nombre de couches" scannes l'intrieur des fichiers compresss

En cas de dtection de virus, le fait d'avoir des ractions diffrentes en fonction du type d'infection (systme "ActiveAction") est la fois consommateur de ressources et peut rendre plus difficiles l'interprtation des

infections et des mesures prises. A tester ventuellement

Dans l'onglet [Action] on choisira donc [utiliser la mme action pour chaque type] puis, en 1re action, la rparation automatique [nettoyer].

Ensuite pour le choix de la 2me action (au cas o la 1re choue), on peut considrer deux "politiques" : Sur une machine "sensible" (serveur par ex.) : les fichiers sont mis en quarantaine et pralablement

sauvegards. Une action de l'administrateur est alors possible en cas de restauration des fichiers.

Sur une station "banalise" et multi-utilisateurs : les fichiers sont supprims sans sauvegarde. Si des

fichiers systme sont corrompus (et donc supprims), on repartira d'un master

Listes d'exclusion : on peut souhaiter exclure certains programmes, fichiers ou dossiers du scan antivirus.

Il suffit pour cela d'indiquer dans les champs prvus le nom des fichiers programme exclure. Par dfaut,

c'est le cas du dossier d'installation TrendMicro.




c. scan en temps rel

Le scan en temps rel utilisant un processus en permanence en tche de fond, c'est celui qui sera le plus visible sur les performances de la station

On peut se limiter au scan des fichiers par "IntelliScan" et tre moins exigeant avec les fichiers compresss (laisser les options par dfaut).

Les ractions face un fichier infect peuvent tre plus "svres" : rparation automatique, puis, en cas

d'chec, suppression sans sauvegarde.

Sur ce type de scan, les exclusions de scan sont par contre prpondrantes.

TrendMicro propose quelques recommandations : Recommended scan exclusion list for OfficeScan http://esupport.trendmicro.com/solution/en-us/1059770.aspx Excluding third-party software from Realtime Scan http://esupport.trendmicro.com/solution/en-us/1060488.aspx

On peut ajouter ces "gnriques" certaines applications

propres notre environnement ; une liste non exhaustive est disponible sur ETNA : http://ctre.ac-nantes.fr la rubrique

"scurit du rseau > stratgie antivirale > console serveur".

ATTENTION : ce document est accessible, uniquement aprs

authentification, aux utilisateurs ayant un rle dans

l'administration du rseau

Suivant le cas, les chemins des excutables seront adapter, en fonction du contexte local A appliquer dans le menu ordinateurs en rseau > gestion des clients > paramtres > paramtres de scan > scan en temps rel

d. scan programm

Puisqu'il est recommand d'effectuer rgulirement un scan manuel, pourquoi ne pas l'automatiser ? C'est ce que permet

le scan programm.

On pourra y affecter des paramtrages quasi quivalents ceux du scan manuel.

Le plus dlicat reste le choix du moment appropri : il faut que les stations clientes soient allumes au moment planifi

et que, dans le mme temps, aucun utilisateur ne puisse tre pnalis dans ses activits. La planification est choisir

en fonction des habitudes locales :

on choisit de lancer le scan programm en dehors des heures ouvres, en le combinant avec le

"wake on lan" > on rgle l'utilisation cpu sur le maximum afin d'en raccourcir la dure on le lance en prsence des usagers ; on choisit le taux d'utilisation cpu au minimum > la machine

doit par contre rester allume sur la dure totale du scan, celui-ci tant logiquement beaucoup plus

long > tester Si on ne veut pas imposer un

ralentissement de la station un ventuel

utilisateur connect pendant cette priode,

il est possible d'autoriser l'arrt ou le report de cette tche ct client : on trouve ce

paramtre au niveau des "privilges clients" ( 4.1.3.7).




e. scan immdiat

On y trouve les mmes lments que pour le scan manuel. Les mmes contraintes s'y appliquent la

diffrence que ce scan s'effectue non pas par l'utilisateur connect physiquement la machine cible, mais distance, partir de la console d'administration.

Attention donc, de mme que pour le scan programm, ne pas perturber les usagers (d'autant plus que

l'annulation n'est possible qu' partir de la console) !

4.1.3.2. Paramtres des agents de mise jour

Dans son fonctionnement standard, tout client OfficeScan tlcharge ses mises jour (et plus gnralement

communique) directement partir du serveur auquel il est attach.

La fonctionnalit "agent de mise jour" permet un ou plusieurs postes (paramtre applicable directement un groupe de machines), de servir de "relais de mise jour".

Bien que chaque client puisse toujours communiquer avec son serveur de console, le plus gros du trafic rseau peut, grce ce systme, tre rparti (un agent de mise jour par btiment, par ple disciplinaire) en vitant les goulets d'tranglement.

Attention, le choix de ces "agents" implique certaines contraintes :

- tre accessible sur le rseau :

o tre sur un rseau joignable par les autres clients : typiquement, un "poste prof" ne peut pas tre relais de postes lves,

o tre allum au minimum autant que les "clients standards" sinon en permanence,

- tre utilis un minimum comme "station de travail", de faon limiter les possibilits de plantage et

arrts / redmarrages par des utilisateurs lambda,

- possder une capacit disque suffisante (700 Mo dispo. recommands, sur la partition d'installation du client OfficeScan) afin d'hberger les fichiers de mise jour.

Pour dclarer un agent de mise jour, cliquer sur gestion des clients > paramtres > agents de mise

jour et cocher les 3 options.

Voir paragraphe 6.2.3 pour attribuer cet agent un parc donn de clients.




4.1.3.3. Privilges et autres paramtres

Vous paramtrez ici les autorisations donnes l'utilisateur de la station. Le fait d'y cocher une case se traduit concrtement par l'apparition d'un onglet supplmentaire dans la "console client" ou d'un choix sur le

menu contextuel de l'icne OfficeScan.

Si on raisonne "stratgie antivirale rseau", il faut laisser

l'usager un minimum de possibilits de

personnalisation du client antivirus.

Les seules "cases" cocher dans le 1er onglet

concernent :

le scan programm : comme indiqu en page prcdente, il peut ventuellement tre diffr (voire annul) par l'utilisateur.

Le forage de la mise jour du menu contextuel c'est rassurant pour l'utilisateur !-)

Sur le deuxime onglet (autres paramtres) on coche :

l'option de mise jour programme : trs utile pour les postes ne pouvant pas communiquer en

permanence avec leur serveur (postes nomades).

la possibilit d'afficher une notification (plusieurs rubriques concernant les blocages de site web, la surveillance de comportements, les alertes "C&C, le

scan programm et de redmarrage ncessaire).

Le niveau d'autoprotection du client antivirus lui-mme (en cas de malveillance ou d'attaque interne, type cheval de Troie). Le choix du niveau lev est

scurisant, mais contraignant pour la

maintenance

ATTENTION : les options concernant les "paramtres de cache pour les scans" peuvent

entraner une consommation permanente de

ressources, avec des consquences lourdes sur les postes clients anciens. Si des lenteurs sont

constates, ces cases doivent tre dcoches

Le blocage des mises jour programme ou "hotfix" (3me case du menu) est trs utile en cas d'upgrade du serveur : on dcoche cette case uniquement sur

un groupe "chantillon test" le temps de vrifier les

consquences. Quand tout est OK on peut le dcocher pour l'ensemble de l'arborescence

Comme indiqu prcdemment, bien vrifier la

cible avant d'appliquer " tous les clients" ou "aux domaines futurs uniquement" !




4.1.3.4. Paramtres de rputation de sites Web

Le principe de cette fonctionnalit consiste, la manire de "black-lists", vrifier au moment de l'accs

un site, s'il est "digne de confiance" ou connu comme tant "source de menaces". Le fichage ne se base par contre pas sur un filtrage de contenu (par rapport l'utilisateur) mais sur sa nocivit vis--vis du systme

d'informations.

Il existe plusieurs niveaux de protection : le "moyen" est

un bon compromis,

Les listes de sites sont gres dynamiquement grce au

"Scan Protection Network" ( 2.11) ; si un site est injustement

classifi, on peut soumettre une demande de reclassification (lien fourni)

On peut aussi ajouter localement des exceptions, dans le

menu "paramtres clients gnraux" ( 4.2)

On peut l'activer de manire diffrente suivant que le

client se trouve sur le rseau interne l'tablissement (derrire

un pare-feu) ou l'extrieur : par dfaut les clients internes (deuxime onglet) sont soumis un "niveau faible" ; on peut,

aprs vrification de l'impact, passer "moyen".

4.1.3.5. Paramtres de surveillance des comportements

La "surveillance des comportements" permet de bloquer des malwares,

non pas en fonction de leur signature (de plus en plus noye dans la

masse), mais d'un comportement, d'actions que tente d'effectuer le programme suspect.

Il est possible de grer des exceptions en cas de "faux positifs" en

ajoutant le chemin de l'excutable dans la zone de saisie.

Comme indiqu au 4.2.3.1, une liste d'exclusions est propose

sur ETNA : http://ctre.ac-nantes.fr la rubrique "scurit du rseau > stratgie antivirale > console serveur".

4.1.3.6. Contrle des dispositifs

Cette fonctionnalit, ayant elle aussi le but de bloquer les malwares " la

source" permet, par exemple, de limiter les inconvnients des cls USB,

sans pour autant en interdire purement et simplement l'usage :

L'excution automatique est dsactive par dfaut,

On peut par exemple autoriser les "dispositifs USB" en lecture et

criture uniquement (ce qui bloque l'excution).

Si certains applicatifs "portables" doivent tre excuts partir de la

cl, on doit alors les intgrer une liste de programmes autoriss.

Il est possible d'afficher une notification en cas de blocage ; on peut

aussi s'en passer afin d'viter de multiplier les sollicitations ct

utilisateur




4.1.3.7. Liste des spywares/graywares approuvs

Cette fonctionnalit permet de valider certains logiciels "indispensables" aux utilisateurs mais considrs nuisibles par l'antivirus qui, lui aussi, ne fait "que son boulot" A utiliser en connaissance de causes !

4.1.3.8. Exporter / importer paramtres

Cette section propose :

la sauvegarde / restauration des paramtres prcits (scan manuel, scan en temps rel, scan

programm, scan immdiat, et privilges et autres paramtres),

l'importation de paramtres prdfinis.

C'est donc une prcaution utile en cas de crash ou migration du serveur !

Ceci permet aussi de gagner un minimum de temps, l'installation initiale ou en cas de rinstallation, en vitant l'oubli de la moindre

case cocher

C'est la raison pour laquelle on a prfr commencer par

l au 4.1.3

Attention Certains paramtres sont rinitialiss lors de cette importation :

dossier de quarantaine (4.1.3.3 4.1.3.6) : OK si le serveur est connu en tant que "srv-update"

mots de passe de dsinstallation

les personnalisations effectues sur certains groupes de clients

Ne pas oublier de les rectifier aprs l'import.

Ici encore, ne pas hsiter utiliser le

4.1.4. Gestion des clients : onglet [Journaux]

On peut ici consulter l'historique des diffrentes infections (ayant ou non abouti d'ailleurs) et effectuer la maintenance de ces journaux.

La consultation et la maintenance sont slectives : elles ne s'appliquent qu'aux machines / groupes

slectionns et ceci par catgorie de journaux (de virus, de spywares, de pare-feu de surveillance des comportements et de "rputation de sites web").

4.1.5. Gestion des clients : onglet [Grer l'arborescence client]

C'est ici qu'on peut : Ajouter renommer ou supprimer des groupes ("domaines") ou des clients,

Dplacer des clients :

changement de domaine (qui peut aussi s'effectuer par "glisser/dposer"), changement d'affectation un serveur.




4.1.6. Gestion des clients : onglet [Exporter]

On exporte les donnes de la console (ou du groupe slectionn) dans un fichier tableur au format csv. Il est

prfrable d'enregistrer le fichier plutt que de l'ouvrir directement dans la console (navigateur pas toujours

exploitable !). On peut ensuite trier et analyser les informations des fins de "reporting" par exemple

4.1.7. Gestion des clients : recherche / recherche avance

Toujours dans le menu "gestion des clients", la fonction de recherche peut rendre quelques services.

En recherche avance par exemple, cocher "ordinateur infect" dans la rubrique "tat" : tous les clients

rpondant ce critre sont regroups (sans tenir compte des "domaines" de la console) dans la zone "rsultat de la recherche" Souvent instructif !

4.2. Paramtres clients gnraux

Dans leur ensemble, les paramtres par dfaut sont assez cohrents. On peut nanmoins ajouter :

Le scan diffr (nouvelle option)

le nettoyage des fichiers compresss

les paramtres de scan programm (tout

peut tre coch)

la notification de surveillance des

comportements

la notification d'obsolescence de signatures

(5 jours par ex.)

4.3. Emplacement de l'ordinateur

L'emplacement d'un ordinateur dicte la stratgie de rputation de sites Web (dfinie au 4.1.3.5) applique

au client et l'url du serveur Smart Protection auquel il doit se connecter par dfaut.

En tablissement il est prfrable de se baser uniquement sur l'tat de connexion la console.

Sur une grosse structure, il est possible d'ajouter des "serveurs de rfrence" : si le client ne peut pas, pour une raison ou une autre, communiquer avec "son" serveur OfficeScan, il essaie de se connecter aux serveurs

de rfrence. Il est possible d'indiquer tout serveur d'infrastructure (nds, dhcp par ex.) pourvu qu'un port

soit joignable de tout client.




4.4. Pare-feu

Cette fonctionnalit, ne se substitue pas, au niveau du poste de travail, aux quipements rseau protgeant

l'ensemble de l'tablissement. Pas plus qu'au pare-feu "autonome" qu'on trouve sur Windows XP.

Voir l'aide en ligne et la doc TrendMicro pour plus d'infos

4.4.1. Stratgies

La stratgie applique par dfaut l'activation du pare-feu sur un parc a pour nom "Toutes les stratgies

d'accs" (ce qui aurait pu tre traduit par "accs total"). Ceci peut paratre contradictoire ! Son but est d'avoir le composant pare-feu activ sur les clients, mais "transparent". Tout en restant l'coute des ordres de sa console.

4.4.2. Profils

Pour mettre en uvre une stratgie, celle-ci doit tre applique un "profil". On trouve par dfaut le profil "Tous les profils clients", utilisant la stratgie "Toutes les stratgies d'accs".

En clair, tous les parcs ont le pare-feu activ, mais en mode "passif" Si le "systme de dtection d'intrusions" est activ, la console sera avertie (en page "rsum") de la

prsence de trafic rseau suspect.

Ce paramtrage s'avre donc trs utile en cas d'pidmie soudaine ( lier au 4.7) : on peut renforcer

slectivement le pare-feu OfficeScan sur l'ensemble du parc en quelques clics.

Stratgies et profils sont personnalisables souhait ; il est malgr tout prfrable de conserver en l'tat les paramtrages d'origine et de crer ses propres stratgies et profils partir de ceux-ci (copie possible).

4.5. Installation du client

Ce menu propose deux modes d'installation vitant l'administrateur, soit un dplacement sur le poste client

(installation distance), soit toute intervention (courriel aux utilisateurs donnant un url d'installation en

mode web). Ces mthodes doivent tre rserves des installations ponctuelles.

Les mthodes "traditionnelles" par l'excutable autopcc / autopccp et les packages d'installation (exe ou msi)

sont plus adaptes un dploiement "industriel" ; elles sont abordes au chapitre 12.

4.6. Vrification de la connexion

Certains vnements sont susceptibles dempcher laffichage de ltat des connexions entre serveur et clients dans larborescence du domaine. Il est possible de vrifier manuellement la connexion serveur-> client dans [Vrification manuelle] ou de configurer une planification dans [Vrification programme], pourvu que les postes soient logiquement allums ce moment.

Ceci permet par ailleurs de "rcuprer" d'ventuels doublons de GUID de clients aprs clonage. Les rsultats de cette action sont consultables dans les "Journaux des ordinateurs en rseau / vrification de

la connexion".

4.7. Prvention des pidmies

Ce menu intuitif permet de mettre contribution le pare-feu de station, en cas par exemple d'pidmie de ver rseau non reconnu par votre console un moment donn.

Le "pare-feu pour clients - version d'entreprise" contribue protger les clients OfficeScan des attaques de pirates et des virus rseau, en crant une "barrire" entre eux et le rseau.




555... SSSMMMAAARRRTTT PPPRRROOOTTTEEECCCTTTIIIOOONNN

La fonctionnalit "Smart protection" permet un client d'tre protg (avec l'assurance de signatures jour)

grce la connexion permanente un serveur.

Lorsqu'un poste nomade n'est pas sur le rseau local, un serveur SmartProtection de TrendMicro (sur le web,

donc) prend le relais de manire totalement transparente.

Et, quand aucune connexion rseau n'est disponible, une base de signatures est quand-mme prsente sur le client lui-mme afin de protger le poste malgr tout

5.1. Sources smart protection

Il est prfrable de se limiter la "liste standard". Celle-ci est par dfaut constitu du seul "serveur smart

protection intgr". Il est possible de dfinir des "serveurs de rputation" supplmentaires permettant de mettre en place une haute disponibilit du service.

5.2. Serveur intgr

Sur ce menu on retrouve les options choisies

l'installation (activation des services, utilisation du protocole ssl)

On y trouve ensuite le lien permettant aux clients de

contacter ces services

La rubrique "tat du composant" permet de s'assurer de

l'actualit des mises jour.

La configuration par dfaut, mettant en uvre uniquement le serveur smart protection intgr, convient

parfaitement un "petit" lyce. Pour les tablissements accueillant plus de 300 clients OfficeScan, le dploiement

d'un serveur smart protection autonome est indispensable. Une documentation ddie est disponible

au mme emplacement que la prsente http://www.ac-

nantes.fr/27647957/0/fiche___pagelibre

Attention

Le "nom du serveur de rputation" (ou son IP) configur lors de l'installation du serveur (au 2.7) est indispensable aux clients. Il n'est malheureusement pas modifiable par la suite dans la console. Il est nanmoins possible de rinstaller les services de rputation (menu outils > outils administrateurs >

programme d'installation du serveur smart protection). Excellente raison pour choisir ds le dpart le nom de connexion qui va bien (un alias DNS).




666... MMMIIISSSEEESSS AAA JJJOOOUUURRR

La page rsum permet une vue globale de l'tat des mises jour ainsi que le regroupement rapide des ventuels "clients obsoltes".

6.1. Mise jour du serveur

6.1.1. Mise jour programme

A l'heure actuelle de nouveaux fichiers de signatures sont mis en ligne quasiment chaque jour. Voire plusieurs fois dans la mme journe pour certains composants !

Si on veut profiter d'une des fonctionnalits les plus videntes de l'antivirus centralis, ce paramtrage

est essentiel

Remarque : du fait de la supervision (voir 10.9), les mises jour automatiques du serveur deviennent

redondantes (c'est le serveur central qui notifie les serveurs en tablissement). On peut toutefois conserver cette fonctionnalit, toujours utile en cas de dysfonctionnement ou de perte de connectivit de

l'agent de supervision, mais en diminuant sa frquence (1 par jour, enfin par nuit ?).

6.1.2. Mise jour manuelle

Sans commentaire particulier Revient au bouton "mise jour immdiate du serveur" en haut du de la page d'accueil de la console.

6.1.3. Source de mise jour

Il est possible de saisir dans l'interface plusieurs sources de tlchargement. Par dfaut c'est le serveur

de TrendMicro qui est configur. Et c'est trs bien comme a !

Choix des composants : en fonction des types de clients prsents sur le rseau, il est possible de cocher

l'ensemble des cases

Planification : dans le cas d'une connexion "haut dbit", la

vrification horaire des mises jour n'est pas inutile ! Si le serveur distant n'a rien de plus rcent proposer, rien ne

sera tlcharg et le dbit de la connexion Internet ne sera pas affect




6.2. Mise jour des clients (ordinateurs en rseau)

6.2.1. Mise jour automatique

Peu de choses configurer dans cet onglet

Eviter de cocher "scan immdiat aprs mise jour" : tout comme le "scan distance" ( 4.1.2), cette option perturbera coup sr les utilisateurs !

Le dploiement des "mises jour programmes", pour sa part,

n'est mis en uvre que paralllement son activation dans le menu [clients] [privilges] ( 4.1.3.7).

6.2.2. Mise jour manuelle

Quand certains postes ne sont pas mis jour automatiquement il est possible de forcer slectivement

leur mise jour par l'interface.

C'est logiquement inutile quand les paramtres de mise jour automatique sont bien rgls

6.2.3. Source de mise jour

A relier au paragraphe 4.1.3.2 (agents de mise jour)

Sur un "petit rseau" le fait que quelques machines tlchargent les mises jour sur un seul serveur ne

pose pas de problme particulier. a n'est pas forcment le cas sur les rseaux importants ou architecturs par "sous-rpartiteurs" ou VLANS

On peut alors avoir recours un (des) "agent(s) de mise jour". Dans le principe, on utilise un client OfficeScan "ordinaire" qui reoit dans un 1

er temps des composants du serveur et les met ensuite

disposition d'autres clients la demande.

Ceci permet une rpartition de charge et une optimisation des flux sur le rseau. Il est par contre essentiel de bien choisir ces "relais de mise jour" en fonction de leur disponibilit.

Pour configurer l'utilisation d'un (plusieurs) agent(s) de mise jour :

Activer le(s) postes "agent de mise jour" dans le menu [privilges et paramtres] (4.1.3.7).

Dans [mises jour > ordinateurs en rseau > source de mise jour], cocher "source de mise

jour personnalise. Cocher les 3 cases "si toutes les sources personnalises sont indisponibles ou introuvables"

Pour ajouter une source, cliquer sur [ajouter]

Dans [ajouter plage d'adresses

IP et source de mise jour]

indiquer les adresses extrmes

des plages dtermines et slectionner l'agent de mise

jour dans le menu droulant.

Les postes clients doivent tre

notifis sitt la modification

enregistre.

6.3. Rtrograder

En cas de problme constat sur les postes clients, suite une mise jour de moteur de scan par exemple, il est possible de revenir une version antrieure en attendant le correctif de l'diteur.

Bien qu'extrmement rare (2 cas avrs en 12 ans), cette fonctionnalit peut, dans ces situations, rendre

de grands services




777... JJJOOOUUURRRNNNAAAUUUXXX

Ici aussi, assez peu de choses prciser mais beaucoup lire si on commence s'y attarder !

La consultation des journaux, bien que relevant logiquement des tches rgulires de l'administrateur, sera

utile essentiellement en cas de dysfonctionnement (problmes de mise jour du serveur, infection de

machines). On doit s'astreindre consulter rgulirement les journaux de mise jour du serveur et des clients ainsi que ceux de "vrification de la connexion."

Un des rares paramtrages pouvant tre modifi concerne la maintenance des journaux.

On y rgle : le type de journaux purger

la frquence de purge des journaux (7 jours par dfaut) peu adapte aux tablissements sans

administrateur plein temps




888... CCCIIISSSCCCOOO NNNAAACCC

Trend Micro Policy Server for Cisco Network Admission Control (NAC) permet d'valuer l'tat des composants antivirus des ordinateurs clients de votre rseau et d'excuter des actions sur les clients risque, afin de les mettre en conformit avec les stratgies antivirus de votre entreprise.

Comme son nom le laisse supposer, cette fonctionnalit est lie au matriel et aux licences qui compose votre quipement rseau. Du fait de l'htrognit de ces lments d'un tablissement l'autre, ce

chapitre ne sera pas dvelopp dans cette documentation




999... NNNOOOTTTIIIFFFIIICCCAAATTTIIIOOONNNSSS

A force d'automatisations, l'antivirus peut finir par se faire oublier Les "notifications administrateur" sont l pour prvenir en temps rel, de faon amliorer la ractivit face un ventuel problme.

9.1. Notifications administrateur

9.1.1. Paramtres gnraux

Fournir les informations suivantes : serveur SMTP : smtp.ac-nantes.fr (port 25)

"de" : officescan-[nom du lyce]@ac-nantes.fr

9.1.2. Notifications standard

Le 1er onglet, "critres", permet d'viter d'tre noy de messages, et n'tre averti que lorsque les actions

de nettoyage ont chou.

L'onglet "e-mail" est personnalisable :

Cocher la case "activer la notification"

Fournir une adresse valide (une boite fonctionnelle ddie, ou celle du CI de l'tablissement

CI-[RNE]@ac-nantes.fr de prfrence)

Au besoin, l'objet et le contenu des messages sont personnalisables.

9.1.3. Notifications d'pidmie

Ici aussi, on peut beaucoup mieux affiner les critres d'envoi de notification. A tester

9.2. Notification aux utilisateurs clients

On peut, au besoin, personnaliser le contenu des messages affichs sur les postes clients en cas d'infection ou tout type d'attaque. Indiquer son n de portable par exemple !-)




111000... AAADDDMMMIIINNNIIISSSTTTRRRAAATTTIIIOOONNN Certains paramtres, dj renseigns dans la phase d'installation, ne sont pas abords dans ce chapitre

10.1. Comptes utilisateurs

A la diffrence des versions prcdentes, il est possible d'ouvrir l'accs la console antivirus plusieurs comptes authentifis, en leur attribuant un rle plus ou moins privilgi.

Afin de permettre l'assistance partir de notre outil de supervision centrale ( 10.9), des comptes supplmentaires

doivent tre crs :

Cliquer sur [ajouter]

Nom : crid

Nom complet : supervision SSO

Mot de passe : celui de la console

Adresse lectronique : pas d'adresse

Rle : administrateur (intgr)

Enregistrer et renouveler l'opration pour le compte "cridXX" (xx = n dpartement). Mis part le nom, les autres

paramtres sont identiques.

Dans un environnement Active Directory (serveur antivirus intgr au domaine !), il est possible d'importer des comptes et de leur attribuer un rle

10.2. Rles utilisateurs

Trois rles prtablis sont utilisables tel-quel (et non modifiables) : administrateur, invit et "power user".

Au besoin on peut crer des rles personnaliss et leur attribuer une partie de l'arborescence

10.3. Paramtres Proxy

Attention : dans cette version on trouve deux onglets ! Et le premier concerne un ventuel proxy Intranet.

En cas de modification (ou vrification) par rapport l'installation initiale, penser changer d'onglet

Rappel : en prsence d'un serveur proxy, mme s'il est configur en "proxy transparent" pour le

navigateur, il est obligatoire d'en indiquer l'adresse et le port (voir 2.5). Si le proxy filtrant ncessite une authentification, utiliser un compte spcifique au serveur.

10.4. Paramtres de connexion

On configure ici la manire dont les postes clients atteignent leur serveur (communication http). Il ne s'agit pas de l'accs la console d'administration, mais de la "socket" permettant aux clients OfficeScan de

communiquer avec leur serveur.

Dans le cas gnral et dans la mesure o le service DNS de votre rseau est oprationnel, il est prfrable d'utiliser le nom DNS (mieux : l'alias "srv-update") plutt que l'adresse IP. En cas de

changement d'adresse ou de serveur, une intervention sur le DNS vitera le reparamtrage d'OfficeScan (sur le serveur ou, pire, l'ensemble des stations !).

Le port a t choisi lors de l'installation. S'il devait tre modifi dans ce menu, il faudrait s'assurer que la modification soit aussi effectue sur le serveur web lui-mme : IIS ou Apache

Si une station ne possde pas les bons paramtres elle ne peut plus contacter son serveur. Pour viter la rinstallation du client OfficeScan il est possible d'utiliser un outil ddi ( 11 > IpXfer).




10.5. Clients inactifs

Cette option, si on l'active, permet de soulager la console OfficeScan de certains clients ne donnant plus signe de vie (les machines ayant chang de nom ou de guid, les "modles" servant au clonage par exemple).

Si on laisse le dlai par dfaut (7 jours), on risque par contre

des effets surprenants au retour des vacances ! En fonction de la stabilit du parc (machines "temporaires"), il peut donc tre augment sans remords

Remarque : les clients supprims de la console alors que la machine existe toujours seront automatiquement

restaurs ds leur retour sur le rseau.

10.6. Gestionnaire de quarantaine

Si un client dtecte une menace dans un fichier et si l'action de scan configure pour ce type de menace est l'option "mise en quarantaine", le programme client OfficeScan encode automatiquement le fichier infect,

le place dans le rpertoire "Suspect" (Program Files\Trend Micro\OfficeScan Client\SUSPECT) du client OfficeScan et l'envoie vers le dossier de quarantaine (OfficeScan\PCCSRV\Virus) du serveur.

Si le client OfficeScan n'est pas capable d'envoyer le fichier encod son serveur pour une raison

quelconque (problme rseau), le fichier encod reste dans le rpertoire "Suspect" du client. Le client essaie d'envoyer nouveau le fichier lorsqu'il peut se reconnecter au serveur OfficeScan.

On peut modifier l'emplacement du dossier de quarantaine du serveur partir du menu [clients] puis [options de scan] en slectionnant n'importe quel type de scan.

Si on dsire "sortir un fichier" de la quarantaine, un outil ddi Restore Encrypted Virus peut tre utilis. Sa procdure d'utilisation est disponible dans le menu [outils] (voir 11).

10.7. Licence du produit

Cet onglet permet de mettre jour les codes d'activation des diffrents composants d'OfficeScan lors de leur

renouvellement annuel.

Si le code n'a pas chang, il suffit d'effectuer une

"vrification en ligne" en cliquant sur le bouton [information sur la mise jour] une fois un composant

slectionn ( 3.3).

C'est aussi ici qu'on peut activer / dsactiver le module pare-feu pour l'ensemble des stations.




10.8. Paramtres de Control Manager

Afin d'enregistrer la console OfficeScan sur le serveur de supervision du rectorat, on doit renseigner les "paramtres ControlManager".

Avant toute configuration, il faut s'assurer que, de l'emplacement ou se trouve le serveur antivirus, il accde

au serveur de supervision : dans une invite CMD, lancer la commande "ping tmcm-etab.in.ac-nantes.fr"

Le nom doit tre rsolu, sur une IP "prive" du rseau 172.30.141.

Ouvrir le menu [administration] > [paramtres de Control Manager]

o Le paramtre de connexion doit indiquer

le nom de votre serveur : logiquement

"[RNE]-UPDATE" (avec [RNE] = code tablissement),

o Indiquer le serveur ControlManager : "tmcm-etab.in.ac-nantes.fr"

o Dcocher "se connecter avec https" o Remplacer le port (443) par "80"

o Ne pas indiquer de proxy

o Ne pas activer la redirection de port o Tester la connexion (bouton du mme

nom) o Valider (traduction mot mot dans

l'interface : il faut comprendre "mettre

jour les paramtres" et non "paramtres de mise jour" !).

Par la suite (le lendemain par ex.), on pourra constater le bon fonctionnement dans les journaux de mise

jour du serveur : le champ "mthode de mise jour" prend la valeur "Control Manager" en remplacement

de "Mise jour programme".

L'enregistrement auprs de la supervision permet par ailleurs une ventuelle tlmaintenance la demande par les quipes d'assistance, le renouvellement automatique des codes d'activation, des remontes

statistiques




10.9. Paramtres de la console Web

On peut ici paramtrer la frquence d'actualisation de l'affichage de la console ainsi que le dlai d'expiration de session

10.10. Sauvegarde de la base de donnes

Cette fonctionnalit est totalement intgre la console et permet de se mettre l'abri en cas de

rinstallation du serveur, pourvu que le stockage se fasse sur un emplacement rcuprable.

L'ensemble des informations clients ainsi que les paramtres de configuration sont conservs dans un dossier au choix avec cration d'un sous-dossier indiquant la date de sauvegarde.

En connaissance des pratiques locales, on peut dterminer l'horaire afin d'viter que cette sauvegarde ne tombe au mme moment qu'une autre opration programme




111111... OOOUUUTTTIIILLLSSS Les "outils OfficeScan" ont t conus pour faciliter la configuration du serveur, la gestion des clients et

certaines tches connexes. Certains outils ont t spcialement dvelopps pour rpondre aux besoins particuliers des administrateurs dOfficeScan.

Les outils sont diviss en deux catgories : ct administration et client.

Une explication dtaille est fournie pour chacun des outils.

Script de connexion :

Un des moyens de

dploiement des clients

Image Setup : A utiliser obligatoirement avant clonage de stations !

IpXfer :

En cas de migration de serveur ou de pb de

connexion client / serveur

Client packager : Permet de crer des

"packages d'installation" excutables ou msi.




111222... IIINNNSSSTTTAAALLLLLLAAATTTIIIOOONNN DDDEEESSS CCCLLLIIIEEENNNTTTSSS

12.1. Mthodes d'installation

Il existe plusieurs moyens permettant d'installer des clients OfficeScan. Chacun rpond des conditions

d'utilisation bien dfinies :

Par le partage de fichiers : ouvrir le partage "ofcscan" du serveur. Dans celui-ci lancer

l'excutable Autopcc.exe

Dans un domaine Active Directory, il est possible d'automatiser ce dploiement l'aide d'un script de

connexion (document dans les "outils client").

o Sa mise en uvre est guide par un assistant du menu_dmarrer/officescan/ du serveur

o Il suffit d'attribuer le script un ou plusieurs

utilisateurs du domaine. o A chaque ouverture de session, l'installation est automatiquement lance par ce script. Il faut donc

viter de l'attribuer tous les utilisateurs ( leur insu), ceux-ci pouvant l'interrompre et le

fonctionnement de la station tant logiquement ralenti pendant la dure de l'installation.

Il est possible de procder une installation distance (menu [ordinateurs en rseau] > [installation du client] > [distant]) mais cette mthode utilisant RPC impose quelques contraintes :

o le "partage simple" ne doit pas tre activ sur les stations

o le mot de passe du compte "administrateur local" des machines doit tre renseign,

Enfin, autre solution : le mode http. Sur chaque station, saisir l'adresse : https://[nom_du_serveur:port]/officescan/console/html/ClientInstall/WhichPlatform.htm

Cette dernire mthode s'excute en "interactif" ; il faut valider plusieurs fentres et autoriser les contrles activeX. Sur les OS depuis Vista, le navigateur (IE) doit de plus tre lanc en tant qu'administrateur !

Dans le cas ou un antivirus "concurrent" est prsent sur la station, OfficeScan se charge de sa dsinstallation

automatique mais il existe quelques cas ou c'est impossible (le programme vous le signale). Il vous faudra alors procder sa dsinstallation manuellement.

12.2. Vrification de l'installation

Une fois l'installation termine, la prsence de l'icne "client OfficeScan" dans la barre des tches de la

station permet de confirmer que tout est OK. Dans le mme temps, le client apparat dans la console.

Attention : chaque client OfficeScan possde un identifiant unique "GUID". Si vous dployez des stations par "clonage" aprs installation du client OfficeScan, l'unicit de guid

OfficeScan sur le rseau n'est plus respecte : les clients ne sont pas reconnus individuellement par leur

console, ne peuvent pas informer le serveur des infections dont ils sont victimes et ne sont pas notifis des

mises jour. Ceci n'est bien entendu pas le but recherch !!!

Pour remdier ce problme :

OS 2000 / 2003 / XP : un excutable spcifique doit tre utilis avant clonage. Les dtails de la procdure sont indiqus dans le menu [outils] [outils clients] [Image_Setup_Utility] ( 11).

OS Vista / 7 / 2008 : l'outil imgsetup n'est pas compatible mais il suffit de lancer une "vrification de la connexion" dans le menu "ordinateurs en rseau" de la console




111333... AAANNNNNNEEEXXXEEESSS

13.1. Migration vers OfficeScan 10.x

Dans le cas ou on dsire effectuer la mise jour d'un parc existant, en version OfficeScan 8.x minimum ( la dernire version de patch de prfrence), plusieurs possibilits sont offertes, en fonction de la situation

en cours, des moyens (matriels et humains) disponibles et du rsultat attendu.

ATTENTION : quelle que soit la mthode utilise, la mise jour du client antivirus risque d'impacter les

ressources du poste, voire d'entraner une gne de l'utilisateur ; un redmarrage est souvent ncessaire

13.2. Premier cas :

Constats :

o la console actuelle fonctionne de manire satisfaisante,

o la machine qui l'hberge rpond aux pr-requis matriels / logiciels, o le parc de stations est relativement rduit,

o le serveur lui-mme est en "bon tat", stable, et ne ncessite pas de remise en question ou rinstallation,

o ou alors il hberge une (des) application(s) sensible(s), un domaine Active Directory On peut, dans ce cas, effectuer une simple mise jour du serveur en lanant le "setup"

directement (installation "par dessus").

Il n'est, par contre, pas superflu de prendre les prcautions lmentaires de sauvegarde, l'aide de l'outil intgr "Database Backup".

Avantages : Inconvnients :

simple mettre en uvre, conserve les ventuelles "pollutions" existantes conserve la plupart des

paramtrages de la console,

mais les nouvelles fonctionnalits entranent de toute faon des

rglages supplmentaires.

n'entrane logiquement pas

"d'interruption du service".

la mise jour du programme sur les stations s'effectue, dans la

(grande) majorit des cas, sans problme mais certaines configurations y sont rfractaires ! Il faut donc surveiller de prs l'tat du parc, rectifier par des mises jour manuelles, au pire

effcetuer une dsinstallation / rinstallation du client. Au minimum un redmarrage des clients est ncessaire

ATTENTION :

Dans tous les cas, il faudra prendre les dispositions en fonction de votre stratgie de "masterisation". En clair, avant de mettre jour l'antivirus sur les stations possdant une image (locale ou sur

serveur), il est prfrable de : - restaurer l'image de la station (pourvu que les mises jour d'images aient t bien gres), - effectuer la mise jour de l'antivirus (de certaines applications et de l'OS en cas de besoin), - sur XP ou 2000 lancer l'utilitaire ImgSetup avant d'teindre la station ( 11) - effectuer enfin la mise jour de l'image locale (et de celle stocke sur le serveur le cas chant).

Dans le cas contraire, le client OfficeScan n'tant pas la mme version que son serveur, il sera remis jour aprs chaque restauration, ceci entranant une occupation inutile des ressources machine et rseau. D'autre part, si le nom de serveur change (valeur indique dans aide > propos > nom du serveur / port), le

client OfficeScan peut tre inoprant. Ce problme est contourn si on utilise ds le dpart un alias DNS




13.3. Deuxime cas :

Constats : o une rinstallation du serveur (ou un serveur ddi l'antivirus / WSUS) se justifie,

o le parc est important et ne peut, pour des raisons de prudence ou de charge de travail, tre mis

jour en une seule fois, Dans ce cas, une nouvelle installation de la console OfficeScan est prfrable. Les avantages /

inconvnients sont alors permuts par rapport au 1er cas

On pourra procder dans cet ordre :

13.3.1. prparation :

o sauvegarde du serveur d'origine (comme l'habitude, rien de particulier !-),

o nettoyage ventuel des clients ne se mettant plus jour, des stations infectes o sauvegarde de la base de donnes OfficeScan (administration > sauvegarde > sauvegarder

maintenant) et des paramtres clients.

13.3.2. installation :

o installation d'OfficeScan 10.x sur un serveur indpendant. Ce serveur pouvant tre transitoire, on

peut utiliser toute machine rpondant aux pr-requis matriels / logiciels, o paramtrage complet de la nouvelle console serveur,

o migration (plus ou moins progressive) des clients et des serveurs, manuellement dans la console

ou automatiquement, par script (voir un exemple au 13.1.4) o vrification du bon fonctionnement gnral et des mises jour des clients.

13.3.3. post-installation :

o retour ventuel des clients sur le serveur initial, aprs dsinstallation de l'ancienne console et

installation de la version 10.

Pour illustrer le propos :

REMARQUE : la migration des clients entre deux consoles OfficeScan peut s'effectuer simplement

partir de la console du serveur initial :

o menu clients > slectionner les machines en ligne (impossible de slectionner les groupes), o cliquer sur [grer l'arborescence client] > [dplacer clients] puis choisir le bouton "Dplacer le ou

les clients slectionns vers un autre serveur OfficeScan", o indiquer le nom (ou l'IP) du nouveau serveur et son port (8080 par dfaut).

o Les clients apparaissent progressivement sur la nouvelle console




Si cette mthode permet une migration progressive, elle prsente quelques inconvnients :

o elle ne prend en compte que les postes "en ligne" : on peut rpter l'opration jusqu' puisement des postes "hors ligne", au fur et mesure

qu'ils se connectent, les clients itinrants ne seront malheureusement jamais touchs par cette procdure pas plus que les postes administratifs (s'ils sont "hors ligne" dans la console).

o le port d'coute client n'est pas systmatiquement modifi (et gnralement diffrent du 8000).

Pour finaliser la migration, on doit donc faire appel l'outil "IpXfer" document dans le menu "outils client" :

o copier IpXfer.exe dans un dossier local des stations et excuter la commande : "

DPA_OfficeScan10.6_v1.1_2014-03

Documents

Transcript of DPA_OfficeScan10.6_v1.1_2014-03