Upload
ahouba
View
14
Download
1
Embed Size (px)
DESCRIPTION
Configuration OfficeScan
Citation preview
TrendMicro OfficeScan 10.6
Installation et paramtrage en mode client / serveur
Prconisations Acadmiques Nantes
Cellule Technique des Rseaux d'tablissements DSI-D2 Rectorat de Nantes
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 2 / 42
Contacts
Nom Socit Fonction Tlphone/fax Adresse lectronique
Type de document
Nom Confidentialit Primtre de diffusion
Prconisations Acadmiques Acadmique Etablissements, CRID, Collectivits
Rvision du document
Version Date de modification Auteur Description
1.0 08/03/2012 christian le breton Documentation initiale
1.1 14/03/2014 christian le breton Adaptation nouvelles fonctionnalits Optimisations / bonnes pratiques
Validation du document
Nom Fonction Date
Rdaction par : Christian Le Breton CTRE 08 / 03 / 2012
Vrification par : GT antivirus
Validation par :
Approbation par :
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 3 / 42
TTTAAABBBLLLEEE DDDEEESSS MMMAAATTTIIIEEERRREEESSS
TABLE DES MATIERES............................................................................................................................. 3
1. PRESENTATION ............................................................................................................................... 5
2. INSTALLATION ................................................................................................................................ 6
2.1. PRE-REQUIS........................................................................................................................................... 6 2.2. OBTENTION DU PROGRAMME ...................................................................................................................... 8 2.3. DEMARRAGE DE L'INSTALLATION .................................................................................................................. 9 2.4. DOSSIER D'INSTALLATION DE L'APPLICATION ................................................................................................. 10 2.5. PARAMETRES DE PROXY ........................................................................................................................... 10 2.6. CHOIX DU SERVEUR WEB......................................................................................................................... 10 2.7. IDENTIFICATION DU SERVEUR SUR LE RESEAU. .............................................................................................. 11 2.8. ACTIVATION DU PRODUIT ........................................................................................................................ 11 2.9. SERVEUR "SMART PROTECTION" INTEGRE .................................................................................................... 12 2.10. INSTALLATION DU CLIENT SUR LE SERVEUR ................................................................................................ 12 2.11. SMART PROTECTION NETWORK ................................................................................................................. 12 2.12. MOTS DE PASSE .................................................................................................................................... 13 2.13. PARAMETRES D'INSTALLATION CLIENT ......................................................................................................... 13 2.14. PARE-FEU DE STATION ............................................................................................................................ 13 2.15. MODE "EVALUATION DES SPYWARE" ........................................................................................................... 14 2.16. REPUTATION DE SITES WEB ...................................................................................................................... 14 2.17. PARAMETRES DU MENU DEMARRER ............................................................................................................. 14 2.18. RESUME ET DEMARRAGE DE L'INSTALLATION ................................................................................................. 14
3. ACCES A LA CONSOLE SERVEUR ................................................................................................... 15
3.1. ACCES A LA CONSOLE ............................................................................................................................. 15 3.2. RESUME .............................................................................................................................................. 16 3.3. MENU "CONFORMITE DE LA SECURITE" ....................................................................................................... 16
4. ORDINATEURS EN RESEAU ........................................................................................................... 17
4.1. GESTION DES CLIENTS ............................................................................................................................ 17 4.3. PARAMETRES CLIENTS GENERAUX ............................................................................................................... 25 4.4. EMPLACEMENT DE L'ORDINATEUR ............................................................................................................... 25 4.5. PARE-FEU ............................................................................................................................................ 26 4.6. INSTALLATION DU CLIENT ........................................................................................................................ 26 4.7. VERIFICATION DE LA CONNEXION ............................................................................................................... 26 4.8. PREVENTION DES EPIDEMIES .................................................................................................................... 26
5. SMART PROTECTION .................................................................................................................... 27
6. MISES A JOUR ............................................................................................................................... 28
6.1. MISE A JOUR DU SERVEUR ....................................................................................................................... 28 6.2. MISE A JOUR DES CLIENTS (ORDINATEURS EN RESEAU) .................................................................................... 29 6.3. RETROGRADER ..................................................................................................................................... 29
7. JOURNAUX .................................................................................................................................... 30
8. CISCO NAC .................................................................................................................................... 31
9. NOTIFICATIONS ........................................................................................................................... 32
9.1. NOTIFICATIONS ADMINISTRATEUR .............................................................................................................. 32 9.2. NOTIFICATION AUX UTILISATEURS CLIENTS ................................................................................................... 32
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 4 / 42
10. ADMINISTRATION ........................................................................................................................ 33
10.1. COMPTES UTILISATEURS .......................................................................................................................... 33 10.2. ROLES UTILISATEURS ............................................................................................................................. 33 10.3. PARAMETRES PROXY .............................................................................................................................. 33 10.4. PARAMETRES DE CONNEXION .................................................................................................................... 33 10.5. CLIENTS INACTIFS ................................................................................................................................. 34 10.6. GESTIONNAIRE DE QUARANTAINE ............................................................................................................... 34 10.7. LICENCE DU PRODUIT ............................................................................................................................. 34 10.8. PARAMETRES DE CONTROL MANAGER ......................................................................................................... 35 10.9. PARAMETRES DE LA CONSOLE WEB ............................................................................................................. 36 10.10. SAUVEGARDE DE LA BASE DE DONNEES ..................................................................................................... 36
11. OUTILS .......................................................................................................................................... 37
12. INSTALLATION DES CLIENTS ....................................................................................................... 38
12.1. METHODES D'INSTALLATION ..................................................................................................................... 38 12.2. VERIFICATION DE L'INSTALLATION .............................................................................................................. 38
13. ANNEXES ....................................................................................................................................... 39
13.1. MIGRATION VERS OFFICESCAN 10.X .......................................................................................................... 39 13.2. PREMIER CAS : ..................................................................................................................................... 39 13.3. DEUXIEME CAS : ................................................................................................................................... 40 13.4. AUTRES POSSIBILITES............................................................................................................................. 41 13.5. SCRIPT DE MIGRATION : .......................................................................................................................... 41
14. LIENS UTILES ................................................................................................................................ 42
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 5 / 42
111... PPPRRREEESSSEEENNNTTTAAATTTIIIOOONNN
TrendMicro OfficeScan est la solution antivirus retenue par le MEN,
destination des tablissements dans le cadre d'un march, tabli pour 5 ans dater d'octobre 2010.
C'est avant tout un logiciel antivirus rseau gestion centralise. Le client
OfficeScan a donc logiquement besoin d'un lien permanent avec sa console. Avec l'volution des pratiques et de la "mobilit", le systme maintenant
propos, dnomm "smart protection network" permet d'avoir un client jour en continu, partir du moment ou il est connect un rseau, que ce
soit celui de sa console ou l'Internet en gnral.
Pour plus d'infos : http://fr.trendmicro.com/fr/about/core-technologies/smart-protection-network/ Cette procdure fournit les consignes d'installation et de paramtrage dans le cadre d'un lyce public de l'acadmie de Nantes. Pour les autres types d'tablissements, se rfrer aux prconisations indiques la rubrique "scurit du rseau > stratgie antivirale" sur http://ctre.ac-nantes.fr
ATTENTION :
Le prsent document ne peut en aucun cas tre considr comme exhaustif pour l'installation
et le paramtrage de l'antivirus rseau OfficeScan ; la plupart des tapes n'y sont pas dveloppes plus que ncessaire.
Il est par contre adapt aux architectures dployes sur les tablissements cibles et conforme
aux prconisations de l'acadmie de Nantes.
Les documentations "officielles" et exhaustives d'origine TrendMicro sont en ligne sur
http://docs.trendmicro.com/fr-fr/enterprise/officescan.aspx
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 6 / 42
222... IIINNNSSSTTTAAALLLLLLAAATTTIIIOOONNN
2.1. Pr-requis
L'installation doit tre faite sur un serveur ddi la fonction antivirus (et WSUS au besoin).
2.1.1. Matriel :
Avant toute installation, vrifier que votre serveur, physique ou virtuel, respecte les pr-requis indiqus par l'diteur : http://docs.trendmicro.com/all/ent/officescan/v10.6/en-us/osce_10.6_req.pdf
On pourra s'tonner de la "faiblesse" (voire obsolescence) des configurations matrielles prconises et il faudra raisonnablement augmenter les valeurs pour pouvoir fonctionner de manire optimale, fortiori si d'autres applications (WSUS par ex.) tournent sur le mme serveur.
On peut aussi se baser sur les pr-requis de WSUS 3.0 fournies sur la documentation "pas pas" : http://www.microsoft.com/downloads/details.aspx?familyid=c8fa2fd1-72f6-4f19-a1b0-f689dae14be6&displaylang=fr
2.1.2. Systme :
L'OS serveur doit tre mis jour des derniers "patches", correctifs de scurit ou "service-packs".
IIS devra tre install ou activ pralablement au lancement de l'installation d'OfficeScan.
Afin de simplifier la supervision, nommer le serveur "[RNE]-UPDATE" (ex : 0440000R-UPDATE),
ajout du suffixe DNS :
Etant donn que cette machine n'est pas intgre un domaine AD et de faon lui permettre la rsolution de noms sur le domaine DNS
auquel elle appartient, on doit lui adjoindre le suffixe correspondant :
dans les proprits systme, onglet [nom de l'ordinateur]
cliquer sur [modifier] puis sur le bouton [autres]
saisir le suffixe DNS (qu'on obtient partir d'un ipconfig sur une
station du rseau administratif) : "type-nom-dep.in.ac-nantes.fr".
un redmarrage est ncessaire.
Pour que la rsolution de noms courts fonctionne ct clients, il est ncessaire que le suffixe
DNS soit correctement paramtr au niveau des stations (essentiellement ct administratif,
celles-ci n'utilisant pas Active Directory).
2.1.3. Rseau :
Le serveur doit tre dispos dans la "DMZ prive" (ou "interco Amon-Slis") de votre rseau :
o Adresse IP : 10.1xx.yyy.11 / masque 255.255.255.192 (ou 255.255.255.128 si slis) o Passerelle et serveur DNS : le serveur Amon 10.1xx.yyy.62 (ou 10.1xx.yyy.2 si slis)
o Serveur proxy : encore le serveur Amon, mme IP que ci-dessus, sur le port 3128.
Dans l'ancien plan d'adressage, en interco amon-slis, il est ncessaire d'ajouter une route statique et persistante vers le rseau pdagogique : route add p 172.17.0.0 mask 255.255.0.0 10.1xx.yyy.3 (IP "wan" du slis).
Il est aussi ncessaire d'ouvrir le port 8000 sur slis (source l'IP du serveur, sens extrieur > intrieur)
* xx reprsente le n de dpartement et yyy le n chrono (3me octet quon retrouve sur les postes administratifs) de ltablissement.
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 7 / 42
2.1.4. Entres DNS
Pour faciliter les communications vers ce nouveau serveur et surtout en cas de migration ultrieure (changement de serveur, d'adresse), il est indispensable de renseigner la machine dans les zones DNS locales.
Rseau pdagogique :
Sur un domaine Active Directory Windows 200X :
o Console DNS > zone de recherche directe "nom-du-domaine" > ajouter un "nouvel hte (A)" o Nom : SRV-UPDATE > IP : 10.1xx.yyy.11
o Renseigner la "zone de recherche inverse" (crer au besoin la zone yyy.1xx.10.in-addr.arpa)
Rseau administratif :
Amon tant le serveur DNS sur ce rseau, voir au paragraphe suivant
2.1.5. Configuration du pare-feu AMON :
Deux manipulations sont effectuer sur Amon par votre CRID ( partir de Zephir ou de gen_config) :
Ajout d'un hte DNS
Dans le menu de configuration, passer en [mode expert] ; ouvrir
l'onglet [zones-dns], Remplir les champs "ajout d'hosts dans le DNS" (si d'autres
entres sont prsentes, les sparer par "|") :
o Nom : srv-update. lyc-nom-dep.in.ac-nantes.fr
o Adresse IP : 10.1xx.yyy.11 Valider les modifications,
Autorisation des flux serveur > clients
On doit faire en sorte dautoriser les notifications de la console antivirus vers les postes des rseaux administratif et pdagogique. Les autres flux clients > serveur, destination de la DMZ, sont autoriss par dfaut.
Toujours partir de Zephir ou de gen_config, ouvrir l'onglet [Pare-Feu ac-nantes],
mettre [oui] la variable " Utiliser un serveur antivirus en DMZ " ; valider puis indiquer l'IP du serveur :
valider les valeurs,
Une fois ces modifications effectues :
enregistrer les modifications (soit de gen_config vers Zphir, soit de zephir vers Amon),
Lancer un "reconfigure" > courte interruption de service !
2.1.6. Vrifications :
rsolution du nom court : "nslookup srv-update" doit rpondre par l'adresse IP 10.1xx.yyy.11, la fois
des rseaux administratifs et pdagogiques ainsi que de la dmz prive (sur le serveur lui-mme ou
partir de ses voisins). connectivit entre le serveur et les clients (une fois ceux-ci installs) : effectuer, partir du serveur
OfficeScan, un "telnet [ip_du_client] 8000" (avec bien entendu l'IP d'un poste client allum). Cette
commande ne doit pas tre rejete ou en "time out" idem partir d'un client (une fois le serveur install) : "telnet srv-update 8080" doit aboutir.
Tout ceci doit aussi se confirmer par la suite : que ce soit sur l'icne des clients ou dans la console
OfficeScan, tout doit apparatre "en ligne".
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 8 / 42
2.2. Obtention du programme
Les programmes et mises jour TrendMicro sont disponibles au tlchargement :
accder au site http://www.trendmicro.fr
cliquer sur "Tlchargements" (1) puis sur "mettre jour votre produit" (2)
sur le "centre de tlchargement", slectionner "OfficeScan" parmi les produits "Poste de travail"
Tlcharger le dernier "package d'installation complet French" disponible. A l'heure de la rdaction, il
s'agit de "OSCE-106-SP2-Full-Installer-Repack1-FR.exe" (env. 820 MO) tlcharger. Des service-packs et patches sont gnralement disponibles (dans les onglets du mme nom). En cas
de patch en version Franaise (ou multilingues), on peut en profiter pour les tlcharger A l'heure actuelle, le SP3-(fr)-GM-B5193-r1.exe ainsi que le OSCE-10.6-WIN-SP3-Patch1-(fr).exe sont ncessaires
Avant de dmarrer l'installation elle-mme, s'assurer que :
Vous disposez d'un "certain temps" : une bonne heure environ La connectivit l'Internet du serveur est oprationnelle.
Vous devez avoir ouvert une session en tant qu'administrateur du serveur ou du domaine.
Si une version antrieure d'OfficeScan est dj dploye, consulter tout d'abord l'annexe 12.1 de ce
document ainsi que les pr-requis sur : http://docs.trendmicro.com/all/ent/officescan/v10.6/en-us/osce_10.6_req.pdf
1
2
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 9 / 42
2.3. Dmarrage de l'installation
L'installation dmarre en lanant l'excutable tlcharg l'tape prcdente.
Sur Windows Server 2008, ne pas hsiter "excuter en tant qu'administrateur".
Dans le cadre d'une mise jour d'un serveur existant, certaines tapes ci-dessous ne sont pas affiches et les paramtres existants sont conservs.
Dans les premires fentres, trs peu d'alternatives sont proposes :
On peut habituellement se passer du scan initial
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 10 / 42
2.4. Dossier d'installation de l'application
2.5. Paramtres de proxy
Indiquer l'adresse IP ainsi que le port du serveur proxy Internet
sur le segment de rseau : Amon 10.1xx.yyy.62 (ou 10.1xx.yyy.2 si slis) / port 3128)
Laissez les champs utilisateur / mot de passe vierges (l'authentification n'est habituellement pas active sur la dmz).
Si aucun proxy n'est indiqu, l'installation se poursuit sans vrification (il sera possible de le paramtrer par la suite) ; dans le cas contraire, un test de connexion Internet est effectu cette tape. Si celui-ci
s'avre ngatif, l'installation est bloque tant que le test n'aboutit pas.
Remarque : partir de cette tape, le bouton [Aide] permet d'obtenir des informations contextuelles. Ne pas hsiter en (ab)user
2.6. Choix du serveur Web
Si IIS est activ sur votre serveur, il est propos de choisir entre ce dernier et Apache. Dans le cas contraire, un apache fourni avec OfficeScan est install par dfaut.
Notes : o IIS doit tre install pralablement (ajout de composants Windows) sur 2003 Server ou le rle activ sur 2008 Server.
o Si on dsire utiliser, sur la mme machine, d'autres services web (par ex. WSUS sur le port 80), le fait de choisir IIS vitera
de faire tourner deux processus pour la mme fonctionnalit (tant qu'ils utilisent des ports diffrents !) o L'activation de SSL (https) permet de sparer les flux de
communications client / serveur de ceux de gestion de la console d'administration.
o Les ports proposs (8080 et 4343) permettent de conserver
les 80 et 443 (par dfaut) pour d'ventuels autres services hbergs sur le mme serveur.
Afin d'viter d'encombrer la partition systme on
peut choisir par ex : D:\OfficeScan
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 11 / 42
2.7. Identification du serveur sur le rseau.
Dans cette fentre, on indique de quelle faon les clients pourront joindre leur serveur OfficeScan.
Tout d'abord le choix du nom DNS est largement prfrable l'adresse IP : si la rsolution de nom est fonctionnelle sur
votre rseau et le suffixe automatiquement ajout aux clients, le "nom court" doit suffire (voir 2.1.4 & 2.1.5).
D'une manire gnrale, en cas d'volution du rseau
(dplacement du serveur vers une DMZ), il est prfrable
d'utiliser un "alias" renseign dans le DNS local. On indique donc "srv-update".
Ce paramtre est ventuellement modifiable par la suite mais pas pour l'ensemble des services (smart protection
intgr par ex.)
2.8. Activation du produit
L'enregistrement en ligne du n de licence ayant t effectu au niveau du contrat national, vous devez passer directement l'tape suivante.
C'est ici que vous saisissez le code fourni par le rectorat partir de http://infovir.ac-nantes.fr/
Laisser coche la case "utiliser le mme code d'activation" ; les champs damage cleanup services et rputation des sites sont automatiquement complts.
En cas d'installation d'un "nouveau serveur" en parallle ou en remplacement de l'existant, le mme code d'activation peut
tre utilis sur les deux machines.
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 12 / 42
2.9. Serveur "Smart Protection" intgr
L'installation du "serveur Smart Protection intgr" est
propose.
Cette fonctionnalit "serveur de rputation de fichiers" utilise,
sous IIS, un port supplmentaire : tcp 8082 par dfaut (et un 2me, tcp 4345 si ssl est activ).
Dans une architecture rseau en VLANS, si les stations
accdent au serveur au travers d'ACL, ces ports devront bien
entendu tre autoriss
Idem pour les "services de rputation de sites web" utilisant par dfaut sous IIS le port 5274.
Attention : Le fait de possder une "source de rputation autonome", locale ou non, ne dispense pas de l'activer sur le serveur OfficeScan. En cas d'indisponibilit de l'un, le
second permettra une certaine rpartition de charge / tolrance de panne
2.10. Installation du client sur le serveur
Si un client OfficeScan n'est pas dj prsent sur le serveur lui-mme, il est install dans la foule Les composants "Cisco NAC" sont utiles si vos quipements rseau implmentent ces fonctionnalits (habituellement non).
2.11. Smart Protection Network
Le "smart feedback" active la collecte (anonyme) d'informations entre les diffrentes consoles dployes
autour du globe et l'diteur.
Ceci permet l'diteur une plus grande ractivit face aux nouvelles menaces.
Il est possible de choisir un "secteur d'activit" : ducation semble un bon choix
Le rsultat de cette collecte plantaire est visible en direct
sur l'onglet "smart protection network" une fois sur la page d'accueil de la console
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 13 / 42
2.12. Mots de passe
Depuis la version 10.0 une dlgation est possible au niveau de la console : un mot de passe seul ne suffit plus pour se connecter. Le compte d'administration par dfaut est "root".
On indique tout d'abord le mot de passe "root". Attention bien le conserver
Le 2me mot de passe demand permet, comme indiqu, soit
la dsactivation temporaire du client, soit sa dsinstallation
pure et simple. Il est recommand de choisir un mot de passe diffrent du
"root" (afin de pouvoir dlguer au besoin). Une fois connect la console, il sera possible de fournir des
mots de passe distincts pour chacune de ces deux actions (pour autoriser par ex. la dsactivation certains usagers et
la dsinstallation aux seuls administrateurs).
2.13. Paramtres d'installation client
Le choix du dossier d'installation par dfaut permet de rester dans une configuration "standard" facilitant la maintenance.
Le "port de communication client" (permettant la
communication serveur > clients) est propos alatoirement.
Le remplacer imprativement par "8000". Dans la configuration de nos serveurs AMON, c'est le
seul port autoris dans ce but.
Sa modification par la suite n'est pas "conviviale"
Le "niveau de scurit lev" de l'installation client limite les
malveillances, qu'elles proviennent des utilisateurs ou de
malwares
2.14. Pare-feu de station
Le pare-feu intgr au client OfficeScan est, la diffrence de celui de Windows XP, entirement administrable distance et
de manire centralise.
Il est utile par exemple en cas "d'pidmie subite" : il est
alors possible de stopper tout ou partie du trafic rseau en
quelques clics !
Attention : l'utilisation de ce pare-feu consomme logiquement
des ressources sur les clients. Il est recommand d'effectuer un test sur les machines "un peu justes".
Etant donn qu'il est possible, par la suite, de l'activer / dsactiver au niveau de la console, ce choix est malgr tout
rversible.
Remarque : Il n'est, par dfaut, pas activ sur les OS serveurs
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 14 / 42
2.15. Mode "valuation des spyware"
2.16. Rputation de sites web
La consultation de sites web propageant des malwares tant
devenue une des principales sources d'infection, autant les stopper la base
C'est ce que propose la "stratgie de rputation de sites web", base sur la constitution automatique de listes noires en
fonction des remontes des clients (voir 1).
2.17. Paramtres du menu dmarrer
Il est possible de personnaliser le dossier du menu dans lequel
on trouvera le raccourci OfficeScan sur le serveur
2.18. Rsum et dmarrage de l'installation
Une fois valid le rcapitulatif et aprs plusieurs (longues) minutes, l'opration se termine enfin sur une annonce "installation termine avec succs !"
Attention : en fin d'installation (tapes "initialisation serveur http" et "installation plug-in
manager"), le processus peut sembler fig. Malgr cette impression, l'installation se poursuit :
il ne faut pas chercher l'interrompre et rester patient (c'est le moment de la pause caf ?)
En rgle gnrale, le
mode d'valuation ne doit pas tre activ !
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 15 / 42
333... AAACCCCCCEEESSS AAA LLLAAA CCCOOONNNSSSOOOLLLEEE SSSEEERRRVVVEEEUUURRR
Pour administrer votre nouveau serveur OfficeScan, il faut accder sa console web : https://srv-update:4343/officescan.
Restriction : pour administrer la console OfficeScan, seul le navigateur Internet Explorer (version 7 mini) est compatible !
Le certificat tant "autosign", celui-ci doit tre accept chaque connexion...
3.1. Accs la console
C'est ici qu'on se fait surprendre si on a cliqu trop vite sur "suivant" lors de l'installation
Le seul et unique utilisateur cr par dfaut est "root" ( 2.12).
!
Le fonctionnement de la console web tant bas sur des "contrles ActiveX", le navigateur demande confirmation. Afin d'viter de multiplier ces popup, cliquer sur "plus d'options" puis "toujours installer les logiciels en provenance de Trend Micro, Inc.".
RAPPEL :
Le but de ce document n'est pas de fournir une notice exhaustive sur l'utilisation de la console antivirus OfficeScan. Pour cela, seule la documentation "officielle" disponible sur le centre de mise jour TrendMicro fait rfrence (lien en 1)
Une autre source d'informations trs efficace consiste utiliser l'aide contextuelle intgre,
prsente pratiquement sur chaque page de la console sous la forme de boutons Aide
La suite du document prsente un ensemble d'oprations de base accomplir pour assurer un service minimum, au plus proche des besoins en tablissement.
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 16 / 42
3.2. Rsum
C'est la page d'accueil de la console. Maintenant organise en "widgets" et onglets personnalisables, on y trouve par dfaut :
les services activs et la validit des licences, un bilan des postes clients (connectivit et infections), les ventuels "historiques d'pidmies", la version et le pourcentage de mise jour des diffrents composants
Un message "de nouveaux widgets peuvent tre mis jour" peut s'afficher : cliquer sur "mettre jour" L'onglet "OfficeScan et plugiciels" permet de grer d'ventuels "plug-ins" (en fonction des licences acquises). L'onglet "smart protection network" affiche l'tat global des menaces pour info.
3.3. Menu "Conformit de la scurit"
Cette fonctionnalit permet un audit global des clients . Il y est mme possible de procder directement aux actions correctives de manire cible
Pour l'utiliser (une fois la console peuple uniquement) :
accder au menu "conformit de la scurit > valuation de conformit > rapport de conformit",
slectionner (ct droit) l'tendue de l'arborescence analyser > cliquer sur [valuer]
le rapport est affich en haut gauche de la fentre > un onglet par thme
la moiti infrieure de la fentre permet de slectionner et de lancer la correction des dfauts
Une console en "bonne sant" peut malgr tout afficher un nombre important de dfauts La plupart du temps il s'agit des clients "hors ligne" > pas forcment trs significatif, donc.
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 17 / 42
444... OOORRRDDDIIINNNAAATTTEEEUUURRRSSS EEENNN RRREEESSSEEEAAAUUU Dans cette rubrique de l'interface, on gre un ensemble de paramtres, soit communs l'ensemble des clients, soit ddis des groupes de machines.
Sachant qu' chaque modification d'un paramtre dans la console, celle-ci notifie tous ses clients qui tlchargent alors les fichiers de configuration modifis, il est prfrable de terminer le paramtrage de la console avant le dploiement massif des clients afin d'viter un trafic rseau "polluant".
L'installation des clients OfficeScan est donc relgue au paragraphe 12
4.1. Gestion des clients
C'est le menu le plus lourd paramtrer dans la console ; c'est aussi celui qu'on consulte en priorit
L'arborescence du rseau est automatiquement peuple en fonction du choix effectu dans le menu "regroupement des clients".
Dans un souci de lisibilit il est possible de rorganiser cette arborescence en crant autant de groupes que ncessaire : les clients peuvent alors y tre rpartis (par simple glisser/dposer) par ples disciplinaires, zones gographiques
Mais c'est inutile si les postes intgrent l'emplacement dans leur nommage
Ces nouveaux "domaines" (au sens OfficeScan) n'interfrent en rien avec les paramtres rseau des stations ou d'Active Directory et sont propres la base de donnes OfficeScan.
Le fait de crer ces domaines permet par la suite d'activer au besoin des options diffrentes sur un groupe particulier de machines (portables par ex.).
La multiplication de configurations diffrentes est, par contre, source de complexit : il faudra trouver un compromis !
Pour les parcs importants, un module de recherche (simple / avance) peut rendre de grands services.
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 18 / 42
4.1.1. Gestion des clients : onglet [tat]
4.1.2. Gestion des clients : onglet [Tches]
On trouve ici des fonctionnalits assez peu utilises : Le "scan immdiat" : effectu distance sur les clients, utiliser avec modration, moins d'tre
certain de ne pas perturber un ventuel utilisateur. La dsinstallation (toujours distance) du client OfficeScan, L'ventuelle restauration de spywares (en cas de "faux positifs")
4.1.3. Gestion des clients : onglet [Paramtres]
Importation des paramtres :
Un grand nombre de paramtres peut tre affin par rapport aux rglages par dfaut. Il est possible (mais surtout fastidieux) de les passer tous en revue.
Heureusement l'importation de paramtres en provenance d'un autre serveur est possible. Un paramtrage
type, "import-osce10.6.dat" est disponible sur : http://www.ac-nantes.fr/27647957/0/fiche___pagelibre/
Il vous est possible, de cette faon, d'appliquer en une fois un ensemble de paramtres (procdure dcrite
au 4.1.3.9), puis de les personnaliser au besoin par la suite :
Commencer par tlcharger le fichier indiqu ci-dessus
Ouvrir le menu [ordinateurs en rseau] puis [gestion des clients]
Dans l'onglet [paramtres], cliquer (tout en bas) sur [importer des
paramtres] A l'aide du bouton "parcourir", rcuprer le fichier tlcharg
prcdemment
Cliquer sur "importer" > cocher "appliquer tous les domaines" >
cliquer "appliquer la cible"
Attention : les mots de passe de dsinstallation (configurs au 2.12) sont rinitialiss lors de cette importation :
Ne pas oublier de les rectifier
Remarque importante :
tant donn qu'il est possible de personnaliser les paramtrages en fonction des "domaines", le bouton [enregistrer] ne valide les modifications effectues que pour la machine ou le groupe de machines
slectionn(e) au pralable.
Si vous slectionnez la racine de larborescence de domaines avant de configurer une option, un choix est propos au moment de valider : [Appliquer tous les clients] et [Appliquer aux futurs domaines uniquement].
Avant d'effectuer un paramtrage, il est important d'en avoir conscience et de bien slectionner le groupe "cible" d'autant qu'un paramtrage " la racine de la console" s'appliquera (par hritage) l'ensemble des sous-domaines, en crasant les ventuelles personnalisations !!!
Cette fonction permet, pour un client ou un groupe : d'afficher l'tat gnral (mises jour, virus dtects,
paramtres), de rinitialiser l'affichage de l'tat d'infection des clients
aprs consultation des journaux ( 4.1.4).
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 19 / 42
4.1.3.1. Paramtres de scan
a. Mthodes de scan
Pour bien comprendre chaque mthode et l'intrt de l'une par rapport l'autre, consulter l'aide en ligne
https://srv-update:4343/officescan/console/html/help/ohelp/scan/scanmet.htm
Par dfaut, la version 10.6 propose maintenant "smart scan" alors que le "traditionnel" tait rest prioritaire sur les prcdentes.
Ce mode smartscan est logiquement plus efficace sur les postes clients ; les serveurs pourront tre traits part, et faire l'objet d'un groupe utilisant le scan traditionnel dans la console
Les paramtres de scan se dcomposent ensuite en 4 volets. On trouve pour chaque type de scan une
interface de paramtrage similaire ; les choix y effectuer sont diffrents en fonction du type.
Pour chaque type de scan, on dtermine tout d'abord la "finesse" de la dtection, puis, dans l'onglet "action", les tches entreprendre en cas de dtection.
Ces rglages dfinissant les ractions de l'antivirus peuvent (doivent) tre personnaliss en fonction du type de scan, ceci permet de trouver, autant que possible, un compromis acceptable entre efficacit antivirale et
occupation des ressources systme
b. Paramtres de scan manuel
Ce type de scan est une opration logiquement rare et habituellement initie par l'utilisateur. On peut donc supposer que cette action est consciente et voulue. A cette fin, il est possible de dterminer (grossirement)
le taux d'utilisation CPU
Partant de ces considrations et par rapport la configuration par dfaut, on choisira :
Le scan de l'ensemble des fichiers,
D'augmenter le "nombre de couches" scannes l'intrieur des fichiers compresss
En cas de dtection de virus, le fait d'avoir des ractions diffrentes en fonction du type d'infection (systme "ActiveAction") est la fois consommateur de ressources et peut rendre plus difficiles l'interprtation des
infections et des mesures prises. A tester ventuellement
Dans l'onglet [Action] on choisira donc [utiliser la mme action pour chaque type] puis, en 1re action, la rparation automatique [nettoyer].
Ensuite pour le choix de la 2me action (au cas o la 1re choue), on peut considrer deux "politiques" : Sur une machine "sensible" (serveur par ex.) : les fichiers sont mis en quarantaine et pralablement
sauvegards. Une action de l'administrateur est alors possible en cas de restauration des fichiers.
Sur une station "banalise" et multi-utilisateurs : les fichiers sont supprims sans sauvegarde. Si des
fichiers systme sont corrompus (et donc supprims), on repartira d'un master
Listes d'exclusion : on peut souhaiter exclure certains programmes, fichiers ou dossiers du scan antivirus.
Il suffit pour cela d'indiquer dans les champs prvus le nom des fichiers programme exclure. Par dfaut,
c'est le cas du dossier d'installation TrendMicro.
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 20 / 42
c. scan en temps rel
Le scan en temps rel utilisant un processus en permanence en tche de fond, c'est celui qui sera le plus visible sur les performances de la station
On peut se limiter au scan des fichiers par "IntelliScan" et tre moins exigeant avec les fichiers compresss (laisser les options par dfaut).
Les ractions face un fichier infect peuvent tre plus "svres" : rparation automatique, puis, en cas
d'chec, suppression sans sauvegarde.
Sur ce type de scan, les exclusions de scan sont par contre prpondrantes.
TrendMicro propose quelques recommandations : Recommended scan exclusion list for OfficeScan http://esupport.trendmicro.com/solution/en-us/1059770.aspx Excluding third-party software from Realtime Scan http://esupport.trendmicro.com/solution/en-us/1060488.aspx
On peut ajouter ces "gnriques" certaines applications
propres notre environnement ; une liste non exhaustive est disponible sur ETNA : http://ctre.ac-nantes.fr la rubrique
"scurit du rseau > stratgie antivirale > console serveur".
ATTENTION : ce document est accessible, uniquement aprs
authentification, aux utilisateurs ayant un rle dans
l'administration du rseau
Suivant le cas, les chemins des excutables seront adapter, en fonction du contexte local A appliquer dans le menu ordinateurs en rseau > gestion des clients > paramtres > paramtres de scan > scan en temps rel
d. scan programm
Puisqu'il est recommand d'effectuer rgulirement un scan manuel, pourquoi ne pas l'automatiser ? C'est ce que permet
le scan programm.
On pourra y affecter des paramtrages quasi quivalents ceux du scan manuel.
Le plus dlicat reste le choix du moment appropri : il faut que les stations clientes soient allumes au moment planifi
et que, dans le mme temps, aucun utilisateur ne puisse tre pnalis dans ses activits. La planification est choisir
en fonction des habitudes locales :
on choisit de lancer le scan programm en dehors des heures ouvres, en le combinant avec le
"wake on lan" > on rgle l'utilisation cpu sur le maximum afin d'en raccourcir la dure on le lance en prsence des usagers ; on choisit le taux d'utilisation cpu au minimum > la machine
doit par contre rester allume sur la dure totale du scan, celui-ci tant logiquement beaucoup plus
long > tester Si on ne veut pas imposer un
ralentissement de la station un ventuel
utilisateur connect pendant cette priode,
il est possible d'autoriser l'arrt ou le report de cette tche ct client : on trouve ce
paramtre au niveau des "privilges clients" ( 4.1.3.7).
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 21 / 42
e. scan immdiat
On y trouve les mmes lments que pour le scan manuel. Les mmes contraintes s'y appliquent la
diffrence que ce scan s'effectue non pas par l'utilisateur connect physiquement la machine cible, mais distance, partir de la console d'administration.
Attention donc, de mme que pour le scan programm, ne pas perturber les usagers (d'autant plus que
l'annulation n'est possible qu' partir de la console) !
4.1.3.2. Paramtres des agents de mise jour
Dans son fonctionnement standard, tout client OfficeScan tlcharge ses mises jour (et plus gnralement
communique) directement partir du serveur auquel il est attach.
La fonctionnalit "agent de mise jour" permet un ou plusieurs postes (paramtre applicable directement un groupe de machines), de servir de "relais de mise jour".
Bien que chaque client puisse toujours communiquer avec son serveur de console, le plus gros du trafic rseau peut, grce ce systme, tre rparti (un agent de mise jour par btiment, par ple disciplinaire) en vitant les goulets d'tranglement.
Attention, le choix de ces "agents" implique certaines contraintes :
- tre accessible sur le rseau :
o tre sur un rseau joignable par les autres clients : typiquement, un "poste prof" ne peut pas tre relais de postes lves,
o tre allum au minimum autant que les "clients standards" sinon en permanence,
- tre utilis un minimum comme "station de travail", de faon limiter les possibilits de plantage et
arrts / redmarrages par des utilisateurs lambda,
- possder une capacit disque suffisante (700 Mo dispo. recommands, sur la partition d'installation du client OfficeScan) afin d'hberger les fichiers de mise jour.
Pour dclarer un agent de mise jour, cliquer sur gestion des clients > paramtres > agents de mise
jour et cocher les 3 options.
Voir paragraphe 6.2.3 pour attribuer cet agent un parc donn de clients.
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 22 / 42
4.1.3.3. Privilges et autres paramtres
Vous paramtrez ici les autorisations donnes l'utilisateur de la station. Le fait d'y cocher une case se traduit concrtement par l'apparition d'un onglet supplmentaire dans la "console client" ou d'un choix sur le
menu contextuel de l'icne OfficeScan.
Si on raisonne "stratgie antivirale rseau", il faut laisser
l'usager un minimum de possibilits de
personnalisation du client antivirus.
Les seules "cases" cocher dans le 1er onglet
concernent :
le scan programm : comme indiqu en page prcdente, il peut ventuellement tre diffr (voire annul) par l'utilisateur.
Le forage de la mise jour du menu contextuel c'est rassurant pour l'utilisateur !-)
Sur le deuxime onglet (autres paramtres) on coche :
l'option de mise jour programme : trs utile pour les postes ne pouvant pas communiquer en
permanence avec leur serveur (postes nomades).
la possibilit d'afficher une notification (plusieurs rubriques concernant les blocages de site web, la surveillance de comportements, les alertes "C&C, le
scan programm et de redmarrage ncessaire).
Le niveau d'autoprotection du client antivirus lui-mme (en cas de malveillance ou d'attaque interne, type cheval de Troie). Le choix du niveau lev est
scurisant, mais contraignant pour la
maintenance
ATTENTION : les options concernant les "paramtres de cache pour les scans" peuvent
entraner une consommation permanente de
ressources, avec des consquences lourdes sur les postes clients anciens. Si des lenteurs sont
constates, ces cases doivent tre dcoches
Le blocage des mises jour programme ou "hotfix" (3me case du menu) est trs utile en cas d'upgrade du serveur : on dcoche cette case uniquement sur
un groupe "chantillon test" le temps de vrifier les
consquences. Quand tout est OK on peut le dcocher pour l'ensemble de l'arborescence
Comme indiqu prcdemment, bien vrifier la
cible avant d'appliquer " tous les clients" ou "aux domaines futurs uniquement" !
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 23 / 42
4.1.3.4. Paramtres de rputation de sites Web
Le principe de cette fonctionnalit consiste, la manire de "black-lists", vrifier au moment de l'accs
un site, s'il est "digne de confiance" ou connu comme tant "source de menaces". Le fichage ne se base par contre pas sur un filtrage de contenu (par rapport l'utilisateur) mais sur sa nocivit vis--vis du systme
d'informations.
Il existe plusieurs niveaux de protection : le "moyen" est
un bon compromis,
Les listes de sites sont gres dynamiquement grce au
"Scan Protection Network" ( 2.11) ; si un site est injustement
classifi, on peut soumettre une demande de reclassification (lien fourni)
On peut aussi ajouter localement des exceptions, dans le
menu "paramtres clients gnraux" ( 4.2)
On peut l'activer de manire diffrente suivant que le
client se trouve sur le rseau interne l'tablissement (derrire
un pare-feu) ou l'extrieur : par dfaut les clients internes (deuxime onglet) sont soumis un "niveau faible" ; on peut,
aprs vrification de l'impact, passer "moyen".
4.1.3.5. Paramtres de surveillance des comportements
La "surveillance des comportements" permet de bloquer des malwares,
non pas en fonction de leur signature (de plus en plus noye dans la
masse), mais d'un comportement, d'actions que tente d'effectuer le programme suspect.
Il est possible de grer des exceptions en cas de "faux positifs" en
ajoutant le chemin de l'excutable dans la zone de saisie.
Comme indiqu au 4.2.3.1, une liste d'exclusions est propose
sur ETNA : http://ctre.ac-nantes.fr la rubrique "scurit du rseau > stratgie antivirale > console serveur".
4.1.3.6. Contrle des dispositifs
Cette fonctionnalit, ayant elle aussi le but de bloquer les malwares " la
source" permet, par exemple, de limiter les inconvnients des cls USB,
sans pour autant en interdire purement et simplement l'usage :
L'excution automatique est dsactive par dfaut,
On peut par exemple autoriser les "dispositifs USB" en lecture et
criture uniquement (ce qui bloque l'excution).
Si certains applicatifs "portables" doivent tre excuts partir de la
cl, on doit alors les intgrer une liste de programmes autoriss.
Il est possible d'afficher une notification en cas de blocage ; on peut
aussi s'en passer afin d'viter de multiplier les sollicitations ct
utilisateur
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 24 / 42
4.1.3.7. Liste des spywares/graywares approuvs
Cette fonctionnalit permet de valider certains logiciels "indispensables" aux utilisateurs mais considrs nuisibles par l'antivirus qui, lui aussi, ne fait "que son boulot" A utiliser en connaissance de causes !
4.1.3.8. Exporter / importer paramtres
Cette section propose :
la sauvegarde / restauration des paramtres prcits (scan manuel, scan en temps rel, scan
programm, scan immdiat, et privilges et autres paramtres),
l'importation de paramtres prdfinis.
C'est donc une prcaution utile en cas de crash ou migration du serveur !
Ceci permet aussi de gagner un minimum de temps, l'installation initiale ou en cas de rinstallation, en vitant l'oubli de la moindre
case cocher
C'est la raison pour laquelle on a prfr commencer par
l au 4.1.3
Attention Certains paramtres sont rinitialiss lors de cette importation :
dossier de quarantaine (4.1.3.3 4.1.3.6) : OK si le serveur est connu en tant que "srv-update"
mots de passe de dsinstallation
les personnalisations effectues sur certains groupes de clients
Ne pas oublier de les rectifier aprs l'import.
Ici encore, ne pas hsiter utiliser le
4.1.4. Gestion des clients : onglet [Journaux]
On peut ici consulter l'historique des diffrentes infections (ayant ou non abouti d'ailleurs) et effectuer la maintenance de ces journaux.
La consultation et la maintenance sont slectives : elles ne s'appliquent qu'aux machines / groupes
slectionns et ceci par catgorie de journaux (de virus, de spywares, de pare-feu de surveillance des comportements et de "rputation de sites web").
4.1.5. Gestion des clients : onglet [Grer l'arborescence client]
C'est ici qu'on peut : Ajouter renommer ou supprimer des groupes ("domaines") ou des clients,
Dplacer des clients :
changement de domaine (qui peut aussi s'effectuer par "glisser/dposer"), changement d'affectation un serveur.
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 25 / 42
4.1.6. Gestion des clients : onglet [Exporter]
On exporte les donnes de la console (ou du groupe slectionn) dans un fichier tableur au format csv. Il est
prfrable d'enregistrer le fichier plutt que de l'ouvrir directement dans la console (navigateur pas toujours
exploitable !). On peut ensuite trier et analyser les informations des fins de "reporting" par exemple
4.1.7. Gestion des clients : recherche / recherche avance
Toujours dans le menu "gestion des clients", la fonction de recherche peut rendre quelques services.
En recherche avance par exemple, cocher "ordinateur infect" dans la rubrique "tat" : tous les clients
rpondant ce critre sont regroups (sans tenir compte des "domaines" de la console) dans la zone "rsultat de la recherche" Souvent instructif !
4.2. Paramtres clients gnraux
Dans leur ensemble, les paramtres par dfaut sont assez cohrents. On peut nanmoins ajouter :
Le scan diffr (nouvelle option)
le nettoyage des fichiers compresss
les paramtres de scan programm (tout
peut tre coch)
la notification de surveillance des
comportements
la notification d'obsolescence de signatures
(5 jours par ex.)
4.3. Emplacement de l'ordinateur
L'emplacement d'un ordinateur dicte la stratgie de rputation de sites Web (dfinie au 4.1.3.5) applique
au client et l'url du serveur Smart Protection auquel il doit se connecter par dfaut.
En tablissement il est prfrable de se baser uniquement sur l'tat de connexion la console.
Sur une grosse structure, il est possible d'ajouter des "serveurs de rfrence" : si le client ne peut pas, pour une raison ou une autre, communiquer avec "son" serveur OfficeScan, il essaie de se connecter aux serveurs
de rfrence. Il est possible d'indiquer tout serveur d'infrastructure (nds, dhcp par ex.) pourvu qu'un port
soit joignable de tout client.
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 26 / 42
4.4. Pare-feu
Cette fonctionnalit, ne se substitue pas, au niveau du poste de travail, aux quipements rseau protgeant
l'ensemble de l'tablissement. Pas plus qu'au pare-feu "autonome" qu'on trouve sur Windows XP.
Voir l'aide en ligne et la doc TrendMicro pour plus d'infos
4.4.1. Stratgies
La stratgie applique par dfaut l'activation du pare-feu sur un parc a pour nom "Toutes les stratgies
d'accs" (ce qui aurait pu tre traduit par "accs total"). Ceci peut paratre contradictoire ! Son but est d'avoir le composant pare-feu activ sur les clients, mais "transparent". Tout en restant l'coute des ordres de sa console.
4.4.2. Profils
Pour mettre en uvre une stratgie, celle-ci doit tre applique un "profil". On trouve par dfaut le profil "Tous les profils clients", utilisant la stratgie "Toutes les stratgies d'accs".
En clair, tous les parcs ont le pare-feu activ, mais en mode "passif" Si le "systme de dtection d'intrusions" est activ, la console sera avertie (en page "rsum") de la
prsence de trafic rseau suspect.
Ce paramtrage s'avre donc trs utile en cas d'pidmie soudaine ( lier au 4.7) : on peut renforcer
slectivement le pare-feu OfficeScan sur l'ensemble du parc en quelques clics.
Stratgies et profils sont personnalisables souhait ; il est malgr tout prfrable de conserver en l'tat les paramtrages d'origine et de crer ses propres stratgies et profils partir de ceux-ci (copie possible).
4.5. Installation du client
Ce menu propose deux modes d'installation vitant l'administrateur, soit un dplacement sur le poste client
(installation distance), soit toute intervention (courriel aux utilisateurs donnant un url d'installation en
mode web). Ces mthodes doivent tre rserves des installations ponctuelles.
Les mthodes "traditionnelles" par l'excutable autopcc / autopccp et les packages d'installation (exe ou msi)
sont plus adaptes un dploiement "industriel" ; elles sont abordes au chapitre 12.
4.6. Vrification de la connexion
Certains vnements sont susceptibles dempcher laffichage de ltat des connexions entre serveur et clients dans larborescence du domaine. Il est possible de vrifier manuellement la connexion serveur-> client dans [Vrification manuelle] ou de configurer une planification dans [Vrification programme], pourvu que les postes soient logiquement allums ce moment.
Ceci permet par ailleurs de "rcuprer" d'ventuels doublons de GUID de clients aprs clonage. Les rsultats de cette action sont consultables dans les "Journaux des ordinateurs en rseau / vrification de
la connexion".
4.7. Prvention des pidmies
Ce menu intuitif permet de mettre contribution le pare-feu de station, en cas par exemple d'pidmie de ver rseau non reconnu par votre console un moment donn.
Le "pare-feu pour clients - version d'entreprise" contribue protger les clients OfficeScan des attaques de pirates et des virus rseau, en crant une "barrire" entre eux et le rseau.
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 27 / 42
555... SSSMMMAAARRRTTT PPPRRROOOTTTEEECCCTTTIIIOOONNN
La fonctionnalit "Smart protection" permet un client d'tre protg (avec l'assurance de signatures jour)
grce la connexion permanente un serveur.
Lorsqu'un poste nomade n'est pas sur le rseau local, un serveur SmartProtection de TrendMicro (sur le web,
donc) prend le relais de manire totalement transparente.
Et, quand aucune connexion rseau n'est disponible, une base de signatures est quand-mme prsente sur le client lui-mme afin de protger le poste malgr tout
5.1. Sources smart protection
Il est prfrable de se limiter la "liste standard". Celle-ci est par dfaut constitu du seul "serveur smart
protection intgr". Il est possible de dfinir des "serveurs de rputation" supplmentaires permettant de mettre en place une haute disponibilit du service.
5.2. Serveur intgr
Sur ce menu on retrouve les options choisies
l'installation (activation des services, utilisation du protocole ssl)
On y trouve ensuite le lien permettant aux clients de
contacter ces services
La rubrique "tat du composant" permet de s'assurer de
l'actualit des mises jour.
La configuration par dfaut, mettant en uvre uniquement le serveur smart protection intgr, convient
parfaitement un "petit" lyce. Pour les tablissements accueillant plus de 300 clients OfficeScan, le dploiement
d'un serveur smart protection autonome est indispensable. Une documentation ddie est disponible
au mme emplacement que la prsente http://www.ac-
nantes.fr/27647957/0/fiche___pagelibre
Attention
Le "nom du serveur de rputation" (ou son IP) configur lors de l'installation du serveur (au 2.7) est indispensable aux clients. Il n'est malheureusement pas modifiable par la suite dans la console. Il est nanmoins possible de rinstaller les services de rputation (menu outils > outils administrateurs >
programme d'installation du serveur smart protection). Excellente raison pour choisir ds le dpart le nom de connexion qui va bien (un alias DNS).
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 28 / 42
666... MMMIIISSSEEESSS AAA JJJOOOUUURRR
La page rsum permet une vue globale de l'tat des mises jour ainsi que le regroupement rapide des ventuels "clients obsoltes".
6.1. Mise jour du serveur
6.1.1. Mise jour programme
A l'heure actuelle de nouveaux fichiers de signatures sont mis en ligne quasiment chaque jour. Voire plusieurs fois dans la mme journe pour certains composants !
Si on veut profiter d'une des fonctionnalits les plus videntes de l'antivirus centralis, ce paramtrage
est essentiel
Remarque : du fait de la supervision (voir 10.9), les mises jour automatiques du serveur deviennent
redondantes (c'est le serveur central qui notifie les serveurs en tablissement). On peut toutefois conserver cette fonctionnalit, toujours utile en cas de dysfonctionnement ou de perte de connectivit de
l'agent de supervision, mais en diminuant sa frquence (1 par jour, enfin par nuit ?).
6.1.2. Mise jour manuelle
Sans commentaire particulier Revient au bouton "mise jour immdiate du serveur" en haut du de la page d'accueil de la console.
6.1.3. Source de mise jour
Il est possible de saisir dans l'interface plusieurs sources de tlchargement. Par dfaut c'est le serveur
de TrendMicro qui est configur. Et c'est trs bien comme a !
Choix des composants : en fonction des types de clients prsents sur le rseau, il est possible de cocher
l'ensemble des cases
Planification : dans le cas d'une connexion "haut dbit", la
vrification horaire des mises jour n'est pas inutile ! Si le serveur distant n'a rien de plus rcent proposer, rien ne
sera tlcharg et le dbit de la connexion Internet ne sera pas affect
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 29 / 42
6.2. Mise jour des clients (ordinateurs en rseau)
6.2.1. Mise jour automatique
Peu de choses configurer dans cet onglet
Eviter de cocher "scan immdiat aprs mise jour" : tout comme le "scan distance" ( 4.1.2), cette option perturbera coup sr les utilisateurs !
Le dploiement des "mises jour programmes", pour sa part,
n'est mis en uvre que paralllement son activation dans le menu [clients] [privilges] ( 4.1.3.7).
6.2.2. Mise jour manuelle
Quand certains postes ne sont pas mis jour automatiquement il est possible de forcer slectivement
leur mise jour par l'interface.
C'est logiquement inutile quand les paramtres de mise jour automatique sont bien rgls
6.2.3. Source de mise jour
A relier au paragraphe 4.1.3.2 (agents de mise jour)
Sur un "petit rseau" le fait que quelques machines tlchargent les mises jour sur un seul serveur ne
pose pas de problme particulier. a n'est pas forcment le cas sur les rseaux importants ou architecturs par "sous-rpartiteurs" ou VLANS
On peut alors avoir recours un (des) "agent(s) de mise jour". Dans le principe, on utilise un client OfficeScan "ordinaire" qui reoit dans un 1
er temps des composants du serveur et les met ensuite
disposition d'autres clients la demande.
Ceci permet une rpartition de charge et une optimisation des flux sur le rseau. Il est par contre essentiel de bien choisir ces "relais de mise jour" en fonction de leur disponibilit.
Pour configurer l'utilisation d'un (plusieurs) agent(s) de mise jour :
Activer le(s) postes "agent de mise jour" dans le menu [privilges et paramtres] (4.1.3.7).
Dans [mises jour > ordinateurs en rseau > source de mise jour], cocher "source de mise
jour personnalise. Cocher les 3 cases "si toutes les sources personnalises sont indisponibles ou introuvables"
Pour ajouter une source, cliquer sur [ajouter]
Dans [ajouter plage d'adresses
IP et source de mise jour]
indiquer les adresses extrmes
des plages dtermines et slectionner l'agent de mise
jour dans le menu droulant.
Les postes clients doivent tre
notifis sitt la modification
enregistre.
6.3. Rtrograder
En cas de problme constat sur les postes clients, suite une mise jour de moteur de scan par exemple, il est possible de revenir une version antrieure en attendant le correctif de l'diteur.
Bien qu'extrmement rare (2 cas avrs en 12 ans), cette fonctionnalit peut, dans ces situations, rendre
de grands services
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 30 / 42
777... JJJOOOUUURRRNNNAAAUUUXXX
Ici aussi, assez peu de choses prciser mais beaucoup lire si on commence s'y attarder !
La consultation des journaux, bien que relevant logiquement des tches rgulires de l'administrateur, sera
utile essentiellement en cas de dysfonctionnement (problmes de mise jour du serveur, infection de
machines). On doit s'astreindre consulter rgulirement les journaux de mise jour du serveur et des clients ainsi que ceux de "vrification de la connexion."
Un des rares paramtrages pouvant tre modifi concerne la maintenance des journaux.
On y rgle : le type de journaux purger
la frquence de purge des journaux (7 jours par dfaut) peu adapte aux tablissements sans
administrateur plein temps
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 31 / 42
888... CCCIIISSSCCCOOO NNNAAACCC
Trend Micro Policy Server for Cisco Network Admission Control (NAC) permet d'valuer l'tat des composants antivirus des ordinateurs clients de votre rseau et d'excuter des actions sur les clients risque, afin de les mettre en conformit avec les stratgies antivirus de votre entreprise.
Comme son nom le laisse supposer, cette fonctionnalit est lie au matriel et aux licences qui compose votre quipement rseau. Du fait de l'htrognit de ces lments d'un tablissement l'autre, ce
chapitre ne sera pas dvelopp dans cette documentation
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 32 / 42
999... NNNOOOTTTIIIFFFIIICCCAAATTTIIIOOONNNSSS
A force d'automatisations, l'antivirus peut finir par se faire oublier Les "notifications administrateur" sont l pour prvenir en temps rel, de faon amliorer la ractivit face un ventuel problme.
9.1. Notifications administrateur
9.1.1. Paramtres gnraux
Fournir les informations suivantes : serveur SMTP : smtp.ac-nantes.fr (port 25)
"de" : officescan-[nom du lyce]@ac-nantes.fr
9.1.2. Notifications standard
Le 1er onglet, "critres", permet d'viter d'tre noy de messages, et n'tre averti que lorsque les actions
de nettoyage ont chou.
L'onglet "e-mail" est personnalisable :
Cocher la case "activer la notification"
Fournir une adresse valide (une boite fonctionnelle ddie, ou celle du CI de l'tablissement
CI-[RNE]@ac-nantes.fr de prfrence)
Au besoin, l'objet et le contenu des messages sont personnalisables.
9.1.3. Notifications d'pidmie
Ici aussi, on peut beaucoup mieux affiner les critres d'envoi de notification. A tester
9.2. Notification aux utilisateurs clients
On peut, au besoin, personnaliser le contenu des messages affichs sur les postes clients en cas d'infection ou tout type d'attaque. Indiquer son n de portable par exemple !-)
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 33 / 42
111000... AAADDDMMMIIINNNIIISSSTTTRRRAAATTTIIIOOONNN Certains paramtres, dj renseigns dans la phase d'installation, ne sont pas abords dans ce chapitre
10.1. Comptes utilisateurs
A la diffrence des versions prcdentes, il est possible d'ouvrir l'accs la console antivirus plusieurs comptes authentifis, en leur attribuant un rle plus ou moins privilgi.
Afin de permettre l'assistance partir de notre outil de supervision centrale ( 10.9), des comptes supplmentaires
doivent tre crs :
Cliquer sur [ajouter]
Nom : crid
Nom complet : supervision SSO
Mot de passe : celui de la console
Adresse lectronique : pas d'adresse
Rle : administrateur (intgr)
Enregistrer et renouveler l'opration pour le compte "cridXX" (xx = n dpartement). Mis part le nom, les autres
paramtres sont identiques.
Dans un environnement Active Directory (serveur antivirus intgr au domaine !), il est possible d'importer des comptes et de leur attribuer un rle
10.2. Rles utilisateurs
Trois rles prtablis sont utilisables tel-quel (et non modifiables) : administrateur, invit et "power user".
Au besoin on peut crer des rles personnaliss et leur attribuer une partie de l'arborescence
10.3. Paramtres Proxy
Attention : dans cette version on trouve deux onglets ! Et le premier concerne un ventuel proxy Intranet.
En cas de modification (ou vrification) par rapport l'installation initiale, penser changer d'onglet
Rappel : en prsence d'un serveur proxy, mme s'il est configur en "proxy transparent" pour le
navigateur, il est obligatoire d'en indiquer l'adresse et le port (voir 2.5). Si le proxy filtrant ncessite une authentification, utiliser un compte spcifique au serveur.
10.4. Paramtres de connexion
On configure ici la manire dont les postes clients atteignent leur serveur (communication http). Il ne s'agit pas de l'accs la console d'administration, mais de la "socket" permettant aux clients OfficeScan de
communiquer avec leur serveur.
Dans le cas gnral et dans la mesure o le service DNS de votre rseau est oprationnel, il est prfrable d'utiliser le nom DNS (mieux : l'alias "srv-update") plutt que l'adresse IP. En cas de
changement d'adresse ou de serveur, une intervention sur le DNS vitera le reparamtrage d'OfficeScan (sur le serveur ou, pire, l'ensemble des stations !).
Le port a t choisi lors de l'installation. S'il devait tre modifi dans ce menu, il faudrait s'assurer que la modification soit aussi effectue sur le serveur web lui-mme : IIS ou Apache
Si une station ne possde pas les bons paramtres elle ne peut plus contacter son serveur. Pour viter la rinstallation du client OfficeScan il est possible d'utiliser un outil ddi ( 11 > IpXfer).
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 34 / 42
10.5. Clients inactifs
Cette option, si on l'active, permet de soulager la console OfficeScan de certains clients ne donnant plus signe de vie (les machines ayant chang de nom ou de guid, les "modles" servant au clonage par exemple).
Si on laisse le dlai par dfaut (7 jours), on risque par contre
des effets surprenants au retour des vacances ! En fonction de la stabilit du parc (machines "temporaires"), il peut donc tre augment sans remords
Remarque : les clients supprims de la console alors que la machine existe toujours seront automatiquement
restaurs ds leur retour sur le rseau.
10.6. Gestionnaire de quarantaine
Si un client dtecte une menace dans un fichier et si l'action de scan configure pour ce type de menace est l'option "mise en quarantaine", le programme client OfficeScan encode automatiquement le fichier infect,
le place dans le rpertoire "Suspect" (Program Files\Trend Micro\OfficeScan Client\SUSPECT) du client OfficeScan et l'envoie vers le dossier de quarantaine (OfficeScan\PCCSRV\Virus) du serveur.
Si le client OfficeScan n'est pas capable d'envoyer le fichier encod son serveur pour une raison
quelconque (problme rseau), le fichier encod reste dans le rpertoire "Suspect" du client. Le client essaie d'envoyer nouveau le fichier lorsqu'il peut se reconnecter au serveur OfficeScan.
On peut modifier l'emplacement du dossier de quarantaine du serveur partir du menu [clients] puis [options de scan] en slectionnant n'importe quel type de scan.
Si on dsire "sortir un fichier" de la quarantaine, un outil ddi Restore Encrypted Virus peut tre utilis. Sa procdure d'utilisation est disponible dans le menu [outils] (voir 11).
10.7. Licence du produit
Cet onglet permet de mettre jour les codes d'activation des diffrents composants d'OfficeScan lors de leur
renouvellement annuel.
Si le code n'a pas chang, il suffit d'effectuer une
"vrification en ligne" en cliquant sur le bouton [information sur la mise jour] une fois un composant
slectionn ( 3.3).
C'est aussi ici qu'on peut activer / dsactiver le module pare-feu pour l'ensemble des stations.
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 35 / 42
10.8. Paramtres de Control Manager
Afin d'enregistrer la console OfficeScan sur le serveur de supervision du rectorat, on doit renseigner les "paramtres ControlManager".
Avant toute configuration, il faut s'assurer que, de l'emplacement ou se trouve le serveur antivirus, il accde
au serveur de supervision : dans une invite CMD, lancer la commande "ping tmcm-etab.in.ac-nantes.fr"
Le nom doit tre rsolu, sur une IP "prive" du rseau 172.30.141.
Ouvrir le menu [administration] > [paramtres de Control Manager]
o Le paramtre de connexion doit indiquer
le nom de votre serveur : logiquement
"[RNE]-UPDATE" (avec [RNE] = code tablissement),
o Indiquer le serveur ControlManager : "tmcm-etab.in.ac-nantes.fr"
o Dcocher "se connecter avec https" o Remplacer le port (443) par "80"
o Ne pas indiquer de proxy
o Ne pas activer la redirection de port o Tester la connexion (bouton du mme
nom) o Valider (traduction mot mot dans
l'interface : il faut comprendre "mettre
jour les paramtres" et non "paramtres de mise jour" !).
Par la suite (le lendemain par ex.), on pourra constater le bon fonctionnement dans les journaux de mise
jour du serveur : le champ "mthode de mise jour" prend la valeur "Control Manager" en remplacement
de "Mise jour programme".
L'enregistrement auprs de la supervision permet par ailleurs une ventuelle tlmaintenance la demande par les quipes d'assistance, le renouvellement automatique des codes d'activation, des remontes
statistiques
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 36 / 42
10.9. Paramtres de la console Web
On peut ici paramtrer la frquence d'actualisation de l'affichage de la console ainsi que le dlai d'expiration de session
10.10. Sauvegarde de la base de donnes
Cette fonctionnalit est totalement intgre la console et permet de se mettre l'abri en cas de
rinstallation du serveur, pourvu que le stockage se fasse sur un emplacement rcuprable.
L'ensemble des informations clients ainsi que les paramtres de configuration sont conservs dans un dossier au choix avec cration d'un sous-dossier indiquant la date de sauvegarde.
En connaissance des pratiques locales, on peut dterminer l'horaire afin d'viter que cette sauvegarde ne tombe au mme moment qu'une autre opration programme
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 37 / 42
111111... OOOUUUTTTIIILLLSSS Les "outils OfficeScan" ont t conus pour faciliter la configuration du serveur, la gestion des clients et
certaines tches connexes. Certains outils ont t spcialement dvelopps pour rpondre aux besoins particuliers des administrateurs dOfficeScan.
Les outils sont diviss en deux catgories : ct administration et client.
Une explication dtaille est fournie pour chacun des outils.
Script de connexion :
Un des moyens de
dploiement des clients
Image Setup : A utiliser obligatoirement avant clonage de stations !
IpXfer :
En cas de migration de serveur ou de pb de
connexion client / serveur
Client packager : Permet de crer des
"packages d'installation" excutables ou msi.
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 38 / 42
111222... IIINNNSSSTTTAAALLLLLLAAATTTIIIOOONNN DDDEEESSS CCCLLLIIIEEENNNTTTSSS
12.1. Mthodes d'installation
Il existe plusieurs moyens permettant d'installer des clients OfficeScan. Chacun rpond des conditions
d'utilisation bien dfinies :
Par le partage de fichiers : ouvrir le partage "ofcscan" du serveur. Dans celui-ci lancer
l'excutable Autopcc.exe
Dans un domaine Active Directory, il est possible d'automatiser ce dploiement l'aide d'un script de
connexion (document dans les "outils client").
o Sa mise en uvre est guide par un assistant du menu_dmarrer/officescan/ du serveur
o Il suffit d'attribuer le script un ou plusieurs
utilisateurs du domaine. o A chaque ouverture de session, l'installation est automatiquement lance par ce script. Il faut donc
viter de l'attribuer tous les utilisateurs ( leur insu), ceux-ci pouvant l'interrompre et le
fonctionnement de la station tant logiquement ralenti pendant la dure de l'installation.
Il est possible de procder une installation distance (menu [ordinateurs en rseau] > [installation du client] > [distant]) mais cette mthode utilisant RPC impose quelques contraintes :
o le "partage simple" ne doit pas tre activ sur les stations
o le mot de passe du compte "administrateur local" des machines doit tre renseign,
Enfin, autre solution : le mode http. Sur chaque station, saisir l'adresse : https://[nom_du_serveur:port]/officescan/console/html/ClientInstall/WhichPlatform.htm
Cette dernire mthode s'excute en "interactif" ; il faut valider plusieurs fentres et autoriser les contrles activeX. Sur les OS depuis Vista, le navigateur (IE) doit de plus tre lanc en tant qu'administrateur !
Dans le cas ou un antivirus "concurrent" est prsent sur la station, OfficeScan se charge de sa dsinstallation
automatique mais il existe quelques cas ou c'est impossible (le programme vous le signale). Il vous faudra alors procder sa dsinstallation manuellement.
12.2. Vrification de l'installation
Une fois l'installation termine, la prsence de l'icne "client OfficeScan" dans la barre des tches de la
station permet de confirmer que tout est OK. Dans le mme temps, le client apparat dans la console.
Attention : chaque client OfficeScan possde un identifiant unique "GUID". Si vous dployez des stations par "clonage" aprs installation du client OfficeScan, l'unicit de guid
OfficeScan sur le rseau n'est plus respecte : les clients ne sont pas reconnus individuellement par leur
console, ne peuvent pas informer le serveur des infections dont ils sont victimes et ne sont pas notifis des
mises jour. Ceci n'est bien entendu pas le but recherch !!!
Pour remdier ce problme :
OS 2000 / 2003 / XP : un excutable spcifique doit tre utilis avant clonage. Les dtails de la procdure sont indiqus dans le menu [outils] [outils clients] [Image_Setup_Utility] ( 11).
OS Vista / 7 / 2008 : l'outil imgsetup n'est pas compatible mais il suffit de lancer une "vrification de la connexion" dans le menu "ordinateurs en rseau" de la console
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 39 / 42
111333... AAANNNNNNEEEXXXEEESSS
13.1. Migration vers OfficeScan 10.x
Dans le cas ou on dsire effectuer la mise jour d'un parc existant, en version OfficeScan 8.x minimum ( la dernire version de patch de prfrence), plusieurs possibilits sont offertes, en fonction de la situation
en cours, des moyens (matriels et humains) disponibles et du rsultat attendu.
ATTENTION : quelle que soit la mthode utilise, la mise jour du client antivirus risque d'impacter les
ressources du poste, voire d'entraner une gne de l'utilisateur ; un redmarrage est souvent ncessaire
13.2. Premier cas :
Constats :
o la console actuelle fonctionne de manire satisfaisante,
o la machine qui l'hberge rpond aux pr-requis matriels / logiciels, o le parc de stations est relativement rduit,
o le serveur lui-mme est en "bon tat", stable, et ne ncessite pas de remise en question ou rinstallation,
o ou alors il hberge une (des) application(s) sensible(s), un domaine Active Directory On peut, dans ce cas, effectuer une simple mise jour du serveur en lanant le "setup"
directement (installation "par dessus").
Il n'est, par contre, pas superflu de prendre les prcautions lmentaires de sauvegarde, l'aide de l'outil intgr "Database Backup".
Avantages : Inconvnients :
simple mettre en uvre, conserve les ventuelles "pollutions" existantes conserve la plupart des
paramtrages de la console,
mais les nouvelles fonctionnalits entranent de toute faon des
rglages supplmentaires.
n'entrane logiquement pas
"d'interruption du service".
la mise jour du programme sur les stations s'effectue, dans la
(grande) majorit des cas, sans problme mais certaines configurations y sont rfractaires ! Il faut donc surveiller de prs l'tat du parc, rectifier par des mises jour manuelles, au pire
effcetuer une dsinstallation / rinstallation du client. Au minimum un redmarrage des clients est ncessaire
ATTENTION :
Dans tous les cas, il faudra prendre les dispositions en fonction de votre stratgie de "masterisation". En clair, avant de mettre jour l'antivirus sur les stations possdant une image (locale ou sur
serveur), il est prfrable de : - restaurer l'image de la station (pourvu que les mises jour d'images aient t bien gres), - effectuer la mise jour de l'antivirus (de certaines applications et de l'OS en cas de besoin), - sur XP ou 2000 lancer l'utilitaire ImgSetup avant d'teindre la station ( 11) - effectuer enfin la mise jour de l'image locale (et de celle stocke sur le serveur le cas chant).
Dans le cas contraire, le client OfficeScan n'tant pas la mme version que son serveur, il sera remis jour aprs chaque restauration, ceci entranant une occupation inutile des ressources machine et rseau. D'autre part, si le nom de serveur change (valeur indique dans aide > propos > nom du serveur / port), le
client OfficeScan peut tre inoprant. Ce problme est contourn si on utilise ds le dpart un alias DNS
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 40 / 42
13.3. Deuxime cas :
Constats : o une rinstallation du serveur (ou un serveur ddi l'antivirus / WSUS) se justifie,
o le parc est important et ne peut, pour des raisons de prudence ou de charge de travail, tre mis
jour en une seule fois, Dans ce cas, une nouvelle installation de la console OfficeScan est prfrable. Les avantages /
inconvnients sont alors permuts par rapport au 1er cas
On pourra procder dans cet ordre :
13.3.1. prparation :
o sauvegarde du serveur d'origine (comme l'habitude, rien de particulier !-),
o nettoyage ventuel des clients ne se mettant plus jour, des stations infectes o sauvegarde de la base de donnes OfficeScan (administration > sauvegarde > sauvegarder
maintenant) et des paramtres clients.
13.3.2. installation :
o installation d'OfficeScan 10.x sur un serveur indpendant. Ce serveur pouvant tre transitoire, on
peut utiliser toute machine rpondant aux pr-requis matriels / logiciels, o paramtrage complet de la nouvelle console serveur,
o migration (plus ou moins progressive) des clients et des serveurs, manuellement dans la console
ou automatiquement, par script (voir un exemple au 13.1.4) o vrification du bon fonctionnement gnral et des mises jour des clients.
13.3.3. post-installation :
o retour ventuel des clients sur le serveur initial, aprs dsinstallation de l'ancienne console et
installation de la version 10.
Pour illustrer le propos :
REMARQUE : la migration des clients entre deux consoles OfficeScan peut s'effectuer simplement
partir de la console du serveur initial :
o menu clients > slectionner les machines en ligne (impossible de slectionner les groupes), o cliquer sur [grer l'arborescence client] > [dplacer clients] puis choisir le bouton "Dplacer le ou
les clients slectionns vers un autre serveur OfficeScan", o indiquer le nom (ou l'IP) du nouveau serveur et son port (8080 par dfaut).
o Les clients apparaissent progressivement sur la nouvelle console
Rdacteur : Christian Le Breton Projet : Antivirus tablissement
Date de Mise Jour : 14/03/2012 Version : 1.1
AC Nantes\DSI\D2\CTRE : Prconisations Acadmiques Page : 41 / 42
Si cette mthode permet une migration progressive, elle prsente quelques inconvnients :
o elle ne prend en compte que les postes "en ligne" : on peut rpter l'opration jusqu' puisement des postes "hors ligne", au fur et mesure
qu'ils se connectent, les clients itinrants ne seront malheureusement jamais touchs par cette procdure pas plus que les postes administratifs (s'ils sont "hors ligne" dans la console).
o le port d'coute client n'est pas systmatiquement modifi (et gnralement diffrent du 8000).
Pour finaliser la migration, on doit donc faire appel l'outil "IpXfer" document dans le menu "outils client" :
o copier IpXfer.exe dans un dossier local des stations et excuter la commande : "