Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (Microsoft Intune, ConfigMgr, Microsoft Defender, Microsoft Purview, Microsoft Azure, Windows...)

4. Administration

 

 4.3 Gestion des opérations

Le quotidien des administrateurs est rythmé par la gestion du parc. Ceci passe par les différentes tâches permettant d’assurer qu’aucune menace n’est actuellement présente sur le réseau. Ainsi Forefront EndPoint Protection 2010 propose différents mécanismes permettant de lancer ponctuellement ou de manière programmé des opérations comme :

  • Analyse rapide
  • Analyse complète
  • Mise à jour des définitions

Pour rappel, la programmation des analyses doit se faire au travers des stratégies appliquées sur les clients. Néanmoins, il est possible de lancer des stratégies programmées à travers un programme (script).

Nous verrons dans cette partie comment lancer des opérations programmées ou ponctuelles.

 

 4.3.1 Création d’opérations programmées

Comme vous avez pu le voir précédemment, Forefront EndPoint Protection se base sur les mécanismes offerts par System Center Configuration Manager. Les opérations sont ainsi symbolisées par un package contenant un script. Ce sont ensuite des programmes avec la ligne de commande et les commutateurs spécifiques qui vont permettre d’exécuter l’opération voulue.

On peut ainsi utiliser les mécanismes de System Center Configuration Manager en construisant des collections qui seront ciblées par des programmations récurrentes afin de publier les opérations souhaitées.

Attention ! Ce mode opératoire n’est à utiliser que pour des cas particuliers. Dans la majorité des cas, il est conseillé de configurer des opérations/analyses programmées en utilisant les stratégies appliquées aux clients.

Commencez par créer une arborescence de collections qui serviront à accueillir les différents clients et les publications :

 

Créez ensuite une publication pour l’opération que vous souhaitez attribuer. Pour cela, ouvrez la console d’administration et déroulez l’arborescence Site Database => Computer Management => Software Distribution => Packages => Microsoft Corporation FEP – Operations => Programs.
Cliquez droit sur le programme associé à l’opération que vous souhaitez publier et sélectionnez Distribute puis Software :

 

L’assistant de création de la publication s’ouvre. Passez l’écran de bienvenue et sur l’écran suivant sélectionnez ou créez la collection cible de l’opération :

 

Sur la page Advertisement Name, entrez le nom donné à la publication en cours de création :

 

Sur l’écran Advertisement Subcollection, choisissez si la publication doit se propager au sous collections :

 

A l’étape Advertisent Schedule, choisissez la date de mise à disposition et d’expiration de la publication :

 

A la page Assign Program, cochez la case « Yes, assign the program » et spécifiez l’erreur et les options d’exécution du programme :

 

Validez l’écran de résumé pour procéder à la création et fermez l’écran de confirmation.

Vous pouvez ensuite modifier les propriétés de la publication pour programmer une récurrence.

 

 4.3.2 Attribution d’opérations ponctuelles

Forefront EndPoint Protection 2010 offre la possibilité de lancer des opérations ponctuelles sur les clients en fonction des besoins d’administration. Imaginez le scénario suivant : Vous êtes averti par une alerte qu’un logiciel malveillant a été introduit sur le parc. Celui-ci est une sévérité extrêmement rare. Vous souhaitez donc lancer une analyse complète sur l’ensemble des postes de travail. La fonctionnalité d’opérations ponctuelles va vous aider dans cette tâche.

 

Pour cela, ouvrez la console d’administration et déroulez l’arborescence Site Database => Computer Management => Collections => All systems. Sélectionnez les postes sur lesquels vous souhaitez lancer l’opération et cliquez droit. Sélectionnez ensuite FEP Operations puis l’opération que vous souhaitez exécuter parmi l’analyse rapide, complète, ou encore la mise à jour des définitions.

 

Une fenêtre s’affiche vous informant que l’opération a été programmée. Pour cela, une publication et collection ont été créées pour accueillir les machines cibles et l’opération.

 

La publication a été créée dans le dossier FEP Operations de l’arborescence Site Database => Computer Management => Software Distribution => Advertisments :

 

Une collection portant le nom <OPERATION> at <DATE_DE_LANCEMENT> est créée dans la collection Operations de l’arborescence : Site Database => Computer Management => Collections => FEP Collections :

 

A l’issue de cette création, l’opération démarre dès que la publication est reçue par le client SCCM :

 

Celui-ci lance un script VBS : « AmRemediation » :

 

 

Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx

Facebook Like