4. Administration
Les tâches d’administration du produit passent par différentes composantes comme la gestion des stratégies s’appliquant aux clients, la gestion des mises à jour, la gestion des opérations de maintenance, la gestion des alertes, ou la surveillance de l’état de l’infrastructure au travers des rapports. Cette partie vous permettra d’aborder tous ces concepts.
4.1 Gestion des stratégies (Policies)
La gestion des stratégies est la tâche la plus importante qu’un administrateur doit opérer sur l’infrastructure FEP. Les stratégies (Policies) sont un ensemble d’éléments/paramétrages s’appliquant au client Forefront EndPoint Protection. Elles permettent de régir le comportement du client. On retrouve ainsi la gestion :
-
De la programmation des scans
-
De la protection en temps réel
-
Des notifications,
-
Des actions face à une menace
-
Des exceptions (fichiers, types de fichiers, processus…)
-
Les répertoires ou fichiers exclus de la recherche
Pour visualiser les stratégies, ouvrez la console d’administration Configuration Manager. Déroulez l’arborescence Site Database => Computer Management => Forefront EndPoint Protection => Policies.
4.1.1 Les stratégies par défaut
Forefront EndPoint Protection fournit deux stratégies par défaut s’appliquant à tous les clients :
-
Default Server Policy s’applique à toutes les machines de type serveur. Elle est appliquée au travers d’une publication (Assign FEP policy Default Desktop Policy) sur la collection Deployed Servers.
-
Default Desktop Policy s’applique à toutes les stations de travail. Elle est appliquée au travers d’une publication (Assign FEP policy Default Server Policy) sur la collection Deployed Desktops.
Vous ne pouvez pas supprimer les stratégies par défaut et ce afin d’assurer le bon fonctionnement de l’infrastructure. De cette façon, une stratégie est toujours appliquée à un client FEP. Vous pouvez néanmoins facilement éditer les propriétés de la stratégie pour modifier les différents paramètres.
Il est conseillé de ne pas les modifier car celles-ci ont été construite comme un standard s’appliquant aux deux types de profil. Si vous souhaitez appliquer des paramètres spécifiques, vous pouvez créer une nouvelle stratégie (Policy) qui prendra le dessus sur la stratégie par défaut.
Nous n’allons pas détailler ici écran par écran les différents paramétrages. Néanmoins, vous pouvez trouver des tableaux regroupant les principales différences entre les deux stratégies.
Note : Nous détaillerons la signification de chaque paramètre lors de la création des stratégies personnalisées.
Voici les paramétrages pour chacune des stratégies par défaut en ce qui concerne les analyses programmées :
|
Scheduled Scans (params) |
Default Desktop Policy |
Default Server Policy |
|
Activé |
Oui |
Non |
|
Type d’analyse |
Analyse Hebdomadaire rapide |
Aucune |
|
Programmation (Jour) |
Samedi |
- |
|
Programmation (heure) |
03h00 |
- |
|
Vérification des mises à jour avant de démarrer l’analyse |
Oui |
- |
|
Analyse uniquement quand l’ordinateur n’est pas utilisé |
Oui |
- |
|
Randomiser le démarrage de l’analyse programmée (intervalle de 30 min) |
Oui |
- |
|
Force une analyse lors du démarrage du poste si plus de deux analyses ont été manquées |
Non |
- |
|
Limite l’utilisation CPU durant les analyses |
Oui (50%) |
Oui (30%) |
|
Autorise l’utilisateur à configurer l’usage processeur pour les analyses |
Non |
Non |
|
Contrôle de l’utilisateur sur les analyses programmées |
Aucun contrôle |
Aucun contrôle |
Le tableau suivant récapitule les actions utilisées par défaut lors de la découverte d’une menace :
|
Default Actions (params) |
Default Desktop Policy |
Default Server Policy |
|
Sévère |
Utilise l’action recommandée |
Utilise l’action recommandée |
|
Haute |
Utilise l’action recommandée |
Utilise l’action recommandée |
|
Moyenne |
Mise en quarantaine |
Mise en quarantaine |
|
Faible |
Autorise |
Autorise |
Ce tableau rassemble les paramètres des deux stratégies par défaut en ce qui concerne la protection en temps réel :
|
Real-time protection (params) |
Default Desktop Policy |
Default Server Policy |
|
Activée |
Oui |
Oui |
|
Analyse des fichiers système |
Analyse des fichiers entrants et sortants |
Analyse des fichiers entrants et sortants |
|
Analyse tous les fichiers téléchargés et pièces jointes |
Oui |
Non |
|
Utilise la supervision du comportement |
Oui |
Oui |
|
Active la protection contre les exploits réseau |
Oui |
Non |
|
Autorise l’utilisateur à configurer les paramétrages de la protection en temps réelle |
Non |
Oui |
Vous trouvez ci-dessous trois tableaux regroupant les exclusions de répertoires, de fichiers, de types de fichiers et de processus pour les stratégies par défaut :
|
Excluded files and locations |
Default Desktop Policy |
Default Server Policy |
|
%windir%\SoftwareDistribution\ Datastore |
Datastore.edb Res*.jrs Edb.chk Tmp.edb |
Datastore.edb Res*.jrs Edb.chk Tmp.edb |
|
%windir%\Security\Database |
*.edb, *.sdb, *.log *.chk, *.jrs |
*.edb, *.sdb, *.log *.chk, *.jrs |
|
%ALLUSERSPROFILE%\NTuser.pol |
Oui |
Oui |
|
%SystemRoot%\system32\ GroupPolicy\registry.pol |
Oui |
Oui |
|
Excluded files types |
Default Desktop Policy |
Default Server Policy |
|
|
Aucun |
Aucun |
|
Excluded processes |
Default Desktop Policy |
Default Server Policy |
|
|
Aucun |
Aucun |
Voici les différences entre les deux stratégies en ce qui concerne les paramétrages avancés du client Forefront EndPoint Protection :
|
Advanced |
Default Desktop Policy |
Default Server Policy |
|
Analyse des fichiers archivés |
Oui |
Oui |
|
Analyse des lecteurs réseau lors des analyses complètes |
Non |
Non |
|
Analyse des périphériques de stockage amovibles (Clé USB…) |
Non |
Non |
|
Créer un point de restauration système avant de nettoyer l’ordinateur |
Non |
Non |
|
Afficher un message de notification à l’utilisateur lorsque une opération (analyse complète, téléchargement de définitions…) est nécessaire |
Non |
Non |
|
Suppression des fichiers en quarantaine |
Non |
Non |
|
Autorise l’utilisateur à configurer la période de suppression automatique des fichiers en quarantaine |
Non |
Non |
|
Autorise l’utilisateur à exclure des répertoires, fichiers, type de fichiers et processus |
Non |
Oui |
|
Overrides |
Default Desktop Policy |
Default Server Policy |
|
|
Aucun |
Aucun |
Ce tableau résume les différences en ce qui concerne Microsoft SpyNet :
|
Microsoft SpyNet |
Default Desktop Policy |
Default Server Policy |
|
Activé |
Oui |
Oui |
|
Abonnement |
Basic |
Basic |
|
Autorise l’utilisateur à changer les paramétrages SpyNet |
Non |
Non |
Le tableau Updates regroupe les paramétrages de mises à jour du client pour les deux stratégies :
|
Updates |
Default Desktop Policy |
Default Server Policy |
|
Vérification des définitions (intervalle) |
Toutes les 8 heures |
Toutes les 8 heures |
|
Force la mise à jour des définitions si celle-ci a échoué il y a |
1 jour |
1 jour |
|
Mise à jour à partir d’un partage de fichier |
Non |
Non |
|
Mise à jour à partir de WSUS ou SCCM |
Oui |
Oui |
|
Mise à jour à partir de Microsoft Update |
Oui |
Oui |
Voici un récapitulatif des paramétrages de gestion du Firewall Windows pour les deux stratégies par défaut :
|
Windows Firewall |
Default Desktop Policy |
Default Server Policy |
|
Gestion de Windows Firewall |
Activée |
Desactivée |
|
Réseau Domaine : |
|
|
|
Etat du Firewall |
Activé |
- |
|
Connexions entrantes |
Bloquées |
- |
|
Affichage d’une notification |
Oui |
- |
|
Réseaux Privés : |
|
|
|
Etat du Firewall |
Activé |
- |
|
Connexions entrantes |
Bloquées |
- |
|
Affichage d’une notification |
Oui |
- |
|
Réseaux Publics : |
|
|
|
Etat du Firewall |
Activé |
- |
|
Connexions entrantes |
Bloquées |
- |
|
Affichage d’une notification |
Oui |
- |
4.1.2 Création de stratégies personnalisées
Après avoir décortiqué les stratégies par défaut fournies avec Forefront EndPoint Protection, nous allons entrer dans le vif du sujet et voir comment créer une stratégie personnalisée. Nous détaillerons dans cette partie l’ensemble des étapes de création et d’édition. Vous trouverez ici la définition de chaque paramètre.
Pour créer votre stratégie (Policy) personnalisée, ouvrez la console d’administration Configuration Manager. Déroulez l’arborescence Site Database => Computer Management => Forefront EndPoint Protection => Policies. Cliquez droit sur le nœud Policies et sélectionnez New Policy :
L’assistant de création d’une stratégie s’ouvre. Nous allons créer une stratégie personnalisée qui s’appliquera à tous les ordinateurs portables (profils itinérants, commerciaux, consultants…). Entrez le nom de la stratégie et la description :
Sur l’écran Policy Type, vous devez choisir le type de stratégie que vous souhaitez créer. Les différentes options proposées sont des modèles qui vous permettront d’adapter la stratégie au besoin émis. On retrouve ainsi 4 types principaux :
-
Standard desktop policy : fournit des paramétrages pour les postes de travail standard. Une analyse rapide a lieu par semaine et l’utilisation du processeur est limitée à 50%
-
High-security Policy : Cette stratégie donne un niveau de sécurité maximum en incluant des analyses rapides tous les jours et une analyse complète par semaine. L’utilisation processeur n’est pas limitée et la configuration du Firewall est optimisée pour éviter les intrusions.
-
Performance optimized policy : Cette stratégie offre une configuration permettant une protection sécurité minimale tout en offrant un niveau de performance maximum. L’usage processeur est limité à 30% et une analyse rapide a lieu toutes les semaines.
-
Policy template : Cette option permet de sélectionner des modèles de sécurité pour des cas bien particuliers comme des rôles serveurs. Les modèles incluent ainsi des paramétrages spécifiques aux rôles comme des exclusions de fichiers ou de processus. Voici la liste des modèles offerts :
-
Microsoft SQL Server 2005
-
Microsoft SQL Server 2008
-
Internet Information Services (IIS) 6 et 7
-
System Center Configuration Manager 2007
-
Microsoft Exchange Server 2007/2010
-
FEP Exchange et Microsoft Forefront Protection 2010 for Exchange Server (FPE)
-
Microsoft SharePoint 2010
-
Microsoft Office SharePoint® Server 2007 et Microsoft Forefront Protection 2010 for SharePoint (FPSP)
-
Domain Controller
-
Microsoft Hyper-V (host)
-
Terminal Services
-
DNS Server
-
DHCP Server
-
File Services
-
System Center Operations Manager 2007
-
Server (stratégie par défaut recommandée par Microsoft pour des serveurs)
-
Nous aborderons plus tard dans cette partie la création d’une stratégie dédiée à un rôle serveur.
Sélectionnez le type de stratégie « Standard desktop policy » puis passez à l’écran suivant :
Sur l’écran Scheduled Scans, vous pouvez choisir de programmer des analyses en cochant « schedule type and time of scan ». Vous pouvez sélectionner le type et la fréquence des analyses en choisissant :
-
Une analyse rapide par semaine
-
Une analyse complète par semaine
-
Une analyse rapide par jour
-
Une analyse complète par jour
-
Une analyse rapide par jour et une analyse complète par semaine.
Vous devez ensuite choisir la programmation (jour et heure) de ces analyses.
La page suivante permet d’ajouter des exclusions à l’analyse. Par défaut, on retrouve les exclusions habituelles du dossier Software Distribution. Il peut être intéressant d’exclure certains fichiers comme des bases de données afin d’optimiser le fonctionnement de certains programmes.
A l’étape Updates, vous pouvez spécifier les différentes méthodes utilisées pour mettre à jour le client Forefront et déployer les nouvelles définitions antivirales. Vous pouvez ainsi :
-
Autoriser la mise à jour en utilisant un chemin réseau (UNC)
-
Autoriser la mise à jour via SCCM ou WSUS (coché par défaut)
-
Autoriser la mise à jour à partir de Microsoft Updates (coché par défaut)
L’écran Client Configuration permet de configurer les interactions entre l’utilisateur et le client. Vous pouvez ainsi choisir de laisser l’utilisateur configurer la protection en temps réel ou encore les programmations d’analyse. Vous pouvez aussi cocher « Show notification messages to users on … » pour afficher des notifications à l’utilisateur lorsque des actions sont nécessaires. Ceci peut se caractériser par le lancement d’une analyse complète ou le téléchargement des dernières définitions de virus et de logiciels malveillants.
Validez l’écran de résumé pour procéder à la création de la stratégie :
Une fois créée, on retrouve notre stratégie dans la liste des stratégies disponibles :
Maintenant que la stratégie est créée, je vous propose de rentrer plus en détail dans les paramétrages offerts par ces stratégies. Pour cela dans l’arborescence Site Database => Computer Management => Forefront EndPoint Protection => Policies, cliquez droit sur la stratégie et choisissez Properties
Une fois la fenêtre des propriétés ouverte, on se retrouve dans l’onglet General. Cet onglet présente le nom et la description de la stratégie. Vous pouvez y retrouver les collections qui se voient assigner la stratégie.
On retrouve aussi la date de création et de modification ainsi que le numéro de version de la stratégie. Le numéro de version est incrémenté à chaque fois que la stratégie est modifiée.
Ouvrez l’onglet Antimalware. Dans la partie Scheduled scans, on retrouve les paramétrages suivants :
-
Schedule type and time of scan : Ce paramétrage permet d’activer l’analyse du poste de travail et configure ainsi le type d’analyse et la programmation
-
Scan type : permet de configurer le type d’analyse parmi les choix suivants :
-
Une analyse rapide par semaine
-
Une analyse complète par semaine
-
Une analyse rapide par jour
-
Une analyse complète par jour
-
Une analyse rapide par jour et une analyse complète par semaine.
-
-
Scan Time offre la possibilité de configurer l’heure à laquelle doit avoir lieu l’analyse journalière
-
Weekly scan donne deux champs permettant de configurer le jour et l’heure à laquelle doit avoir lieu l’analyse hebdomadaire.
-
Check for definition updates before starting a scan permet de vérifier les mises à jour de definition avant de lancer une analyse.
-
Scan only when the computer is not in use : Cette option permet de lancer une analyse uniquement lorsque la machine n’est pas utilisée par une personne. Elle utilise pour cela le temps d’inactivité déjà utilisé pour lancer l’économiseur d’écran.
-
Randomize scheduled scan start times : Ce paramètre s’il est activé permet de lancer l’analyse dans un intervalle de temps aléatoire compris entre la date de programmation et les 30 prochaines minutes. Cette option permet d’éviter que tous les postes de travail ciblés par la stratégie démarrent en même temps l’analyse.
-
Force a scan upon restart when two or more scheduled scans are missed : Cette option permet de forcer l’analyse au démarrage lorsque deux ou plusieurs analyses programmées ont été ratées. Ceci est très pratique si le poste de travail a été hors ligne (éteint, en veille…) pendant une période plus ou moins longue.
-
Limit processor usage during scans to the following percentage : permet de limiter l’usage processeur alloué à l’analyse du poste de travail à un pourcentage maximum.
-
Allow users on endpoint computers to configure processor usage limits for scans : Cette option donne le droit à l’utilisateur de configurer lui-même la limite d’usage du processeur alloué à l’analyse.
-
User’s control on scheduled scans : Cette option permet de régir le contrôle que peut avoir l’utilisateur sur les analyses programmées. On retrouve les options suivantes :
-
Aucun contrôle
-
Autorise le changement de l’heure d’analyse seulement
-
Contrôle total : Autorise l’activation, la désactivation ou le paramétrage du type et de la programmation de l’analyse.
-
Dans la partie Default actions, on retrouve les paramétrages liés aux actions par défaut face à des niveaux de menaces détectés. Ces niveaux de menace (sévère, haute, moyenne ou faible) sont déterminés par Microsoft en fonction de la sévérité de celle-ci :
-
Action recommandée par Microsoft : Ce paramétrage peut potentiellement procéder à tous les scénarios d’action.
-
Remove : Cette action supprime la menace.
-
Quarantaine : Cette action met en quarantaine la menace
-
Allow (Autorise) : Cette action autorise la menace.
La partie Real-time protection rassemble les options concernant le module de protection en temps réel :
-
Enable real-time protection permet d’activer la protection en temps réelle
-
Scan system files : Cette option permet de définir quels fichiers système vous souhaitez analyser. (Par défaut l’option analyse les fichiers entrants et sortants)
-
Scan all downloaded files and attachments : Cette option permet d’analyser tous les fichiers téléchargés ou toutes les pièces jointes reçues en temps réel.
-
Use behavior monitoring : permet d’activer la supervision des comportements. Ce mécanisme est utilisé par Forefront pour surveiller le comportement du système pour bloquer les menaces inconnues.
-
Enable protection against network-based exploits : Ce paramètre active la protection contre les attaques par le réseau.
-
Allow users on endpoint computers to configure real-time protection settings : autorise l’utilisateur à modifier les paramétrages de la protection en temps réel.
L’écran Excluded files and locations permet d’ajouter des exceptions à l’analyse faite par Forefront EndPoint Protection pour éviter que certains fichiers ou répertoires soient analysés. Ceci peut permettre d’améliorer les performances de certaines applications (par exemple dans le cadre de bases de données) mais augmente le risque des machines.
L’écran Excluded file types permet d’ajouter des exceptions pour certains types de fichiers.
L’écran Excluded processes permet d’ajouter des exceptions pour certains processus afin d’éviter d’interférer avec le comportement de certaines applications et rendre l’exécution plus performante.
La partie Advanced offre des paramétrages supplémentaires :
-
Scan archived files : Cette option permet d’analyser les fichiers archivés
-
Scan network drives when running a full scan : Ce paramétrage permet d’analyser les lecteurs réseau lorsqu’une analyse complète est lancée.
-
Scan removable storage devices : Cette option permet de procéder à l’analyse des périphériques de stockage amovibles (Clé USB…).
-
Create a system restore point before cleaning computers : Ce paramètre permet de créer un point de restauration système avant toute tentative de nettoyage de la machine si une menace a été détectée.
-
Show notification messages to users on endpoint computers when they need to perform the following actions : Cette option permet d’afficher des notifications à l’utilisateur lorsqu’il est nécessaire de procéder à des analyses complètes, aux téléchargements des mises à jour de définitions antivirales
-
Delete quarantined files after : permet de supprimer automatiquement les fichiers mis en quarantaine après une période donnée.
-
Allow users on endpoint computers to configure quarantined delete period : Cette option donne le droit à l’utilisateur de modifier la période de suppression automatique des fichiers en quarantaine.
-
Allow users on endpoint computers to exclude files and locations, file types, and processes : Ce paramètre donne le droit à l’utilisateur de modifier les exceptions de fichiers, répertoires, types de fichiers, et processus.
La partie Overrides permet de spécifier des exceptions permettant d’outrepasser le comportement des actions recommandées. Vous pouvez ainsi pour certaines menaces (vous trouverez la liste sur : http://www.microsoft.com/security/portal/Threat/Encyclopedia/Browse.aspx), spécifiez des actions particulières qui prendront le dessus sur l’action recommandée.
L’écran de configuration Microsoft SpyNet permet de configurer l’abonnement à SpyNet. Vous pouvez ainsi désactiver l’abonnement ou choisir le type. L’option « Allow users on endpoint computers to change SpyNet settings » autorise l’utilisateur final de modifier lui-même les paramètres de SpyNet.
L’onglet Updates offre différents paramétrages permettant de modifier le comportement de mis à jour du client :
-
Vous pouvez ainsi choisir à quelle fréquence vous souhaitez que le client procède à la vérification des mises à jour de définition. Ceci peut avoir lieu à heure fixe ou à intervalle régulier en heure.
-
Force a definition update when definition updates have failed : Ce paramètre permet de forcer la mise à jour des définition si une mise à jour de définition a échoué à un intervalle de jour configuré.
-
Vous pouvez ensuite choisir par quel moyen le client Forefront EndPoint Protection pourra récupérer ses mises à jour de définition :
-
En utilisant un chemin réseau
-
En utilisant la distribution des mises à jour par SCCM ou WSU
-
En utilisant Microsoft Updates
-
-
Enfin vous pouvez spécifiez les chemins réseau si vous avez choisi cette méthode de mise à jour.
L’onglet Windows Firewall permet de spécifier les paramètres de configuration influant sur le firewall Windows.
-
Manage Windows Firewall permet d’activer la gestion du firewall par le client Forefront.
Cette option déverrouille la configuration des options suivantes pour les différents types de réseau (domaine, privé, public) :-
Etat du firewall : Cette option permet d’activer/désactiver le firewall en fonction du réseau
-
Incoming connections : permet de spécifier le comportement du firewall face aux connexions entrantes (bloquées…)
-
Display a notification permet d’afficher des notifications lorsqu’une exception doit être enregistrée.
-
4.1.3 Création d’une stratégie basée sur un modèle pour un rôle serveur
Nous avons vu comment créer une stratégie personnalisée assez standard basée sur les types disponibles. Ceux-ci se prêtent principalement à une utilisation pour les postes de travail. Microsoft propose néanmoins des modèles spécifiques aux serveurs et aux différents rôles et produits qu’ils peuvent héberger.
Nous allons créer une stratégie à destination des serveurs de site System Center Configuration Manager. Celle-ci devra prendre en considération les différents mécanismes des serveurs cibles.
Procéder à la création d’une nouvelle stratégie. Une fois l’assistant ouvert, entrez le nom de la stratégie et sa description.
Sur l’écran Policy Type, cochez « Policy template » et choisissez le modèle « FEP Configuration Manager 2007 including Defaults » :
Validez l’écran de résumé pour procéder à la création :
Une fois créée, nous pouvons éditer cette stratégie spécifique au produit System Center Configuration Manager 2007. Nous pouvons remarquer dans les paramétrages Antimalware => Excluded files and Locations qu’il y a de nombreuses exclusions associées au chemin d’installation de System Center Configuration Manager :
Ces modèles sont un bon moyen d’adapter facilement le comportement du client Forefront EndPoint Protection au rôle et produits sur lequel il est installé.
4.1.4 Assignation d'une stratégie personnalisée
Après avoir créé nos stratégies, nous allons pouvoir les assigner aux clients Forefront cibles de la configuration. La première étape consiste à créer les collections et l’arborescence des collections nécessaires à votre infrastructure. Vous pouvez créer les collections au niveau de FEP Collections => Deployment Status => Deployment Succeeded. Pour plus de clarté, j’ai créé une arborescence séparée et totalement dédiée à l’application des stratégies personnalisées :
Ce découpage est bien entendu présenté à titre indicatif ; vous êtes libre d’organiser celles-ci selon vos besoins.
Pour assigner une stratégie, rendez-vous dans la console d’administration Configuration Manager et déroulez l’arborescence Site Database => Computer Management => Forefront EndPoint Protection => Policies. Cliquez droit sur la stratégie que vous souhaitez déployer et sélectionnez « Assign Policy… » :
Une fenêtre s’ouvre. Celle-ci permet d’ajouter des collections qui seront la cible de la stratégie. Cliquez sur « Add… » pour les ajouter. Vous pouvez ensuite cocher la case « Include subcollections » si vous souhaitez que la publication se propage aux sous-collections :
Une fois ajoutée, nous pouvons voir que la publication est assignée à la collection que nous avons choisie :
4.1.5 Edition de la priorité
Un client Forefront EndPoint Protection peut se voir attribuer plusieurs stratégies mais il n’en appliquera qu’une seule. Un client se voit toujours attribué au moins une stratégie. Les deux stratégies par défaut ne peuvent être supprimées pour cette raison et assure ainsi un « service minimum » sur les nouveaux clients.
Afin de pouvoir au mieux gérer l’application d’une et une seule stratégie sur chaque client ; celles-ci se voient attribuer une priorité. Cette priorité permet au client de s’avoir quelle stratégie doit s’appliquer si plusieurs lui sont proposées. Plus le numéro de priorité est faible ; moins la stratégie est prioritaire. Ainsi si un client se voit attribuer une stratégie avec un numéro de priorité 15 et la stratégie par défaut (priorité 1) ; ce sera bien la stratégie avec la priorité 15 qui sera appliquée.
Les deux stratégies par défaut ont la propriété la plus faible (respectivement 1 pour la stratégie poste de travail et 2 pour les serveurs).
Note : Lors de la création d’une nouvelle stratégie, celle-ci se voit assigner la priorité maximale.
Il est possible d’éditer la priorité des stratégies. Pour cela, ouvrez la console d’administration et déroulez l’arborescence Site Database => Computer Management => Forefront EndPoint Protection => Policies. Cliquez droit sur le nœud Policies et sélectionnez « Edit Policy Precedence… » .
Une fenêtre s’ouvre afin de vous permettre de déplacer vers le haut (en donnant une priorité supérieure) ou vers le bas (en donnant une priorité inférieure) chaque stratégie.
Veuillez noter qu’il n’est pas possible de modifier la priorité des stratégies par défaut.
4.1.6 Récapitulatif des paramétrages de chacun des types de stratégie
Voici les paramétrages pour chacun des types de stratégie en ce qui concerne les analyses programmées :
|
Scheduled Scans (params) |
Standard Desktop Policy |
High-security Policy |
Performance-optimized policy |
|
Activé |
Oui |
Oui |
Oui |
|
Type d’analyse |
Analyse Hebdomadaire rapide |
Analyse journalière rapide et hebdomadaire complète |
Analyse Hebdomadaire rapide |
|
Programmation (Jour) |
Samedi |
Samedi (3h00) |
Samedi |
|
Programmation (heure) |
03h00 |
02h00 |
03h00 |
|
Vérification des mises à jour avant de démarrer l’analyse |
Oui |
Oui |
Oui |
|
Analyse uniquement quand l’ordinateur n’est pas utilisé |
Oui |
Non |
Oui |
|
Randomiser le démarrage de l’analyse programmée (intervalle de 30 min) |
Oui |
Oui |
Oui |
|
Force une analyse lors du démarrage du poste si plus de deux analyses ont été manquées |
Non |
Oui |
Non |
|
Limite l’utilisation CPU durant les analyses |
Oui (50%) |
Non |
Oui (30%) |
|
Autorise l’utilisateur à configurer l’usage processeur pour les analyses |
Non |
Non |
Non |
|
Contrôle de l’utilisateur sur les analyses programmées |
Aucun contrôle |
Aucun contrôle |
Aucun contrôle |
Le tableau suivant récapitule les actions utilisées par défaut lors de la découverte d’une menace :
|
Default Actions (params) |
Standard Desktop Policy |
High-security Policy |
Performance-optimized policy |
|
Sévère |
Utilise l’action recommandée |
Utilise l’action recommandée |
Utilise l’action recommandée |
|
Haute |
Utilise l’action recommandée |
Utilise l’action recommandée |
Utilise l’action recommandée |
|
Moyenne |
Mise en quarantaine |
Mise en quarantaine |
Mise en quarantaine |
|
Faible |
Autorise |
Autorise |
Autorise |
Ce tableau rassemble les paramètres des types de stratégie en ce qui concerne la protection en temps réel :
|
Real-time protection (params) |
Standard Desktop Policy |
High-security Policy |
Performance-optimized policy |
|
Activée |
Oui |
Oui |
Oui |
|
Analyse des fichiers système |
Analyse des fichiers entrants et sortants |
Analyse des fichiers entrants et sortants |
Analyse des fichiers entrants et sortants |
|
Analyse tous les fichiers téléchargés et pièces jointes |
Oui |
Oui |
Oui |
|
Utilise la supervision du comportement |
Oui |
Oui |
Oui |
|
Active la protection contre les exploits réseau |
Oui |
Oui |
Oui |
|
Autorise l’utilisateur à configurer les paramétrages de la protection en temps réelle |
Non |
Non |
Non |
Vous trouvez ci-dessous trois tableaux regroupant les exclusions de répertoires, de fichiers, de types de fichiers et de processus pour des types de stratégie :
|
Excluded files and locations |
Standard Desktop Policy |
High-security Policy |
Performance-optimized policy |
|
%windir%\SoftwareDistribution\ Datastore |
Datastore.edb Res*.jrs Edb.chk Tmp.edb |
Datastore.edb Res*.jrs Edb.chk Tmp.edb |
Datastore.edb Res*.jrs Edb.chk Tmp.edb |
|
%windir%\Security\Database |
*.edb, *.sdb, *.log *.chk, *.jrs |
*.edb, *.sdb, *.log *.chk, *.jrs |
*.edb, *.sdb, *.log *.chk, *.jrs |
|
%ALLUSERSPROFILE%\NTuser.pol |
Oui |
Oui |
Oui |
|
%SystemRoot%\system32\ GroupPolicy\registry.pol |
Oui |
Oui |
Oui |
|
Excluded files types |
Standard Desktop Policy |
High-security Policy |
Performance-optimized policy |
|
|
Aucun |
Aucun |
Aucun |
|
Excluded processes |
Standard Desktop Policy |
High-security Policy |
Performance-optimized policy |
|
|
Aucun |
Aucun |
Aucun |
Voici les différences entre les types de stratégie en ce qui concerne les paramétrages avancés du client Forefront EndPoint Protection :
|
Advanced |
Standard Desktop Policy |
High-security Policy |
Performance-optimized policy |
|
Analyse des fichiers archivés |
Oui |
Oui |
Oui |
|
Analyse des lecteurs réseau lors des analyses complètes |
Non |
Non |
Non |
|
Analyse des périphériques de stockage amovibles (Clé USB…) |
Non |
Non |
Non |
|
Créer un point de restauration système avant de nettoyer l’ordinateur |
Non |
Non |
Non |
|
Afficher un message de notification à l’utilisateur lorsque une opération (analyse complète, téléchargement de définitions…) est nécessaire |
Non |
Non |
Non |
|
Suppression des fichiers en quarantaine |
Non |
Non |
Non |
|
Autorise l’utilisateur à configurer la période de suppression automatique des fichiers en quarantaine |
Non |
Non |
Non |
|
Autorise l’utilisateur à exclure des répertoires, fichiers, type de fichiers et processus |
Non |
Non |
Non |
|
Overrides |
Standard Desktop Policy |
High-security Policy |
Performance-optimized policy |
|
|
Aucun |
Aucun |
Aucun |
Ce tableau résume les différences concernant Microsoft SpyNet :
|
Microsoft SpyNet |
Standard Desktop Policy |
High-security Policy |
Performance-optimized policy |
|
Activé |
Oui |
Oui |
Oui |
|
Abonnement |
Basic |
Basic |
Basic |
|
Autorise l’utilisateur à changer les paramétrages SpyNet |
Non |
Non |
Non |
Le tableau Updates regroupe les paramétrages de mises à jour du client pour les types de stratégie:
|
Updates |
Standard Desktop Policy |
High-security Policy |
Performance-optimized policy |
|
Vérification des définitions (intervalle) |
Toutes les 8 heures |
Toutes les 8 heures |
Toutes les 8 heures |
|
Force la mise à jour des définitions si celle-ci a échoué il y a |
1 jour |
1 jour |
1 jour |
|
Mise à jour à partir d’un partage de fichier |
Non |
Non |
Non |
|
Mise à jour à partir de WSUS ou SCCM |
Oui |
Oui |
Oui |
|
Mise à jour à partir de Microsoft Update |
Oui |
Oui |
Oui |
Voici un récapitulatif des paramétrages de gestion du Firewall Windows pour les types de stratégie :
|
Windows Firewall |
Standard Desktop Policy |
High-security Policy |
Performance-optimized policy |
|
Gestion de Windows Firewall |
Activée |
Activée |
Desactivée |
|
Réseau Domaine : |
|
|
|
|
Etat du Firewall |
Activé |
Activé |
- |
|
Connexions entrantes |
Bloquées |
Bloquées |
- |
|
Affichage d’une notification |
Oui |
Oui |
- |
|
Réseaux Privés : |
|
|
|
|
Etat du Firewall |
Activé |
Activé |
- |
|
Connexions entrantes |
Bloquées |
Bloquées |
- |
|
Affichage d’une notification |
Oui |
Oui |
- |
|
Réseaux Publics : |
|
|
|
|
Etat du Firewall |
Activé |
Activé |
- |
|
Connexions entrantes |
Bloquées |
Bloquées |
- |
|
Affichage d’une notification |
Oui |
Oui |
- |
4.1.7 Fonctionnement de l’intégration des stratégies à System Center Configuration Manager
Cette partie va vous permettre de comprendre comment Forefront EndPoint Protection 2010 s’intègre aux différents mécanismes de System Center Configuration Manager 2007.
La création d’une stratégie n’est ni plus ni moins qu’associée à la création d’un nouveau programme dans le package Microsoft Corporation FEP – Policies 1.0 :
Ce package est remis à jour automatiquement tous les jours à heure fixe afin de prendre en considération les différents changements :
L’assignation d’une stratégie correspond à la création d’une publication (Advertisement) pour le programme associé à la stratégie sur une collection donnée avec les différents paramétrages nécessaires.
Ainsi, il existe deux publications par défaut qui s’appliquent tous les jours. Dès lors que vous assignez une stratégie, celle-ci se voit créer une publication qui est appliquée dès que possible pour que les changements de stratégies soient appliqués le plus rapidement possible.
Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx
