Greg Ramsey vient de publier un article expliquant comment injecter des drivers à partir d’un périphérique USB durant une séquence de tâches de déploiement de systèmes d’exploitation. Cette méthode fait appel à un vbScript. Elle n’est pour le moment applicable que pour les systèmes d’exploitation Windows 7 et Windows Server 2008 R2.

Pour plus d’informations, je vous invite à consulter le blog de Greg Ramsey : http://myitforum.com/cs2/blogs/gramsey/archive/2011/01/26/how-to-inject-drivers-from-usb-during-a-configmgr-operating-system-task-sequence.aspx

Quest vient de lancer trois nouveaux packs d’intégration pour FTP, Telnet et HTTP.

Vous pouvez obtenir plus d’informations sur http://blogs.technet.com/b/opalis/archive/2011/01/26/quest-releases-new-free-ip-for-ftp-telnet-and-http.aspx  

Télécharger les packs d’intégration Opalis de Quest

Comme chaque mois, l'équipe System Center Configuration Manager met à jour la documentation du produit. Cette mise à jour prend en compte la fin du support du Service Pack 1.

Les sujets suivants ont été mis à jour :

 Configuration Manager 2007 Supported Configurations
- Mise à jour pour corriger une incohérence à propos de la mise à jour de SQL Server.

Configuration Manager 2007 SP1 Supported Configurations and Configuration Manager 2007 SP2 Supported Configurations
- Mise à jour pour ajouter le support de SQL Server 2008 SP2, et de Windows Storage Server R2.

Configuration Manager 2007 R3 Supported Configurations
- Mise à jour pour corriger une information erronée spécifiant que SQL Server 2008 nécessite une mise à jour pour supporter le reporting services point avec Configuration Manager 2007 R3.

Using a Remote SQL Server to Host the Site Database
- Mise à jour pour clarifier que le serveur SQL qui héberge la base de données de site doit être dans le même domaine que le serveur de site.

How to Configure an SPN for SQL Server Site Database Servers
- Mis à jour pour ajouter des informations sur comment configurer le SPN pour un cluster SQL Server et comment vérifier le SPN avec la commande SetSPN.

Troubleshooting Configuration Manager Setup
- Mise à jour pour ajouter un nouveau message d’erreur qui permet d’identifier quand l’installation échoue à cause d’un problème de SPN ne permettant pas l’installation du SMS Provider.

Administrator Workflow: Create and Distribute Image for Operating System Deployment
- Mise à jour permettant de clarifier comment créer manuellement une image WIM.

How to Capture an Image from a Reference Computer by Using Capture Media
- Mise à jour pour spécifier qu’une image iso doit être graver en utilisant une application spécifique.

How to Add Boot Images to Configuration Manager
- Mise à jour pour clarifier comment ajouter une image de démarrage personnalisée pour des ordinateurs 32-bit et 64-bit.

Capture Windows Settings Task Sequence Action Variables
- Mise à jour pour corriger la définition de la variable de séquence de tâches OSDTimeZone.

How to Add a New Computer to the Configuration Manager Database
- Mise à jour pour clarifier qu’il n’est possible d’importer qu’une seule adresse MAC par ordinateur.

Task Sequence Media Wizard - Select Media Type Page
- Mise à jour pour préciser que seuls les lecteurs flash USB sont pris en charge lorsque vous sélectionnez le type de support.

How to Advertise Task Sequences
- Mise à jour pour clarifier que les séquences de tâches ne peuvent être publiées qu’aux ordinateurs et non aux utilisateurs.

Log Files for Operating System Deployment
- Mise à jour pour corriger l’emplacement du fichier de log CreateTSMedia.log.

Pour voir le détail, je vous renvoie vers le billet de l’équipe ConfigMgr : http://blogs.technet.com/b/configmgrteam/archive/2011/01/21/announcement-configuration-manager-documentation-library-update-for-january-2011.aspx

Kelverion vient de publier un nouvel outil permettant de simplifier et automatiser l’installation de la console d’opérations Opalis 6.3. En temps normal, l’installation de la console nécessite la validation de nombreux prérequis. Cet outil permet de simplifier cette opération.

Vous pouvez regarder la démo sur http://www.kelverion.com/utility-for-opconsole-demo

Télécharger Kelverion Configuration Utility For OpConsole

Le projet CodePlex était créé afin d’apporter un ensemble de cmdlets PowerShell pour System Center Service Manager (SCSM) 2010 vient d’être mis à jour en bêta 2. Cette mise à jour corrige les différents bugs rapportés.

Cette version apporte les améliorations suivantes :

• Ajout du support du paramètre –SupportGroup sur les classes Get-, Set-SCSMIncident
• Ajout d’un alias pour toutes les cmdlets afin d’utiliser les commandes  ___-SCSM____ même quand la commande est initialement sous cette forme ____-SC___
• Ajout d’une nouvelle cmdlet Set-SCSMRunAsAccount qui définit les crédentials pour être utilisés dans le cadre d’un Run As Account
• Ajout d’un nouvelle cmldet générique pour appliquer des modèles – Set-SCSMTemplate

Voici la liste des commandes :

• Alias load
• Alias new-mg
• Function New-ManagementGroup
• Function import-Assembly
• Function Get-SCSMClassProperty
• Function get-SCSMCommand
• Function get-SCSMproperty
• Cmdlet Get-SCSMTask
• Cmdlet Get-SCSMSubscription
• Cmdlet Get-SCSMTypeProjection
• Cmdlet Get-SCSMTaskResult
• Cmdlet Get-SCSMUserRole
• Cmdlet Get-SCSMTopLevelEnumeration
• Cmdlet Import-SCManagementPack
• Cmdlet Remove-SCSMSubscription
• Cmdlet Remove-SCSMObject
• Cmdlet Remove-SCManagementPack
• Cmdlet Set-SCSMObject
• Cmdlet Set-SCSMIncident
• Cmdlet Set-SCSMAnnouncement
• Cmdlet New-SCSealedManagementPack
• Cmdlet New-SCManagementPack
• Cmdlet Set-SCSMObjectProjection
• Cmdlet New-SCSMObject
• Cmdlet New-SCSMIncident
• Cmdlet New-SCSMAnnouncement
• Cmdlet Get-SCSMRunAsAccount
• Cmdlet Get-SCDWWarehouseModuleTypes
• Cmdlet Get-SCDWRelationshipFactTypes
• Cmdlet Get-SCManagementPack
• Cmdlet Get-SCSMAnnouncement
• Cmdlet Get-SCManagementPackElement
• Cmdlet Get-SCDWOutriggerTypes
• Cmdlet Get-DataWarehouseConfiguration
• Cmdlet Export-SCManagementPack
• Cmdlet Get-SCDWDimensionTypes
• Cmdlet Get-SCDWMeasureTypes
• Cmdlet Get-SCDWFactTypes
• Cmdlet Get-SCSMCategory
• Cmdlet Get-SCSMRelatedObject
• Cmdlet Get-SCSMObjectProjection
• Cmdlet Get-SCSMRelationshipClass
• Cmdlet Get-SCSMRule
• Cmdlet Get-SCSMResource
• Cmdlet Get-SCSMObject
• Cmdlet Get-SCSMClass
• Cmdlet Get-SCSMChildEnumeration
• Cmdlet Get-SCSMConfigItem
• Cmdlet Get-SCSMIncident
• Cmdlet Get-SCSMEnumeration

Accédez au projet : http://smlets.codeplex.com/

L’équipe du support SCCM au travers de J.C Hornbeck vient de publier un article très intéressant sur comment configurer les sites ConfigMgr afin d’obtenir les meilleurs performances possibles. Ce post fait référence à un article sur Technet prenant le cas d’un scénario basé sur une hiérarchie comportant 200,000 clients, un site central, deux sites primaires enfants.

Pour plus d’information, vous pouvez lire l’article Technet : http://technet.microsoft.com/en-us/library/bb892809.aspx

L’équipe du support SCCM vient de publier un article dans la base de connaissance sur un problème survenant avec le rôle Reporting Services Point. Ce composant renvoie l’erreur suivante :

SMS_SRS_REPORTING_POINT 7404 SRS is not installed or properly configured on SRS Reporting point server "<servername>".

Cette erreur survient si l’assistant “Copy Reports to Reporting Services » n’est pas lancé sur le serveur. Cette étape manuelle doit être opérée afin de créer la structure par défaut.

Note : L’erreur ci-dessus est reportée à chaque fois que le service « SMS_SRS_Reporting_POINT »

Pour résoudre cette erreur :

1. Lancez la console d’administration et naviguez dans l’arborescence : Site Database\Computer Management\Reporting\Reporting Services\<SERVERNAME>
2. Cliquez droit sur le nœud Reporting Services et choisissez « Copy Reports to Reporting Services »
3. Suivez l’assistant pour copier les rapports si nécessaire.
4. Redémarrer le service SMS_SRS_REPORTING_POINT dans la console ConfigMgr Service Manager

Pour plus d’information, rendez-vous sur la KB2498344 - The Configuration Manager 2007 Reporting Services point fails with 'SRS root folder "configmgr_<sitecode>" is not present'

Depuis le 11 janvier dernier, Microsoft signe la fin du support du Service Pack 1 de System Center Configuration Manager 2007. Pour ceux qui ont du retard, vous pouvez accélérer la migration vers le Service Pack 2.

Source : blog SCCM

L’équipe du support SCCM vient de publier un article dans la base de connaissance sur un problème concernant l’inventaire matériel. Celui-ci dans certains cas peut engendrer une consommation excessive de la CPU pour le processus SMSexec.exe.

Quand le serveur SCCM procède au traitement des fichiers d’inventaire matériel (.MIF) ; celui-ci échoue et le processus SMSexec.exe se met à consommer une grande quantité de temps processeur.

Ce problème survient si l’option globale « no count » est activée sur le serveur SQL hébergeant la base de données SMS. Si celle-ci est activée, SCCM ne peut obtenir le nombre de ligne de SQL et ne peut ainsi compléter le cycle d’extension du schéma.

Vous devez ainsi désactiver l’option « no count » afin que le traitement ait lieu normalement. Vous pouvez accéder à cette option dans SQL Management Studio : Propriétés du serveur SQL => Connections => « no count ».

Pour plus d’informations, lisez la  KB2488396 - Hardware Inventory in Configuration Manager 2007 fails and the SMSexec.exe process shows high sustained CPU utilization

L’équipe du support SCCM vient de publier un billet concernant un problème survenant durant le déploiement des machines avec la tâche d’activation de BitLocker (Enable BitLocker).

En examinant les logs, on apprend que la puce TPM est bien activé et initialisé :

Start executing the command line: OSDBitLocker.exe /enable  /wait:False /mode:TPM /pwd:AD TSManager
!--------------------------------------------------------------------------------------------! TSManager
Expand a string: FullOS TSManager
Executing command line: OSDBitLocker.exe /enable  /wait:False /mode:TPM /pwd:AD TSManager
==============================[ OSDBitLocker.exe ]============================== OSDBitLocker
Command line: "OSDBitLocker.exe" /enable /wait:False /mode:TPM /pwd:AD OSDBitLocker
Initialized COM OSDBitLocker
Command line for extension .exe is "%1" %* OSDBitLocker
Set command line: "OSDBitLocker.exe" /enable /wait:False /mode:TPM /pwd:AD OSDBitLocker
Target volume not specified, using current OS volume OSDBitLocker
Current OS volume is 'C:' OSDBitLocker
FALSE, HRESULT=80004005 (e:\nts_sms_fre\sms\framework\tscore\encryptablevolume.cpp,364) OSDBitLocker
Unable to find instance of 'Win32_EncryptableVolume' where 'DriveLetter' = 'C:'. Ensure that BitLocker Drive Protection is available for this device. OSDBitLocker
m_pEncryptableVolume->Initialize( pszVolume ), HRESULT=80004005 (e:\nts_sms_fre\sms\client\osdeployment\bitlocker\bitlocker.cpp,222) OSDBitLocker
pBitLocker->Initialize( argInfo.sTarget ), HRESULT=80004005 (e:\nts_sms_fre\sms\client\osdeployment\bitlocker\main.cpp,637) OSDBitLocker
Process completed with exit code 2147500037 TSManager
!--------------------------------------------------------------------------------------------! TSManager
Failed to run the action: Enable BitLocker.
Unspecified error (Error: 80004005; Source: Windows) TSManager

Ce problème survient si le disque où vous installez Windows n’a pas été correctement partitionné. Pour rappel, vous devez créer une première partition de 100 à 300 MB dédiée au stockage du boot manager et des fichiers de boot. Ceux-ci ne peuvent être chiffrés pour que l’ordinateur puisse démarrer correctement. La seconde partition est utilisée pour stocker le système.

System Center Configuration Manager 2007 ne créé pas ces deux partitions. Il existe deux méthodes pour palier à ce problème :

• Vous pouvez modifier la tâche « Format and Partition Disk » de votre séquence de tâches en conséquence.
• Vous pouvez utiliser le script ZTIde.wsf du package MDT pour créer automatiquement la partition BitLocker

Pour plus d’informations sur la mise en œuvre de ces deux solutions, je vous renvoie vers le billet de l’équipe : http://blogs.technet.com/b/configurationmgr/archive/2011/01/20/solution-the-enable-bitlocker-task-fails-to-run-during-a-configmgr-2007-task-sequence.aspx

L’équipe MED-V vient de publier expliquant comment gérer et administrer les adresses MAC des machines virtuelles MED-V. Pour cela, vous devez utiliser le fichier de configuration GlobalImageData.xml. Ce fichier contient deux éléments importants :

• <DesiredMachineName> est le nom auto-généré pour le nom de la machine virtuelle MED-V.
• <MacAddress> permet de configurer l’adresse MAC de la machine

Pour plus d’informations, je vous laisse consulter le blog de l’équipe MED-V : http://blogs.technet.com/b/medv/archive/2011/01/24/how-to-manage-vm-mac-addresses-with-the-globalimagedata-xml-file-in-med-v-v1.aspx

L’équipe Forefront vient de publier le Management Pack pour Windows Storage Server 2008 R2 en version 6.0.6600.0.

Le Management Pack supervise :

• Single Instance Storage (SIS)
• Microsoft iSCSI Software Target

Télécharger Windows Storage Server 2008 R2 Monitoring Management Pack

L’équipe Remote Desktop vient de publier un connecteur Remote Desktop Services pour System Center Virtual Machine Manager. Celui-ci va permettre d’inclure System Center Virtual Machine Manager dans votre infrastructure de bureau virtuel (VDI). Ainsi, ce connecteur permet la communication entre le rôle Remote Desktop Connection Broker et le serveur Virtual Machine Manager afin de provisionner dynamiquement les machines virtuelles VDI.

Télécharger Remote Desktop Services Connector for System Center Virtual Machine Manager

Microsoft a un rythme de croisière de deux versions de Microsoft Desktop Optimization Pack (MDOP) par an. On retrouve ainsi systématiquement une première édition suivie de la R2 dans la seconde moitié de l’année. MDOP 2010 R2 apportait la version 4.6 de Microsoft Application Virtualization (App-V) et le Service Pack 1 de Microsoft Enterprise Desktop Virtualization (MED-V).
Mais que va nous apporter MDOP 2011 ?

• App-V : Du côté d’App-V, Microsoft a annoncé la sortie du Service Pack 1 pour la version 4.6. Celui-ci apporte les nouveautés suivantes :
  • Cette version permet de convertir les fichiers d’installation Windows directement en  bulle applicative App-V. La philosophie du séquencement est donc bouleversée en permettant de réduire le temps nécessaire à celui-ci.
  • Le séquenceur procède à un diagnostic plus en profondeur avant et après le séquencement pour remonter les problèmes possibles avec les fichiers exclus, les drivers, COM+, les différences de systèmes, les conflits SxS, les extensions Shell.
  • Amélioration de Dynamic Suite Composition (DSC)
  • Cette version proposera une fonctionnalité appelée App-V Package Accelerators fournissant des modèles afin d’accélérer le séquencement des applications difficiles à packager.
  • Il n’y a plus la limitation 8.3 sur la convention de nommage des répertoires
  • Possibilité de minimiser le séquenceur
  • Séparation des étapes : préparation pour la première utilisation et block one
• MED-V : La release Candidate de la version 2 du produit est sorti le 10 décembre 2010. On peut aisément penser que MED-V v2 sera lancé pour cette version du pack. Il comprend les nouveautés suivantes
  • Il n’y a plus d’infrastructure de déploiement dédiée à MED-V. Cette version repose sur une intégration avec les outils d’administrations comme System Center Configuration Manager. Le mode de fonctionnement de MED-V se rapproche ainsi de Forefront EndPoint Protection (FEP).
  • Une expérience utilisateur et administrateur plus simplifiée que pour MED-V v1 et XP Mode
  • Intégration plus étroite avec Windows 7
  • Redirection des dossiers My Documents et Desktop
  • Publication automatique d’applications : Les nouvelles applications (ceci inclut les applications App-V) sont déployées aux workspaces automatiquement
  • Nouvelles options de redirection Internet Explorer : Les sites nécessitant IE6 démarreront automatiquement le navigateur Internet Explorer 6. Il est maintenant possible d’utiliser les chaines suivantes : (http://*.example.com), des sites spécifiques (http://www.example.com/hr), des sites avec un niveau de page (http://www.example.com/hr/benefits.asp) ou en spécifiant un port spécifique (http://vpn.example.com:1234)
  • Cette version sera construite sur Windows Virtual PC 7
  • Support des périphériques USB/SmartCard
  • Arrêt et mise en veille automatique de la machine virtuelle
• AIS : AIS 2.0 est disponible en bêta depuis plusieurs mois (quasiment un an). Celui-ci dispose de la même architecture que Windows Intune. La dernière bêta était globalement très aboutie avec une traduction en français. Cette version peut donc être lancée pour MDOP 2011

Vous l’aurez compris ceux-ci est fourni est à titre indicatif et Microsoft n’a pas encore communiquer sur le contenu exacte de MDOP 2011.

L'équipe Exchange vient de mettre à jour l'outil Exchange 2010 Mailbox Server Role Requirements Calculator dans sa version 14.1. Cet outil est composé de feuilles Excel permettant d'entrer des données relatives à votre architecture.

Le calculateur vous donnera les prérequis de :

• Role
• LUN
• Design du stockage
• Input
• Backup
• Log Replication

La version 14.1 inclut les améliorations et les fonctionnalités suivantes :

• Added conditional formatting for Exchange Native Data Protection input factor to alert when you are deploying with less than the recommended number of HA copies.
• The calculator now includes the ability to select different disk types and capacities for the storage architecture being deployed in the secondary datacenter.

La version 14.1 corrige les bugs suivants par rapport aux versions précédentes :

•  Fixed the Activation Results Scenarios to no longer display #NAME when dealing with dedicated lagged copy servers.
• Fixed 2 LUNs / Backup Set formula for the 11th database grouping set in the DB and Log LUN Design / Server table to display the correct number of databases in the grouping set.
• Fixed "Number of Active Databases / SDC Server (After First PDC Server Failure)" calculations to take into account stretched Single DAG without dedicated DR servers.
• Fixed "Number of Required Mailbox Processor Cores (Primary Datacenter)" formula to respect when site resilience is disabled and A/A (Single DAG) is selected.
• Fixed formatting for scenario that resulted in more HA database copies being deployed in the secondary datacenter than in the primary datacenter and also improved validation checks.
• Updated "Custom Number of Databases" (Input Section) and "Number of Databases" (Role Requirements section) text to indicate in standalone situations that the "Custom Number of Databases" is per server and "Number of Databases" is for the environment.
• Fixed 2nd PDC failure formula to enable site resilient scenarios that have 3 copies in PDC to allow double server failure event.
• Optimized Number of Mailboxes per Database (I/O Driven) to not round up odd numbers to the next even number.
• Fixed text in various comment fields.

Résumé des changements entre chaque version : http://msexchangeteam.com/archive/2010/01/22/453859.aspx
Article sur son utilisation : http://msexchangeteam.com/archive/2009/11/09/453117.aspx

Télécharger Exchange 2010 Mailbox Server Role Requirements Calculator

L’équipe SCCM vient de publier un billet concernant une erreur qui touche les administrateurs utilisant l’éditeur de séquence de tâches. Celui-ci renvoi l’erreur « too many steps » quand l’administrateur édite une séquence de tâches très complexe.

Pour résoudre ce problème, je vous renvoie vers le blog de l’équipe : http://blogs.technet.com/b/configmgrteam/archive/2011/01/18/task-sequence-editor-too-many-steps-issue-and-solution.aspx

La communauté Opalis est en pleine expansion ; c’est ainsi que Charles Joy a publié trois nouveaux packs d’intégration sur CodePlex.

On retrouve les Integration Packs suivants :

• Integration Pack for Text Manipulation
• Integration Pack for MSSQL Tasks
• Integration Pack for Windows Tasks

Ces packs rejoignent la liste des packs déjà présents :

• Integration Pack for SharePoint
• Integration pack for Opalis logging
• Integration Pack for Data Manipulation
• Integration Pack for Exchange
• Integration Pack for Local Group and User Management

Les DeploymentGuys viennent de publier un article très intéressant permettant de forcer l’exécution des publications à la fin du déploiement. Ceci permet de lancer l’ensemble des scripts même ceux facultatifs et nécessitant une intervention de la part de l’utilisateur. C’est un bon moyen de s’assurer que l’ensemble des publications ciblant la machine ont été exécutée à la fin du déploiement. A la base ce script a été construit pour un scénario de déploiement LTI avec MDT mais il se prête très bien à un déploiement via SCCM.

Vous devez procéder aux étapes suivantes :

• Inclure le script dans la source du package MDT. Il doit être au même niveau que le script ZTIUtility.vbs
• Mettre à jour le package MDT sur les points de distribution
• Inclure une tâche à la fin de votre séquence de tâches et exécuter le script CUSTOM_ForceSCCMAdvertisements.wsf avec la commande wscript.

Pour plus d’informations, je vous renvoie vers le billet : http://blogs.technet.com/b/deploymentguys/archive/2011/01/18/kick-starting-sccm-advertisements.aspx

L’équipe Opalis vient de publier un article dans la base de connaissance afin de détailler les étapes nécessaires à l’installation du pack d’intégration IBM Tivoli Enterprise Console. Ce pack d’intégration nécessite l’intégration de nouvelles classes et règles dans la console IBM Tivoli Enterprise.

Pour plus d’informations, je vous laisse consulter la KB2491953 - How to install Opalis Integration Pack for IBM Tivoli Enterprise Console Class and Rule definitions

Source : Blog Opalis

Voilà un article peu atypique mais qui à le mérite de donner les avantages et inconvénients de Windows Virtual PC 7 pour une utilisation dans le cadre de gamers. Malheureusement, Virtual PC est un piètre élève dans sa catégorie et n’est vraiment pas fait pour ce genre de situation.

Je vous laisse lire l’article des Ben Armstrong (Virtualization Program Manager chez Microsoft) : http://blogs.msdn.com/b/virtual_pc_guy/archive/2011/01/14/gaming-on-windows-virtual-pc.aspx

Microsoft vient de publier la version finale de MAP 5.5. Pour rappel, Microsoft Assessment and Planning Toolkit (MAP) fait partie de la catégorie des accélérateurs de solution (Solution Accelerator) tout comme Microsoft Deployment Toolkit. MAP permet d’opérer un inventaire complet des serveurs et des stations de travail déployés sur votre réseau. Il effectue un inventaire matériel et logiciel. Il opère aussi des analyses de performances et de fiabilité. MAP permet l’inventaire des systèmes suivants : Windows 7, Windows Vista, Windows XP Professional, Windows Server 2008 ou Windows Server 2008 R2, Windows Server 2003 ou Windows Server 2003 R2, Windows 2000 Professional ou Windows 2000 Server, VMware ESX, VMware ESXi, VMware Server. La version 5 apportait l’inventaire des systèmes Linux et Unix ainsi que des scenarii supplémentaires concernant le déploiement d’Office 2010, la détection du déploiement par le biais de SCCM.

Qu’apporte cette version 5.5 ?

• Nouveau scénario de migration pour Windows 7 et Internet Explorer 8 (ou plus)
• Scénarios de migration des applications Web et des bases de données vers Windows Azure et SQL Azure
• Découverte des instances de bases de données MySQL, Oracle et Sybase pour vous aider dans la migration vers SQL Server
• Amélioration des scénarios de consolidation de serveur pour Hyper-V

MAP doit être installé sur une machine disposant des éléments suivants : Word 2007 ou 2003 SP2, Word Primary Interop Assemblies, Excel 2007 ou Excel 2003 SP2, Excel Primary Interop Assemblies, Microsoft Office Compatibility Pack for Office 2007, .Net Framework. Lors de son installation MAP requiert un accès à une base de données comme celle de SQL Server 2008 Express.

Téléchargez Microsoft Assessment and Planning (MAP) Toolkit 5.5 RTM

Je vous en parlais la semaine dernière, voici mon nouvel article sur l'implémentation de Forefront EndPoint Protection 2010. Comme pour le dernier, cet article est disponible sur Internet ou en version numérique.

En août 2003 alors que les administrateurs systèmes étaient d’avantage exposés à la lumière du soleil qu’à celle de leur écran d’ordinateur ; MS Blaster l’un des fléaux informatiques les plus célèbres commençait à envahir le monde de l’entreprise. Celui-ci allait changer radicalement la vision de la sécurité au cœur des entreprises en lançant une prise de conscience générale.  A l’heure du passage en 2011, il n’est pas envisageable qu’une entreprise ne protège pas son parc informatique par un système anti-logiciel malveillant performant. Fin 2010, Microsoft annonçait la sortie de la nouvelle version de sa solution antivirale. Forefront EndPoint Protection était attendu depuis près de 3 ans avec des attentes fortes en matière d’administration. Cette nouvelle version change de stratégie en proposant une intégration complète à la gamme System Center au travers de System Center Configuration Manager (SCCM) 2007 et System Center Operations Manager (SCOM) 2007.
Vous verrez dans cet article comment implémenter Forefront EndPoint Protection et comment l’utiliser au quotidien. Nous verrons les différents avantages et inconvénients de cette solution et les avancées proposées.

Notez que cet article n’abordera pas l’implémentation de Forefront EndPoint Protection 2010 Security Management Pack. C’est-à-dire l’implémentation des Management Packs dans une infrastructure System Center Operations Manager.

Level : 200

Connaissances pré requises : System Center configuration Manager 2007, Windows Server Updates Services.

Lire l'article sur mon blog : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx

Ou

Télécharger cet article au format numérique : ICI

Conclusion

Nous avons vu dans cet article comment installer et implémenter Forefront EndPoint Protection 2010. Vous avez pu voir l’intégration complète et forte dans System Center Configuration Manager 2007 offerte par cette nouvelle édition. Les avantages de gérer les stratégies ou encore les alertes au travers de l’administration quotidienne offerte par SCCM sont multiples. Nous avons vu la simplicité offerte par l’utilisation d’une console centrale pour gérer l’ensemble des besoins de l’entreprise. Forefront EndPoint Protection fait donc un pas de géant vers les entreprises qui attendaient une intégration au produit d’administration de Microsoft.
Néanmoins les sociétés ne disposant pas de System Center Configuration Manager se sentiront lésées par ce changement de stratégie qui nécessitera un investissement conséquent. Certaines d’entre elles disposent déjà d’un outil de distribution électronique de logiciels (electronic software distribution (ESD) systems) et les migrations peuvent coûter beaucoup plus cher que d’opter pour un concurrent de FEP. De la même manière, les petites et moyennes entreprises ne sont plus la cible de ce produit. En effet, il n’existe pas à ce jour de dispositif d’intégration pour System Center Essentials 2010. On peut simplement regretter que Microsoft n’ait pas prévu une console simplifiée et dédiée pour ce type d’entreprise. Le pari de Microsoft trouvera certainement son sens dans le mode de licence proposé puisque beaucoup d’entreprises utilisent SCCM avec une solution antivirale concurrente et peuvent ainsi se voir attribuer aujourd’hui gratuitement Forefront EndPoint Protection 2010. La citation « FEP and SCCM : Better Together » prend réellement son sens avec cette version 2010.

Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx

4. Administration

 4.5 Gestion des rapports

Il existe différents moyens d’utiliser les données rapportées sur l’état du client Forefront EndPoint Protection. System Center Configuration Manager et Forefront EndPoint Protection proposent :

• Des collections révélant l’état des clients
• Des rapports donnant des informations plus détaillés

Nous avons déjà détaillé les collections précédemment dans cet article. Néanmoins pour rappel, on en retrouve sur :

• L’état des définitions (date)
• L’état du déploiement du client FPS (En échec, En attente, déployé, non ciblé…)
• Une collection dédiée aux opérations ; Cette collection peut être utilisée pour toutes les opérations sur le client FEP (Lancement d’un scan …)
• L’état de la distribution des stratégies (distribuée, en attente, en échec)
• L’état de la protection (Activé, non reportée, service désactivé)
• L’état de la sécurité (Scan complet requis, infecté, redémarrage requis …)

Plus généralement, un tableau de bord est disponible sur le nœud Forefront EndPoint Protection de la console d’administration. Celui-ci donne une vision globale du nombre de machines dans les différents états cités dans les collections. Un bilan des différentes lignes de base est disponible. Celui-ci présente le niveau de conformité ainsi que le nombre de machines conformes ou non.

Forefront EndPoint Protection offre trois types de rapport. Ceux-ci sont disponibles dans l’arborescence : Site Database => Computer Management => Forefront EndPoint Protection => Reports.

Vous pouvez lancer les rapports en cliquant droit et en sélectionnant « Run ».
Le premier rapport « Computer Details » donne la liste des machines accompagnée de l’état de leur protection, de l’état de la sécurité, de la version des définitions. Si un logiciel malveillant a été détecté, on dispose des dates de première et dernière apparition.

Le rapport « Antimalware Protection Summary » donne une vision de l’état général de la protection anti logiciels malveillants.
Les diagrammes suivants sont disponibles :

• Résumé de la protection anti logiciels malveillants (clients déployés, protection désactivée, protection en temps réelle activée ou désactivée…)
• Historique de la protection anti-malware sur les 7 dernier jours.
• Résumé des mises à jour de définitions (ancienneté)
• Historique des mises à jour de définitions sur la dernière semaine
• Résumé des analyses antimalware (ancienneté des analyses sur les postes du parc informatique)
• Historique des analyses antimalware sur les 7 dernier jours
• Résumé de l’état de sécurité (Infecté, Action requise, Activité de logiciels malveillants récente)

Enfin, le rapport “Antimalware Activity” donne un résumé de l’activité des logiciels malveillants détectés sur le parc informatique.
On retrouve différentes informations comme :

• Un historique des alertes de sécurité (sur une semaine)
• Résumé de l’état de sécurité (Infecté, Action requise, Activité de logiciels malveillants récente)
• Tableau d’historique des incidents (Menaces supprimées, mises en quarantaine, nettoyées, autorisées, bloquées…)
• Diagramme en barre d’historique des incidents (Menaces supprimées, mises en quarantaine, nettoyées, autorisées, bloquées…)
• Top des logiciels malveillants par sévérité détectés dans la semaine

Sur chacun de ces rapports, vous pouvez bénéficier de la puissance de SQL Server Reporting Services en modifiant différents paramètres (collection, date de début/fin, étendue du rapport…) qui influeront sur le résultat fourni par le rapport.

Enfin, vous pouvez trouver un rapport détaillé sur chaque machine. Ouvrez la console d’administration et déroulez l’arborescence afin d’atteindre les collections. Cliquez droit sur le poste de travail cible et choisissez « Run FEP Computer Details Report » :

Le rapport donne des détails sur l’ordinateur, sur l’état de la protection, sur l’activité des logiciels malveillants :

 4.6 Gestion des configurations désirées

Forefront EndPoint Protection 2010 apporte un certain nombre de lignes de base et d’objets de configuration disponibles pour assurer la conformité des postes de travail au travers de la configuration du client FEP 2010.

Les lignes de base commençant par le préfix « FEP Monitoring » sont utilisées par Forefront pour superviser le client Forefront et remonter l’état du client et de sa configuration (état des mises à jour, des services…). Lors de l’installation de Forefront EndPoint Protection, l’activation de l’agent de gestion des configurations désirées est un prérequis pour cette raison.

On retrouve 4 lignes de base :

• FEP Monitoring – Antimalware Status : Cette ligne de base remonte l’état du client Forefront (les dates de dernière analyse, les versions des moteurs,  …)
• FEP Monitoring – Definitions and Health Status : Cette ligne de base remonte le niveau de mise à jour du client comme notamment l’ancienneté des définitions ou encore l’état de la protection.
• FEP Monitoring – Malware Activity remonte les activités des logiciels malveillants. Ceci inclut si une analyse complète est requise, si un logiciel malveillant est actif ou a été nettoyé dans les dernières 24 heures, ou si un redémarrage est requis.
• FEP Monitoring – Malware Detection renvoie les informations de détection des logiciels malveillants.

Ces quatre lignes de base sont appliquées à l’ensemble des machines disposant du client Forefront EndPoint Protection. Elles sont essentielles dans le fonctionnement du produit.

En parallèle, Forefront EndPoint Protection 2010 fournit quatre autres lignes de base pouvant être utilisées pour assurer la conformité du client vis-à-vis des standards de configuration (équivalent aux modèles de stratégie disponibles) :

• FEP – High-Security Desktop : vérifie qu’un niveau de sécurité maximum est appliqué avec  des analyses rapide tous les jours et une analyse complète par semaine. L’utilisation processeur ne doit pas limitée et la configuration du Firewall est optimisée pour éviter les intrusions
• FEP – Laptop : s’assure que les ordinateurs portables sont correctement configurés avec les paramètres standard. Néanmoins les contraintes de validation diffèrent du fait que les portables peuvent être déconnectés pour une durée plus ou moins longue du réseau.
• FEP – Performance Optimized Desktop s’assure qu’une protection sécurité minimale est appliquée tout en offrant un niveau de performance maximum. L’usage processeur doit être par exemple limité à 30% et une seule analyse rapide s’effectue toutes les semaines.
• FEP – Standard Desktop : contrôle les paramétrages afin que ceux-ci soient similaires à une configuration pour un poste de travail standard. Une analyse rapide doit avoir lieu par semaine et l’utilisation du processeur doit être limitée à 50%.

Note : Ces lignes de base ne sont pas assignées par défaut.

Ces lignes de base font toutes références à 23 objets de configuration :

Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx