• Forefront EndPoint Protection 2010 : Gestion des alertes

    4. Administration

     4.4 Gestion des alertes

    System Center Configuration Manager dispose de mécanismes permettant de connaître l’état de santé de l’ordinateur et des différents services de protection Forefront. Parmi ceux-ci, on retrouve des lignes de base permettant de détecter l’état en fonction de différentes requêtes WMI. Ces lignes de bases rapportent par exemple au serveur les différentes menaces détectées. L’intrusion d’un virus ou d’un logiciel malveillant peut causer des dégâts graves sur l’ensemble du parc en très peu de temps.

    Ainsi, Forefront EndPoint Protection 2010 offre un système d’alertes que vous pouvez configurer pour alerter les administrateurs du parc informatique. Vous verrez dans cette partie comment configurer le système d’alerte.

     4.4.1 Paramétrage du système d’envoi d’email

    Commençons par le paramétrage du système d’envoi d’email. Pour cela, ouvrez la console d’administration et déroulez Site Database => Computer Management => Forefront EndPoint Protection => Alerts. Cliquez droit sur le nœud Alerts et sélectionnez « E-Mail Settings ».

    La fenêtre de paramétrage s’ouvre. Cochez la case « E-mail alert notification ». Entrez ensuite le serveur SMTP, le port, la méthode d’authentification, et l’adresse e-mail d’expédition.

     

    Cliquez ensuite sur « Test and Close… » et entrez l’adresse email que vous souhaitez utiliser pour tester le système d’envoi :

     


    Un message d’information s’affiche et un email a été envoyé sur l’adresse indiqué pour vérifier que le système fonctionne :

     

     4.4.2 Configuration des alertes

    Après avoir configuré le système d’envoi d’emails, nous allons pouvoir configurer les quatre types d’alertes disponibles.
    La première alerte correspond à l’alerte épidémique. Celle-ci envoi un email lorsqu’un même logiciel malveillant est détecté sur un nombre d’ordinateurs spécifiés. Dans le nœud « Malware Outbreak Alert » de la partie Forefront EndPoint Protection => Alerts, sélectionnez l’alerte correspondante.

     

    Cochez « Enable alert » pour activer l’alerte. Entrez le seuil du nombre d’ordinateurs utilisés pour déclencher l’alerte. Ajoutez aussi les adresses email qui recevront les alertes par email.

     

    La seconde alerte est « Malware Detection Alert ». Celle-ci envoi un email lorsqu’un logiciel malveillant est détecté sur un ordinateur membre de la collection cible de l’alerte.
    Cliquez droit sur le nœud Malware Detection Alerts et sélectionnez « New Malware Detection Alert… ». Vous pouvez ensuite sélectionner la collection cible de l’alerte ou encore le niveau de détection en fonction du niveau de gravité de l’alerte. Entrez aussi les adresses email des collaborateurs qui recevront les alertes.

     

    L’alerte « Repeated Malware Detection Alert” permet l’envoi d’email lorsqu’un même logiciel malveillant est détecté sur les postes de travail d’une collection dans un intervalle de temps donné.
    Cliquez droit sur le nœud Malware Detection Alerts et sélectionnez « New Repeated Malware Detection Alert… ». Vous pouvez ensuite sélectionner le nombre de fois qu’un logiciel malveillant est détecté (4, 8, 16, 32 fois) ainsi que l’intervalle de temps (4 heures, 24 heures, 1 semaine) dans lequel ils sont détectés. Entrez aussi les adresses email des collaborateurs qui recevront les alertes.

     

    Enfin l’alerte « Multiple Malware Detection Alert” permet l’envoi d’email lorsque plusieurs types de logiciels malveillants sont détectés sur un même postes de travail dans un intervalle de temps donné.
    Cliquez droit sur le nœud Multiple Detection Alerts et sélectionnez « New Multiple Malware Detection Alert… ». Vous devez sélectionner la collection qui sera cible de l’alerte. Vous pouvez ensuite sélectionner le nombre de logiciels malveillants différents détectés (4, 8, 16, 32 logiciels malveillants) ainsi que l’intervalle de temps (4 heures, 24 heures, 1 semaine) dans lequel ils sont détectés. Entrez aussi les adresses email des collaborateurs qui recevront les alertes.

     

    Lorsqu’une menace est détectée, une alerte est levée et vous recevez un email comme suit :

     

    L’ensemble de ces alertes vous permettent d’être tenu informé en cas d’épidémie ainsi être réactif plus rapidement face aux différentes menaces.

     

    Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx

  • Forefront EndPoint Protection 2010 : Gestion des opérations

    4. Administration

     

     4.3 Gestion des opérations

    Le quotidien des administrateurs est rythmé par la gestion du parc. Ceci passe par les différentes tâches permettant d’assurer qu’aucune menace n’est actuellement présente sur le réseau. Ainsi Forefront EndPoint Protection 2010 propose différents mécanismes permettant de lancer ponctuellement ou de manière programmé des opérations comme :

    • Analyse rapide
    • Analyse complète
    • Mise à jour des définitions

    Pour rappel, la programmation des analyses doit se faire au travers des stratégies appliquées sur les clients. Néanmoins, il est possible de lancer des stratégies programmées à travers un programme (script).

    Nous verrons dans cette partie comment lancer des opérations programmées ou ponctuelles.

     

     4.3.1 Création d’opérations programmées

    Comme vous avez pu le voir précédemment, Forefront EndPoint Protection se base sur les mécanismes offerts par System Center Configuration Manager. Les opérations sont ainsi symbolisées par un package contenant un script. Ce sont ensuite des programmes avec la ligne de commande et les commutateurs spécifiques qui vont permettre d’exécuter l’opération voulue.

    On peut ainsi utiliser les mécanismes de System Center Configuration Manager en construisant des collections qui seront ciblées par des programmations récurrentes afin de publier les opérations souhaitées.

    Attention ! Ce mode opératoire n’est à utiliser que pour des cas particuliers. Dans la majorité des cas, il est conseillé de configurer des opérations/analyses programmées en utilisant les stratégies appliquées aux clients.

    Commencez par créer une arborescence de collections qui serviront à accueillir les différents clients et les publications :

     

    Créez ensuite une publication pour l’opération que vous souhaitez attribuer. Pour cela, ouvrez la console d’administration et déroulez l’arborescence Site Database => Computer Management => Software Distribution => Packages => Microsoft Corporation FEP – Operations => Programs.
    Cliquez droit sur le programme associé à l’opération que vous souhaitez publier et sélectionnez Distribute puis Software :

     

    L’assistant de création de la publication s’ouvre. Passez l’écran de bienvenue et sur l’écran suivant sélectionnez ou créez la collection cible de l’opération :

     

    Sur la page Advertisement Name, entrez le nom donné à la publication en cours de création :

     

    Sur l’écran Advertisement Subcollection, choisissez si la publication doit se propager au sous collections :

     

    A l’étape Advertisent Schedule, choisissez la date de mise à disposition et d’expiration de la publication :

     

    A la page Assign Program, cochez la case « Yes, assign the program » et spécifiez l’erreur et les options d’exécution du programme :

     

    Validez l’écran de résumé pour procéder à la création et fermez l’écran de confirmation.

    Vous pouvez ensuite modifier les propriétés de la publication pour programmer une récurrence.

     

     4.3.2 Attribution d’opérations ponctuelles

    Forefront EndPoint Protection 2010 offre la possibilité de lancer des opérations ponctuelles sur les clients en fonction des besoins d’administration. Imaginez le scénario suivant : Vous êtes averti par une alerte qu’un logiciel malveillant a été introduit sur le parc. Celui-ci est une sévérité extrêmement rare. Vous souhaitez donc lancer une analyse complète sur l’ensemble des postes de travail. La fonctionnalité d’opérations ponctuelles va vous aider dans cette tâche.

     

    Pour cela, ouvrez la console d’administration et déroulez l’arborescence Site Database => Computer Management => Collections => All systems. Sélectionnez les postes sur lesquels vous souhaitez lancer l’opération et cliquez droit. Sélectionnez ensuite FEP Operations puis l’opération que vous souhaitez exécuter parmi l’analyse rapide, complète, ou encore la mise à jour des définitions.

     

    Une fenêtre s’affiche vous informant que l’opération a été programmée. Pour cela, une publication et collection ont été créées pour accueillir les machines cibles et l’opération.

     

    La publication a été créée dans le dossier FEP Operations de l’arborescence Site Database => Computer Management => Software Distribution => Advertisments :

     

    Une collection portant le nom <OPERATION> at <DATE_DE_LANCEMENT> est créée dans la collection Operations de l’arborescence : Site Database => Computer Management => Collections => FEP Collections :

     

    A l’issue de cette création, l’opération démarre dès que la publication est reçue par le client SCCM :

     

    Celui-ci lance un script VBS : « AmRemediation » :

     

     

    Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx

  • Forefront EndPoint Protection 2010 : Gestion des mises à jour

    4. Administration

     

     4.2 Gestion des mises à jour

    La gestion des mises à jour de définitions est une étape importante dans la gestion des clients Forefront EndPoint Protection. Microsoft publie des mises à jour de définitions plusieurs fois par jour pour actualiser les nouvelles menaces qui se présentent.  Vous pouvez mettre à jour les clients de différentes façons :

    • Via Microsoft Updates : Le client se connecte aux serveurs de mise à jour de Microsoft.
    • Via un chemin réseau: Vous l’avez vu dans la gestion des stratégies ; il est possible de créer un répertoire faisant office de dépôt des mises à jour. Le client récupère alors manuellement les définitions à partir de ce dossier.
    • Via System Center Configuration Manager ou Windows Server Updates Services : L’administrateur déploie et approuve les mises à jour massivement.

    Chacune de ces méthodes possèdent un avantage.  La mise à jour via Microsoft Updates peut permettre aux clients déconnectés du réseau de quand même bénéficier des mises à jour de définitions. L’utilisation d’un chemin réseau permet aux clients ne disposant pas d’un accès Internet ou d’une infrastructure de déploiement (points de distribution...) d’accéder aux mises à jour.  Enfin l’utilisation de SCCM ou WSUS permet à l’administrateur de mieux contrôler le déploiement des définitions.  Il est possible d’utiliser l’ensemble de ces méthodes conjointement.

    Nous n’aborderons ici que les méthodes de déploiement massives à savoir la gestion des mises à jour par System Center Configuration Manager 2007 et Windows Server Updates Services. Il faut savoir que le système de gestion des mises à jour par SCCM ne se prête pas vraiment à la gestion des mises à jour de définitions. Néanmoins, nous verrons les différentes méthodes (officielles ou non) à savoir :

    • Gestion manuelle par SCCM
    • Gestion automatique par WSUS (méthode officielle)
    • Gestion automatique par SCCM (méthode Officielle via les outils du Rollup 1)
    • Gestion automatique par SCCM (méthode non officielle)

    Notez que pour réaliser cette partie, vous devez disposer des connaissances nécessaires dans la gestion des mises à jour par WSUS et SCCM. Nous ne détaillerons pas l’installation et la configuration de l’infrastructure de déploiement de mises à jour.

     4.2.1 Gestion manuelle des mises à jour par SCCM

     

    Comme expliqué plus haut, le processus de gestion des mises à jour via System Center Configuration Manager ne se prête pas à la mise à jour des définitions FEP. En effet, les mises à jour de définitions ont lieu plusieurs fois par jour. La gestion des mises à jour via SCCM nécessite des opérations manuelles. Ceci signifie que l’administrateur devra procéder aux opérations suivantes au moins une fois par jour s’il veut que son infrastructure soit à jour.

    Commençons par revoir brièvement les paramétrages de l’infrastructure System Center Configuration Manager. Ouvrez la console d’administration, déroulez l’arborescence Site Database => Site Management => <SITECODE> - <SITENAME> => Site Settings => Client Agents. Ouvrez l’agent « Software Updates client Agent ». Vérifiez que celui-ci est activé et correctement configuré selon vos besoins :

     

    Cliquez ensuite sur le nœud Component Configuration. Ouvrez l’onglet « Classifications » et cochez la case « Definition Updates » :

     

    Cliquez ensuite sur l’onglet « Products » et cherchez le produit « Forefront EndPoint Protection 2010 ». Cochez la case pour activer la synchronisation du produit.

     

    Dans l’onglet « Languages », vérifiez que les langues des clients sont cochées pour pouvoir appliquer les mises à jour en fonction des langues locales de votre parc :

     

    Initiez ensuite une synchronisation. Pour cela, dirigez-vous dans l’arborescence Site Database => Computer Management => Software Updates => Update Repository. Cliquez droit et sélectionnez « Run Synchronization » :

     

    Validez le message pour procéder à la synchronisation :

     

    Vous pouvez valider que la synchronisation a eu lieu avec succès en visionnant le fichier de journalisation « wsyncmgr.log » :

     

    La mise à jour de définition apparaît ensuite dans la console dans l’arborescence : Site Database => Computer Management => Software Updates => Update Repository => Definition Updates => Microsoft => Forefront EndPoint Protection 2010 :

     

    Cliquez droit sur la mise à jour et sélectionnez « Deploy Software Updates » :

     

    Note : Il est recommandé d’utiliser des listes de mises à jour (Update List). Néanmoins nous n’utiliserons pas ce processus pour simplifier l’article.

    L’assistant s’ouvre. Celui-ci permet de créer le déploiement qui ciblera les clients. Entrez le nom d’un déploiement :

     

    Sur la page Deployment Template, vous pouvez choisir d’utiliser un modèle existant ou d’en créer un nouveau. Je vais pour ma part utiliser un modèle déjà créé pour les besoins d’une démonstration.

     

    A l’étape Deployment Package, créez un nouveau package de déploiement qui identifiera les mises à jour de définition. Vous devez pour cela entrer un nom et un chemin UNC faisant référence au répertoire source du package :

     

    Sélectionnez ensuite les points de distribution sur lesquels vous souhaitez déployer le package de mises à jour.
    Sur l’écran Download Location, vérifiez que l’option « Download software updates from the Internet” est cochée et passez à l’étape suivante :

     

    Sur la page Language Selection, cochez les langues que vous utilisez dans votre parc pour rendre disponible les mises à jour à l’ensemble des clients :

     

    A l’étape Schedule, vous pouvez programmer le déploiement de la mise à jour. Ainsi vous devez choisir la date de mise à disposition mais aussi la date de fin. Cette date de fin permet de forcer l’installation automatique des mises à jour.

     

    Validez l’écran de résumé pour procéder à la création du déploiement :

     

    Ouvrez une session sur une machine cliente ; celle-ci doit afficher une bulle de notification informant de la disponibilité d’une mise à jour :

     

    Cliquez sur cette bulle pour ouvrir la fenêtre de gestion des mises à jour logiciel. Cliquez sur Install pour procéder à l’installation. Notez que si la date de fin est égale à la date de mise à disposition ; l’utilisateur n’aura pas besoin de procéder à ces étapes et se verra forcer l’installation des mises à jour de définition.

     

    Une fois lancé, le client procède au téléchargement des fichiers de mise à jour :

     

    Enfin l’installation démarre :

     

    Une fois terminée, la mise à jour a été correctement appliquée au client Forefront comme vous pouvez le voir dans l’onglet Updates  de son interface :

     

     4.2.2 Gestion automatique par WSUS (méthode officielle)

     

    Nous avons vu comment gérer les mises à jour manuellement via System Center Configuration Manager 2007. La méthode qui suit permet de gérer automatiquement les mises à jour de définitions via Windows Server Updates Services en utilisant les règles d’approbation du produit. Cette méthode est la solution officielle fournie par Microsoft pour résoudre les lacunes de System Center Configuration Manager 2007. Celle-ci a ses avantages : Elle est officielle ! Mais elle dispose aussi de nombreux inconvénients :

    Elle n’utilise pas System Center Configuration Manager et le déploiement via les points distribution. Les mises à jour sont déployées via le serveur WSUS. Ainsi la gestion des sites distants est rendue plus difficile.

    L’administrateur ne dispose pas de l’ensemble des informations de Reporting (installation avec succès ou non…) de System Center Configuration Manager.

    Ouvrez la console d’administration WSUS et dirigez-vous dans le nœud Options.

     

    Sélectionnez « Automatic Approvals » pour ouvrir la fenêtre de configuration des règles d’approbation. Cliquez sur « New Rule… » pour créer une règle :

     

    Sur la fenêtre Add Rule, cochez « When an update is in a specific classification” et “When an update is in a specific product”. Sélectionnez ensuite la classification Definition Updates et le produit Forefront EndPoint Protection 2010. Appliquez cette règle à l’ensemble des ordinateurs.

    Note : Vous pouvez choisir de cibler un unique groupe de machines.

    Entrez ensuite le nom de la règle et cliquez sur Ok.

     

    Une fois ajoutée, vérifiez que la règle est cochée dans l’écran Automatic Approvals et cliquez sur OK

     

    Toujours dans les options de la console d’administration WSUS, sélectionnez Synchronization Schedule. Choisissez ensuite de procéder à la synchronisation automatique. Vous pouvez choisir la première synchronisation et la fréquence. Quatre fois par jour permettent de maintenir l’infrastructure à jour mais vous pouvez aussi accélérer la fréquence en passant à 24 fois par jour à partir de minuit.

     

    Une fois synchronisé, on peut observer à l’aide de filtre que les mises à jour de définition ont été correctement approuvées :

     

    Connectez-vous sur une machine cliente et ouvrez le client Forefront EndPoint Protection. Ouvrez l’onglet Update et procédez à la mise à jour du client. Le client consulte le serveur WSUS, télécharge et installe les mises à jour qui lui sont proposées :

     

    Le client est ensuite à jour :

     

    Vous pouvez configurer les paramètres de mise à jour du client via stratégie pour que celui-ci se mette à jour avant les analyses ou via stratégie de groupe pour forcer la consultation des mises à jour.

     

    4.2.3 Gestion automatique par SCCM (méthode Officielle)

     

    Microsoft a publié le correctif cumulatif 1 (Rollup 1) de Forefront EndPoint Protection (FEP) 2010 apportant son lot de correction et nouveautés (Voir http://microsofttouch.fr/blogs/js/archive/2011/06/28/forefront-endpoint-protection-fep-2010-correctif-cumulatif-1.aspx). Je souhaite aujourd’hui aborder l’utilisation du nouvel outil permettant de télécharger les mises à jour de définitions FEP automatiquement. Cet outil est Officiellement supporté par Microsoft.

    Notez que vous devez disposer des prérequis suivants :

    • SCCM 2007
    • WSUS 3.0
    • Un Software Update Point (SUP)

    Vous devez aussi configurer le Software Update Point ; créer un package contenant les mises à jour de définitions et publier les mises à jour à vos clients. Pour cela, je vous invite à consulter la partie 4.2.1 Gestion manuelle des mises à jour par SCCM de mon article sur FEP 2010. Retenez le nom du package et du Deployment Management (=Publication) que vous donnez.

    Commencez par télécharger l’outil : « fepsuasetup.cab » sur Microsoft Forefront Endpoint Protection (FEP) 2010 Update Rollup 1 Tools.

    Ouvrez le package « fepsuasetup.cab » et copiez l’outil « SoftwareUpdateAutomation.exe » dans c:\Program Files\Microsoft Configuration Manager\AdminUI\bin.

     

     Notez que l'outil propose les paramétres suivants :

    • /Help: Get program usage

    • /SiteServer: Site server computer name

    • /UpdateFilter: Filter for selecting software updates that are used for the destination packages

    • /AssignmentName: Name of destination software update assignment

    • /PackageName: Name of destination software update packages

    • /PreDownloadFolder: Destination folder holding downloaded update files

    • /UpdateLanguages: List of language IDs for requested software updates

    • /RefreshDP: Request automatic propagation of updated package to Distribution Points (true by default)

    Certaines options (siteservername) peuvent être nécessaires dans votre infrastructure en fonction de vos contraintes (topologie, langue...). Ces considérations ne seront pas détaillées dans l'article suivant.

    Deux solutions s’offrent ensuite à vous :

    • Créer une tâche planifiée Windows
    • Créer une règle de filtre d’état (Status Filter Rule) dans SCCM

    Cet article détaillera les deux solutions.

    Méthode 1 : La tâche planifiée Windows

    Commençons par la tâche planifiée Windows, ouvrez l’outil correspondant et cliquez sur Create Task. Donnez un nom à la tâche et vérifiez que l’option « Run whether user is logged on or not » est cochée afin que la tâche s’exécute dans chacun des cas.

    Ouvrez l’onglet Actions et ajoutez-en une nouvelle. Choisissez l’action « Start a program ». Spécifiez le chemin vers l’outil de mise à jour automatique en utilisant les variables d’environnement :

    • Pour un système 32 bits : %ProgramFiles%\Microsoft Configuration Manager\AdminUI\bin\SoftwareUpdateAutomation.exe
    • Pour un système 64 bits : %ProgramFiles(x86)%\Microsoft Configuration Manager\AdminUI\bin\SoftwareUpdateAutomation.exe

    Dans la partie arguments, spécifiez « /AssignementName <Nom de votre DeployementManagement> /PackageName <Nom de votre Package> ». J’entends par nom ; le nom qui s’affiche dans la console d’administration SCCM et que vous avez entrez dans l’assistant lors de la création de chacune des entitées.

    Ouvrez ensuite l’onglet Triggers, et cliquez sur New. Vous pouvez déclencher cette tâche dans deux modes de fonctionnement :

    • De manière programmée (On a schedule). Vous programmez l’action pour avoir lieu tous les jours de manière répétée toutes les heures. C’est la méthode présentée par Microsoft.
    • A la suite d’un événement (On an event). Cette méthode permet de déclencher l’exécution du programme après que l’événement de synchronisation avec succès de WSUS ait été remonté. Je préfère cette méthode car le programme s’exécutera en accord avec ma politique de programmation de la synchronisation WSUS.

    Nous allons détailler les deux méthodes. Commençons par la programmation récurrente, sélectionnez Daily (journalier). Vérifiez que la récurrence a lieu tous les jours et répétez l’opération toutes les heures pour une durée indéterminée.

    Passons au déclenchement à la suite de l’événement de synchronisation avec succès de WSUS. Pour cela, il faut identifier le numéro d’événement qui peut être remonté au travers des journaux d’événements du serveur :

    Choisissez le type de déclenchement sur un événement. Entrez ensuite les informations suivantes :

    • Log : Application
    • Source : SMS Server
    • EventID : 6702

    Vérifiez ensuite que la tâche est activée.

    Méthode 2 : Les règles de filtre d’état

    Nous allons maintenant décrire la deuxième option qui s’offre à vous : Créer une règle de filtrage d’état. Ouvrez la console d’administration et déroulez l’arborescence Site Database => Site Management => <SITECODE> - <SITENAME> => Site Settings => Status Filter Rules. Cliquez droit sur le nœud « Status Filter Rules » et sélectionnez « New Status FIlter Rules ».
    L’assistant s’ouvre. Entrez le nom de la règle (par exemple : « AutoDeploy FEP Updates ») et entrez les informations suivantes :

    • Source : ConfigMgr Server
    • Component : SMS_WSUS_SYNC_MANAGER
    • Message ID : 6702

    Sur la page Action, cochez Run a program et entrez l’adresse du programme et les arguments nécessaires :

    • Pour un système 32 bits : « %ProgramFiles%\Microsoft Configuration Manager\AdminUI\bin\SoftwareUpdateAutomation.exe » /AssignementName <Nom de votre DeployementManagement> /PackageName <Nom de votre Package>
    • Pour un système 64 bits : « %ProgramFiles(x86)%\Microsoft Configuration Manager\AdminUI\bin\SoftwareUpdateAutomation.exe » /AssignementName <Nom de votre DeployementManagement> /PackageName <Nom de votre Package>

    Terminez l’assistant pour procéder à la création.

    Après exécution d’une synchronisation l’outil de Microsoft procède aux opérations suivantes :

    • Téléchargement des mises à jour de définitions FEP
    • Ajout des mises à jour au package spécifié
    • Mise à jour du package sur les points de distribution déjà ciblé par l’administration
    • Ajout des mises à jour au DeploymentManagement spécifié

    Le fichier de journalisation est stocké dans %ProgramData%\SoftwareUpdateAutomation.log

     

     

     4.2.4 Gestion automatique par SCCM (méthode non officielle)

     

    Cette méthode de gestion automatique des mises à jour de définitions est proposée par Kim Oppalfens. Sa solution se rapproche des règles de déploiement automatique (ADR) de System Center Configuration Manager 2012.

    Pour faire simple, il faut configurer le Software update Point pour procéder à une synchronisation toutes les heures. Il faut ensuite créer une règle de filtrage d’état qui lors de la remontée de l’event id 6702 (synchronisation du serveur WSUS avec succès), lance un exécutable créé par Kim Oppalfens.

    Cette exécutable:

    • Télécharge les mises à jour spécifiées
    • Place les mises à jour dans un package
    • Distribue le package sur tous les points de distribution
    • Déploie ces mises à jour à une collection

    Avertissement : Cette solution est à implémenter à vos risques et périls mais elle a le mérite d’apporter une solution viable à un problème quotidien auquel font face les administrateurs SCCM/FCS/FEP.

    Commencez par télécharger les binaires de la solution proposée par Kim : http://www.myitforum.com/absolutenm/templates/Articles.aspx?articleid=20071&zoneid=89  Disposez-les dans un répertoire accessible par le serveur de site. Vous allez peut être devoir éditer les sources pour changer les références vers le SDK. Pour cela, lisez le README.

    Créez ensuite une règle de filtrage d’état. Ouvrez la console d’administration et déroulez l’arborescence Site Database => Site Management => <SITECODE> - <SITENAME> => Site Settings => Status Filter Rules. Cliquez droit sur le nœud « Status Filter Rules » et sélectionnez « New Status FIlter Rules ».
    L’assistant s’ouvre. Entrez le nom de la règle (par exemple : « AutoDeploy FEP Updates ») et entrez les informations suivantes :

    • Source : ConfigMgr Server
    • Component : SMS_WSUS_SYNC_MANAGER
    • Message ID : 6702

     

    Sur la page Actions, cochez la case « Run a program » puis entrez la ligne de commande : « "<chemin vers les sources de la solution>\SUM_E2E_Deployment.exe" <NOMDUPROVIDER> <ID_DE_LA_COLLECTION_CIBLE_DU_DEPLOIEMENT>.
    On retrouve par exemple dans mon cas : « "<chemin vers les sources de la solution>\SUM_E2E_Deployment.exe" WTVN-SCCMSS LYN00027

     

    Passez à l’écran suivant et validez le résumé pour procéder à la création. Fermez ensuite l’écran de confirmation.

     

    Note : Vous devez reconfigurer votre Software Update Point pour qu’il procède à des synchronisations toutes les heures.

    Une fois la synchronisation effectuée ; le processus créé un package « Latest Forefront Definition Updates Package » déployé sur tous les points de distribution et comprenant les dernières mises à jour de définitions :

     

    Dans le même temps, un déploiement « Forefront Auto-Approved updates » a été créé. Celui-ci cible la collection LYN00027 et comporte les mises à jour de définitions :

     

    Ce déploiement ne dispose pas de date de fin forçant le déploiement. Vous pouvez ainsi aisément le modifier pour correspondre à votre politique de mise à jour :

     

    Connectez-vous ensuite sur un client faisant parti de la collection cible du déploiement. Ce client doit recevoir un déploiement optionnel de mise à jour des définitions antivirales Forefront EndPoint Protection :

     

    Une fois installée, la mise à jour est correctement appliquée au client Forefront :

     

    Vous avez vu dans cette partie, différentes méthodes de gestion des mises à jour de définitions afin de déployer massivement sur le parc informatique. Chacune dispose des avantages et des  inconvénients. Il ne fait aucun doute que la gestion manuelle des mises à jour par System Center Configuration Manager rallonge considérablement le temps quotidien passé à l’administration du produit. La solution officielle de Microsoft est un bon compromis. Néanmoins, elle n’utilise pas les avantages des points de distribution souvent utilisés pour distribuer les packages au sein d’infrastructure riche en sites distants.

     

    Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx

     

  • Forefront EndPoint Protection 2010 : Gestion des stratégies

    4. Administration

     

    Les tâches d’administration du produit passent par différentes composantes comme la gestion des stratégies s’appliquant aux clients, la gestion des mises à jour, la gestion des opérations de maintenance, la gestion des alertes, ou la surveillance de l’état de l’infrastructure au travers des rapports. Cette partie vous permettra d’aborder tous ces concepts.

     4.1 Gestion des stratégies (Policies)

    La gestion des stratégies est la tâche la plus importante qu’un administrateur doit opérer sur l’infrastructure FEP. Les stratégies (Policies) sont un ensemble d’éléments/paramétrages s’appliquant au client Forefront EndPoint Protection. Elles permettent de régir le comportement du client. On retrouve ainsi la gestion :

    • De la programmation des scans
    • De la protection en temps réel
    • Des notifications,
    • Des actions face à une menace
    • Des exceptions (fichiers, types de fichiers, processus…)
    • Les répertoires ou fichiers exclus de la recherche

     

    Pour visualiser les stratégies, ouvrez la console d’administration Configuration Manager. Déroulez l’arborescence Site Database => Computer Management => Forefront EndPoint Protection => Policies.

     

     4.1.1 Les stratégies par défaut

     

    Forefront EndPoint Protection fournit deux stratégies par défaut s’appliquant à tous les clients :

    • Default Server Policy s’applique à toutes les machines de type serveur. Elle est appliquée au travers d’une publication (Assign FEP policy Default Desktop Policy)  sur la collection Deployed Servers.
    • Default Desktop Policy s’applique à toutes les stations de travail. Elle est appliquée au travers d’une publication (Assign FEP policy Default Server Policy) sur la collection Deployed Desktops.

    Vous ne pouvez pas supprimer les stratégies par défaut et ce afin d’assurer le bon fonctionnement de l’infrastructure. De cette façon, une stratégie est toujours appliquée à un client FEP. Vous pouvez néanmoins facilement éditer les propriétés de la stratégie pour modifier les différents paramètres.

    Il est conseillé de ne pas les modifier car celles-ci ont été construite comme un standard s’appliquant aux deux types de profil. Si vous souhaitez appliquer des paramètres spécifiques, vous pouvez créer une nouvelle stratégie (Policy) qui prendra le dessus sur la stratégie par défaut.

    Nous n’allons pas détailler ici écran par écran les différents paramétrages. Néanmoins, vous pouvez trouver des tableaux regroupant les principales différences entre les deux stratégies.

    Note : Nous détaillerons la signification de chaque paramètre lors de la création des stratégies personnalisées.

    Voici les paramétrages pour chacune des stratégies par défaut en ce qui concerne les analyses programmées :

    Scheduled Scans (params)

    Default Desktop Policy

    Default Server Policy

    Activé

    Oui

    Non

    Type d’analyse

    Analyse Hebdomadaire rapide

    Aucune

    Programmation (Jour)

    Samedi

    -

    Programmation (heure)

    03h00

    -

    Vérification des mises à jour avant de démarrer l’analyse

    Oui

    -

    Analyse uniquement quand l’ordinateur n’est pas utilisé

    Oui

    -

    Randomiser le démarrage de l’analyse programmée (intervalle de 30 min)

    Oui

    -

    Force une analyse lors du démarrage du poste si plus de deux analyses ont été manquées

    Non

    -

    Limite l’utilisation CPU durant les analyses

    Oui (50%)

    Oui (30%)

    Autorise l’utilisateur à configurer l’usage processeur pour les analyses

    Non

    Non

    Contrôle de l’utilisateur sur les analyses programmées

    Aucun contrôle

    Aucun contrôle

     

    Le tableau suivant récapitule les actions utilisées par défaut lors de la découverte d’une menace :

    Default Actions (params)

    Default Desktop Policy

    Default Server Policy

    Sévère

    Utilise l’action recommandée

    Utilise l’action recommandée

    Haute

    Utilise l’action recommandée

    Utilise l’action recommandée

    Moyenne

    Mise en quarantaine

    Mise en quarantaine

    Faible

    Autorise

    Autorise

     

    Ce tableau rassemble les paramètres des deux stratégies par défaut en ce qui concerne la protection en temps réel :

    Real-time protection (params)

    Default Desktop Policy

    Default Server Policy

    Activée

    Oui

    Oui

    Analyse des fichiers système

    Analyse des fichiers entrants et sortants

    Analyse des fichiers entrants et sortants

    Analyse tous les fichiers téléchargés et pièces jointes

    Oui

    Non

    Utilise la supervision  du comportement

    Oui

    Oui

    Active la protection contre les exploits réseau

    Oui

    Non

    Autorise l’utilisateur à configurer les paramétrages de la protection en temps réelle

    Non

    Oui

     

    Vous trouvez ci-dessous trois tableaux regroupant les exclusions de répertoires, de fichiers, de types de fichiers et de processus pour les stratégies par défaut :

    Excluded files and locations

    Default Desktop Policy

    Default Server Policy

    %windir%\SoftwareDistribution\ Datastore

    Datastore.edb
    Res*.log

    Res*.jrs

    Edb.chk

    Tmp.edb

    Datastore.edb
    Res*.log

    Res*.jrs

    Edb.chk

    Tmp.edb

    %windir%\Security\Database

    *.edb, *.sdb, *.log

    *.chk, *.jrs

    *.edb, *.sdb, *.log

    *.chk, *.jrs

    %ALLUSERSPROFILE%\NTuser.pol

    Oui

    Oui

    %SystemRoot%\system32\ GroupPolicy\registry.pol

    Oui

    Oui

     

    Excluded files types

    Default Desktop Policy

    Default Server Policy

     

    Aucun

    Aucun

     

    Excluded processes

    Default Desktop Policy

    Default Server Policy

     

    Aucun

    Aucun

     

    Voici les différences entre les deux stratégies en ce qui concerne les paramétrages avancés du client Forefront EndPoint Protection :

    Advanced

    Default Desktop Policy

    Default Server Policy

    Analyse des fichiers archivés

    Oui

    Oui

    Analyse des lecteurs réseau lors des analyses complètes

    Non

    Non

    Analyse des périphériques de stockage amovibles (Clé USB…)

    Non

    Non

    Créer un point de restauration système avant de nettoyer l’ordinateur

    Non

    Non

    Afficher un message de notification à l’utilisateur lorsque une opération (analyse complète, téléchargement de définitions…) est nécessaire

    Non

    Non

    Suppression des fichiers en quarantaine

    Non

    Non

    Autorise l’utilisateur à configurer la période de suppression automatique des fichiers en quarantaine

    Non

    Non

    Autorise l’utilisateur à exclure des répertoires, fichiers, type de fichiers et processus

    Non

    Oui

     

     

    Overrides

    Default Desktop Policy

    Default Server Policy

     

    Aucun

    Aucun

     

    Ce tableau résume les différences en ce qui concerne Microsoft SpyNet :

    Microsoft SpyNet

    Default Desktop Policy

    Default Server Policy

    Activé

    Oui

    Oui

    Abonnement

    Basic

    Basic

    Autorise l’utilisateur à changer les paramétrages SpyNet

    Non

    Non

     

    Le tableau Updates regroupe les paramétrages de mises à jour du client pour les deux stratégies :

    Updates

    Default Desktop Policy

    Default Server Policy

    Vérification des définitions (intervalle)

    Toutes les 8 heures

    Toutes les 8 heures

    Force la mise à jour des définitions si celle-ci a échoué il y a

    1 jour

    1 jour

    Mise à jour à partir d’un partage de fichier

    Non

    Non

    Mise à jour à partir de WSUS ou SCCM

    Oui

    Oui

    Mise à jour à partir de Microsoft Update

    Oui

    Oui

     

    Voici un récapitulatif des paramétrages de gestion du Firewall Windows pour les deux stratégies par défaut :

    Windows Firewall

    Default Desktop Policy

    Default Server Policy

    Gestion de Windows Firewall

    Activée

    Desactivée

    Réseau Domaine :

     

     

    Etat du Firewall

    Activé

    -

    Connexions entrantes

    Bloquées

    -

    Affichage d’une notification

    Oui

    -

    Réseaux Privés :

     

     

    Etat du Firewall

    Activé

    -

    Connexions entrantes

    Bloquées

    -

    Affichage d’une notification

    Oui

    -

    Réseaux Publics :

     

     

    Etat du Firewall

    Activé

    -

    Connexions entrantes

    Bloquées

    -

    Affichage d’une notification

    Oui

    -

     

     4.1.2 Création de stratégies personnalisées

     

    Après avoir décortiqué les stratégies par défaut fournies avec Forefront EndPoint Protection, nous allons entrer dans le vif du sujet et voir comment créer une stratégie personnalisée. Nous détaillerons dans cette partie l’ensemble des étapes de création et d’édition. Vous trouverez ici la définition de chaque paramètre.

    Pour créer votre stratégie (Policy) personnalisée, ouvrez la console d’administration Configuration Manager. Déroulez l’arborescence Site Database => Computer Management => Forefront EndPoint Protection => Policies. Cliquez droit sur le nœud Policies et sélectionnez New Policy :

     

    L’assistant de création d’une stratégie s’ouvre. Nous allons créer une stratégie personnalisée qui s’appliquera à tous les ordinateurs portables (profils itinérants, commerciaux, consultants…). Entrez le nom de la stratégie et la description :

     

    Sur l’écran Policy Type, vous devez choisir le type de stratégie que vous souhaitez créer. Les différentes options proposées sont des modèles qui vous permettront d’adapter la stratégie au besoin émis. On retrouve ainsi 4 types principaux :

    • Standard desktop policy : fournit des paramétrages pour les postes de travail standard. Une analyse rapide a lieu par semaine et l’utilisation du processeur est limitée à 50%
    • High-security Policy : Cette stratégie donne un niveau de sécurité maximum en incluant des analyses rapides tous les jours et une analyse complète par semaine. L’utilisation processeur n’est pas limitée et la configuration du Firewall est optimisée pour éviter les intrusions.
    • Performance optimized policy : Cette stratégie offre une configuration permettant une protection sécurité minimale tout en offrant un niveau de performance maximum. L’usage processeur est limité à 30% et une analyse rapide a lieu toutes les semaines.
    • Policy template : Cette option permet de sélectionner des modèles de sécurité pour des cas bien particuliers comme des rôles serveurs. Les modèles incluent ainsi des paramétrages spécifiques aux rôles comme des exclusions de fichiers ou de processus. Voici la liste des modèles offerts :
      • Microsoft SQL Server 2005
      • Microsoft SQL Server 2008
      • Internet Information Services (IIS) 6 et 7
      • System Center Configuration Manager 2007
      • Microsoft Exchange Server 2007/2010
      • FEP Exchange et Microsoft Forefront Protection 2010 for Exchange Server (FPE)
      • Microsoft SharePoint 2010
      • Microsoft Office SharePoint® Server 2007 et Microsoft Forefront Protection 2010 for SharePoint (FPSP)
      • Domain Controller
      • Microsoft Hyper-V (host)
      • Terminal Services
      • DNS Server
      • DHCP Server
      • File Services
      • System Center Operations Manager 2007
      • Server (stratégie par défaut recommandée par Microsoft pour des serveurs)

     

    Nous aborderons plus tard dans cette partie la création d’une stratégie dédiée à un rôle serveur.

    Sélectionnez le type de stratégie « Standard desktop policy » puis passez à l’écran suivant :

     

    Sur l’écran Scheduled Scans, vous pouvez choisir de programmer des analyses en cochant « schedule type and time of scan ». Vous pouvez sélectionner le type et la fréquence des analyses en choisissant :

    • Une analyse rapide par semaine
    • Une analyse complète par semaine
    • Une analyse rapide par jour
    • Une analyse complète par jour
    • Une analyse rapide par jour et une analyse complète par semaine.

    Vous devez ensuite choisir la programmation (jour et heure) de ces analyses.

     

    La page suivante permet d’ajouter des exclusions à l’analyse. Par défaut, on retrouve les exclusions habituelles du dossier Software Distribution.  Il peut être intéressant d’exclure certains fichiers comme des bases de données afin d’optimiser le fonctionnement de certains programmes.

     

    A l’étape Updates, vous pouvez spécifier les différentes méthodes utilisées pour mettre à jour le client Forefront et déployer les nouvelles définitions antivirales. Vous pouvez ainsi :

    • Autoriser la mise à jour en utilisant un chemin réseau (UNC)
    • Autoriser la mise à jour via SCCM ou WSUS (coché par défaut)
    • Autoriser la mise à jour à partir de Microsoft Updates (coché par défaut)

     

     

    L’écran Client Configuration permet de configurer les interactions entre l’utilisateur et le client. Vous pouvez ainsi choisir de laisser l’utilisateur configurer la protection en temps réel ou encore les programmations d’analyse. Vous pouvez aussi cocher « Show notification messages to users on … » pour afficher des notifications à l’utilisateur lorsque des actions sont nécessaires. Ceci peut se caractériser par le lancement d’une analyse complète ou le téléchargement des dernières définitions de virus et de logiciels malveillants.

     

    Validez l’écran de résumé pour procéder à la création de la stratégie :

     

    Une fois créée, on retrouve notre stratégie dans la liste des stratégies disponibles :

     

    Maintenant que la stratégie est créée, je vous propose de rentrer plus en détail dans les paramétrages offerts par ces stratégies. Pour cela dans l’arborescence Site Database => Computer Management => Forefront EndPoint Protection => Policies, cliquez droit sur la stratégie et choisissez Properties

     

    Une fois la fenêtre des propriétés ouverte, on se retrouve dans l’onglet General. Cet onglet présente le nom et la description de la stratégie. Vous pouvez y retrouver les collections qui se voient assigner la stratégie.

    On retrouve aussi la date de création et de modification ainsi que le numéro de version de la stratégie. Le numéro de version est incrémenté à chaque fois que la stratégie est modifiée.

     

    Ouvrez l’onglet Antimalware.  Dans la partie Scheduled scans, on retrouve les paramétrages suivants :

    • Schedule type and time of scan : Ce paramétrage permet d’activer l’analyse du poste de travail et configure ainsi le type d’analyse et la programmation
    • Scan type : permet de configurer le type d’analyse parmi les choix suivants :
      • Une analyse rapide par semaine
      • Une analyse complète par semaine
      • Une analyse rapide par jour
      • Une analyse complète par jour
      • Une analyse rapide par jour et une analyse complète par semaine.
    • Scan Time  offre la possibilité de configurer l’heure à laquelle doit avoir lieu l’analyse journalière
    • Weekly scan donne deux champs permettant de configurer le jour et l’heure à laquelle doit avoir lieu l’analyse hebdomadaire.
    • Check for definition updates before starting a scan permet de vérifier les mises à jour de definition avant de lancer une analyse.
    • Scan only when the computer is not in use : Cette option permet de lancer une analyse uniquement lorsque la machine n’est pas utilisée par une personne. Elle utilise pour cela le temps d’inactivité déjà utilisé pour lancer l’économiseur d’écran.
    • Randomize scheduled scan start times : Ce paramètre s’il est activé permet de lancer l’analyse dans un intervalle de temps aléatoire compris entre la date de programmation et les 30 prochaines minutes. Cette option permet d’éviter que tous les postes de travail ciblés par la stratégie démarrent en même temps l’analyse.
    • Force a scan upon restart when two or more scheduled scans are missed : Cette option permet de forcer l’analyse au démarrage lorsque deux ou plusieurs analyses programmées ont été ratées. Ceci est très pratique si le poste de travail a été hors ligne (éteint, en veille…) pendant une période plus ou moins longue.
    • Limit processor usage during scans to the following percentage : permet de limiter l’usage processeur alloué à l’analyse du poste de travail à un pourcentage maximum.
    • Allow users on endpoint computers to configure processor usage limits for scans : Cette option donne le droit à l’utilisateur de configurer lui-même la limite d’usage du processeur alloué à l’analyse.
    • User’s control on scheduled scans : Cette option permet de régir le contrôle que peut avoir l’utilisateur sur les analyses programmées. On retrouve les options suivantes :
      • Aucun contrôle
      • Autorise le changement de l’heure d’analyse seulement
      • Contrôle total : Autorise l’activation, la désactivation ou le paramétrage du type et de la programmation de l’analyse.

     

    Dans la partie Default actions, on retrouve les paramétrages liés aux actions par défaut face à des niveaux de menaces détectés. Ces niveaux de menace (sévère, haute, moyenne ou faible) sont déterminés par Microsoft en fonction de la sévérité de celle-ci :

    • Action recommandée par Microsoft : Ce paramétrage peut potentiellement procéder à tous les scénarios d’action.
    • Remove : Cette action supprime la menace.
    • Quarantaine : Cette action met en quarantaine la menace
    • Allow (Autorise) : Cette action autorise la menace.

     

     

    La partie Real-time protection rassemble les options concernant le module de protection en temps réel :

    • Enable real-time protection permet d’activer la protection en temps réelle
    • Scan system files : Cette option permet de définir quels fichiers système vous souhaitez analyser. (Par défaut l’option analyse les fichiers entrants et sortants)
    • Scan all downloaded files and attachments : Cette option permet d’analyser tous les fichiers téléchargés ou toutes les pièces jointes reçues en temps réel.
    • Use behavior monitoring : permet d’activer la supervision des comportements. Ce mécanisme  est utilisé par Forefront pour surveiller le comportement du système pour bloquer les menaces inconnues.
    • Enable protection against network-based exploits : Ce paramètre active la protection contre les attaques par le réseau.
    • Allow users on endpoint computers to configure real-time protection settings : autorise l’utilisateur à modifier les paramétrages de la protection en temps réel.

     

    L’écran Excluded files and locations permet d’ajouter des exceptions à l’analyse faite par Forefront EndPoint Protection pour éviter que certains fichiers ou répertoires soient analysés. Ceci peut permettre d’améliorer les performances de certaines applications (par exemple dans le cadre de bases de données) mais augmente le risque des machines.

     

    L’écran Excluded file types permet d’ajouter des exceptions pour certains types de fichiers.

     

    L’écran Excluded processes permet d’ajouter des exceptions pour certains processus afin d’éviter d’interférer avec le comportement de certaines applications et rendre l’exécution plus performante.

     

    La partie Advanced offre des paramétrages supplémentaires :

    • Scan archived files : Cette option permet d’analyser les fichiers archivés
    • Scan network drives when running a full scan : Ce paramétrage permet d’analyser les lecteurs réseau lorsqu’une analyse complète est lancée.
    • Scan removable storage devices : Cette option permet de procéder à l’analyse des périphériques de stockage amovibles (Clé USB…).
    • Create a system restore point before cleaning computers : Ce paramètre  permet de créer un point de restauration système avant toute tentative de nettoyage de la machine si une menace a été détectée.
    • Show notification messages to users on endpoint computers when they need to perform the following actions : Cette option permet d’afficher des notifications à l’utilisateur lorsqu’il est nécessaire de procéder à des analyses complètes, aux téléchargements des mises à jour de définitions antivirales
    • Delete quarantined files after : permet de supprimer automatiquement les fichiers mis en quarantaine après une période donnée.
    • Allow users on endpoint computers to configure quarantined delete period : Cette option donne le droit à l’utilisateur de modifier la période de suppression automatique des fichiers en quarantaine.
    • Allow users on endpoint computers to exclude files and locations, file types, and processes : Ce paramètre donne le droit à l’utilisateur de modifier les exceptions de fichiers, répertoires, types de fichiers, et processus.

     

     

    La partie Overrides permet de spécifier des exceptions permettant d’outrepasser le comportement des actions recommandées. Vous pouvez ainsi pour certaines menaces (vous trouverez la liste sur : http://www.microsoft.com/security/portal/Threat/Encyclopedia/Browse.aspx), spécifiez des actions particulières qui prendront le dessus sur l’action recommandée.

     

    L’écran de configuration Microsoft SpyNet permet de configurer l’abonnement à SpyNet. Vous pouvez ainsi désactiver l’abonnement ou choisir le type. L’option « Allow users on endpoint computers to change SpyNet settings » autorise l’utilisateur final de modifier lui-même les paramètres de SpyNet.

     

    L’onglet Updates offre différents paramétrages permettant de modifier le comportement de mis à jour du client :

    • Vous pouvez ainsi choisir à quelle fréquence vous souhaitez que le client procède à la vérification des mises à jour de définition.  Ceci peut avoir lieu à heure fixe ou à intervalle régulier en heure.
    • Force a definition update when definition updates have failed  : Ce paramètre permet de forcer la mise à jour des définition si une mise à jour de définition a échoué à un intervalle de jour configuré.
    • Vous pouvez ensuite choisir par quel moyen le client Forefront EndPoint Protection pourra récupérer ses mises à jour de définition :
      • En utilisant un chemin réseau
      • En utilisant la distribution des mises à jour par SCCM ou WSU
      • En utilisant Microsoft Updates
    • Enfin vous pouvez spécifiez les chemins réseau si vous avez choisi cette méthode de mise à jour.

     

    L’onglet Windows Firewall permet de spécifier les paramètres de configuration influant sur le firewall Windows.

    • Manage Windows Firewall  permet d’activer la gestion du firewall par le client Forefront.
      Cette option déverrouille la configuration des options suivantes pour les différents types de réseau (domaine, privé, public) :
      • Etat du firewall : Cette option permet d’activer/désactiver le firewall en fonction du réseau
      • Incoming connections : permet de spécifier le comportement du firewall face aux connexions entrantes (bloquées…)
      • Display a notification permet d’afficher des notifications lorsqu’une exception doit être enregistrée.

     

     4.1.3 Création d’une stratégie basée sur un modèle pour un rôle serveur

     

    Nous avons vu comment créer une stratégie personnalisée assez standard basée sur les types disponibles. Ceux-ci se prêtent principalement à une utilisation pour les postes de travail. Microsoft propose néanmoins des modèles spécifiques aux serveurs et aux différents rôles et produits qu’ils peuvent héberger.

    Nous allons créer une stratégie à destination des serveurs de site System Center Configuration Manager. Celle-ci devra prendre en considération les différents mécanismes des serveurs cibles.

    Procéder à la création d’une nouvelle stratégie. Une fois l’assistant ouvert, entrez le nom de la stratégie et sa description.

     

    Sur l’écran Policy Type, cochez « Policy template » et choisissez le modèle « FEP Configuration Manager 2007 including Defaults » :

     

    Validez l’écran de résumé pour procéder à la création :

     

    Une fois créée, nous pouvons éditer cette stratégie spécifique au produit System Center Configuration Manager 2007. Nous pouvons remarquer dans les paramétrages Antimalware => Excluded files and Locations qu’il y a de nombreuses exclusions associées au chemin d’installation de System Center Configuration Manager :

     

    Ces modèles sont un bon moyen d’adapter facilement le comportement du client Forefront EndPoint Protection au rôle et produits sur lequel il est installé.

     4.1.4 Assignation d'une stratégie personnalisée

     

    Après avoir créé nos stratégies, nous allons pouvoir les assigner aux clients Forefront cibles de la configuration. La première étape consiste à créer les collections et l’arborescence des collections nécessaires à votre infrastructure. Vous pouvez créer les collections au niveau de FEP Collections => Deployment Status => Deployment Succeeded. Pour plus de clarté, j’ai créé une arborescence séparée et totalement dédiée à l’application des stratégies personnalisées :

     

    Ce découpage est bien entendu présenté à titre indicatif ; vous êtes libre d’organiser celles-ci selon vos besoins.

    Pour assigner une stratégie, rendez-vous dans la console d’administration Configuration Manager et déroulez l’arborescence Site Database => Computer Management => Forefront EndPoint Protection => Policies. Cliquez droit sur la stratégie que vous souhaitez déployer et sélectionnez « Assign Policy… » :

     

    Une fenêtre s’ouvre. Celle-ci permet d’ajouter des collections qui seront la cible de la stratégie. Cliquez sur « Add… » pour les ajouter. Vous pouvez ensuite cocher la case « Include subcollections » si vous souhaitez que la publication se propage aux sous-collections :

     

    Une fois ajoutée, nous pouvons voir que la publication est assignée à la collection que nous avons choisie :

     

     4.1.5 Edition de la priorité

     

    Un client Forefront EndPoint Protection peut se voir attribuer plusieurs stratégies mais il n’en appliquera qu’une seule. Un client se voit toujours attribué au moins une stratégie. Les deux stratégies par défaut ne peuvent être supprimées pour cette raison et assure ainsi un « service minimum » sur les nouveaux clients.

    Afin de pouvoir au mieux gérer l’application d’une et une seule stratégie sur chaque client ; celles-ci se voient attribuer une priorité. Cette priorité permet au client de s’avoir quelle stratégie doit s’appliquer si plusieurs lui sont proposées. Plus le numéro de priorité est faible ; moins la stratégie est prioritaire. Ainsi si un client se voit attribuer une stratégie avec un numéro de priorité 15 et la stratégie par défaut (priorité 1) ; ce sera bien la stratégie avec la priorité 15 qui sera appliquée.

    Les deux stratégies par défaut ont la propriété la plus faible (respectivement 1 pour la stratégie poste de travail et 2 pour les serveurs).

    Note : Lors de la création d’une nouvelle stratégie, celle-ci se voit assigner la priorité maximale.

    Il est possible d’éditer la priorité des stratégies.  Pour cela, ouvrez la console d’administration et déroulez l’arborescence Site Database => Computer Management => Forefront EndPoint Protection => Policies. Cliquez droit sur le nœud Policies et sélectionnez « Edit Policy Precedence… » .

     

    Une fenêtre s’ouvre afin de vous permettre de déplacer vers le haut (en donnant une priorité supérieure) ou vers le bas (en donnant une priorité inférieure) chaque stratégie.

     

    Veuillez noter qu’il n’est pas possible de modifier la priorité des stratégies par défaut.

     

     4.1.6 Récapitulatif des paramétrages de chacun des types de stratégie

     

    Voici les paramétrages pour chacun des types de stratégie en ce qui concerne les analyses programmées :

    Scheduled Scans (params)

    Standard Desktop Policy

    High-security Policy

    Performance-optimized policy

    Activé

    Oui

    Oui

    Oui

    Type d’analyse

    Analyse Hebdomadaire rapide

    Analyse journalière rapide et hebdomadaire complète

    Analyse Hebdomadaire rapide

    Programmation (Jour)

    Samedi

    Samedi (3h00)

    Samedi

    Programmation (heure)

    03h00

    02h00

    03h00

    Vérification des mises à jour avant de démarrer l’analyse

    Oui

    Oui

    Oui

    Analyse uniquement quand l’ordinateur n’est pas utilisé

    Oui

    Non

    Oui

    Randomiser le démarrage de l’analyse programmée (intervalle de 30 min)

    Oui

    Oui

    Oui

    Force une analyse lors du démarrage du poste si plus de deux analyses ont été manquées

    Non

    Oui

    Non

    Limite l’utilisation CPU durant les analyses

    Oui (50%)

    Non

    Oui (30%)

    Autorise l’utilisateur à configurer l’usage processeur pour les analyses

    Non

    Non

    Non

    Contrôle de l’utilisateur sur les analyses programmées

    Aucun contrôle

    Aucun contrôle

    Aucun contrôle

     

    Le tableau suivant récapitule les actions utilisées par défaut lors de la découverte d’une menace :

    Default Actions (params)

    Standard Desktop Policy

    High-security Policy

    Performance-optimized policy

    Sévère

    Utilise l’action recommandée

    Utilise l’action recommandée

    Utilise l’action recommandée

    Haute

    Utilise l’action recommandée

    Utilise l’action recommandée

    Utilise l’action recommandée

    Moyenne

    Mise en quarantaine

    Mise en quarantaine

    Mise en quarantaine

    Faible

    Autorise

    Autorise

    Autorise

     

    Ce tableau rassemble les paramètres des types de stratégie en ce qui concerne la protection en temps réel :

    Real-time protection (params)

    Standard Desktop Policy

    High-security Policy

    Performance-optimized policy

    Activée

    Oui

    Oui

    Oui

    Analyse des fichiers système

    Analyse des fichiers entrants et sortants

    Analyse des fichiers entrants et sortants

    Analyse des fichiers entrants et sortants

    Analyse tous les fichiers téléchargés et pièces jointes

    Oui

    Oui

    Oui

    Utilise la supervision  du comportement

    Oui

    Oui

    Oui

    Active la protection contre les exploits réseau

    Oui

    Oui

    Oui

    Autorise l’utilisateur à configurer les paramétrages de la protection en temps réelle

    Non

    Non

    Non

     

    Vous trouvez ci-dessous trois tableaux regroupant les exclusions de répertoires, de fichiers, de types de fichiers et de processus pour des types de stratégie :

    Excluded files and locations

    Standard Desktop Policy

    High-security Policy

    Performance-optimized policy

    %windir%\SoftwareDistribution\ Datastore

    Datastore.edb
    Res*.log

    Res*.jrs

    Edb.chk

    Tmp.edb

    Datastore.edb
    Res*.log

    Res*.jrs

    Edb.chk

    Tmp.edb

    Datastore.edb
    Res*.log

    Res*.jrs

    Edb.chk

    Tmp.edb

    %windir%\Security\Database

    *.edb, *.sdb, *.log

    *.chk, *.jrs

    *.edb, *.sdb, *.log

    *.chk, *.jrs

    *.edb, *.sdb, *.log

    *.chk, *.jrs

    %ALLUSERSPROFILE%\NTuser.pol

    Oui

    Oui

    Oui

    %SystemRoot%\system32\ GroupPolicy\registry.pol

    Oui

    Oui

    Oui

     

    Excluded files types

    Standard Desktop Policy

    High-security Policy

    Performance-optimized policy

     

    Aucun

    Aucun

    Aucun

     

    Excluded processes

    Standard Desktop Policy

    High-security Policy

    Performance-optimized policy

     

    Aucun

    Aucun

    Aucun

     

    Voici les différences entre les types de stratégie en ce qui concerne les paramétrages avancés du client Forefront EndPoint Protection :

    Advanced

    Standard Desktop Policy

    High-security Policy

    Performance-optimized policy

    Analyse des fichiers archivés

    Oui

    Oui

    Oui

    Analyse des lecteurs réseau lors des analyses complètes

    Non

    Non

    Non

    Analyse des périphériques de stockage amovibles (Clé USB…)

    Non

    Non

    Non

    Créer un point de restauration système avant de nettoyer l’ordinateur

    Non

    Non

    Non

    Afficher un message de notification à l’utilisateur lorsque une opération (analyse complète, téléchargement de définitions…) est nécessaire

    Non

    Non

    Non

    Suppression des fichiers en quarantaine

    Non

    Non

    Non

    Autorise l’utilisateur à configurer la période de suppression automatique des fichiers en quarantaine

    Non

    Non

    Non

    Autorise l’utilisateur à exclure des répertoires, fichiers, type de fichiers et processus

    Non

    Non

    Non

     

     

    Overrides

    Standard Desktop Policy

    High-security Policy

    Performance-optimized policy

     

    Aucun

    Aucun

    Aucun

     

    Ce tableau résume les différences concernant Microsoft SpyNet :

    Microsoft SpyNet

    Standard Desktop Policy

    High-security Policy

    Performance-optimized policy

    Activé

    Oui

    Oui

    Oui

    Abonnement

    Basic

    Basic

    Basic

    Autorise l’utilisateur à changer les paramétrages SpyNet

    Non

    Non

    Non

     

    Le tableau Updates regroupe les paramétrages de mises à jour du client pour les types de stratégie:

    Updates

    Standard Desktop Policy

    High-security Policy

    Performance-optimized policy

    Vérification des définitions (intervalle)

    Toutes les 8 heures

    Toutes les 8 heures

    Toutes les 8 heures

    Force la mise à jour des définitions si celle-ci a échoué il y a

    1 jour

    1 jour

    1 jour

    Mise à jour à partir d’un partage de fichier

    Non

    Non

    Non

    Mise à jour à partir de WSUS ou SCCM

    Oui

    Oui

    Oui

    Mise à jour à partir de Microsoft Update

    Oui

    Oui

    Oui

     

    Voici un récapitulatif des paramétrages de gestion du Firewall Windows pour les types de stratégie :

    Windows Firewall

    Standard Desktop Policy

    High-security Policy

    Performance-optimized policy

    Gestion de Windows Firewall

    Activée

    Activée

    Desactivée

    Réseau Domaine :

     

     

     

    Etat du Firewall

    Activé

    Activé

    -

    Connexions entrantes

    Bloquées

    Bloquées

    -

    Affichage d’une notification

    Oui

    Oui

    -

    Réseaux Privés :

     

     

     

    Etat du Firewall

    Activé

    Activé

    -

    Connexions entrantes

    Bloquées

    Bloquées

    -

    Affichage d’une notification

    Oui

    Oui

    -

    Réseaux Publics :

     

     

     

    Etat du Firewall

    Activé

    Activé

    -

    Connexions entrantes

    Bloquées

    Bloquées

    -

    Affichage d’une notification

    Oui

    Oui

    -

     

     4.1.7 Fonctionnement de l’intégration des stratégies à System Center Configuration Manager

     

    Cette partie va vous permettre de comprendre comment Forefront EndPoint Protection 2010 s’intègre aux différents mécanismes de System Center Configuration Manager 2007.

    La création d’une stratégie n’est ni plus ni moins qu’associée à la création d’un nouveau programme dans le package Microsoft Corporation FEP – Policies 1.0 :

     

    Ce package est remis à jour automatiquement tous les jours à heure fixe afin de prendre en considération les différents changements :

     

    L’assignation d’une stratégie correspond à la création d’une publication (Advertisement) pour le programme associé à la stratégie sur une collection donnée avec les différents paramétrages nécessaires.

     

    Ainsi, il existe deux publications par défaut qui s’appliquent tous les jours. Dès lors que vous assignez une stratégie, celle-ci se voit créer une publication qui est appliquée dès que possible pour que les changements de stratégies soient appliqués le plus rapidement possible.

     

    Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx

  • Forefront EndPoint Protection 2010 : Installation du client

    3. Implémentation : Installation du client

    Maintenant que l’infrastructure serveur est correctement installée et fonctionnelle, nous pouvons passer à l’installation et au déploiement à grande échelle du client.

     3.1 Prérequis

    Cette partie liste les différentes considérations à prendre en compte lors de l’installation du client sur une machine.

     3.1.1 Prérequis Matériel

     

    Les prérequis matériels nécessaires à l’installation d’un client Forefront EndPoint Protection sont les suivants :

    • CPU :
      • Windows XP : 500 MHz ou plus
      • Windows Vista ou Windows 7 : 1.0 GHz ou plus
    • Mémoire :
      • Windows XP : 256 MB de RAM ou plus
      • Windows Vista ou Windows 7 : 1 GB de RAM ou plus
    • Espace disque disponible : 300 MB

     3.1.2 Prérequis Logiciels

     

    L’installation de l’infrastructure Forefront EndPoint Protection 2010 nécessite certains prérequis parmi les suivantes :

    • Systèmes d’exploitation : Windows XP SP3 (x86), Windows VISTA RTM ou plus (x86 ou x64), Windows 7 RTM (x86 ou x64), Windows 7 XP mode, Windows Server 2003 SP2 (x86 ou x64), Windows Server 2008 RTM ou plus (x86 ou x64), Windows Server 2008 R2 (x64) ou plus, Windows 2008 R2 Server Core (x64)
      Notez que la version Server Core de Windows Server 2008 n’est pas supportée par le client FEP.
      Les versions : Windows 7 Starter, Windows Home Premium, Windows Vista Basic, Windows Vista Home Premium, Windows XP Home Edition supportent l’installation manuelle des clients mais ne peuvent recevoir les stratégies (policies) du serveur.
    • Un client System Center Configuration Manager fonctionnel. Le site auquel appartient le client SCCM doit avoir un serveur FEP installé.
    • Windows Installer 3.1
    • Le package de correctifs de gestionnaire de filtre pour Windows XP SP2 (KB914882)
    • WFP (Windows Filtering Platform) un pilote de correctif logiciel cumulatif pour Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2 (KB981889)
    • Windows Update

    L’installation du client Forefront EndPoint Protection procède à la désinstallation automatique des antivirus suivants si ceux-ci sont présents sur la machine :

    • Symantec Endpoint Protection version 11
    • Symantec Corporate Edition version 10
    • McAfee VirusScan Enterprise version 8.5 and version 8.7 and its agent
    • Forefront Client Security version 1 and the Operations Manager agent
    • TrendMicro OfficeScan version 8 and version 10

    Vous trouverez plus d’informations sur les prérequis de déploiements du client Forefront EndPoint Protection sur : http://technet.microsoft.com/en-us/library/ff823900.aspx

     

     3.2 Installation

    Après avoir revu les prérequis, nous allons pouvoir commencer la procédure de déploiement de masse du client. Nous n’aborderons pas dans cet article l’installation manuelle du client. Pour cela, je vous renvoie vers la documentation Technet : http://technet.microsoft.com/en-us/library/ff823774.aspx ou http://technet.microsoft.com/en-us/library/gg412485.aspx

     3.2.1 Distribution du package

    Après avoir installé Forefront EndPoint Protection vous disposez des packages et des programmes nécessaires à l’installation du client. Néanmoins, vous devez d’abord rendre disponible ce package sur les points de distribution de votre environnement. Pour cela, ouvrez la console d’administration System Center Configuration Manager 2007. Déroulez l’arborescence : Site Database => Computer Management => Software Distribution => Package => Microsoft Corporation FEP – Deployment 1.0 => Distribution Points :

     

    Cliquez droit sur le nœud Distribution Points et sélectionnez New Distribution Points. L’assistant s’ouvre, passez l’écran de bienvenue.
    A l’étape Copy Package, sélectionnez les points de distribution sur lesquels vous souhaitez rendre disponible le package :

     

    Après avoir fermé l’écran de confirmation, dirigez-vous dans Package Status => Package Status => <SITECODE> - <SITENAME> et validez que le package a bien été déployé sur le point de distribution :

     

     3.2.2 Création de la publication

    Maintenant que le package est disponible nous allons pouvoir créer la publication nécessaire à la distribution et l’installation du client FEP sur les machines. Pour cela, dirigez-vous dans le nœud Programs  du package Microsoft Corporation FEP – Deployment 1.0. Cliquez droit sur le programme Install, sélectionnez Distribute puis Software.

     


    Passez l’écran de bienvenue, vous pouvez ensuite choisir quelle collection sera la cible du déploiement. Vous pouvez ainsi cibler une collection existante ou créer une nouvelle collection. FEP nous fournit des collections proposant des requêtes dynamiques. Parmi celles-ci, on retrouve des collections donnant le statut du déploiement.  L’utilisation de la collection « Not Targeted » permet de cibler les clients Configuration Manager ne disposant pas déjà du client FEP.

     

    Spécifiez ensuite le nom de la publication et le commentaire associé :

     

    La page suivante permet de configurer le comportement de la publication vis-à-vis des sous collections. Par défaut la publication est propagée et héritée par les clients des sous collections de « Not Targeted ».

    L’étape Advertisement Schedule permet de spécifier les informations (date et heure) de publication du programme et si celui-ci doit expirer :

     

    Sur l’écran Assign Program, cochez « Yes, assign the program” et spécifiez les informations d’assignement (date et heure) :

     

    Validez le résumé et la confirmation pour procéder à la création de la publication.

    Dans l’état cette publication assigne et procède à l’installation du client sur les postes de travail dès que possible. Le programme est configuré pour s’exécuter en silencieux sans qu’aucune notification ne dérange l’utilisateur.

     

     3.2.3 Validation du déploiement

    On se connecte sur le client et on rafraichie les différentes stratégies afin de récupérer les ordres de publication. Après quelques minutes, on peut confirmer que plusieurs processus sont en cours d’exécution : cscript.exe, epplauncher.exe, FEPInstall.exe.

     

    On retrouve aussi un dossier caché à la racine du disque local contenant l’ensemble des binaires nécessaires à l’installation :

     

    Après installation, le client FEP procède à la récupération des mises à jour auprès de son serveur :

     

    L’installation du client a opéré l’installation du correctif de sécurité WPF (KB981889) :

     

    Sur le client toujours, vous retrouvez différents fichiers de journalisation relative au client Forefront EndPoint Protection 2010. Ceux-ci sont stockés dans :

    • %ProgramData%\Microsoft\Microsoft Security Client\Support pour Windows 7, Windows Server 2008, et Windows Server 2008 R2
    • %allusersprofile%\Microsoft\Microsoft Security Client\Support pour Windows XP, Windows Vista, et Windows Server 2003

     

    Fichier de journalisation

    Description

    EppSetup.log

    Fichier de journalisation principal de l’installation.

    MSSecurityClient_Setup_epp_install.log

    Fichier de journalisation de l’installation de l’extension d’administration et de l’interface utilisateur.

    MSSecurityClient_Setup_FEP_install.log

    Fichier de journalisation de l’installation de l’extension Configuration Manager.

    MSSecurityClient_Setup_mp_ambits_install.log

    Fichier de journalisation de l’installation du service Antimalware.

    MSSecurityClient_Setup_epploc_x86_Install or MSSecurityClient_Setup_epploc_x64_Install

    Fichier de journalisation de l’installation des ressources localisées.

    MSSecurityClient_Setup_amloc-%locale%_install

    Fichier de journalisation de l’installation des ressources localisées pour le service antimalware.

    MSSecurityClient_Setup_KB981889_Install.evtx

    Le fichier de journalisation pour l’installation du correctif KB981889. Seulement sur Windows 7 ou Windows Server 2008 R2.

    MSSecurityClient_Setup_dw20shared_Install.log

    Le fichier de journalisation pour l’installation de Dr. Watson (seulement sur Windows XP, et seulement s’il n’était pas présent).

    Source : Technet

    Sur la console d’administration Configuration Manager, vous pouvez aussi suivre les différents états des machines lors du déploiement du client SCCM avec la collection Deployment Status et ses sous collections :

    • Removed : Les ordinateurs dans cette collection sont des machines qui disposaient du client FEP avant qu’ils soientt désinstallés manuellement.
    • Failed liste les machines où le déploiement a échoué
    • Pending : comporte les machines où le déploiement n’a pas encore démarré. Ceci peut se traduire par des machines connectées n’ayant pas encore reçu la publication.
    • Out of date : donne les machines disposant d’un client FEP d’une ancienne version
    • Deployed : liste toutes les machines où le client s’est correctement déployé.

     

     

     3.3 Présentation du client

    Voici quelques informations importantes prenant part lors de l’installation du client Forefront EndPoint Protection :

    • Le client s’installe automatiquement dans le dossier %programfiles%\Microsoft Security Client
    • L’installation du client active automatiquement Windows Update et configure l’installation automatique des mises à jour.

    Notez que pour les serveurs de fichiers, il peut être important de désactiver la protection en temps réel pour éviter des problèmes de performance.  Pour cela, vous devez créer une stratégie spécifique à ces machines.

    Le client Forefront est constitué de plusieurs parties :

    La page d’accueil permet d’avoir un bref aperçu de l’état du client et des définitions antivirales. Il est possible à partir de cet écran de lancer des opérations de scan (complet ou partiel).

     

    La page Update permet de connaître la date de création des définitions, la date de dernière vérification et les versions des définitions de virus et de logiciels malveillants. Il est possible d’initier à partir de cet écran, la procédure de mise à jour du client via Microsoft Update, WSUS et les différents cheminS UNC renseignéS comme source des définitions.

     

    L’écran History permet de visualiser l’ensemble des objets détectés par Forefront EndPoint Protection comme potentiellement nuisibles.

     

    La page Settings permet de configurer l’ensemble des paramétrages du client Forefront EndPoint Protection. On retrouve ainsi :

    • Les programmations des scans
    • Les actions par défaut lorsqu’une menace est trouvée
    • Les paramétrages de la protection en temps réel
    • Les répertoires ou fichiers exclus de la recherche
    • Les types de fichiers exclus de la recherche
    • Les processus exclus de la recherche
    • Les paramétrages avancés (notifications, paramétrages de recherche, suppression des fichiers…)

    Par défaut, la stratégie dédiée au poste de travail n’autorise aucune modification de paramétrage.

     

     3.4 Test de l'antivirus

    Cette partie traite du test de l’antivirus Forefront EndPoint Protection. Nous allons soumettre celui-ci au test EICAR fournit par le groupe européen de la sécurité Informatique. Ce fichier est un faux négatif utilisé pour tester les antivirus. Il n’a aucune incidence sur le système. Depuis sa création en 2006, ce fichier de test a été largement utilisé et n’a plus vraiment d’intérêt. Il permet néanmoins de tester la fonction de protection en temps réel avec analyse du flux http et https pour détecter ce genre de menace juste après le téléchargement. Il a aussi servi à générer les alertes fournies par Forefront que vous verrez plus loin dans cet article.

    Dirigez-vous sur http://www.eicar.org :

     

    Il est possible de tester l’antivirus en téléchargeant les fichiers zippéS ou non sur les protocoles http/https. Une fois le téléchargement lancé, le client Forefront EndPoint Protection lève une alerte et propose de nettoyer la machine :

     

    L’action de nettoyage proposée est la suppression du fichier incriminé. Vous pouvez changer d’action en fonction du niveau de sévérité détecté et appliquer les actions.

     

    Une fois l’action terminée, Forefront vous donne le statut de l’action :

     

    Vous pouvez ensuite visualiser dans l’historique du client, l’ensemble des éléments qui ont été détectés et les différentes actions qui ont été appliquées :

     

    De la même manière si on désactive la protection en temps réel et qu’on télécharge le fichier, celui-ci n’est pas neutralisé lors du téléchargement mais lors de l’analyse de la machine :




    Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx

  • Forefront EndPoint Protection 2010 : Installation du serveur

    2. Implémentation : Installation du serveur

     

     

    Cette partie va traiter l’installation de la solution serveur de Forefront EndPoint Protection. Vous pourrez y retrouver les différents prérequis et la procédure d’installation.

     2.1 Prérequis

     2.1.1 Prérequis Matériel

     

    Les prérequis matériels nécessaires à l’installation d’un serveur Forefront EndPoint Protection sont les suivants :

    • Mémoire : 2GB de RAM
    • Espace disque disponible :
      • Serveur FEP : 600 MB
      • Base de données FEP : 1.25 GB
      • Base de données des rapports FEP : 1.25 GB

    Il est à noter que les prérequis peuvent varier en fonction de la répartition des rôles ou de la charge imposée au serveur.

     2.1.2 Prérequis Logiciels

     

    L’installation de l’infrastructure Forefront EndPoint Protection 2010 nécessite certains prérequis parmi les suivants :

    • Système d’exploitation : Windows Server 2003 SP2 ou plus 
    • Aucune version de FEP ne doit être installée sur le serveur
    • Aucune autre protection antivirus doit être installé sur le serveur
    • Windows Installer 3.1 ou plus doit être présent
    • Le .NET Framework 3.5 SP1 doit être installé
    • Les Prérequis SQL Server :
      • Vous pouvez utiliser : SQL Server 2005 SP3 Standard ou Entreprise, SQL Server 2008 Standard ou Entreprise, SQL Server 2008 R2 Standard ou Entreprise.
      • Le SPN (Service Principal Name) du compte de service exécutant SQL Server doit être enregistré auprès du domaine. Pour plus d’informations, je vous renvoie sur : http://technet.microsoft.com/fr-fr/library/bb735885.aspx
      • Le service de l’agent SQL Server doit être lancé et dans un mode de démarrage automatique.

     

    •  
      • Le compte utilisateur exécutant l’installation de FEP sera propriétaire des bases de données et jobs suivants :
        • FEPDB_XXX (database)
        • FEPDW_XXX (database)
        • FEP_DataWarehouseMaintenance_FEPDW_XXX (job)
        • FEP_DB_Maintenance_FEPDB_XXX (job)
        • FEP_GetNewData_FEPDW_XXX (job)
        • FEP_GetNewDataOnInstall_FEPDW_XXX (job)
    •  
      • SQL Server Analysis Services :
        • Le compte utilisateur exécutant l’installation de FEP doit faire partie du rôle « server administrator » sur le serveur SQL Server Analysis.
        • Ce service doit être installé sur le même serveur et sur la même instance SQL Server qui héberge la base de données de Reporting. Ce scénario doit être envisagé si vous souhaitez éclater les rôles Forefront EndPoint Protection.
        • L’ordinateur exécutant SQL Server Analysis Services doit disposer des exceptions firewall suivantes :
          • SQL Server (TCP 1433) ouvert pour le traffic entrant
          • SQL Server Analysis Services (TCP 2383) ouvert pour le traffic entrant
            Pour plus d’informations sur la configuration Firewall pour l’accès à SQL Server, rendez-vous sur : http://go.microsoft.com/fwlink/?LinkId=128365
             
      • SQL Server Reporting Services doit être installé et correctement configuré pour assurer la fonctionnalité de rapports

      • SQL Server Integration Services doit être installé
    • System Center Configuration Manager 2007 Service Pack 2 doit être installé avec l’ensemble des rôles par défaut. La fonctionnalité Reporting Services de SCCM R2/R3 doit être installée et convenablement configurée.
    • Les agents du client Configuration Manager suivants doivent être activés et configurés :
      • Hardware Inventory
      • Advertised Programs
      • Desired Configuration Management

    Pour activer ces agents, ouvrez la console d’administration System Center Configuration Manager sur le site où vous souhaitez installer Forefront EndPoint Protection. Déroulez l’arborescence Site Database => Site Management => <SITECODE> - <SITENAME> => Site Settings => Client Agents :

     

    Ouvrez les différents agents cités plus haut et assurez-vous que ceux-ci sont activés et correctement configurés :

     

    • Les machines où vous installerez les composants d’extension de la console Configuration Manager 2007 pour Forefront EndPoint Protection 2010 (ceci inclut la console du serveur de site, les consoles sur les postes des administrateurs…) nécessitent l’installation de la KB2271736 afin d’ajouter la classe WMI ManagementClass. Vous pouvez télécharger la mise à jour à partir de ce lien : http://go.microsoft.com/fwlink/?LinkId=203936
    • Aucun redémarrage ne doit être en attente avant de commencer l’installation de Forefront EndPoint Protection.

    Vous trouverez plus d’informations sur les prérequis sur la documentation Technet : http://technet.microsoft.com/en-us/library/ff823830.aspx

    L’installation et la configuration de ces prérequis (SQL Server…) afin d’assurer la validité de l’installation de Forefront EndPoint Protection ne sera pas détaillée dans cet article.

    Pour ce qui est de la gestion des sites Configuration Manager au travers d’une hiérarchie avec Forefront EndPoint Protection 2010, je vous renvoie vers le lien de la documentation Technet : http://technet.microsoft.com/en-us/library/gg412503.aspx

     2.2 Installation

    Procurez-vous les sources de Forefront EndPoint Protection 2010 dans l’architecture de la machine où vous aller installer le produit. Lancez l’exécutable « serversetup.exe ».

    Une fois l’assistant d’installation ouvert, renseignez les informations d’enregistrement du produit :

     


    Sur l’écran suivant, acceptez les termes du contrat de licence :

     

    La page suivante vous propose les options d’installation. On retrouve 4 types d’installation :

    • Basic Topology : Cette topologie est la plus simple. Elle permet l’installation de l’ensemble des composants (base de données, extension du serveur de site SCCM, extension de la console et composants de reporting) sur le serveur de site SCCM. Elle permet ainsi de centraliser l’ensemble des fonctionnalités sur une même machine et réduit ainsi les étapes de configuration de l’assistant.
    • Basic topology with remote reporting database permet l’installation de l’extension du serveur de site, de la base de données FEP, de l’extension de la console, et des composants de rapports sur le serveur en cours. Elle permet néanmoins le déport de la base de données de Reporting (Data warehouse) sur une autre machine.
    • Advanced topology autorise la personnalisation complète de l’installation. Vous pouvez ainsi choisir de répartir les rôles comme bon vous semble. 
    • Install only Configuration Manager Console Extension for FEP 2010 rend possible l’installation seule de l’extension Forefront EndPoint Protection 2010 pour la console Configuration Manager 2007. Cette option se prête généralement au scénario permettant aux administrateurs de la solution de mettre à jour la console sur leur poste de travail.

    Dans le cadre de cet article, nous aborderons le cas le plus général : La topologie basique. Nous allons donc concentrer l’ensemble des rôles sur une seule et unique machine : notre serveur de site SCCM. Néanmoins, nous allons passer par l’option d’installation la plus personnalisable à savoir Advanced Topology pour détailler au mieux les options offertes.

     

    Sur l’écran suivant, vous pouvez choisir ce que vous souhaitez installer :

    • Configuration Manager Site Server FEP 2010 Extension : L’extension FEP pour le serveur de site permet l’ajout des collections FEP, des packages et programmes, des lignes de base FEP pour la gestion des configurations désirées. Cette option d’installation doit être exécutée sur le serveur de site SCCM.
    • FEP 2010 Reporting and Alerts permet l’installation des composants de supervision de l’infrastructure FEP. Si vous n’installez pas ce composant sur le serveur de site SCCM, vous devez configurer les permissions DCOM adéquates pour l’accès aux consoles. Vous pouvez pour cela consulter le lien suivant : http://technet.microsoft.com/en-us/library/gg477021.aspx#BKMK_ToInstallFEP2010ReportingAndAlerts.  
      Notez que cette option installe le client FEP 2010 sur la machine avec des paramétrages personnalisés.
    • Configuration Manager Console Extension for FEP 2010 installe les fichiers nécessaires à l’intégration des composants d’administration dans la console System Center Configuration Manager 2007.

     

    La page suivante permet la configuration des informations de la base de données FEP. Celle-ci doit être installée sur le même serveur/instance qui héberge la base de données Configuration Manager. Vous pouvez personnaliser le nom de la base de données FEP :

     

    L’écran Reporting Configuration permet de spécifier les informations nécessaires à l’installation des fonctionnalités de Reporting. Vous pouvez ainsi y entrer le nom du serveur, l’instance et le nom de la base de données qui hébergeront les données de Reporting (Data warehouse). Enfin vous devez spécifier les informations du compte utilisé par le serveur de rapport pour accéder à la base de données de Reporting FEP 2010.

     

    L’étape suivante vous permet de configurer les options de mise à jour du produit et de participation au programme d’amélioration :

     

    La page suivante vous permet de joindre le programme Microsoft SpyNet. Ce programme est une initiative de Microsoft comme il en existe chez ses concurrents permettant de rejoindre une communauté afin d’enrayer la propagation des logiciels malveillants et indésirables.  Le programme permet par exemple d’être avisé des logiciels non analysés et de savoir si les autres membres ont permis ou refusés les changements initiés par ceux-ci. Le programme permet notamment à Microsoft de détecter plus rapidement les menaces et ainsi de consolider les besoins d’analyse sur les véritables alertes.
    On distingue deux types d’abonnements :

    • Basic SpyNet membership permet d’envoyer à Microsoft des informations concernant les logiciels malveillants détectés. Ces informations peuvent être l’origine du logiciel, l’action entrepris, son échéance (succès ou échec) .
    • Advanced SpyNet membership  permet d'être avisé des logiciels dont les risques n'ont pas été analysés, vous pouvez voir si d'autres membres de la communauté permettent ou refusent les logiciels ou les changements effectués par les logiciels. Ces informations peuvent vous aider à prendre votre décision. De la même façon, vos choix sont ajoutés aux différents classements et aident les autres membres à prendre une décision. Vous pouvez être averti face à un logiciel qui n'a pas encore été classé en fonction des risques.

     

    L’écran suivant permet de spécifier le répertoire d’installation et d’obtenir une vision des prérequis d’espace disque :

     

    L’étape suivante correspond à la vérification des prérequis. Si vous avez raté un prérequis, vous obtiendrez un écran avec des erreurs comme suit :

     

    Vous pouvez obtenir plus de détail sur l’erreur en cliquant sur « More… ». Ceci vous permettra de résoudre le problème :

     

    Sinon si vous avez suivi la partie 2.1.2 et correctement configuré l’ensemble des prérequis cités vous devez obtenir l’écran suivant :

     

    L’écran qui suit correspond au résumé d’installation. Vous pouvez rapidement revoir les différentes options et procéder à l’installation :

     

    Lorsque l’installation est déroulée, l’ensemble des composants doivent être installés avec succès :

     

    Avant de fermer l’assistant d’installation, vous pouvez vérifier les mises à jour sur Microsoft Update. Vous devrez ensuite procéder au redémarrage de l’ordinateur pour finaliser l’installation :

     

    Vous pouvez consulter les fichiers de journalisation liés à l’installation dans : c:\ProgramData\Microsoft Forefront\Support\Server\ServerSetup_<Date>_<Heure>.log

     2.3 Migration FCS vers FEP

    Comme expliqué plus tôt, Forefront EndPoint Protection 2010 introduit un véritable changement dans le fonctionnement de la gamme d’antivirus pour entreprise de Microsoft. Contrairement à Forefront Client Security (FCS) qui était construit sur une version spécifique de Microsoft Operations Manager (MOM) 2005 ; FEP 2010 est lui construit sur la base de la gamme System Center. De ce fait, ceci implique des changements en profondeur.

    Forefront EndPoint Protection 2010 ne permet pas une migration à proprement parler avec des scénarios In-Place ou Side-by-Side.

    Voici la marche à suivre :

    1. Dans la console FCS, documentez l’ensemble des paramétrages de chacune des stratégies que vous utilisiez pour pouvoir ensuite les recréer dans FEP.
    2. Dans WSUS, désactiver l’approbation sur les packages d’installation FCS.
    3. Installez Forefront Endpoint Protection avec votre infrastructure System Center Configuration Manager 2007
    4. Recréez les stratégies FEP avec les paramétrages que vous avez documentés en amont sur votre serveur FCS.
    5. Déployez massivement le client FEP. Celui-ci procédera à la migration de vos postes de travail en désinstallant le client FCS et en procédant à l’installation du nouveau client FEP.
    6. Désinstallez ensuite l’infrastructure FCS une fois que l’ensemble des clients auront été migrés sur FEP.

     2.4 Migration FCS vers FEP

    L’installation de Forefront EndPoint Protection 2010 (FEP) correctement déroulée, vous pouvez ouvrir la console d’administration de System Center Configuration Manager 2007.
    Nous allons détailler dans cette partie les brefs changements apportés à la console d’administration.

    Déroulez l’arborescence Site Database => Computer Management => Collections.
    On retrouve ainsi une collection FEP Collections contenant différentes sous collections. Ces sous collections sont bloquées et ne peuvent être supprimées. Le contenu des requêtes dynamiques ainsi que les paramétrages sont eux aussi non modifiables. Ces collections permettent ainsi de vous donner un aperçu de l’état des clients avec notamment des informations sur :

    • L’état des définitions (date)
    • L’état du déploiement du client FPS (En échec, En attente, déployé, non ciblé…)
    • Une collection dédié aux opérations ; Cette collection peut être utilisé pour toutes les opérations sur le client FEP (Lancement d’un scan …)
    • L’état de la distribution des stratégies (distribuée, en attente, en échec)
    • L’état de la protection (Activé, non reportée, service désactivé)
    • L’état de la sécurité (Scan complet requis, infecté, redémarrage requis …)

     

    Toujours dans l’arborescence Site Database => Computer Management. Vous retrouvez le nœud Forefront EndPoint Protection :

     

    Dans la partie Software Distribution, on retrouve trois packages :

    • Microsoft Corporation FEP –Deployment 1.0 contient deux programmes permettant l’installation et la désinstallation du client FEP.
    • Microsoft Corporation FEP – Operations 1.0 fournit trois programmes fournissant différentes opérations de maintenance
    • Microsoft Corporation FEP – Policies 1.0 fournit deux programmes permettant d’appliquer les politiques par défaut.

     

    Associé à ces packages, on retrouve deux dossiers dédiés aux publications : FEP Operations et FEP Policies.

    Nous détaillerons le nœud Forefront EndPoint Protection ainsi que les packages plus loin dans l’implémentation.

    Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx

  • Forefront EndPoint Protection 2010 : Théorie

    1. Théorie

     

     1.1 Historique

     

    Microsoft s’est lancé en 2006 dans le secteur des logiciels antivirus avec Windows OneCare Live. Ce logiciel destiné aux particuliers disposait d’un mode de licence particulier offrant la possibilité de l’installer sur 3 ordinateurs dans un seul foyer. Au terme d’un premier renommage pour intégrer la suite Windows Live. Windows Live OneCare fut arrêté en novembre 2008. Microsoft n’abandonna pas cependant l’idée de se lancer sur ce marché jusqu’alors principalement occupé par Symantec. En parallèle, la stratégie de Microsoft fut ensuite différente puisque la firme de Redmond s’est consacré au marché des antivirus d’entreprise en proposant Microsoft Client Protection en 2005. Cette première version fut ensuite renommée en 2007 : Forefront Client Security (FCS). Cet antivirus reprenant les bases de OneCare fut couronné de succès grâce à la stratégie agressive de Microsoft sur le prix des licences. Fin 2009, Microsoft se relance dans l’aventure de l’antivirus dédié aux particuliers. Fort de son succès avec FCS, Microsoft lance Windows Security Essentials, un antivirus gratuit. Le monde de l’informatique fut agréablement surpris de la qualité de l’antivirus et de ses performances générales. Aujourd’hui, FCS se fait vieux et les attentes sont nombreuses. C’est ainsi que Microsoft annonce début 2010 la sortie d’une nouvelle version de son antivirus d’entreprise qui sera rebaptisée : Forefront EndPoint Protection.

     1.2 Présentation

     

    Forefront EndPoint Protection 2010 signe un changement dans le fonctionnement de la gamme d’antivirus pour entreprise de Microsoft. Contrairement à Forefront Client Security (FCS) qui était construit sur une version spécifique de Microsoft Operations Manager (MOM) 2005 ; FEP 2010 est lui construit sur la base de la gamme System Center.
    Ainsi, le produit est séparé en deux modules :

    • Forefront EndPoint Protection 2010 : Ce module est le corps du produit. Il s’intègre à System Center Configuration Manager 2007 pour offrir les outils nécessaires à l’administration quotidienne des clients (déploiement de l’agent, application des stratégies…).
    • Forefront EndPoint Protection 2010 Security Management Pack anciennement connu sous le nom Forefront EndPoint Protection for Server (FEP-S) durant les phases de bêta. Ce module est un pack d’administration (MP) qui s’intègre à System Center Operations Manager 2007 pour offrir une couche de supervision des services d’alerte FEP, des jobs de l’agent SQL qui copie les données de la base de données FEP vers le Data Warehouse FEP, ou encore les événements générés par les serveurs FEP.

    Note : Nous n’aborderons pas l’implémentation de Forefront EndPoint Protection 2010 Security Management Pack dans cet article.

     1.3 Fonctionnement

     

    L’infrastructure Forefront EndPoint Protection 2010 est constituée des éléments suivants :

    • La base de données Forefront EndPoint Protection 2010 : La base de données FEP stocke toutes les informations d’état renvoyées par les clients, les collections, les appartenances aux collections, les stratégies, etc…
    • La base de données de Reporting Forefront EndPoint Protection 2010 : La base de données de Reporting correspond au Data WareHouse (entrepôt de données) qui stockera les données nécessaires aux rapports).
    • Le serveur de site Configuration Manager et son extension pour FEP 2010: Ce rôle correspond au serveur de site System Center Configuration Manager. Il ajoute simplement les composants nécessaires à l’administration de FEP avec SCCM. Ceci inclut les collections FEP, les packages et programmes, les lignes de base FEP pour la gestion des configurations désirées.
    • FEP 2010 Reporting and Alerts permet l’installation des composants de supervision de l’infrastructure FEP.
    • La console Configuration Manager et son extension pour FEP 2010 correspond à l’extension de System Center Configuration Manager 2007 nécessaire à l’intégration de FEP.

     

    L’administrateur du parc informatique gère tout à partir de la console d’administration Configuration Manager. Les stratégies et les opérations sont appliquées au client FEP au travers du client SCCM. Le client FEP remonte son état en utilisant des lignes de base primordiales au fonctionnement du produit. Ces données sont stockées dans la base de données FEP. En parallèle l’administrateur peut aussi utiliser des lignes de base par défaut pour connaître l’état de conformité du client. De manière régulière, une opération de stockage a lieu afin de synchroniser la base de données FEP avec l’entrepôt de données (Data WareHouse) utilisé pour les rapports.

     

     1.4 La haute disponibilité

     

    Comme expliqué plus tôt, Forefront EndPoint Protection 2010 est une couche supplémentaire apportée à System Center Configuration Manager. Ceci fait de Forefront EndPoint Protection 2010 un piètre élève dans la cours des produits hautement disponible puisque celui-ci est dépendant des services de System Center Configuration Manager. En effet, il est difficile de rendre SCCM hautement disponible. Vous pouvez rendre certains rôles hautement disponibles comme le Management Point, le Software Update Point, ou la base de données. Néanmoins, le serveur de site ne peut faire partie de ce plan.

    Microsoft recommande l’utilisation :

    • D’un cluster SQL Server pour la base de données de reporting Forefront EndPoint Protection
    • Des Management Packs System Center Operations Manager pour superviser les services Forefront EndPoint Protection

    Pour plus d’informations, rendez-vous : http://technet.microsoft.com/en-us/library/gg412484.aspx

     1.5 Plan de reprise d’activité

     

    Le plan de reprise d’activité doit prendre en compte la sauvegarde préalable des différents composants comme notamment System Center Configuration Manager 2007. Celle-ci est assurée par une tâche de maintenance qui sauvegarde à la fois la base de données mais aussi l’ensemble des fichiers de configuration nécessaires. Dans le cadre de Forefront EndPoint Protection, cette tâche sauvegarde les stratégies, les paramétrages effectués dans SCCM et les publications.
    Vous devez aussi sauvegarder la base de données de reporting Forefront EndPoint Protection (FEPDW_<SITECODE>) en utilisant la solution de sauvegarde SQL Server.

    Microsoft propose ensuite deux procédures de restauration.
    La première concerne la restauration du site System Center Configuration Manager quand il est victime d’un « Crash », il est alors nécessaire de le remplacer. Vous devez enchainer les étapes suivantes :

    1. Restaurer System Center Configuration Manager
    2. Restaurer la base de données de Reporting si cela est nécessaire
    3. Installer Forefront EndPoint Protection en utilisant l’option « reuse existing database »

    La seconde procédure est à utiliser lorsque le serveur de la base de données de reporting Forefront EndPoint Protection est devenu indisponible. Vous devez suivre les étapes :

    1. Restaurer SQL Server et la base de données de rapport FEP
    2. Désinstaller la fonctionnalité de reporting FEP sur le serveur où elle est installée.
    3. Installer Forefront EndPoint Protection en utilisant l’option « reuse existing database »

    Pour plus d’informations, consultez : http://technet.microsoft.com/en-us/library/gg477037.aspx

     1.6 Licensing

     

    Forefront EndPoint Protection 2010 dispose de licences pour l’infrastructure serveur et pour les clients. Les clients peuvent utiliser des licences par utilisateur ou par périphérique. En parallèle, les licences pour System Center Configuration Manager R2 ou R3 sont nécessaires pour gérer centralement les clients.

    On distingue deux suites de produit :

    Standalone Products

    Enterprise CAL Suite

    Forefront Protection Suite

    Forefront Endpoint Protection 2010

    Forefront Protection 2010 for Exchange Server

    Forefront Protection 2010 for SharePoint

    Forefront Security for Office Communications Server

    Forefront Online Protection for Exchange

    Forefront TMG Web Protection Service

    Other Server CALs and technologies

     

    La suite Entreprise inclut les licences nécessaires pour System Center Configuration Manager et pour le système d’exploitation.

     

    Côté client, les prix annoncés sont les suivants :

     

    Estimated Prices

    Microsoft Forefront Endpoint Protection 2010

    $8.64 US par utilisateur ou par périphérique, par an


    Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx

  • Forefront EndPoint Protection 2010 : Introduction

     

    En août 2003 alors que les administrateurs systèmes étaient en d’avantage exposés à la lumière du soleil qu’à celle de leur écran d’ordinateur ; MS Blaster l’un des fléaux informatiques les plus célèbres commençait à envahir le monde de l’entreprise. Celui-ci allait changer radicalement la vision de la sécurité au cœur des entreprises en lançant une prise de conscience générale.  A l’heure du passage en 2011, il n’est pas envisageable qu’une entreprise ne protège pas son parc informatique par un système anti-logiciel malveillant performant. Fin 2010, Microsoft annonçait la sortie de la nouvelle version de sa solution antivirale. Forefront EndPoint Protection était attendu depuis près de 3 ans avec des attentes fortes en matière d’administration. Cette nouvelle version change de stratégie en proposant une intégration complète à la gamme System Center au travers de System Center Configuration Manager (SCCM) 2007 et System Center Operations Manager (SCOM) 2007.
    Vous verrez dans cet article comment implémenter Forefront EndPoint Protection et comment l’utiliser au quotidien. Nous verrons les différents avantages et inconvénients de cette solution et les avancées proposées.

    Notez que cet article n’abordera pas l’implémentation de Forefront EndPoint Protection 2010 Security Management Pack. C’est-à-dire l’implémentation des Management Packs dans une infrastructure System Center Operations Manager.

    Level : 200

    Connaissances pré requises : System Center configuration Manager 2007, Windows Server Updates Services.

    Plan :
    1. Théorie
    2. Implémentation : Installation du serveur
    3. Implémentation : Installation du client
    4. Implémentation : Administration

                4.1 Gestion des stratégies (Policies)
                4.2 Gestion des mises à jour
                4.3 Gestion des opérations
                4.4 Gestion des alertes
                4.5 Gestion des rapports
                4.6 Gestion des configurations désirées


    Conclusion

    Ou Télécharger cet article au format numérique : ICI


  • Excel a 25 ans !

     

    Il y a plus de 25 ans (1985), Microsoft lançait Excel sur Apple Macintosh sans savoir que celui-ci allait changer la façon de travailler avec les nombres. 2010 signa le 25ème anniversaire d’Excel sans faire de vagues en laissant la place à d’autres concepts comme le 5ème anniversaire des réseaux sociaux.

    Je vous propose de lire le très bon article de Thomas E. Weber sur Business Insider : http://www.businessinsider.com/how-microsoft-excel-changed-the-world-2010-12

    Voici une rétrospective d’Excel à travers les âges et les plateformes (Apple Macintosh, OS/2, et Windows) :

    1985 - Excel 1.0 pour Apple Macintosh

     

    1988 - Excel 1.5 pour Apple Macintosh

     

    1987 - Excel 2.0 pour Windows


    1990 - Excel 3.0 pour Windows


    1992 - Excel 4.0 pour Windows


    1993 - Excel 5.0 (Microsoft Office 4.2 et 4.3 et également une version 32-bit pour Windows NT tournant seulement sur PowerPC, DEC Alpha et MIPS OS)

     

    1995 - Excel pour Windows 95 (version 7.0) – inclus aussi dans Microsoft Office 95

     

    1997 - Excel 97 (version 8.0) - inclus aussi dans Microsoft Office 97 (x86 et aussi DEC Alpha version)

     

    1999 - Excel 2000 (version 9.0) inclus aussi dans Office 2000

     

    2001 - Excel 2002 (version 10) inclus aussi dans Office XP

    2003 - Excel 2003 (version 11) inclus aussi dans Office 2003

     

    2007 - Excel 2007 (version 12) inclus aussi dans Office 2007

     

    2010 - Excel 2010 (version 14) inclus aussi dans Office 2010 sortie le 12 mai pour les professionnels et au mois de juin pour les particuliers

     

    2010 - Excel 14.0 (Office 2011 pour Mac)

     

    (Source : Wikipedia)

  • [SCCM] Comment installer des images pré-déployées sur le disque dur d’une machine

     

    La fonctionnalité Prestaged Images est arrivée avec la Release 3 de System Center Configuration Manager 2007. Ceci permet de transmettre l’image à un intégrateur OEM afin qu’il la stocke sur le disque dur des machines qui seront livrées. Ceci accélère le déploiement de système d’exploitation et réduit la charge réseau notamment pour les sites distants disposant de connexion Internet bas débit. La fonctionnalité permet donc le déploiement de système d’exploitation là où les machines ne pouvaient pas jusqu’à présent être provisionnées.

    L’équipe du support SCCM vient de publier un article expliquant comment appliquer l’image manuellement et automatiquement (via séquence de tâches) sur le disque dur d’une machine.

    Pour plus de détails, je vous invite à lire l’article : http://blogs.technet.com/b/configurationmgr/archive/2011/01/11/how-to-stage-task-sequence-prestaged-media-on-a-hard-drive-in-configuration-manager-2007.aspx

     

  • [SCCM] Les nouveautés de la R3 sur l’assistant de transfert des paramétrages de site

     

    La Release 3 de System Center Configuration Manager 2007 apporte son lot de nouveautés (voir article) avec principalement l’arrivée de la gestion de l’énergie ou encore de la découverte Delta d’Active Directory. De ce fait, l’assistant de transfert des paramétrages de site a été mis à jour pour prendre en compte ces nouveautés.

    L’équipe du support vous propose un billet complet expliquant les changements engendrés sur les propriétés lorsque ces options sont sélectionnées. On distingue un comportement R3 et pré-R3.

    Pour plus de détails, je vous laisse lire l’article en question : http://blogs.technet.com/b/configmgrteam/archive/2011/01/10/what-s-new-in-the-configuration-manager-2007-r3-transfer-site-settings-wizard.aspx  

     

  • [SCSM] Un connecteur Exchange est disponible

    L’équipe System Center Service Manager vient d’annoncer la sortie d’un nouveau connecteur faisant partie du kit de ressources. Ce connecteur permet de traiter les emails envoyés à une boite email. Ces emails sont convertis en nouveaux incidents. Les réponses sont utilisées comme mise à jour de l’incident. Il est aussi possible d’envoyer des emails aux utilisateurs concernant un incident à partir de la console d’administration.

    Voici le détail des fonctionnalités :

    • Create incident from email (replaces out of the box functionality; just turn it off)
      • The sending user is looked up in the CMDB and related to the incident as the affected user
      • The email subject becomes the incident title
      • The email body becomes the incident description
    • Update incident action log from email
    • Resolve or close incidents from email
    • Approve/reject change requests from email
    • Update change request “action log” from email
    • Mark manual activities completed from email
    • Add email file attachment to work items as attachments
    • Emails can be sent in from outside the organization
    • Emails can be sent from users which do not exist in the CMDB yet and a new user record will be created for them and related to the incident

    Notez que cette solution n’est pas supportée officiellement par Microsoft et ne fait pas partie du produit.

    Télécharger System Center Service Manager – Exchange Connector

  • [SCCM] Comprendre la philosophie des messages d’état

     

    Steve Rachui vient de publier un très bon article sur les messages d’état et leurs mécanismes dans System Center Configuration Manager.

    Pour plus d’informations rendez-vous sur le blog de Steve Rachui : http://blogs.msdn.com/b/steverac/archive/2011/01/07/sccm-state-messaging-in-depth.aspx

  • VMMTrace : L’outil indispensable pour traquer les erreurs SCVMM

    A l’image de SMSTrace (Trace32 et Trace64), JonJor (Ingénieur Support Microsoft) vient de publier un équivalent pour System Center Virtual Machine Manager. VMMTrace est le dernier recours lorsque vous ne trouvez pas de solution. Il permet la capture des événements systèmes, Kernel, WIN32.

     

    Télécharger VMMTrace sur Jonathan’s Virtual Blog

  • Le Patch Tuesday de Janvier 2011 est disponible

    Microsoft vient de publier le premier Patch Tuesday de l'année 2011. Il comporte 2 bulletins de sécurité, dont un seul qualifié de critique. Il corrige des vulnérabilités sur la gamme Office, sur Windows, sur SharePoint et sur Exchange. 

    Numéro de Bulletin

    Niveau de sévérité

    Systèmes concernés

    Type (description)

    Redémarrage

    MS11-001

    Windows Vista SP1/SP2

    Cette mise à jour de sécurité corrige une vulnérabilité révélée publiquement dans le gestionnaire de sauvegarde de Windows. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier légitime du gestionnaire de sauvegarde de Windows situé dans le même répertoire réseau qu'un fichier de bibliothèque spécialement conçu.

    Peut Être Requis

    MS11-002

    Windows XP SP3, Windows Server 2003 SP2, Windows Vista SP1/SP2, Windows Server 2008 SP2, Windows 7 et Windows Server 2008 R2

    Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans Microsoft Data Access Components (MDAC). Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur affiche une page Web spécialement conçue.

    Peut Être Requis

    Légende :

     : Bulletin Critique          : Bulletin Important           : Bulletin Modéré

     

    Ces correctifs sont disponibles par Microsoft Update ou par le Centre de téléchargement Microsoft.

    Retrouvez l'ensemble des informations relatives à ce bulletin de sécurité : Ici

  • [SCCM] L’extension SCAP disponible en version 2.1

     

    Microsoft vient de publier une nouvelle version de l’extension SCAP pour System Center Configuration Manager. Security Content Automation Protocol (SCAP) fournit une méthode de gestion des standards afin de mesurer la conformité, la vulnérabilité. SCAP est une suite de certaines normes ouvertes qui, ensemble, offrent une méthode uniforme d'analyser les systèmes informatiques et automatiquement identifier, mesurer et évaluer les problèmes potentiels de sécurité. SCAP énumère les vulnérabilités des logiciels, des problèmes de configuration de sécurité, et les noms de produits sur des systèmes informatiques. SCAP prévoit également des mécanismes pour mesurer et classer (score) des résultats d'analyse pour évaluer l'impact des problèmes de sécurité découverts. SCAP est une initiative gouvernementale du NIST (National Institute of Standard and Technology) afin de construire le FDCC (Federal Desktop Core Configuration). Cette extension permet donc d’utiliser la fonctionnalité gestion des configurations desirées de SCCM pour scanner les ordinateurs et documenter leurs conformités avec le standard FDCC

     

    Télécharger System Center Configuration Manager Extensions for SCAP

  • Un guide pour déployer Office 2010 en utilisant les stratégies de groupe

    Microsoft a publié un guide de 300 pages expliquant comment déployer les produits Office 2010 en utilisant les stratégies de groupe (GPO). Ce guide explique aussi comment personnaliser les paramètres généraux et de sécurité de la suite Office 2010.

     

    Télécharger For IT professionals: Group Policy for Microsoft Office 2010

  • [MED-V] La valeur du paramètre UpdateServerProfileDirectory dans le fichier de sysprep

     

    L’équipe MED-V vient de publier un article sur l’importance de la valeur du paramètre UpdateServerProfileDirectory dans le fichier sysprep. La copie automatique des personnalisations du profile administrateur vers le profile utilisateur par défaut ne fonctionne pas avec Windows XP SP2 et SP3 (voir : http://support.microsoft.com/kb/959753).
    Pour résoudre ce problème, l’équipe explique qu’il faut utiliser le paramètre cité plus haut comme suit :

    [UNATTENDED]

    UpdateServerProfileDirectory=1

     

    Je vous laisse lire l’article pour obtenir plus détails : http://blogs.technet.com/b/medv/archive/2011/01/06/med-v-the-importance-of-setting-the-updateserverprofiledirectory-value-in-the-sysprep-inf-file.aspx

  • [MED-V] Dépanner la phase de première configuration des Workspaces

    L’équipe du support MED-V vient de publier un article détaillé sur comment dépanner la phase de première configuration des Workspaces. Ainsi l’équipe vous explique quelles sont les méthodes qui vous permettront de trouver les problèmes lors de cette phase primordiale.

    Je vous laisse lire l’article pour plus détails : http://blogs.technet.com/b/medv/archive/2011/01/05/a-more-granular-approach-to-troubleshooting-first-time-setup-of-workspaces-in-med-v-1-0.aspx

  • [SCOM] Support officiel de SQL Server 2008 SP2

    Normal 0 21 false false false FR X-NONE X-NONE

    L’équipe System Center Operations Manager vient d’annoncer le support officiel de SQL Server 2008 Service Pack 2 pour la Release 2 de SCOM.
    Le produit supporte l’installation de :

    • La base de données Operations Manager
    • La base de données Data WareHouse
    • La base de données de collecte des données d’audit
    • Reporting : Les rapports sont exécutés correctement depuis la console SCOM. Néanmoins un problème survient si vous les lancez depuis SQL Reporting Services. Ce problème sera résolu dans une future mise à jour cumulative.

     

    Source : Blog SCOM

  • [Opalis] La virtualisation officiellement supportée par Microsoft

     

    Microsoft vient d’annoncer qu’Opalis Integration Server était désormais enfin officiellement supporté. Ceci concerne la version 6.2.2 et les versions suivantes. Pour rappel, Opalis a été racheté par Microsoft en 2010. Ce produit est un ordonnanceur de tâches afin de lancer des traitements en fonction d’un planning mis en place par l’administrateur. Il est aussi possible de lancer des opérations lorsque certains événements se produisent.

    Pour plus d’informations sur cette annonce, je vous invite à consulter l’article de la base de connaissance suivant : http://support.microsoft.com/default.aspx?scid=kb;en-US;2023123

     

    Source : Blog Opalis

  • [SCCM] Mise à jour du Management Pack pour Exchange Server 2010

     

    Microsoft vient de publier une mise à jour de son pack d’administration ou Management Pack (MP) pour Exchange Server 2010 pour intégrer les changements du Service Pack 1. System Center Operations Manager (SCOM) 2007 fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

     

    Télécharger Operations Manager Management Pack for Exchange 2010

  • P2V Migration for Software Assurance : Présentation et Implémentation avec SCCM

     

    Je vous en parle depuis plusieurs semaines ; je profite de 2011 pour mettre en ligne mon article sur P2V Migration for Software Assurance.
    J'ai écouté les multiples demandes que certains ont pu me faire afin de fournir des versions numériques de mes articles.
    Un autre article arrive très prochainement ... C'est une question de jours : Stay Tuned ;)

    Voilà un an que Windows 7 est sorti. L’engouement qu’ont les entreprises pour ce nouveau système d’exploitation est sans précédent. Microsoft jouait une partie de son avenir suite à l’échec de Windows Vista.

     Coté entreprise, quels sont les problèmes rencontrés ? Les Services Informatiques ont parfois vieilli avec Windows XP et ceci a engendré une inertie des entreprises à trouver des solutions quant au maintien à jour des applications dans le parc informatique. Aujourd’hui les entreprises qui ont/vont migrer vers Windows 7 se sont posées/se posent les mêmes questions : Quelles sont les applications qui sont compatibles avec Windows 7 ? Microsoft et les différents éditeurs de logiciels maintiennent une liste visant à recenser les applications compatibles avec ce nouveau système.  Mais qu’en est-il pour les applications qui ne le sont pas ? Comment procéder à la migration de son parc tout en dressant les problèmes de mise en compatibilité des applications ? Comment traiter les cas/utilisateurs particuliers nécessitant des applications parfois onéreuses ? Vous aborderez dans cet article un nouvel outil : P2V Migration for Software Assurance fourni par Microsoft permettant de répondre à cette dernière question 

     

    Cet article ne traitera pas de l’implémentation de P2V Migration for Software Assurance au travers de Microsoft Deployment Toolkit (MDT).

    Level : 200

    Connaissances pré requises : System Center configuration Manager 2007, Déploiement de systèmes d’exploitation, Microsoft Deployment Toolkit.

    Lire l'article sur mon blog : http://microsofttouch.fr/blogs/js/pages/p2v-migration-introduction.aspx

    Ou

    Télécharger cet article au format numérique : ICI

     


  • P2V Migration : Conclusion


    Conclusion

    Nous avons vu au travers de cet article une solution « gratuite » permettant aux entreprises bénéficiant de la Software Assurance de résoudre la problématique de mise en compatibilité des applications spécialisées. P2V Migration for Software Assurance est un bon complément aux solutions déjà fournies : Application Compatibility Toolkit, Microsoft Enterprise Desktop Virtualization. Elle permet d’assurer un processus de conversion physique à virtuelle du système d’origine. Les applications utilisées auparavant sont ensuite publiées au travers du menu démarrer. L’utilisateur peut les lancer et se voir déporter l’affichage afin de n’interagir qu’avec son nouveau système d’exploitation. Le processus de conversion s’intègre parfaitement au processus de migration du système d’exploitation et pousse un peu plus loin les limites de mise en compatibilité des applications. Il en reste un inconvénient majeur : le doublement de la gestion des systèmes d’exploitation. En effet, les utilisateurs se voient attribués deux systèmes d’exploitation qui doivent tous deux être mis à jour par l’administrateur du parc informatique. Ce problème ne reste tout de même que temporaire car P2V Migration for SA ne doit pas se substituer à une solution visant à rendre l’application compatible nativement au système d’exploitation.

     

    Revenir au plan : http://microsofttouch.fr/blogs/js/pages/p2v-migration-introduction.aspx

  • P2V Migration : Démonstration


    6. Migration P2V

    L’ensemble de l’infrastructure de déploiement est prête, nous allons pouvoir commencer la procédure de migration du système d’exploitation avec conversion P2V.

    Notez que le client ciblé par la publication doit aussi disposer d’un client ConfigMgr opérationnel.

    Dans ce scénario, je cible une machine équipée de Windows Vista Service Pack 2. Les applications Office 2007 et Adobe Reader sont installées et devront être utilisables au travers de la fonctionnalité Windows XP Mode.

     


    On ouvre le panneau de configuration et le panneau permettant de lancer les publications SCCM. On y retrouve le programme que nous avons précédemment créé : « Dep TS x64 RefreshP2V Windows 7 Ent US». On exécute ce programme afin de lancer la migration.

     

    La séquence de tâches se déroule. Nous allons décrire les tâches importantes dans la conversion P2V.
    On retrouve ainsi la tâche Use Toolkit Package qui télécharge le package MDT incluant l’ensemble des scripts nécessaires à l’exécution de la séquence de tâches.

     

    La tâche Capture Network Settings s’exécute.

     

    La séquence de tâches exécute la tâche Request State Store afin de faire la demande d’un espace de stockage au State Migration Point :

     

    La tâche est suivie par la capture et la collection des paramètres et données utilisateurs :

     

    Ensuite la procédure de déploiement enchaine avec la capture du VHD en installant la mise à jour RemoteApp :

     

    Enfin le déploiement télécharge l’image de démarrage et prépare l’environnement Windows PE pour le redémarrage de la machine :

     

    L’environnement Windows PE démarre et procède à l’installation du système d’exploitation :

    • Nettoyage du disque
    • Application de l’image d’installation
    • Application des paramétrages Windows
    • Installation de Windows et du client ConfigMgr

     

     

    Note : Certaines tâches ont été volontairement non citées

     

    Une fois le système d’exploitation installé, la séquence de tâches atteint la partie restauration des données utilisateurs.
    La première étape correspond à la demande de l’espace de stockage où sont stockées les données utilisateurs :

     

    On enchaine ensuite avec la restauration de l’état utilisateur :

     

    Ensuite, la procédure de restauration du VHD commence avec l’installation de Virtual PC et de la mise à jour pour s’affranchir de la virtualisation assistée par matériel :

     

    Une fois ces prérequis installé, il devient possible de copier le fichier VHD sur le nouveau système d’exploitation :

     


    Enfin, la procédure termine la migration en exécutant la tâche Release State Store pour signaler au serveur State Migration Point que la capture est terminée.

     

    Vous devez ensuite vous connecter au nouveau système d’exploitation pour finir la procédure de migration P2V. Ouvrez le menu démarrer => Tous les programmes => Windows Virtual PC et lancez « Add Old Apps In VHD to Windows 7 »

     

    Notez que l’utilisateur doit disposer des droits d’administration pour exécuter cette partie de la migration. Cet assistant se lance automatiquement dans tous les scénarios exceptés ceux proposés par System Center Configuration Manager ou les scenarios de jointure au domaine LTI Domain.

    La fenêtre HTA s’ouvre et commence à chercher les différents fichiers nécessaires à la création de la machine virtuelle :

     

    Vous pouvez suivre l’avancement des opérations avec une image de la machine virtuelle qui est remise à jour de manière régulière :

     

    Vous pouvez suivre l’avancement de l’opération en ouvrant directement la machine virtuelle :

     

    Une fois le démarrage terminé, un script est exécuté dans la machine virtuelle afin de procéder à l’installation des composants additionnels Virtual PC.

     

    S’en suit plusieurs redémarrages pour terminer la préparation et procéder à la publication des applications dans le menu démarrer :

     

    Une fois arrêtée, on peut remarquer que la migration est terminée et que l’ensemble des applications du menu démarrer de la machine virtuelle ont été publiées dans le menu démarrer de notre nouveau système Windows 7 :

     

    On peut ensuite lancer une application ; l’étape de préparation peut procéder au démarrage de la machine virtuelle si celle-ci est éteinte.

     

    Une fois l’application lancée, on remarque que son affichage est complétement déporté. On remarque ainsi que le thème de la fenêtre est celui d’Aero Basic dans Windows Vista et que l’icône correspond à celle de Virtual PC :

     

    On peut tester le lancement d’applications Office 2007 comme Word ou Excel :

     

    On écrit du texte que l’on va tenter de sauvegarder :

     

    On remarque que l’application tente de sauvegarder le programme dans les documents de l’utilisateur sur le système Windows 7 et non pas dans les documents de la machine virtuelle :

     

    On peut vérifier la présence du document dans le profil de l’utilisateur et tenter de l’ouvrir avec WordPad :


     

    Enfin, on peut tenter d’ouvrir le Windows MarketPlace de Windows Vista. On remarque que c’est la version Internet Explorer 7 de Windows Vista qui s’ouvre. Un processus spécifique est créé comportant la mention : « (Remote) » :

     

    Note : Si vous tentez d’éteindre le système d’exploitation ; celui-ci procède à la mise en veille prolongée de la machine virtuelle :


    Revenir au plan : http://microsofttouch.fr/blogs/js/pages/p2v-migration-introduction.aspx