Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)

3. Implémentation : Installation du client

Maintenant que l’infrastructure serveur est correctement installée et fonctionnelle, nous pouvons passer à l’installation et au déploiement à grande échelle du client.

 3.1 Prérequis

Cette partie liste les différentes considérations à prendre en compte lors de l’installation du client sur une machine.

 3.1.1 Prérequis Matériel

 

Les prérequis matériels nécessaires à l’installation d’un client Forefront EndPoint Protection sont les suivants :

  • CPU :
    • Windows XP : 500 MHz ou plus
    • Windows Vista ou Windows 7 : 1.0 GHz ou plus
  • Mémoire :
    • Windows XP : 256 MB de RAM ou plus
    • Windows Vista ou Windows 7 : 1 GB de RAM ou plus
  • Espace disque disponible : 300 MB

 3.1.2 Prérequis Logiciels

 

L’installation de l’infrastructure Forefront EndPoint Protection 2010 nécessite certains prérequis parmi les suivantes :

  • Systèmes d’exploitation : Windows XP SP3 (x86), Windows VISTA RTM ou plus (x86 ou x64), Windows 7 RTM (x86 ou x64), Windows 7 XP mode, Windows Server 2003 SP2 (x86 ou x64), Windows Server 2008 RTM ou plus (x86 ou x64), Windows Server 2008 R2 (x64) ou plus, Windows 2008 R2 Server Core (x64)
    Notez que la version Server Core de Windows Server 2008 n’est pas supportée par le client FEP.
    Les versions : Windows 7 Starter, Windows Home Premium, Windows Vista Basic, Windows Vista Home Premium, Windows XP Home Edition supportent l’installation manuelle des clients mais ne peuvent recevoir les stratégies (policies) du serveur.
  • Un client System Center Configuration Manager fonctionnel. Le site auquel appartient le client SCCM doit avoir un serveur FEP installé.
  • Windows Installer 3.1
  • Le package de correctifs de gestionnaire de filtre pour Windows XP SP2 (KB914882)
  • WFP (Windows Filtering Platform) un pilote de correctif logiciel cumulatif pour Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2 (KB981889)
  • Windows Update

L’installation du client Forefront EndPoint Protection procède à la désinstallation automatique des antivirus suivants si ceux-ci sont présents sur la machine :

  • Symantec Endpoint Protection version 11
  • Symantec Corporate Edition version 10
  • McAfee VirusScan Enterprise version 8.5 and version 8.7 and its agent
  • Forefront Client Security version 1 and the Operations Manager agent
  • TrendMicro OfficeScan version 8 and version 10

Vous trouverez plus d’informations sur les prérequis de déploiements du client Forefront EndPoint Protection sur : http://technet.microsoft.com/en-us/library/ff823900.aspx

 

 3.2 Installation

Après avoir revu les prérequis, nous allons pouvoir commencer la procédure de déploiement de masse du client. Nous n’aborderons pas dans cet article l’installation manuelle du client. Pour cela, je vous renvoie vers la documentation Technet : http://technet.microsoft.com/en-us/library/ff823774.aspx ou http://technet.microsoft.com/en-us/library/gg412485.aspx

 3.2.1 Distribution du package

Après avoir installé Forefront EndPoint Protection vous disposez des packages et des programmes nécessaires à l’installation du client. Néanmoins, vous devez d’abord rendre disponible ce package sur les points de distribution de votre environnement. Pour cela, ouvrez la console d’administration System Center Configuration Manager 2007. Déroulez l’arborescence : Site Database => Computer Management => Software Distribution => Package => Microsoft Corporation FEP – Deployment 1.0 => Distribution Points :

 

Cliquez droit sur le nœud Distribution Points et sélectionnez New Distribution Points. L’assistant s’ouvre, passez l’écran de bienvenue.
A l’étape Copy Package, sélectionnez les points de distribution sur lesquels vous souhaitez rendre disponible le package :

 

Après avoir fermé l’écran de confirmation, dirigez-vous dans Package Status => Package Status => <SITECODE> - <SITENAME> et validez que le package a bien été déployé sur le point de distribution :

 

 3.2.2 Création de la publication

Maintenant que le package est disponible nous allons pouvoir créer la publication nécessaire à la distribution et l’installation du client FEP sur les machines. Pour cela, dirigez-vous dans le nœud Programs  du package Microsoft Corporation FEP – Deployment 1.0. Cliquez droit sur le programme Install, sélectionnez Distribute puis Software.

 


Passez l’écran de bienvenue, vous pouvez ensuite choisir quelle collection sera la cible du déploiement. Vous pouvez ainsi cibler une collection existante ou créer une nouvelle collection. FEP nous fournit des collections proposant des requêtes dynamiques. Parmi celles-ci, on retrouve des collections donnant le statut du déploiement.  L’utilisation de la collection « Not Targeted » permet de cibler les clients Configuration Manager ne disposant pas déjà du client FEP.

 

Spécifiez ensuite le nom de la publication et le commentaire associé :

 

La page suivante permet de configurer le comportement de la publication vis-à-vis des sous collections. Par défaut la publication est propagée et héritée par les clients des sous collections de « Not Targeted ».

L’étape Advertisement Schedule permet de spécifier les informations (date et heure) de publication du programme et si celui-ci doit expirer :

 

Sur l’écran Assign Program, cochez « Yes, assign the program” et spécifiez les informations d’assignement (date et heure) :

 

Validez le résumé et la confirmation pour procéder à la création de la publication.

Dans l’état cette publication assigne et procède à l’installation du client sur les postes de travail dès que possible. Le programme est configuré pour s’exécuter en silencieux sans qu’aucune notification ne dérange l’utilisateur.

 

 3.2.3 Validation du déploiement

On se connecte sur le client et on rafraichie les différentes stratégies afin de récupérer les ordres de publication. Après quelques minutes, on peut confirmer que plusieurs processus sont en cours d’exécution : cscript.exe, epplauncher.exe, FEPInstall.exe.

 

On retrouve aussi un dossier caché à la racine du disque local contenant l’ensemble des binaires nécessaires à l’installation :

 

Après installation, le client FEP procède à la récupération des mises à jour auprès de son serveur :

 

L’installation du client a opéré l’installation du correctif de sécurité WPF (KB981889) :

 

Sur le client toujours, vous retrouvez différents fichiers de journalisation relative au client Forefront EndPoint Protection 2010. Ceux-ci sont stockés dans :

  • %ProgramData%\Microsoft\Microsoft Security Client\Support pour Windows 7, Windows Server 2008, et Windows Server 2008 R2
  • %allusersprofile%\Microsoft\Microsoft Security Client\Support pour Windows XP, Windows Vista, et Windows Server 2003

 

Fichier de journalisation

Description

EppSetup.log

Fichier de journalisation principal de l’installation.

MSSecurityClient_Setup_epp_install.log

Fichier de journalisation de l’installation de l’extension d’administration et de l’interface utilisateur.

MSSecurityClient_Setup_FEP_install.log

Fichier de journalisation de l’installation de l’extension Configuration Manager.

MSSecurityClient_Setup_mp_ambits_install.log

Fichier de journalisation de l’installation du service Antimalware.

MSSecurityClient_Setup_epploc_x86_Install or MSSecurityClient_Setup_epploc_x64_Install

Fichier de journalisation de l’installation des ressources localisées.

MSSecurityClient_Setup_amloc-%locale%_install

Fichier de journalisation de l’installation des ressources localisées pour le service antimalware.

MSSecurityClient_Setup_KB981889_Install.evtx

Le fichier de journalisation pour l’installation du correctif KB981889. Seulement sur Windows 7 ou Windows Server 2008 R2.

MSSecurityClient_Setup_dw20shared_Install.log

Le fichier de journalisation pour l’installation de Dr. Watson (seulement sur Windows XP, et seulement s’il n’était pas présent).

Source : Technet

Sur la console d’administration Configuration Manager, vous pouvez aussi suivre les différents états des machines lors du déploiement du client SCCM avec la collection Deployment Status et ses sous collections :

  • Removed : Les ordinateurs dans cette collection sont des machines qui disposaient du client FEP avant qu’ils soientt désinstallés manuellement.
  • Failed liste les machines où le déploiement a échoué
  • Pending : comporte les machines où le déploiement n’a pas encore démarré. Ceci peut se traduire par des machines connectées n’ayant pas encore reçu la publication.
  • Out of date : donne les machines disposant d’un client FEP d’une ancienne version
  • Deployed : liste toutes les machines où le client s’est correctement déployé.

 

 

 3.3 Présentation du client

Voici quelques informations importantes prenant part lors de l’installation du client Forefront EndPoint Protection :

  • Le client s’installe automatiquement dans le dossier %programfiles%\Microsoft Security Client
  • L’installation du client active automatiquement Windows Update et configure l’installation automatique des mises à jour.

Notez que pour les serveurs de fichiers, il peut être important de désactiver la protection en temps réel pour éviter des problèmes de performance.  Pour cela, vous devez créer une stratégie spécifique à ces machines.

Le client Forefront est constitué de plusieurs parties :

La page d’accueil permet d’avoir un bref aperçu de l’état du client et des définitions antivirales. Il est possible à partir de cet écran de lancer des opérations de scan (complet ou partiel).

 

La page Update permet de connaître la date de création des définitions, la date de dernière vérification et les versions des définitions de virus et de logiciels malveillants. Il est possible d’initier à partir de cet écran, la procédure de mise à jour du client via Microsoft Update, WSUS et les différents cheminS UNC renseignéS comme source des définitions.

 

L’écran History permet de visualiser l’ensemble des objets détectés par Forefront EndPoint Protection comme potentiellement nuisibles.

 

La page Settings permet de configurer l’ensemble des paramétrages du client Forefront EndPoint Protection. On retrouve ainsi :

  • Les programmations des scans
  • Les actions par défaut lorsqu’une menace est trouvée
  • Les paramétrages de la protection en temps réel
  • Les répertoires ou fichiers exclus de la recherche
  • Les types de fichiers exclus de la recherche
  • Les processus exclus de la recherche
  • Les paramétrages avancés (notifications, paramétrages de recherche, suppression des fichiers…)

Par défaut, la stratégie dédiée au poste de travail n’autorise aucune modification de paramétrage.

 

 3.4 Test de l'antivirus

Cette partie traite du test de l’antivirus Forefront EndPoint Protection. Nous allons soumettre celui-ci au test EICAR fournit par le groupe européen de la sécurité Informatique. Ce fichier est un faux négatif utilisé pour tester les antivirus. Il n’a aucune incidence sur le système. Depuis sa création en 2006, ce fichier de test a été largement utilisé et n’a plus vraiment d’intérêt. Il permet néanmoins de tester la fonction de protection en temps réel avec analyse du flux http et https pour détecter ce genre de menace juste après le téléchargement. Il a aussi servi à générer les alertes fournies par Forefront que vous verrez plus loin dans cet article.

Dirigez-vous sur http://www.eicar.org :

 

Il est possible de tester l’antivirus en téléchargeant les fichiers zippéS ou non sur les protocoles http/https. Une fois le téléchargement lancé, le client Forefront EndPoint Protection lève une alerte et propose de nettoyer la machine :

 

L’action de nettoyage proposée est la suppression du fichier incriminé. Vous pouvez changer d’action en fonction du niveau de sévérité détecté et appliquer les actions.

 

Une fois l’action terminée, Forefront vous donne le statut de l’action :

 

Vous pouvez ensuite visualiser dans l’historique du client, l’ensemble des éléments qui ont été détectés et les différentes actions qui ont été appliquées :

 

De la même manière si on désactive la protection en temps réel et qu’on télécharge le fichier, celui-ci n’est pas neutralisé lors du téléchargement mais lors de l’analyse de la machine :




Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx

Facebook Like
Anonymous