2. Implémentation : Installation du serveur
Cette partie va traiter l’installation de la solution serveur de Forefront EndPoint Protection. Vous pourrez y retrouver les différents prérequis et la procédure d’installation.
2.1 Prérequis
2.1.1 Prérequis Matériel
Les prérequis matériels nécessaires à l’installation d’un serveur Forefront EndPoint Protection sont les suivants :
-
Mémoire : 2GB de RAM
-
Espace disque disponible :
-
Serveur FEP : 600 MB
-
Base de données FEP : 1.25 GB
-
Base de données des rapports FEP : 1.25 GB
-
Il est à noter que les prérequis peuvent varier en fonction de la répartition des rôles ou de la charge imposée au serveur.
2.1.2 Prérequis Logiciels
L’installation de l’infrastructure Forefront EndPoint Protection 2010 nécessite certains prérequis parmi les suivants :
-
Système d’exploitation : Windows Server 2003 SP2 ou plus
-
Aucune version de FEP ne doit être installée sur le serveur
-
Aucune autre protection antivirus doit être installé sur le serveur
-
Windows Installer 3.1 ou plus doit être présent
-
Le .NET Framework 3.5 SP1 doit être installé
-
Les Prérequis SQL Server :
-
Vous pouvez utiliser : SQL Server 2005 SP3 Standard ou Entreprise, SQL Server 2008 Standard ou Entreprise, SQL Server 2008 R2 Standard ou Entreprise.
-
Le SPN (Service Principal Name) du compte de service exécutant SQL Server doit être enregistré auprès du domaine. Pour plus d’informations, je vous renvoie sur : http://technet.microsoft.com/fr-fr/library/bb735885.aspx
-
Le service de l’agent SQL Server doit être lancé et dans un mode de démarrage automatique.
-
-
-
Le compte utilisateur exécutant l’installation de FEP sera propriétaire des bases de données et jobs suivants :
-
FEPDB_XXX (database)
-
FEPDW_XXX (database)
-
FEP_DataWarehouseMaintenance_FEPDW_XXX (job)
-
FEP_DB_Maintenance_FEPDB_XXX (job)
-
FEP_GetNewData_FEPDW_XXX (job)
-
FEP_GetNewDataOnInstall_FEPDW_XXX (job)
-
-
-
-
SQL Server Analysis Services :
-
Le compte utilisateur exécutant l’installation de FEP doit faire partie du rôle « server administrator » sur le serveur SQL Server Analysis.
-
Ce service doit être installé sur le même serveur et sur la même instance SQL Server qui héberge la base de données de Reporting. Ce scénario doit être envisagé si vous souhaitez éclater les rôles Forefront EndPoint Protection.
-
L’ordinateur exécutant SQL Server Analysis Services doit disposer des exceptions firewall suivantes :
-
SQL Server (TCP 1433) ouvert pour le traffic entrant
-
SQL Server Analysis Services (TCP 2383) ouvert pour le traffic entrant
Pour plus d’informations sur la configuration Firewall pour l’accès à SQL Server, rendez-vous sur : http://go.microsoft.com/fwlink/?LinkId=128365
-
-
-
SQL Server Reporting Services doit être installé et correctement configuré pour assurer la fonctionnalité de rapports
-
SQL Server Integration Services doit être installé
-
-
System Center Configuration Manager 2007 Service Pack 2 doit être installé avec l’ensemble des rôles par défaut. La fonctionnalité Reporting Services de SCCM R2/R3 doit être installée et convenablement configurée.
-
Les agents du client Configuration Manager suivants doivent être activés et configurés :
-
Hardware Inventory
-
Advertised Programs
-
Desired Configuration Management
-
Pour activer ces agents, ouvrez la console d’administration System Center Configuration Manager sur le site où vous souhaitez installer Forefront EndPoint Protection. Déroulez l’arborescence Site Database => Site Management => <SITECODE> - <SITENAME> => Site Settings => Client Agents :
Ouvrez les différents agents cités plus haut et assurez-vous que ceux-ci sont activés et correctement configurés :
-
Les machines où vous installerez les composants d’extension de la console Configuration Manager 2007 pour Forefront EndPoint Protection 2010 (ceci inclut la console du serveur de site, les consoles sur les postes des administrateurs…) nécessitent l’installation de la KB2271736 afin d’ajouter la classe WMI ManagementClass. Vous pouvez télécharger la mise à jour à partir de ce lien : http://go.microsoft.com/fwlink/?LinkId=203936
-
Aucun redémarrage ne doit être en attente avant de commencer l’installation de Forefront EndPoint Protection.
Vous trouverez plus d’informations sur les prérequis sur la documentation Technet : http://technet.microsoft.com/en-us/library/ff823830.aspx
L’installation et la configuration de ces prérequis (SQL Server…) afin d’assurer la validité de l’installation de Forefront EndPoint Protection ne sera pas détaillée dans cet article.
Pour ce qui est de la gestion des sites Configuration Manager au travers d’une hiérarchie avec Forefront EndPoint Protection 2010, je vous renvoie vers le lien de la documentation Technet : http://technet.microsoft.com/en-us/library/gg412503.aspx
2.2 Installation
Procurez-vous les sources de Forefront EndPoint Protection 2010 dans l’architecture de la machine où vous aller installer le produit. Lancez l’exécutable « serversetup.exe ».
Une fois l’assistant d’installation ouvert, renseignez les informations d’enregistrement du produit :
Sur l’écran suivant, acceptez les termes du contrat de licence :
La page suivante vous propose les options d’installation. On retrouve 4 types d’installation :
-
Basic Topology : Cette topologie est la plus simple. Elle permet l’installation de l’ensemble des composants (base de données, extension du serveur de site SCCM, extension de la console et composants de reporting) sur le serveur de site SCCM. Elle permet ainsi de centraliser l’ensemble des fonctionnalités sur une même machine et réduit ainsi les étapes de configuration de l’assistant.
-
Basic topology with remote reporting database permet l’installation de l’extension du serveur de site, de la base de données FEP, de l’extension de la console, et des composants de rapports sur le serveur en cours. Elle permet néanmoins le déport de la base de données de Reporting (Data warehouse) sur une autre machine.
-
Advanced topology autorise la personnalisation complète de l’installation. Vous pouvez ainsi choisir de répartir les rôles comme bon vous semble.
-
Install only Configuration Manager Console Extension for FEP 2010 rend possible l’installation seule de l’extension Forefront EndPoint Protection 2010 pour la console Configuration Manager 2007. Cette option se prête généralement au scénario permettant aux administrateurs de la solution de mettre à jour la console sur leur poste de travail.
Dans le cadre de cet article, nous aborderons le cas le plus général : La topologie basique. Nous allons donc concentrer l’ensemble des rôles sur une seule et unique machine : notre serveur de site SCCM. Néanmoins, nous allons passer par l’option d’installation la plus personnalisable à savoir Advanced Topology pour détailler au mieux les options offertes.
Sur l’écran suivant, vous pouvez choisir ce que vous souhaitez installer :
-
Configuration Manager Site Server FEP 2010 Extension : L’extension FEP pour le serveur de site permet l’ajout des collections FEP, des packages et programmes, des lignes de base FEP pour la gestion des configurations désirées. Cette option d’installation doit être exécutée sur le serveur de site SCCM.
-
FEP 2010 Reporting and Alerts permet l’installation des composants de supervision de l’infrastructure FEP. Si vous n’installez pas ce composant sur le serveur de site SCCM, vous devez configurer les permissions DCOM adéquates pour l’accès aux consoles. Vous pouvez pour cela consulter le lien suivant : http://technet.microsoft.com/en-us/library/gg477021.aspx#BKMK_ToInstallFEP2010ReportingAndAlerts.
Notez que cette option installe le client FEP 2010 sur la machine avec des paramétrages personnalisés. -
Configuration Manager Console Extension for FEP 2010 installe les fichiers nécessaires à l’intégration des composants d’administration dans la console System Center Configuration Manager 2007.
La page suivante permet la configuration des informations de la base de données FEP. Celle-ci doit être installée sur le même serveur/instance qui héberge la base de données Configuration Manager. Vous pouvez personnaliser le nom de la base de données FEP :
L’écran Reporting Configuration permet de spécifier les informations nécessaires à l’installation des fonctionnalités de Reporting. Vous pouvez ainsi y entrer le nom du serveur, l’instance et le nom de la base de données qui hébergeront les données de Reporting (Data warehouse). Enfin vous devez spécifier les informations du compte utilisé par le serveur de rapport pour accéder à la base de données de Reporting FEP 2010.
L’étape suivante vous permet de configurer les options de mise à jour du produit et de participation au programme d’amélioration :
La page suivante vous permet de joindre le programme Microsoft SpyNet. Ce programme est une initiative de Microsoft comme il en existe chez ses concurrents permettant de rejoindre une communauté afin d’enrayer la propagation des logiciels malveillants et indésirables. Le programme permet par exemple d’être avisé des logiciels non analysés et de savoir si les autres membres ont permis ou refusés les changements initiés par ceux-ci. Le programme permet notamment à Microsoft de détecter plus rapidement les menaces et ainsi de consolider les besoins d’analyse sur les véritables alertes.
On distingue deux types d’abonnements :
-
Basic SpyNet membership permet d’envoyer à Microsoft des informations concernant les logiciels malveillants détectés. Ces informations peuvent être l’origine du logiciel, l’action entrepris, son échéance (succès ou échec) .
-
Advanced SpyNet membership permet d'être avisé des logiciels dont les risques n'ont pas été analysés, vous pouvez voir si d'autres membres de la communauté permettent ou refusent les logiciels ou les changements effectués par les logiciels. Ces informations peuvent vous aider à prendre votre décision. De la même façon, vos choix sont ajoutés aux différents classements et aident les autres membres à prendre une décision. Vous pouvez être averti face à un logiciel qui n'a pas encore été classé en fonction des risques.
L’écran suivant permet de spécifier le répertoire d’installation et d’obtenir une vision des prérequis d’espace disque :
L’étape suivante correspond à la vérification des prérequis. Si vous avez raté un prérequis, vous obtiendrez un écran avec des erreurs comme suit :
Vous pouvez obtenir plus de détail sur l’erreur en cliquant sur « More… ». Ceci vous permettra de résoudre le problème :
Sinon si vous avez suivi la partie 2.1.2 et correctement configuré l’ensemble des prérequis cités vous devez obtenir l’écran suivant :
L’écran qui suit correspond au résumé d’installation. Vous pouvez rapidement revoir les différentes options et procéder à l’installation :
Lorsque l’installation est déroulée, l’ensemble des composants doivent être installés avec succès :
Avant de fermer l’assistant d’installation, vous pouvez vérifier les mises à jour sur Microsoft Update. Vous devrez ensuite procéder au redémarrage de l’ordinateur pour finaliser l’installation :
Vous pouvez consulter les fichiers de journalisation liés à l’installation dans : c:\ProgramData\Microsoft Forefront\Support\Server\ServerSetup_<Date>_<Heure>.log
2.3 Migration FCS vers FEP
Comme expliqué plus tôt, Forefront EndPoint Protection 2010 introduit un véritable changement dans le fonctionnement de la gamme d’antivirus pour entreprise de Microsoft. Contrairement à Forefront Client Security (FCS) qui était construit sur une version spécifique de Microsoft Operations Manager (MOM) 2005 ; FEP 2010 est lui construit sur la base de la gamme System Center. De ce fait, ceci implique des changements en profondeur.
Forefront EndPoint Protection 2010 ne permet pas une migration à proprement parler avec des scénarios In-Place ou Side-by-Side.
Voici la marche à suivre :
-
Dans la console FCS, documentez l’ensemble des paramétrages de chacune des stratégies que vous utilisiez pour pouvoir ensuite les recréer dans FEP.
-
Dans WSUS, désactiver l’approbation sur les packages d’installation FCS.
-
Installez Forefront Endpoint Protection avec votre infrastructure System Center Configuration Manager 2007
-
Recréez les stratégies FEP avec les paramétrages que vous avez documentés en amont sur votre serveur FCS.
-
Déployez massivement le client FEP. Celui-ci procédera à la migration de vos postes de travail en désinstallant le client FCS et en procédant à l’installation du nouveau client FEP.
-
Désinstallez ensuite l’infrastructure FCS une fois que l’ensemble des clients auront été migrés sur FEP.
2.4 Migration FCS vers FEP
L’installation de Forefront EndPoint Protection 2010 (FEP) correctement déroulée, vous pouvez ouvrir la console d’administration de System Center Configuration Manager 2007.
Nous allons détailler dans cette partie les brefs changements apportés à la console d’administration.
Déroulez l’arborescence Site Database => Computer Management => Collections.
On retrouve ainsi une collection FEP Collections contenant différentes sous collections. Ces sous collections sont bloquées et ne peuvent être supprimées. Le contenu des requêtes dynamiques ainsi que les paramétrages sont eux aussi non modifiables. Ces collections permettent ainsi de vous donner un aperçu de l’état des clients avec notamment des informations sur :
-
L’état des définitions (date)
-
L’état du déploiement du client FPS (En échec, En attente, déployé, non ciblé…)
-
Une collection dédié aux opérations ; Cette collection peut être utilisé pour toutes les opérations sur le client FEP (Lancement d’un scan …)
-
L’état de la distribution des stratégies (distribuée, en attente, en échec)
-
L’état de la protection (Activé, non reportée, service désactivé)
-
L’état de la sécurité (Scan complet requis, infecté, redémarrage requis …)
Toujours dans l’arborescence Site Database => Computer Management. Vous retrouvez le nœud Forefront EndPoint Protection :
Dans la partie Software Distribution, on retrouve trois packages :
-
Microsoft Corporation FEP –Deployment 1.0 contient deux programmes permettant l’installation et la désinstallation du client FEP.
-
Microsoft Corporation FEP – Operations 1.0 fournit trois programmes fournissant différentes opérations de maintenance
-
Microsoft Corporation FEP – Policies 1.0 fournit deux programmes permettant d’appliquer les politiques par défaut.
Associé à ces packages, on retrouve deux dossiers dédiés aux publications : FEP Operations et FEP Policies.
Nous détaillerons le nœud Forefront EndPoint Protection ainsi que les packages plus loin dans l’implémentation.
Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx