System Center 2012 Configuration Manager comprend la solution antivirale et anti logiciels malveillants : System Center Endpoint Protection. Cette intégration permet notamment d’obtenir une seule et unique console d’administration pour gérer tous les aspects d’administration liés aux périphériques gérés. Elle offre une intégration complète pour déployer les mises à jour de définitions via la gestion de mises à jour logicielles, le client ConfigMgr et le rôle Software Update Point. Microsoft publie des mises à jour de définition à raison de trois fois par jour (toutes les 8 heures). Vous pouvez d’ailleurs connaître le contenu de ces mises à jour via l’URL suivante : http://www.microsoft.com/security/portal/definitions/whatsnew.aspx
Pour voir la liste des dernières mises à jour de définitions, rendez-vous sur le catalogue Microsoft Update
Je ne reviendrais pas sur le fonctionnement du déploiement des mises à jour. Cet article a pour but d’expliquer le découpage des fichiers qui composent les mises à jour de définitions du client Endpoint Protection. Chaque définition peut faire jusqu’à plusieurs centaines de MB. J’aborde ce sujet car les entreprises ont tendance à demander si les clients ConfigMgr téléchargent l’ensemble des sources des mises à jour de définition trois fois par jour.
Chaque mise à jour de définitions comprend l’ensemble des fichiers permettant au client Endpoint Protection de se mettre à jour après une installation du client ou une version de définition n-1.
L’agent SCEP utilise le principe de modules de définition virus (VDMs) pour stocker les informations nécessaires à la détection des logiciels malveillants :
- Le fichier MpAvBase.vdm contient le module de définition de base antivirus. Microsoft le met à jour une fois par mois. Il contient toutes les informations permettant de construire les définitions incrémentielles.
- Le fichier MpAvDlta.vdm contient le module de définition incrémentiel antivirus. Microsoft met à jour ce fichier plusieurs fois par jours afin d’appliquer les changements relatifs au fichier de base (MpAvBase.vdm)
- Le fichier MpAsBase.vdm contient le module de définition de base anti logiciels malveillants. Microsoft le met à jour une fois par mois. Il contient toutes les informations permettant de construire les définitions incrémentielles.
- Le fichier MpAsDlta.vdm contient le module de définition incrémentiel anti logiciels malveillants. Microsoft met à jour ce fichier plusieurs fois par jours afin d’appliquer les changements relatifs au fichier de base (MpAsBase.vdm)
- Enfin le fichier MpEngine.dll contient le moteur de protection de SCEP. C’est le moteur qui fait référence aux fichiers .vdm pour protéger et analyser le système.
Une fois par mois, Microsoft combine les définitions de base et les fichiers incrémentiels (MpA*Dlta.vdm) pour inclure les changements et recommencer ainsi le cycle. La taille des fichiers de base augmente et reste fixe pour le mois suivant alors que la taille des fichiers incrémentiels diminue. Ces derniers grossiront au fil des publications du mois en cours.
On distingue 3 scénarios de mises à jour de définitions :
- Pour une nouvelle installation ou agent n’ayant pas été mis à jour depuis plus d’un mois, l’agent reçoit l’ensemble des mises à jour de définitions. La taille peut faire quelques centaines de MB.
- L’agent SCEP utilise des mises à jour de définitions du mois précédent. il reçoit alors le delta des mises à jour du moteur, des fichiers de base et des fichiers incrémentiels. Le delta envoyé est une partie des fichiers qui ont changé depuis la dernière version. La taille est de l’ordre de la dizaine de MB.
- L’agent SCEP utilise des définitions récentes. Dans cette situation, seuls les fichiers incrémentiels MpAvDlta.vdm et MpAsDlta.vdm doivent être mis à jour. Un différentiel binaire des fichiers est alors crée et déployé (quelques Kb).