Depuis le 11 janvier dernier, Microsoft signe la fin du support du Service Pack 1 de System Center Configuration Manager 2007. Pour ceux qui ont du retard, vous pouvez accélérer la migration vers le Service Pack 2.

Source : blog SCCM

L’équipe du support SCCM vient de publier un article dans la base de connaissance sur un problème concernant l’inventaire matériel. Celui-ci dans certains cas peut engendrer une consommation excessive de la CPU pour le processus SMSexec.exe.

Quand le serveur SCCM procède au traitement des fichiers d’inventaire matériel (.MIF) ; celui-ci échoue et le processus SMSexec.exe se met à consommer une grande quantité de temps processeur.

Ce problème survient si l’option globale « no count » est activée sur le serveur SQL hébergeant la base de données SMS. Si celle-ci est activée, SCCM ne peut obtenir le nombre de ligne de SQL et ne peut ainsi compléter le cycle d’extension du schéma.

Vous devez ainsi désactiver l’option « no count » afin que le traitement ait lieu normalement. Vous pouvez accéder à cette option dans SQL Management Studio : Propriétés du serveur SQL => Connections => « no count ».

Pour plus d’informations, lisez la  KB2488396 - Hardware Inventory in Configuration Manager 2007 fails and the SMSexec.exe process shows high sustained CPU utilization

L’équipe du support SCCM vient de publier un billet concernant un problème survenant durant le déploiement des machines avec la tâche d’activation de BitLocker (Enable BitLocker).

En examinant les logs, on apprend que la puce TPM est bien activé et initialisé :

Start executing the command line: OSDBitLocker.exe /enable  /wait:False /mode:TPM /pwd:AD TSManager
!--------------------------------------------------------------------------------------------! TSManager
Expand a string: FullOS TSManager
Executing command line: OSDBitLocker.exe /enable  /wait:False /mode:TPM /pwd:AD TSManager
==============================[ OSDBitLocker.exe ]============================== OSDBitLocker
Command line: "OSDBitLocker.exe" /enable /wait:False /mode:TPM /pwd:AD OSDBitLocker
Initialized COM OSDBitLocker
Command line for extension .exe is "%1" %* OSDBitLocker
Set command line: "OSDBitLocker.exe" /enable /wait:False /mode:TPM /pwd:AD OSDBitLocker
Target volume not specified, using current OS volume OSDBitLocker
Current OS volume is 'C:' OSDBitLocker
FALSE, HRESULT=80004005 (e:\nts_sms_fre\sms\framework\tscore\encryptablevolume.cpp,364) OSDBitLocker
Unable to find instance of 'Win32_EncryptableVolume' where 'DriveLetter' = 'C:'. Ensure that BitLocker Drive Protection is available for this device. OSDBitLocker
m_pEncryptableVolume->Initialize( pszVolume ), HRESULT=80004005 (e:\nts_sms_fre\sms\client\osdeployment\bitlocker\bitlocker.cpp,222) OSDBitLocker
pBitLocker->Initialize( argInfo.sTarget ), HRESULT=80004005 (e:\nts_sms_fre\sms\client\osdeployment\bitlocker\main.cpp,637) OSDBitLocker
Process completed with exit code 2147500037 TSManager
!--------------------------------------------------------------------------------------------! TSManager
Failed to run the action: Enable BitLocker.
Unspecified error (Error: 80004005; Source: Windows) TSManager

Ce problème survient si le disque où vous installez Windows n’a pas été correctement partitionné. Pour rappel, vous devez créer une première partition de 100 à 300 MB dédiée au stockage du boot manager et des fichiers de boot. Ceux-ci ne peuvent être chiffrés pour que l’ordinateur puisse démarrer correctement. La seconde partition est utilisée pour stocker le système.

System Center Configuration Manager 2007 ne créé pas ces deux partitions. Il existe deux méthodes pour palier à ce problème :

• Vous pouvez modifier la tâche « Format and Partition Disk » de votre séquence de tâches en conséquence.
• Vous pouvez utiliser le script ZTIde.wsf du package MDT pour créer automatiquement la partition BitLocker

Pour plus d’informations sur la mise en œuvre de ces deux solutions, je vous renvoie vers le billet de l’équipe : http://blogs.technet.com/b/configurationmgr/archive/2011/01/20/solution-the-enable-bitlocker-task-fails-to-run-during-a-configmgr-2007-task-sequence.aspx

L’équipe MED-V vient de publier expliquant comment gérer et administrer les adresses MAC des machines virtuelles MED-V. Pour cela, vous devez utiliser le fichier de configuration GlobalImageData.xml. Ce fichier contient deux éléments importants :

• <DesiredMachineName> est le nom auto-généré pour le nom de la machine virtuelle MED-V.
• <MacAddress> permet de configurer l’adresse MAC de la machine

Pour plus d’informations, je vous laisse consulter le blog de l’équipe MED-V : http://blogs.technet.com/b/medv/archive/2011/01/24/how-to-manage-vm-mac-addresses-with-the-globalimagedata-xml-file-in-med-v-v1.aspx

L’équipe Forefront vient de publier le Management Pack pour Windows Storage Server 2008 R2 en version 6.0.6600.0.

Le Management Pack supervise :

• Single Instance Storage (SIS)
• Microsoft iSCSI Software Target

Télécharger Windows Storage Server 2008 R2 Monitoring Management Pack

L’équipe Remote Desktop vient de publier un connecteur Remote Desktop Services pour System Center Virtual Machine Manager. Celui-ci va permettre d’inclure System Center Virtual Machine Manager dans votre infrastructure de bureau virtuel (VDI). Ainsi, ce connecteur permet la communication entre le rôle Remote Desktop Connection Broker et le serveur Virtual Machine Manager afin de provisionner dynamiquement les machines virtuelles VDI.

Télécharger Remote Desktop Services Connector for System Center Virtual Machine Manager

Microsoft a un rythme de croisière de deux versions de Microsoft Desktop Optimization Pack (MDOP) par an. On retrouve ainsi systématiquement une première édition suivie de la R2 dans la seconde moitié de l’année. MDOP 2010 R2 apportait la version 4.6 de Microsoft Application Virtualization (App-V) et le Service Pack 1 de Microsoft Enterprise Desktop Virtualization (MED-V).
Mais que va nous apporter MDOP 2011 ?

• App-V : Du côté d’App-V, Microsoft a annoncé la sortie du Service Pack 1 pour la version 4.6. Celui-ci apporte les nouveautés suivantes :
  • Cette version permet de convertir les fichiers d’installation Windows directement en  bulle applicative App-V. La philosophie du séquencement est donc bouleversée en permettant de réduire le temps nécessaire à celui-ci.
  • Le séquenceur procède à un diagnostic plus en profondeur avant et après le séquencement pour remonter les problèmes possibles avec les fichiers exclus, les drivers, COM+, les différences de systèmes, les conflits SxS, les extensions Shell.
  • Amélioration de Dynamic Suite Composition (DSC)
  • Cette version proposera une fonctionnalité appelée App-V Package Accelerators fournissant des modèles afin d’accélérer le séquencement des applications difficiles à packager.
  • Il n’y a plus la limitation 8.3 sur la convention de nommage des répertoires
  • Possibilité de minimiser le séquenceur
  • Séparation des étapes : préparation pour la première utilisation et block one
• MED-V : La release Candidate de la version 2 du produit est sorti le 10 décembre 2010. On peut aisément penser que MED-V v2 sera lancé pour cette version du pack. Il comprend les nouveautés suivantes
  • Il n’y a plus d’infrastructure de déploiement dédiée à MED-V. Cette version repose sur une intégration avec les outils d’administrations comme System Center Configuration Manager. Le mode de fonctionnement de MED-V se rapproche ainsi de Forefront EndPoint Protection (FEP).
  • Une expérience utilisateur et administrateur plus simplifiée que pour MED-V v1 et XP Mode
  • Intégration plus étroite avec Windows 7
  • Redirection des dossiers My Documents et Desktop
  • Publication automatique d’applications : Les nouvelles applications (ceci inclut les applications App-V) sont déployées aux workspaces automatiquement
  • Nouvelles options de redirection Internet Explorer : Les sites nécessitant IE6 démarreront automatiquement le navigateur Internet Explorer 6. Il est maintenant possible d’utiliser les chaines suivantes : (http://*.example.com), des sites spécifiques (http://www.example.com/hr), des sites avec un niveau de page (http://www.example.com/hr/benefits.asp) ou en spécifiant un port spécifique (http://vpn.example.com:1234)
  • Cette version sera construite sur Windows Virtual PC 7
  • Support des périphériques USB/SmartCard
  • Arrêt et mise en veille automatique de la machine virtuelle
• AIS : AIS 2.0 est disponible en bêta depuis plusieurs mois (quasiment un an). Celui-ci dispose de la même architecture que Windows Intune. La dernière bêta était globalement très aboutie avec une traduction en français. Cette version peut donc être lancée pour MDOP 2011

Vous l’aurez compris ceux-ci est fourni est à titre indicatif et Microsoft n’a pas encore communiquer sur le contenu exacte de MDOP 2011.

L'équipe Exchange vient de mettre à jour l'outil Exchange 2010 Mailbox Server Role Requirements Calculator dans sa version 14.1. Cet outil est composé de feuilles Excel permettant d'entrer des données relatives à votre architecture.

Le calculateur vous donnera les prérequis de :

• Role
• LUN
• Design du stockage
• Input
• Backup
• Log Replication

La version 14.1 inclut les améliorations et les fonctionnalités suivantes :

• Added conditional formatting for Exchange Native Data Protection input factor to alert when you are deploying with less than the recommended number of HA copies.
• The calculator now includes the ability to select different disk types and capacities for the storage architecture being deployed in the secondary datacenter.

La version 14.1 corrige les bugs suivants par rapport aux versions précédentes :

•  Fixed the Activation Results Scenarios to no longer display #NAME when dealing with dedicated lagged copy servers.
• Fixed 2 LUNs / Backup Set formula for the 11th database grouping set in the DB and Log LUN Design / Server table to display the correct number of databases in the grouping set.
• Fixed "Number of Active Databases / SDC Server (After First PDC Server Failure)" calculations to take into account stretched Single DAG without dedicated DR servers.
• Fixed "Number of Required Mailbox Processor Cores (Primary Datacenter)" formula to respect when site resilience is disabled and A/A (Single DAG) is selected.
• Fixed formatting for scenario that resulted in more HA database copies being deployed in the secondary datacenter than in the primary datacenter and also improved validation checks.
• Updated "Custom Number of Databases" (Input Section) and "Number of Databases" (Role Requirements section) text to indicate in standalone situations that the "Custom Number of Databases" is per server and "Number of Databases" is for the environment.
• Fixed 2nd PDC failure formula to enable site resilient scenarios that have 3 copies in PDC to allow double server failure event.
• Optimized Number of Mailboxes per Database (I/O Driven) to not round up odd numbers to the next even number.
• Fixed text in various comment fields.

Résumé des changements entre chaque version : http://msexchangeteam.com/archive/2010/01/22/453859.aspx
Article sur son utilisation : http://msexchangeteam.com/archive/2009/11/09/453117.aspx

Télécharger Exchange 2010 Mailbox Server Role Requirements Calculator

L’équipe SCCM vient de publier un billet concernant une erreur qui touche les administrateurs utilisant l’éditeur de séquence de tâches. Celui-ci renvoi l’erreur « too many steps » quand l’administrateur édite une séquence de tâches très complexe.

Pour résoudre ce problème, je vous renvoie vers le blog de l’équipe : http://blogs.technet.com/b/configmgrteam/archive/2011/01/18/task-sequence-editor-too-many-steps-issue-and-solution.aspx

La communauté Opalis est en pleine expansion ; c’est ainsi que Charles Joy a publié trois nouveaux packs d’intégration sur CodePlex.

On retrouve les Integration Packs suivants :

• Integration Pack for Text Manipulation
• Integration Pack for MSSQL Tasks
• Integration Pack for Windows Tasks

Ces packs rejoignent la liste des packs déjà présents :

• Integration Pack for SharePoint
• Integration pack for Opalis logging
• Integration Pack for Data Manipulation
• Integration Pack for Exchange
• Integration Pack for Local Group and User Management

Les DeploymentGuys viennent de publier un article très intéressant permettant de forcer l’exécution des publications à la fin du déploiement. Ceci permet de lancer l’ensemble des scripts même ceux facultatifs et nécessitant une intervention de la part de l’utilisateur. C’est un bon moyen de s’assurer que l’ensemble des publications ciblant la machine ont été exécutée à la fin du déploiement. A la base ce script a été construit pour un scénario de déploiement LTI avec MDT mais il se prête très bien à un déploiement via SCCM.

Vous devez procéder aux étapes suivantes :

• Inclure le script dans la source du package MDT. Il doit être au même niveau que le script ZTIUtility.vbs
• Mettre à jour le package MDT sur les points de distribution
• Inclure une tâche à la fin de votre séquence de tâches et exécuter le script CUSTOM_ForceSCCMAdvertisements.wsf avec la commande wscript.

Pour plus d’informations, je vous renvoie vers le billet : http://blogs.technet.com/b/deploymentguys/archive/2011/01/18/kick-starting-sccm-advertisements.aspx

L’équipe Opalis vient de publier un article dans la base de connaissance afin de détailler les étapes nécessaires à l’installation du pack d’intégration IBM Tivoli Enterprise Console. Ce pack d’intégration nécessite l’intégration de nouvelles classes et règles dans la console IBM Tivoli Enterprise.

Pour plus d’informations, je vous laisse consulter la KB2491953 - How to install Opalis Integration Pack for IBM Tivoli Enterprise Console Class and Rule definitions

Source : Blog Opalis

Voilà un article peu atypique mais qui à le mérite de donner les avantages et inconvénients de Windows Virtual PC 7 pour une utilisation dans le cadre de gamers. Malheureusement, Virtual PC est un piètre élève dans sa catégorie et n’est vraiment pas fait pour ce genre de situation.

Je vous laisse lire l’article des Ben Armstrong (Virtualization Program Manager chez Microsoft) : http://blogs.msdn.com/b/virtual_pc_guy/archive/2011/01/14/gaming-on-windows-virtual-pc.aspx

Microsoft vient de publier la version finale de MAP 5.5. Pour rappel, Microsoft Assessment and Planning Toolkit (MAP) fait partie de la catégorie des accélérateurs de solution (Solution Accelerator) tout comme Microsoft Deployment Toolkit. MAP permet d’opérer un inventaire complet des serveurs et des stations de travail déployés sur votre réseau. Il effectue un inventaire matériel et logiciel. Il opère aussi des analyses de performances et de fiabilité. MAP permet l’inventaire des systèmes suivants : Windows 7, Windows Vista, Windows XP Professional, Windows Server 2008 ou Windows Server 2008 R2, Windows Server 2003 ou Windows Server 2003 R2, Windows 2000 Professional ou Windows 2000 Server, VMware ESX, VMware ESXi, VMware Server. La version 5 apportait l’inventaire des systèmes Linux et Unix ainsi que des scenarii supplémentaires concernant le déploiement d’Office 2010, la détection du déploiement par le biais de SCCM.

Qu’apporte cette version 5.5 ?

• Nouveau scénario de migration pour Windows 7 et Internet Explorer 8 (ou plus)
• Scénarios de migration des applications Web et des bases de données vers Windows Azure et SQL Azure
• Découverte des instances de bases de données MySQL, Oracle et Sybase pour vous aider dans la migration vers SQL Server
• Amélioration des scénarios de consolidation de serveur pour Hyper-V

MAP doit être installé sur une machine disposant des éléments suivants : Word 2007 ou 2003 SP2, Word Primary Interop Assemblies, Excel 2007 ou Excel 2003 SP2, Excel Primary Interop Assemblies, Microsoft Office Compatibility Pack for Office 2007, .Net Framework. Lors de son installation MAP requiert un accès à une base de données comme celle de SQL Server 2008 Express.

Téléchargez Microsoft Assessment and Planning (MAP) Toolkit 5.5 RTM

Je vous en parlais la semaine dernière, voici mon nouvel article sur l'implémentation de Forefront EndPoint Protection 2010. Comme pour le dernier, cet article est disponible sur Internet ou en version numérique.

En août 2003 alors que les administrateurs systèmes étaient d’avantage exposés à la lumière du soleil qu’à celle de leur écran d’ordinateur ; MS Blaster l’un des fléaux informatiques les plus célèbres commençait à envahir le monde de l’entreprise. Celui-ci allait changer radicalement la vision de la sécurité au cœur des entreprises en lançant une prise de conscience générale.  A l’heure du passage en 2011, il n’est pas envisageable qu’une entreprise ne protège pas son parc informatique par un système anti-logiciel malveillant performant. Fin 2010, Microsoft annonçait la sortie de la nouvelle version de sa solution antivirale. Forefront EndPoint Protection était attendu depuis près de 3 ans avec des attentes fortes en matière d’administration. Cette nouvelle version change de stratégie en proposant une intégration complète à la gamme System Center au travers de System Center Configuration Manager (SCCM) 2007 et System Center Operations Manager (SCOM) 2007.
Vous verrez dans cet article comment implémenter Forefront EndPoint Protection et comment l’utiliser au quotidien. Nous verrons les différents avantages et inconvénients de cette solution et les avancées proposées.

Notez que cet article n’abordera pas l’implémentation de Forefront EndPoint Protection 2010 Security Management Pack. C’est-à-dire l’implémentation des Management Packs dans une infrastructure System Center Operations Manager.

Level : 200

Connaissances pré requises : System Center configuration Manager 2007, Windows Server Updates Services.

Lire l'article sur mon blog : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx

Ou

Télécharger cet article au format numérique : ICI

Conclusion

Nous avons vu dans cet article comment installer et implémenter Forefront EndPoint Protection 2010. Vous avez pu voir l’intégration complète et forte dans System Center Configuration Manager 2007 offerte par cette nouvelle édition. Les avantages de gérer les stratégies ou encore les alertes au travers de l’administration quotidienne offerte par SCCM sont multiples. Nous avons vu la simplicité offerte par l’utilisation d’une console centrale pour gérer l’ensemble des besoins de l’entreprise. Forefront EndPoint Protection fait donc un pas de géant vers les entreprises qui attendaient une intégration au produit d’administration de Microsoft.
Néanmoins les sociétés ne disposant pas de System Center Configuration Manager se sentiront lésées par ce changement de stratégie qui nécessitera un investissement conséquent. Certaines d’entre elles disposent déjà d’un outil de distribution électronique de logiciels (electronic software distribution (ESD) systems) et les migrations peuvent coûter beaucoup plus cher que d’opter pour un concurrent de FEP. De la même manière, les petites et moyennes entreprises ne sont plus la cible de ce produit. En effet, il n’existe pas à ce jour de dispositif d’intégration pour System Center Essentials 2010. On peut simplement regretter que Microsoft n’ait pas prévu une console simplifiée et dédiée pour ce type d’entreprise. Le pari de Microsoft trouvera certainement son sens dans le mode de licence proposé puisque beaucoup d’entreprises utilisent SCCM avec une solution antivirale concurrente et peuvent ainsi se voir attribuer aujourd’hui gratuitement Forefront EndPoint Protection 2010. La citation « FEP and SCCM : Better Together » prend réellement son sens avec cette version 2010.

Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx

4. Administration

 4.5 Gestion des rapports

Il existe différents moyens d’utiliser les données rapportées sur l’état du client Forefront EndPoint Protection. System Center Configuration Manager et Forefront EndPoint Protection proposent :

• Des collections révélant l’état des clients
• Des rapports donnant des informations plus détaillés

Nous avons déjà détaillé les collections précédemment dans cet article. Néanmoins pour rappel, on en retrouve sur :

• L’état des définitions (date)
• L’état du déploiement du client FPS (En échec, En attente, déployé, non ciblé…)
• Une collection dédiée aux opérations ; Cette collection peut être utilisée pour toutes les opérations sur le client FEP (Lancement d’un scan …)
• L’état de la distribution des stratégies (distribuée, en attente, en échec)
• L’état de la protection (Activé, non reportée, service désactivé)
• L’état de la sécurité (Scan complet requis, infecté, redémarrage requis …)

Plus généralement, un tableau de bord est disponible sur le nœud Forefront EndPoint Protection de la console d’administration. Celui-ci donne une vision globale du nombre de machines dans les différents états cités dans les collections. Un bilan des différentes lignes de base est disponible. Celui-ci présente le niveau de conformité ainsi que le nombre de machines conformes ou non.

Forefront EndPoint Protection offre trois types de rapport. Ceux-ci sont disponibles dans l’arborescence : Site Database => Computer Management => Forefront EndPoint Protection => Reports.

Vous pouvez lancer les rapports en cliquant droit et en sélectionnant « Run ».
Le premier rapport « Computer Details » donne la liste des machines accompagnée de l’état de leur protection, de l’état de la sécurité, de la version des définitions. Si un logiciel malveillant a été détecté, on dispose des dates de première et dernière apparition.

Le rapport « Antimalware Protection Summary » donne une vision de l’état général de la protection anti logiciels malveillants.
Les diagrammes suivants sont disponibles :

• Résumé de la protection anti logiciels malveillants (clients déployés, protection désactivée, protection en temps réelle activée ou désactivée…)
• Historique de la protection anti-malware sur les 7 dernier jours.
• Résumé des mises à jour de définitions (ancienneté)
• Historique des mises à jour de définitions sur la dernière semaine
• Résumé des analyses antimalware (ancienneté des analyses sur les postes du parc informatique)
• Historique des analyses antimalware sur les 7 dernier jours
• Résumé de l’état de sécurité (Infecté, Action requise, Activité de logiciels malveillants récente)

Enfin, le rapport “Antimalware Activity” donne un résumé de l’activité des logiciels malveillants détectés sur le parc informatique.
On retrouve différentes informations comme :

• Un historique des alertes de sécurité (sur une semaine)
• Résumé de l’état de sécurité (Infecté, Action requise, Activité de logiciels malveillants récente)
• Tableau d’historique des incidents (Menaces supprimées, mises en quarantaine, nettoyées, autorisées, bloquées…)
• Diagramme en barre d’historique des incidents (Menaces supprimées, mises en quarantaine, nettoyées, autorisées, bloquées…)
• Top des logiciels malveillants par sévérité détectés dans la semaine

Sur chacun de ces rapports, vous pouvez bénéficier de la puissance de SQL Server Reporting Services en modifiant différents paramètres (collection, date de début/fin, étendue du rapport…) qui influeront sur le résultat fourni par le rapport.

Enfin, vous pouvez trouver un rapport détaillé sur chaque machine. Ouvrez la console d’administration et déroulez l’arborescence afin d’atteindre les collections. Cliquez droit sur le poste de travail cible et choisissez « Run FEP Computer Details Report » :

Le rapport donne des détails sur l’ordinateur, sur l’état de la protection, sur l’activité des logiciels malveillants :

 4.6 Gestion des configurations désirées

Forefront EndPoint Protection 2010 apporte un certain nombre de lignes de base et d’objets de configuration disponibles pour assurer la conformité des postes de travail au travers de la configuration du client FEP 2010.

Les lignes de base commençant par le préfix « FEP Monitoring » sont utilisées par Forefront pour superviser le client Forefront et remonter l’état du client et de sa configuration (état des mises à jour, des services…). Lors de l’installation de Forefront EndPoint Protection, l’activation de l’agent de gestion des configurations désirées est un prérequis pour cette raison.

On retrouve 4 lignes de base :

• FEP Monitoring – Antimalware Status : Cette ligne de base remonte l’état du client Forefront (les dates de dernière analyse, les versions des moteurs,  …)
• FEP Monitoring – Definitions and Health Status : Cette ligne de base remonte le niveau de mise à jour du client comme notamment l’ancienneté des définitions ou encore l’état de la protection.
• FEP Monitoring – Malware Activity remonte les activités des logiciels malveillants. Ceci inclut si une analyse complète est requise, si un logiciel malveillant est actif ou a été nettoyé dans les dernières 24 heures, ou si un redémarrage est requis.
• FEP Monitoring – Malware Detection renvoie les informations de détection des logiciels malveillants.

Ces quatre lignes de base sont appliquées à l’ensemble des machines disposant du client Forefront EndPoint Protection. Elles sont essentielles dans le fonctionnement du produit.

En parallèle, Forefront EndPoint Protection 2010 fournit quatre autres lignes de base pouvant être utilisées pour assurer la conformité du client vis-à-vis des standards de configuration (équivalent aux modèles de stratégie disponibles) :

• FEP – High-Security Desktop : vérifie qu’un niveau de sécurité maximum est appliqué avec  des analyses rapide tous les jours et une analyse complète par semaine. L’utilisation processeur ne doit pas limitée et la configuration du Firewall est optimisée pour éviter les intrusions
• FEP – Laptop : s’assure que les ordinateurs portables sont correctement configurés avec les paramètres standard. Néanmoins les contraintes de validation diffèrent du fait que les portables peuvent être déconnectés pour une durée plus ou moins longue du réseau.
• FEP – Performance Optimized Desktop s’assure qu’une protection sécurité minimale est appliquée tout en offrant un niveau de performance maximum. L’usage processeur doit être par exemple limité à 30% et une seule analyse rapide s’effectue toutes les semaines.
• FEP – Standard Desktop : contrôle les paramétrages afin que ceux-ci soient similaires à une configuration pour un poste de travail standard. Une analyse rapide doit avoir lieu par semaine et l’utilisation du processeur doit être limitée à 50%.

Note : Ces lignes de base ne sont pas assignées par défaut.

Ces lignes de base font toutes références à 23 objets de configuration :

Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx

4. Administration

 4.4 Gestion des alertes

System Center Configuration Manager dispose de mécanismes permettant de connaître l’état de santé de l’ordinateur et des différents services de protection Forefront. Parmi ceux-ci, on retrouve des lignes de base permettant de détecter l’état en fonction de différentes requêtes WMI. Ces lignes de bases rapportent par exemple au serveur les différentes menaces détectées. L’intrusion d’un virus ou d’un logiciel malveillant peut causer des dégâts graves sur l’ensemble du parc en très peu de temps.

Ainsi, Forefront EndPoint Protection 2010 offre un système d’alertes que vous pouvez configurer pour alerter les administrateurs du parc informatique. Vous verrez dans cette partie comment configurer le système d’alerte.

 4.4.1 Paramétrage du système d’envoi d’email

Commençons par le paramétrage du système d’envoi d’email. Pour cela, ouvrez la console d’administration et déroulez Site Database => Computer Management => Forefront EndPoint Protection => Alerts. Cliquez droit sur le nœud Alerts et sélectionnez « E-Mail Settings ».

La fenêtre de paramétrage s’ouvre. Cochez la case « E-mail alert notification ». Entrez ensuite le serveur SMTP, le port, la méthode d’authentification, et l’adresse e-mail d’expédition.

Cliquez ensuite sur « Test and Close… » et entrez l’adresse email que vous souhaitez utiliser pour tester le système d’envoi :

Un message d’information s’affiche et un email a été envoyé sur l’adresse indiqué pour vérifier que le système fonctionne :

 4.4.2 Configuration des alertes

Après avoir configuré le système d’envoi d’emails, nous allons pouvoir configurer les quatre types d’alertes disponibles.
La première alerte correspond à l’alerte épidémique. Celle-ci envoi un email lorsqu’un même logiciel malveillant est détecté sur un nombre d’ordinateurs spécifiés. Dans le nœud « Malware Outbreak Alert » de la partie Forefront EndPoint Protection => Alerts, sélectionnez l’alerte correspondante.

Cochez « Enable alert » pour activer l’alerte. Entrez le seuil du nombre d’ordinateurs utilisés pour déclencher l’alerte. Ajoutez aussi les adresses email qui recevront les alertes par email.

La seconde alerte est « Malware Detection Alert ». Celle-ci envoi un email lorsqu’un logiciel malveillant est détecté sur un ordinateur membre de la collection cible de l’alerte.
Cliquez droit sur le nœud Malware Detection Alerts et sélectionnez « New Malware Detection Alert… ». Vous pouvez ensuite sélectionner la collection cible de l’alerte ou encore le niveau de détection en fonction du niveau de gravité de l’alerte. Entrez aussi les adresses email des collaborateurs qui recevront les alertes.

L’alerte « Repeated Malware Detection Alert” permet l’envoi d’email lorsqu’un même logiciel malveillant est détecté sur les postes de travail d’une collection dans un intervalle de temps donné.
Cliquez droit sur le nœud Malware Detection Alerts et sélectionnez « New Repeated Malware Detection Alert… ». Vous pouvez ensuite sélectionner le nombre de fois qu’un logiciel malveillant est détecté (4, 8, 16, 32 fois) ainsi que l’intervalle de temps (4 heures, 24 heures, 1 semaine) dans lequel ils sont détectés. Entrez aussi les adresses email des collaborateurs qui recevront les alertes.

Enfin l’alerte « Multiple Malware Detection Alert” permet l’envoi d’email lorsque plusieurs types de logiciels malveillants sont détectés sur un même postes de travail dans un intervalle de temps donné.
Cliquez droit sur le nœud Multiple Detection Alerts et sélectionnez « New Multiple Malware Detection Alert… ». Vous devez sélectionner la collection qui sera cible de l’alerte. Vous pouvez ensuite sélectionner le nombre de logiciels malveillants différents détectés (4, 8, 16, 32 logiciels malveillants) ainsi que l’intervalle de temps (4 heures, 24 heures, 1 semaine) dans lequel ils sont détectés. Entrez aussi les adresses email des collaborateurs qui recevront les alertes.

Lorsqu’une menace est détectée, une alerte est levée et vous recevez un email comme suit :

L’ensemble de ces alertes vous permettent d’être tenu informé en cas d’épidémie ainsi être réactif plus rapidement face aux différentes menaces.

Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx

4. Administration

 4.3 Gestion des opérations

Le quotidien des administrateurs est rythmé par la gestion du parc. Ceci passe par les différentes tâches permettant d’assurer qu’aucune menace n’est actuellement présente sur le réseau. Ainsi Forefront EndPoint Protection 2010 propose différents mécanismes permettant de lancer ponctuellement ou de manière programmé des opérations comme :

• Analyse rapide
• Analyse complète
• Mise à jour des définitions

Pour rappel, la programmation des analyses doit se faire au travers des stratégies appliquées sur les clients. Néanmoins, il est possible de lancer des stratégies programmées à travers un programme (script).

Nous verrons dans cette partie comment lancer des opérations programmées ou ponctuelles.

 4.3.1 Création d’opérations programmées

Comme vous avez pu le voir précédemment, Forefront EndPoint Protection se base sur les mécanismes offerts par System Center Configuration Manager. Les opérations sont ainsi symbolisées par un package contenant un script. Ce sont ensuite des programmes avec la ligne de commande et les commutateurs spécifiques qui vont permettre d’exécuter l’opération voulue.

On peut ainsi utiliser les mécanismes de System Center Configuration Manager en construisant des collections qui seront ciblées par des programmations récurrentes afin de publier les opérations souhaitées.

Attention ! Ce mode opératoire n’est à utiliser que pour des cas particuliers. Dans la majorité des cas, il est conseillé de configurer des opérations/analyses programmées en utilisant les stratégies appliquées aux clients.

Commencez par créer une arborescence de collections qui serviront à accueillir les différents clients et les publications :

Créez ensuite une publication pour l’opération que vous souhaitez attribuer. Pour cela, ouvrez la console d’administration et déroulez l’arborescence Site Database => Computer Management => Software Distribution => Packages => Microsoft Corporation FEP – Operations => Programs.
Cliquez droit sur le programme associé à l’opération que vous souhaitez publier et sélectionnez Distribute puis Software :

L’assistant de création de la publication s’ouvre. Passez l’écran de bienvenue et sur l’écran suivant sélectionnez ou créez la collection cible de l’opération :

Sur la page Advertisement Name, entrez le nom donné à la publication en cours de création :

Sur l’écran Advertisement Subcollection, choisissez si la publication doit se propager au sous collections :

A l’étape Advertisent Schedule, choisissez la date de mise à disposition et d’expiration de la publication :

A la page Assign Program, cochez la case « Yes, assign the program » et spécifiez l’erreur et les options d’exécution du programme :

Validez l’écran de résumé pour procéder à la création et fermez l’écran de confirmation.

Vous pouvez ensuite modifier les propriétés de la publication pour programmer une récurrence.

 4.3.2 Attribution d’opérations ponctuelles

Forefront EndPoint Protection 2010 offre la possibilité de lancer des opérations ponctuelles sur les clients en fonction des besoins d’administration. Imaginez le scénario suivant : Vous êtes averti par une alerte qu’un logiciel malveillant a été introduit sur le parc. Celui-ci est une sévérité extrêmement rare. Vous souhaitez donc lancer une analyse complète sur l’ensemble des postes de travail. La fonctionnalité d’opérations ponctuelles va vous aider dans cette tâche.

Pour cela, ouvrez la console d’administration et déroulez l’arborescence Site Database => Computer Management => Collections => All systems. Sélectionnez les postes sur lesquels vous souhaitez lancer l’opération et cliquez droit. Sélectionnez ensuite FEP Operations puis l’opération que vous souhaitez exécuter parmi l’analyse rapide, complète, ou encore la mise à jour des définitions.

Une fenêtre s’affiche vous informant que l’opération a été programmée. Pour cela, une publication et collection ont été créées pour accueillir les machines cibles et l’opération.

La publication a été créée dans le dossier FEP Operations de l’arborescence Site Database => Computer Management => Software Distribution => Advertisments :

Une collection portant le nom <OPERATION> at <DATE_DE_LANCEMENT> est créée dans la collection Operations de l’arborescence : Site Database => Computer Management => Collections => FEP Collections :

A l’issue de cette création, l’opération démarre dès que la publication est reçue par le client SCCM :

Celui-ci lance un script VBS : « AmRemediation » :

Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx

4. Administration

 4.2 Gestion des mises à jour

La gestion des mises à jour de définitions est une étape importante dans la gestion des clients Forefront EndPoint Protection. Microsoft publie des mises à jour de définitions plusieurs fois par jour pour actualiser les nouvelles menaces qui se présentent.  Vous pouvez mettre à jour les clients de différentes façons :

• Via Microsoft Updates : Le client se connecte aux serveurs de mise à jour de Microsoft.
• Via un chemin réseau: Vous l’avez vu dans la gestion des stratégies ; il est possible de créer un répertoire faisant office de dépôt des mises à jour. Le client récupère alors manuellement les définitions à partir de ce dossier.
• Via System Center Configuration Manager ou Windows Server Updates Services : L’administrateur déploie et approuve les mises à jour massivement.

Chacune de ces méthodes possèdent un avantage.  La mise à jour via Microsoft Updates peut permettre aux clients déconnectés du réseau de quand même bénéficier des mises à jour de définitions. L’utilisation d’un chemin réseau permet aux clients ne disposant pas d’un accès Internet ou d’une infrastructure de déploiement (points de distribution...) d’accéder aux mises à jour.  Enfin l’utilisation de SCCM ou WSUS permet à l’administrateur de mieux contrôler le déploiement des définitions.  Il est possible d’utiliser l’ensemble de ces méthodes conjointement.

Nous n’aborderons ici que les méthodes de déploiement massives à savoir la gestion des mises à jour par System Center Configuration Manager 2007 et Windows Server Updates Services. Il faut savoir que le système de gestion des mises à jour par SCCM ne se prête pas vraiment à la gestion des mises à jour de définitions. Néanmoins, nous verrons les différentes méthodes (officielles ou non) à savoir :

• Gestion manuelle par SCCM
• Gestion automatique par WSUS (méthode officielle)
• Gestion automatique par SCCM (méthode Officielle via les outils du Rollup 1)
• Gestion automatique par SCCM (méthode non officielle)

Notez que pour réaliser cette partie, vous devez disposer des connaissances nécessaires dans la gestion des mises à jour par WSUS et SCCM. Nous ne détaillerons pas l’installation et la configuration de l’infrastructure de déploiement de mises à jour.

 4.2.1 Gestion manuelle des mises à jour par SCCM

Comme expliqué plus haut, le processus de gestion des mises à jour via System Center Configuration Manager ne se prête pas à la mise à jour des définitions FEP. En effet, les mises à jour de définitions ont lieu plusieurs fois par jour. La gestion des mises à jour via SCCM nécessite des opérations manuelles. Ceci signifie que l’administrateur devra procéder aux opérations suivantes au moins une fois par jour s’il veut que son infrastructure soit à jour.

Commençons par revoir brièvement les paramétrages de l’infrastructure System Center Configuration Manager. Ouvrez la console d’administration, déroulez l’arborescence Site Database => Site Management => <SITECODE> - <SITENAME> => Site Settings => Client Agents. Ouvrez l’agent « Software Updates client Agent ». Vérifiez que celui-ci est activé et correctement configuré selon vos besoins :

Cliquez ensuite sur le nœud Component Configuration. Ouvrez l’onglet « Classifications » et cochez la case « Definition Updates » :

Cliquez ensuite sur l’onglet « Products » et cherchez le produit « Forefront EndPoint Protection 2010 ». Cochez la case pour activer la synchronisation du produit.

Dans l’onglet « Languages », vérifiez que les langues des clients sont cochées pour pouvoir appliquer les mises à jour en fonction des langues locales de votre parc :

Initiez ensuite une synchronisation. Pour cela, dirigez-vous dans l’arborescence Site Database => Computer Management => Software Updates => Update Repository. Cliquez droit et sélectionnez « Run Synchronization » :

Validez le message pour procéder à la synchronisation :

Vous pouvez valider que la synchronisation a eu lieu avec succès en visionnant le fichier de journalisation « wsyncmgr.log » :

La mise à jour de définition apparaît ensuite dans la console dans l’arborescence : Site Database => Computer Management => Software Updates => Update Repository => Definition Updates => Microsoft => Forefront EndPoint Protection 2010 :

Cliquez droit sur la mise à jour et sélectionnez « Deploy Software Updates » :

Note : Il est recommandé d’utiliser des listes de mises à jour (Update List). Néanmoins nous n’utiliserons pas ce processus pour simplifier l’article.

L’assistant s’ouvre. Celui-ci permet de créer le déploiement qui ciblera les clients. Entrez le nom d’un déploiement :

Sur la page Deployment Template, vous pouvez choisir d’utiliser un modèle existant ou d’en créer un nouveau. Je vais pour ma part utiliser un modèle déjà créé pour les besoins d’une démonstration.

A l’étape Deployment Package, créez un nouveau package de déploiement qui identifiera les mises à jour de définition. Vous devez pour cela entrer un nom et un chemin UNC faisant référence au répertoire source du package :

Sélectionnez ensuite les points de distribution sur lesquels vous souhaitez déployer le package de mises à jour.
Sur l’écran Download Location, vérifiez que l’option « Download software updates from the Internet” est cochée et passez à l’étape suivante :

Sur la page Language Selection, cochez les langues que vous utilisez dans votre parc pour rendre disponible les mises à jour à l’ensemble des clients :

A l’étape Schedule, vous pouvez programmer le déploiement de la mise à jour. Ainsi vous devez choisir la date de mise à disposition mais aussi la date de fin. Cette date de fin permet de forcer l’installation automatique des mises à jour.

Validez l’écran de résumé pour procéder à la création du déploiement :

Ouvrez une session sur une machine cliente ; celle-ci doit afficher une bulle de notification informant de la disponibilité d’une mise à jour :

Cliquez sur cette bulle pour ouvrir la fenêtre de gestion des mises à jour logiciel. Cliquez sur Install pour procéder à l’installation. Notez que si la date de fin est égale à la date de mise à disposition ; l’utilisateur n’aura pas besoin de procéder à ces étapes et se verra forcer l’installation des mises à jour de définition.

Une fois lancé, le client procède au téléchargement des fichiers de mise à jour :

Enfin l’installation démarre :

Une fois terminée, la mise à jour a été correctement appliquée au client Forefront comme vous pouvez le voir dans l’onglet Updates  de son interface :

 4.2.2 Gestion automatique par WSUS (méthode officielle)

Nous avons vu comment gérer les mises à jour manuellement via System Center Configuration Manager 2007. La méthode qui suit permet de gérer automatiquement les mises à jour de définitions via Windows Server Updates Services en utilisant les règles d’approbation du produit. Cette méthode est la solution officielle fournie par Microsoft pour résoudre les lacunes de System Center Configuration Manager 2007. Celle-ci a ses avantages : Elle est officielle ! Mais elle dispose aussi de nombreux inconvénients :

Elle n’utilise pas System Center Configuration Manager et le déploiement via les points distribution. Les mises à jour sont déployées via le serveur WSUS. Ainsi la gestion des sites distants est rendue plus difficile.

L’administrateur ne dispose pas de l’ensemble des informations de Reporting (installation avec succès ou non…) de System Center Configuration Manager.

Ouvrez la console d’administration WSUS et dirigez-vous dans le nœud Options.

Sélectionnez « Automatic Approvals » pour ouvrir la fenêtre de configuration des règles d’approbation. Cliquez sur « New Rule… » pour créer une règle :

Sur la fenêtre Add Rule, cochez « When an update is in a specific classification” et “When an update is in a specific product”. Sélectionnez ensuite la classification Definition Updates et le produit Forefront EndPoint Protection 2010. Appliquez cette règle à l’ensemble des ordinateurs.

Note : Vous pouvez choisir de cibler un unique groupe de machines.

Entrez ensuite le nom de la règle et cliquez sur Ok.

Une fois ajoutée, vérifiez que la règle est cochée dans l’écran Automatic Approvals et cliquez sur OK

Toujours dans les options de la console d’administration WSUS, sélectionnez Synchronization Schedule. Choisissez ensuite de procéder à la synchronisation automatique. Vous pouvez choisir la première synchronisation et la fréquence. Quatre fois par jour permettent de maintenir l’infrastructure à jour mais vous pouvez aussi accélérer la fréquence en passant à 24 fois par jour à partir de minuit.

Une fois synchronisé, on peut observer à l’aide de filtre que les mises à jour de définition ont été correctement approuvées :

Connectez-vous sur une machine cliente et ouvrez le client Forefront EndPoint Protection. Ouvrez l’onglet Update et procédez à la mise à jour du client. Le client consulte le serveur WSUS, télécharge et installe les mises à jour qui lui sont proposées :

Le client est ensuite à jour :

Vous pouvez configurer les paramètres de mise à jour du client via stratégie pour que celui-ci se mette à jour avant les analyses ou via stratégie de groupe pour forcer la consultation des mises à jour.

4.2.3 Gestion automatique par SCCM (méthode Officielle)

Microsoft a publié le correctif cumulatif 1 (Rollup 1) de Forefront EndPoint Protection (FEP) 2010 apportant son lot de correction et nouveautés (Voir http://microsofttouch.fr/blogs/js/archive/2011/06/28/forefront-endpoint-protection-fep-2010-correctif-cumulatif-1.aspx). Je souhaite aujourd’hui aborder l’utilisation du nouvel outil permettant de télécharger les mises à jour de définitions FEP automatiquement. Cet outil est Officiellement supporté par Microsoft.

Notez que vous devez disposer des prérequis suivants :

• SCCM 2007
• WSUS 3.0
• Un Software Update Point (SUP)

Vous devez aussi configurer le Software Update Point ; créer un package contenant les mises à jour de définitions et publier les mises à jour à vos clients. Pour cela, je vous invite à consulter la partie 4.2.1 Gestion manuelle des mises à jour par SCCM de mon article sur FEP 2010. Retenez le nom du package et du Deployment Management (=Publication) que vous donnez.

Commencez par télécharger l’outil : « fepsuasetup.cab » sur Microsoft Forefront Endpoint Protection (FEP) 2010 Update Rollup 1 Tools.

Ouvrez le package « fepsuasetup.cab » et copiez l’outil « SoftwareUpdateAutomation.exe » dans c:\Program Files\Microsoft Configuration Manager\AdminUI\bin.

 Notez que l'outil propose les paramétres suivants :

• /Help: Get program usage

• /SiteServer: Site server computer name

• /UpdateFilter: Filter for selecting software updates that are used for the destination packages

• /AssignmentName: Name of destination software update assignment

• /PackageName: Name of destination software update packages

• /PreDownloadFolder: Destination folder holding downloaded update files

• /UpdateLanguages: List of language IDs for requested software updates

• /RefreshDP: Request automatic propagation of updated package to Distribution Points (true by default)

Certaines options (siteservername) peuvent être nécessaires dans votre infrastructure en fonction de vos contraintes (topologie, langue...). Ces considérations ne seront pas détaillées dans l'article suivant.

Deux solutions s’offrent ensuite à vous :

• Créer une tâche planifiée Windows
• Créer une règle de filtre d’état (Status Filter Rule) dans SCCM

Cet article détaillera les deux solutions.

Méthode 1 : La tâche planifiée Windows

Commençons par la tâche planifiée Windows, ouvrez l’outil correspondant et cliquez sur Create Task. Donnez un nom à la tâche et vérifiez que l’option « Run whether user is logged on or not » est cochée afin que la tâche s’exécute dans chacun des cas.

Ouvrez l’onglet Actions et ajoutez-en une nouvelle. Choisissez l’action « Start a program ». Spécifiez le chemin vers l’outil de mise à jour automatique en utilisant les variables d’environnement :

• Pour un système 32 bits : %ProgramFiles%\Microsoft Configuration Manager\AdminUI\bin\SoftwareUpdateAutomation.exe
• Pour un système 64 bits : %ProgramFiles(x86)%\Microsoft Configuration Manager\AdminUI\bin\SoftwareUpdateAutomation.exe

Dans la partie arguments, spécifiez « /AssignementName <Nom de votre DeployementManagement> /PackageName <Nom de votre Package> ». J’entends par nom ; le nom qui s’affiche dans la console d’administration SCCM et que vous avez entrez dans l’assistant lors de la création de chacune des entitées.

Ouvrez ensuite l’onglet Triggers, et cliquez sur New. Vous pouvez déclencher cette tâche dans deux modes de fonctionnement :

• De manière programmée (On a schedule). Vous programmez l’action pour avoir lieu tous les jours de manière répétée toutes les heures. C’est la méthode présentée par Microsoft.
• A la suite d’un événement (On an event). Cette méthode permet de déclencher l’exécution du programme après que l’événement de synchronisation avec succès de WSUS ait été remonté. Je préfère cette méthode car le programme s’exécutera en accord avec ma politique de programmation de la synchronisation WSUS.

Nous allons détailler les deux méthodes. Commençons par la programmation récurrente, sélectionnez Daily (journalier). Vérifiez que la récurrence a lieu tous les jours et répétez l’opération toutes les heures pour une durée indéterminée.

Passons au déclenchement à la suite de l’événement de synchronisation avec succès de WSUS. Pour cela, il faut identifier le numéro d’événement qui peut être remonté au travers des journaux d’événements du serveur :

Choisissez le type de déclenchement sur un événement. Entrez ensuite les informations suivantes :

• Log : Application
• Source : SMS Server
• EventID : 6702

Vérifiez ensuite que la tâche est activée.

Méthode 2 : Les règles de filtre d’état

Nous allons maintenant décrire la deuxième option qui s’offre à vous : Créer une règle de filtrage d’état. Ouvrez la console d’administration et déroulez l’arborescence Site Database => Site Management => <SITECODE> - <SITENAME> => Site Settings => Status Filter Rules. Cliquez droit sur le nœud « Status Filter Rules » et sélectionnez « New Status FIlter Rules ».
L’assistant s’ouvre. Entrez le nom de la règle (par exemple : « AutoDeploy FEP Updates ») et entrez les informations suivantes :

• Source : ConfigMgr Server
• Component : SMS_WSUS_SYNC_MANAGER
• Message ID : 6702

Sur la page Action, cochez Run a program et entrez l’adresse du programme et les arguments nécessaires :

• Pour un système 32 bits : « %ProgramFiles%\Microsoft Configuration Manager\AdminUI\bin\SoftwareUpdateAutomation.exe » /AssignementName <Nom de votre DeployementManagement> /PackageName <Nom de votre Package>
• Pour un système 64 bits : « %ProgramFiles(x86)%\Microsoft Configuration Manager\AdminUI\bin\SoftwareUpdateAutomation.exe » /AssignementName <Nom de votre DeployementManagement> /PackageName <Nom de votre Package>

Terminez l’assistant pour procéder à la création.

Après exécution d’une synchronisation l’outil de Microsoft procède aux opérations suivantes :

• Téléchargement des mises à jour de définitions FEP
• Ajout des mises à jour au package spécifié
• Mise à jour du package sur les points de distribution déjà ciblé par l’administration
• Ajout des mises à jour au DeploymentManagement spécifié

Le fichier de journalisation est stocké dans %ProgramData%\SoftwareUpdateAutomation.log

 4.2.4 Gestion automatique par SCCM (méthode non officielle)

Cette méthode de gestion automatique des mises à jour de définitions est proposée par Kim Oppalfens. Sa solution se rapproche des règles de déploiement automatique (ADR) de System Center Configuration Manager 2012.

Pour faire simple, il faut configurer le Software update Point pour procéder à une synchronisation toutes les heures. Il faut ensuite créer une règle de filtrage d’état qui lors de la remontée de l’event id 6702 (synchronisation du serveur WSUS avec succès), lance un exécutable créé par Kim Oppalfens.

Cette exécutable:

• Télécharge les mises à jour spécifiées
• Place les mises à jour dans un package
• Distribue le package sur tous les points de distribution
• Déploie ces mises à jour à une collection

Avertissement : Cette solution est à implémenter à vos risques et périls mais elle a le mérite d’apporter une solution viable à un problème quotidien auquel font face les administrateurs SCCM/FCS/FEP.

Commencez par télécharger les binaires de la solution proposée par Kim : http://www.myitforum.com/absolutenm/templates/Articles.aspx?articleid=20071&zoneid=89  Disposez-les dans un répertoire accessible par le serveur de site. Vous allez peut être devoir éditer les sources pour changer les références vers le SDK. Pour cela, lisez le README.

Créez ensuite une règle de filtrage d’état. Ouvrez la console d’administration et déroulez l’arborescence Site Database => Site Management => <SITECODE> - <SITENAME> => Site Settings => Status Filter Rules. Cliquez droit sur le nœud « Status Filter Rules » et sélectionnez « New Status FIlter Rules ».
L’assistant s’ouvre. Entrez le nom de la règle (par exemple : « AutoDeploy FEP Updates ») et entrez les informations suivantes :

• Source : ConfigMgr Server
• Component : SMS_WSUS_SYNC_MANAGER
• Message ID : 6702

Sur la page Actions, cochez la case « Run a program » puis entrez la ligne de commande : « "<chemin vers les sources de la solution>\SUM_E2E_Deployment.exe" <NOMDUPROVIDER> <ID_DE_LA_COLLECTION_CIBLE_DU_DEPLOIEMENT>.
On retrouve par exemple dans mon cas : « "<chemin vers les sources de la solution>\SUM_E2E_Deployment.exe" WTVN-SCCMSS LYN00027

Passez à l’écran suivant et validez le résumé pour procéder à la création. Fermez ensuite l’écran de confirmation.

Note : Vous devez reconfigurer votre Software Update Point pour qu’il procède à des synchronisations toutes les heures.

Une fois la synchronisation effectuée ; le processus créé un package « Latest Forefront Definition Updates Package » déployé sur tous les points de distribution et comprenant les dernières mises à jour de définitions :

Dans le même temps, un déploiement « Forefront Auto-Approved updates » a été créé. Celui-ci cible la collection LYN00027 et comporte les mises à jour de définitions :

Ce déploiement ne dispose pas de date de fin forçant le déploiement. Vous pouvez ainsi aisément le modifier pour correspondre à votre politique de mise à jour :

Connectez-vous ensuite sur un client faisant parti de la collection cible du déploiement. Ce client doit recevoir un déploiement optionnel de mise à jour des définitions antivirales Forefront EndPoint Protection :

Une fois installée, la mise à jour est correctement appliquée au client Forefront :

Vous avez vu dans cette partie, différentes méthodes de gestion des mises à jour de définitions afin de déployer massivement sur le parc informatique. Chacune dispose des avantages et des  inconvénients. Il ne fait aucun doute que la gestion manuelle des mises à jour par System Center Configuration Manager rallonge considérablement le temps quotidien passé à l’administration du produit. La solution officielle de Microsoft est un bon compromis. Néanmoins, elle n’utilise pas les avantages des points de distribution souvent utilisés pour distribuer les packages au sein d’infrastructure riche en sites distants.

Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx

4. Administration

Les tâches d’administration du produit passent par différentes composantes comme la gestion des stratégies s’appliquant aux clients, la gestion des mises à jour, la gestion des opérations de maintenance, la gestion des alertes, ou la surveillance de l’état de l’infrastructure au travers des rapports. Cette partie vous permettra d’aborder tous ces concepts.

 4.1 Gestion des stratégies (Policies)

La gestion des stratégies est la tâche la plus importante qu’un administrateur doit opérer sur l’infrastructure FEP. Les stratégies (Policies) sont un ensemble d’éléments/paramétrages s’appliquant au client Forefront EndPoint Protection. Elles permettent de régir le comportement du client. On retrouve ainsi la gestion :

• De la programmation des scans
• De la protection en temps réel
• Des notifications,
• Des actions face à une menace
• Des exceptions (fichiers, types de fichiers, processus…)
• Les répertoires ou fichiers exclus de la recherche

Pour visualiser les stratégies, ouvrez la console d’administration Configuration Manager. Déroulez l’arborescence Site Database => Computer Management => Forefront EndPoint Protection => Policies.

 4.1.1 Les stratégies par défaut

Forefront EndPoint Protection fournit deux stratégies par défaut s’appliquant à tous les clients :

• Default Server Policy s’applique à toutes les machines de type serveur. Elle est appliquée au travers d’une publication (Assign FEP policy Default Desktop Policy)  sur la collection Deployed Servers.
• Default Desktop Policy s’applique à toutes les stations de travail. Elle est appliquée au travers d’une publication (Assign FEP policy Default Server Policy) sur la collection Deployed Desktops.

Vous ne pouvez pas supprimer les stratégies par défaut et ce afin d’assurer le bon fonctionnement de l’infrastructure. De cette façon, une stratégie est toujours appliquée à un client FEP. Vous pouvez néanmoins facilement éditer les propriétés de la stratégie pour modifier les différents paramètres.

Il est conseillé de ne pas les modifier car celles-ci ont été construite comme un standard s’appliquant aux deux types de profil. Si vous souhaitez appliquer des paramètres spécifiques, vous pouvez créer une nouvelle stratégie (Policy) qui prendra le dessus sur la stratégie par défaut.

Nous n’allons pas détailler ici écran par écran les différents paramétrages. Néanmoins, vous pouvez trouver des tableaux regroupant les principales différences entre les deux stratégies.

Note : Nous détaillerons la signification de chaque paramètre lors de la création des stratégies personnalisées.

Voici les paramétrages pour chacune des stratégies par défaut en ce qui concerne les analyses programmées :

Le tableau suivant récapitule les actions utilisées par défaut lors de la découverte d’une menace :

Ce tableau rassemble les paramètres des deux stratégies par défaut en ce qui concerne la protection en temps réel :

Vous trouvez ci-dessous trois tableaux regroupant les exclusions de répertoires, de fichiers, de types de fichiers et de processus pour les stratégies par défaut :

Voici les différences entre les deux stratégies en ce qui concerne les paramétrages avancés du client Forefront EndPoint Protection :

Ce tableau résume les différences en ce qui concerne Microsoft SpyNet :

Le tableau Updates regroupe les paramétrages de mises à jour du client pour les deux stratégies :

Voici un récapitulatif des paramétrages de gestion du Firewall Windows pour les deux stratégies par défaut :

 4.1.2 Création de stratégies personnalisées

Après avoir décortiqué les stratégies par défaut fournies avec Forefront EndPoint Protection, nous allons entrer dans le vif du sujet et voir comment créer une stratégie personnalisée. Nous détaillerons dans cette partie l’ensemble des étapes de création et d’édition. Vous trouverez ici la définition de chaque paramètre.

Pour créer votre stratégie (Policy) personnalisée, ouvrez la console d’administration Configuration Manager. Déroulez l’arborescence Site Database => Computer Management => Forefront EndPoint Protection => Policies. Cliquez droit sur le nœud Policies et sélectionnez New Policy :

L’assistant de création d’une stratégie s’ouvre. Nous allons créer une stratégie personnalisée qui s’appliquera à tous les ordinateurs portables (profils itinérants, commerciaux, consultants…). Entrez le nom de la stratégie et la description :

Sur l’écran Policy Type, vous devez choisir le type de stratégie que vous souhaitez créer. Les différentes options proposées sont des modèles qui vous permettront d’adapter la stratégie au besoin émis. On retrouve ainsi 4 types principaux :

• Standard desktop policy : fournit des paramétrages pour les postes de travail standard. Une analyse rapide a lieu par semaine et l’utilisation du processeur est limitée à 50%
• High-security Policy : Cette stratégie donne un niveau de sécurité maximum en incluant des analyses rapides tous les jours et une analyse complète par semaine. L’utilisation processeur n’est pas limitée et la configuration du Firewall est optimisée pour éviter les intrusions.
• Performance optimized policy : Cette stratégie offre une configuration permettant une protection sécurité minimale tout en offrant un niveau de performance maximum. L’usage processeur est limité à 30% et une analyse rapide a lieu toutes les semaines.
• Policy template : Cette option permet de sélectionner des modèles de sécurité pour des cas bien particuliers comme des rôles serveurs. Les modèles incluent ainsi des paramétrages spécifiques aux rôles comme des exclusions de fichiers ou de processus. Voici la liste des modèles offerts :
  • Microsoft SQL Server 2005
  • Microsoft SQL Server 2008
  • Internet Information Services (IIS) 6 et 7
  • System Center Configuration Manager 2007
  • Microsoft Exchange Server 2007/2010
  • FEP Exchange et Microsoft Forefront Protection 2010 for Exchange Server (FPE)
  • Microsoft SharePoint 2010
  • Microsoft Office SharePoint® Server 2007 et Microsoft Forefront Protection 2010 for SharePoint (FPSP)
  • Domain Controller
  • Microsoft Hyper-V (host)
  • Terminal Services
  • DNS Server
  • DHCP Server
  • File Services
  • System Center Operations Manager 2007
  • Server (stratégie par défaut recommandée par Microsoft pour des serveurs)

Nous aborderons plus tard dans cette partie la création d’une stratégie dédiée à un rôle serveur.

Sélectionnez le type de stratégie « Standard desktop policy » puis passez à l’écran suivant :

Sur l’écran Scheduled Scans, vous pouvez choisir de programmer des analyses en cochant « schedule type and time of scan ». Vous pouvez sélectionner le type et la fréquence des analyses en choisissant :

• Une analyse rapide par semaine
• Une analyse complète par semaine
• Une analyse rapide par jour
• Une analyse complète par jour
• Une analyse rapide par jour et une analyse complète par semaine.

Vous devez ensuite choisir la programmation (jour et heure) de ces analyses.

La page suivante permet d’ajouter des exclusions à l’analyse. Par défaut, on retrouve les exclusions habituelles du dossier Software Distribution.  Il peut être intéressant d’exclure certains fichiers comme des bases de données afin d’optimiser le fonctionnement de certains programmes.

A l’étape Updates, vous pouvez spécifier les différentes méthodes utilisées pour mettre à jour le client Forefront et déployer les nouvelles définitions antivirales. Vous pouvez ainsi :

• Autoriser la mise à jour en utilisant un chemin réseau (UNC)
• Autoriser la mise à jour via SCCM ou WSUS (coché par défaut)
• Autoriser la mise à jour à partir de Microsoft Updates (coché par défaut)

L’écran Client Configuration permet de configurer les interactions entre l’utilisateur et le client. Vous pouvez ainsi choisir de laisser l’utilisateur configurer la protection en temps réel ou encore les programmations d’analyse. Vous pouvez aussi cocher « Show notification messages to users on … » pour afficher des notifications à l’utilisateur lorsque des actions sont nécessaires. Ceci peut se caractériser par le lancement d’une analyse complète ou le téléchargement des dernières définitions de virus et de logiciels malveillants.

Validez l’écran de résumé pour procéder à la création de la stratégie :

Une fois créée, on retrouve notre stratégie dans la liste des stratégies disponibles :

Maintenant que la stratégie est créée, je vous propose de rentrer plus en détail dans les paramétrages offerts par ces stratégies. Pour cela dans l’arborescence Site Database => Computer Management => Forefront EndPoint Protection => Policies, cliquez droit sur la stratégie et choisissez Properties

Une fois la fenêtre des propriétés ouverte, on se retrouve dans l’onglet General. Cet onglet présente le nom et la description de la stratégie. Vous pouvez y retrouver les collections qui se voient assigner la stratégie.

On retrouve aussi la date de création et de modification ainsi que le numéro de version de la stratégie. Le numéro de version est incrémenté à chaque fois que la stratégie est modifiée.

Ouvrez l’onglet Antimalware.  Dans la partie Scheduled scans, on retrouve les paramétrages suivants :

• Schedule type and time of scan : Ce paramétrage permet d’activer l’analyse du poste de travail et configure ainsi le type d’analyse et la programmation
• Scan type : permet de configurer le type d’analyse parmi les choix suivants :
  • Une analyse rapide par semaine
  • Une analyse complète par semaine
  • Une analyse rapide par jour
  • Une analyse complète par jour
  • Une analyse rapide par jour et une analyse complète par semaine.
• Scan Time  offre la possibilité de configurer l’heure à laquelle doit avoir lieu l’analyse journalière
• Weekly scan donne deux champs permettant de configurer le jour et l’heure à laquelle doit avoir lieu l’analyse hebdomadaire.
• Check for definition updates before starting a scan permet de vérifier les mises à jour de definition avant de lancer une analyse.
• Scan only when the computer is not in use : Cette option permet de lancer une analyse uniquement lorsque la machine n’est pas utilisée par une personne. Elle utilise pour cela le temps d’inactivité déjà utilisé pour lancer l’économiseur d’écran.
• Randomize scheduled scan start times : Ce paramètre s’il est activé permet de lancer l’analyse dans un intervalle de temps aléatoire compris entre la date de programmation et les 30 prochaines minutes. Cette option permet d’éviter que tous les postes de travail ciblés par la stratégie démarrent en même temps l’analyse.
• Force a scan upon restart when two or more scheduled scans are missed : Cette option permet de forcer l’analyse au démarrage lorsque deux ou plusieurs analyses programmées ont été ratées. Ceci est très pratique si le poste de travail a été hors ligne (éteint, en veille…) pendant une période plus ou moins longue.
• Limit processor usage during scans to the following percentage : permet de limiter l’usage processeur alloué à l’analyse du poste de travail à un pourcentage maximum.
• Allow users on endpoint computers to configure processor usage limits for scans : Cette option donne le droit à l’utilisateur de configurer lui-même la limite d’usage du processeur alloué à l’analyse.
• User’s control on scheduled scans : Cette option permet de régir le contrôle que peut avoir l’utilisateur sur les analyses programmées. On retrouve les options suivantes :
  • Aucun contrôle
  • Autorise le changement de l’heure d’analyse seulement
  • Contrôle total : Autorise l’activation, la désactivation ou le paramétrage du type et de la programmation de l’analyse.

Dans la partie Default actions, on retrouve les paramétrages liés aux actions par défaut face à des niveaux de menaces détectés. Ces niveaux de menace (sévère, haute, moyenne ou faible) sont déterminés par Microsoft en fonction de la sévérité de celle-ci :

• Action recommandée par Microsoft : Ce paramétrage peut potentiellement procéder à tous les scénarios d’action.
• Remove : Cette action supprime la menace.
• Quarantaine : Cette action met en quarantaine la menace
• Allow (Autorise) : Cette action autorise la menace.

La partie Real-time protection rassemble les options concernant le module de protection en temps réel :

• Enable real-time protection permet d’activer la protection en temps réelle
• Scan system files : Cette option permet de définir quels fichiers système vous souhaitez analyser. (Par défaut l’option analyse les fichiers entrants et sortants)
• Scan all downloaded files and attachments : Cette option permet d’analyser tous les fichiers téléchargés ou toutes les pièces jointes reçues en temps réel.
• Use behavior monitoring : permet d’activer la supervision des comportements. Ce mécanisme  est utilisé par Forefront pour surveiller le comportement du système pour bloquer les menaces inconnues.
• Enable protection against network-based exploits : Ce paramètre active la protection contre les attaques par le réseau.
• Allow users on endpoint computers to configure real-time protection settings : autorise l’utilisateur à modifier les paramétrages de la protection en temps réel.

L’écran Excluded files and locations permet d’ajouter des exceptions à l’analyse faite par Forefront EndPoint Protection pour éviter que certains fichiers ou répertoires soient analysés. Ceci peut permettre d’améliorer les performances de certaines applications (par exemple dans le cadre de bases de données) mais augmente le risque des machines.

L’écran Excluded file types permet d’ajouter des exceptions pour certains types de fichiers.

L’écran Excluded processes permet d’ajouter des exceptions pour certains processus afin d’éviter d’interférer avec le comportement de certaines applications et rendre l’exécution plus performante.

La partie Advanced offre des paramétrages supplémentaires :

• Scan archived files : Cette option permet d’analyser les fichiers archivés
• Scan network drives when running a full scan : Ce paramétrage permet d’analyser les lecteurs réseau lorsqu’une analyse complète est lancée.
• Scan removable storage devices : Cette option permet de procéder à l’analyse des périphériques de stockage amovibles (Clé USB…).
• Create a system restore point before cleaning computers : Ce paramètre  permet de créer un point de restauration système avant toute tentative de nettoyage de la machine si une menace a été détectée.
• Show notification messages to users on endpoint computers when they need to perform the following actions : Cette option permet d’afficher des notifications à l’utilisateur lorsqu’il est nécessaire de procéder à des analyses complètes, aux téléchargements des mises à jour de définitions antivirales
• Delete quarantined files after : permet de supprimer automatiquement les fichiers mis en quarantaine après une période donnée.
• Allow users on endpoint computers to configure quarantined delete period : Cette option donne le droit à l’utilisateur de modifier la période de suppression automatique des fichiers en quarantaine.
• Allow users on endpoint computers to exclude files and locations, file types, and processes : Ce paramètre donne le droit à l’utilisateur de modifier les exceptions de fichiers, répertoires, types de fichiers, et processus.

La partie Overrides permet de spécifier des exceptions permettant d’outrepasser le comportement des actions recommandées. Vous pouvez ainsi pour certaines menaces (vous trouverez la liste sur : http://www.microsoft.com/security/portal/Threat/Encyclopedia/Browse.aspx), spécifiez des actions particulières qui prendront le dessus sur l’action recommandée.

L’écran de configuration Microsoft SpyNet permet de configurer l’abonnement à SpyNet. Vous pouvez ainsi désactiver l’abonnement ou choisir le type. L’option « Allow users on endpoint computers to change SpyNet settings » autorise l’utilisateur final de modifier lui-même les paramètres de SpyNet.

L’onglet Updates offre différents paramétrages permettant de modifier le comportement de mis à jour du client :

• Vous pouvez ainsi choisir à quelle fréquence vous souhaitez que le client procède à la vérification des mises à jour de définition.  Ceci peut avoir lieu à heure fixe ou à intervalle régulier en heure.
• Force a definition update when definition updates have failed  : Ce paramètre permet de forcer la mise à jour des définition si une mise à jour de définition a échoué à un intervalle de jour configuré.
• Vous pouvez ensuite choisir par quel moyen le client Forefront EndPoint Protection pourra récupérer ses mises à jour de définition :
  • En utilisant un chemin réseau
  • En utilisant la distribution des mises à jour par SCCM ou WSU
  • En utilisant Microsoft Updates
• Enfin vous pouvez spécifiez les chemins réseau si vous avez choisi cette méthode de mise à jour.

L’onglet Windows Firewall permet de spécifier les paramètres de configuration influant sur le firewall Windows.

• Manage Windows Firewall  permet d’activer la gestion du firewall par le client Forefront.
  Cette option déverrouille la configuration des options suivantes pour les différents types de réseau (domaine, privé, public) :
  • Etat du firewall : Cette option permet d’activer/désactiver le firewall en fonction du réseau
  • Incoming connections : permet de spécifier le comportement du firewall face aux connexions entrantes (bloquées…)
  • Display a notification permet d’afficher des notifications lorsqu’une exception doit être enregistrée.

 4.1.3 Création d’une stratégie basée sur un modèle pour un rôle serveur

Nous avons vu comment créer une stratégie personnalisée assez standard basée sur les types disponibles. Ceux-ci se prêtent principalement à une utilisation pour les postes de travail. Microsoft propose néanmoins des modèles spécifiques aux serveurs et aux différents rôles et produits qu’ils peuvent héberger.

Nous allons créer une stratégie à destination des serveurs de site System Center Configuration Manager. Celle-ci devra prendre en considération les différents mécanismes des serveurs cibles.

Procéder à la création d’une nouvelle stratégie. Une fois l’assistant ouvert, entrez le nom de la stratégie et sa description.

Sur l’écran Policy Type, cochez « Policy template » et choisissez le modèle « FEP Configuration Manager 2007 including Defaults » :

Validez l’écran de résumé pour procéder à la création :

Une fois créée, nous pouvons éditer cette stratégie spécifique au produit System Center Configuration Manager 2007. Nous pouvons remarquer dans les paramétrages Antimalware => Excluded files and Locations qu’il y a de nombreuses exclusions associées au chemin d’installation de System Center Configuration Manager :

Ces modèles sont un bon moyen d’adapter facilement le comportement du client Forefront EndPoint Protection au rôle et produits sur lequel il est installé.

 4.1.4 Assignation d'une stratégie personnalisée

Après avoir créé nos stratégies, nous allons pouvoir les assigner aux clients Forefront cibles de la configuration. La première étape consiste à créer les collections et l’arborescence des collections nécessaires à votre infrastructure. Vous pouvez créer les collections au niveau de FEP Collections => Deployment Status => Deployment Succeeded. Pour plus de clarté, j’ai créé une arborescence séparée et totalement dédiée à l’application des stratégies personnalisées :

Ce découpage est bien entendu présenté à titre indicatif ; vous êtes libre d’organiser celles-ci selon vos besoins.

Pour assigner une stratégie, rendez-vous dans la console d’administration Configuration Manager et déroulez l’arborescence Site Database => Computer Management => Forefront EndPoint Protection => Policies. Cliquez droit sur la stratégie que vous souhaitez déployer et sélectionnez « Assign Policy… » :

Une fenêtre s’ouvre. Celle-ci permet d’ajouter des collections qui seront la cible de la stratégie. Cliquez sur « Add… » pour les ajouter. Vous pouvez ensuite cocher la case « Include subcollections » si vous souhaitez que la publication se propage aux sous-collections :

Une fois ajoutée, nous pouvons voir que la publication est assignée à la collection que nous avons choisie :

 4.1.5 Edition de la priorité

Un client Forefront EndPoint Protection peut se voir attribuer plusieurs stratégies mais il n’en appliquera qu’une seule. Un client se voit toujours attribué au moins une stratégie. Les deux stratégies par défaut ne peuvent être supprimées pour cette raison et assure ainsi un « service minimum » sur les nouveaux clients.

Afin de pouvoir au mieux gérer l’application d’une et une seule stratégie sur chaque client ; celles-ci se voient attribuer une priorité. Cette priorité permet au client de s’avoir quelle stratégie doit s’appliquer si plusieurs lui sont proposées. Plus le numéro de priorité est faible ; moins la stratégie est prioritaire. Ainsi si un client se voit attribuer une stratégie avec un numéro de priorité 15 et la stratégie par défaut (priorité 1) ; ce sera bien la stratégie avec la priorité 15 qui sera appliquée.

Les deux stratégies par défaut ont la propriété la plus faible (respectivement 1 pour la stratégie poste de travail et 2 pour les serveurs).

Note : Lors de la création d’une nouvelle stratégie, celle-ci se voit assigner la priorité maximale.

Il est possible d’éditer la priorité des stratégies.  Pour cela, ouvrez la console d’administration et déroulez l’arborescence Site Database => Computer Management => Forefront EndPoint Protection => Policies. Cliquez droit sur le nœud Policies et sélectionnez « Edit Policy Precedence… » .

Une fenêtre s’ouvre afin de vous permettre de déplacer vers le haut (en donnant une priorité supérieure) ou vers le bas (en donnant une priorité inférieure) chaque stratégie.

Veuillez noter qu’il n’est pas possible de modifier la priorité des stratégies par défaut.

 4.1.6 Récapitulatif des paramétrages de chacun des types de stratégie

Voici les paramétrages pour chacun des types de stratégie en ce qui concerne les analyses programmées :

Le tableau suivant récapitule les actions utilisées par défaut lors de la découverte d’une menace :

Ce tableau rassemble les paramètres des types de stratégie en ce qui concerne la protection en temps réel :

Vous trouvez ci-dessous trois tableaux regroupant les exclusions de répertoires, de fichiers, de types de fichiers et de processus pour des types de stratégie :

Voici les différences entre les types de stratégie en ce qui concerne les paramétrages avancés du client Forefront EndPoint Protection :

Ce tableau résume les différences concernant Microsoft SpyNet :

Le tableau Updates regroupe les paramétrages de mises à jour du client pour les types de stratégie:

Voici un récapitulatif des paramétrages de gestion du Firewall Windows pour les types de stratégie :

 4.1.7 Fonctionnement de l’intégration des stratégies à System Center Configuration Manager

Cette partie va vous permettre de comprendre comment Forefront EndPoint Protection 2010 s’intègre aux différents mécanismes de System Center Configuration Manager 2007.

La création d’une stratégie n’est ni plus ni moins qu’associée à la création d’un nouveau programme dans le package Microsoft Corporation FEP – Policies 1.0 :

Ce package est remis à jour automatiquement tous les jours à heure fixe afin de prendre en considération les différents changements :

L’assignation d’une stratégie correspond à la création d’une publication (Advertisement) pour le programme associé à la stratégie sur une collection donnée avec les différents paramétrages nécessaires.

Ainsi, il existe deux publications par défaut qui s’appliquent tous les jours. Dès lors que vous assignez une stratégie, celle-ci se voit créer une publication qui est appliquée dès que possible pour que les changements de stratégies soient appliqués le plus rapidement possible.

Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx

3. Implémentation : Installation du client

Maintenant que l’infrastructure serveur est correctement installée et fonctionnelle, nous pouvons passer à l’installation et au déploiement à grande échelle du client.

 3.1 Prérequis

Cette partie liste les différentes considérations à prendre en compte lors de l’installation du client sur une machine.

 3.1.1 Prérequis Matériel

Les prérequis matériels nécessaires à l’installation d’un client Forefront EndPoint Protection sont les suivants :

• CPU :
  • Windows XP : 500 MHz ou plus
  • Windows Vista ou Windows 7 : 1.0 GHz ou plus
• Mémoire :
  • Windows XP : 256 MB de RAM ou plus
  • Windows Vista ou Windows 7 : 1 GB de RAM ou plus
• Espace disque disponible : 300 MB

 3.1.2 Prérequis Logiciels

L’installation de l’infrastructure Forefront EndPoint Protection 2010 nécessite certains prérequis parmi les suivantes :

• Systèmes d’exploitation : Windows XP SP3 (x86), Windows VISTA RTM ou plus (x86 ou x64), Windows 7 RTM (x86 ou x64), Windows 7 XP mode, Windows Server 2003 SP2 (x86 ou x64), Windows Server 2008 RTM ou plus (x86 ou x64), Windows Server 2008 R2 (x64) ou plus, Windows 2008 R2 Server Core (x64)
  Notez que la version Server Core de Windows Server 2008 n’est pas supportée par le client FEP.
  Les versions : Windows 7 Starter, Windows Home Premium, Windows Vista Basic, Windows Vista Home Premium, Windows XP Home Edition supportent l’installation manuelle des clients mais ne peuvent recevoir les stratégies (policies) du serveur.
• Un client System Center Configuration Manager fonctionnel. Le site auquel appartient le client SCCM doit avoir un serveur FEP installé.
• Windows Installer 3.1
• Le package de correctifs de gestionnaire de filtre pour Windows XP SP2 (KB914882)
• WFP (Windows Filtering Platform) un pilote de correctif logiciel cumulatif pour Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2 (KB981889)
• Windows Update

L’installation du client Forefront EndPoint Protection procède à la désinstallation automatique des antivirus suivants si ceux-ci sont présents sur la machine :

• Symantec Endpoint Protection version 11
• Symantec Corporate Edition version 10
• McAfee VirusScan Enterprise version 8.5 and version 8.7 and its agent
• Forefront Client Security version 1 and the Operations Manager agent
• TrendMicro OfficeScan version 8 and version 10

Vous trouverez plus d’informations sur les prérequis de déploiements du client Forefront EndPoint Protection sur : http://technet.microsoft.com/en-us/library/ff823900.aspx

 3.2 Installation

Après avoir revu les prérequis, nous allons pouvoir commencer la procédure de déploiement de masse du client. Nous n’aborderons pas dans cet article l’installation manuelle du client. Pour cela, je vous renvoie vers la documentation Technet : http://technet.microsoft.com/en-us/library/ff823774.aspx ou http://technet.microsoft.com/en-us/library/gg412485.aspx

 3.2.1 Distribution du package

Après avoir installé Forefront EndPoint Protection vous disposez des packages et des programmes nécessaires à l’installation du client. Néanmoins, vous devez d’abord rendre disponible ce package sur les points de distribution de votre environnement. Pour cela, ouvrez la console d’administration System Center Configuration Manager 2007. Déroulez l’arborescence : Site Database => Computer Management => Software Distribution => Package => Microsoft Corporation FEP – Deployment 1.0 => Distribution Points :

Cliquez droit sur le nœud Distribution Points et sélectionnez New Distribution Points. L’assistant s’ouvre, passez l’écran de bienvenue.
A l’étape Copy Package, sélectionnez les points de distribution sur lesquels vous souhaitez rendre disponible le package :

Après avoir fermé l’écran de confirmation, dirigez-vous dans Package Status => Package Status => <SITECODE> - <SITENAME> et validez que le package a bien été déployé sur le point de distribution :

 3.2.2 Création de la publication

Maintenant que le package est disponible nous allons pouvoir créer la publication nécessaire à la distribution et l’installation du client FEP sur les machines. Pour cela, dirigez-vous dans le nœud Programs  du package Microsoft Corporation FEP – Deployment 1.0. Cliquez droit sur le programme Install, sélectionnez Distribute puis Software.

Passez l’écran de bienvenue, vous pouvez ensuite choisir quelle collection sera la cible du déploiement. Vous pouvez ainsi cibler une collection existante ou créer une nouvelle collection. FEP nous fournit des collections proposant des requêtes dynamiques. Parmi celles-ci, on retrouve des collections donnant le statut du déploiement.  L’utilisation de la collection « Not Targeted » permet de cibler les clients Configuration Manager ne disposant pas déjà du client FEP.

Spécifiez ensuite le nom de la publication et le commentaire associé :

La page suivante permet de configurer le comportement de la publication vis-à-vis des sous collections. Par défaut la publication est propagée et héritée par les clients des sous collections de « Not Targeted ».

L’étape Advertisement Schedule permet de spécifier les informations (date et heure) de publication du programme et si celui-ci doit expirer :

Sur l’écran Assign Program, cochez « Yes, assign the program” et spécifiez les informations d’assignement (date et heure) :

Validez le résumé et la confirmation pour procéder à la création de la publication.

Dans l’état cette publication assigne et procède à l’installation du client sur les postes de travail dès que possible. Le programme est configuré pour s’exécuter en silencieux sans qu’aucune notification ne dérange l’utilisateur.

 3.2.3 Validation du déploiement

On se connecte sur le client et on rafraichie les différentes stratégies afin de récupérer les ordres de publication. Après quelques minutes, on peut confirmer que plusieurs processus sont en cours d’exécution : cscript.exe, epplauncher.exe, FEPInstall.exe.

On retrouve aussi un dossier caché à la racine du disque local contenant l’ensemble des binaires nécessaires à l’installation :

Après installation, le client FEP procède à la récupération des mises à jour auprès de son serveur :

L’installation du client a opéré l’installation du correctif de sécurité WPF (KB981889) :

Sur le client toujours, vous retrouvez différents fichiers de journalisation relative au client Forefront EndPoint Protection 2010. Ceux-ci sont stockés dans :

• %ProgramData%\Microsoft\Microsoft Security Client\Support pour Windows 7, Windows Server 2008, et Windows Server 2008 R2
• %allusersprofile%\Microsoft\Microsoft Security Client\Support pour Windows XP, Windows Vista, et Windows Server 2003

Source : Technet

Sur la console d’administration Configuration Manager, vous pouvez aussi suivre les différents états des machines lors du déploiement du client SCCM avec la collection Deployment Status et ses sous collections :

• Removed : Les ordinateurs dans cette collection sont des machines qui disposaient du client FEP avant qu’ils soientt désinstallés manuellement.
• Failed liste les machines où le déploiement a échoué
• Pending : comporte les machines où le déploiement n’a pas encore démarré. Ceci peut se traduire par des machines connectées n’ayant pas encore reçu la publication.
• Out of date : donne les machines disposant d’un client FEP d’une ancienne version
• Deployed : liste toutes les machines où le client s’est correctement déployé.

 3.3 Présentation du client

Voici quelques informations importantes prenant part lors de l’installation du client Forefront EndPoint Protection :

• Le client s’installe automatiquement dans le dossier %programfiles%\Microsoft Security Client
• L’installation du client active automatiquement Windows Update et configure l’installation automatique des mises à jour.

Notez que pour les serveurs de fichiers, il peut être important de désactiver la protection en temps réel pour éviter des problèmes de performance.  Pour cela, vous devez créer une stratégie spécifique à ces machines.

Le client Forefront est constitué de plusieurs parties :

La page d’accueil permet d’avoir un bref aperçu de l’état du client et des définitions antivirales. Il est possible à partir de cet écran de lancer des opérations de scan (complet ou partiel).

La page Update permet de connaître la date de création des définitions, la date de dernière vérification et les versions des définitions de virus et de logiciels malveillants. Il est possible d’initier à partir de cet écran, la procédure de mise à jour du client via Microsoft Update, WSUS et les différents cheminS UNC renseignéS comme source des définitions.

L’écran History permet de visualiser l’ensemble des objets détectés par Forefront EndPoint Protection comme potentiellement nuisibles.

La page Settings permet de configurer l’ensemble des paramétrages du client Forefront EndPoint Protection. On retrouve ainsi :

• Les programmations des scans
• Les actions par défaut lorsqu’une menace est trouvée
• Les paramétrages de la protection en temps réel
• Les répertoires ou fichiers exclus de la recherche
• Les types de fichiers exclus de la recherche
• Les processus exclus de la recherche
• Les paramétrages avancés (notifications, paramétrages de recherche, suppression des fichiers…)

Par défaut, la stratégie dédiée au poste de travail n’autorise aucune modification de paramétrage.

 3.4 Test de l'antivirus

Cette partie traite du test de l’antivirus Forefront EndPoint Protection. Nous allons soumettre celui-ci au test EICAR fournit par le groupe européen de la sécurité Informatique. Ce fichier est un faux négatif utilisé pour tester les antivirus. Il n’a aucune incidence sur le système. Depuis sa création en 2006, ce fichier de test a été largement utilisé et n’a plus vraiment d’intérêt. Il permet néanmoins de tester la fonction de protection en temps réel avec analyse du flux http et https pour détecter ce genre de menace juste après le téléchargement. Il a aussi servi à générer les alertes fournies par Forefront que vous verrez plus loin dans cet article.

Dirigez-vous sur http://www.eicar.org :

Il est possible de tester l’antivirus en téléchargeant les fichiers zippéS ou non sur les protocoles http/https. Une fois le téléchargement lancé, le client Forefront EndPoint Protection lève une alerte et propose de nettoyer la machine :

L’action de nettoyage proposée est la suppression du fichier incriminé. Vous pouvez changer d’action en fonction du niveau de sévérité détecté et appliquer les actions.

Une fois l’action terminée, Forefront vous donne le statut de l’action :

Vous pouvez ensuite visualiser dans l’historique du client, l’ensemble des éléments qui ont été détectés et les différentes actions qui ont été appliquées :

De la même manière si on désactive la protection en temps réel et qu’on télécharge le fichier, celui-ci n’est pas neutralisé lors du téléchargement mais lors de l’analyse de la machine :

Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx

2. Implémentation : Installation du serveur

Cette partie va traiter l’installation de la solution serveur de Forefront EndPoint Protection. Vous pourrez y retrouver les différents prérequis et la procédure d’installation.

 2.1 Prérequis

 2.1.1 Prérequis Matériel

Les prérequis matériels nécessaires à l’installation d’un serveur Forefront EndPoint Protection sont les suivants :

• Mémoire : 2GB de RAM
• Espace disque disponible :
  • Serveur FEP : 600 MB
  • Base de données FEP : 1.25 GB
  • Base de données des rapports FEP : 1.25 GB

Il est à noter que les prérequis peuvent varier en fonction de la répartition des rôles ou de la charge imposée au serveur.

 2.1.2 Prérequis Logiciels

L’installation de l’infrastructure Forefront EndPoint Protection 2010 nécessite certains prérequis parmi les suivants :

• Système d’exploitation : Windows Server 2003 SP2 ou plus 
• Aucune version de FEP ne doit être installée sur le serveur
• Aucune autre protection antivirus doit être installé sur le serveur
• Windows Installer 3.1 ou plus doit être présent
• Le .NET Framework 3.5 SP1 doit être installé
• Les Prérequis SQL Server :
  • Vous pouvez utiliser : SQL Server 2005 SP3 Standard ou Entreprise, SQL Server 2008 Standard ou Entreprise, SQL Server 2008 R2 Standard ou Entreprise.
  • Le SPN (Service Principal Name) du compte de service exécutant SQL Server doit être enregistré auprès du domaine. Pour plus d’informations, je vous renvoie sur : http://technet.microsoft.com/fr-fr/library/bb735885.aspx
  • Le service de l’agent SQL Server doit être lancé et dans un mode de démarrage automatique.

•  
  • Le compte utilisateur exécutant l’installation de FEP sera propriétaire des bases de données et jobs suivants :
    • FEPDB_XXX (database)
    • FEPDW_XXX (database)
    • FEP_DataWarehouseMaintenance_FEPDW_XXX (job)
    • FEP_DB_Maintenance_FEPDB_XXX (job)
    • FEP_GetNewData_FEPDW_XXX (job)
    • FEP_GetNewDataOnInstall_FEPDW_XXX (job)

•  
  • SQL Server Analysis Services :
    • Le compte utilisateur exécutant l’installation de FEP doit faire partie du rôle « server administrator » sur le serveur SQL Server Analysis.
    • Ce service doit être installé sur le même serveur et sur la même instance SQL Server qui héberge la base de données de Reporting. Ce scénario doit être envisagé si vous souhaitez éclater les rôles Forefront EndPoint Protection.
    • L’ordinateur exécutant SQL Server Analysis Services doit disposer des exceptions firewall suivantes :
      • SQL Server (TCP 1433) ouvert pour le traffic entrant
      • SQL Server Analysis Services (TCP 2383) ouvert pour le traffic entrant
        Pour plus d’informations sur la configuration Firewall pour l’accès à SQL Server, rendez-vous sur : http://go.microsoft.com/fwlink/?LinkId=128365
         
  • SQL Server Reporting Services doit être installé et correctement configuré pour assurer la fonctionnalité de rapports
    
    
  • SQL Server Integration Services doit être installé

• System Center Configuration Manager 2007 Service Pack 2 doit être installé avec l’ensemble des rôles par défaut. La fonctionnalité Reporting Services de SCCM R2/R3 doit être installée et convenablement configurée.
• Les agents du client Configuration Manager suivants doivent être activés et configurés :
  • Hardware Inventory
  • Advertised Programs
  • Desired Configuration Management

Pour activer ces agents, ouvrez la console d’administration System Center Configuration Manager sur le site où vous souhaitez installer Forefront EndPoint Protection. Déroulez l’arborescence Site Database => Site Management => <SITECODE> - <SITENAME> => Site Settings => Client Agents :

Ouvrez les différents agents cités plus haut et assurez-vous que ceux-ci sont activés et correctement configurés :

• Les machines où vous installerez les composants d’extension de la console Configuration Manager 2007 pour Forefront EndPoint Protection 2010 (ceci inclut la console du serveur de site, les consoles sur les postes des administrateurs…) nécessitent l’installation de la KB2271736 afin d’ajouter la classe WMI ManagementClass. Vous pouvez télécharger la mise à jour à partir de ce lien : http://go.microsoft.com/fwlink/?LinkId=203936
• Aucun redémarrage ne doit être en attente avant de commencer l’installation de Forefront EndPoint Protection.

Vous trouverez plus d’informations sur les prérequis sur la documentation Technet : http://technet.microsoft.com/en-us/library/ff823830.aspx

L’installation et la configuration de ces prérequis (SQL Server…) afin d’assurer la validité de l’installation de Forefront EndPoint Protection ne sera pas détaillée dans cet article.

Pour ce qui est de la gestion des sites Configuration Manager au travers d’une hiérarchie avec Forefront EndPoint Protection 2010, je vous renvoie vers le lien de la documentation Technet : http://technet.microsoft.com/en-us/library/gg412503.aspx

 2.2 Installation

Procurez-vous les sources de Forefront EndPoint Protection 2010 dans l’architecture de la machine où vous aller installer le produit. Lancez l’exécutable « serversetup.exe ».

Une fois l’assistant d’installation ouvert, renseignez les informations d’enregistrement du produit :

Sur l’écran suivant, acceptez les termes du contrat de licence :

La page suivante vous propose les options d’installation. On retrouve 4 types d’installation :

• Basic Topology : Cette topologie est la plus simple. Elle permet l’installation de l’ensemble des composants (base de données, extension du serveur de site SCCM, extension de la console et composants de reporting) sur le serveur de site SCCM. Elle permet ainsi de centraliser l’ensemble des fonctionnalités sur une même machine et réduit ainsi les étapes de configuration de l’assistant.
• Basic topology with remote reporting database permet l’installation de l’extension du serveur de site, de la base de données FEP, de l’extension de la console, et des composants de rapports sur le serveur en cours. Elle permet néanmoins le déport de la base de données de Reporting (Data warehouse) sur une autre machine.
• Advanced topology autorise la personnalisation complète de l’installation. Vous pouvez ainsi choisir de répartir les rôles comme bon vous semble. 
• Install only Configuration Manager Console Extension for FEP 2010 rend possible l’installation seule de l’extension Forefront EndPoint Protection 2010 pour la console Configuration Manager 2007. Cette option se prête généralement au scénario permettant aux administrateurs de la solution de mettre à jour la console sur leur poste de travail.

Dans le cadre de cet article, nous aborderons le cas le plus général : La topologie basique. Nous allons donc concentrer l’ensemble des rôles sur une seule et unique machine : notre serveur de site SCCM. Néanmoins, nous allons passer par l’option d’installation la plus personnalisable à savoir Advanced Topology pour détailler au mieux les options offertes.

Sur l’écran suivant, vous pouvez choisir ce que vous souhaitez installer :

• Configuration Manager Site Server FEP 2010 Extension : L’extension FEP pour le serveur de site permet l’ajout des collections FEP, des packages et programmes, des lignes de base FEP pour la gestion des configurations désirées. Cette option d’installation doit être exécutée sur le serveur de site SCCM.
• FEP 2010 Reporting and Alerts permet l’installation des composants de supervision de l’infrastructure FEP. Si vous n’installez pas ce composant sur le serveur de site SCCM, vous devez configurer les permissions DCOM adéquates pour l’accès aux consoles. Vous pouvez pour cela consulter le lien suivant : http://technet.microsoft.com/en-us/library/gg477021.aspx#BKMK_ToInstallFEP2010ReportingAndAlerts.  
  Notez que cette option installe le client FEP 2010 sur la machine avec des paramétrages personnalisés.
• Configuration Manager Console Extension for FEP 2010 installe les fichiers nécessaires à l’intégration des composants d’administration dans la console System Center Configuration Manager 2007.

La page suivante permet la configuration des informations de la base de données FEP. Celle-ci doit être installée sur le même serveur/instance qui héberge la base de données Configuration Manager. Vous pouvez personnaliser le nom de la base de données FEP :

L’écran Reporting Configuration permet de spécifier les informations nécessaires à l’installation des fonctionnalités de Reporting. Vous pouvez ainsi y entrer le nom du serveur, l’instance et le nom de la base de données qui hébergeront les données de Reporting (Data warehouse). Enfin vous devez spécifier les informations du compte utilisé par le serveur de rapport pour accéder à la base de données de Reporting FEP 2010.

L’étape suivante vous permet de configurer les options de mise à jour du produit et de participation au programme d’amélioration :

La page suivante vous permet de joindre le programme Microsoft SpyNet. Ce programme est une initiative de Microsoft comme il en existe chez ses concurrents permettant de rejoindre une communauté afin d’enrayer la propagation des logiciels malveillants et indésirables.  Le programme permet par exemple d’être avisé des logiciels non analysés et de savoir si les autres membres ont permis ou refusés les changements initiés par ceux-ci. Le programme permet notamment à Microsoft de détecter plus rapidement les menaces et ainsi de consolider les besoins d’analyse sur les véritables alertes.
On distingue deux types d’abonnements :

• Basic SpyNet membership permet d’envoyer à Microsoft des informations concernant les logiciels malveillants détectés. Ces informations peuvent être l’origine du logiciel, l’action entrepris, son échéance (succès ou échec) .
• Advanced SpyNet membership  permet d'être avisé des logiciels dont les risques n'ont pas été analysés, vous pouvez voir si d'autres membres de la communauté permettent ou refusent les logiciels ou les changements effectués par les logiciels. Ces informations peuvent vous aider à prendre votre décision. De la même façon, vos choix sont ajoutés aux différents classements et aident les autres membres à prendre une décision. Vous pouvez être averti face à un logiciel qui n'a pas encore été classé en fonction des risques.

L’écran suivant permet de spécifier le répertoire d’installation et d’obtenir une vision des prérequis d’espace disque :

L’étape suivante correspond à la vérification des prérequis. Si vous avez raté un prérequis, vous obtiendrez un écran avec des erreurs comme suit :

Vous pouvez obtenir plus de détail sur l’erreur en cliquant sur « More… ». Ceci vous permettra de résoudre le problème :

Sinon si vous avez suivi la partie 2.1.2 et correctement configuré l’ensemble des prérequis cités vous devez obtenir l’écran suivant :

L’écran qui suit correspond au résumé d’installation. Vous pouvez rapidement revoir les différentes options et procéder à l’installation :

Lorsque l’installation est déroulée, l’ensemble des composants doivent être installés avec succès :

Avant de fermer l’assistant d’installation, vous pouvez vérifier les mises à jour sur Microsoft Update. Vous devrez ensuite procéder au redémarrage de l’ordinateur pour finaliser l’installation :

Vous pouvez consulter les fichiers de journalisation liés à l’installation dans : c:\ProgramData\Microsoft Forefront\Support\Server\ServerSetup_<Date>_<Heure>.log

 2.3 Migration FCS vers FEP

Comme expliqué plus tôt, Forefront EndPoint Protection 2010 introduit un véritable changement dans le fonctionnement de la gamme d’antivirus pour entreprise de Microsoft. Contrairement à Forefront Client Security (FCS) qui était construit sur une version spécifique de Microsoft Operations Manager (MOM) 2005 ; FEP 2010 est lui construit sur la base de la gamme System Center. De ce fait, ceci implique des changements en profondeur.

Forefront EndPoint Protection 2010 ne permet pas une migration à proprement parler avec des scénarios In-Place ou Side-by-Side.

Voici la marche à suivre :

1. Dans la console FCS, documentez l’ensemble des paramétrages de chacune des stratégies que vous utilisiez pour pouvoir ensuite les recréer dans FEP.
2. Dans WSUS, désactiver l’approbation sur les packages d’installation FCS.
3. Installez Forefront Endpoint Protection avec votre infrastructure System Center Configuration Manager 2007
4. Recréez les stratégies FEP avec les paramétrages que vous avez documentés en amont sur votre serveur FCS.
5. Déployez massivement le client FEP. Celui-ci procédera à la migration de vos postes de travail en désinstallant le client FCS et en procédant à l’installation du nouveau client FEP.
6. Désinstallez ensuite l’infrastructure FCS une fois que l’ensemble des clients auront été migrés sur FEP.

 2.4 Migration FCS vers FEP

L’installation de Forefront EndPoint Protection 2010 (FEP) correctement déroulée, vous pouvez ouvrir la console d’administration de System Center Configuration Manager 2007.
Nous allons détailler dans cette partie les brefs changements apportés à la console d’administration.

Déroulez l’arborescence Site Database => Computer Management => Collections.
On retrouve ainsi une collection FEP Collections contenant différentes sous collections. Ces sous collections sont bloquées et ne peuvent être supprimées. Le contenu des requêtes dynamiques ainsi que les paramétrages sont eux aussi non modifiables. Ces collections permettent ainsi de vous donner un aperçu de l’état des clients avec notamment des informations sur :

• L’état des définitions (date)
• L’état du déploiement du client FPS (En échec, En attente, déployé, non ciblé…)
• Une collection dédié aux opérations ; Cette collection peut être utilisé pour toutes les opérations sur le client FEP (Lancement d’un scan …)
• L’état de la distribution des stratégies (distribuée, en attente, en échec)
• L’état de la protection (Activé, non reportée, service désactivé)
• L’état de la sécurité (Scan complet requis, infecté, redémarrage requis …)

Toujours dans l’arborescence Site Database => Computer Management. Vous retrouvez le nœud Forefront EndPoint Protection :

Dans la partie Software Distribution, on retrouve trois packages :

• Microsoft Corporation FEP –Deployment 1.0 contient deux programmes permettant l’installation et la désinstallation du client FEP.
• Microsoft Corporation FEP – Operations 1.0 fournit trois programmes fournissant différentes opérations de maintenance
• Microsoft Corporation FEP – Policies 1.0 fournit deux programmes permettant d’appliquer les politiques par défaut.

Associé à ces packages, on retrouve deux dossiers dédiés aux publications : FEP Operations et FEP Policies.

Nous détaillerons le nœud Forefront EndPoint Protection ainsi que les packages plus loin dans l’implémentation.

Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx

1. Théorie

 1.1 Historique

Microsoft s’est lancé en 2006 dans le secteur des logiciels antivirus avec Windows OneCare Live. Ce logiciel destiné aux particuliers disposait d’un mode de licence particulier offrant la possibilité de l’installer sur 3 ordinateurs dans un seul foyer. Au terme d’un premier renommage pour intégrer la suite Windows Live. Windows Live OneCare fut arrêté en novembre 2008. Microsoft n’abandonna pas cependant l’idée de se lancer sur ce marché jusqu’alors principalement occupé par Symantec. En parallèle, la stratégie de Microsoft fut ensuite différente puisque la firme de Redmond s’est consacré au marché des antivirus d’entreprise en proposant Microsoft Client Protection en 2005. Cette première version fut ensuite renommée en 2007 : Forefront Client Security (FCS). Cet antivirus reprenant les bases de OneCare fut couronné de succès grâce à la stratégie agressive de Microsoft sur le prix des licences. Fin 2009, Microsoft se relance dans l’aventure de l’antivirus dédié aux particuliers. Fort de son succès avec FCS, Microsoft lance Windows Security Essentials, un antivirus gratuit. Le monde de l’informatique fut agréablement surpris de la qualité de l’antivirus et de ses performances générales. Aujourd’hui, FCS se fait vieux et les attentes sont nombreuses. C’est ainsi que Microsoft annonce début 2010 la sortie d’une nouvelle version de son antivirus d’entreprise qui sera rebaptisée : Forefront EndPoint Protection.

 1.2 Présentation

Forefront EndPoint Protection 2010 signe un changement dans le fonctionnement de la gamme d’antivirus pour entreprise de Microsoft. Contrairement à Forefront Client Security (FCS) qui était construit sur une version spécifique de Microsoft Operations Manager (MOM) 2005 ; FEP 2010 est lui construit sur la base de la gamme System Center.
Ainsi, le produit est séparé en deux modules :

• Forefront EndPoint Protection 2010 : Ce module est le corps du produit. Il s’intègre à System Center Configuration Manager 2007 pour offrir les outils nécessaires à l’administration quotidienne des clients (déploiement de l’agent, application des stratégies…).
• Forefront EndPoint Protection 2010 Security Management Pack anciennement connu sous le nom Forefront EndPoint Protection for Server (FEP-S) durant les phases de bêta. Ce module est un pack d’administration (MP) qui s’intègre à System Center Operations Manager 2007 pour offrir une couche de supervision des services d’alerte FEP, des jobs de l’agent SQL qui copie les données de la base de données FEP vers le Data Warehouse FEP, ou encore les événements générés par les serveurs FEP.

Note : Nous n’aborderons pas l’implémentation de Forefront EndPoint Protection 2010 Security Management Pack dans cet article.

 1.3 Fonctionnement

L’infrastructure Forefront EndPoint Protection 2010 est constituée des éléments suivants :

• La base de données Forefront EndPoint Protection 2010 : La base de données FEP stocke toutes les informations d’état renvoyées par les clients, les collections, les appartenances aux collections, les stratégies, etc…
• La base de données de Reporting Forefront EndPoint Protection 2010 : La base de données de Reporting correspond au Data WareHouse (entrepôt de données) qui stockera les données nécessaires aux rapports).
• Le serveur de site Configuration Manager et son extension pour FEP 2010: Ce rôle correspond au serveur de site System Center Configuration Manager. Il ajoute simplement les composants nécessaires à l’administration de FEP avec SCCM. Ceci inclut les collections FEP, les packages et programmes, les lignes de base FEP pour la gestion des configurations désirées.
• FEP 2010 Reporting and Alerts permet l’installation des composants de supervision de l’infrastructure FEP.
• La console Configuration Manager et son extension pour FEP 2010 correspond à l’extension de System Center Configuration Manager 2007 nécessaire à l’intégration de FEP.

L’administrateur du parc informatique gère tout à partir de la console d’administration Configuration Manager. Les stratégies et les opérations sont appliquées au client FEP au travers du client SCCM. Le client FEP remonte son état en utilisant des lignes de base primordiales au fonctionnement du produit. Ces données sont stockées dans la base de données FEP. En parallèle l’administrateur peut aussi utiliser des lignes de base par défaut pour connaître l’état de conformité du client. De manière régulière, une opération de stockage a lieu afin de synchroniser la base de données FEP avec l’entrepôt de données (Data WareHouse) utilisé pour les rapports.

 1.4 La haute disponibilité

Comme expliqué plus tôt, Forefront EndPoint Protection 2010 est une couche supplémentaire apportée à System Center Configuration Manager. Ceci fait de Forefront EndPoint Protection 2010 un piètre élève dans la cours des produits hautement disponible puisque celui-ci est dépendant des services de System Center Configuration Manager. En effet, il est difficile de rendre SCCM hautement disponible. Vous pouvez rendre certains rôles hautement disponibles comme le Management Point, le Software Update Point, ou la base de données. Néanmoins, le serveur de site ne peut faire partie de ce plan.

Microsoft recommande l’utilisation :

• D’un cluster SQL Server pour la base de données de reporting Forefront EndPoint Protection
• Des Management Packs System Center Operations Manager pour superviser les services Forefront EndPoint Protection

Pour plus d’informations, rendez-vous : http://technet.microsoft.com/en-us/library/gg412484.aspx

 1.5 Plan de reprise d’activité

Le plan de reprise d’activité doit prendre en compte la sauvegarde préalable des différents composants comme notamment System Center Configuration Manager 2007. Celle-ci est assurée par une tâche de maintenance qui sauvegarde à la fois la base de données mais aussi l’ensemble des fichiers de configuration nécessaires. Dans le cadre de Forefront EndPoint Protection, cette tâche sauvegarde les stratégies, les paramétrages effectués dans SCCM et les publications.
Vous devez aussi sauvegarder la base de données de reporting Forefront EndPoint Protection (FEPDW_<SITECODE>) en utilisant la solution de sauvegarde SQL Server.

Microsoft propose ensuite deux procédures de restauration.
La première concerne la restauration du site System Center Configuration Manager quand il est victime d’un « Crash », il est alors nécessaire de le remplacer. Vous devez enchainer les étapes suivantes :

1. Restaurer System Center Configuration Manager
2. Restaurer la base de données de Reporting si cela est nécessaire
3. Installer Forefront EndPoint Protection en utilisant l’option « reuse existing database »

La seconde procédure est à utiliser lorsque le serveur de la base de données de reporting Forefront EndPoint Protection est devenu indisponible. Vous devez suivre les étapes :

1. Restaurer SQL Server et la base de données de rapport FEP
2. Désinstaller la fonctionnalité de reporting FEP sur le serveur où elle est installée.
3. Installer Forefront EndPoint Protection en utilisant l’option « reuse existing database »

Pour plus d’informations, consultez : http://technet.microsoft.com/en-us/library/gg477037.aspx

 1.6 Licensing

Forefront EndPoint Protection 2010 dispose de licences pour l’infrastructure serveur et pour les clients. Les clients peuvent utiliser des licences par utilisateur ou par périphérique. En parallèle, les licences pour System Center Configuration Manager R2 ou R3 sont nécessaires pour gérer centralement les clients.

On distingue deux suites de produit :

La suite Entreprise inclut les licences nécessaires pour System Center Configuration Manager et pour le système d’exploitation.

Côté client, les prix annoncés sont les suivants :

Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx

En août 2003 alors que les administrateurs systèmes étaient en d’avantage exposés à la lumière du soleil qu’à celle de leur écran d’ordinateur ; MS Blaster l’un des fléaux informatiques les plus célèbres commençait à envahir le monde de l’entreprise. Celui-ci allait changer radicalement la vision de la sécurité au cœur des entreprises en lançant une prise de conscience générale.  A l’heure du passage en 2011, il n’est pas envisageable qu’une entreprise ne protège pas son parc informatique par un système anti-logiciel malveillant performant. Fin 2010, Microsoft annonçait la sortie de la nouvelle version de sa solution antivirale. Forefront EndPoint Protection était attendu depuis près de 3 ans avec des attentes fortes en matière d’administration. Cette nouvelle version change de stratégie en proposant une intégration complète à la gamme System Center au travers de System Center Configuration Manager (SCCM) 2007 et System Center Operations Manager (SCOM) 2007.
Vous verrez dans cet article comment implémenter Forefront EndPoint Protection et comment l’utiliser au quotidien. Nous verrons les différents avantages et inconvénients de cette solution et les avancées proposées.

Notez que cet article n’abordera pas l’implémentation de Forefront EndPoint Protection 2010 Security Management Pack. C’est-à-dire l’implémentation des Management Packs dans une infrastructure System Center Operations Manager.

Level : 200

Connaissances pré requises : System Center configuration Manager 2007, Windows Server Updates Services.

Plan :
1. Théorie
2. Implémentation : Installation du serveur
3. Implémentation : Installation du client
4. Implémentation : Administration

            4.1 Gestion des stratégies (Policies)
            4.2 Gestion des mises à jour
            4.3 Gestion des opérations
            4.4 Gestion des alertes
            4.5 Gestion des rapports
            4.6 Gestion des configurations désirées

Conclusion

Ou Télécharger cet article au format numérique : ICI