4. Administration

 4.2 Gestion des mises à jour

La gestion des mises à jour de définitions est une étape importante dans la gestion des clients Forefront EndPoint Protection. Microsoft publie des mises à jour de définitions plusieurs fois par jour pour actualiser les nouvelles menaces qui se présentent.  Vous pouvez mettre à jour les clients de différentes façons :

• Via Microsoft Updates : Le client se connecte aux serveurs de mise à jour de Microsoft.
• Via un chemin réseau: Vous l’avez vu dans la gestion des stratégies ; il est possible de créer un répertoire faisant office de dépôt des mises à jour. Le client récupère alors manuellement les définitions à partir de ce dossier.
• Via System Center Configuration Manager ou Windows Server Updates Services : L’administrateur déploie et approuve les mises à jour massivement.

Chacune de ces méthodes possèdent un avantage.  La mise à jour via Microsoft Updates peut permettre aux clients déconnectés du réseau de quand même bénéficier des mises à jour de définitions. L’utilisation d’un chemin réseau permet aux clients ne disposant pas d’un accès Internet ou d’une infrastructure de déploiement (points de distribution...) d’accéder aux mises à jour.  Enfin l’utilisation de SCCM ou WSUS permet à l’administrateur de mieux contrôler le déploiement des définitions.  Il est possible d’utiliser l’ensemble de ces méthodes conjointement.

Nous n’aborderons ici que les méthodes de déploiement massives à savoir la gestion des mises à jour par System Center Configuration Manager 2007 et Windows Server Updates Services. Il faut savoir que le système de gestion des mises à jour par SCCM ne se prête pas vraiment à la gestion des mises à jour de définitions. Néanmoins, nous verrons les différentes méthodes (officielles ou non) à savoir :

• Gestion manuelle par SCCM
• Gestion automatique par WSUS (méthode officielle)
• Gestion automatique par SCCM (méthode Officielle via les outils du Rollup 1)
• Gestion automatique par SCCM (méthode non officielle)

Notez que pour réaliser cette partie, vous devez disposer des connaissances nécessaires dans la gestion des mises à jour par WSUS et SCCM. Nous ne détaillerons pas l’installation et la configuration de l’infrastructure de déploiement de mises à jour.

 4.2.1 Gestion manuelle des mises à jour par SCCM

Comme expliqué plus haut, le processus de gestion des mises à jour via System Center Configuration Manager ne se prête pas à la mise à jour des définitions FEP. En effet, les mises à jour de définitions ont lieu plusieurs fois par jour. La gestion des mises à jour via SCCM nécessite des opérations manuelles. Ceci signifie que l’administrateur devra procéder aux opérations suivantes au moins une fois par jour s’il veut que son infrastructure soit à jour.

Commençons par revoir brièvement les paramétrages de l’infrastructure System Center Configuration Manager. Ouvrez la console d’administration, déroulez l’arborescence Site Database => Site Management => <SITECODE> - <SITENAME> => Site Settings => Client Agents. Ouvrez l’agent « Software Updates client Agent ». Vérifiez que celui-ci est activé et correctement configuré selon vos besoins :

Cliquez ensuite sur le nœud Component Configuration. Ouvrez l’onglet « Classifications » et cochez la case « Definition Updates » :

Cliquez ensuite sur l’onglet « Products » et cherchez le produit « Forefront EndPoint Protection 2010 ». Cochez la case pour activer la synchronisation du produit.

Dans l’onglet « Languages », vérifiez que les langues des clients sont cochées pour pouvoir appliquer les mises à jour en fonction des langues locales de votre parc :

Initiez ensuite une synchronisation. Pour cela, dirigez-vous dans l’arborescence Site Database => Computer Management => Software Updates => Update Repository. Cliquez droit et sélectionnez « Run Synchronization » :

Validez le message pour procéder à la synchronisation :

Vous pouvez valider que la synchronisation a eu lieu avec succès en visionnant le fichier de journalisation « wsyncmgr.log » :

La mise à jour de définition apparaît ensuite dans la console dans l’arborescence : Site Database => Computer Management => Software Updates => Update Repository => Definition Updates => Microsoft => Forefront EndPoint Protection 2010 :

Cliquez droit sur la mise à jour et sélectionnez « Deploy Software Updates » :

Note : Il est recommandé d’utiliser des listes de mises à jour (Update List). Néanmoins nous n’utiliserons pas ce processus pour simplifier l’article.

L’assistant s’ouvre. Celui-ci permet de créer le déploiement qui ciblera les clients. Entrez le nom d’un déploiement :

Sur la page Deployment Template, vous pouvez choisir d’utiliser un modèle existant ou d’en créer un nouveau. Je vais pour ma part utiliser un modèle déjà créé pour les besoins d’une démonstration.

A l’étape Deployment Package, créez un nouveau package de déploiement qui identifiera les mises à jour de définition. Vous devez pour cela entrer un nom et un chemin UNC faisant référence au répertoire source du package :

Sélectionnez ensuite les points de distribution sur lesquels vous souhaitez déployer le package de mises à jour.
Sur l’écran Download Location, vérifiez que l’option « Download software updates from the Internet” est cochée et passez à l’étape suivante :

Sur la page Language Selection, cochez les langues que vous utilisez dans votre parc pour rendre disponible les mises à jour à l’ensemble des clients :

A l’étape Schedule, vous pouvez programmer le déploiement de la mise à jour. Ainsi vous devez choisir la date de mise à disposition mais aussi la date de fin. Cette date de fin permet de forcer l’installation automatique des mises à jour.

Validez l’écran de résumé pour procéder à la création du déploiement :

Ouvrez une session sur une machine cliente ; celle-ci doit afficher une bulle de notification informant de la disponibilité d’une mise à jour :

Cliquez sur cette bulle pour ouvrir la fenêtre de gestion des mises à jour logiciel. Cliquez sur Install pour procéder à l’installation. Notez que si la date de fin est égale à la date de mise à disposition ; l’utilisateur n’aura pas besoin de procéder à ces étapes et se verra forcer l’installation des mises à jour de définition.

Une fois lancé, le client procède au téléchargement des fichiers de mise à jour :

Enfin l’installation démarre :

Une fois terminée, la mise à jour a été correctement appliquée au client Forefront comme vous pouvez le voir dans l’onglet Updates  de son interface :

 4.2.2 Gestion automatique par WSUS (méthode officielle)

Nous avons vu comment gérer les mises à jour manuellement via System Center Configuration Manager 2007. La méthode qui suit permet de gérer automatiquement les mises à jour de définitions via Windows Server Updates Services en utilisant les règles d’approbation du produit. Cette méthode est la solution officielle fournie par Microsoft pour résoudre les lacunes de System Center Configuration Manager 2007. Celle-ci a ses avantages : Elle est officielle ! Mais elle dispose aussi de nombreux inconvénients :

Elle n’utilise pas System Center Configuration Manager et le déploiement via les points distribution. Les mises à jour sont déployées via le serveur WSUS. Ainsi la gestion des sites distants est rendue plus difficile.

L’administrateur ne dispose pas de l’ensemble des informations de Reporting (installation avec succès ou non…) de System Center Configuration Manager.

Ouvrez la console d’administration WSUS et dirigez-vous dans le nœud Options.

Sélectionnez « Automatic Approvals » pour ouvrir la fenêtre de configuration des règles d’approbation. Cliquez sur « New Rule… » pour créer une règle :

Sur la fenêtre Add Rule, cochez « When an update is in a specific classification” et “When an update is in a specific product”. Sélectionnez ensuite la classification Definition Updates et le produit Forefront EndPoint Protection 2010. Appliquez cette règle à l’ensemble des ordinateurs.

Note : Vous pouvez choisir de cibler un unique groupe de machines.

Entrez ensuite le nom de la règle et cliquez sur Ok.

Une fois ajoutée, vérifiez que la règle est cochée dans l’écran Automatic Approvals et cliquez sur OK

Toujours dans les options de la console d’administration WSUS, sélectionnez Synchronization Schedule. Choisissez ensuite de procéder à la synchronisation automatique. Vous pouvez choisir la première synchronisation et la fréquence. Quatre fois par jour permettent de maintenir l’infrastructure à jour mais vous pouvez aussi accélérer la fréquence en passant à 24 fois par jour à partir de minuit.

Une fois synchronisé, on peut observer à l’aide de filtre que les mises à jour de définition ont été correctement approuvées :

Connectez-vous sur une machine cliente et ouvrez le client Forefront EndPoint Protection. Ouvrez l’onglet Update et procédez à la mise à jour du client. Le client consulte le serveur WSUS, télécharge et installe les mises à jour qui lui sont proposées :

Le client est ensuite à jour :

Vous pouvez configurer les paramètres de mise à jour du client via stratégie pour que celui-ci se mette à jour avant les analyses ou via stratégie de groupe pour forcer la consultation des mises à jour.

4.2.3 Gestion automatique par SCCM (méthode Officielle)

Microsoft a publié le correctif cumulatif 1 (Rollup 1) de Forefront EndPoint Protection (FEP) 2010 apportant son lot de correction et nouveautés (Voir http://microsofttouch.fr/blogs/js/archive/2011/06/28/forefront-endpoint-protection-fep-2010-correctif-cumulatif-1.aspx). Je souhaite aujourd’hui aborder l’utilisation du nouvel outil permettant de télécharger les mises à jour de définitions FEP automatiquement. Cet outil est Officiellement supporté par Microsoft.

Notez que vous devez disposer des prérequis suivants :

• SCCM 2007
• WSUS 3.0
• Un Software Update Point (SUP)

Vous devez aussi configurer le Software Update Point ; créer un package contenant les mises à jour de définitions et publier les mises à jour à vos clients. Pour cela, je vous invite à consulter la partie 4.2.1 Gestion manuelle des mises à jour par SCCM de mon article sur FEP 2010. Retenez le nom du package et du Deployment Management (=Publication) que vous donnez.

Commencez par télécharger l’outil : « fepsuasetup.cab » sur Microsoft Forefront Endpoint Protection (FEP) 2010 Update Rollup 1 Tools.

Ouvrez le package « fepsuasetup.cab » et copiez l’outil « SoftwareUpdateAutomation.exe » dans c:\Program Files\Microsoft Configuration Manager\AdminUI\bin.

 Notez que l'outil propose les paramétres suivants :

• /Help: Get program usage

• /SiteServer: Site server computer name

• /UpdateFilter: Filter for selecting software updates that are used for the destination packages

• /AssignmentName: Name of destination software update assignment

• /PackageName: Name of destination software update packages

• /PreDownloadFolder: Destination folder holding downloaded update files

• /UpdateLanguages: List of language IDs for requested software updates

• /RefreshDP: Request automatic propagation of updated package to Distribution Points (true by default)

Certaines options (siteservername) peuvent être nécessaires dans votre infrastructure en fonction de vos contraintes (topologie, langue...). Ces considérations ne seront pas détaillées dans l'article suivant.

Deux solutions s’offrent ensuite à vous :

• Créer une tâche planifiée Windows
• Créer une règle de filtre d’état (Status Filter Rule) dans SCCM

Cet article détaillera les deux solutions.

Méthode 1 : La tâche planifiée Windows

Commençons par la tâche planifiée Windows, ouvrez l’outil correspondant et cliquez sur Create Task. Donnez un nom à la tâche et vérifiez que l’option « Run whether user is logged on or not » est cochée afin que la tâche s’exécute dans chacun des cas.

Ouvrez l’onglet Actions et ajoutez-en une nouvelle. Choisissez l’action « Start a program ». Spécifiez le chemin vers l’outil de mise à jour automatique en utilisant les variables d’environnement :

• Pour un système 32 bits : %ProgramFiles%\Microsoft Configuration Manager\AdminUI\bin\SoftwareUpdateAutomation.exe
• Pour un système 64 bits : %ProgramFiles(x86)%\Microsoft Configuration Manager\AdminUI\bin\SoftwareUpdateAutomation.exe

Dans la partie arguments, spécifiez « /AssignementName <Nom de votre DeployementManagement> /PackageName <Nom de votre Package> ». J’entends par nom ; le nom qui s’affiche dans la console d’administration SCCM et que vous avez entrez dans l’assistant lors de la création de chacune des entitées.

Ouvrez ensuite l’onglet Triggers, et cliquez sur New. Vous pouvez déclencher cette tâche dans deux modes de fonctionnement :

• De manière programmée (On a schedule). Vous programmez l’action pour avoir lieu tous les jours de manière répétée toutes les heures. C’est la méthode présentée par Microsoft.
• A la suite d’un événement (On an event). Cette méthode permet de déclencher l’exécution du programme après que l’événement de synchronisation avec succès de WSUS ait été remonté. Je préfère cette méthode car le programme s’exécutera en accord avec ma politique de programmation de la synchronisation WSUS.

Nous allons détailler les deux méthodes. Commençons par la programmation récurrente, sélectionnez Daily (journalier). Vérifiez que la récurrence a lieu tous les jours et répétez l’opération toutes les heures pour une durée indéterminée.

Passons au déclenchement à la suite de l’événement de synchronisation avec succès de WSUS. Pour cela, il faut identifier le numéro d’événement qui peut être remonté au travers des journaux d’événements du serveur :

Choisissez le type de déclenchement sur un événement. Entrez ensuite les informations suivantes :

• Log : Application
• Source : SMS Server
• EventID : 6702

Vérifiez ensuite que la tâche est activée.

Méthode 2 : Les règles de filtre d’état

Nous allons maintenant décrire la deuxième option qui s’offre à vous : Créer une règle de filtrage d’état. Ouvrez la console d’administration et déroulez l’arborescence Site Database => Site Management => <SITECODE> - <SITENAME> => Site Settings => Status Filter Rules. Cliquez droit sur le nœud « Status Filter Rules » et sélectionnez « New Status FIlter Rules ».
L’assistant s’ouvre. Entrez le nom de la règle (par exemple : « AutoDeploy FEP Updates ») et entrez les informations suivantes :

• Source : ConfigMgr Server
• Component : SMS_WSUS_SYNC_MANAGER
• Message ID : 6702

Sur la page Action, cochez Run a program et entrez l’adresse du programme et les arguments nécessaires :

• Pour un système 32 bits : « %ProgramFiles%\Microsoft Configuration Manager\AdminUI\bin\SoftwareUpdateAutomation.exe » /AssignementName <Nom de votre DeployementManagement> /PackageName <Nom de votre Package>
• Pour un système 64 bits : « %ProgramFiles(x86)%\Microsoft Configuration Manager\AdminUI\bin\SoftwareUpdateAutomation.exe » /AssignementName <Nom de votre DeployementManagement> /PackageName <Nom de votre Package>

Terminez l’assistant pour procéder à la création.

Après exécution d’une synchronisation l’outil de Microsoft procède aux opérations suivantes :

• Téléchargement des mises à jour de définitions FEP
• Ajout des mises à jour au package spécifié
• Mise à jour du package sur les points de distribution déjà ciblé par l’administration
• Ajout des mises à jour au DeploymentManagement spécifié

Le fichier de journalisation est stocké dans %ProgramData%\SoftwareUpdateAutomation.log

 4.2.4 Gestion automatique par SCCM (méthode non officielle)

Cette méthode de gestion automatique des mises à jour de définitions est proposée par Kim Oppalfens. Sa solution se rapproche des règles de déploiement automatique (ADR) de System Center Configuration Manager 2012.

Pour faire simple, il faut configurer le Software update Point pour procéder à une synchronisation toutes les heures. Il faut ensuite créer une règle de filtrage d’état qui lors de la remontée de l’event id 6702 (synchronisation du serveur WSUS avec succès), lance un exécutable créé par Kim Oppalfens.

Cette exécutable:

• Télécharge les mises à jour spécifiées
• Place les mises à jour dans un package
• Distribue le package sur tous les points de distribution
• Déploie ces mises à jour à une collection

Avertissement : Cette solution est à implémenter à vos risques et périls mais elle a le mérite d’apporter une solution viable à un problème quotidien auquel font face les administrateurs SCCM/FCS/FEP.

Commencez par télécharger les binaires de la solution proposée par Kim : http://www.myitforum.com/absolutenm/templates/Articles.aspx?articleid=20071&zoneid=89  Disposez-les dans un répertoire accessible par le serveur de site. Vous allez peut être devoir éditer les sources pour changer les références vers le SDK. Pour cela, lisez le README.

Créez ensuite une règle de filtrage d’état. Ouvrez la console d’administration et déroulez l’arborescence Site Database => Site Management => <SITECODE> - <SITENAME> => Site Settings => Status Filter Rules. Cliquez droit sur le nœud « Status Filter Rules » et sélectionnez « New Status FIlter Rules ».
L’assistant s’ouvre. Entrez le nom de la règle (par exemple : « AutoDeploy FEP Updates ») et entrez les informations suivantes :

• Source : ConfigMgr Server
• Component : SMS_WSUS_SYNC_MANAGER
• Message ID : 6702

Sur la page Actions, cochez la case « Run a program » puis entrez la ligne de commande : « "<chemin vers les sources de la solution>\SUM_E2E_Deployment.exe" <NOMDUPROVIDER> <ID_DE_LA_COLLECTION_CIBLE_DU_DEPLOIEMENT>.
On retrouve par exemple dans mon cas : « "<chemin vers les sources de la solution>\SUM_E2E_Deployment.exe" WTVN-SCCMSS LYN00027

Passez à l’écran suivant et validez le résumé pour procéder à la création. Fermez ensuite l’écran de confirmation.

Note : Vous devez reconfigurer votre Software Update Point pour qu’il procède à des synchronisations toutes les heures.

Une fois la synchronisation effectuée ; le processus créé un package « Latest Forefront Definition Updates Package » déployé sur tous les points de distribution et comprenant les dernières mises à jour de définitions :

Dans le même temps, un déploiement « Forefront Auto-Approved updates » a été créé. Celui-ci cible la collection LYN00027 et comporte les mises à jour de définitions :

Ce déploiement ne dispose pas de date de fin forçant le déploiement. Vous pouvez ainsi aisément le modifier pour correspondre à votre politique de mise à jour :

Connectez-vous ensuite sur un client faisant parti de la collection cible du déploiement. Ce client doit recevoir un déploiement optionnel de mise à jour des définitions antivirales Forefront EndPoint Protection :

Une fois installée, la mise à jour est correctement appliquée au client Forefront :

Vous avez vu dans cette partie, différentes méthodes de gestion des mises à jour de définitions afin de déployer massivement sur le parc informatique. Chacune dispose des avantages et des  inconvénients. Il ne fait aucun doute que la gestion manuelle des mises à jour par System Center Configuration Manager rallonge considérablement le temps quotidien passé à l’administration du produit. La solution officielle de Microsoft est un bon compromis. Néanmoins, elle n’utilise pas les avantages des points de distribution souvent utilisés pour distribuer les packages au sein d’infrastructure riche en sites distants.

Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx

4. Administration

Les tâches d’administration du produit passent par différentes composantes comme la gestion des stratégies s’appliquant aux clients, la gestion des mises à jour, la gestion des opérations de maintenance, la gestion des alertes, ou la surveillance de l’état de l’infrastructure au travers des rapports. Cette partie vous permettra d’aborder tous ces concepts.

 4.1 Gestion des stratégies (Policies)

La gestion des stratégies est la tâche la plus importante qu’un administrateur doit opérer sur l’infrastructure FEP. Les stratégies (Policies) sont un ensemble d’éléments/paramétrages s’appliquant au client Forefront EndPoint Protection. Elles permettent de régir le comportement du client. On retrouve ainsi la gestion :

• De la programmation des scans
• De la protection en temps réel
• Des notifications,
• Des actions face à une menace
• Des exceptions (fichiers, types de fichiers, processus…)
• Les répertoires ou fichiers exclus de la recherche

Pour visualiser les stratégies, ouvrez la console d’administration Configuration Manager. Déroulez l’arborescence Site Database => Computer Management => Forefront EndPoint Protection => Policies.

 4.1.1 Les stratégies par défaut

Forefront EndPoint Protection fournit deux stratégies par défaut s’appliquant à tous les clients :

• Default Server Policy s’applique à toutes les machines de type serveur. Elle est appliquée au travers d’une publication (Assign FEP policy Default Desktop Policy)  sur la collection Deployed Servers.
• Default Desktop Policy s’applique à toutes les stations de travail. Elle est appliquée au travers d’une publication (Assign FEP policy Default Server Policy) sur la collection Deployed Desktops.

Vous ne pouvez pas supprimer les stratégies par défaut et ce afin d’assurer le bon fonctionnement de l’infrastructure. De cette façon, une stratégie est toujours appliquée à un client FEP. Vous pouvez néanmoins facilement éditer les propriétés de la stratégie pour modifier les différents paramètres.

Il est conseillé de ne pas les modifier car celles-ci ont été construite comme un standard s’appliquant aux deux types de profil. Si vous souhaitez appliquer des paramètres spécifiques, vous pouvez créer une nouvelle stratégie (Policy) qui prendra le dessus sur la stratégie par défaut.

Nous n’allons pas détailler ici écran par écran les différents paramétrages. Néanmoins, vous pouvez trouver des tableaux regroupant les principales différences entre les deux stratégies.

Note : Nous détaillerons la signification de chaque paramètre lors de la création des stratégies personnalisées.

Voici les paramétrages pour chacune des stratégies par défaut en ce qui concerne les analyses programmées :

Le tableau suivant récapitule les actions utilisées par défaut lors de la découverte d’une menace :

Ce tableau rassemble les paramètres des deux stratégies par défaut en ce qui concerne la protection en temps réel :

Vous trouvez ci-dessous trois tableaux regroupant les exclusions de répertoires, de fichiers, de types de fichiers et de processus pour les stratégies par défaut :

Voici les différences entre les deux stratégies en ce qui concerne les paramétrages avancés du client Forefront EndPoint Protection :

Ce tableau résume les différences en ce qui concerne Microsoft SpyNet :

Le tableau Updates regroupe les paramétrages de mises à jour du client pour les deux stratégies :

Voici un récapitulatif des paramétrages de gestion du Firewall Windows pour les deux stratégies par défaut :

 4.1.2 Création de stratégies personnalisées

Après avoir décortiqué les stratégies par défaut fournies avec Forefront EndPoint Protection, nous allons entrer dans le vif du sujet et voir comment créer une stratégie personnalisée. Nous détaillerons dans cette partie l’ensemble des étapes de création et d’édition. Vous trouverez ici la définition de chaque paramètre.

Pour créer votre stratégie (Policy) personnalisée, ouvrez la console d’administration Configuration Manager. Déroulez l’arborescence Site Database => Computer Management => Forefront EndPoint Protection => Policies. Cliquez droit sur le nœud Policies et sélectionnez New Policy :

L’assistant de création d’une stratégie s’ouvre. Nous allons créer une stratégie personnalisée qui s’appliquera à tous les ordinateurs portables (profils itinérants, commerciaux, consultants…). Entrez le nom de la stratégie et la description :

Sur l’écran Policy Type, vous devez choisir le type de stratégie que vous souhaitez créer. Les différentes options proposées sont des modèles qui vous permettront d’adapter la stratégie au besoin émis. On retrouve ainsi 4 types principaux :

• Standard desktop policy : fournit des paramétrages pour les postes de travail standard. Une analyse rapide a lieu par semaine et l’utilisation du processeur est limitée à 50%
• High-security Policy : Cette stratégie donne un niveau de sécurité maximum en incluant des analyses rapides tous les jours et une analyse complète par semaine. L’utilisation processeur n’est pas limitée et la configuration du Firewall est optimisée pour éviter les intrusions.
• Performance optimized policy : Cette stratégie offre une configuration permettant une protection sécurité minimale tout en offrant un niveau de performance maximum. L’usage processeur est limité à 30% et une analyse rapide a lieu toutes les semaines.
• Policy template : Cette option permet de sélectionner des modèles de sécurité pour des cas bien particuliers comme des rôles serveurs. Les modèles incluent ainsi des paramétrages spécifiques aux rôles comme des exclusions de fichiers ou de processus. Voici la liste des modèles offerts :
  • Microsoft SQL Server 2005
  • Microsoft SQL Server 2008
  • Internet Information Services (IIS) 6 et 7
  • System Center Configuration Manager 2007
  • Microsoft Exchange Server 2007/2010
  • FEP Exchange et Microsoft Forefront Protection 2010 for Exchange Server (FPE)
  • Microsoft SharePoint 2010
  • Microsoft Office SharePoint® Server 2007 et Microsoft Forefront Protection 2010 for SharePoint (FPSP)
  • Domain Controller
  • Microsoft Hyper-V (host)
  • Terminal Services
  • DNS Server
  • DHCP Server
  • File Services
  • System Center Operations Manager 2007
  • Server (stratégie par défaut recommandée par Microsoft pour des serveurs)

Nous aborderons plus tard dans cette partie la création d’une stratégie dédiée à un rôle serveur.

Sélectionnez le type de stratégie « Standard desktop policy » puis passez à l’écran suivant :

Sur l’écran Scheduled Scans, vous pouvez choisir de programmer des analyses en cochant « schedule type and time of scan ». Vous pouvez sélectionner le type et la fréquence des analyses en choisissant :

• Une analyse rapide par semaine
• Une analyse complète par semaine
• Une analyse rapide par jour
• Une analyse complète par jour
• Une analyse rapide par jour et une analyse complète par semaine.

Vous devez ensuite choisir la programmation (jour et heure) de ces analyses.

La page suivante permet d’ajouter des exclusions à l’analyse. Par défaut, on retrouve les exclusions habituelles du dossier Software Distribution.  Il peut être intéressant d’exclure certains fichiers comme des bases de données afin d’optimiser le fonctionnement de certains programmes.

A l’étape Updates, vous pouvez spécifier les différentes méthodes utilisées pour mettre à jour le client Forefront et déployer les nouvelles définitions antivirales. Vous pouvez ainsi :

• Autoriser la mise à jour en utilisant un chemin réseau (UNC)
• Autoriser la mise à jour via SCCM ou WSUS (coché par défaut)
• Autoriser la mise à jour à partir de Microsoft Updates (coché par défaut)

L’écran Client Configuration permet de configurer les interactions entre l’utilisateur et le client. Vous pouvez ainsi choisir de laisser l’utilisateur configurer la protection en temps réel ou encore les programmations d’analyse. Vous pouvez aussi cocher « Show notification messages to users on … » pour afficher des notifications à l’utilisateur lorsque des actions sont nécessaires. Ceci peut se caractériser par le lancement d’une analyse complète ou le téléchargement des dernières définitions de virus et de logiciels malveillants.

Validez l’écran de résumé pour procéder à la création de la stratégie :

Une fois créée, on retrouve notre stratégie dans la liste des stratégies disponibles :

Maintenant que la stratégie est créée, je vous propose de rentrer plus en détail dans les paramétrages offerts par ces stratégies. Pour cela dans l’arborescence Site Database => Computer Management => Forefront EndPoint Protection => Policies, cliquez droit sur la stratégie et choisissez Properties

Une fois la fenêtre des propriétés ouverte, on se retrouve dans l’onglet General. Cet onglet présente le nom et la description de la stratégie. Vous pouvez y retrouver les collections qui se voient assigner la stratégie.

On retrouve aussi la date de création et de modification ainsi que le numéro de version de la stratégie. Le numéro de version est incrémenté à chaque fois que la stratégie est modifiée.

Ouvrez l’onglet Antimalware.  Dans la partie Scheduled scans, on retrouve les paramétrages suivants :

• Schedule type and time of scan : Ce paramétrage permet d’activer l’analyse du poste de travail et configure ainsi le type d’analyse et la programmation
• Scan type : permet de configurer le type d’analyse parmi les choix suivants :
  • Une analyse rapide par semaine
  • Une analyse complète par semaine
  • Une analyse rapide par jour
  • Une analyse complète par jour
  • Une analyse rapide par jour et une analyse complète par semaine.
• Scan Time  offre la possibilité de configurer l’heure à laquelle doit avoir lieu l’analyse journalière
• Weekly scan donne deux champs permettant de configurer le jour et l’heure à laquelle doit avoir lieu l’analyse hebdomadaire.
• Check for definition updates before starting a scan permet de vérifier les mises à jour de definition avant de lancer une analyse.
• Scan only when the computer is not in use : Cette option permet de lancer une analyse uniquement lorsque la machine n’est pas utilisée par une personne. Elle utilise pour cela le temps d’inactivité déjà utilisé pour lancer l’économiseur d’écran.
• Randomize scheduled scan start times : Ce paramètre s’il est activé permet de lancer l’analyse dans un intervalle de temps aléatoire compris entre la date de programmation et les 30 prochaines minutes. Cette option permet d’éviter que tous les postes de travail ciblés par la stratégie démarrent en même temps l’analyse.
• Force a scan upon restart when two or more scheduled scans are missed : Cette option permet de forcer l’analyse au démarrage lorsque deux ou plusieurs analyses programmées ont été ratées. Ceci est très pratique si le poste de travail a été hors ligne (éteint, en veille…) pendant une période plus ou moins longue.
• Limit processor usage during scans to the following percentage : permet de limiter l’usage processeur alloué à l’analyse du poste de travail à un pourcentage maximum.
• Allow users on endpoint computers to configure processor usage limits for scans : Cette option donne le droit à l’utilisateur de configurer lui-même la limite d’usage du processeur alloué à l’analyse.
• User’s control on scheduled scans : Cette option permet de régir le contrôle que peut avoir l’utilisateur sur les analyses programmées. On retrouve les options suivantes :
  • Aucun contrôle
  • Autorise le changement de l’heure d’analyse seulement
  • Contrôle total : Autorise l’activation, la désactivation ou le paramétrage du type et de la programmation de l’analyse.

Dans la partie Default actions, on retrouve les paramétrages liés aux actions par défaut face à des niveaux de menaces détectés. Ces niveaux de menace (sévère, haute, moyenne ou faible) sont déterminés par Microsoft en fonction de la sévérité de celle-ci :

• Action recommandée par Microsoft : Ce paramétrage peut potentiellement procéder à tous les scénarios d’action.
• Remove : Cette action supprime la menace.
• Quarantaine : Cette action met en quarantaine la menace
• Allow (Autorise) : Cette action autorise la menace.

La partie Real-time protection rassemble les options concernant le module de protection en temps réel :

• Enable real-time protection permet d’activer la protection en temps réelle
• Scan system files : Cette option permet de définir quels fichiers système vous souhaitez analyser. (Par défaut l’option analyse les fichiers entrants et sortants)
• Scan all downloaded files and attachments : Cette option permet d’analyser tous les fichiers téléchargés ou toutes les pièces jointes reçues en temps réel.
• Use behavior monitoring : permet d’activer la supervision des comportements. Ce mécanisme  est utilisé par Forefront pour surveiller le comportement du système pour bloquer les menaces inconnues.
• Enable protection against network-based exploits : Ce paramètre active la protection contre les attaques par le réseau.
• Allow users on endpoint computers to configure real-time protection settings : autorise l’utilisateur à modifier les paramétrages de la protection en temps réel.

L’écran Excluded files and locations permet d’ajouter des exceptions à l’analyse faite par Forefront EndPoint Protection pour éviter que certains fichiers ou répertoires soient analysés. Ceci peut permettre d’améliorer les performances de certaines applications (par exemple dans le cadre de bases de données) mais augmente le risque des machines.

L’écran Excluded file types permet d’ajouter des exceptions pour certains types de fichiers.

L’écran Excluded processes permet d’ajouter des exceptions pour certains processus afin d’éviter d’interférer avec le comportement de certaines applications et rendre l’exécution plus performante.

La partie Advanced offre des paramétrages supplémentaires :

• Scan archived files : Cette option permet d’analyser les fichiers archivés
• Scan network drives when running a full scan : Ce paramétrage permet d’analyser les lecteurs réseau lorsqu’une analyse complète est lancée.
• Scan removable storage devices : Cette option permet de procéder à l’analyse des périphériques de stockage amovibles (Clé USB…).
• Create a system restore point before cleaning computers : Ce paramètre  permet de créer un point de restauration système avant toute tentative de nettoyage de la machine si une menace a été détectée.
• Show notification messages to users on endpoint computers when they need to perform the following actions : Cette option permet d’afficher des notifications à l’utilisateur lorsqu’il est nécessaire de procéder à des analyses complètes, aux téléchargements des mises à jour de définitions antivirales
• Delete quarantined files after : permet de supprimer automatiquement les fichiers mis en quarantaine après une période donnée.
• Allow users on endpoint computers to configure quarantined delete period : Cette option donne le droit à l’utilisateur de modifier la période de suppression automatique des fichiers en quarantaine.
• Allow users on endpoint computers to exclude files and locations, file types, and processes : Ce paramètre donne le droit à l’utilisateur de modifier les exceptions de fichiers, répertoires, types de fichiers, et processus.

La partie Overrides permet de spécifier des exceptions permettant d’outrepasser le comportement des actions recommandées. Vous pouvez ainsi pour certaines menaces (vous trouverez la liste sur : http://www.microsoft.com/security/portal/Threat/Encyclopedia/Browse.aspx), spécifiez des actions particulières qui prendront le dessus sur l’action recommandée.

L’écran de configuration Microsoft SpyNet permet de configurer l’abonnement à SpyNet. Vous pouvez ainsi désactiver l’abonnement ou choisir le type. L’option « Allow users on endpoint computers to change SpyNet settings » autorise l’utilisateur final de modifier lui-même les paramètres de SpyNet.

L’onglet Updates offre différents paramétrages permettant de modifier le comportement de mis à jour du client :

• Vous pouvez ainsi choisir à quelle fréquence vous souhaitez que le client procède à la vérification des mises à jour de définition.  Ceci peut avoir lieu à heure fixe ou à intervalle régulier en heure.
• Force a definition update when definition updates have failed  : Ce paramètre permet de forcer la mise à jour des définition si une mise à jour de définition a échoué à un intervalle de jour configuré.
• Vous pouvez ensuite choisir par quel moyen le client Forefront EndPoint Protection pourra récupérer ses mises à jour de définition :
  • En utilisant un chemin réseau
  • En utilisant la distribution des mises à jour par SCCM ou WSU
  • En utilisant Microsoft Updates
• Enfin vous pouvez spécifiez les chemins réseau si vous avez choisi cette méthode de mise à jour.

L’onglet Windows Firewall permet de spécifier les paramètres de configuration influant sur le firewall Windows.

• Manage Windows Firewall  permet d’activer la gestion du firewall par le client Forefront.
  Cette option déverrouille la configuration des options suivantes pour les différents types de réseau (domaine, privé, public) :
  • Etat du firewall : Cette option permet d’activer/désactiver le firewall en fonction du réseau
  • Incoming connections : permet de spécifier le comportement du firewall face aux connexions entrantes (bloquées…)
  • Display a notification permet d’afficher des notifications lorsqu’une exception doit être enregistrée.

 4.1.3 Création d’une stratégie basée sur un modèle pour un rôle serveur

Nous avons vu comment créer une stratégie personnalisée assez standard basée sur les types disponibles. Ceux-ci se prêtent principalement à une utilisation pour les postes de travail. Microsoft propose néanmoins des modèles spécifiques aux serveurs et aux différents rôles et produits qu’ils peuvent héberger.

Nous allons créer une stratégie à destination des serveurs de site System Center Configuration Manager. Celle-ci devra prendre en considération les différents mécanismes des serveurs cibles.

Procéder à la création d’une nouvelle stratégie. Une fois l’assistant ouvert, entrez le nom de la stratégie et sa description.

Sur l’écran Policy Type, cochez « Policy template » et choisissez le modèle « FEP Configuration Manager 2007 including Defaults » :

Validez l’écran de résumé pour procéder à la création :

Une fois créée, nous pouvons éditer cette stratégie spécifique au produit System Center Configuration Manager 2007. Nous pouvons remarquer dans les paramétrages Antimalware => Excluded files and Locations qu’il y a de nombreuses exclusions associées au chemin d’installation de System Center Configuration Manager :

Ces modèles sont un bon moyen d’adapter facilement le comportement du client Forefront EndPoint Protection au rôle et produits sur lequel il est installé.

 4.1.4 Assignation d'une stratégie personnalisée

Après avoir créé nos stratégies, nous allons pouvoir les assigner aux clients Forefront cibles de la configuration. La première étape consiste à créer les collections et l’arborescence des collections nécessaires à votre infrastructure. Vous pouvez créer les collections au niveau de FEP Collections => Deployment Status => Deployment Succeeded. Pour plus de clarté, j’ai créé une arborescence séparée et totalement dédiée à l’application des stratégies personnalisées :

Ce découpage est bien entendu présenté à titre indicatif ; vous êtes libre d’organiser celles-ci selon vos besoins.

Pour assigner une stratégie, rendez-vous dans la console d’administration Configuration Manager et déroulez l’arborescence Site Database => Computer Management => Forefront EndPoint Protection => Policies. Cliquez droit sur la stratégie que vous souhaitez déployer et sélectionnez « Assign Policy… » :

Une fenêtre s’ouvre. Celle-ci permet d’ajouter des collections qui seront la cible de la stratégie. Cliquez sur « Add… » pour les ajouter. Vous pouvez ensuite cocher la case « Include subcollections » si vous souhaitez que la publication se propage aux sous-collections :

Une fois ajoutée, nous pouvons voir que la publication est assignée à la collection que nous avons choisie :

 4.1.5 Edition de la priorité

Un client Forefront EndPoint Protection peut se voir attribuer plusieurs stratégies mais il n’en appliquera qu’une seule. Un client se voit toujours attribué au moins une stratégie. Les deux stratégies par défaut ne peuvent être supprimées pour cette raison et assure ainsi un « service minimum » sur les nouveaux clients.

Afin de pouvoir au mieux gérer l’application d’une et une seule stratégie sur chaque client ; celles-ci se voient attribuer une priorité. Cette priorité permet au client de s’avoir quelle stratégie doit s’appliquer si plusieurs lui sont proposées. Plus le numéro de priorité est faible ; moins la stratégie est prioritaire. Ainsi si un client se voit attribuer une stratégie avec un numéro de priorité 15 et la stratégie par défaut (priorité 1) ; ce sera bien la stratégie avec la priorité 15 qui sera appliquée.

Les deux stratégies par défaut ont la propriété la plus faible (respectivement 1 pour la stratégie poste de travail et 2 pour les serveurs).

Note : Lors de la création d’une nouvelle stratégie, celle-ci se voit assigner la priorité maximale.

Il est possible d’éditer la priorité des stratégies.  Pour cela, ouvrez la console d’administration et déroulez l’arborescence Site Database => Computer Management => Forefront EndPoint Protection => Policies. Cliquez droit sur le nœud Policies et sélectionnez « Edit Policy Precedence… » .

Une fenêtre s’ouvre afin de vous permettre de déplacer vers le haut (en donnant une priorité supérieure) ou vers le bas (en donnant une priorité inférieure) chaque stratégie.

Veuillez noter qu’il n’est pas possible de modifier la priorité des stratégies par défaut.

 4.1.6 Récapitulatif des paramétrages de chacun des types de stratégie

Voici les paramétrages pour chacun des types de stratégie en ce qui concerne les analyses programmées :

Le tableau suivant récapitule les actions utilisées par défaut lors de la découverte d’une menace :

Ce tableau rassemble les paramètres des types de stratégie en ce qui concerne la protection en temps réel :

Vous trouvez ci-dessous trois tableaux regroupant les exclusions de répertoires, de fichiers, de types de fichiers et de processus pour des types de stratégie :

Voici les différences entre les types de stratégie en ce qui concerne les paramétrages avancés du client Forefront EndPoint Protection :

Ce tableau résume les différences concernant Microsoft SpyNet :

Le tableau Updates regroupe les paramétrages de mises à jour du client pour les types de stratégie:

Voici un récapitulatif des paramétrages de gestion du Firewall Windows pour les types de stratégie :

 4.1.7 Fonctionnement de l’intégration des stratégies à System Center Configuration Manager

Cette partie va vous permettre de comprendre comment Forefront EndPoint Protection 2010 s’intègre aux différents mécanismes de System Center Configuration Manager 2007.

La création d’une stratégie n’est ni plus ni moins qu’associée à la création d’un nouveau programme dans le package Microsoft Corporation FEP – Policies 1.0 :

Ce package est remis à jour automatiquement tous les jours à heure fixe afin de prendre en considération les différents changements :

L’assignation d’une stratégie correspond à la création d’une publication (Advertisement) pour le programme associé à la stratégie sur une collection donnée avec les différents paramétrages nécessaires.

Ainsi, il existe deux publications par défaut qui s’appliquent tous les jours. Dès lors que vous assignez une stratégie, celle-ci se voit créer une publication qui est appliquée dès que possible pour que les changements de stratégies soient appliqués le plus rapidement possible.

Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx

3. Implémentation : Installation du client

Maintenant que l’infrastructure serveur est correctement installée et fonctionnelle, nous pouvons passer à l’installation et au déploiement à grande échelle du client.

 3.1 Prérequis

Cette partie liste les différentes considérations à prendre en compte lors de l’installation du client sur une machine.

 3.1.1 Prérequis Matériel

Les prérequis matériels nécessaires à l’installation d’un client Forefront EndPoint Protection sont les suivants :

• CPU :
  • Windows XP : 500 MHz ou plus
  • Windows Vista ou Windows 7 : 1.0 GHz ou plus
• Mémoire :
  • Windows XP : 256 MB de RAM ou plus
  • Windows Vista ou Windows 7 : 1 GB de RAM ou plus
• Espace disque disponible : 300 MB

 3.1.2 Prérequis Logiciels

L’installation de l’infrastructure Forefront EndPoint Protection 2010 nécessite certains prérequis parmi les suivantes :

• Systèmes d’exploitation : Windows XP SP3 (x86), Windows VISTA RTM ou plus (x86 ou x64), Windows 7 RTM (x86 ou x64), Windows 7 XP mode, Windows Server 2003 SP2 (x86 ou x64), Windows Server 2008 RTM ou plus (x86 ou x64), Windows Server 2008 R2 (x64) ou plus, Windows 2008 R2 Server Core (x64)
  Notez que la version Server Core de Windows Server 2008 n’est pas supportée par le client FEP.
  Les versions : Windows 7 Starter, Windows Home Premium, Windows Vista Basic, Windows Vista Home Premium, Windows XP Home Edition supportent l’installation manuelle des clients mais ne peuvent recevoir les stratégies (policies) du serveur.
• Un client System Center Configuration Manager fonctionnel. Le site auquel appartient le client SCCM doit avoir un serveur FEP installé.
• Windows Installer 3.1
• Le package de correctifs de gestionnaire de filtre pour Windows XP SP2 (KB914882)
• WFP (Windows Filtering Platform) un pilote de correctif logiciel cumulatif pour Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2 (KB981889)
• Windows Update

L’installation du client Forefront EndPoint Protection procède à la désinstallation automatique des antivirus suivants si ceux-ci sont présents sur la machine :

• Symantec Endpoint Protection version 11
• Symantec Corporate Edition version 10
• McAfee VirusScan Enterprise version 8.5 and version 8.7 and its agent
• Forefront Client Security version 1 and the Operations Manager agent
• TrendMicro OfficeScan version 8 and version 10

Vous trouverez plus d’informations sur les prérequis de déploiements du client Forefront EndPoint Protection sur : http://technet.microsoft.com/en-us/library/ff823900.aspx

 3.2 Installation

Après avoir revu les prérequis, nous allons pouvoir commencer la procédure de déploiement de masse du client. Nous n’aborderons pas dans cet article l’installation manuelle du client. Pour cela, je vous renvoie vers la documentation Technet : http://technet.microsoft.com/en-us/library/ff823774.aspx ou http://technet.microsoft.com/en-us/library/gg412485.aspx

 3.2.1 Distribution du package

Après avoir installé Forefront EndPoint Protection vous disposez des packages et des programmes nécessaires à l’installation du client. Néanmoins, vous devez d’abord rendre disponible ce package sur les points de distribution de votre environnement. Pour cela, ouvrez la console d’administration System Center Configuration Manager 2007. Déroulez l’arborescence : Site Database => Computer Management => Software Distribution => Package => Microsoft Corporation FEP – Deployment 1.0 => Distribution Points :

Cliquez droit sur le nœud Distribution Points et sélectionnez New Distribution Points. L’assistant s’ouvre, passez l’écran de bienvenue.
A l’étape Copy Package, sélectionnez les points de distribution sur lesquels vous souhaitez rendre disponible le package :

Après avoir fermé l’écran de confirmation, dirigez-vous dans Package Status => Package Status => <SITECODE> - <SITENAME> et validez que le package a bien été déployé sur le point de distribution :

 3.2.2 Création de la publication

Maintenant que le package est disponible nous allons pouvoir créer la publication nécessaire à la distribution et l’installation du client FEP sur les machines. Pour cela, dirigez-vous dans le nœud Programs  du package Microsoft Corporation FEP – Deployment 1.0. Cliquez droit sur le programme Install, sélectionnez Distribute puis Software.

Passez l’écran de bienvenue, vous pouvez ensuite choisir quelle collection sera la cible du déploiement. Vous pouvez ainsi cibler une collection existante ou créer une nouvelle collection. FEP nous fournit des collections proposant des requêtes dynamiques. Parmi celles-ci, on retrouve des collections donnant le statut du déploiement.  L’utilisation de la collection « Not Targeted » permet de cibler les clients Configuration Manager ne disposant pas déjà du client FEP.

Spécifiez ensuite le nom de la publication et le commentaire associé :

La page suivante permet de configurer le comportement de la publication vis-à-vis des sous collections. Par défaut la publication est propagée et héritée par les clients des sous collections de « Not Targeted ».

L’étape Advertisement Schedule permet de spécifier les informations (date et heure) de publication du programme et si celui-ci doit expirer :

Sur l’écran Assign Program, cochez « Yes, assign the program” et spécifiez les informations d’assignement (date et heure) :

Validez le résumé et la confirmation pour procéder à la création de la publication.

Dans l’état cette publication assigne et procède à l’installation du client sur les postes de travail dès que possible. Le programme est configuré pour s’exécuter en silencieux sans qu’aucune notification ne dérange l’utilisateur.

 3.2.3 Validation du déploiement

On se connecte sur le client et on rafraichie les différentes stratégies afin de récupérer les ordres de publication. Après quelques minutes, on peut confirmer que plusieurs processus sont en cours d’exécution : cscript.exe, epplauncher.exe, FEPInstall.exe.

On retrouve aussi un dossier caché à la racine du disque local contenant l’ensemble des binaires nécessaires à l’installation :

Après installation, le client FEP procède à la récupération des mises à jour auprès de son serveur :

L’installation du client a opéré l’installation du correctif de sécurité WPF (KB981889) :

Sur le client toujours, vous retrouvez différents fichiers de journalisation relative au client Forefront EndPoint Protection 2010. Ceux-ci sont stockés dans :

• %ProgramData%\Microsoft\Microsoft Security Client\Support pour Windows 7, Windows Server 2008, et Windows Server 2008 R2
• %allusersprofile%\Microsoft\Microsoft Security Client\Support pour Windows XP, Windows Vista, et Windows Server 2003

Source : Technet

Sur la console d’administration Configuration Manager, vous pouvez aussi suivre les différents états des machines lors du déploiement du client SCCM avec la collection Deployment Status et ses sous collections :

• Removed : Les ordinateurs dans cette collection sont des machines qui disposaient du client FEP avant qu’ils soientt désinstallés manuellement.
• Failed liste les machines où le déploiement a échoué
• Pending : comporte les machines où le déploiement n’a pas encore démarré. Ceci peut se traduire par des machines connectées n’ayant pas encore reçu la publication.
• Out of date : donne les machines disposant d’un client FEP d’une ancienne version
• Deployed : liste toutes les machines où le client s’est correctement déployé.

 3.3 Présentation du client

Voici quelques informations importantes prenant part lors de l’installation du client Forefront EndPoint Protection :

• Le client s’installe automatiquement dans le dossier %programfiles%\Microsoft Security Client
• L’installation du client active automatiquement Windows Update et configure l’installation automatique des mises à jour.

Notez que pour les serveurs de fichiers, il peut être important de désactiver la protection en temps réel pour éviter des problèmes de performance.  Pour cela, vous devez créer une stratégie spécifique à ces machines.

Le client Forefront est constitué de plusieurs parties :

La page d’accueil permet d’avoir un bref aperçu de l’état du client et des définitions antivirales. Il est possible à partir de cet écran de lancer des opérations de scan (complet ou partiel).

La page Update permet de connaître la date de création des définitions, la date de dernière vérification et les versions des définitions de virus et de logiciels malveillants. Il est possible d’initier à partir de cet écran, la procédure de mise à jour du client via Microsoft Update, WSUS et les différents cheminS UNC renseignéS comme source des définitions.

L’écran History permet de visualiser l’ensemble des objets détectés par Forefront EndPoint Protection comme potentiellement nuisibles.

La page Settings permet de configurer l’ensemble des paramétrages du client Forefront EndPoint Protection. On retrouve ainsi :

• Les programmations des scans
• Les actions par défaut lorsqu’une menace est trouvée
• Les paramétrages de la protection en temps réel
• Les répertoires ou fichiers exclus de la recherche
• Les types de fichiers exclus de la recherche
• Les processus exclus de la recherche
• Les paramétrages avancés (notifications, paramétrages de recherche, suppression des fichiers…)

Par défaut, la stratégie dédiée au poste de travail n’autorise aucune modification de paramétrage.

 3.4 Test de l'antivirus

Cette partie traite du test de l’antivirus Forefront EndPoint Protection. Nous allons soumettre celui-ci au test EICAR fournit par le groupe européen de la sécurité Informatique. Ce fichier est un faux négatif utilisé pour tester les antivirus. Il n’a aucune incidence sur le système. Depuis sa création en 2006, ce fichier de test a été largement utilisé et n’a plus vraiment d’intérêt. Il permet néanmoins de tester la fonction de protection en temps réel avec analyse du flux http et https pour détecter ce genre de menace juste après le téléchargement. Il a aussi servi à générer les alertes fournies par Forefront que vous verrez plus loin dans cet article.

Dirigez-vous sur http://www.eicar.org :

Il est possible de tester l’antivirus en téléchargeant les fichiers zippéS ou non sur les protocoles http/https. Une fois le téléchargement lancé, le client Forefront EndPoint Protection lève une alerte et propose de nettoyer la machine :

L’action de nettoyage proposée est la suppression du fichier incriminé. Vous pouvez changer d’action en fonction du niveau de sévérité détecté et appliquer les actions.

Une fois l’action terminée, Forefront vous donne le statut de l’action :

Vous pouvez ensuite visualiser dans l’historique du client, l’ensemble des éléments qui ont été détectés et les différentes actions qui ont été appliquées :

De la même manière si on désactive la protection en temps réel et qu’on télécharge le fichier, celui-ci n’est pas neutralisé lors du téléchargement mais lors de l’analyse de la machine :

Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx

2. Implémentation : Installation du serveur

Cette partie va traiter l’installation de la solution serveur de Forefront EndPoint Protection. Vous pourrez y retrouver les différents prérequis et la procédure d’installation.

 2.1 Prérequis

 2.1.1 Prérequis Matériel

Les prérequis matériels nécessaires à l’installation d’un serveur Forefront EndPoint Protection sont les suivants :

• Mémoire : 2GB de RAM
• Espace disque disponible :
  • Serveur FEP : 600 MB
  • Base de données FEP : 1.25 GB
  • Base de données des rapports FEP : 1.25 GB

Il est à noter que les prérequis peuvent varier en fonction de la répartition des rôles ou de la charge imposée au serveur.

 2.1.2 Prérequis Logiciels

L’installation de l’infrastructure Forefront EndPoint Protection 2010 nécessite certains prérequis parmi les suivants :

• Système d’exploitation : Windows Server 2003 SP2 ou plus 
• Aucune version de FEP ne doit être installée sur le serveur
• Aucune autre protection antivirus doit être installé sur le serveur
• Windows Installer 3.1 ou plus doit être présent
• Le .NET Framework 3.5 SP1 doit être installé
• Les Prérequis SQL Server :
  • Vous pouvez utiliser : SQL Server 2005 SP3 Standard ou Entreprise, SQL Server 2008 Standard ou Entreprise, SQL Server 2008 R2 Standard ou Entreprise.
  • Le SPN (Service Principal Name) du compte de service exécutant SQL Server doit être enregistré auprès du domaine. Pour plus d’informations, je vous renvoie sur : http://technet.microsoft.com/fr-fr/library/bb735885.aspx
  • Le service de l’agent SQL Server doit être lancé et dans un mode de démarrage automatique.

•  
  • Le compte utilisateur exécutant l’installation de FEP sera propriétaire des bases de données et jobs suivants :
    • FEPDB_XXX (database)
    • FEPDW_XXX (database)
    • FEP_DataWarehouseMaintenance_FEPDW_XXX (job)
    • FEP_DB_Maintenance_FEPDB_XXX (job)
    • FEP_GetNewData_FEPDW_XXX (job)
    • FEP_GetNewDataOnInstall_FEPDW_XXX (job)

•  
  • SQL Server Analysis Services :
    • Le compte utilisateur exécutant l’installation de FEP doit faire partie du rôle « server administrator » sur le serveur SQL Server Analysis.
    • Ce service doit être installé sur le même serveur et sur la même instance SQL Server qui héberge la base de données de Reporting. Ce scénario doit être envisagé si vous souhaitez éclater les rôles Forefront EndPoint Protection.
    • L’ordinateur exécutant SQL Server Analysis Services doit disposer des exceptions firewall suivantes :
      • SQL Server (TCP 1433) ouvert pour le traffic entrant
      • SQL Server Analysis Services (TCP 2383) ouvert pour le traffic entrant
        Pour plus d’informations sur la configuration Firewall pour l’accès à SQL Server, rendez-vous sur : http://go.microsoft.com/fwlink/?LinkId=128365
         
  • SQL Server Reporting Services doit être installé et correctement configuré pour assurer la fonctionnalité de rapports
    
    
  • SQL Server Integration Services doit être installé

• System Center Configuration Manager 2007 Service Pack 2 doit être installé avec l’ensemble des rôles par défaut. La fonctionnalité Reporting Services de SCCM R2/R3 doit être installée et convenablement configurée.
• Les agents du client Configuration Manager suivants doivent être activés et configurés :
  • Hardware Inventory
  • Advertised Programs
  • Desired Configuration Management

Pour activer ces agents, ouvrez la console d’administration System Center Configuration Manager sur le site où vous souhaitez installer Forefront EndPoint Protection. Déroulez l’arborescence Site Database => Site Management => <SITECODE> - <SITENAME> => Site Settings => Client Agents :

Ouvrez les différents agents cités plus haut et assurez-vous que ceux-ci sont activés et correctement configurés :

• Les machines où vous installerez les composants d’extension de la console Configuration Manager 2007 pour Forefront EndPoint Protection 2010 (ceci inclut la console du serveur de site, les consoles sur les postes des administrateurs…) nécessitent l’installation de la KB2271736 afin d’ajouter la classe WMI ManagementClass. Vous pouvez télécharger la mise à jour à partir de ce lien : http://go.microsoft.com/fwlink/?LinkId=203936
• Aucun redémarrage ne doit être en attente avant de commencer l’installation de Forefront EndPoint Protection.

Vous trouverez plus d’informations sur les prérequis sur la documentation Technet : http://technet.microsoft.com/en-us/library/ff823830.aspx

L’installation et la configuration de ces prérequis (SQL Server…) afin d’assurer la validité de l’installation de Forefront EndPoint Protection ne sera pas détaillée dans cet article.

Pour ce qui est de la gestion des sites Configuration Manager au travers d’une hiérarchie avec Forefront EndPoint Protection 2010, je vous renvoie vers le lien de la documentation Technet : http://technet.microsoft.com/en-us/library/gg412503.aspx

 2.2 Installation

Procurez-vous les sources de Forefront EndPoint Protection 2010 dans l’architecture de la machine où vous aller installer le produit. Lancez l’exécutable « serversetup.exe ».

Une fois l’assistant d’installation ouvert, renseignez les informations d’enregistrement du produit :

Sur l’écran suivant, acceptez les termes du contrat de licence :

La page suivante vous propose les options d’installation. On retrouve 4 types d’installation :

• Basic Topology : Cette topologie est la plus simple. Elle permet l’installation de l’ensemble des composants (base de données, extension du serveur de site SCCM, extension de la console et composants de reporting) sur le serveur de site SCCM. Elle permet ainsi de centraliser l’ensemble des fonctionnalités sur une même machine et réduit ainsi les étapes de configuration de l’assistant.
• Basic topology with remote reporting database permet l’installation de l’extension du serveur de site, de la base de données FEP, de l’extension de la console, et des composants de rapports sur le serveur en cours. Elle permet néanmoins le déport de la base de données de Reporting (Data warehouse) sur une autre machine.
• Advanced topology autorise la personnalisation complète de l’installation. Vous pouvez ainsi choisir de répartir les rôles comme bon vous semble. 
• Install only Configuration Manager Console Extension for FEP 2010 rend possible l’installation seule de l’extension Forefront EndPoint Protection 2010 pour la console Configuration Manager 2007. Cette option se prête généralement au scénario permettant aux administrateurs de la solution de mettre à jour la console sur leur poste de travail.

Dans le cadre de cet article, nous aborderons le cas le plus général : La topologie basique. Nous allons donc concentrer l’ensemble des rôles sur une seule et unique machine : notre serveur de site SCCM. Néanmoins, nous allons passer par l’option d’installation la plus personnalisable à savoir Advanced Topology pour détailler au mieux les options offertes.

Sur l’écran suivant, vous pouvez choisir ce que vous souhaitez installer :

• Configuration Manager Site Server FEP 2010 Extension : L’extension FEP pour le serveur de site permet l’ajout des collections FEP, des packages et programmes, des lignes de base FEP pour la gestion des configurations désirées. Cette option d’installation doit être exécutée sur le serveur de site SCCM.
• FEP 2010 Reporting and Alerts permet l’installation des composants de supervision de l’infrastructure FEP. Si vous n’installez pas ce composant sur le serveur de site SCCM, vous devez configurer les permissions DCOM adéquates pour l’accès aux consoles. Vous pouvez pour cela consulter le lien suivant : http://technet.microsoft.com/en-us/library/gg477021.aspx#BKMK_ToInstallFEP2010ReportingAndAlerts.  
  Notez que cette option installe le client FEP 2010 sur la machine avec des paramétrages personnalisés.
• Configuration Manager Console Extension for FEP 2010 installe les fichiers nécessaires à l’intégration des composants d’administration dans la console System Center Configuration Manager 2007.

La page suivante permet la configuration des informations de la base de données FEP. Celle-ci doit être installée sur le même serveur/instance qui héberge la base de données Configuration Manager. Vous pouvez personnaliser le nom de la base de données FEP :

L’écran Reporting Configuration permet de spécifier les informations nécessaires à l’installation des fonctionnalités de Reporting. Vous pouvez ainsi y entrer le nom du serveur, l’instance et le nom de la base de données qui hébergeront les données de Reporting (Data warehouse). Enfin vous devez spécifier les informations du compte utilisé par le serveur de rapport pour accéder à la base de données de Reporting FEP 2010.

L’étape suivante vous permet de configurer les options de mise à jour du produit et de participation au programme d’amélioration :

La page suivante vous permet de joindre le programme Microsoft SpyNet. Ce programme est une initiative de Microsoft comme il en existe chez ses concurrents permettant de rejoindre une communauté afin d’enrayer la propagation des logiciels malveillants et indésirables.  Le programme permet par exemple d’être avisé des logiciels non analysés et de savoir si les autres membres ont permis ou refusés les changements initiés par ceux-ci. Le programme permet notamment à Microsoft de détecter plus rapidement les menaces et ainsi de consolider les besoins d’analyse sur les véritables alertes.
On distingue deux types d’abonnements :

• Basic SpyNet membership permet d’envoyer à Microsoft des informations concernant les logiciels malveillants détectés. Ces informations peuvent être l’origine du logiciel, l’action entrepris, son échéance (succès ou échec) .
• Advanced SpyNet membership  permet d'être avisé des logiciels dont les risques n'ont pas été analysés, vous pouvez voir si d'autres membres de la communauté permettent ou refusent les logiciels ou les changements effectués par les logiciels. Ces informations peuvent vous aider à prendre votre décision. De la même façon, vos choix sont ajoutés aux différents classements et aident les autres membres à prendre une décision. Vous pouvez être averti face à un logiciel qui n'a pas encore été classé en fonction des risques.

L’écran suivant permet de spécifier le répertoire d’installation et d’obtenir une vision des prérequis d’espace disque :

L’étape suivante correspond à la vérification des prérequis. Si vous avez raté un prérequis, vous obtiendrez un écran avec des erreurs comme suit :

Vous pouvez obtenir plus de détail sur l’erreur en cliquant sur « More… ». Ceci vous permettra de résoudre le problème :

Sinon si vous avez suivi la partie 2.1.2 et correctement configuré l’ensemble des prérequis cités vous devez obtenir l’écran suivant :

L’écran qui suit correspond au résumé d’installation. Vous pouvez rapidement revoir les différentes options et procéder à l’installation :

Lorsque l’installation est déroulée, l’ensemble des composants doivent être installés avec succès :

Avant de fermer l’assistant d’installation, vous pouvez vérifier les mises à jour sur Microsoft Update. Vous devrez ensuite procéder au redémarrage de l’ordinateur pour finaliser l’installation :

Vous pouvez consulter les fichiers de journalisation liés à l’installation dans : c:\ProgramData\Microsoft Forefront\Support\Server\ServerSetup_<Date>_<Heure>.log

 2.3 Migration FCS vers FEP

Comme expliqué plus tôt, Forefront EndPoint Protection 2010 introduit un véritable changement dans le fonctionnement de la gamme d’antivirus pour entreprise de Microsoft. Contrairement à Forefront Client Security (FCS) qui était construit sur une version spécifique de Microsoft Operations Manager (MOM) 2005 ; FEP 2010 est lui construit sur la base de la gamme System Center. De ce fait, ceci implique des changements en profondeur.

Forefront EndPoint Protection 2010 ne permet pas une migration à proprement parler avec des scénarios In-Place ou Side-by-Side.

Voici la marche à suivre :

1. Dans la console FCS, documentez l’ensemble des paramétrages de chacune des stratégies que vous utilisiez pour pouvoir ensuite les recréer dans FEP.
2. Dans WSUS, désactiver l’approbation sur les packages d’installation FCS.
3. Installez Forefront Endpoint Protection avec votre infrastructure System Center Configuration Manager 2007
4. Recréez les stratégies FEP avec les paramétrages que vous avez documentés en amont sur votre serveur FCS.
5. Déployez massivement le client FEP. Celui-ci procédera à la migration de vos postes de travail en désinstallant le client FCS et en procédant à l’installation du nouveau client FEP.
6. Désinstallez ensuite l’infrastructure FCS une fois que l’ensemble des clients auront été migrés sur FEP.

 2.4 Migration FCS vers FEP

L’installation de Forefront EndPoint Protection 2010 (FEP) correctement déroulée, vous pouvez ouvrir la console d’administration de System Center Configuration Manager 2007.
Nous allons détailler dans cette partie les brefs changements apportés à la console d’administration.

Déroulez l’arborescence Site Database => Computer Management => Collections.
On retrouve ainsi une collection FEP Collections contenant différentes sous collections. Ces sous collections sont bloquées et ne peuvent être supprimées. Le contenu des requêtes dynamiques ainsi que les paramétrages sont eux aussi non modifiables. Ces collections permettent ainsi de vous donner un aperçu de l’état des clients avec notamment des informations sur :

• L’état des définitions (date)
• L’état du déploiement du client FPS (En échec, En attente, déployé, non ciblé…)
• Une collection dédié aux opérations ; Cette collection peut être utilisé pour toutes les opérations sur le client FEP (Lancement d’un scan …)
• L’état de la distribution des stratégies (distribuée, en attente, en échec)
• L’état de la protection (Activé, non reportée, service désactivé)
• L’état de la sécurité (Scan complet requis, infecté, redémarrage requis …)

Toujours dans l’arborescence Site Database => Computer Management. Vous retrouvez le nœud Forefront EndPoint Protection :

Dans la partie Software Distribution, on retrouve trois packages :

• Microsoft Corporation FEP –Deployment 1.0 contient deux programmes permettant l’installation et la désinstallation du client FEP.
• Microsoft Corporation FEP – Operations 1.0 fournit trois programmes fournissant différentes opérations de maintenance
• Microsoft Corporation FEP – Policies 1.0 fournit deux programmes permettant d’appliquer les politiques par défaut.

Associé à ces packages, on retrouve deux dossiers dédiés aux publications : FEP Operations et FEP Policies.

Nous détaillerons le nœud Forefront EndPoint Protection ainsi que les packages plus loin dans l’implémentation.

Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx

1. Théorie

 1.1 Historique

Microsoft s’est lancé en 2006 dans le secteur des logiciels antivirus avec Windows OneCare Live. Ce logiciel destiné aux particuliers disposait d’un mode de licence particulier offrant la possibilité de l’installer sur 3 ordinateurs dans un seul foyer. Au terme d’un premier renommage pour intégrer la suite Windows Live. Windows Live OneCare fut arrêté en novembre 2008. Microsoft n’abandonna pas cependant l’idée de se lancer sur ce marché jusqu’alors principalement occupé par Symantec. En parallèle, la stratégie de Microsoft fut ensuite différente puisque la firme de Redmond s’est consacré au marché des antivirus d’entreprise en proposant Microsoft Client Protection en 2005. Cette première version fut ensuite renommée en 2007 : Forefront Client Security (FCS). Cet antivirus reprenant les bases de OneCare fut couronné de succès grâce à la stratégie agressive de Microsoft sur le prix des licences. Fin 2009, Microsoft se relance dans l’aventure de l’antivirus dédié aux particuliers. Fort de son succès avec FCS, Microsoft lance Windows Security Essentials, un antivirus gratuit. Le monde de l’informatique fut agréablement surpris de la qualité de l’antivirus et de ses performances générales. Aujourd’hui, FCS se fait vieux et les attentes sont nombreuses. C’est ainsi que Microsoft annonce début 2010 la sortie d’une nouvelle version de son antivirus d’entreprise qui sera rebaptisée : Forefront EndPoint Protection.

 1.2 Présentation

Forefront EndPoint Protection 2010 signe un changement dans le fonctionnement de la gamme d’antivirus pour entreprise de Microsoft. Contrairement à Forefront Client Security (FCS) qui était construit sur une version spécifique de Microsoft Operations Manager (MOM) 2005 ; FEP 2010 est lui construit sur la base de la gamme System Center.
Ainsi, le produit est séparé en deux modules :

• Forefront EndPoint Protection 2010 : Ce module est le corps du produit. Il s’intègre à System Center Configuration Manager 2007 pour offrir les outils nécessaires à l’administration quotidienne des clients (déploiement de l’agent, application des stratégies…).
• Forefront EndPoint Protection 2010 Security Management Pack anciennement connu sous le nom Forefront EndPoint Protection for Server (FEP-S) durant les phases de bêta. Ce module est un pack d’administration (MP) qui s’intègre à System Center Operations Manager 2007 pour offrir une couche de supervision des services d’alerte FEP, des jobs de l’agent SQL qui copie les données de la base de données FEP vers le Data Warehouse FEP, ou encore les événements générés par les serveurs FEP.

Note : Nous n’aborderons pas l’implémentation de Forefront EndPoint Protection 2010 Security Management Pack dans cet article.

 1.3 Fonctionnement

L’infrastructure Forefront EndPoint Protection 2010 est constituée des éléments suivants :

• La base de données Forefront EndPoint Protection 2010 : La base de données FEP stocke toutes les informations d’état renvoyées par les clients, les collections, les appartenances aux collections, les stratégies, etc…
• La base de données de Reporting Forefront EndPoint Protection 2010 : La base de données de Reporting correspond au Data WareHouse (entrepôt de données) qui stockera les données nécessaires aux rapports).
• Le serveur de site Configuration Manager et son extension pour FEP 2010: Ce rôle correspond au serveur de site System Center Configuration Manager. Il ajoute simplement les composants nécessaires à l’administration de FEP avec SCCM. Ceci inclut les collections FEP, les packages et programmes, les lignes de base FEP pour la gestion des configurations désirées.
• FEP 2010 Reporting and Alerts permet l’installation des composants de supervision de l’infrastructure FEP.
• La console Configuration Manager et son extension pour FEP 2010 correspond à l’extension de System Center Configuration Manager 2007 nécessaire à l’intégration de FEP.

L’administrateur du parc informatique gère tout à partir de la console d’administration Configuration Manager. Les stratégies et les opérations sont appliquées au client FEP au travers du client SCCM. Le client FEP remonte son état en utilisant des lignes de base primordiales au fonctionnement du produit. Ces données sont stockées dans la base de données FEP. En parallèle l’administrateur peut aussi utiliser des lignes de base par défaut pour connaître l’état de conformité du client. De manière régulière, une opération de stockage a lieu afin de synchroniser la base de données FEP avec l’entrepôt de données (Data WareHouse) utilisé pour les rapports.

 1.4 La haute disponibilité

Comme expliqué plus tôt, Forefront EndPoint Protection 2010 est une couche supplémentaire apportée à System Center Configuration Manager. Ceci fait de Forefront EndPoint Protection 2010 un piètre élève dans la cours des produits hautement disponible puisque celui-ci est dépendant des services de System Center Configuration Manager. En effet, il est difficile de rendre SCCM hautement disponible. Vous pouvez rendre certains rôles hautement disponibles comme le Management Point, le Software Update Point, ou la base de données. Néanmoins, le serveur de site ne peut faire partie de ce plan.

Microsoft recommande l’utilisation :

• D’un cluster SQL Server pour la base de données de reporting Forefront EndPoint Protection
• Des Management Packs System Center Operations Manager pour superviser les services Forefront EndPoint Protection

Pour plus d’informations, rendez-vous : http://technet.microsoft.com/en-us/library/gg412484.aspx

 1.5 Plan de reprise d’activité

Le plan de reprise d’activité doit prendre en compte la sauvegarde préalable des différents composants comme notamment System Center Configuration Manager 2007. Celle-ci est assurée par une tâche de maintenance qui sauvegarde à la fois la base de données mais aussi l’ensemble des fichiers de configuration nécessaires. Dans le cadre de Forefront EndPoint Protection, cette tâche sauvegarde les stratégies, les paramétrages effectués dans SCCM et les publications.
Vous devez aussi sauvegarder la base de données de reporting Forefront EndPoint Protection (FEPDW_<SITECODE>) en utilisant la solution de sauvegarde SQL Server.

Microsoft propose ensuite deux procédures de restauration.
La première concerne la restauration du site System Center Configuration Manager quand il est victime d’un « Crash », il est alors nécessaire de le remplacer. Vous devez enchainer les étapes suivantes :

1. Restaurer System Center Configuration Manager
2. Restaurer la base de données de Reporting si cela est nécessaire
3. Installer Forefront EndPoint Protection en utilisant l’option « reuse existing database »

La seconde procédure est à utiliser lorsque le serveur de la base de données de reporting Forefront EndPoint Protection est devenu indisponible. Vous devez suivre les étapes :

1. Restaurer SQL Server et la base de données de rapport FEP
2. Désinstaller la fonctionnalité de reporting FEP sur le serveur où elle est installée.
3. Installer Forefront EndPoint Protection en utilisant l’option « reuse existing database »

Pour plus d’informations, consultez : http://technet.microsoft.com/en-us/library/gg477037.aspx

 1.6 Licensing

Forefront EndPoint Protection 2010 dispose de licences pour l’infrastructure serveur et pour les clients. Les clients peuvent utiliser des licences par utilisateur ou par périphérique. En parallèle, les licences pour System Center Configuration Manager R2 ou R3 sont nécessaires pour gérer centralement les clients.

On distingue deux suites de produit :

La suite Entreprise inclut les licences nécessaires pour System Center Configuration Manager et pour le système d’exploitation.

Côté client, les prix annoncés sont les suivants :

Revenir au plan : http://microsofttouch.fr/blogs/js/pages/forefront-endpoint-protection-2010-introduction.aspx

En août 2003 alors que les administrateurs systèmes étaient en d’avantage exposés à la lumière du soleil qu’à celle de leur écran d’ordinateur ; MS Blaster l’un des fléaux informatiques les plus célèbres commençait à envahir le monde de l’entreprise. Celui-ci allait changer radicalement la vision de la sécurité au cœur des entreprises en lançant une prise de conscience générale.  A l’heure du passage en 2011, il n’est pas envisageable qu’une entreprise ne protège pas son parc informatique par un système anti-logiciel malveillant performant. Fin 2010, Microsoft annonçait la sortie de la nouvelle version de sa solution antivirale. Forefront EndPoint Protection était attendu depuis près de 3 ans avec des attentes fortes en matière d’administration. Cette nouvelle version change de stratégie en proposant une intégration complète à la gamme System Center au travers de System Center Configuration Manager (SCCM) 2007 et System Center Operations Manager (SCOM) 2007.
Vous verrez dans cet article comment implémenter Forefront EndPoint Protection et comment l’utiliser au quotidien. Nous verrons les différents avantages et inconvénients de cette solution et les avancées proposées.

Notez que cet article n’abordera pas l’implémentation de Forefront EndPoint Protection 2010 Security Management Pack. C’est-à-dire l’implémentation des Management Packs dans une infrastructure System Center Operations Manager.

Level : 200

Connaissances pré requises : System Center configuration Manager 2007, Windows Server Updates Services.

Plan :
1. Théorie
2. Implémentation : Installation du serveur
3. Implémentation : Installation du client
4. Implémentation : Administration

            4.1 Gestion des stratégies (Policies)
            4.2 Gestion des mises à jour
            4.3 Gestion des opérations
            4.4 Gestion des alertes
            4.5 Gestion des rapports
            4.6 Gestion des configurations désirées

Conclusion

Ou Télécharger cet article au format numérique : ICI

Il y a plus de 25 ans (1985), Microsoft lançait Excel sur Apple Macintosh sans savoir que celui-ci allait changer la façon de travailler avec les nombres. 2010 signa le 25^ème anniversaire d’Excel sans faire de vagues en laissant la place à d’autres concepts comme le 5^ème anniversaire des réseaux sociaux.

Je vous propose de lire le très bon article de Thomas E. Weber sur Business Insider : http://www.businessinsider.com/how-microsoft-excel-changed-the-world-2010-12

Voici une rétrospective d’Excel à travers les âges et les plateformes (Apple Macintosh, OS/2, et Windows) :

1985 - Excel 1.0 pour Apple Macintosh

1988 - Excel 1.5 pour Apple Macintosh

1987 - Excel 2.0 pour Windows

1990 - Excel 3.0 pour Windows

1992 - Excel 4.0 pour Windows

1993 - Excel 5.0 (Microsoft Office 4.2 et 4.3 et également une version 32-bit pour Windows NT tournant seulement sur PowerPC, DEC Alpha et MIPS OS)

1995 - Excel pour Windows 95 (version 7.0) – inclus aussi dans Microsoft Office 95

1997 - Excel 97 (version 8.0) - inclus aussi dans Microsoft Office 97 (x86 et aussi DEC Alpha version)

1999 - Excel 2000 (version 9.0) inclus aussi dans Office 2000

2001 - Excel 2002 (version 10) inclus aussi dans Office XP

2003 - Excel 2003 (version 11) inclus aussi dans Office 2003

2007 - Excel 2007 (version 12) inclus aussi dans Office 2007

2010 - Excel 2010 (version 14) inclus aussi dans Office 2010 sortie le 12 mai pour les professionnels et au mois de juin pour les particuliers

2010 - Excel 14.0 (Office 2011 pour Mac)

(Source : Wikipedia)

La fonctionnalité Prestaged Images est arrivée avec la Release 3 de System Center Configuration Manager 2007. Ceci permet de transmettre l’image à un intégrateur OEM afin qu’il la stocke sur le disque dur des machines qui seront livrées. Ceci accélère le déploiement de système d’exploitation et réduit la charge réseau notamment pour les sites distants disposant de connexion Internet bas débit. La fonctionnalité permet donc le déploiement de système d’exploitation là où les machines ne pouvaient pas jusqu’à présent être provisionnées.

L’équipe du support SCCM vient de publier un article expliquant comment appliquer l’image manuellement et automatiquement (via séquence de tâches) sur le disque dur d’une machine.

Pour plus de détails, je vous invite à lire l’article : http://blogs.technet.com/b/configurationmgr/archive/2011/01/11/how-to-stage-task-sequence-prestaged-media-on-a-hard-drive-in-configuration-manager-2007.aspx

La Release 3 de System Center Configuration Manager 2007 apporte son lot de nouveautés (voir article) avec principalement l’arrivée de la gestion de l’énergie ou encore de la découverte Delta d’Active Directory. De ce fait, l’assistant de transfert des paramétrages de site a été mis à jour pour prendre en compte ces nouveautés.

L’équipe du support vous propose un billet complet expliquant les changements engendrés sur les propriétés lorsque ces options sont sélectionnées. On distingue un comportement R3 et pré-R3.

Pour plus de détails, je vous laisse lire l’article en question : http://blogs.technet.com/b/configmgrteam/archive/2011/01/10/what-s-new-in-the-configuration-manager-2007-r3-transfer-site-settings-wizard.aspx  

L’équipe System Center Service Manager vient d’annoncer la sortie d’un nouveau connecteur faisant partie du kit de ressources. Ce connecteur permet de traiter les emails envoyés à une boite email. Ces emails sont convertis en nouveaux incidents. Les réponses sont utilisées comme mise à jour de l’incident. Il est aussi possible d’envoyer des emails aux utilisateurs concernant un incident à partir de la console d’administration.

Voici le détail des fonctionnalités :

• Create incident from email (replaces out of the box functionality; just turn it off)
  • The sending user is looked up in the CMDB and related to the incident as the affected user
  • The email subject becomes the incident title
  • The email body becomes the incident description
• Update incident action log from email
• Resolve or close incidents from email
• Approve/reject change requests from email
• Update change request “action log” from email
• Mark manual activities completed from email
• Add email file attachment to work items as attachments
• Emails can be sent in from outside the organization
• Emails can be sent from users which do not exist in the CMDB yet and a new user record will be created for them and related to the incident

Notez que cette solution n’est pas supportée officiellement par Microsoft et ne fait pas partie du produit.

Télécharger System Center Service Manager – Exchange Connector

Steve Rachui vient de publier un très bon article sur les messages d’état et leurs mécanismes dans System Center Configuration Manager.

Pour plus d’informations rendez-vous sur le blog de Steve Rachui : http://blogs.msdn.com/b/steverac/archive/2011/01/07/sccm-state-messaging-in-depth.aspx

A l’image de SMSTrace (Trace32 et Trace64), JonJor (Ingénieur Support Microsoft) vient de publier un équivalent pour System Center Virtual Machine Manager. VMMTrace est le dernier recours lorsque vous ne trouvez pas de solution. Il permet la capture des événements systèmes, Kernel, WIN32.

Télécharger VMMTrace sur Jonathan’s Virtual Blog

Microsoft vient de publier le premier Patch Tuesday de l'année 2011. Il comporte 2 bulletins de sécurité, dont un seul qualifié de critique. Il corrige des vulnérabilités sur la gamme Office, sur Windows, sur SharePoint et sur Exchange. 

Légende :

 : Bulletin Critique          : Bulletin Important           : Bulletin Modéré

Ces correctifs sont disponibles par Microsoft Update ou par le Centre de téléchargement Microsoft.

Retrouvez l'ensemble des informations relatives à ce bulletin de sécurité : Ici

Microsoft vient de publier une nouvelle version de l’extension SCAP pour System Center Configuration Manager. Security Content Automation Protocol (SCAP) fournit une méthode de gestion des standards afin de mesurer la conformité, la vulnérabilité. SCAP est une suite de certaines normes ouvertes qui, ensemble, offrent une méthode uniforme d'analyser les systèmes informatiques et automatiquement identifier, mesurer et évaluer les problèmes potentiels de sécurité. SCAP énumère les vulnérabilités des logiciels, des problèmes de configuration de sécurité, et les noms de produits sur des systèmes informatiques. SCAP prévoit également des mécanismes pour mesurer et classer (score) des résultats d'analyse pour évaluer l'impact des problèmes de sécurité découverts. SCAP est une initiative gouvernementale du NIST (National Institute of Standard and Technology) afin de construire le FDCC (Federal Desktop Core Configuration). Cette extension permet donc d’utiliser la fonctionnalité gestion des configurations desirées de SCCM pour scanner les ordinateurs et documenter leurs conformités avec le standard FDCC

Télécharger System Center Configuration Manager Extensions for SCAP

Microsoft a publié un guide de 300 pages expliquant comment déployer les produits Office 2010 en utilisant les stratégies de groupe (GPO). Ce guide explique aussi comment personnaliser les paramètres généraux et de sécurité de la suite Office 2010.

Télécharger For IT professionals: Group Policy for Microsoft Office 2010

L’équipe MED-V vient de publier un article sur l’importance de la valeur du paramètre UpdateServerProfileDirectory dans le fichier sysprep. La copie automatique des personnalisations du profile administrateur vers le profile utilisateur par défaut ne fonctionne pas avec Windows XP SP2 et SP3 (voir : http://support.microsoft.com/kb/959753).
Pour résoudre ce problème, l’équipe explique qu’il faut utiliser le paramètre cité plus haut comme suit :

[UNATTENDED]

UpdateServerProfileDirectory=1

Je vous laisse lire l’article pour obtenir plus détails : http://blogs.technet.com/b/medv/archive/2011/01/06/med-v-the-importance-of-setting-the-updateserverprofiledirectory-value-in-the-sysprep-inf-file.aspx

L’équipe du support MED-V vient de publier un article détaillé sur comment dépanner la phase de première configuration des Workspaces. Ainsi l’équipe vous explique quelles sont les méthodes qui vous permettront de trouver les problèmes lors de cette phase primordiale.

Je vous laisse lire l’article pour plus détails : http://blogs.technet.com/b/medv/archive/2011/01/05/a-more-granular-approach-to-troubleshooting-first-time-setup-of-workspaces-in-med-v-1-0.aspx

Normal 0 21 false false false FR X-NONE X-NONE

L’équipe System Center Operations Manager vient d’annoncer le support officiel de SQL Server 2008 Service Pack 2 pour la Release 2 de SCOM.
Le produit supporte l’installation de :

• La base de données Operations Manager
• La base de données Data WareHouse
• La base de données de collecte des données d’audit
• Reporting : Les rapports sont exécutés correctement depuis la console SCOM. Néanmoins un problème survient si vous les lancez depuis SQL Reporting Services. Ce problème sera résolu dans une future mise à jour cumulative.

Source : Blog SCOM

Microsoft vient d’annoncer qu’Opalis Integration Server était désormais enfin officiellement supporté. Ceci concerne la version 6.2.2 et les versions suivantes. Pour rappel, Opalis a été racheté par Microsoft en 2010. Ce produit est un ordonnanceur de tâches afin de lancer des traitements en fonction d’un planning mis en place par l’administrateur. Il est aussi possible de lancer des opérations lorsque certains événements se produisent.

Pour plus d’informations sur cette annonce, je vous invite à consulter l’article de la base de connaissance suivant : http://support.microsoft.com/default.aspx?scid=kb;en-US;2023123

Source : Blog Opalis

Microsoft vient de publier une mise à jour de son pack d’administration ou Management Pack (MP) pour Exchange Server 2010 pour intégrer les changements du Service Pack 1. System Center Operations Manager (SCOM) 2007 fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Télécharger Operations Manager Management Pack for Exchange 2010

Je vous en parle depuis plusieurs semaines ; je profite de 2011 pour mettre en ligne mon article sur P2V Migration for Software Assurance.
J'ai écouté les multiples demandes que certains ont pu me faire afin de fournir des versions numériques de mes articles.
Un autre article arrive très prochainement ... C'est une question de jours : Stay Tuned ;)

Voilà un an que Windows 7 est sorti. L’engouement qu’ont les entreprises pour ce nouveau système d’exploitation est sans précédent. Microsoft jouait une partie de son avenir suite à l’échec de Windows Vista.

 Coté entreprise, quels sont les problèmes rencontrés ? Les Services Informatiques ont parfois vieilli avec Windows XP et ceci a engendré une inertie des entreprises à trouver des solutions quant au maintien à jour des applications dans le parc informatique. Aujourd’hui les entreprises qui ont/vont migrer vers Windows 7 se sont posées/se posent les mêmes questions : Quelles sont les applications qui sont compatibles avec Windows 7 ? Microsoft et les différents éditeurs de logiciels maintiennent une liste visant à recenser les applications compatibles avec ce nouveau système.  Mais qu’en est-il pour les applications qui ne le sont pas ? Comment procéder à la migration de son parc tout en dressant les problèmes de mise en compatibilité des applications ? Comment traiter les cas/utilisateurs particuliers nécessitant des applications parfois onéreuses ? Vous aborderez dans cet article un nouvel outil : P2V Migration for Software Assurance fourni par Microsoft permettant de répondre à cette dernière question 

Cet article ne traitera pas de l’implémentation de P2V Migration for Software Assurance au travers de Microsoft Deployment Toolkit (MDT).

Level : 200

Connaissances pré requises : System Center configuration Manager 2007, Déploiement de systèmes d’exploitation, Microsoft Deployment Toolkit.

Lire l'article sur mon blog : http://microsofttouch.fr/blogs/js/pages/p2v-migration-introduction.aspx

Ou

Télécharger cet article au format numérique : ICI

Conclusion

Nous avons vu au travers de cet article une solution « gratuite » permettant aux entreprises bénéficiant de la Software Assurance de résoudre la problématique de mise en compatibilité des applications spécialisées. P2V Migration for Software Assurance est un bon complément aux solutions déjà fournies : Application Compatibility Toolkit, Microsoft Enterprise Desktop Virtualization. Elle permet d’assurer un processus de conversion physique à virtuelle du système d’origine. Les applications utilisées auparavant sont ensuite publiées au travers du menu démarrer. L’utilisateur peut les lancer et se voir déporter l’affichage afin de n’interagir qu’avec son nouveau système d’exploitation. Le processus de conversion s’intègre parfaitement au processus de migration du système d’exploitation et pousse un peu plus loin les limites de mise en compatibilité des applications. Il en reste un inconvénient majeur : le doublement de la gestion des systèmes d’exploitation. En effet, les utilisateurs se voient attribués deux systèmes d’exploitation qui doivent tous deux être mis à jour par l’administrateur du parc informatique. Ce problème ne reste tout de même que temporaire car P2V Migration for SA ne doit pas se substituer à une solution visant à rendre l’application compatible nativement au système d’exploitation.

Revenir au plan : http://microsofttouch.fr/blogs/js/pages/p2v-migration-introduction.aspx

6. Migration P2V

L’ensemble de l’infrastructure de déploiement est prête, nous allons pouvoir commencer la procédure de migration du système d’exploitation avec conversion P2V.

Notez que le client ciblé par la publication doit aussi disposer d’un client ConfigMgr opérationnel.

Dans ce scénario, je cible une machine équipée de Windows Vista Service Pack 2. Les applications Office 2007 et Adobe Reader sont installées et devront être utilisables au travers de la fonctionnalité Windows XP Mode.

On ouvre le panneau de configuration et le panneau permettant de lancer les publications SCCM. On y retrouve le programme que nous avons précédemment créé : « Dep TS x64 RefreshP2V Windows 7 Ent US». On exécute ce programme afin de lancer la migration.

La séquence de tâches se déroule. Nous allons décrire les tâches importantes dans la conversion P2V.
On retrouve ainsi la tâche Use Toolkit Package qui télécharge le package MDT incluant l’ensemble des scripts nécessaires à l’exécution de la séquence de tâches.

La tâche Capture Network Settings s’exécute.

La séquence de tâches exécute la tâche Request State Store afin de faire la demande d’un espace de stockage au State Migration Point :

La tâche est suivie par la capture et la collection des paramètres et données utilisateurs :

Ensuite la procédure de déploiement enchaine avec la capture du VHD en installant la mise à jour RemoteApp :

Enfin le déploiement télécharge l’image de démarrage et prépare l’environnement Windows PE pour le redémarrage de la machine :

L’environnement Windows PE démarre et procède à l’installation du système d’exploitation :

• Nettoyage du disque
• Application de l’image d’installation
• Application des paramétrages Windows
• Installation de Windows et du client ConfigMgr

Note : Certaines tâches ont été volontairement non citées

Une fois le système d’exploitation installé, la séquence de tâches atteint la partie restauration des données utilisateurs.
La première étape correspond à la demande de l’espace de stockage où sont stockées les données utilisateurs :

On enchaine ensuite avec la restauration de l’état utilisateur :

Ensuite, la procédure de restauration du VHD commence avec l’installation de Virtual PC et de la mise à jour pour s’affranchir de la virtualisation assistée par matériel :

Une fois ces prérequis installé, il devient possible de copier le fichier VHD sur le nouveau système d’exploitation :

Enfin, la procédure termine la migration en exécutant la tâche Release State Store pour signaler au serveur State Migration Point que la capture est terminée.

Vous devez ensuite vous connecter au nouveau système d’exploitation pour finir la procédure de migration P2V. Ouvrez le menu démarrer => Tous les programmes => Windows Virtual PC et lancez « Add Old Apps In VHD to Windows 7 »

Notez que l’utilisateur doit disposer des droits d’administration pour exécuter cette partie de la migration. Cet assistant se lance automatiquement dans tous les scénarios exceptés ceux proposés par System Center Configuration Manager ou les scenarios de jointure au domaine LTI Domain.

La fenêtre HTA s’ouvre et commence à chercher les différents fichiers nécessaires à la création de la machine virtuelle :

Vous pouvez suivre l’avancement des opérations avec une image de la machine virtuelle qui est remise à jour de manière régulière :

Vous pouvez suivre l’avancement de l’opération en ouvrant directement la machine virtuelle :

Une fois le démarrage terminé, un script est exécuté dans la machine virtuelle afin de procéder à l’installation des composants additionnels Virtual PC.

S’en suit plusieurs redémarrages pour terminer la préparation et procéder à la publication des applications dans le menu démarrer :

Une fois arrêtée, on peut remarquer que la migration est terminée et que l’ensemble des applications du menu démarrer de la machine virtuelle ont été publiées dans le menu démarrer de notre nouveau système Windows 7 :

On peut ensuite lancer une application ; l’étape de préparation peut procéder au démarrage de la machine virtuelle si celle-ci est éteinte.

Une fois l’application lancée, on remarque que son affichage est complétement déporté. On remarque ainsi que le thème de la fenêtre est celui d’Aero Basic dans Windows Vista et que l’icône correspond à celle de Virtual PC :

On peut tester le lancement d’applications Office 2007 comme Word ou Excel :

On écrit du texte que l’on va tenter de sauvegarder :

On remarque que l’application tente de sauvegarder le programme dans les documents de l’utilisateur sur le système Windows 7 et non pas dans les documents de la machine virtuelle :

On peut vérifier la présence du document dans le profil de l’utilisateur et tenter de l’ouvrir avec WordPad :

Enfin, on peut tenter d’ouvrir le Windows MarketPlace de Windows Vista. On remarque que c’est la version Internet Explorer 7 de Windows Vista qui s’ouvre. Un processus spécifique est créé comportant la mention : « (Remote) » :

Note : Si vous tentez d’éteindre le système d’exploitation ; celui-ci procède à la mise en veille prolongée de la machine virtuelle :

Revenir au plan : http://microsofttouch.fr/blogs/js/pages/p2v-migration-introduction.aspx

4. Limitations

Ce produit compte des limitations relatives aux différents outils utilisés :

• Virtual PC ne supporte que des disques virtuels inférieurs à 127 GB
• L’activation Windows XP peut seulement être effective si l’entreprise a installé elle-même le poste en utilisant un média de licence en volume (VL).
• La machine source ne peut être qu’un système d’exploitation 32 bits
• Le système d’exploitation source ne peut être qu’une édition Professionnelle/Entreprise/Intégrale.

Revenir au plan : http://microsofttouch.fr/blogs/js/pages/p2v-migration-introduction.aspx

5. Implémentation de P2V Migration for SA avec SCCM

Cette partie traite de l’implémentation de P2V Migration for Software Assurance avec le produit Microsoft System Center Configuration Manager 2007. Notez que le produit est aussi disponible au travers des processus de déploiement de Microsoft Deployment Toolkit 2010.

 5.1 Prérequis

Vous trouverez ici la liste des prérequis pour les entités suivantes :

• L’infrastructure de déploiement/migration
• L’ordinateur « source » cible de la migration Windows 7 et de la conversion P2V
• L’ordinateur après migration comportant la machine virtuelle du système d’exploitation avant migration

Pour plus d’informations, vous pouvez lire la Release Note.

 5.1.1 Infrastructure de déploiement/migration

Les prérequis nécessaires au déploiement Zero Touch en utilisant System Center Configuration Manager sont les suivants :

• Un environnement SCCM 2007 configuré pour faire du déploiement de systèmes d’exploitation. Ceci inclut :
  • WDS et PXE Service Point
  • Le rôle State Migration Point pour la migration des données utilisateurs et du disque VHD
  • Une image de déploiement
• MDT 2010 Update 1 installé et intégré à la console d’administration.
• Une connexion Internet ou alors les composants nécessaires pré-téléchargés et disposés dans C:\Program Files (x86)\P2V Migration for Software Assurance\Tools.

Pour plus d’informations sur la mise en œuvre d’un environnement SCCM configuré pour faire du déploiement de systèmes d’exploitation, vous pouvez acheter le livre suivant : Windows 7 Déploiement et Migration avec SCCM et MDT 2010.

 5.1.2 Ordinateur source cible du P2V

L’ordinateur client ciblé pour la conversion VHD doit remplir les prérequis suivants :

• Un système 32-bit suivant doit être installé : Windows 7 Professional, Windows 7 Enterprise, Windows Vista Business ou Windows Vista Enterprise avec SP1 ou SP2, ou Windows XP Professional avec SP3.
• L’ordinateur client doit être installé et actif en utilisant un media de licence en volume (Volume Licensing). L’Installation utilisant un média OEM n’est pas supportée.
• Windows doit être installé sur une seule partition sans une partition de boot ou système séparée. Note that this limitation should be resolved in a subsequent beta or the final release of P2V Migration for Software Assurance.
• Le disque dur doit être inférieur ou égal à 127 gigabytes (GB) quel que soit la quantité de données stockées dessus. Cette limitation provient de Windows Virtual PC. Par exemple, si l’ordinateur a un disque de 150 GB et a consommé seulement 20 GB de données (même si la partition fait moins de 127GB), P2V Migration ne fonctionnera pas.
• Le processus de P2V et de déploiement ne ciblera que le disque 0. Par défaut, seulement les partitions système et de démarrage sont ciblées. Les disques attachés comme USB, externe et volume de données sur l’emplacement Disk 0 ne seront pas converti.
• Pour les clients internationaux ciblant Windows XP par P2V Migration, il est recommandé d’installé KB961742-v3.exe en avance avec la version appropriée à la langue du système d’exploitation. Par défaut, P2V Migration installera la version du correctif en anglais ( KB961742-v3.exe) sur les ordinateurs Windows XP SP3 avant la conversion VHD.
• Les ordinateurs avec un chiffrement du disque dur doivent être déchiffrés avant la conversion P2V. L’opération est incompatible si le chiffrement de disque dur est seulement suspendu avant la conversion. Après l’installation de Windows 7, le chiffrement peut être activé sur le disque dur contenant le VHD converti.

 5.1.3 Ordinateur après migration

L’ordinateur après migration doit remplir les prérequis suivants:

• Windows 7 Professional ou Enterprise32-bit ou 64-bit
• Microsoft Software Assurance doit couvrir l’ordinateur afin de fournir des droits pour les installations VM (jusqu'à quatre par dispositif)
• Le matériel répond aux exigences minimales de Windows 7 avec Windows Virtual PC (2 Go de RAM recommandés)

Note: La virtualisation assistée par matériel n’est pas requise pour cette solution.   

 5.2 Installation de P2V Migration for Software Assurance

L’installation va procéder à l’ajout des modèles de séquence de tâches mais aussi du script ZTIRetro.wsf, des informations dans la console SCCM et du HTA d’import d’applications.

Note : L’installation du composant nécessite un accès à Internet afin de télécharger les fichiers supplémentaires.

Lancez l’exécutable « P2VMigration.msi ». L’assistant d’installation et l’écran de bienvenue s’ouvre, cliquez sur « Next » :

Sur l’écran suivant, acceptez les termes du contrat de licence :

Passez l’écran Custom Setup en cliquant sur « Next » :

Enfin lancez l’installation en cliquant sur « Install ».
Durant l’installation, l’assistant vous demandera si vous souhaitez procéder au téléchargement des fichiers additionnels sur Internet. Cliquez sur « Yes » :

Une fois l’installation terminée, cliquez sur « Finish ».

 5.3 Création des séquences de tâches

Une fois le produit installé et les composants additionnels ajoutés à la console d’administration, nous allons pouvoir procéder à la création des séquences de tâches qui serviront à la migration de la machine. Pour cela, ouvrez la console d’administration de System Center Configuration Manager. Dirigez-vous dans l’arborescence « Site Database => Computer Management => Operating System Deployment => Task Sequences ». Cliquez droit sur le nœud Task Sequences et sélectionnez Create Microsoft Deployment Task Sequence :

La fenêtre de création d’une séquence de tâches s’ouvre. Vous pouvez choisir parmi les modèles disponibles. On retrouve ainsi trois nouveaux modèles :

• Client Task Sequence for P2V Migration est une séquence de tâches permettant d’assurer la migration de la machine vers Windows 7 avec sauvegarde des données et paramètres utilisateurs. Elle fait référence à la séquence de tâches MDT « Client Task Sequence » et ajoute la conversion du système d’exploitation originel en système virtuel (P2V) et sa restauration sur le nouveau système. Cette séquence de tâches s’accorde avec le scénario de migration en rafraichissement (REFRESH) ou la deuxième partie du scénario de remplacement (REPLACE) permettant l’installation du système d’exploitation, de son socle d’applications, et la restauration des paramètres utilisateurs.
• Client Replace Task Sequence for P2V Migration fait référence à la séquence de tâches MDT « Client Replace Task Sequence ». Elle permet d’opérer la sauvegarde des données et paramètres utilisateurs ainsi que la conversion du système d’origine en environnement virtuel. Elle peut accessoirement nettoyer la machine d’origine en supprimant les données du disque dur. Vous l’aurez compris cette séquence de tâches prend son sens dans le scénario de migration par remplacement (REPLACE). Elle doit s’exécuter sur la machine source qui doit être remplacée. Elle doit être lancée avant la séquence de tâches Client Task Sequence for P2V Migration ou P2V Restore Only sur la machine de remplacement.
• P2V Restore Only Template permet de restaurer le système source converti virtuellement sur la machine de destination si celle-ci est déjà équipée d’un système d’exploitation. Notez que cette tâche ne restaure pas les paramètres utilisateurs.

Nous aborderons dans cette partie la création de toutes les séquences de tâches afin de comprendre leur structure. Néanmoins, nous ne mettrons en œuvre que la séquence de tâches « Client Task Sequence for P2V Migration » permettant le rafraichissement d’une machine.

 5.3.1 Création de la séquence de tâches de rafraichissement

Cette partie va aborder la création d’une séquence de tâches permettant le rafraichissement d’une machine équipée d’un système d’exploitation comme Windows XP ou Windows Vista vers Windows 7. Elle assurera la migration des données et paramètres utilisateurs mais aussi la conversion du système d’origine en P2V pour le restaurer et le rendre disponible au travers de Virtual PC.

Sur l’écran de création de la séquence de tâches, sélectionnez le modèle « Client Task Sequence for P2V Migration » :

Sur la page General, donnez un nom et une description à la séquence de tâches :

Sur l’écran Details, choisissez les paramétrages de Windows (Nom d’utilisateur et d’organisation, clé produit) mais aussi les options de jointure à un domaine :

(screen P2V-12)

A l’étape Capture Settings, assurez-vous que la case « This task sequence will never be used to capture an image” est cochée :

Sur l’écran Boot image, assurez-vous de sélectionner l’image de démarrage adéquate pour déployer le système d’exploitation dans son architecture (amd64 ou x86). Vous pouvez aussi procéder à la génération d’une image de démarrage MDT :

Sur la page MDT Package, sélectionnez ou créez le package contenant les fichiers utilisés par MDT :

Attention ! P2V Migration for SA ajoute des fichiers nécessaires à la procédure de migration pour se dérouler dans de bonnes conditions. Vous devez régénérer le package si vous utilisiez MDT 2010 Update 1 avant l’installation de ce module. Si vous n’effectuez pas cette opération ; le déploiement échouera n’ayant pas d’accès aux fichiers nécessaires.

Sur l’écran Details, spécifiez les informations d’identification du package :

Sur l’écran OS Image, sélectionnez l’image de système d’exploitation (WIM) utilisée pour le déploiement en cliquant sur « Specify an existing OS image » et « Browse » :

A l’étape Client Package, sélectionnez ou créez un package contenant les fichiers d’installation du client SCCM :

Au niveau USMT Package, sélectionnez ou générez le package USMT (scanstate et loadstate…) qui sera utilisé pour sauvegarder et restaurer les données et paramètres utilisateurs.

Sur la page Settings Package, sélectionnez ou générez le package contenant les fichiers de paramétrages du déploiement : unattend.xml et customsettings.ini. Le fichier CustomSettings.ini permet de spécifier ou de modifier des variables de séquence de tâches. Le fichier unattend.xml est un fichier de réponse utilisé lors du déploiement pour personnaliser certains paramètres.

Sur l’écran Sysprep Package, vérifiez que la case « No Sysprep package is required » est cochée :

Vérifiez et validez l’écran de résumé :

Fermez l’écran de confirmation :

Nous allons maintenant éditer la séquence de tâches créée pour observer les différences avec la séquence de tâches d’origine de MDT « Client Task Sequence » :

Voici le détail des tâches de capture :

• Une tâche Capture Groups permet de capturer les appartenances aux groupes locaux.
• Une tâche Capture Network Settings permet de migrer les configurations des cartes réseau ainsi que l’appartenance au domaine ou au workgroup.
• Une tâche Determine Local or Remote UserState permet de déterminer si la séquence de tâches va stocker les paramètres utilisateurs sur le disque local ou sur le serveur StateMigration Point. Par défaut, si l’espace disque disponible est suffisant pour stocker les paramètres utilisateurs, la séquence de tâches stockera ceux-ci sur le disque local.
• L’étape Request State Store permet de demander un espace de stockage pour la capture au serveur State Migration Point. Cette étape ne s’exécute que si MDT n’a pas choisi de stocker les paramètres sur le disque de la machine. Verifier que la case If computer account fails to connect to state store, use the Network Access account soit cochée. Celle-ci permet l’utilisation du compte d’accès réseau si le compte ordinateur de la machine n’a pas accès au partage de capture.
• La tâche Capture User State capture et sauvegarde les paramètres utilisateurs en utilisant USMT et les fichiers xml de définition.
• L’étape Capture VHD installe la mise à jour nécessaire (RemoteApp) et lance l’outil Disk2VHD et opère la conversion du disque physique en un disque virtuel (VHD) compatible avec Virtual PC 7.
• La tâche Release State Store s’exécute pour signaler au serveur State Migration Point que la capture est terminée. Elle ne s’exécute pas si les paramètres ont été sauvegardés sur le disque local.

Voici le détail des tâches de restauration :

• Le groupe State Restore inclut des tâches de restauration des paramètres système et utilisateur, d’installation d’application :
• La tâche Restore Group permet de restaurer les appartenances aux groupes locaux capturées précédemment dans la séquence de tâches.
• L’étape Request State Store permet de demander le chemin de l’espace de stockage de l’état utilisateur de la machine. Cette tâche ne s’exécute que si les données ne sont pas stockées localement.
• La tâche Restore User State restaure les paramètres utilisateurs en utilisant USMT et les fichiers xml de définition. Vous pouvez choisir de restaurer les profils utilisateurs locaux.
• L’étape Restore VHD effectue les opérations suivantes :
  • Installation de Virtual PC 7
  • Installation de la mise à jour permettant de s’affranchir de la virtualisation assistée par matériel.
  • Copie du fichier VHD sauvegardé sur le State Migration Point ou dans un espace de stockage local sur l’emplacement donné (c:\Program Files\Virtual PC\)
• La tâche Release State Store s’exécute pour signaler au serveur State Migration Point que la restauration est terminée. Cette tâche ne s’exécute que si les données ne sont pas stockées localement.

 5.3.2 Création de la séquence de tâches de remplacement

Dans cette partie, vous allez voir comment créer les séquences de tâches qui pourront servir au scénario de migration par remplacement de machine. Le processus est simple :

1. Vous exécutez une première séquence de tâches sur la machine à remplacer (machine source) afin de capturer les paramètres et données utilisateurs ainsi qu’opérer la conversion P2V de la machine.
2. Vous exécutez une séquence de tâches qui :
   1. Installera le nouveau système et ses applications puis restaurera les données et paramètres utilisateurs ainsi que le système de la machine source sous la forme d’une machine virtuelle.
   2. Restaurera uniquement les données et paramètres utilisateurs ainsi que le système virtuel de la machine source si un système d’exploitation est déjà présent.

Dans le cas A, vous devez créer une séquence de tâches basée sur le modèle « Client Task Sequence for P2V Migration » que nous avons vu pour le rafraichissement d’une machine.
Dans cette partie, nous aborderons la création d’une séquence de tâches de restauration uniquement.

 5.3.2.1 Création de la séquence de tâches de sauvegarde

Commençons par la séquence de tâches de sauvegarde de l’état utilisateur. Ouvrez la console d’administration de System Center Configuration Manager. Dirigez-vous dans l’arborescence « Site Database => Computer Management => Operating System Deployment => Task Sequences ». Cliquez droit sur le nœud Task Sequences et sélectionnez Create Microsoft Deployment Task Sequence. Sélectionnez le modèle  Client Replace Task Sequence for P2V Migration.

Sur la page General, entrez un nom et une description qui identifieront la séquence de tâches :

Sur l’écran Boot image, assurez-vous de sélectionner l’image de démarrage adéquate pour déployer le système d’exploitation dans son architecture (amd64 ou x86) :

Sur la page MDT Package, sélectionnez ou créez le package contenant les fichiers utilisés par MDT :

Au niveau USMT Package, sélectionnez ou générez le package USMT (scanstate et loadstate…) qui sera utilisé pour sauvegarder et restaurer les données et paramètres utilisateurs.

Sur la page Settings Package, sélectionnez ou générez le package contenant les fichiers de paramétrages du déploiement : unattend.xml et customsettings.ini..

Vérifiez et validez l’écran de résumé :

Fermez l’écran de confirmation :

De la même manière que pour la séquence de tâches de rafraichissement, cette séquence exécute les tâches :

• Request State Store
• Capture User State
• Capture VHD
• Backup Computer : effectue une sauvegarde du disque au format WIM pour prévenir les problèmes lors de la migration
• Release State Store
• Clean Disk : Nettoyage du disque afin d’effacer l’ensemble des données présentes.

Pour plus d’informations sur les tâches déjà décrites, je vous renvoie vers la création de la séquence de tâches de rafraichissement.

 5.3.2.2 Création de la séquence de tâches de restauration

L’étape suivante correspond à la création de la séquence de tâches de restauration de l’état utilisateur. Ouvrez la console d’administration de System Center Configuration Manager. Dirigez-vous dans l’arborescence « Site Database => Computer Management => Operating System Deployment => Task Sequences ». Cliquez droit sur le nœud Task Sequences et sélectionnez Create Microsoft Deployment Task Sequence. Sélectionnez le modèle  P2V Restore only Template.

Sur la page General, entrez un nom et une description qui identifieront la séquence de tâches de restauration :

Sur l’écran Boot image, assurez-vous de sélectionner l’image de démarrage adéquate pour déployer le système d’exploitation dans son architecture (amd64 ou x86) :

Sur la page MDT Package, sélectionnez ou créez le package contenant les fichiers utilisés par MDT :

Sur la page Settings Package, sélectionnez ou générez le package contenant les fichiers de paramétrages du déploiement : unattend.xml et customsettings.ini..

Vérifiez et validez l’écran de résumé :

De la même manière que pour la séquence de tâches de rafraichissement, cette séquence exécute les tâches liées à la restauration :

• Request State Store
• Restore VHD

Pour plus d’informations sur les tâches déjà décrites, je vous renvoie vers la création de la séquence de tâches de rafraichissement.

 5.4 Création des collections

Cette partie décrit la création de la collection qui servira à accueillir les clients cibles de la migration de systèmes d’exploitation avec conversion P2V de l’ancien système. Ouvrez la console d’administration de System Center Configuration Manager. Dirigez-vous dans l’arborescence « Site Database => Computer Management => Collections ». Cliquez droit sur le nœud Collections et sélectionnez Create Microsoft Deployment Task Sequence. Sélectionnez le modèle  Client Replace Task Sequence for P2V Migration.

Cliquez droit sur la racine Collections ou sur une des collections faisant partie de l’arborescence et sélectionnez New Collection. L’assistant de création d’une collection s’ouvre.

Vous devez premièrement saisir le nom et un commentaire. Notez que le nom de la collection doit être unique !

La partie Membership Rules est la plus importante de l’assistant puisqu’elle permet de spécifier les règles d’appartenance à la collection. Dans le cadre du déploiement de systèmes d’exploitation, il est conseillé d’utiliser les règles d’appartenance directes afin de contrôler quelles sont les machines en cours de déploiement. Ajoutez donc les machines qui seront cibles de cette migration.

Passez les écrans Advertisement et Security puis fermez l’écran de confirmation.

 5.5 Publication de la séquence de tâches

L’étape qui suit revient à créer une publication qui va lier notre séquence de tâches à la collection contenant les clients. Pour cela ouvrez la console d’administration de System Center Configuration Manager. Dirigez-vous dans l’arborescence « Site Database => Computer Management => Operating System Deployment => Task Sequence ». Cliquez droit sur la séquence de tâches précédemment créée et sélectionnez Advertise.

L’assistant de création d’une publication s’ouvre, entrez le nom de la publication ainsi que la collection précédemment créée.

Note : La séquence de tâches prenant en compte le scénario de rafraichissement, il n’est pas nécessaire de la rendre disponible en PXE. Celle-ci sera exécutée directement à partir du système d’exploitation.

La partie Schedule permet de programmer l’intervalle de publication de la séquence de tâches. Vous pouvez spécifier une date de départ et une date d’expiration. Par défaut, la date de départ est celle de la création effective de l’advertisement. La partie Mandatory assignments permet de spécifier un ordre de déploiement obligatoire en utilisant une date ou un événement (connexion ou déconnexion de l’utilisateur ou encore l’événement « dès que possible »).

L’écran Distribution Points permet de spécifier le comportement du client lorsqu’il doit récupérer les packages nécessaires au déploiement sur les points de distribution.

Enfin, la partie Interaction spécifie les paramètes affectant la manière dont l’utilisateur interagit avec la publication. Ainsi, vous pouvez spécifier si l’utilisateur doit être notifié par un compte à rebours de l’exécution de la séquence de tâches et s’il peut voir sa progression.

Passez l’écran Security et validez l’écran de résumé :

Fermez l’écran de confirmation :

Revenir au plan : http://microsofttouch.fr/blogs/js/pages/p2v-migration-introduction.aspx