SYMANTEC Documentation

 

 

 CD ROM Annuaire d'Entreprises France prospect (avec ou sans emails) : REMISE DE 10 % Avec le code réduction AUDEN872

10% de réduction sur vos envois d'emailing --> CLIQUEZ ICI

Retour à l'accueil, cliquez ici

SYMANTEC Documentation Guide d'administration de Symantec™ Endpoint Protection et Symantec Network Access Control

ftp://ftp.symantec.com/public/francais/produits/symantec_network_access_control/11.0/manuals/administration_guide.pdf Guide d'installation de Symantec™ Endpoint Protection et Symantec Network Access Control

ftp://ftp.symantec.com/public/francais/produits/symantec_network_access_control/11.0/manuals/installation_guide.pdf Symantecô Enterprise Security Architecture Guide de l'utilisateur de la Console de gestion Symantec SESA 2.0 ftp://ftp.symantec.com/public/francais/produits/sesa/ver2.1/manuals/Console_2-1_Users_Guide.pdf Guide de l'administrateur de Symantecô Enterprise Security Architecture SESA 2.1

ftp://ftp.symantec.com/public/francais/produits/sesa/ver2.1/manuals/SESA_2-1_Administrators_Guide.pdf Symantec Enterprise Security Architectureô ñ Guide d'installation SESA 2.1

ftp://ftp.symantec.com/public/francais/produits/sesa/ver2.1/manuals/SESA_2-1_Installation_Guide.pdf Norton Internet Security

ftp://ftp.symantec.com/public/francais/produits/norton_internet_security/ver2012/manuals/nis_2012_oem_ug.pdf Norton Antivirus pour Mac

ftp://ftp.symantec.com/public/francais/produits/norton_antivirus_mac/ver12.0/manuals/nav_mac_12_fr_ug.pdf Norton Internet Security pour Mac

ftp://ftp.symantec.com/public/francais/produits/norton_internet_security_mac/5.0/manuals/nis_mac_5_ug.pdf Notes de version pour Symantec™ Endpoint Protection Small Business Edition, version 12, mise à jour de version 1

ftp://ftp.symantec.com/public/francais/produits/symantec_endpoint_protection/12.0_sbe/manuals/ru1/FR_FR_Release_Notes_for_Symantec_Endpoint_Protection_SBE_Version%2012_RU_1.pdf

Guide de mise en œuvre Symantec LiveState™ Recovery Manager

ftp://ftp.symantec.com/public/francais/produits/symantec_livestate_recovery_manager/6.0/manuals/LRM60IMPGUIDE_FR.pdf

Guide de l’utilisateur NORTON GoBack

ftp://ftp.symantec.com/public/francais/produits/goback/ver3/manuals/ngb_36_fr_ug.pdf Guide d'administration de Symantec™ Endpoint Protection et Symantec Network Access ControlSymantec™ Endpoint Protection et Symantec Network Access Control Le logiciel décrit dans ce guide est fourni dans le cadre d'un contrat de licence et ne peut être utilisé qu'en conformité avec les termes de ce contrat. Version 11.00.02.01.00 de documentation Mentions légales Copyright © 2008 Symantec Corporation. Tous droits réservés. Symantec, le logo Symantec, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence Online, Digital Immune System, Norton et TruScan sont des marques commerciales ou des marques déposées de Symantec Corporation ou ses filiales aux Etats-Unis et dans d'autres pays. Les autres noms peuvent être des marques de leurs détenteurs respectifs. Ce produit de Symantec peut contenir le logiciel tiers pour lequel Symantec est requis pour fournir l'attribution à tierce partie ("Programmes tiers"). Certains de ces logiciels sont mis à disposition en open source ou avec des licences gratuites. Le Contrat de licence accompagnant le logiciel ne modifie en aucun cas vos droits et vos obligations en vertu de ces licences. Reportez-vous à l'annexe consacrée à l'avis légal sur les logiciel tiers ou au fichier LisezMoi TPIP accompagnant ce produit pour en savoir plus sur les logiciels tiers. Le produit décrit dans ce document est distribué aux termes d'une licence limitant son utilisation, sa copie, sa distribution et sa décompilation/ingénierie inverse. Ce document ne peut, en tout ou partie, être reproduit sous aucune forme et par aucun moyen sans l'autorisation préalable écrite de Symantec Corporation et de ses détenteurs de licence éventuels. LA DOCUMENTATION EST FOURNIE "EN L'ETAT" ET TOUTE GARANTIE OU CONDITION D'AUCUNE SORTE, EXPRESSE OU IMPLICITE, Y COMPRIS, SANS QUE CELA SOIT LIMITATIF, LES GARANTIES OU CONDITIONS IMPLICITES DE QUALITE MARCHANDE, D'ADEQUATIONAUNUSAGEPARTICULIER OUDERESPECT DES DROITS DEPROPRIETE INTELLECTUELLEESTREFUTEE,EXCEPTÉ DANSLAMESURE OÙDETELLESEXCLUSIONS SERAIENTTENUESPOURPOURLEGALEMENTNONVALIDES.SYMANTECCORPORATION NE PEUT ETRE TENUE POUR RESPONSABLE DES DOMMAGES DIRECTS OU INDIRECTS RELATIFS AU CONTENU OU A L'UTILISATION DE LA PRESENTE DOCUMENTATION. LES INFORMATIONS PRESENTES DANS CETTE DOCUMENTATION SONT SUJETTES A MODIFICATION SANS PREAVIS. Le Logiciel sous licence est considéré comme logicielinformatique commercial conformément aux définitions de la section FAR 12.212 et soumis à des droits restreints tels que définis dans la section FAR52.227.19 "Commercial Computer Licensed Software -RestrictedRights" et DFARS 227.7202 "Rights in Commercial Computer Licensed Software or Commercial Computer Licensed Software Documentation" tels qu'applicable, et à tous règlements qui les remplaceraient. Toute utilisation, modification, reproduction, publication, exécution,présentation ou communication du Logiciel sous licence par le gouvernement des Etats-Unis ne peut se faire que conformément aux conditions du présent contrat. Symantec Corporation 20330 Stevens Creek Blvd. Cupertino, CA 95014 Etats-Unis http://www.symantec.frSolutions de service et de support Symantec se consacre à fournir un excellent service dans le monde entier. Notre objectif est de vous apporter une assistance professionnelle pour utiliser nos logiciels et nos services, où que vous vous trouviez. Les solutions de support technique et de service clientèle varient selon les pays. Si vous avez des questions sur les services décrits ci-dessous, consultez la section « Informations de service et de support dans le monde ». Enregistrement et licences Si vous déployez un produit qui nécessite un enregistrement et/ou une clé de licence, le système le plus rapide et le plus simple consiste à accéder à notre site de licence et d’enregistrement (en anglais) à l’adresse www.symantec.com/certificate. Si vous avez acheté un abonnement de support, vous êtes habilité à bénéficier d'un support technique par téléphone et sur Internet. Lorsque vous contactez les services de support pour la première fois, vous devez disposer du numéro de votre certificat de licence ou de l’identification de contact fournie lors de l’enregistrement, pour permettre la vérification de vos droits au support. Si vous n'avez pas acheté d'abonnement de support, contactez votre revendeur ou le service clientèle de Symantec pour savoir comment obtenir un supporttechnique auprès de Symantec. Mises à jour de la sécurité Pour obtenir les informations les plus récentes sur les virus et les menaces de sécurité, visitez le site de Symantec Security Response (anciennement SARC - Centre de Recherche AntiVirus de Symantec), à l’adresse http://www.symantec.fr/region/fr/avcenter/index.html. Ce site contient des informations exhaustives sur la sécurité etles virus, ainsi que les dernières définitions de virus. Vous pouvez également télécharger les définitions de virus en utilisant la fonction LiveUpdate de votre produit. Renouvellement d’abonnement aux définitions de virus Votre achat d’un service de support avec un produit vous permet de télécharger gratuitement des définitions de virus pendant la durée de l’abonnement. Si votre abonnement au support a expiré, contactez votre revendeur ou le Service clientèle de Symantec pour savoir comment le renouveler.Sites Web Symantec : Page d’accueil Symantec (par langue) : ¦ Allemand : http://www.symantec.de ¦ Anglais : http://www.symantec.com ¦ Espagnol : http://www.symantec.com/region/es ¦ Français : http://www.symantec.fr ¦ Italien : http://www.symantec.it ¦ Néerlandais : http://www.symantec.nl ¦ Portugais : http://www.symantec.com/br Symantec Security Response: ¦ http://www.symantec.fr/region/fr/avcenter/index.html Page de service et assistance Symantec : ¦ http://www.symantec.com/region/fr/techsupp/enterprise/index.html Bulletin d'informations spécifique produit : ¦ Etats-Unis, Asie-Pacifique : http://www.symantec.com/techsupp/bulletin/index.html ¦ Europe, Moyen-Orient, Afrique/Anglais : http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html ¦ Allemand : http://www.symantec.com/region/de/techsupp/bulletin/index.html ¦ Français : http://www.symantec.com/region/fr/techsupp/bulletin/index.html ¦ Italien : http://www.symantec.com/region/it/techsupp/bulletin/index.html ¦ Amérique latine/Anglais : http://www.symantec.com/techsupp/bulletin/index.htmlSupport technique Au sein de Symantec Security Response, l’équipe de support technique internationale gère les centres d’assistance dans le monde entier. Son objectif premier est de répondre aux questions spécifiques sur les fonctionnalités/fonctions, l'installation etla configuration des produits Symantec ainsi que sur le contenu de la Base de connaissances accessible via le Web. Symantec Security Response est en collaboration étroite avec les autres départements de Symantec pour répondre rapidement à vos questions. Nous travaillons par exemple avec notre service d’ingénierie produit et nos centres de recherche en sécurité pour fournir des services d'alertes et des mises à jour des définitions de virus, face aux attaques virales et aux alertes de sécurité. Caractéristiques de nos offres : ¦ Une panoplie d'options de support vous permet de choisir le service approprié quel que soit le type d'entreprise. ¦ Le support Web et téléphonique fournit des réponses rapides et des informations de dernière minute. ¦ Les mises à jour des produits fournissent une protection de mise à niveau automatique. ¦ Lesmises à jour de contenu des définitions de virus etles signatures de sécurité assurent la meilleure protection. ¦ Le support mondial des experts Symantec Security Response est disponible 24h/24, 7j/7 dans le monde entier et dans différentes langues. ¦ Les fonctionnalités avancées telles que le Service d'alertes Symantec (Symantec Alerting Service) et le Responsable de compte technique (Technical Account Manager) offrent un support d'intervention et de sécurité proactive. Rendez-vous sur notre site Web pour obtenir les dernières informations sur les programmes de support. Coordonnées du support Les clients disposant d'un contrat de support peuvent contacter l’équipe de support technique par téléphone, sur le site Web suivant ou sur les sites régionaux de Service et Support internationaux. http://www.symantec.com/region/fr/techsupp/enterprise/index.html Lorsque vous contactez le support, vérifiez que vous disposez des informations suivantes : ¦ Version du produit ¦ Informations sur le matériel¦ Mémoire disponible, espace disque et informations sur la carte d'interface réseau ¦ Système d'exploitation ¦ Niveau de version et correctif ¦ Topologie du réseau ¦ Informations sur le routeur, la passerelle et l'adresse IP ¦ Description du problème ¦ Messages d'erreur/fichiers journaux ¦ Intervention effectuée avant de contacter Symantec ¦ Modifications récentes de la configuration du logiciel ou du réseau Service clientèle Le Centre de service clientèle de Symantec peut vous seconder pour vos questions non techniques : ¦ Informations générales sur les produits (caractéristiques, langues disponibles, adresse des distributeurs, etc) ¦ Dépannage de base, par exemple vérification de la version du produit ¦ Dernières informations sur les mises à jour produit ¦ Comment mettre votre produit à jour/à niveau ¦ Comment enregistrer votre produit et/ou votre licence ¦ Informations sur les programmes de licences de Symantec ¦ Informations sur les contrats de mise à niveau et de maintenance ¦ Remplacement des CD et des manuels ¦ Mise à jour des données d’enregistrement produit en cas de changement de nom ou d'adresse ¦ Conseil sur les options de support technique de Symantec Des informations détaillées sur le Service clientèle sont disponibles sur le site Web de l’assistance Symantec. Vous pouvez également contacter le Centre de service clientèle par téléphone. Pour des informations sur les numéros de support clientèle et les sites Web, consultez la section « Informations de service et de contact en bref ».Service et support internationaux Europe, Moyen-Orient, Afrique et Amérique latine Sites Web de service et assistance Symantec ¦ Allemand : www.symantec.de/desupport/ ¦ Anglais : www.symantec.com/eusupport/ ¦ Espagnol : www.symantec.com/region/mx/techsupp/ ¦ Français : www.symantec.fr/frsupport ¦ Italien : www.symantec.it/itsupport/ ¦ Néerlandais : www.symantec.nl/nlsupport/ ¦ Portugais : www.symantec.com/region/br/techsupp/ ¦ FTP Symantec : ftp.symantec.com (téléchargement des notes techniques et des derniers correctifs) Visitez le site Service et assistance de Symantec pour trouver des informations techniques et non techniques sur votre produit. Symantec Security Response : ¦ http://securityresponse.symantec.com Bulletin d'informations spécifique produit : ¦ Anglais : http://www.symantec.com/techsupp/bulletin/index.html ¦ Europe, Moyen-Orient, Afrique/Anglais : http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html ¦ Allemand : http://www.symantec.com/region/de/techsupp/bulletin/index.html ¦ Français : http://www.symantec.com/region/fr/techsupp/bulletin/index.html ¦ Italien : http://www.symantec.com/region/it/techsupp/bulletin/index.html¦ Amérique latine/Anglais : http://www.symantec.com/techsupp/bulletin/index.html Service Clientèle de Symantec Fournit des informations non techniques et des conseils par téléphone dans les langues suivantes : anglais, allemand, français et italien. ¦ Autriche : + (43) 1 50 137 5030 ¦ Belgique : + (32) 2 2750173 ¦ Danemark : + (45) 35 44 57 04 ¦ Espagnol : + (34) 91 7456467 ¦ Finlande : + (358) 9 22 906003 ¦ France : + (33) 1 70 20 00 00 ¦ Allemagne : + (49) 69 6641 0315 ¦ Irlande : + (353) 1 811 8093 ¦ Italie : + (39) 02 48270040 ¦ Luxembourg : + (352) 29 84 79 50 30 ¦ Pays-Bas : + (31) 20 5040698 ¦ Norvège : + (47) 23 05 33 05 ¦ Afrique du Sud : + (27) 11 797 6639 ¦ Suède : + (46) 8 579 29007 ¦ Suisse : + (41) 2 23110001¦ Royaume Uni : + (44) 20 7744 0367 ¦ Autres pays : + (353) 1 811 8093 (service en anglais uniquement) Service Clientèle Symantec – Adresse postale ¦ Symantec Ltd Customer Service Centre Europe, Middle East and Africa (EMEA) PO Box 5689 Dublin 15 Irlande En Amérique latine Symantec dispose d'un supporttechnique et d'un service clientèle internationaux. Les services varient selon les pays et incluent des partenaires internationaux qui représentent Symantec dans les régions où il n’y a pas de bureau Symantec. Pour des informations générales, contactez le service de support de Symantec pour votre région. ARGENTINE ¦ Pte. Roque Saenz Peña 832 - Piso 6 C1035AAQ, Ciudad de Buenos Aires Argentine Numéro principal: +54 (11) 5811-3225 Site Web: http://www.service.symantec.com/mx Gold Support: 0800-333-0306 VENEZUELA ¦ Avenida Francisco de Miranda. Centro Lido Torre D. Piso 4, Oficina 40 Urbanización el Rosal 1050, Caracas D.F. Dong Cheng District Venezuela Numéro principal: +58 (212) 905-6327 Site Web: http://www.service.symantec.com/mx Gold Support: 0800-1-00-2543COLOMBIA ¦ Carrera 18# 86A-14 Oficina 407, Bogota D.C. Colombia Numéro principal: +57 (1) 638-6192 Site Web: http://www.service.symantec.com/mx Gold Support: 980-915-5241 BRÉSIL ¦ Symantec Brasil Market Place Tower Av. Dr. Chucri Zaidan, 920 12° andar São Paulo - SP CEP: 04583-904 Brésil, SA Numéro principal: +55 (11) 5189-6300 Télécopie: +55 (11) 5189-6210 Site Web: http://www.service.symantec.com/br Gold Support: 000814-550-4172 CHILE ¦ Alfredo Barros Errazuriz 1954 Oficina 1403 Providencia, Santiago de Chile Chile Numéro principal: +56 (2) 378-7480 Site Web: http://www.service.symantec.com/mx Gold Support: 0800-333-0306 MEXIQUE ¦ Boulevard Adolfo Ruiz Cortines 3642 Piso 8, Colonia Jardines del Pedregal, 01900, Mexico D.F. Mexico Numéro principal: +52 (55) 5481-2600 Site Web: http://www.service.symantec.com/mx Gold Support: 001880-232-4615RESTE DE L'AMÉRIQUE LATINE ¦ 9155 South Dadeland Blvd. Suite 1100, Miami, FL 33156 U.S.A Site Web: http://www.service.symantec.com/mx Gold Support: Costa Rica: 800-242-9445 Panama: 800-234-4856 Puerto Rico: 800-232-4615 Asie-Pacifique Symantec dispose d'un supporttechnique et d'un service clientèle internationaux. Les services varient selon les pays et incluent des partenaires internationaux qui représentent Symantec dans les régions où il n’y a pas de bureau Symantec. Pour des informations générales, contactez le service de support de Symantec pour votre région. Service et support AUSTRALIE ¦ Symantec Australia Level 2, 1 Julius Avenue North Ryde, NSW 2113 Australie Numéro principal: +61 2 8879 1000 Télécopie: +61 2 8879 1001 Site Web: http://service.symantec.com Gold Support: 1800 805 834 gold.au@symantec.com Admin. contrats de support: 1800 808 089 contractsadmin@symantec.com CHINE ¦ Symantec China Unit 1-4, Level 11, Tower E3, The Towers, Oriental Plaza No.1 East Chang An Ave., Dong Cheng District Beijing 100738 Chine P.R.C. Numéro principal: +86 10 8518 3338 Support technique: +86 10 8518 6923Télécopie: +86 10 8518 6928 Site Web: http://www.symantec.com.cn HONG KONG ¦ Symantec Hong Kong Central Plaza Suite #3006 30th Floor, 18 Harbour Road Wanchai Hong Kong Numéro principal: +852 2528 6206 Support technique: +852 2528 6206 Télécopie: +852 2526 2646 Site Web: http://www.symantec.com.hk INDE ¦ Symantec India Suite #801 Senteck Centrako MMTC Building Bandra Kurla Complex Bandra (East) Mumbai 400051, Inde Numéro principal: +91 22 652 0658 Support technique: +91 22 652 0671 Télécopie: +91 22 657 0669 Site Web: http://www.symantec.com/india COREE ¦ Symantec Korea 15,16th Floor Dukmyung B/D 170-9 Samsung-Dong KangNam-Gu Seoul 135-741 Corée du Sud Numéro principal: +822 3420 8600 Support technique: +822 3452 1610 Télécopie: +822 3420 8650 Site Web: http://www.symantec.co.krMALAISIE ¦ Symantec Corporation (Malaysia) Sdn Bhd 31-3A Jalan SS23/15 Taman S.E.A. 47400 Petaling Jaya Selangor Darul Ehsan Malaisie Numéro principal: +603 7805 4910 Support technique: +603 7804 9280 E-mail société: gold.apac@symantec.com N° vert société: +1800 805 104 Site Web: http://www.symantec.com.my NOUVELLE-ZELANDE ¦ Symantec New Zealand Level 5, University of Otago Building 385 Queen Street Auckland Central 1001 Nouvelle-Zélande Numéro principal: +64 9 375 4100 Télécopie: +64 9 375 4101 Site Web de support: http://service.symantec.co.nz Gold Support: 0800 174 045 gold.nz@symantec.com Admin. contrats de support: 0800 445 450 contractsadmin@symantec.com SINGAPOUR ¦ Symantec Singapore 6 Battery Road #22-01/02/03 Singapour 049909 Numéro principal: 1800 470 0730 Télécopie: +65 6239 2001 Support technique: 1800 720 7898 Site Web: http://www.symantec.com.sgTAIWAN ¦ Symantec Taiwan 2F-7, No.188 Sec.5 Nanjing E. Rd., 105 Taipei Taïwan Numéro principal: +886 2 8761 5800 Corporate Support: +886 2 8761 5800 Télécopie: +886 2 2742 2838 Gold Support: 0800 174 045 gold.nz@symantec.com Site Web: http://www.symantec.com.tw L’exactitude des informations contenues dans ce document a faitl’objet de toutes les attentions. Toutefois, les informations fournies ici sont susceptibles d'être modifiées sans préavis. Symantec Corporation se réserve le droit d’apporter ces modifications sans avertissement préalable.Solutions de service et de support .................................................................. 4 Section 1 Tâches administratives de base ......................... 39 Chapitre 1 Présentation de Symantec Endpoint Protection Manager .......................................................................... 41 A propos des tâches administratives ................................................ 41 Connexion à Symantec Endpoint Protection Manager ......................... 43 Mode d'organisation de la console de Symantec Endpoint Protection Manager ............................................................................... 46 Page d'accueil ........................................................................ 48 Page Contrôles ....................................................................... 50 Page Rapports ....................................................................... 51 Page Politiques ...................................................................... 51 Page Clients .......................................................................... 52 Page Admin .......................................................................... 55 Chapitre 2 Introduction à la protection de base ............................... 57 Catégories de protection ................................................................ 57 A propos de la protection antivirus et contre les logiciels espions ........................................................................... 58 A propos de la protection contre les menaces réseau ..................... 59 A propos de la protection proactive contre les menaces ................. 60 Apropos de l'intégrité de l'hôte et de la conformité aux politiques de points terminaux ......................................................... 60 Chapitre 3 Configuration de domaines, de groupes et de clients .............................................................................. 63 A propos de la topologie de votre sécurité ......................................... 64 A propos de votre structure de groupe .............................................. 64 A propos des domaines ............................................................ 65 A propos des groupes .............................................................. 65 A propos des clients ................................................................ 68 A propos de l'importation de la structure d'organisation ..................... 69 Table des matièresAjout d'un domaine ...................................................................... 70 Administration d'un domaine ......................................................... 71 Ajout d'un groupe ........................................................................ 71 Suppression d'un groupe ............................................................... 72 Attribution d'un nouveau nom à un groupe ....................................... 72 Déplacement d'un groupe .............................................................. 73 Affichage des propriétés d'un groupe ............................................... 73 Ajout de clients en tant qu'utilisateurs ............................................. 74 Ajout de clients en tant qu'ordinateurs ............................................. 74 Basculement du client entre le mode Utilisateur et le mode Ordinateur. ........................................................................... 75 Bloquer l'ajout de clients à des groupes ............................................ 77 Déplacement de clients entre des groupes ......................................... 77 Suppression des clients ................................................................. 78 Affichage des propriétés d'un client ................................................. 79 Recherche de clients ..................................................................... 80 Filtrage de la liste des clients .......................................................... 81 Chapitre 4 Gérer les administrateurs .................................................. 83 A propos des administrateurs ......................................................... 83 A propos de la gestion des administrateurs ....................................... 84 Ajout d'un administrateur ............................................................. 85 Passage d'un administrateur non limité à un administrateur limité et définition des droits d'accès .................................................. 87 Verrouillage d'un compte d'administrateur après de trop nombreuses tentatives de connexion .......................................................... 88 Authentification d'administrateurs ................................................. 89 Renommer un administrateur ........................................................ 90 Modifier le mot de passe d'un administrateur .................................... 91 Supprimer un administrateur ......................................................... 91 Chapitre 5 Utilisation des paquets d'installation client .................. 93 A propos des paquets d'installation client ......................................... 93 Configuration des options des paquets d'installation client .................. 94 Configuration des fonctions des paquets d'installation .................. 94 Configuration des paramètres des paquets d'installation client ............................................................................. 95 Collecter des données utilisateur ............................................... 95 Exportation de paquets d'installation client ...................................... 96 Ajout de mises à jour de paquets d'installation client et mise à niveau des clients ............................................................................. 98 Ajouter des mises à jour de paquets d'installation client ................ 98 18 Table des matièresMettre à niveau des clients dans un ou plusieurs groupes .............. 99 Supprimer des paquets de mise à niveau ......................................... 100 Chapitre 6 Mise à jour des définitions et du contenu .................... 103 A propos de LiveUpdate et de la mise à jour des définitions et du contenu .............................................................................. 103 A propos des architectures de distribution réseau mises à jour .............................................................................. 104 A propos des types de mise à jour ............................................ 108 Configuration d'un site pour télécharger des mises à jour .................. 109 Configuration des politiques LiveUpdate ......................................... 111 Configuration d'une politique de paramètres LiveUpdate ............. 112 Configuration d'une politique de contenu LiveUpdate ................. 113 Afficher etmodifier la politique de contenu LiveUpdate appliquée à un groupe ................................................................... 115 Configuration d'un fournisseur de mise à jour groupée dans une politique de paramètres LiveUpdate ................................... 115 Options avancées de distribution des mises à jour ............................. 117 Fourniture demises à jour de contenu d'antivirus avec Intelligent Updater ........................................................................ 117 A propos de l'utilisation d'outils de distribution tiers pour distribuer des mises à jour aux clients gérés ........................ 118 Activer la distribution de contenu tiers aux clients gérés avec une politique LiveUpdate ................................................. 119 Distribution du contenu aux clients gérés par des outils de distribution tiers ............................................................ 120 A propos de l'utilisation d'outils de distribution tiers pour distribuer les mises à jour aux clients autonomes ................. 122 Chapitre 7 Limitation de l'accès des utilisateurs aux fonctions client ............................................................................... 125 A propos de l'accès à l'interface client ............................................ 125 Verrouillage et déverrouillage des paramètres gérés ......................... 126 Modification du niveau de contrôle de l'utilisateur ............................ 127 A propos du contrôle mixte .................................................... 130 Configuration des paramètres d'interface utilisateur ................... 131 Protection du client par mot de passe ............................................. 133 Table des matières 19Chapitre 8 Configuration de connexions entre les serveurs de gestion et les clients ................................................... 135 A propos des serveurs de gestion ................................................... 136 Spécification d'une liste de serveurs de gestion ................................ 136 Ajout d'une liste de serveurs de gestion .......................................... 137 Assignation d'une liste de serveurs de gestion à un groupe et à un emplacement ....................................................................... 139 Affichage des groupes et des empacements auxquels une liste de serveurs de gestion est assignée .............................................. 140 Modification du nom et de la description d'une liste de serveurs de gestion ............................................................................... 140 Modification de l'adresse IP, du nomd'hôte et du numéro de port d'un serveur de gestion dans une liste de serveurs de gestion .............. 141 Modification de l'ordre de connexion des serveurs de gestion ............. 142 Remplacement d'une liste de serveurs de gestion ............................. 142 Copie et collage d'une liste de serveurs de gestion ............................. 143 Exportation et importation d'une liste de serveurs de gestion ............. 144 Suppression d'une liste de serveurs de gestion ................................. 144 A propos des paramètres de communication entre le client et le serveur ............................................................................... 145 Chapitre 9 Informations de base sur la création de rapports ......................................................................... 147 A propos de Reporting ................................................................. 148 A propos des rapports pouvant être exécutés ................................... 149 A propos de l'affichage des journaux et des rapports ......................... 151 Utilisation de la base de données pour les rapports ........................... 151 A propos des événements consignés issus de votre réseau .................. 152 A propos des journaux contrôlables ............................................... 152 Accéder aux fonctions de rapport .................................................. 152 Association de localhost à l'adresse IP lorsque vous avez des adresses de bouclage désactivées ......................................................... 154 A propos de l'utilisation de SSL avec les fonctions de notification ......................................................................... 155 Utilisation de la page d'accueil de Symantec Endpoint Protection ........................................................................... 155 Configuration des Rapports sur les favoris dans la page d'accueil ....................................................................... 162 A propos de l'utilisation des liens Security Response ................... 164 Utiliser la page d'accueil de Symantec Network Access Control ........... 165 Configuration des préférences de rapport ....................................... 167 20 Table des matièresA propos des options d'affichage Domicile et Contrôles ............... 168 Configuration des seuils d'état de sécurité ................................. 169 Configuration des journaux et des préférences de rapports .......... 170 A propos des temps d'analyse de client utilisés dans les rapports et les journaux ........................................................................ 170 A propos de l'utilisation du filtre Dernières 24 heures dans les rapports et les journaux ......................................................... 171 A propos de l'utilisation des filtres qui recherchent des groupes dans les rapports et les journaux .................................................... 171 Chapitre 10 Affichage et configuration des rapports ....................... 173 Affichage des rapports ................................................................ 173 A propos de l'affichage des graphiques linéaires dans les rapports ....................................................................... 174 A propos de l'affichage des diagrammes à barres ........................ 175 Afficher les rapports dans les langues asiatiques ........................ 175 A propos des rapports ................................................................. 176 Points importants quant à l'utilisation des rapports .......................... 191 Création de rapports rapides ........................................................ 192 Enregistrement et suppression des filtres de rapport sauvegardés ........................................................................ 197 A propos des noms de filtre dupliqués ...................................... 198 Impression et enregistrement d'une copie d'un rapport ..................... 198 Création et suppression de rapports planifiés .................................. 199 Chapitre 11 Affichage et configuration des journaux et des notifications .................................................................. 203 A propos des journaux ................................................................. 203 A propos des types de journaux, du contenu et des commandes ................................................................... 204 Utiliser l'onglet Résumé de la page Contrôleurs ................................ 211 Affichage des journaux ................................................................ 214 Affichage des détails des événements dans les journaux .............. 215 Afficher les journaux d'autres sites .......................................... 216 Enregistrement et suppression des filtres ....................................... 217 A propos des noms de filtre dupliqués ...................................... 219 Paramètres de filtrage de base pour les journaux .............................. 219 Paramètres avancés de filtre pour les journaux ................................ 221 Exécuter des commandes et des actions à partir des journaux ............. 221 A propos de la réduction du volume d'événements envoyés aux journaux ............................................................................. 225 Exportation des données de journal ............................................... 225 Table des matières 21Exportation de données de journal vers un fichier texte ............... 225 L'exportation de données vers un serveur Syslog ........................ 228 Exportation des données de journal vers un fichier texte délimité par des virgules .............................................................. 229 Utilisation des notifications ......................................................... 230 Affichage et filtrage des informations de notification administrateur ............................................................... 230 Directives de seuil pour les notifications d'administrateur ........... 231 Création des notifications d'administrateur ............................... 231 A propos de la modification des notifications existantes .............. 236 Chapitre 12 Utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau .................................... 237 A propos de l'utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau ................................................... 237 Apropos des informations des rapports et des journaux Contrôle d'application et Contrôle de périphérique ............................ 239 A propos des informations dans le rapport et le journal d'audit ................................................................................... 240 A propos des informations dans les rapports et les journaux de conformité ................................................................... 240 A propos des informations dans les rapports et le journal d'état de l'ordinateur ............................................................... 243 A propos des informations dans les rapports et les journaux de la protection contre les menaces réseau .............................. 245 A propos des informations figurant dans les rapports et les journaux d'analyse proactive des menaces TruScan .............. 248 A propos des informations dans les rapports et le journal de risque ........................................................................... 249 A propos des informations dans les rapports et le journal d'analyse ...................................................................... 250 A propos des informations dans les rapports et les journaux système ........................................................................ 251 A propos des virus et des risques de sécurité .................................... 254 Identification des ordinateurs infectés et à risque ....................... 255 Modification d'une action et réanalyse des ordinateurs identifiés ...................................................................... 255 Redémarrage des ordinateurs nécessitant un redémarrage pour terminer la résolution ..................................................... 256 Mise à jour des définitions et réanalyse .................................... 257 A propos de l'étude et du nettoyage des risques restants .............. 257 Elimination des événements suspects ....................................... 258 22 Table des matièresRecherche des clients hors ligne .................................................... 258 Section 2 Tâches administratives avancées .................... 261 Chapitre 13 Géstion de sites d'entreprise uniques et multiples ........................................................................ 263 A propos de la gestion des sites ..................................................... 263 Opérations relatives aux sites ....................................................... 264 Ce que vous ne pouvez pas faire sur un site ..................................... 265 A propos de la réplication de site sur plusieurs sites de l'entreprise .......................................................................... 265 A propos des modules Enforcer facultatifs sur un site ....................... 266 A propos des sites distants ........................................................... 266 Modification des propriétés du site ................................................ 266 Sauvegarde d'un site ................................................................... 268 Suppression de sites distants ........................................................ 269 Chapitre 14 Gestion des serveurs ......................................................... 271 A propos de la gestion des serveurs ................................................ 271 A propos des serveurs et des mots de passe tiers .............................. 272 Démarrage et arrêt du service de Symantec Endpoint Protection Manager ............................................................................. 272 Accord ou refus d'accès aux consoles Symantec Endpoint Protection Manager distantes ................................................................ 273 Suppression des serveurs sélectionnés ........................................... 274 Exportation et importation des paramètres de serveur ...................... 275 Chapitre 15 Gestion des serveurs de répertoires .............................. 277 A propos de la gestion des serveurs de répertoires ............................ 277 Ajout de serveurs de répertoires .................................................... 278 Synchronisation des comptes utilisateurs entre des serveurs de répertoires et un Symantec Endpoint Protection Manager ............ 279 Importation d'informations sur les utilisateurs à partir d'un serveur de répertoires LDAP .............................................................. 280 Recherche d'utilisateurs sur un serveur de répertoires LDAP .............. 280 Importation d'utilisateurs à partir d'une liste de résultats de recherche issue d'un serveur de répertoires LDAP ..................................... 283 A propos des unités organisationnelles et du serveur LDAP ................ 284 Importation d'unités organisationnelles à partir d'un serveur Active Directory ou LDAP ................................................ 284 Synchronisation des unités organisationnelles .......................... 285 Table des matières 23Chapitre 16 Gestion des serveurs de messagerie ............................. 287 A propos de la gestion des serveurs de messagerie ............................ 287 Etablissement de la connexion entre Symantec Endpoint Protection Manager et des serveurs de messagerie .................................... 288 Chapitre 17 Gestion des serveurs proxy ............................................. 289 A propos des serveurs proxy ......................................................... 289 Configuration d'une connexion entre un serveur proxy HTTP et Symantec Endpoint Protection Manager ................................... 289 Installation d'une connexion entre un serveur proxy FTP etlemodule Symantec Endpoint Protection Manager ................................... 290 Chapitre 18 Gestion des serveurs RSA ................................................ 293 A propos des conditions préalables pour l'utilisation de RSA SecurID avec Symantec Endpoint Protection Manager ............................ 293 Configurer Symantec Endpoint ProtectionManager pour utiliserRSA SecurID Authentication ......................................................... 294 Spécification d'une authentification SecurID pour un administrateur Symantec Endpoint Protection Manager ................................... 295 Configuration du serveur de gestion pour prendre en charge la communication HTTPS .......................................................... 296 Chapitre 19 Gestion des certificats de serveur .................................. 297 A propos des types de certificats de serveur ..................................... 297 Mise à jour d'un certificat de serveur avec un assistant ...................... 298 Sauvegarde d'un certificat de serveur ............................................. 301 Recherche du mot de passe keystore .............................................. 301 Chapitre 20 Gestion des bases de données ........................................ 303 A propos de la gestion des bases de données .................................... 303 A propos des conventions de dénomination d'une base de données ........................................................................ 304 Assistant de configuration du serveur de gestion et outils de base de données Symantec ...................................................... 305 A propos de la sauvegarde et la restauration d'une base de données ........................................................................ 305 A propos de la reconfiguration d'une base de données ................. 307 A propos de la planification d'une sauvegarde de la base de données ........................................................................ 307 Sauvegarde d'une base de données Microsoft SQL ............................. 308 24 Table des matièresSauvegarder une base de données Microsoft SQL à la demande depuis la console Symantec Endpoint Protection Manager ....................................................................... 309 Sauvegarde d'une base de données SQLMicrosoft avec l'assistant de plan de maintenance de base de données ......................... 309 Sauvegarde d'une base de données intégrée à la demande à partir de Symantec Endpoint Protection Manager ................................... 313 Planification de sauvegardes de base de données automatiques à partir du module Symantec Endpoint Protection Manager ........... 314 Restauration d'une base de données ............................................... 315 Modification du nom et de la description d'une base de données dans la console the Symantec Endpoint Protection Manager ................ 317 Reconfiguration d'une base de données .......................................... 317 Reconfiguration d'une base de données Microsoft SQL ................ 318 Reconfiguration d'une base de données intégrée ........................ 320 A propos de la gestion des données de journal .................................. 321 A propos des données de journal et du stockage ......................... 321 Suppression manuelle des données de journal de la base de données ........................................................................ 322 Données consignées des clients hérités ..................................... 323 Configuration des paramètres de journal pour les serveurs d'un site .............................................................................. 323 A propos de la configuration du regroupement des événements ................................................................... 324 Configuration des paramètres de journal client ......................... 325 Apropos de la configuration des options de gestion des journaux pour les politiques antivirus et antispyware ........................ 326 Sauvegarde des journaux pour un site ...................................... 327 A propos du chargement de grandes quantités de données de journal client ................................................................. 327 A propos de la gestion des événements de journal dans la base de données .................................................................... 329 Configuration des options demaintenance de la base de données pour des journaux ........................................................... 330 A propos de l'utilisation de l'utilitaire interactif SQL avec la base de données intégrée ........................................................ 331 Modification des paramètres d'expiration ................................. 331 A propos de la restauration des journaux système client corrompus sur les ordinateurs 64 bits ................................ 332 Table des matières 25Chapitre 21 Réplication des données .................................................. 333 A propos de la réplication des données ........................................... 333 Compréhension de l'impact de la réplication .................................... 336 Quels paramètres sont répliqués ............................................. 336 Mode de fusion des changements pendant la réplication .............. 337 Définition de la réplication de données ........................................... 338 Ajout de partenaires et de planification de réplication ................. 338 Planification de la réplication automatique et à la demande ............... 340 Réplication des données à la demande ...................................... 340 Modification des fréquences de réplication ................................ 341 Réplication des paquets client ....................................................... 342 Réplication des journaux ............................................................. 343 Chapitre 22 Gestion de la protection contre les interventions ................................................................ 345 A propos de la protection contre les interventions ............................ 345 Configuration de la protection contre les interventions ..................... 346 Section 3 Tâches de gestion des politiques générales ................................................................... 349 Chapitre 23 A propos des politiques .................................................... 351 Présentation des politiques .......................................................... 351 A propos des politiques partagées et non partagées .......................... 354 A propos des tâches de politique .................................................... 354 Groupes, transmission, emplacements et politiques .......................... 357 Exemples de politiques ................................................................ 357 Chapitre 24 Gestion de l'héritage d'un groupe en matière d'emplacements et de politiques ............................. 359 A propos des groupes héritant des emplacements et des politiques d'autres groupes ................................................................... 359 Activation ou désactivation de l'héritage d'un groupe ........................ 360 Chapitre 25 Gestion des emplacements d'un groupe ...................... 363 A propos des emplacements d'un groupe ......................................... 363 A propos des emplacements et des informations des emplacements ............................................................... 364 A propos de la planification des emplacements .......................... 365 26 Table des matièresA propos de l'emplacement par défaut d'un groupe ..................... 365 Activation de l'attribution automatique des politiques d'un client ................................................................................. 366 Ajouter un emplacement avec un assistant d'installation ................... 367 Ajout d'un emplacement sans assistant .......................................... 369 Affectation d'un emplacement par défaut ....................................... 370 Modification du nom et de la description de l'emplacement d'un groupe ................................................................................ 371 Supprimer l'emplacement d'un groupe ........................................... 371 Chapitre 26 Utilisation des politiques ................................................. 373 A propos du travail avec les politiques ............................................ 374 A propos de l'ajout de politiques .................................................... 374 Ajouter une politique partagée dans la page Politiques ................ 375 Ajout d'une politique non partagée dans la page Clients avec un assistant ....................................................................... 377 Ajout d'une nouvelle politique non partagée dans la page Clients .......................................................................... 378 Ajout d'une nouvelle politique non partagée à partir d'une politique existante dans la page Clients .............................. 379 Ajout d'une nouvelle politique non partagée à partir d'un fichier de politique précédemment exporté dans la page Clients .......................................................................... 380 A propos de la modification des politiques ...................................... 380 Modification d'une politique partagée dans la page Politiques ............. 380 Modifier une politique non partagée ou partagée dans la page Clients ................................................................................ 381 Affectation d'une politique partagée .............................................. 382 Retrait d'une politique ................................................................. 383 Supprimer une politique .............................................................. 384 Exporter une politique ................................................................. 386 Importation d'une politique .......................................................... 387 A propos de la copie des politiques ................................................. 387 Copie d'une politique partagée dans la page Politique ........................ 388 Copie d'une politique partagée ou non partagée dans la page Clients ................................................................................ 388 Coller une politique .................................................................... 389 Remplacement d'une politique ...................................................... 390 Conversion d'une politique partagée en politique non partagée .......... 391 Conversion d'une copie d'une politique partagée en politique non partagée ............................................................................. 392 Table des matières 27Chapitre 27 Extraction ou transfert des politiques entre les serveurs de gestion, les clients et les boîtiers Enforcer facultatifs ..................................................... 393 A propos du mode d'extraction et du mode de transfert ..................... 393 A propos du battement .......................................................... 394 Définition du mode de transfert ou d'extraction ............................... 394 Chapitre 28 Configuration des applications apprises ...................... 397 A propos des applications assimilées .............................................. 397 Activation des applications apprises. .............................................. 398 Recherche d'applications ............................................................. 400 Enregistrement des résultats d'une recherche d'application ......... 402 Section 4 Configuration de l'antivirus et de la protection contre les logiciels espions ....................................................................... 403 Chapitre 29 Paramètres de base de la politique antivirus et antispyware .................................................................. 405 Bases de la protection antivirus et antispyware ................................ 406 A propos de la création d'un plan pour réagir face aux virus et aux risques de sécurité .................................................... 406 Apropos de l'affichage de l'état d'antivirus et de protection contre les logiciels espions de votre réseau ................................... 409 A propos de l'exécution de commandes pour la protection antivirus et contre les logiciels espions ............................... 409 A propos des politiques antivirus et antispyware ........................ 410 A propos de l'utilisation des politiques antivirus et antispyware .......... 414 A propos des virus et des risques de sécurité .................................... 414 A propos des analyses ................................................................. 418 A propos des analyses Auto-Protect ......................................... 419 A propos des analyses définies par l'administrateur .................... 424 A propos des analyses proactives des menaces TruScan ............... 425 A propos de l'analyse après la mise à jour des fichiers de définitions .................................................................... 426 A propos de l'analyse des extensions ou des dossiers sélectionnés .................................................................. 426 A propos de l'exclusion de fichiers et de dossiers spécifiques .................................................................... 430 28 Table des matièresA propos des actions pour les virus et les risques de sécurité que les analyses détectent ................................................................ 431 Définir des paramètres de gestion des journaux dans une politique antivirus et antispyware ........................................................ 432 A propos de l'interaction client avec des options d'antivirus et de protection contre les logiciels espions ...................................... 433 Modifier lemot de passe nécessaire pour analyser des lecteurs réseau mappés ............................................................................... 433 Spécifier comment le Centre de sécurité Windows interagit avec le client Symantec Endpoint Protection ....................................... 434 Configuration du client Symantec Endpoint Protection pour la désactivation du Centre de sécurité Windows ...................... 434 Configurer des alertes Symantec Endpoint Protection pour leur affichage sur l'ordinateur hôte .......................................... 435 Configurer le délai de péremption pour les définitions ................ 436 Afficher un avertissement lorsque les définitions sont périmées ou manquantes ........................................................................ 436 Spécification d'une URL devant apparaître dans des notifications d'erreur d'antivirus et de protection contre les logiciels espions ............................................................................... 437 Spécifier une URL pour une page d'accueil de navigateur ................... 438 Configuration des options qui s'appliquent aux analyses antivirus et de protection contre les logiciels espions .................................. 438 Configurer des analyses des extensions de fichier choisies ........... 439 Configurer les analyses des dossiers sélectionnés ....................... 440 A propos des exceptions de risques de sécurité ........................... 441 Configurer des actions pour les virus connus et les détections de risques de sécurité .......................................................... 441 A propos des messages de notification sur les ordinateurs infectés ........................................................................ 443 Personnaliser et afficher des notifications sur les ordinateurs infectés ........................................................................ 443 Transmettre des informations sur des analyses à Symantec ............... 445 A propos de la limitation des soumissions ................................. 446 Configurer des options de soumission ...................................... 447 Gérer des fichiers en quarantaine .................................................. 448 A propos des paramètres de quarantaine .................................. 448 Spécifier un répertoire de quarantaine local .............................. 448 Configurer des options de nettoyage automatique ...................... 449 Transmettre des éléments en quarantaine à un serveur de quarantaine centralisée ................................................... 451 Transmettre des éléments en quarantaine à Symantec ................ 451 Table des matières 29Configurer des actions à effectuer à la réception de nouvelles définitions de virus ........................................................ 452 Chapitre 30 Configuration d'Auto-Protect .......................................... 453 A propos de la configuration d'Auto-Protect .................................... 453 A propos de types d'Auto-Protect .................................................. 454 Activer Auto-Protect pour le système de fichiers .............................. 454 Configuration d'Auto-Protect pour le système de fichiers ................... 455 A propos de l'analyse et et du blocage des risques de sécurité Auto-Protect .................................................................. 457 Configurer des options avancées d'analyse et de surveillance ................................................................... 458 A propos de Risk Tracer ......................................................... 458 Configurer Auto-Protect pour messagerie Internet ........................... 460 Configurer Auto-Protect pour messagerie Microsoft Outlook .............. 462 Configuration d'Auto-Protect pour messagerie Lotus Notes ............... 463 Configurer des options de notification pour Auto-Protect .................. 464 Afficher des résultats d'Auto-Protect sur les ordinateurs infectés ........................................................................ 466 Ajouter des avertissements dans les messages électroniques infectés. ........................................................................ 466 Envoi d'un avertissement aux expéditeurs d'un message infecté .......................................................................... 467 Notifier d'autres utilisateurs de messages infectés ...................... 469 Configurer des notifications de progression pour des analyses Auto-Protect pour messagerie Internet ............................... 470 Chapitre 31 Utilisation d'analyses définies par l'administrateur ........................................................... 471 A propos de l'utilisation d'analyses définies par l'administrateur ......... 471 Ajouter des analyses planifiées à une politique antivirus et antispyware ........................................................................ 472 Définir des options pour les analyses planifiées manquées ........... 474 Modifier, supprimer ou désactiver des analyses planifiées ............ 475 Configurer des options d'analyse à la demande ................................ 476 Exécuter des analyses à la demande ............................................... 477 Configurer des options de progression d'analyse pour des analyses définies par l'administrateur .................................................. 479 Définir des options avancées pour des analyses définies par l'administrateur ................................................................... 480 30 Table des matièresSection 5 Configuration de la protection contre les menaces réseau .................................................... 483 Chapitre 32 Paramètres de base de protection contre les menaces réseau ........................................................... 485 A propos de la protection contre les menaces réseau et des attaques ............................................................................. 486 Comment Symantec Endpoint Protection protège les ordinateurs contre des attaques réseau ............................................... 486 A propos du pare-feu ................................................................... 487 A propos de l'utilisation des politiques de pare-feu ........................... 488 A propos des règles de filtrage ...................................................... 489 A propos des éléments d'une règle de filtrage ............................ 489 A propos de l'ordre de traitement des règles .............................. 494 A propos de l'inspection Stateful ............................................. 498 Ajouter des règles vierges ............................................................ 499 Ajouter des règles avec l'assistant de règle de filtrage ........................ 502 Ajouter des règles héritées d'un groupe parent ................................. 503 Importation et exportation de règles .............................................. 504 Modifier et supprimer des règles ................................................... 505 Copier et coller des règles ............................................................ 506 Modification de l'ordre des règles .................................................. 506 Activer et désactiver des règles ..................................................... 507 Activation du filtrage de trafic intelligent ....................................... 507 Activation des paramètres de trafic et des paramètres furtifs ............. 508 Configuration de l'authentification point à point .............................. 509 Chapitre 33 Configuration de la prévention d'intrusion .................. 513 A propos du système de prévention d'intrusion ................................ 513 A propos des signatures IPS Symantec ..................................... 514 A propos des signatures IPS personnalisées ............................... 514 Configuration de la prévention d'intrusion ...................................... 515 A propos de l'utilisation des politiques de prévention d'intrusion .................................................................... 516 Activation des paramètres de prévention d'intrusion .................. 516 Modifier le comportement des signatures IPS Symantec .............. 517 Blocage d'un ordinateur attaquant ........................................... 519 Installation d'une liste des ordinateurs exclus ............................ 519 Création de signatures IPS personnalisées ...................................... 521 Attribution de multiples bibliothèques IPS personnalisées à un groupe .......................................................................... 523 Table des matières 31Modifier l'ordre des signatures ................................................ 524 Copier et coller des signatures ................................................ 525 Définir des variables pour des signatures .................................. 525 Chapitre 34 Personnalisation de la protection contre les menaces réseau ........................................................... 527 Activer et désactiver la protection contre les menaces réseau ............. 528 Configurer des paramètres de protection contre les menaces réseau pour la commande mélangée .................................................. 529 Ajouter des hôtes et des groupes d'hôtes ......................................... 530 Modifier et supprimer les groupes d'hôtes ....................................... 531 Ajout d'hôtes et de groupes d'hôtes à une règle ................................ 532 Ajout de services réseau ............................................................... 533 Modifier et supprimer des services réseau personnalisés ................... 534 Ajout des services réseau à une règle .............................................. 535 Activation du partage des fichiers et des imprimantes du réseau ......... 536 Ajouter des adaptateurs réseau ..................................................... 538 Ajout de cartes réseau à une règle .................................................. 539 Modifier et supprimer les adaptateurs réseau personnalisés ............... 539 Ajouter des applications à une règle ............................................... 540 Ajout de planifications à une règle ................................................. 541 Configurer des notifications pour la protection contre les menaces réseau ................................................................................ 542 Configurer les messages électroniques pour les événements de trafic ............................................................................ 544 Installation de la surveillance d'application réseau ........................... 545 Section 6 Configuration de la protection proactive contre les menaces ............................................. 549 Chapitre 35 Configuration des analyses proactives desmenaces de TruScan .................................................................... 551 A propos des analyses proactives des menaces TruScan ..................... 552 A propos de l'utilisation des paramètres par défaut de Symantec ......... 553 A propos des processus détectés par les analyses proactives des menaces TruScan ................................................................. 553 A propos de la gestion des faux positifs détectés par les analyses proactives des menaces TruScan ............................................. 555 A propos de les processus que les analyses proactives des menaces TruScan ignorent ................................................................. 559 32 Table des matièresCommentles analyses proactives desmenaces TruScan fonctionnent avec la quarantaine ............................................................... 559 Commentles analyses proactives desmenaces TruScan fonctionnent avec des exceptions centralisées .............................................. 560 Comprendre les détections proactives des menaces TruScan .............. 561 Spécifier les types de processus que les analyses proactives des menaces détectent .......................................................... 563 Spécification des actions et des niveaux de sensibilité pour détecter des chevaux de Troie, des vers et des enregistreurs de frappe ...................................................................... 564 Spécifier des actions pour les détections d'application commerciale .................................................................. 565 Configurer la fréquence d'analyse proactive des menaces TruScan .............................................................................. 565 Configuration des notifications pour les analyses proactives des menaces TruScan ................................................................. 566 Chapitre 36 Configuration de Contrôle des applications et des périphériques ............................................................... 569 A propos du contrôle des applications et des périphériques ................ 570 A propos de la structure d'une politique de contrôle des applications et des périphériques .............................................................. 571 A propos du contrôle des applications ............................................ 572 A propos du mode test ........................................................... 573 A propos des règles et des groupes de règles de contrôle des applications .................................................................. 573 A propos du contrôle des périphériques .......................................... 577 A propos de l'utilisation des politiques de contrôle des applications et des périphériques .............................................................. 577 Créer un ensemble de règles par défaut de contrôle des applications ........................................................................ 579 Création d'une politique de contrôle des applications et des périphériques ...................................................................... 579 Configuration du contrôle des applications pour une politique de contrôle des applications et des périphériques ........................... 580 Création d'un groupe de règles de contrôle de l'application et ajout d'une nouvelle règle au groupe .................................. 581 Ajout de conditions à une règle ............................................... 583 Configuration des propriétés de condition d'une règle ................. 583 Configurer les actions à prendre lorsqu'une condition est remplie ......................................................................... 585 Table des matières 33Application d'une règle à des applications spécifiques et exclusion d'une règle pour certaines applications ............................... 587 Modification de l'ordre dans lequel les ensembles de règles de contrôle des applications sont appliqués. ............................ 589 Désactivation des ensembles de règles de contrôle des applications et des règles individuelles dans une politique de contrôle des applications et des périphériques ................. 589 Modification du mode d'un ensemble de règles de contrôle des applications .................................................................. 590 Configuration d'un contrôle des périphériques pour une politique de contrôle des applications et des périphériques ........................... 591 Chapitre 37 Installation d'équipements .............................................. 593 A propos des périphériques matériels ............................................. 593 A propos des identificateurs de classe ...................................... 594 Obtenir un ID de périphérique du Panneau de configuration ............... 594 Ajouter un périphérique matériel .................................................. 595 Modifier un périphérique matériel ................................................. 595 Supprimer un périphérique matériel .............................................. 596 Chapitre 38 Personnalisation des politiques de contrôle des applications et des périphériques ............................ 597 A propos de l'autorisation d'utiliser des applications, des correctifs et des utilitaires ................................................................... 597 Créer et importer une liste de signatures de fichiers .......................... 598 Création d'une liste de signatures de fichiers ............................. 599 Modifier une liste de signatures de fichier ................................. 600 Importer une liste de signatures de fichiers vers une politique partagée ....................................................................... 601 Fusion des listes de signatures de fichier dans une politique partagée ....................................................................... 602 Suppression d'une liste de signatures de fichier ......................... 603 A propos du verrouillage du système .............................................. 603 Prérequis au verrouillage du système ....................................... 604 Configurer le verrouillage du système ............................................ 605 34 Table des matièresSection 7 Configuration des exceptions centralisées ............................................................. 609 Chapitre 39 Configuration des politiques d'exceptions centralisées ................................................................... 611 A propos des politiques d'exceptions centralisées ............................. 611 A propos de l'utilisation des politiques d'exceptions centralisées ................................................................... 612 A propos des exceptions centralisées pour les analyses antivirus et de protection contre les logiciels espions ......................... 613 Apropos des exceptions centralisées pour les analyses proactives des menaces TruScan ...................................................... 613 A propos des exceptions centralisées pour la protection contre les interventions ............................................................ 614 A propos des interactions de client avec les exceptions centralisées ................................................................... 614 Configuration d'une politique d'exceptions centralisées ..................... 615 Configurer une exception centralisée pour les analyses antivirus et de protection contre les logiciels espions ......................... 616 Configuration d'une exception centralisée pour les analyses proactives des menaces TruScan ....................................... 619 Configurer une exception centralisée pour la protection contre les interventions ............................................................ 621 Configurer des restrictions client pour des exceptions centralisées ......................................................................... 621 Création d'exceptions centralisées à partir des événements de journal ............................................................................... 622 Ajouter une exception centralisée pour des événements de risque ........................................................................... 623 Ajouter une exception centralisée pour des événements d'analyse proactive des menaces TruScan ........................................ 624 Ajout d'une exception centralisée pour des événements de protection contre les interventions .................................... 624 Table des matières 35Section 8 Configuration de l'intégrité d'hôte pour la conformité de la politique de terminal ..................................................................... 627 Chapitre 40 Paramètres d'intégrité d'hôte de base .......................... 629 Fonctionnement de l'application d'intégrité de l'hôte ........................ 629 A propos de l'utilisation des politiques d'intégrité de l'hôte ................ 632 A propos de la politique de quarantaine .................................... 632 A propos de la planification des conditions d'intégrité de l'hôte ........... 633 A propos des conditions d'intégrité de l'hôte .............................. 634 Ajout des conditions d'intégrité de l'hôte ........................................ 635 Modifier et effacer une condition d'intégrité de l'hôte ....................... 637 Activer et désactiver des conditions d'intégrité de l'hôte .................... 638 Modification de l'ordre des conditions d'intégrité de l'hôte ................. 638 Ajout d'une condition d'intégrité de l'hôte à partir d'un modèle ........... 639 A propos des paramètres des vérifications de l'intégrité de l'hôte ................................................................................. 639 Configurer la connexion etles notifications pour une vérification de l'intégrité de l'hôte ...................................................... 641 Autoriser le contrôle d'intégrité d'hôte à réussir même si une spécification échoue ....................................................... 643 A propos de la résolution d'intégrité de l'hôte .................................. 643 A propos de la restauration des applications et des fichiers pour l'intégrité de l'hôte ......................................................... 644 Paramètres de résolution d'intégrité de l'hôte et d'Enforcer .......... 645 Spécification du temps d'attente du client pour la résolution .............. 645 Permettre à des utilisateurs de remettre à plus tard ou d'annuler la résolution d'intégrité de l'hôte ................................................ 646 Chapitre 41 Ajout de conditions personnalisées ............................... 649 A propos des conditions requises personnalisées .............................. 649 A propos des conditions ............................................................... 650 A propos des conditions d'antivirus ......................................... 650 A propos des conditions de protection contre les logiciels espions ......................................................................... 651 A propos des conditions de pare-feu ......................................... 652 A propos des conditions des fichiers ......................................... 652 A propos des conditions des systèmes d'exploitation ................... 654 A propos des conditions du registre ......................................... 655 A propos des fonctions ................................................................ 657 36 Table des matièresA propos de la logique de condition personnalisée ............................ 658 A propos de l'instruction RETURN ........................................... 658 A propos de l'instruction IF, THEN et ENDIF .............................. 659 A propos de l'instruction ELSE ................................................ 659 A propos du mot-clé NON ....................................................... 659 A propos des mots-clés AND et OR ........................................... 659 Rédaction d'un script de la condition requise personnalisée ............... 660 Ajout d'une instruction IF THEN ............................................. 662 Passage de l'instruction IF à l'instruction IF NOT ....................... 662 Ajout d'une instruction ELSE .................................................. 663 Ajout d'un commentaire ........................................................ 663 Copier et coller des instructions IF, des conditions, des fonctions et des commentaires ....................................................... 664 Suppression d'une instruction, d'une condition ou d'une fonction ........................................................................ 664 Affichage d'une zone de message ................................................... 664 Téléchargement d'un fichier ......................................................... 665 Génération d'un message de journal ............................................... 666 Exécution d'un programme .......................................................... 667 Exécution d'un script .................................................................. 668 Définition de l'estampille temporelle d'un fichier ............................. 669 Définition d'un temps d'attente pour le script .................................. 670 Annexe A Utilisation de l'interface de ligne de commande .................................................................... 671 Le service client ......................................................................... 671 Codes d'erreur ..................................................................... 675 Saisie d'un paramètre si le client est protégé par mot de passe ............................................................................ 675 Index ................................................................................................................... 677 Table des matières 3738 Table des matièresTâches administratives de base ¦ Présentation de Symantec Endpoint Protection Manager ¦ Introduction à la protection de base ¦ Configuration de domaines, de groupes et de clients ¦ Gérer les administrateurs ¦ Utilisation des paquets d'installation client ¦ Mise à jour des définitions et du contenu ¦ Limitation de l'accès des utilisateurs aux fonctions client ¦ Configuration de connexions entre les serveurs de gestion et les clients ¦ Informations de base sur la création de rapports ¦ Affichage et configuration des rapports ¦ Affichage et configuration des journaux et des notifications ¦ Utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau Section 140Présentation de Symantec Endpoint Protection Manager Ce chapitre traite des sujets suivants : ¦ A propos des tâches administratives ¦ Connexion à Symantec Endpoint Protection Manager ¦ Mode d'organisation de la console de Symantec Endpoint Protection Manager A propos des tâches administratives Avant d'effectuer des tâches administratives dans Symantec Endpoint Protection Manager, vous devez d'abord installer le serveur de gestion dans un environnement de test. L'administrateur système qui installe le serveur de gestion effectue les tâches administratives pour Symantec Endpoint Protection et Symantec Network Access Control. Pour plus d'informations, consultez le Guide d'installation de Symantec Endpoint Protection et Symantec Network Access Control. Les tâches administratives comprennentles tâches de base etles tâches avancées. La plupart des organisations doivent effectuer uniquement les tâches administratives de base. Les organisations plus petites, moins complexes sont moins susceptibles d'effectuer des tâches administratives avancées. La plupart des paramètres par défaut doivent répondre aux exigences des tâches administratives de base. Ces paramètres par défaut sont décrits en premier. Les organisations personnalisant les paramètres par défaut effectuent les tâches administratives avancées. Chapitre 1Le Tableau 1-1 décrit l'organisation des sections du document, qui doit lire quelle section et donne une vue d'ensemble du contenu. Tableau 1-1 Organisation et contenu du document Section Public Pour tous les administrateurs. Inclutla gestion des administrateurs, des clients, la mise à jour des définitions et du contenu et les principes de base des rapports et de la surveillance. Section 1 : Tâches administratives de base Pour des entreprises de grande taille. Inclut la gestion de plusieurs sites, la gestion de serveurs de divers types, la réplication des données d'un site à l'autre et la gestion de la protection contre les interventions. Section 2 : Tâches administratives avancées Pour tous les administrateurs. Inclut une vue d'ensemble des politiques de tous les types, les concepts d'héritage et d'emplacement ainsi que l'utilisation des applications apprises. Section 3 : Tâches de gestion des politiques générales Pour tous les administrateurs. Inclut la configuration de la politique antivirus et antispyware, la configuration d'Auto-Protect et la définition d'analyses définies par l'administrateur. Section 4 : Configuration de la protection antivirus et antispyware Pour les administrateurs qui veulent configurer des pare-feu. Les paramètres par défaut suffisent généralement, mais les administrateurs disposant d'une compréhension détaillée des réseaux peuvent ajuster leurs paramètres. Section 5 : Configuration de la protection contre les menaces réseau Pour les administrateurs qui doivent aller au-delà des technologies d'antivirus, de protection contre les logiciels espions, de prévention d'intrusion et de pare-feu. Utilise des technologies heuristiques pour détecter les menaces inconnues. Section 6 : Configuration de la protection proactive contre les menaces Présentation de Symantec Endpoint Protection Manager A propos des tâches administratives 42Section Public Pour les entreprises de grande taille. Inclut les informations sur la méthode de configuration des exceptions pour les analyses antivirus et contre les logiciels espions, les analyses proactives des menaces TruScan et les analyses de protection contre les interventions. Section 7 : Configuration des exceptions centralisées Composant facultatif. Décritlaméthode de configuration des politiques d'intégrité d'hôte afin d'assurer la conformité des terminaux client à la politique de sécurité. Section 8 : Configuration d'intégrité d'hôte pour la conformité aux politiques de terminal client. Pour tous les administrateurs. Liste les paramètres de service client que vous pouvez utiliser avec la commande smc. Annexe A : Utilisation de l'interface de ligne de commande Connexion à Symantec Endpoint Protection Manager Vous pouvez vous connecter à la console Symantec Endpoint Protection Manager après avoir installé Symantec Endpoint Protection. Vous pouvez vous connecter à la console de deux façons. Vous pouvez vous connecter à distance à partir d'un autre ordinateur qui possède la configuration requise pour une console distante. Vous pouvez également vous connecter à la console localement, en utilisant l'ordinateur sur lequel Symantec Endpoint Protection Manager est installé. Beaucoup d'administrateurs ouvrent une session à distance etils peuvent effectuer les mêmes tâches que les administrateurs qui ouvrent une session localement. Pour ouvrir une session à distance, vous devez connaître l'adresse IP ou le nom d'hôte de Symantec Endpoint Protection Manager. Vous devriez également vous assurer que vos options Internet de navigateur Web vous permettent d'afficher le contenu du serveur auquel vous vous connectez. Ce que vous pouvez afficher et faire à partir de la console dépend du type d'administrateur que vous êtes. Vous pouvez ouvrir une session en tant qu'administrateur système, administrateur ou administrateur limité. Un administrateur système possède plein de privilèges dans tous les domaines. Un administrateur possède des privilèges qui sont limités à un domaine spécifique. Un administrateur limité possède un sous-ensemble de privilèges administrateur et est également limité à un domaine spécifique. Si vous avez installé Symantec Endpoint ProtectionManager, vous êtes un administrateur système. Si quelqu'un d'autre a installéManager, votre état peut être différent. La plupart des entreprises, Présentation de Symantec Endpoint Protection Manager 43 Connexion à Symantec Endpoint Protection Managercependant, n'ont pas besoin d'être préoccupées par les domaines ou l'état d'administrateur limité. La plupart des administrateurs dans les plus petites entreprises se connectent en tant qu'administrateur système. Se reporter à "A propos des administrateurs" à la page 83. Pour se connecter à la console Symantec Endpoint Protection Manager à distance 1 Ouvrez un navigateur Web et tapez l'adresse suivante dans la zone de texte d'adresse : http://host name:9090 où host name est le nom d'hôte ou l'adresse IP de Symantec Endpoint Protection Manager. Par défaut, la console Symantec Endpoint Protection Manager utilise le numéro de port 9090, mais vous pouvez le modifier si vous exécutez l'assistant de configuration du serveur de gestion. 2 Quand vous consultez la pageWeb de la console Symantec Endpoint Protection Manager, cliquez sur le lien pour afficher l'écran de connexion. L'environnement d'exécution Java 2 (JRE) doit être installé sur l'ordinateur à partir duquel vous vous connectez. S'il ne l'est pas, vous êtes invité à le télécharger et à l'installer. Suivez les invites pour installer le JRE. Active X doit également être installé et la fonction de script doit être activée. 3 Quand vous ouvrez une session, il se peut qu'un message s'affiche vous avertissant que le nom d'hôte n'est pas correct. Si ce message apparaît, en réponse à l'invite, cliquez sur Oui. Ce message signifie que l'URL de la console Symantec Endpoint Protection Manager distante que vous avez spécifié ne correspond au nom du certificat de Symantec Endpoint Protection. Ce problème survient si vous ouvrez une session et spécifiez une adresse IP plutôt que le nomd'ordinateur de la console Symantec Endpoint Protection Manager. 4 Dans la fenêtre de téléchargement de Symantec Endpoint ProtectionManager qui apparaît, cliquez sur le lien pour télécharger Symantec Endpoint Protection Manager. 5 Cliquez sur Oui ou Non quand vous êtes invité à créer les raccourcis du menu de démarrage et du Bureau. Toutes les deux sont des options acceptables. Présentation de Symantec Endpoint Protection Manager Connexion à Symantec Endpoint Protection Manager 446 Dans la fenêtre de connexion de la console Symantec Endpoint Protection Manager qui s'affiche, tapez votre nom d'utilisateur et votre mot de passe. Si cette connexion est votre première connexion à Symantec Endpoint Protection après l'installation,tapez le nomde compte : admin. Ensuite,tapez le mot de passe que vous avez configuré quand vous avez installé le produit. 7 Si votre réseau a seulement un domaine, ignorez cette étape. Si votre réseau possède plusieurs domaines, dans la zone de texte Domaine, tapez le nom du domaine auquel vous voulez vous connecter. Si la zone de texte Domaine n'est pas visible, cliquez sur Options>>. L'affichage de la zone de texte Domaine dépend de l'état de celle-ci la dernière fois que vous vous êtes connecté. 8 Cliquez sur Ouvrir une session. Vous pouvez recevoir un ou plusieurs messages d'avertissement de sécurité pendant que la console Symantec Endpoint Protection Manager distante démarre. Dans ce cas, cliquez sur Oui, Exécuter, Démarrer ou leur équivalent et continuer jusqu'à ce que la console Symantec Endpoint ProtectionManager apparaisse. Pour se connecter à la console Symantec Endpoint Protection Managerlocalement 1 Apartir dumenu Démarrer deWindows, cliquez surProgrammes>Symantec Endpoint ProtectionManager > Console Symantec Endpoint Protection Manager. 2 Dans l'invite de connexion Symantec Endpoint Protection Manager, tapez le nom d'utilisateur (admin, par défaut) et le mot de passe que vous avez configurés pendant l'installation. Si vous êtes un administrateur et que vous n'avez pas installé le serveur de gestion, utilisez le nom d'utilisateur et le mot de passe que votre administrateur vous a attribués. 3 Effectuez l'une des tâches suivantes : ¦ Si la console possède seulement un domaine, passez directement à l'étape 4. ¦ Si la console comporte plusieurs domaines, cliquez sur Options>> et entrez le nom de domaine. 4 Cliquez sur Ouvrir une session. Présentation de Symantec Endpoint Protection Manager 45 Connexion à Symantec Endpoint Protection ManagerMode d'organisation de la console de Symantec Endpoint Protection Manager La console Symantec Endpoint Protection Manager présente une vue précise de votre sécurité réseau. Elle fournit un emplacement central à partir duquel vous gérez Symantec Endpoint Protection et Symantec Network Access Control. La console représente l'emplacement auquel vous effectuez les modifications de politique de sécurité client. Quand vous ouvrez une session de Symantec Endpoint Protection Manager la première fois, vous afficher la page d'accueil de la console de Symantec Endpoint Protection Manager et une barre de navigation qui contientles onglets de la page. La barre de navigation de la console Symantec Endpoint Protection Manager est située le long du côté gauche du volet. Symantec Endpoint Protection Manager contient six pages. Chaque page représente une grande catégorie de fonction de gestion. Une icône représente chacune de ces catégories, avec un texte descriptif concernant la fonction de la page. Vous pouvez cliquer sur une icône de la barre de navigation pour afficher la page correspondante. Les icônes sont toujours disponibles pour vous aider à naviger d'une page à l'autre. Figure 1-1 affiche la barre de navigation de Symantec Endpoint Protection Manager. Présentation de Symantec Endpoint Protection Manager Mode d'organisation de la console de Symantec Endpoint Protection Manager 46Figure 1-1 Barre de navigation Remarque : Les administrateurs système et les administrateurs limités peuvent avoir accès à moins d'options, selon les autorisations affectées à leurs comptes. Présentation de Symantec Endpoint Protection Manager 47 Mode d'organisation de la console de Symantec Endpoint Protection ManagerLa page d'accueil, la page Contrôleurs etla pageRapports fournissent des fonctions de rapport à utiliser pour contrôler la sécurité de votre réseau. La page Politiques, la page Clients et la page Admin sont utilisées pour configurer et gérer votre politique de sécurité réseau. Tableau 1-2 présente chaque icône de barre de navigation et décritla fonctionnalité à laquelle elle est liée. Tableau 1-2 Icônes de navigation Nom Description Affiche l'état de sécurité de votre réseau et les informations de résumé de définition de virus. Cette page correspond à votre panneau de configuration, il s'agit de la page par défaut sur laquelle la console Symantec Endpoint Protection Manager s'ouvre. Accueil Affiche les journaux de contrôle. Vous pouvez également utiliser ces pages pour afficher et configurer les notifications, ainsi que pour contrôler l'état des commandes. Contrôleurs Affiche les rapports.Vous avez le choix entre lesRapports rapides prédéfinis et personnalisables et les Rapports planifiés configurables. Rapports Affiche les politiques pour chaque tpe de politique. Utilisez cette page pour gérer vos politiques. Politiques Affiche les informations politiques pour les clients et les groupes. Utilisez cette page pour gérer les politiques appliquées aux clients sur les paquets d'installation. Clients Admin Affiche les informations de configuration réservées aux administrateurs. Page d'accueil La page d'accueil affiche l'état de la sécurité et des informations générales résumées de définition de virus. Si Symantec Endpoint Protection est installé, votre page d'accueil affiche des informations sur la sécurité de votre réseau. Si Symantec Network Access Control seulement est installé, votre page d'accueil affiche les rapports générés automatiquement concernant l'état de conformité de votre réseau. La page d'accueil de Symantec Endpoint Protection contientles sections suivantes : ¦ Etat de la sécurité ¦ Résumé des actions par nombre détections ¦ Attaques, Risques ou Infections par heure : Dernières 12 heures Présentation de Symantec Endpoint Protection Manager Mode d'organisation de la console de Symantec Endpoint Protection Manager 48¦ Etat Résumé, y compris les notifications sans accusé de réception dans les 24 dernières heures ¦ Distribution des définitions de virus ou signatures de prévention d'intrusion ¦ Informations et liens de Security Response ¦ Résumé des applications surveillées ¦ Rapports préférés Se reporter à "Utilisation de la page d'accueil de Symantec Endpoint Protection" à la page 155. La page d'accueil de Symantec Network Access Control contient les sections suivantes : ¦ Echec d'état de conformité du réseau ¦ Distribution d'état de conformité ¦ Résumé des clients par échec de conformité ¦ Détails d'échec de conformité Se reporter à "Utiliser la page d'accueil de Symantec Network Access Control" à la page 165. Etat de la sécurité L'état de la sécurité peut être Bon ou Attention requise. Si l'état est Attention requise, vous pouvez cliquer sur l'icône X rouge ou sur le lien Plus de détals pour afficher plus d'informations. Vous pouvez aussi cliquer sur Préférences pour accéder à la page Préférences permettant de configurer vos préférences de création de rapports. Se reporter à "Configuration des seuils d'état de sécurité" à la page 169. Rapports préférés Par défaut, la section des rapports préférés de la page d'accueil contient les rapports suivants : ¦ Principales sources d'attaque ¦ Corrélation des principales détections de risque ¦ Distribution proactive des menaces TruScan Vous pouvez cliquer sur l'icône du signe plus à droite des rapports préférés pour changer les rapports qui apparaissent dans cette section de la page d'accueil. Présentation de Symantec Endpoint Protection Manager 49 Mode d'organisation de la console de Symantec Endpoint Protection ManagerSe reporter à "Configuration des Rapports sur les favoris dans la page d'accueil" à la page 162. Page Contrôles Vous pouvez utiliser la pageMoniteurs pour afficher les informations des journaux, pour afficher et configurer les notifications, et pour afficher le statut de la commande. Cette page contient les journaux et les notifications que les administrateurs peuvent utiliser pour contrôler leurs réseaux. La page Contrôles contient les onglets suivants : ¦ Résumé Si vous avez installé Symantec Endpoint Protection, vous pouvez choisir parmi plusieurs vues résumées. Vous pouvez choisir d'afficher Protection antivirus et antispyware, Protection contre les menaces réseau, Conformité ou Etat du site. Si vous avez seulementinstallé Symantec NetworkAccess Control, l'onglet Résumé affiche les informations sur l'état du site. Si vous avez seulement installé Symantec Network Access Control, les informations de conformité apparaissent sur la page d'accueil. Se reporter à "Utiliser l'onglet Résumé de la page Contrôleurs" à la page 211. ¦ Journaux Les journaux présententles informations détaillées qui sont recueillies à partir de vos produits de sécurité. Les journaux contiennent des données d'événements des serveurs de gestion et des clients. Vous pouvez également exécuter des actions à partir de certains journaux. Certains administrateurs préfèrent contrôler leur réseau principalement en utilisant des journaux. Se reporter à "A propos des types de journaux, du contenu et des commandes" à la page 204. ¦ Etat de commande L'onglet Etat de la commande affiche l'état des commandes que vous avez exécutées à partir de la console Symantec Endpoint Protection Manager et leurs détails. Se reporter à "Exécuter des commandes et des actions à partir des journaux" à la page 221. ¦ Notifications Une notification est un message qui vous avertit des problèmes de sécurité potentiels de votre réseau. Vous pouvez configurer un grand nombre d'événements différents devant déclencher une notification. Les notifications de l'onglet Notifications ne sont dirigées vers les administrateurs, et non vers les utilisateurs. Se reporter à "Utilisation des notifications" à la page 230. Présentation de Symantec Endpoint Protection Manager Mode d'organisation de la console de Symantec Endpoint Protection Manager 50Page Rapports La pageRapports permet d'obtenir une vue d'ensemble générale de l'état de sécurité de votre réseau. Les rapports sont des clichés graphiques des événements qui se produisent sur votre réseau et des statistiques concernant les événements. Vous pouvez utiliser les filtres de la page Rapports pour générer des rapports prédéfinis ou personnalisés. Les rapports prédéfinis se trouvent dans l'onglet Rapports rapides. Dans l'onglet Rapports planifiés, vous pouvez programmer des rapports pour qu'ils s'exécutent à intervalles réguliers et soient envoyés par courrier électronique à vous-même ou à d'autres utilisateurs. Se reporter à "A propos des rapports" à la page 176. Page Politiques La page Politiques permet de créer des politiques téléchargées sur le client. Les clients se connectent au serveur pour obtenir les politiques et les paramètres de sécurité les plus récents, et les mises à jour du logiciel sont déployées à partir de là. Les politiques disponibles dépendent des composants produit installés. La page Politiques contient les volets suivants : ¦ Afficher les politiques Le volet Afficher les politiques liste les types de politique qui peuvent être affichés dans le volet supérieur droit : Antivirus et antispyware, Pare-feu, Prévention d'intrusion, Contrôle d'application et de périphérique, LiveUpdate et Exceptions centralisées. Vous pouvez également afficher les politiques d'intégrité de l'hôte si Symantec Network Access Control est installé. Cliquez sur la flèche à côté de Composants de politique pour développer la liste des composants si elle n'est pas déjà affichée. ¦ Composants de politique Le volet Composants de politique liste les divers types de composants de politique qui sont disponibles. Ces composants incluent notamment les listes de serveurs de gestion et les listes de signatures de fichier. ¦ Tâches Le volet Tâches liste les tâches appropriées pour la politique que vous sélectionnez sous Afficher les politiques. ¦ Type de politique, volet Politiques Le volet droit change en réponse à la politique que vous sélectionnez sous Afficher les politiques. Pour certains choix, le volet est segmenté horizontalement. Dans ce cas, la moitié inférieure du volet affiche les modifications récentes pour la politique sélectionnée. Présentation de Symantec Endpoint Protection Manager 51 Mode d'organisation de la console de Symantec Endpoint Protection ManagerPour plus d'informations sur les différents types de politiques et leurs options, consultez les chapitres qui leur sont consacrés. Page Clients La page Clients permet de gérer les ordinateurs etles utilisateurs de votre réseau. La page Clients comprend les volets suivants : ¦ Afficher les clients La page Afficher les clients présente les groupes de la structure de gestion des clients, organisés de manière hiérarchique sous forme d'arborescence. Par défaut, cette structure contient le groupe Global, puis au niveau inférieur, le groupe Temporaire. ¦ Tâches Le volet Tâches liste les tâches client-connexes que vous pouvez effectuer. ¦ Volet nom du groupe Le volet droit contient quatre onglets : Clients, Politiques, Détails et Paquets d'installation. Chaque onglet affiche le contenu relatif au groupe sélectionné dans le volet Afficher les clients. Vous pouvez effectuer les tâches suivantes depuis l'onglet Clients : ¦ Ajouter des groupes, des comptes d'ordinateur et des comptes d'utilisateur. ¦ Importer une unité organisationnelle ou un conteneur. ¦ Importer des utilisateurs directement depuis Active Directory ou un serveur LDAP. ¦ Exécuter des commandes sur des groupes. ¦ Rechercher des clients. ¦ Afficher des groupes ou des utilisateurs. ¦ Rechercher des ordinateurs non gérés. Depuis l'onglet Politiques, vous pouvez définir certaines options indépendantes de l'emplacement pour le contenu LiveUpdate, les journaux client, les communications et quelques paramètres généraux.Vous pouvez également définir certaines options spécifiques à l'emplacement telles que le mode de commande et les communications "push" ou "pull" entre le serveur et le client. Vous pouvez effectuer les tâches suivantes depuis l'onglet Politiques : ¦ Ajouter des emplacements. ¦ Gérez les emplacements. ¦ Copier des politiques de groupe. Présentation de Symantec Endpoint Protection Manager Mode d'organisation de la console de Symantec Endpoint Protection Manager 52¦ Ajouter des groupes. Vous pouvez effectuer les tâches suivantes depuis l'onglet Détails : ¦ Ajouter des groupes. ¦ Importer une unité organisationnelle ou un conteneur. ¦ Supprimer des groupes. ¦ Renommer des groupes. ¦ Déplacer des groupes. ¦ Modifier des propriétés de groupe. Dans l'onglet Paquets d'installation, vous pouvez configurer et ajouter un nouveau paquet d'installation client. Utilisez le serveur de gestion pour créer puis exporter un ou plusieurs paquets d'installation client vers un serveur de gestion du site. Après avoir exporté le paquet d'installation client vers le serveur de gestion, vous installez les fichiers du paquet sur des ordinateurs client. A propos des icônes relatives à l'état du client Lorsque vous affichez les clients d'un groupe, des icônes apparaissent pour indiquer l'état de chaque client. Le Tableau 1-3 illustre et décrit ces icônes. Tableau 1-3 Icônes d'état du client Icône Description Cette icône indique l'état suivant : ¦ Le client communique avec Symantec Endpoint Protection Manager. ¦ Le client se trouve en mode Ordinateur. Cette icône indique l'état suivant : ¦ Le client ne communique pas avec Symantec Endpoint Protection Manager. ¦ Le client se trouve en mode Ordinateur. ¦ Le client est susceptible d'avoir été ajouté à partir de la console et de ne disposer d'aucun logiciel client Symantec. Présentation de Symantec Endpoint Protection Manager 53 Mode d'organisation de la console de Symantec Endpoint Protection ManagerIcône Description Cette icône indique l'état suivant : ¦ Le client communique avec Symantec Endpoint Protection Manager. ¦ Le client se trouve en mode Ordinateur. ¦ Le client est un détecteur de périphériques non gérés. Cette icône indique l'état suivant : ¦ Le client ne communique pas avec Symantec Endpoint Protection Manager. ¦ Le client se trouve en mode Ordinateur. ¦ Le client est un détecteur de périphériques non gérés. Cette icône indique l'état suivant : ¦ Le client communique avec Symantec Endpoint Protection Manager. ¦ Le client se trouve en mode Utilisateur. Cette icône indique l'état suivant : ¦ Le client ne communique pas avec Symantec Endpoint Protection Manager. ¦ Le client se trouve en mode Utilisateur. ¦ Le client est susceptible d'avoir été ajouté à partir de la console et de ne disposer d'aucun logiciel client Symantec. Cette icône indique l'état suivant : ¦ Le client communique avec SymantecEndpointProtectionManager dans un autre site. ¦ Le client se trouve en mode Ordinateur. Cette icône indique l'état suivant : ¦ Le client communique avec SymantecEndpointProtectionManager dans un autre site. ¦ Le client se trouve en mode Ordinateur. ¦ Le client est un détecteur de périphériques non gérés. Cette icône indique l'état suivant : ¦ Le client communique avec SymantecEndpointProtectionManager dans un autre site. ¦ Le client se trouve en mode Ordinateur. Présentation de Symantec Endpoint Protection Manager Mode d'organisation de la console de Symantec Endpoint Protection Manager 54Les utilisateurs sur le client peuvent également afficher des icônes d'état semblables. Pour plus d'informations, consultez le Guide client de Symantec Endpoint Protection et Symantec Network Access Control. Page Admin La page Admin permet de gérer les comptes d'administrateur, les propriétés de domaine, de serveur et de site, ainsi que les paquets d'installation client pour votre réseau. Quand vous sélectionnez l'onglet Administrateurs, le volet Afficher affiche tous les administrateurs qui gèrent le domaine auquel l'administrateur est connecté. Il inclut tous les administrateurs système, administrateurs et administrateurs limités. La page Admin de Symantec Endpoint Protection Manager contient les volets suivants : ¦ Afficher les administrateurs, Domaines, Serveurs ou Paquets d'installation. La vue qui apparaît dépend de la sélection que vous faites au bas du volet de navigation. ¦ Tâches Le volet Tâches liste les tâches que vous pouvez effectuer depuis la pageAdmin. Ces tâches changent selon la sélection que vous faites au bas du volet de navigation. ¦ Volet droit Le volet droit affiche le contenu qui concerne la sélection effectuée au bas du volet de navigation. Quand vous sélectionnez Administrateurs, vous pouvez ajouter, supprimer et modifier des comptes d'administrateur. Quand vous sélectionnez Domaines, vous pouvez ajouter, renommer et modifier les propriétés des domaines. Les domaines fournissent une approche logique pour grouper des ordinateurs dans de grands réseaux. Si votre réseau est de taille réduite, vous n'utilisez probablement que le domaine par défaut, nommé Default.. Quand vous sélectionnez Serveurs, les tâches disponibles changent selon ce que vous avez sélectionné dans l'arborescence de navigation Afficher les serveurs. Vous pouvez sélectionner Site local, un serveur spécifique ou l'hôte local. Quand vous sélectionnez Site local, vous pouvez effectuer les tâches suivantes : ¦ Modifier les propriétés de site, telles que le délai de console, les paramètres LiveUpdate et les paramètres de base de données. ¦ Configurer la consignation externe pour envoyer des journaux à un serveur de fichiers ou un serveur Syslog. Présentation de Symantec Endpoint Protection Manager 55 Mode d'organisation de la console de Symantec Endpoint Protection Manager¦ Ajouter un partenaire pour la réplication de site. ¦ Télécharger le contenu LiveUpdate. ¦ Afficher l'état de LiveUpdate. ¦ Afficher les téléchargements LiveUpdate. Quand vous sélectionnez un serveur spécifique, vous pouvez effectuer les tâches suivantes : ¦ Modifier les propriétés de serveur, telles que le serveur de messagerie, le serveur de répertoire et les options de serveur proxy. ¦ Supprimer des serveurs. ¦ Gérer les certificats d'authentification de serveur. ¦ Configurer l'authentification SecurID RSA. ¦ Importer et exporter les propriétés de ce serveur dans un fichier XML. Quand vous sélectionnez Paquets d'installation, vous pouvez ajouter, supprimer, modifier et exporter les paquets d'installation client. Vous pouvez également envoyer un paquet à des groupes et définir des options pour collecter des données utilisateur. Présentation de Symantec Endpoint Protection Manager Mode d'organisation de la console de Symantec Endpoint Protection Manager 56Introduction à la protection de base Ce chapitre traite des sujets suivants : ¦ Catégories de protection Catégories de protection Symantec Endpoint Protection fournit plusieurs catégories de protection pour les ordinateurs de votre réseau de sécurité. Ces catégories incluent : ¦ Protection antivirus et contre les logiciels espions ¦ Protection contre les menaces réseau ¦ Protection proactive contre les menaces ¦ intégrité de l'hôte Remarque : Les politiques d'intégrité de l'hôte sont disponibles seulement avec le Symantec Network Access Controlproduit. Symantec Network Access Control peut être installé seul ou peut être installé avec Symantec Endpoint Protection. Toutes les autres catégories de la protection sontfournies avec Symantec Endpoint Protection mais ne le sont pas avec Symantec Network Access Control. Figure 2-1 affiche les catégories de menaces qui sont bloquées par chaque type de protection. Chapitre 2Figure 2-1 Présentation de la couche de protection Protection antivirus et antispywar Point de terminaison Carte d'interface réseau Portes dérobées Attaques par déni de service Analyses de port Attaques de pile Chevaux de Troie Vers Internet Mémoire/périphériques Systeme de fichiers Protection contre les menaces résea Protection proactive contre les menaces Vulnérabilités des applications Portes dérobées Vulnérabilités du système d'exploitation Chevaux de Troie Vers Modifications de fichier/processus/ registre Menaces internes Enregistreurs de frappe Rétrovirus Logiciel espion Attaques ciblées Chevaux de Troie Vers Menaces immédiates Logiciel publicitaire Portes dérobées Logiciel espion Chevaux de Troie Vers Virus Politique de pare-feu Politique de prévention d'intrusion Politique de contrôle des applications et des périphériques Réseau d'entreprise Politique antivirus et antispyware A propos de la protection antivirus et contre les logiciels espions La protection antivirus et contre les logiciels espions de Symantec Endpoint Protection assure la protection contre les virus et les risques de sécurité et, dans beaucoup de cas, peut réparer leurs effects secondaires. La protection inclut l'analyse en temps réel des fichiers et du courrier électronique ainsi que des Introduction à la protection de base Catégories de protection 58analyses programmées et des analyses à la demande. Les analyses antivirus et de protection contre les logiciels espions détectentles virus etles risques de sécurité, tels que des logiciels espions, des logiciels publicitaires et d'autres fichiers qui peuvent rendre un ordinateur, ainsi qu'un réseau, vulnérable. Les analyses détectent également les rootkits au niveau du noyau. Les rootkits sontles programmes qui essayent de semasquer vis-à-vis du système d'exploitation d'un ordinateur et peuvent être utilisés à des fins malveillantes. Vous pouvez appliquer la politique antivirus et de protection contre les logiciels espions par défaut aux ordinateurs client de votre réseau. Vous pouvez créer des politiques antivirus et de protection contre les logiciels espions supplémentaires et les appliquer lorsque cela est nécessaire. Vous pouvez modifier la politique en cas de modification des conditions requises de votre réseau de sécurité. La politique antivirus et de protection contre les logiciels espions par défaut est conçue pour être adaptée aux entreprises de toutes les tailles. Elle assure une protection efficace tout en réduisantl'incidence sur les ressources des terminaux client. Se reporter à "Bases de la protection antivirus et antispyware" à la page 406. A propos de la protection contre les menaces réseau La protection contre les menaces réseau assure une protection par pare-feu et de prévention des intrusions pour empêcher les intrusions et le contenu malveillant d'atteindre l'ordinateur qui exécute le client Symantec Endpoint Protection. Le pare-feu autorise ou bloque le trafic réseau en fonction des divers critères que l'administrateur ou l'utilisateur final définit. Les règles de pare-feu déterminent si un terminal client autorise ou empêche une application ou un service entrant ou sortant d'obtenir un accès par la biais de sa connexion réseau. Les règles de pare-feu permettent au client de systématiquement permettre ou empêcher les applications et le trafic d'entrer ou de sortir par le biais d'adresses IP et de ports spécifiques. Les paramètres de sécurité détectent et identifient les attaques communes, envoient des messages électroniques après une attaque, affichent desmessages personnalisables et effectuent d'autres tâches relatives à la sécurité. Le client analyse également toutes les informations entrantes et sortantes pour rechercher les configurations de données qui sont typiques d'une attaque. Il détecte et bloque les transmissions malveillantes et les tentatives d'attaque de l'ordinateur client émanant d'utilisateurs externes. La prévention d'intrusion surveille également le trafic entrant et empêche la propagation des vers. La politique de protection contre les menaces réseau par défaut est conçue pour être adaptée aux entreprises de toutes les tailles. Elle assure une protection efficace Introduction à la protection de base 59 Catégories de protectiontout en réduisantl'incidence sur les ressources des terminaux client. Vous pouvez modifier la politique par défaut ou créer de nouvelles politiques et les appliquer aux terminaux client de votre réseau. Se reporter à "Apropos de la protection contre lesmenaces réseau et des attaques" à la page 486. A propos de la protection proactive contre les menaces La protection proactive contre les menaces assure la protection contre les vulnérabilités d'attaque "Zero Day" dans votre réseau. Les vulnérabilités d'attaque "Zero Day" sont de nouvelles vulnérabilités qui ne sont pas encore connues publiquement. Lesmenaces qui exploitent ces vulnérabilités peuvent se soustraire à la détection basée sur les signatures (telle que les définitions d'antivirus et de protection contre les logiciels espions). Des attaques "Zero Day" peuvent être utilisées dans des attaques ciblées et dans la propagation de code malveillant. La protection proactive contre les menaces inclut ce qui suit : ¦ Analyses proactives des menaces TruScan ¦ Politiques de contrôle d'application et de périphérique Les paramètres par défaut de la protection proactive contre les menaces sont conçus pour être adaptés aux entreprises de toutes les tailles.Vous pouvezmodifier ces paramètres et en créer de nouveaux à mesure que vos besoins changent. L'analyse proactive desmenaces utilise des technologies heuristiques pour signaler des processus et des applications potentiellement nocifs. Les technologies heuristiques étudient le comportement des processus sur un ordinateur client. Par exemple, l'ouverture d'un port. Se reporter à "Apropos des analyses proactives desmenacesTruScan" à la page 552. Les politiques de contrôle des applications et des périphériques fournissent un moyen de bloquer ou de limiter les processus ou équipements sur les ordinateurs client. Se reporter à "A propos du contrôle des applications et des périphériques" à la page 570. A propos de l'intégrité de l'hôte et de la conformité aux politiques de points terminaux L'intégrité de l'hôte vous permet de définir, d'appliquer et de restaurer la sécurité des clients pour sécuriser les réseaux etles données d'entreprise. Vous définissez des politiques d'intégrité de l'hôte pour vérifier que les clients tentant d'accéder au réseau exécutent un logiciel antivirus, des correctifs et des hotfix et d'autres Introduction à la protection de base Catégories de protection 60critères d'application. Vous définissez des politiques d'intégrité de l'hôte pour qu'elles s'exécutent sur des ordinateurs client au démarrage et ensuite périodiquement. Se reporter à "Fonctionnement de l'application d'intégrité de l'hôte" à la page 629. L'intégrité de l'hôte fait partie de Symantec Network Access Control. La politique d'intégrité de l'hôte s'assure que les ordinateur répondent à vos directives informatiques et corrige les problèmes de sécurité qu'elle détecte. Vous pouvez utiliser l'intégrité de l'hôte seule, avec une politique de quarantaine pour auto-application, ou avec un boîtier Enforcer de réseau. La politique d'intégrité de l'hôte est d'autant plus efficace si elle est utilisée avec un Enforcer facultatif, car le boîtier peut assurer que chaque ordinateur dispose d'un client et est correctement configuré avant que le client ne puisse se connecter au réseau. L'Enforcer peut être un boîtier matériel qui utilise l'un des nombreux types de logiciel Enforcer ou plusieurs Enforcers qui sont uniquement de base logicielle. Une fois combinée avec Enforcer, l'intégrité de l'hôte autorise ou empêche les ordinateurs d'accéder au réseau. Chaque Enforcer est conçu pour des besoins réseau différents. Pour plus d'informations sur les Enforcer, consultez le Guide de mise en œuvre de Symantec Network Access Control Enforcer. Introduction à la protection de base 61 Catégories de protectionIntroduction à la protection de base Catégories de protection 62Configuration de domaines, de groupes et de clients Ce chapitre traite des sujets suivants : ¦ A propos de la topologie de votre sécurité ¦ A propos de votre structure de groupe ¦ A propos de l'importation de la structure d'organisation ¦ Ajout d'un domaine ¦ Administration d'un domaine ¦ Ajout d'un groupe ¦ Suppression d'un groupe ¦ Attribution d'un nouveau nom à un groupe ¦ Déplacement d'un groupe ¦ Affichage des propriétés d'un groupe ¦ Ajout de clients en tant qu'utilisateurs ¦ Ajout de clients en tant qu'ordinateurs ¦ Basculement du client entre le mode Utilisateur et le mode Ordinateur. ¦ Bloquer l'ajout de clients à des groupes ¦ Déplacement de clients entre des groupes ¦ Suppression des clients Chapitre 3¦ Affichage des propriétés d'un client ¦ Recherche de clients ¦ Filtrage de la liste des clients A propos de la topologie de votre sécurité L'installation de la protection de votre réseau peut être désignée comme votre topologie de sécurité. La topologie de sécurité se rapporte à la configuration de sécurité de votre entreprise, y compris le matériel et les composants logiciels des serveurs et des clients. Vous devez comprendre la topologie de sécurité de votre réseau pour protéger efficacement vos ordinateurs contre d'éventuelles infections par des virus et autres menaces. Plusieurs outils vous aident à comprendre votre topologie de sécurité. Un outil consiste à créer une carte ou à utiliser une carte que vous avez actuellement, pour afficher l'emplacement logique de vos ordinateurs client. Concevez cette carte afin de pouvoir systématiquementlocaliser et nettoyer les ordinateurs dans chaque section avant de les reconnecter à votre réseau local. A propos de votre structure de groupe La structure hiérarchique de Symantec Endpoint Protection se compose de domaines, de groupes, d'utilisateurs et d'ordinateurs. L'idée des groupes est centrale pour configurer votre structure. Elle est très semblable au concept des groupes d'utilisateurs dans Windows. Le but des groupes est de simplifier votre application des politiques de sécurité.Au lieu de les attribuer à chaque ordinateur clientindividuel, vous pouvez les attribuer à un groupe ou à des groupesmultiples. Les groupes sont des collections d'ordinateurs client. Le serveur Symantec Endpoint ProtectionManager gère ces ordinateurs client. Ces collections peuvent être basées sur différents paramètres. Par exemple, un groupe peut être basé sur une zone géographique (tous les clients d'une agence régionale). Elle peut également être basée sur la société (tous les clients du service vente). Définissez vos groupes d'unemanière qui reflète votre structure d'organisation. Un utilisateur est un client défini par son nom de connexion. Un ordinateur est un client défini par un équipement physique. Vous pouvez créer et organiser des groupes dans une structure arborescente hiérarchique pour représenter la structure de votre entreprise. Vous attribuez des politiques de sécurité aux groupes et aux emplacements au sein de ces groupes. Par conséquent, la création des groupes peut être l'une des premières choses que les administrateurs font quand ils configurent Symantec Endpoint Protection Configuration de domaines, de groupes et de clients A propos de la topologie de votre sécurité 64Manager.Vous pouvez alors définir les politiques de sécurité basées sur les besoins de sécurité de chaque groupe et les appliquer en utilisant le Manager. Les groupes, les utilisateurs etles ordinateurs peuvent être ajoutésmanuellement, importés d'un serveur de répertoires ou ajoutés automatiquement lors de l'inscription d'un client. Vous pouvez également importer l'unité organisationnelle (OU) d'un serveur de répertoire (LDAP ou Active Directory). Installez votre structure d'organisation de cette façon. Cette structure synchronise automatiquement les groupes sur Symantec Endpoint Protection Manager avec les groupes sur le serveur de répertoires. Se reporter à "A propos de l'importation de la structure d'organisation" à la page 69. A propos des domaines Les domaines peuvent contenir des groupes et les groupes contiennent des ordinateurs et des utilisateurs ou des clients. Un administrateur gère ces ordinateurs et utilisateurs. Cet administrateur a une vue limitée de la console Symantec Endpoint Protection Manager. Généralement, vous définissez des domaines dans le cadre d'une grande entreprise. Un domaine, par exemple, peut représenter une division dans une société, un service, une société distincte ou tout autre segment isolé d'utilisateurs. Une PME/PMI n'est généralement pas divisée en domaines. Les administrateurs système ont accès à tous les domaines tandis que les administrateurs de domaine peuvent accéder seulement au domaine qui leur est attribué. Toutes les données de chaque domaine sont complètement séparées. Cette séparation empêche les administrateurs d'un domaine d'afficher les données des autres domaines. En outre, les administrateurs n'ont aucun accès à l'icône Serveurs de la page Admin et vous pouvez restreindre davantage leur accès dans la console. Se reporter à "A propos des administrateurs" à la page 83. A propos des groupes L'objectif des groupes et des domaines est de fournir aux administrateurs un moyen de gérer des ensembles d'ordinateurs comme une seule unité. Tous les clients d'un réseau d'entreprise sont organisés en groupes avec des besoins de sécurité et des paramètres similaires. Les groupes peuvent contenir les clients qui sont ajoutés comme utilisateurs ou ordinateurs. Vous pouvez créer un groupe basé sur un emplacement, un département, ou toute autre classification répondant aux besoins de votre entreprise. Configuration de domaines, de groupes et de clients 65 A propos de votre structure de groupeLa structure de groupe que vous définissez correspond probablement à la structure d'organisation de votre entreprise. Vous pouvez regrouper des utilisateurs et des ordinateurs avec des besoins informatiques et des conditions d'accès au réseau similaires.Vous pouvez gérer ces groupes en utilisantl'onglet Clients de Symantec Endpoint Protection Manager. Quand vous sélectionnez un groupe dans l'arborescence Afficher les clients, quatre onglets de page s'affichent dans le côté droit de la page. Chacun de ces onglets est associé à la gestion du groupe sélectionné. Les quatre onglets sont Clients, Politiques, Détails et Paquets d'installation. Chacun de ces onglets fournit différentes options pour gérer le groupe sélectionné. Le groupe Global est la racine de la structure d'arborescence hiérarchique. Au-dessous de ce groupe, vous pouvez ajouter des groupes et des sous-groupes correspondant à la structure de votre organisation. La structure d'arborescence hiérarchique inclut également par défaut le groupe temporaire. Les utilisateurs et les ordinateurs ne sont pas toujours attribués à un groupe lorsqu'ils s'enregistrent pour la première fois avec Symantec Endpoint Protection. Ils sont attribués au groupe Temporaire quand ils n'appartiennent pas à un groupe prédéfini. Remarque : Vous ne pouvez pas créer de sous-groupes sous le groupe Temporaire. Figure 3-1 pour un exemple de hiérarchie d'arborescence de groupes d'une organisation. Basez la structure de groupe de votre organisation sur l'emplacement, le service ou n'importe quelle autre classification qui répond à vos exigences commerciales. Configuration de domaines, de groupes et de clients A propos de votre structure de groupe 66Figure 3-1 Exemple de hiérarchie d'arborescence de groupes Si vous créez un paquet d'installation pour le déploiement, vous pouvez inclure des politiques de sécurité pour un groupe spécifique. Dans ce cas, ce groupe devient le groupe de clients préféré. Après que le logiciel client de Symantec Endpoint Protection a été installé, il se connecte au réseau. Il est automatiquement ajouté au groupe de clients préféré àmoins qu'un autre paramètre du Symantec Endpoint Protection Manager ne le remplace. Par exemple, il se peut que vous ayez ajouté manuellement un utilisateur ou un ordinateur dans un groupe différent de l'onglet Clients. Après que le client se soit connecté à Symantec Endpoint Protection Manager, le groupe qui est spécifié sur la page Clients remplace celui qui est spécifié dans le paquet d'installation.Vous pouvez ajouter le client dans différents groupes en tant qu'ordinateur ou utilisateur. Le client se connecte au groupe auquel il a été ajouté en mode Ordinateur. Le groupe qui a été spécifié dans le paquet client peut avoir été supprimé précédemment. Le client est placé dans ce groupe par défaut quand aucun autre groupe n'a été spécifié pour l'utilisateur ou l'ordinateur sur la page Clients. Configuration de domaines, de groupes et de clients 67 A propos de votre structure de groupeSi vous importez des utilisateurs à partir d'un serveurActive Directory, la structure de groupe sera également importée. A propos des clients Un client est un périphérique réseau qui se connecte au réseau d'entreprise et exécute des applications réseau. Les périphériques réseau peuvent inclure les ordinateurs portables, des ordinateurs de bureau et les serveurs. Un paquet de logiciel client est déployé sur chaque ordinateur ou périphérique du réseau. Deux types de clients existent : Clients Symantec Endpoint Protection et clients Symantec Network Access Control. Les clients Symantec Endpoint Protection sontinstallés sur les ordinateurs qui dépendent de Symantec Endpoint Protection pour tous leurs besoins en matière de pare-feu. Les clients Symantec Network Access Control sont installés sur les ordinateurs qui ne requièrent pas de pare-feu ou qui sont déjà équipés d'un pare-feu tiers. Vous pouvez exécuter les deux types de clients sur votre réseau. Vous pouvez également modifier le type de logiciel client sur un ordinateur si les besoins en matière de pare-feu sur l'ordinateur changent. Utilisez l'onglet Clients dans le Symantec Endpoint Protection Manager pour gérer ces paramètres. Vous pouvez appliquer différentes politiques de sécurité à différents emplacements. Par exemple, le client peut être configuré de manière à basculer automatiquement vers une autre politique de sécurité si l'emplacement physique du client change. Une politique pourrait ainsi s'appliquer quand le client se connecte au bureau et une autre quand le client se connecte à distance. Remarque : La fonctionnalité de vérification de l'intégrité de l'hôte est un module supplémentaire et n'appartient pas à l'ensemble des fonctions par défaut du produit. A propos du mode Utilisateur et du mode Ordinateur. Les clients peuvent être configurés en tant qu'utilisateurs ou ordinateurs selon la façon dont vous voulez que vos politiques de sécurité fonctionnent. Les clients qui sont configurés en tant qu'utilisateurs sont basés sur le nom de l'utilisateur qui se connecte au réseau. Les clients qui sont configurés en tant qu'ordinateurs sont basés sur l'ordinateur qui se connecte au réseau. Vous configurez les clients en tant qu'utilisateurs ou ordinateurs en ajoutantles utilisateurs etles ordinateurs à un groupe existant.Après l'ajout d'un utilisateur ou d'un ordinateur à un groupe, il assume la politique de sécurité qui a été attribuée au groupe. Un conflit peut survenir, comme lorsqu'un utilisateur d'un groupe se connecte à un ordinateur d'un autre groupe. La politique de sécurité qui est fournie dépend Configuration de domaines, de groupes et de clients A propos de votre structure de groupe 68du mode que le logiciel client utilise. Le mode peut être basé sur l'ordinateur ou sur l'utilisateur. Si le mode est basé sur l'utilisateur, le logiciel de l'ordinateur client obtient la politique du groupe dont l'utilisateur est membre. Si le mode est basé sur l'ordinateur, le client obtient la politique de sécurité du groupe dont l'ordinateur est membre. Les clients qui sont configurés en tant qu'utilisateurs sont considérés comme étant en mode basé sur l'utilisateur. Les clients qui sont configurés en tant qu'ordinateurs sont considérés comme étant en mode basé sur l'ordinateur. Le mode Ordinateur a toujours préséance sur le mode Utilisateur. La plupart des administrateurs configurentles clients en tant qu'ordinateurs lorsqu'un ordinateur est situé dans une zone non sécurisée, comme un hall. Ils peuvent ainsi contrôler la politique de sécurité quel que soit l'utilisateur qui se connecte. Lorsque vous ajoutez un ordinateur, il démarre automatiquement en mode Ordinateur. De cette façon, les utilisateurs qui ouvrent une session sur un ordinateur doivent se conformer à la politique qui est appliquée au groupe de l'ordinateur. La politique appliquée à un autre groupe ne concerne pas ces utilisateurs. Ces utilisateurs ne sont pas concernés même s'ils sont associés à d'autres groupes par le nom d'utilisateur. Vous pouvez ajouter, supprimer et déplacer les utilisateurs et les ordinateurs. Vous pouvez également configurer des ordinateurs en tant que capteurs non gérés du réseau. A propos de l'importation de la structure d'organisation Vous pouvez importer des structures de groupes, ou unités organisationnelles. Pour importer des unités organisationnelles, vous pouvez utiliser un serveur LDAP ou un serveur Active Directory. Symantec Endpoint Protection peut alors automatiquement synchroniser les groupes des onglets Clients avec ceux du serveur choisi. Se reporter à "A propos des unités organisationnelles et du serveur LDAP" à la page 284. Vous ne pouvez pas utiliser l'onglet Clients pour gérer ces groupes après les avoir importés. Vous ne pouvez pas ajouter, supprimer ou déplacer des groupes dans une unité organisationnelle importée. Vous pouvez attribuer des politiques de sécurité à l'unité organisationnelle importée. Vous pouvez également copier des utilisateurs à partir d'une unité organisationnelle importée vers d'autres groupes qui sont répertoriés dans le voletAfficher les clients. La politique qui a été attribuée à un groupe avant son importation a la priorité. Un compte utilisateur peut exister Configuration de domaines, de groupes et de clients 69 A propos de l'importation de la structure d'organisationdans l'unité organisationnelle et dans un groupe extérieur. La politique qui a été appliquée au groupe extérieur a la priorité dans ce scénario. Vous pouvez importer et synchroniser des informations sur les comptes utilisateur et les comptes d'ordinateur depuis un serveur Active Directory ou un serveur LDAP. Se reporter à "Importation d'informations sur les utilisateurs à partir d'un serveur de répertoires LDAP" à la page 280. Se reporter à "Importation d'unités organisationnelles à partir d'un serveurActive Directory ou LDAP" à la page 284. Se reporter à "Ajout de serveurs de répertoires" à la page 278. Se reporter à "Synchronisation des comptes utilisateurs entre des serveurs de répertoires et un Symantec Endpoint Protection Manager" à la page 279. Se reporter à "Synchronisation des unités organisationnelles" à la page 285. Ajout d'un domaine Seul un administrateur système peut voir tous les domaines dans un réseau d'entreprise. Si vous voulez placer un groupe dans plusieurs domaines, ajoutez plusieurs fois le groupe. Remarque :Vous pouvez ajouter un ID de domaine pour la récupération d'urgence. Si tous les serveurs de gestion de votre entreprise sont défaillants, vous devez recréer le serveur de gestion en utilisant le même ID que l'ancien serveur. Vous pouvez obtenir l'ancien ID de domaine depuis le fichier sylink.xml dans n'importe quel client. Pour ajouter un domaine 1 Dans la console, cliquez sur Admin. 2 Dans la page Admin, sous Tâches, cliquez sur Ajouter un domaine. 3 Dans la boîte de dialogue Ajouter un domaine, tapez un nom de domaine et un nom de société facultatif. 4 Dans la zone de texte Liste de contacts,tapez éventuellement des informations supplémentaires, telles que le nom de la personne responsable du site. 5 Pour ajouter un ID de domaine, cliquez sur Avancé>> et tapez la valeur dans la zone de texte ID du domaine. 6 Cliquez sur OK. Configuration de domaines, de groupes et de clients Ajout d'un domaine 70Administration d'un domaine Si vous êtes un administrateur système, vous pouvez créer et administrer des domaines. Les administrateurs de domaine et les administrateurs limités ne peuvent pas créer et administrer des domaines. Pour administrer un domaine 1 Dans la console, cliquez sur Admin. 2 A la page Admin, dans le volet Tâches, cliquez sur Domaines. 3 Sous le volet Afficher les domaines, cliquez sur le domaine que vous voulez administrer. Vous ne pouvez pas administrer un domaine par défaut. 4 Sous Tâches, cliquez sur Administrer le domaine. 5 Cliquez sur Oui pour confirmer que vous voulez administrer ce domaine. 6 Dans la boîte de dialogue qui identifie le domaine administré, cliquez sur OK. Ajout d'un groupe Vous pouvez ajouter des groupes après avoir défini la structure de groupe de votre organisation. La structure de groupe correspond très probablement à la structure d'organisation de votre entreprise. Les noms de groupe peuvent comporter jusqu'à 256 caractères. Les descriptions de groupe peuvent comporter jusqu'à 1 024 caractères. Les noms et descriptions de groupe peuvent contenir toutes sortes de caractères, à l'exception des suivants : [” / \ * ? < > | :]. Remarque : Vous ne pouvez pas ajouter des groupes au groupe Temporaire. Pour ajouter un groupe 1 Dans la console, cliquez sur Clients. 2 Sous Afficher les clients, sélectionnez le groupe auquel vous voulez ajouter un nouveau sous-groupe. 3 Dans l'onglet Clients, sous Tâches, cliquez sur Ajouter un groupe. 4 Dans la boîte de dialogue Ajouter un groupe pour nom du groupe, tapez le nom du groupe et une description. 5 Cliquez sur OK. Configuration de domaines, de groupes et de clients 71 Administration d'un domaineSuppression d'un groupe Vous pouvez supprimer les groupes que vous n'utilisez plus ou qui ne reflètent plus votre structure d'organisation.Vous pouvez supprimer un groupe seulement quand il est vide.Il ne peut contenir aucun sous-groupe, utilisateur ou ordinateur. Si un groupe n'est pas vide, vous devez déplacer ou supprimer les sous-groupes, utilisateurs ou ordinateurs. En outre, vous ne pouvez pas supprimer le groupe Global ou le groupe Temporaire. Dans certaines conditions, Symantec Endpoint Protection Manager recrée un groupe supprimé pour un client. Cette condition peutinclure la situation suivante. Un paquet d'installation (un paquet de mise à jour ou un nouveau paquet d'installation) est créé spécifiant que le groupe situé avantle groupe est supprimé. En outre, le paramètre d'installation Conserver les fonctionnalités existantes des clients lors de la mise à jour est activé pour ce paquet d'installation. Dans ce cas, quand l'ordinateur client se connecte au serveur de gestion, le serveur recrée le groupe qui a été spécifié dans le paquet d'installation. Pour supprimer un groupe 1 Dans la console, cliquez sur Clients. 2 Dans l'onglet Clients, sous Afficher les clients, cliquez avec le bouton droit de la souris sur le groupe que vous souhaitez supprimer, puis cliquez sur Supprimer 3 Dans la boîte de dialogue Supprimer, cliquez sur Oui. Attribution d'un nouveau nom à un groupe Vous pouvez renommer des groupes et des sous-groupes pour refléter les modifications apportées à votre structure d'organisation.Vous pouvez renommer un groupe pour mettre à jour automatiquement le nom de ce groupe pour tous les utilisateurs et ordinateurs qui sont déjà attribués à ce groupe. Les ordinateurs client d'un groupe renommé ne sont pas obligés de changer de groupes ou de télécharger un nouveau profil de groupe. Pour renommer un groupe 1 Dans la console, cliquez sur Clients. 2 Dans l'onglet Clients, sous Afficher les clients, cliquez avec le bouton droit de la souris sur le groupe que vous souhaitez renommer, puis cliquez sur Renommer. Configuration de domaines, de groupes et de clients Suppression d'un groupe 723 Dans la boîte de dialogue Renommer le groupe pour nom du groupe, tapez le nouveau nom du groupe. 4 Cliquez sur OK. Déplacement d'un groupe Chaque groupe incluant ses sous-groupes, ses ordinateurs et ses utilisateurs peut être déplacé d'un nœud de l'arborescence du groupe vers un autre. Cependant, les groupes Global et Temporaire ne peuvent pas être déplacés. En outre, vous ne pouvez pas déplacer de groupes vers le groupe Temporaire ou déplacer un groupe vers l'un de ses sous-groupes. Si un groupe utilise une politique héritée, la nouvelle politique héritée du groupe de destination lui est attribuée. Si une politique spécifique lui est appliquée, il conserve cette politique après le déplacement. Si aucune politique de groupe n'est explicitement appliquée au groupe que vous déplacez, il utilise la politique de groupe du groupe de destination. Les clients du groupe que vous déplacez utilisent le nouveau profil. Pour déplacer un groupe 1 Dans la console, cliquez sur Clients. 2 Dans l'onglet Clients, sous Afficher les clients, cliquez avec le bouton droit de la souris sur le groupe que vous souhaitez déplacer, puis cliquez sur Déplacer. 3 Dans la boîte de dialogue Déplacer le groupe, sélectionnez le groupe de destination vers lequel vous souhaitez déplacer le groupe. 4 Cliquez sur OK. Affichage des propriétés d'un groupe Chaque groupe dispose d'une page de propriétés. Cette page répertorie des informations sur le groupe. Pour afficher les propriétés d'un groupe 1 Dans la console, cliquez sur Clients. 2 Dans le volet Afficher les clients, choisissez le groupe dont vous souhaitez afficher les propriétés. 3 Cliquez sur l'onglet Détails. Configuration de domaines, de groupes et de clients 73 Déplacement d'un groupeAjout de clients en tant qu'utilisateurs Vous pouvez ajouter manuellement des utilisateurs à un domaine. Cependant, dans la plupart des cas, cette procédure est difficilement réalisable à moins que vous vouliez ajouter un nombre limité d'utilisateurs à des fins d'entretien. La plupart des administrateurs importent des listes d'utilisateurs d'un serveur LDAP ou d'un serveur de domaine. Vous pouvez d'abord ajoutermanuellement un utilisateur à un groupe spécifique, puis installer le client avec un groupe préféré qui lui est attribué. Effectuez cette tâche en associant des politiques de groupe pendant la création des paquets. Le client est ajouté au groupe qui est spécifié sur le serveur au lieu du groupe qui est spécifié dans le paquet. Pour ajouter des clients en tant qu'utilisateurs 1 Dans la console, cliquez sur Clients. 2 Dans la page Clients, sousAfficher les clients, localisez le groupe auquel vous souhaitez ajouter un client. 3 Dans l'onglet Clients, sous Tâches, cliquez sur Ajouter un compte d'utilisateur. 4 Dans la boîte de dialogue Ajouter un utilisateur pour nom du groupe, dans la zone de texte Nom de l'utilisateur, saisissez le nom du nouvel utilisateur. 5 Sous Nomdu domaine, indiquez si la connexion se fait sur un domaine spécifié ou sur l'ordinateur local. 6 Dans la zone de texte Description, saisissez une description de l'utilisateur (facultatif). 7 Cliquez sur OK. Ajout de clients en tant qu'ordinateurs Les ordinateurs peuvent être ajoutés à n'importe quel groupe dans Symantec Endpoint Protection Manager. L'ajout d'un ordinateur à un groupe sert principalement à protéger cet ordinateur. Les politiques de sécurité de ce groupe protègentl'ordinateur. Par exemple, un ordinateur peut se trouver dans un endroit vulnérable tel qu'un hall public. Dans ce scénario, l'ordinateur est ajouté à un groupe d'autres ordinateurs publics. Les politiques de sécurité qui sont appliquées à ce groupe sont appliquées à chaque ordinateur au sein du groupe. Gardez à l'espritles faits suivants lorsque vous ajoutez des ordinateurs aux groupes : ¦ Vous pouvez ajouter un ordinateur à plusieurs groupes. Configuration de domaines, de groupes et de clients Ajout de clients en tant qu'utilisateurs 74¦ Vous devez connaître le nom de l'ordinateur réel et le domaine pour pouvoir ajouter un ordinateur. ¦ La longueur maximale du nom de l'ordinateur est 64 caractères. ¦ La longueur maximale du champ de description est 256 caractères. Vous pouvez ajouter manuellement un ordinateur à un groupe spécifique, puis installer le client avec un groupe préféré qui lui est attribué. Effectuez cette tâche en associant des politiques de groupe pendant la création des paquets. Dans ce cas-ci, le client est ajouté au groupe qui est spécifié sur le serveur. Le client n'est pas ajouté au groupe qui est spécifié dans le paquet d'installation. Assurez-vous que tous les clients peuvent être ajoutés aux groupes. Se reporter à "Bloquer l'ajout de clients à des groupes" à la page 77. Pour ajouter des clients en tant qu'ordinateurs 1 Dans la console, cliquez sur Clients. 2 Sur la page Clients, sous Afficher les clients, localisez le groupe auquel vous souhaitez ajouter un client. 3 Dans l'onglet Clients, sous Tâches, cliquez sur Ajouter un compte d'ordinateur. 4 Dans la boîte de dialogue Ajouter un ordinateur, saisissez le nom de l'ordinateur et du domaine auxquels vous souhaitez ajouter l'ordinateur. 5 Dans la zone de texte Description, saisissez une brève description de l'ordinateur (facultatif). 6 Cliquez sur OK. Basculement du client entre le mode Utilisateur et le mode Ordinateur. Les clients peuvent s'exécuter selon deux modes différents : mode Ordinateur ou mode Utilisateur. Lemode Ordinateur a toujours préséance sur lemode Utilisateur. Le client installé sur l'ordinateur auquel un utilisateur se connecte utilise la politique du groupe auquel l'utilisateur appartient. Ce type de permutation se produit lorsque l'ordinateur est défini sur le mode Utilisateur. Si vous passez du mode Utilisateur au mode Ordinateur, tenez compte des situations suivantes : ¦ Le nom de l'ordinateur risque de n'appartenir à aucun groupe. Le passage en mode Ordinateur entraîne la suppression du nom d'utilisateur du client du groupe ainsi que l'ajout du nom d'ordinateur du client au groupe. Configuration de domaines, de groupes et de clients 75 Basculement du client entre le mode Utilisateur et le mode Ordinateur.¦ Le nom d'ordinateur du client et le nom d'utilisateur appartiennent tous deux aumême groupe. Le basculement dumode Utilisateur vers lemode Ordinateur entraîne la suppression du nom d'utilisateur du groupe ainsi que l'attribution du nom d'ordinateur au client. ¦ Le nomd'ordinateur du client appartient à un groupe différent de celui du nom d'utilisateur. Le passage en mode Ordinateur entraîne le remplacement du groupe du client par le groupe de l'ordinateur. Un message contextuel vous informe du changement de nom du groupe. Lorsque le client se trouve en mode Ordinateur, il utilise la politique du groupe auquel l'ordinateur appartient. La politique appliquée ne dépend pas de l'utilisateur qui se connecte à l'ordinateur. Si vous passez du mode Ordinateur au mode Utilisateur, tenez compte des situations suivantes : ¦ Les noms d'utilisateur de connexion n'appartiennent pas nécessairement à un groupe. Le passage au mode Utilisateur entraîne la suppression du nom d'ordinateur du client du groupe. Le nom d'utilisateur du client est ensuite ajouté au groupe. ¦ Le groupe peut contenir à la fois le nom d'utilisateur de connexion du client et le le nom d'utilisateur de connexion de l'ordinateur. Le passage du mode Ordinateur au mode Utilisateur entraîne la suppression du nom d'ordinateur du groupe. Le client adopte le nom d'utilisateur. ¦ Le nomd'ordinateur du client appartient à un groupe différent de celui du nom d'utilisateur. Le passage en mode Utilisateur entraîne le remplacement du groupe du client par le groupe de l'utilisateur. Un message contextuel vous informe du changement de nom du groupe. Pour basculer le client entre le mode Utilisateur et le mode Ordinateur. 1 Dans la console, cliquez sur Clients. 2 Sur la page Clients, sous Afficher les clients, sélectionnez le groupe qui contient l'utilisateur ou l'ordinateur. 3 Dans l'onglet Clients, cliquez avec le bouton droit de la souris sur l'ordinateur ou le nom d'utilisateur dans le tableau, puis sélectionnez Passer en mode Ordinateur ou Passer en mode Utilisateur. Ces modes sont paramétrés pour basculer, ce qui signifie que l'un des deux modes est toujours affiché. Les informations du tableau changent de façon dynamique pour refléter le nouveau paramètre. Configuration de domaines, de groupes et de clients Basculement du client entre le mode Utilisateur et le mode Ordinateur. 76Bloquer l'ajout de clients à des groupes Vous pouvez configurer des paquets d'installation client avec leur adhésion aux groupes déjà définie. Si vous définissez un groupe dans le paquet, le client est automatiquement ajouté au groupe approprié. Le client est ajouté la première fois qu'il se connecte au serveur de gestion. Vous pouvez activer le blocage si vous ne voulez pas que des clients soient automatiquement ajoutés à un groupe spécifique lorsqu'ils se connectent au réseau. Remarque : L'option de blocage empêche les utilisateurs d'être automatiquement ajoutés à un groupe. Vous pouvez empêcher l'ajout d'un nouveau client au groupe auquel il a été attribué dans le paquet d'installation client. Dans ce cas, le client est ajouté au groupe Temporaire. Vous pouvez déplacer manuellement un utilisateur ou ordinateur vers un groupe bloqué. Pour bloquer l'ajout de clients à des groupes 1 Dans la console, cliquez sur Clients. 2 Sous Afficher les clients, sélectionnez le groupe dont vous voulez bloquer les nouveaux clients. 3 Cliquez sur l'onglet Détails. 4 Dans l'onglet Détails, sous Tâches, cliquez sur Modifier les propriétés du groupe. 5 Dans la boîte de dialogue Propriétés du groupe pour nom du groupe, cliquez sur Bloquer les nouveaux clients. 6 Cliquez sur OK. Déplacement de clients entre des groupes Vous pouvez déplacer des clients entre des groupes et sous-groupes. Le client passe au nouveau groupe lorsque vous déplacez le client. Vous ne pouvez pas déplacer des clients au sein d'une unité organisationnelle. Vous pouvez copier les clients d'une unité organisationnelle vers des groupes Symantec Endpoint Protection Manager. Configuration de domaines, de groupes et de clients 77 Bloquer l'ajout de clients à des groupesPour déplacer des clients entre des groupes 1 Dans la console, cliquez sur Clients. 2 Sur la page Clients, sous Afficher les clients, localisez le groupe qui contient les clients que vous souhaitez déplacer. 3 Dans l'onglet Clients, cliquez avec le bouton droit de la souris sur les clients que vous souhaitez déplacer, puis cliquez sur Déplacer. Utilisez la toucheMAJ ou Ctrl pour sélectionner tous les clients ou des clients spécifiques. 4 Dans la boîte de dialogue Déplacer le groupe : nom du groupe, sélectionnez le groupe vers lequel vous souhaitez déplacer les clients sélectionnés. 5 Cliquez sur OK. Suppression des clients Vous pouvez supprimer des utilisateurs et des ordinateurs de n'importe quel groupe dans Symantec Endpoint Protection Manager. Faites attention en supprimant des utilisateurs et des ordinateurs. La suppression d'utilisateurs et d'ordinateurs peut affecter la politique de sécurité qui s'exécute sur le client. Par défaut, Symantec Endpoint Protection Manager supprime automatiquement les clients inactifs après 30 jours. Vous pouvez désactiver oumodifier cette option en tant que paramètre de propriété de site dans l'onglet Serveurs. Se reporter à "Modification des propriétés du site" à la page 266. Un client peut s'exécuter quand vous le supprimez manuellement d'un groupe. Lors de la prochaine connexion du client à Symantec Endpoint ProtectionManager, il est enregistré une nouvelle fois et les règles de l'inscription d'un client s'appliquent. Si votre structure de groupe comprend à la fois des groupes et des unités organisationnelles importées, et qu'un client est en mode Ordinateur, les règles suivantes s'appliquent : ¦ Le client passe sur une unité organisationnelle si le nom de l'ordinateur existe dans cette unité. ¦ Le client s'inscrit de nouveau avec le serveur. Si un client est en mode Utilisateur, les règles suivantes s'appliquent : ¦ Le client passe sur une unité organisationnelle si le nom de l'utilisateur existe dans cette unité. ¦ Le client s'inscrit de nouveau avec le serveur. Configuration de domaines, de groupes et de clients Suppression des clients 78Pour supprimer des clients 1 Dans la console, cliquez sur Clients. 2 Sur la page Clients, sous Afficher les clients, localisez le groupe qui contient les clients que vous souhaitez supprimer. 3 Dans l'onglet Clients, sélectionnez les clients que vous souhaitez supprimer. Utilisez la toucheMAJ ou Ctrl pour sélectionner tous les clients ou des clients spécifiques. 4 Sous Tâches, cliquez sur Supprimer les clients. 5 Dans la boîte de dialogue Supprimer, cliquez sur Oui. Affichage des propriétés d'un client Une page de propriétés est disponible pour chaque utilisateur et pour chaque ordinateur. Le seul champ que vous pouvez modifier est le champ Description dans l'onglet Général. Cette page comprend les onglets suivants : ¦ Général Affiche les informations sur le groupe, le domaine, le nom de connexion et la configuration matérielle de l'ordinateur. ¦ Réseau Affiche les informations sur le serveur DNS, le serveur DHCP, le serveurWINS et l'adresse IP de l'ordinateur. ¦ Clients Affiche les informations qui sont recueillies à partir de l'ordinateur client. Ces informations incluent le type de client qui s'exécute sur l'ordinateur. Des informations particulières sur le logiciel etla politique sont égalementfournies. Ces informations incluent la version du logiciel client, le numéro de série du profil actuel, le numéro de série de la signature actuelle etla date de la dernière mise en ligne. ¦ Informations utilisateur Affiche les informations sur la personne qui est actuellement connectée à l'ordinateur. Ces informations sont automatiquement renseignées lorsque l'administrateur choisit d'activer la collecte des informations utilisateur. Se reporter à "Collecter des données utilisateur" à la page 95. Configuration de domaines, de groupes et de clients 79 Affichage des propriétés d'un clientPour afficher les propriétés d'un client 1 Dans la console, cliquez sur Clients. 2 Dans le volet Afficher les clients, choisissez le groupe avec les clients dont vous souhaitez afficher les propriétés. 3 Dans l'onglet Clients, sélectionnez le client. 4 Sous Tâches, cliquez sur Modifier les propriétés. 5 Dans la boîte de dialogue nomdu client, vous pouvez afficher les informations sur le client. 6 Cliquez sur OK. Recherche de clients Il se peut que vous deviez rechercher un client spécifique lorsque votre domaine contient de nombreux groupes et clients. Vous pouvez définir les critères de recherche par type de données que le serveur de gestion collecte sur le client et que vous demandez à l'utilisateur. Remarque : Pour que la recherche sur la plupart des informations sur les clients soit fructueuse, vous devez collecter des informations utilisateur lors de l'installation du logiciel client ou ultérieurement. Ces informations sont également affichées dans l'onglet Général et l'onglet Informations utilisateur dans la boîte de dialogue des propriétés du client Se reporter à "Affichage des propriétés d'un groupe" à la page 73. Se reporter à "Collecter des données utilisateur" à la page 95. Pour rechercher des clients 1 Dans la console, cliquez sur Clients. 2 Dans l'onglet Clients, sous Afficher les clients, choisissez le groupe dans lequel vous souhaitez effectuer la recherche. 3 Sous Tâches, cliquez sur Effectuer une recherche parmi les clients. 4 Dans la boîte de dialogue Rechercher des clients, dans la liste déroulante Rechercher, sélectionnez Utilisateurs ou Ordinateurs. 5 Cliquez sur Parcourir pour rechercher un groupe différent. 6 Dans la boîte de dialogue Sélectionner un groupe, sélectionnez le groupe et cliquez sur OK. Configuration de domaines, de groupes et de clients Recherche de clients 807 Sous Critères de recherche, cliquez sur la liste déroulante Champ de recherche et sélectionnez les critères de recherche d'après lesquels vous souhaitez effectuer la recherche. 8 Cliquez sur la liste déroulante de Comparaison et sélectionnez un opérateur de comparaison. Vous pouvez utiliser les opérateurs booléens standard dans vos critères de recherche. 9 Dans la cellule Valeur, saisissez la chaîne de recherche. 10 Cliquez sur Serveurs. 11 Cliquez sur Fermer lorsque vous avez fini de rechercher des clients. Filtrage de la liste des clients Vous pouvez utiliser la fonction de filtrage pour contrôler l'affichage des utilisateurs et des ordinateurs dans l'onglet Clients. Vous pouvez également définir le nombre de clients à afficher par page. Lorsque plusieurs pages sont présentes, vous pouvez les parcourir à l'aide des icônes Suivant et Précédent. Vous pouvez également ignorer une page particulière en saisissant son numéro dans le champ Numéro de page. Pour filtrer la liste des clients 1 Dans la console, cliquez sur Clients. 2 Dans le volet Afficher les clients, choisissez le groupe dans lequel vous souhaitez effectuer la recherche. 3 Dans le volet Tâches, cliquez sur Définir le filtre d'affichage. 4 Dans la boîte de dialogue Définir le filtre d'affichage, sélectionnez l'une des options suivantes : ¦ Afficher tous les utilisateurs et ordinateurs ¦ Afficher tous les utilisateurs ¦ Afficher tous les ordinateurs ¦ Affichez l'état en ligne (indiqué par un feu vert en regard du nom d'utilisateur) 5 Définissez le nombre de clients qui apparaissent par un nombre compris entre 1 et 5000. 6 Cliquez sur OK. Configuration de domaines, de groupes et de clients 81 Filtrage de la liste des clientsConfiguration de domaines, de groupes et de clients Filtrage de la liste des clients 82Gérer les administrateurs Ce chapitre traite des sujets suivants : ¦ A propos des administrateurs ¦ A propos de la gestion des administrateurs ¦ Ajout d'un administrateur ¦ Passage d'un administrateur non limité à un administrateur limité et définition des droits d'accès ¦ Verrouillage d'un compte d'administrateur après de trop nombreuses tentatives de connexion ¦ Authentification d'administrateurs ¦ Renommer un administrateur ¦ Modifier le mot de passe d'un administrateur ¦ Supprimer un administrateur A propos des administrateurs Le module Symantec Endpoint Protection Manager utilise des administrateurs pour mettre en oeuvre ses fonctionnalités. Trois types de rôles d'administrateurs sont utilisés : administrateur système, administrateur et administrateur limité. Chacun de ces rôles d'administrateur a un ensemble de droits et de tâches à effectuer différents. L'administrateur système est le super administrateur d'un système. Un administrateur qui est indiqué en tant qu'administrateur système peut faire l'action de son choix dans un système. Un administrateur est d'un niveau inférieur à un administrateur système. Un administrateur estle super administrateur dans Chapitre 4le domaine que l'administrateur gère. Un administrateur ne peut ni créer ni supprimer des domaines. Un administrateur ne peut également pas accéder à des serveurs de gestion ou à des serveurs Enforcer. Les administrateurs limités effectuent le travail qui leur est attribué par l'administrateur système ou l'administrateur. En outre, ils peuvent configurer leurs propres attributs comprenant des paramètres de sécurité et des paramètres de notification. Le Tableau 4-1 indique les responsabilités de chaque rôle d'administrateur. Tableau 4-1 Rôles et responsabilités types de l'administrateur Rôle d'administrateur Responsabilités ¦ Gère des domaines. ¦ Crée et gère les administrateurs système, les administrateurs et les administrateurs limités. ¦ Gère les serveurs. Administrateur système ¦ Gère un seul domaine. ¦ Crée des administrateurs et des administrateurs limités au sein du domaine. ¦ Supprime et modifie les administrateurs créés au sein d'un seul domaine. ¦ Change les attributs des administrateurs créés dans le domaine. Ces attributs comprennentles paramètres de notification, de sécurité et de permission. Administrateur ¦ Gère les paramètres de droits d'accès et de rapport et les paramètres de notification pour les groupes spécifiques au sein d'un seul domaine. ¦ Effectue le travail attribué par l'administrateur système ou par l'administrateur. ¦ Ne peut pas créer, supprimer oumodifier des domaines ou d'autres administrateurs. ¦ Ne peut pas changer les droits d'accès de l'administrateur limité. ¦ Ne peut pas configurer le serveur de gestion ou le serveur Enforcer. Administrateur limité A propos de la gestion des administrateurs Vous pouvez créer les trois types d'administrateurs utilisés : les administrateurs système, les administrateurs et les administrateurs limités. Les administrateurs et les administrateurs limités sont des administrateurs de domaine. Gérer les administrateurs A propos de la gestion des administrateurs 84Les administrateurs système peuvent afficher et modifier le système entier, alors que les administrateurs peuvent afficher et modifier leurs propres domaines seulement. Les administrateurs système ont des droits d'accès complet à tous les onglets et pages du module Symantec Endpoint Protection Manager. Les administrateurs ont uniquement des droits de reporting. Ils n'ont pas accès aux domaines ou serveurs et vous pouvez limiter leur accès aux autres options. Les tâches qu'un administrateur peut effectuer dépendent du type d'administrateur. Par exemple : ¦ Un administrateur système voittous les autres administrateurs système,tous les administrateurs et tous les administrateurs limités associés au domaine en cours. ¦ Un administrateur voit le domaine et les administrateurs limités qui sont associés au domaine que gère actuellement l'administrateur. ¦ Un administrateur limité ne voit que lui-même. Quand vous installez le module Symantec Endpoint Security Manager, un administrateur système par défaut appelé admin est créé. Vous pouvez afficher tous les autres administrateurs qui gèrent le domaine au sein duquel l'administrateur est connecté. Cette liste comprend tous les administrateurs système, les administrateurs et les administrateurs limités. Ajout d'un administrateur A mesure que votre réseau se développe ou évolue, il se peut que vous trouviez le nombre d'administrateurs insuffisant pour répondre à vos besoins. Si cela se produit, vous pouvez ajouter un ou plusieurs administrateurs. Lorsque vous ajoutez un administrateur, vous spécifiez ses fonctions et ses contraintes. En tant qu'administrateur système, vous pouvez ajouter un autre administrateur système, un administrateur ou un administrateur limité. Se reporter à Tableau 4-1 à la page 84. La liste suivante contient des informations supplémentaires sur la création des administrateurs système : ¦ Les administrateurs système ont des droits d'accès complet. Vous pouvez également ajouter des administrateurs et des administrateurs limités, les deux ayant des droits d'accès plus limités. ¦ Si vous ne spécifiez aucun droit d'accès pour un administrateur, il est créé dans un état qui ne lui permet pas d'ouvrir une session. Se reporter à "A propos des administrateurs" à la page 83. Gérer les administrateurs 85 Ajout d'un administrateurPour ajouter un administrateur 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Admin. 2 Ala pageAdmin, sous Tâches, cliquez sur Administrateurs, puis sur Ajouter un administrateur. 3 Dans la boîte de dialogue Ajouter un administrateur, entrez le nom de l'administrateur. Ce nom est celui avec lequel l'administrateur se connecte et par lequel il est reconnu dans l'application. 4 Eventuellement, entrez le nomcomplet de l'administrateur dans la deuxième zone de texte. Ce champ est utilisé dans un but d'information seulement. 5 Entrez puis confirmez le mot de passe. Le mot de passe doit être de six caractères ou plus ; tous les caractères sont autorisés. 6 Spécifiez le type d'authentification. La valeur par défaut est Authentification de serveur de gestion Symantec. Si vous souhaitez utiliser la valeur par défaut, passez à l'étape 9. 7 Si vous voulez choisir un autre type d'authentification, cliquez surModifier. 8 Dans la boîte de dialogue Authentification d'administrateur, choisissez l'une des options suivantes : ¦ Authentification de serveur de gestion Symantec Se reporter à "Ajout de serveurs de répertoires" à la page 278. ¦ Authentification SecurID RSA Se reporter à "Configurer Symantec Endpoint Protection Manager pour utiliser RSA SecurID Authentication" à la page 294. ¦ Authentification de répertoire Tapez ensuite le serveur de répertoires etle nomde compte dans les zones de texte appropriées. 9 Sélectionnez l'un des types d'administrateur suivante : ¦ Administrateur système, puis passez à l'étape 12. ¦ Administrateur, puis passez à l'étape 10. ¦ Administrateur limité, puis passez à l'étape 11. Gérer les administrateurs Ajout d'un administrateur 8610 Si vous avez sélectionné Administrateur, cliquez sur Droits de reporting pour spécifier les rapports que l'administrateur peut exécuter en fonction des ordinateurs, des adresses IP, des groupes de serveurs, des groupes de clients et des serveurs parent. Passez à l'étape 12. 11 Si vous avez sélectionné Administrateur limité, vous pouvez spécifier les droits d'accès en exécutant une ou plusieurs des actions suivantes : ¦ Cochez la case Afficher les rapports, puis cliquez sur Droitsdereporting. ¦ Cochez la case Afficher les rapports, puis cliquez sur Droitsdereporting. Vous pouvez spécifier les groupes pour lesquels l'administrateur dispose d'un accès total, d'un accès en lecture seule ou d'aucun accès. ¦ Cliquez sur Gérer les politiques. Vous pouvez autoriser l'administrateur à créer uniquement des politiques non partagées pour un emplacement en cliquant sur Autoriser uniquementlamodificationdepolitiquesspécifiquesàunemplacement. 12 Cliquez sur OK. Passage d'un administrateur non limité à un administrateurlimité et définition des droits d'accès Vous pouvez convertir un administrateur non limité en administrateur limité et vice versa. Vous pouvez également changer les droits d'accès et les contraintes de rapport des administrateurs et des administrateurs limités. Pour passer d'un administrateur non limité à un administrateur limité et définir des droits d'accès 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Admin. 2 Dans la page Admin, cliquez sur Administrateurs. 3 Sous Afficher les administrateurs, sélectionnez l'administrateur. 4 Sous Tâches, cliquez sur Edit Administrator Properties, puis sur Droits d'accès. 5 Dans l'onglet Droits d'accès, exécutez l'une des tâches suivantes : ¦ Sélectionnez Administrateur et passez à l'étape 7. Si vous avez migré depuis Symantec AntiVirus 10.x ou une version antérieure et voulez que l'administrateur exécute des rapports pour ces groupes de serveurs migrés, cliquez sur Droits sur les rapports. Gérer les administrateurs 87 Passage d'un administrateur non limité à un administrateur limité et définition des droits d'accès¦ Sélectionnez Administrateur limité. 6 Effectuez l'une des opérations suivantes : ¦ Cochez Afficher les rapports et cliquez sur Droits sur les rapports. ¦ Cochez Afficher les rapports et cliquez sur Droits sur les groupes. Vous pouvez définir le niveau d'accès de l'administrateur sur les groupes concernés. ¦ Cochez Gérer les politiques. Pour limiter l'administrateur à la création uniquement de politiques non partagées pour un emplacement, cliquez sur Autoriser uniquementla modification de politique d'emplacement. 7 Cliquez sur OK. Verrouillage d'un compte d'administrateur après de trop nombreuses tentatives de connexion Vous pouvez verrouiller le compte d'administrateur si vous pensez qu'unutilisateur tente de se connecter à de trop nombreuses reprises au serveur de gestion. Vous pouvez également configurer le serveur de gestion afin qu'il envoie un message électronique à l'administrateur pour qu'il en soit informé après le verrouillage de l'administrateur. Cette capacité est utile si la personne se connectant n'est pas l'administrateur. Vous pouvez configurer les paramètres suivants pour le verrouillage d'un compte d'administrateur : ¦ Le Failed Login (Echec de connexion) La valeur des tentatives est réinitialisée à 0 après que l'administrateur s'est connecté avec succès et ensuite, s'est déconnecté. ¦ L'administrateur a lenombre complet de tentatives pour se connecter ànouveau ultérieurement. Après que l'administrateur a atteint la limite de tentatives de connexion infructueuses, le compte est verrouillé. L'administrateur doit alors attendre le nombre de minutes spécifié avant de se connecter à nouveau. Pour verrouiller un compte d'administrateur après de trop nombreuses tentatives de connexion 1 Sur la console Symantec Endpoint Protection Manager, cliquez sur Admin. 2 Sur la page Admin (Admin), cliquez sur Administrators (Administrateurs). 3 Sous View Administrators (Afficher les administrateurs), sélectionnez l'administrateur. Gérer les administrateurs Verrouillage d'un compte d'administrateur après de trop nombreuses tentatives de connexion 884 Sous Tasks (Tâches), cliquez sur Edit Administrator Properties (Modifier les propriétés d'administrateur). 5 Sur l'onglet Général, dans la zone de texte Courrier électronique, tapez l'adresse électronique de l'administrateur. Le serveur de gestion envoie un message électronique à cette adresse électronique lorsque le serveur de gestion verrouille le compte d'administrateur. Vous devez sélectionner la case à cocher Send email alert when accountis locked (Envoyer une alerte par message électronique lorsque le compte est verrouillé) pour envoyer le messsage électronique. 6 Sous Log On Attempt Threshold (Seuil de Tentative de Connexion), déplacez le curseur pour définir le nombre de tentatives de connexion incorrectes permises. 7 Pour verrouiller le compte lorsque l'administrateur a dépassé le nombre de tentatives de connexion, cliquez sur Lockthisaccountwhenlogonattempts exceed the threshold (Verrouiller ce compte lorsque les tentatives de connexion dépassentle seuil). 8 Pour envoyer unmessage électronique à l'administrateur après le verrouillage du compte d'administrateur par le serveur de gestion, sélectionnez Sens an email alert when the accountis locked (Envoyer une alerte par message électronique lorsque le compte est verrouillé), puis définissez le nombre de minutes. 9 Cliquez sur OK. Authentification d'administrateurs Lorsque vous ajoutez un administrateur, vous pouvez spécifier le logiciel d'authentification qu'utilise le serveur de gestion pour authentifier les comptes des administrateurs. Vous pouvez authentifier les administrateurs en utilisant le serveur de gestion avecRSASecurID.Vous devez vérifier que vous disposez d'un serveurRSAexistant et que vous avez déjà installé et configuré le serveur RSA SecurID sur un autre ordinateur. Vérifiez également que le serveur SecurID RSA peut communiquer avec l'agent SecurID. Vous pouvez activer la sécuritéRSApour les comptes administrateur sur Symantec Endpoint Protection Manager. Les mécanismes suivants de connexion RSA sont pris en charge : ¦ Jeton RSA SecurID (pas les jetons logiciels RSA) ¦ Carte SecurID RSA Gérer les administrateurs 89 Authentification d'administrateurs¦ Carte de pavé numérique RSA (pas les cartes à puce RSA) Pour authentifier les administrateurs 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Admin. 2 Dans la page Admin, cliquez sur Administrateurs. 3 Sous Afficher administrateurs, sélectionnez l'administrateur. 4 SousTâches, cliquez surModifierpropriétésdel'administrateur puis cliquez sur Authentification. 5 Dans l'onglet Authentification, sélectionnez l'une des options d'authentifications suivantes que vous souhaitez utiliser pour authentifier le compte de l'administrateur : ¦ Authentification du serveur de gestion Symantec Se reporter à "Ajout de serveurs de répertoires" à la page 278. ¦ Authentification RSA SecurID Se reporter à "Configurer Symantec Endpoint Protection Manager pour utiliser RSA SecurID Authentication" à la page 294. ¦ Authentification du répertoire Puis tapez le nom du serveur de répertoires et du compte de l'administrateur. 6 Cliquez sur OK. Renommer un administrateur Pourmodifier des responsabilités ou des affectations, vous pouvez vouloirmodifier le nom que vous avez donné à un administrateur. Pour renommer un administrateur 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Admin. 2 Dans la page Admin, cliquez sur Administrateurs. 3 SousAfficher les administrateurs, sélectionnez l'administrateur à renommer. 4 Sous Tâches, cliquez sur Renommer l'administrateur. 5 Dans la boîte de dialogue Renommer l'administrateur pour nom, changez le nom et cliquez sur OK. Gérer les administrateurs Renommer un administrateur 90Modifier le mot de passe d'un administrateur Pour des raisons de sécurité, vous pouvez devoir modifier le mot de passe d'un administrateur. Lorsque vous avez configuré le serveur de gestion dans l'assistant de configuration de serveur de gestion, vous avez choisi une installation simple ou avancée. Avec l'installation simple, le mot de passe saisi est identique au mot de passe de chiffrement. Si vous avez modifié le mot de passe de l'administrateur, le mot de passe de chiffrement ne change pas. Pour modifier le mot de passe d'un administrateur 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Admin. 2 Sur la page Admin, cliquez sur Administrateurs. 3 Sous Afficher les administrateurs, sélectionnez l'administrateur voulu. 4 Sous Tâches, cliquez sur Modifier le mot de passe de l'administrateur. 5 Entrez et confirmez le nouveau mot de passe. Le mot de passe doit comporter six caractères ou plus et tous les caractères sont permis. 6 Cliquez sur OK. Supprimer un administrateur Vous pouvez supprimer un administrateur lorsque ce dernier n'est plus nécessaire. Pour supprimer un administrateur 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Admin. 2 Sur la page Admin, cliquez sur Administrateurs. 3 SousAfficher les administrateurs, sélectionnez l'administrateur à supprimer. 4 Dans le volet Tâches, cliquez sur Supprimer un administrateur. 5 Dans la boîte de dialogue Supprimer un administrateur pour nom, cliquez sur Oui pour confirmer la suppression de cet administrateur. Gérer les administrateurs 91 Modifier le mot de passe d'un administrateurGérer les administrateurs Supprimer un administrateur 92Utilisation des paquets d'installation client Ce chapitre traite des sujets suivants : ¦ A propos des paquets d'installation client ¦ Configuration des options des paquets d'installation client ¦ Exportation de paquets d'installation client ¦ Ajout demises à jour de paquets d'installation client etmise à niveau des clients ¦ Supprimer des paquets de mise à niveau A propos des paquets d'installation client Pour gérer les ordinateurs à l'aide de Symantec Endpoint Protection Manager Console, vous devez exporter au moins un paquet d'installation client vers un serveur de gestion du site. Une fois le paquet d'installation clientinstallé, installez les fichiers du paquet sur les ordinateurs client.Vous pouvez exporter des paquets pour des clients gérés par Symantec, des clients gérés par des tiers et des clients autonomes. Vous pouvezutiliser SymantecEndpointProtectionManagerConsole pour exporter ces paquets sous forme d'un fichier exécutable unique ou d'une série de fichiers d'un répertoire. La méthode que vous choisissez dépend de votre méthode de déploiement et si vous veulent mettre à niveau le logiciel client dans les groupes à partir de la console de gestion. L'exécutable unique est disponible pour les outils d'installation tiers et pour l'économie potentielle de bande passante. Généralement, si vous utilisez l'objet Politique de groupe Active Directory, vous ne choisirez pas l'exportation vers un fichier exécutable unique. Chapitre 5Lors du processus d'exportation, vous sélectionnez les paquets d'installation 32 bits ou 64 bits fournis par défaut. Vous sélectionnez alors éventuellement les technologies client spécifiques de protection à installer si vous ne voulez pas installer tous les composants. Vous pouvez également spécifier comment l'installation interagit avec les utilisateurs finaux. Enfin, vous pouvez installer les fichiers exportés (un paquet) vers les ordinateurs un par un ou déployer les fichiers exportés vers plusieurs ordinateurs simultanément. Pour connaître les options de déploiement d'installation client, consultez le Guide d'Installation de Symantec Endpoint Protection et de Symantec Network Access Control sur le CD. Symantec fournit de temps en temps des paquets mis à jour de fichiers d'installation. Quand le logiciel client est installé sur des ordinateurs client, vous pouvez automatiquement mettre à jour le logiciel client sur tous les clients d'un groupe avec la fonction automatique de mise à niveau. Vous n'avez pas besoin de redéployer le logiciel à l'aide des outils de déploiement d'installation. Configuration des options des paquets d'installation client Lorsque vous exportez des paquets d'installation client, vous pouvez sélectionner les composants à installer ainsi que la méthode d'installation. Vous pouvez éventuellementinviter des utilisateurs à envoyer des informations les concernant, qui apparaissent ensuite comme des propriétés pour les ordinateurs de la console. Configuration des fonctions des paquets d'installation Les fonctions d'installation représentent les composants client disponibles pour l'installation. Par exemple, si vous créez des paquets de Symantec Endpoint Protection, vous pouvez choisir d'installer les fonctions d'antivirus etles dispositifs de pare-feu. Ou vous pouvez choisir d'installer uniquementla fonction d'antivirus. Vous devez nommer chaque ensemble de sélections. Vous sélectionnez ensuite un ensemble nommé de fonctionnalités quand vous exportez les paquets 32 bits de logiciel client et les paquets 64 bits de logiciel client. Pour configurer les fonctions des paquets d'installation 1 Dans la console, cliquez sur Admin, puis sur Paquets d'installation. 2 Sous Afficher les paquets d'installation, cliquez sur Ensembles de fonctions d'installation client. 3 Sous Tâches, cliquez sur Ajouter un ensemble de fonctionnalités d'installation client. Utilisation des paquets d'installation client Configuration des options des paquets d'installation client 944 Dans la boîte de dialogueAjouter un ensemble de fonctionnalités d'installation client, dans la zone Nom, tapez un nom. 5 Dans la zone Description, entrez une description de l'ensemble de fonctionnalités d'installation client. 6 Pour obtenir des détails concernant la définition d'autres options dans cette boîte de dialogue, cliquez sur Aide. 7 Cliquez sur OK. Configuration des paramètres des paquets d'installation client Les paramètres d'installation affectent la façon dont le logiciel client est installé sur les ordinateurs client. Vous devez nommer chaque ensemble de sélections. Vous sélectionnez ensuite un ensemble nommé de paramètres de paquet quand vous exportez les paquets 32 bits de logiciel client etles paquets 64 bits de logiciel client. Pour configurer les paramètres des paquets d'installation client 1 Dans l'onglet Admin, dans le volet inférieur gauche, cliquez sur Paquets d'installation. 2 SousAfficher les paquets d'installation, cliquez surParamètresd'installation client. 3 Sous Tâches, cliquez sur Ajouter des paramètres d'installation client. 4 Dans la boîte de dialogue Paramètres d'installation client, dans la zone Nom, tapez un nom. 5 Pour obtenir des détails concernant la définition d'autres options dans cette boîte de dialogue, cliquez sur Aide. 6 Cliquez sur OK. Collecter des données utilisateur Vous pouvez demander aux utilisateurs de taper sur les ordinateurs client des informations sur eux-mêmes au cours de l'installation du logiciel client ou des mises à jour des politiques. Vous pouvez collecter des informations, telles que le numéro de téléphone portable, la fonction et l'adresse électronique de l'employé. Après avoir collecté ces informations, vous devez les tenir à jour et les actualiser manuellement. Utilisation des paquets d'installation client 95 Configuration des options des paquets d'installation clientRemarque : Après avoir activé le message pour qu'il apparaisse sur l'ordinateur client pour la première et que l'utilisateur répond avec les informations demandées, le message ne réapparaît plus. Même si vous modifiez les champs ou désactivez ou réactivez le message, le client n'affiche pas un nouveau message. Toutefois, l'utilisateur peutmodifier les informations à toutmoment etle serveur de gestion extrait les informations. Pour collecter des données utilisateur 1 Dans la console, cliquez sur Admin, puis cliquez sur Paquets d'installation. 2 Sous Afficher les paquets d'installation, cliquez sur Paquets d'installation du client. 3 Dans le volet Paquets d'installation client, cliquez sur le paquet pour lequel vous voulez collecter des informations d'utilisateur. 4 Sous Tâches, cliquez sur Définir la collecte des informations utilisateur. 5 Dans la boîte de dialogue Définir la collecte des informations utilisateur, cliquez sur Collecter les informations utilisateur. 6 Dans la zone de texte Message instantané, tapez le message que doivent lire les utilisateurs lorsque des informations leur sont demandées. 7 Si vous voulez permettre à l'utilisateur de différer la collecte des informations utilisateur, cochezMerappelerplustard, puis définissez un délai enminutes. 8 Sous Sélectionnez les champs qui seront affichés en vue de la saisie des informations de l'utilisateur, sélectionnez le type d'informations à collecter, puis cliquez sur Ajouter. Vous pouvez sélectionner un champ ou plusieurs champs simultanément en appuyant sur la touche Maj ou la touche Contrôle. 9 Dans la colonne Facultatif, cochez la case des champs que l'utilisateur peut remplir facultativement. 10 Cliquez sur OK. Exportation de paquets d'installation client Lorsque vous exportez des paquets de logiciel client, vous créez des fichiers d'installation client à déployer. Quand vous exportez des paquets, vous devez rechercher un répertoire devant contenir les paquets exportés. Si vous spécifiez un répertoire qui n'existe pas, vous le créez automatiquement. Le processus d'exportation crée d'une manière descriptive les sous-répertoires nommés dans ce répertoire et place les fichiers d'installation dans ces sous-répertoires. Utilisation des paquets d'installation client Exportation de paquets d'installation client 96Par exemple, si vous créez un paquet d'installation pour un groupe nommé MonGroupe sous Global, un répertoire Global_MonGroupe est créé. Ce répertoire contient le paquet d'installation exporté. Remarque : Cette convention de dénomination ne distingue pas les paquets d'installation client destinés à Symantec Endpoint Protection ou à Symantec Network Access Control. Le nom du paquet exporté pour un fichier exécutable unique est Setup.exe à la fois pour Symantec Endpoint Protection et pour Symantec Network Access Control. Par conséquent, veillez à créer une structure de répertoires qui vous permette de distinguer les fichiers d'installation de Symantec Endpoint Protection et de Symantec Network Access Control. Vous avez une décision importante à prendre quand vous exportez des paquets. Vous devez décider si vous souhaitez créer un paquet d'installation pour les clients gérés ou autonomes. Si vous créez un paquet pour des clients gérés, vous pouvez les gérer avec la console Symantec Endpoint Protection Manager. Si vous créez un paquet pour les clients autonomes, vous ne pouvez pas les gérer avec la console Symantec Endpoint Protection Manager. Remarque : Si vous exportez des paquets d'installation client à partir d'une console Symantec Endpoint Protection Manager distante, les paquets sont créés sur l'ordinateur à partir duquel vous exécutez la console de gestion à distance. De plus, si vous utilisez plusieurs domaines, vous devez exporter les paquets pour chaque domaine ; sinon, ils apparaissent comme disponibles pour les groupes de domaines. Après avoir exporté un ou plusieurs paquets de fichiers d'installation, déployez les fichiers d'installation sur les ordinateurs client. Pour obtenir des détails au sujet de l'installation de logiciel client, consultez le Guide d'Installation de Symantec Endpoint Protection et de Symantec Network Access Control sur le CD. Pour exporter des paquets d'installation client 1 Dans la console, cliquez sur Admin, puis sur Paquets d'installation. 2 Sous Afficher les paquets d'installation, cliquez sur Paquets d'installation client. 3 Dans le volet Paquets d'installation client, sous Nom du paquet, cliquez sur le paquet à exporter. 4 Dans le volet inférieur gauche, sous Tâches, cliquez sur Exporter le paquet d'installation client. Utilisation des paquets d'installation client 97 Exportation de paquets d'installation client5 Dans la boîte de dialogue Exporter le paquet, cliquez sur Parcourir. 6 Dans la boîte de dialogue Sélectionner le dossier d'exportation, recherchez et sélectionnez le répertoire qui contiendra le paquet exporté, puis cliquez sur OK. Les répertoires contenant des caractères codés sur deux octets ou High-ASCII ne sont pas pris en charge et sont bloqués. 7 Dans la boîte de dialogue Exporter le paquet, définissez les autres options selon vos objectifs d'installation. 8 Pour obtenir des détails concernant la définition d'autres options dans cette boîte de dialogue, cliquez sur Aide. 9 Cliquez sur OK. Ajout de mises à jour de paquets d'installation client et mise à niveau des clients Lorsque Symantec propose des mises à niveau de paquets d'installation client, ajoutez-les d'abord à Symantec Endpoint Protection Manager puis rendez-les disponibles pour l'exportation. Cependant, vous n'avez pas besoin de les réinstaller à l'aide des outils de déploiement des clients. La meilleure méthode pour mettre à jour les clients dans des groupes à l'aide du logiciel le plus récent consiste à utiliser la console pour mettre à jour le groupe contenant les clients. Vous devez d'abord mettre à jour un groupe avec un nombre restreint d'ordinateurs de test. Vous pouvez également mettre à jour les clients à l'aide de LiveUpdate si vous autorisez les clients à exécuter LiveUpdate et si la politique des paramètres LiveUpdate permet les mises à jour. Ajouter des mises à jour de paquets d'installation client Vous recevez des mises à jour de paquets d'installation client de Symantec, puis vous les ajoutez à la base de données du site afin qu'ils puissent être distribués par Symantec Endpoint ProtectionManager.Vous pouvez éventuellement exporter les paquets pendant cette procédure pour rendre le paquet disponible pour déploiement vers les ordinateurs qui ne contiennent pas le logiciel client. Remarque : Un paquet d'installation importé se compose de deux fichiers. L'un de ces fichiers est nommé nom_produit.dat et l'autre nom_produit.info. Utilisation des paquets d'installation client Ajout de mises à jour de paquets d'installation client et mise à niveau des clients 98Pour ajouter une mise à jour de paquet d'installation client 1 Copiez le paquet dans un répertoire de l'ordinateur qui exécute le Symantec Endpoint Protection Manager. 2 Dans la console, cliquez sur Admin. 3 Sous Tâches, cliquez sur Paquets d'installation. 4 Sous Tâches, cliquez sur Ajouter un paquet d'installation client. 5 Dans la boîte de dialogue Ajouter un paquet d'installation client, saisissez le nom et la description du paquet. 6 Cliquez sur Parcourir. 7 Dans la boîte de dialogue Sélectionner le dossier, recherchez et sélectionnez le fichier nom_produit.info du nouveau paquet, puis cliquez sur Sélectionner. 8 Dans l'invite de confirmation de réussite qui apparaît, effectuez l'une des opérations suivantes : ¦ Si vous ne souhaitez pas exporter les fichiers d'installation et les rendre disponibles pour déploiement, cliquez sur Fermer. Vous avez terminé cette procédure. ¦ Si vous ne souhaitez pas exporter les fichiers d'installation et les rendre disponibles pour déploiement, cliquez sur Exportercepaquet etterminez la procédure. 9 Dans la boîte de dialogue Exporter le paquet, cliquez sur Parcourir. 10 Dans la boîte de dialogue Sélectionner le dossier d'exportation, recherchez et sélectionnez le répertoire de destination du paquet exporté, puis cliquez sur OK. 11 Dans la boîte de dialogue Exporter le paquet, sélectionnez un groupe, puis définissez les autres options selon vos objectifs d'installation. 12 Pour obtenir des détails concernant la définition d'autres options de cette boîte de dialogue, cliquez sur Aide. 13 Cliquez sur OK. Mettre à niveau des clients dans un ou plusieurs groupes Vous pouvez mettre à jour des clients à un ou plusieurs groupes du volet Admin et du volet Client. Remarque : Vous avez un contrôle très supérieur sur la manière dont le paquet est distribué si vous mettez à jour les clients à partir du volet Clients. Utilisation des paquets d'installation client 99 Ajout de mises à jour de paquets d'installation client et mise à niveau des clientsPour mettre à jour des clients dans un ou plusieurs groupes de la page Admin 1 Si vous ne l'avez pas déjà fait, affichez le volet Paquets d'installation client en effectuant les étapes suivantes : ¦ Dans la console, cliquez sur Admin. ¦ Sous Tâches, cliquez sur Paquets d'installation, puis sur Mettre à jour les groupes avec le paquet. 2 Dans le panneauAssistant demise à niveau des groupes, cliquez sur Suivant. 3 Dans le volet Sélectionner un paquet d'installation client, sous Sélectionner le nouveau paquet d'installation client, sélectionnez le paquet ajouté, puis cliquez sur Suivant. 4 Dans le panneau Spécifiez des groupes, cochez les groupes que vous voulez mettre à niveau puis cliquez sur Suivant. 5 Dans le panneau Paramètres demise à niveau du paquet, cochez Télécharger à partir du serveur de gestion et cliquez sur Suivant. 6 Dans le panneau Assistant de mise à niveau des groupes terminé, cliquez sur Terminer. Pour mettre à jour des clients dans un ou plusieurs groupes de la page Clients 1 Dans la console, cliquez sur Clients. 2 Dans le volet Afficher les clients, sélectionnez un groupe auquel vous avez attribué le paquet. 3 Sous Tâches, dans l'onglet Paquets d'installation, cliquez sur Ajouter un paquet d'installation client. 4 Dans les onglets Général et Notification, définissez les paramètres relatifs à la distribution de la mise à jour. Pour des détails sur la définition d'autres options, cliquez sur Aide. 5 Quand vous avez fini de configurer les options de distribution de mise à jour, cliquez sur OK. Supprimer des paquets de mise à niveau Les paquets de mise à niveau sont enregistrés dans la base de données. Chacun de ces paquets nécessite jusqu'à 180 Mo d'espace dans la base de données ; il est donc conseillé de supprimer les anciens paquets de mise à niveau des logiciels que vous n'utilisez plus.Vous ne supprimez pas les paquets du système de fichiers ; ils sont simplement supprimés de la base de données. Le cas échéant, il est donc possible de les réajouter ultérieurement. Utilisation des paquets d'installation client Supprimer des paquets de mise à niveau 100Remarque : Ne supprimez pas les paquets installés sur vos ordinateurs client. Pour supprimer des paquets de mise à niveau 1 Dans la console, cliquez sur Admin. 2 Sous Tâches, cliquez sur Paquets d'installation. 3 Dans le volet Paquets d'installation client, sélectionnez le paquet à supprimer. 4 Sous Tâches, cliquez sur Supprimer un paquet d'installation client. 5 Dans la boîte de dialogue Supprimer un paquet d'installation client, cliquez sur Oui. Utilisation des paquets d'installation client 101 Supprimer des paquets de mise à niveauUtilisation des paquets d'installation client Supprimer des paquets de mise à niveau 102Mise à jour des définitions et du contenu Ce chapitre traite des sujets suivants : ¦ A propos de LiveUpdate et de la mise à jour des définitions et du contenu ¦ Configuration d'un site pour télécharger des mises à jour ¦ Configuration des politiques LiveUpdate ¦ Options avancées de distribution des mises à jour A propos de LiveUpdate et de la mise à jour des définitions et du contenu LiveUpdate estle nom de la technologie qui recherche et distribue des définitions et des mises à jour de contenu sur les ordinateurs client. Ces mises à jour incluent des définitions de virus et de logiciels espions, les signatures IPS, les mises à jour de produit, etc. pour les clients Symantec Endpoint Protection. Vous pouvez permettre aux utilisateurs finaux d'exécuter LiveUpdate sur des ordinateurs client et vous pouvez programmer LiveUpdate pour s'exécuter sur les ordinateurs client aux heures spécifiées. Quand LiveUpdate s'exécute et détermine que des mises à jour sont requises, LiveUpdate télécharge et installe les mises à jour qu'il est configuré pour exécuter et pour lesquelles il est autorisé. Pour Symantec Endpoint Protection, deux politiques différentes contrôlent comment et quand ces mises à jour sont distribuées aux clients et contrôlent les types demise à jour.Avec la première politique, vous définissez le serveur demise à jour que les ordinateurs client utilisent et vous définissez combien de fois les clients vérifient les mises à jour sur le serveur. Avec la deuxième politique, vous définissez le type de mises à jour que les clients doivent téléchargent à partir du Chapitre 6serveur. Pour Symantec NetworkAccess Control, seul le premier type de politique est pris en charge. A propos des architectures de distribution réseau mises à jour Plusieurs architectures réseau sont disponibles pour mettre à jour des clients. L'architecture de votre réseau dépend de la disponibilité et de la préservation de la bande passante. Les réseaux très petits peuvent programmer des mises à jour de clients directement à partir de Symantec. Les réseaux petits àmoyens atteignant deux mille clients peuvent utiliser le paramètre par défaut. Le paramètre par défaut permet à Symantec Endpoint Protection Manager d'obtenir des mises à jour à partir d'un serveur Symantec LiveUpdate, et fournit ensuite ces mises à jour aux clients réseau. De plus grands réseaux peuventintroduire des fournisseurs de mise à jour groupée. Figure 6-1 illustre ces options d'architecture relativement simples. Figure 6-1 Options simples d'architecture de distribution de mise à jour Symantec LiveUpdate Groupe de clients Fournisseur de mise à jour groupée (client) Serveur de gestion Serveur de gestion Groupes de clients Groupe de clients Clients Mise à jour des définitions et du contenu A propos de LiveUpdate et de la mise à jour des définitions et du contenu 104Le fournisseur de mise à jour groupée est une option que vous pouvez utiliser dans n'importe quel groupe. Quand vous créez la politique LiveUpdate pour le groupe, vous pouvez spécifier un client pour télécharger des mises à jour. Vous pouvez envoyer les mises à jour aux autres clients du groupe. Le fournisseur de mise à jour groupée ne doit pas forcément faire partie du groupe et peut mettre à jour de multiples groupes. Dans les grands réseaux de plus de 10.000 clients, un serveur LiveUpdate interne est disponible pour préserver la bande passante. Cette architecture préserve la puissance de traitement au niveau du serveur de gestion. Dans ce cas, vous pouvez configurer le serveur LiveUpdate interne pour télécharger desmises à jour à partir d'un serveur Symantec LiveUpdate et envoyez ensuite des mises à jour aux ordinateurs clients. Dans cette architecture, le serveur de gestion allège la fonctionnalité de mise à jour, mais traite toujours les mises à jour des journaux et de la politique. Le serveur LiveUpdate interne est également utile pour les réseaux exécutant plusieurs produits Symantec qui exécutent aussi LiveUpdate pour mettre à jour des clients. Figure 6-1 illustre ces options d'architecture plus complexes. Mise à jour des définitions et du contenu 105 A propos de LiveUpdate et de la mise à jour des définitions et du contenuFigure 6-2 Les options plus complexes d'architecture de distribution de mise à jour Symantec LiveUpdate Serveur de gestion Serveur LiveUpdate Serveur LiveUpdate Groupes de clients Groupes de clients Remarque : Deux options supplémentaires d'architecture sont disponibles. Une option fournitla gestion tiers en outils commeMicrosoft SMS etIBMTivoli. L'autre option approvisionne un serveur proxy localisé entre le serveur LiveUpdate interne et les serveurs de gestion et les clients qu'il met à jour. Pour des détails sur le serveur proxy, consultez le Guide de l'administrateur de LiveUpdate sur le CD-ROM d'installation. Tableau 6-1 décrit les options d'architecture les plus communes. Mise à jour des définitions et du contenu A propos de LiveUpdate et de la mise à jour des définitions et du contenu 106Tableau 6-1 Options d'architecture de distribution de mises à jour Architecture Description Quand l'utiliser Utilisez cette architecture au départ parce que c'est la méthode la plus facile à mettre en application et qu'elle est installée et configurée par défaut après l'installation du serveur de gestion. Vous pouvez également combiner cetteméthode avec un fournisseur de mise à jour groupée. Par défaut, les managers de Symantec Endpoint Protection mettent à jour les clients qu'ils gèrent et les serveurs de gestion récupèrent ces mises à jour à partir de la base de données du site. La base de données du site a comme d'habitude reçu les mises à jour à partir d'un serveur Symantec LiveUpdate. De Symantec Endpoint Protection Manager aux clients (par défaut) Utilisez cette méthode pour des groupes coexistant à des emplacements distants avec un minimum de bande passante. En outre, cette méthode réduit la charge sur les serveurs de gestion. Un fournisseur de mise à jour groupée est un client qui agit en tant que proxy entre Symantec Endpoint Protection Manager et les clients du groupe. Le fournisseur demise à jour groupée reçoit des mises à jour d'une gestion ou d'un serveur LiveUpdate, puis fait suivre lesmises à jour aux autres clients du groupe. Un fournisseur de mise à jour groupée peut mettre à jour plusieurs groupes. Du fournisseur demise à jour groupée aux clients Utilisez le serveur Symantec LiveUpdate externe pour les ordinateurs client autonomes qui ne sont pas toujours connectés au réseau d'entreprise. Utilisez le serveur LiveUpdate interne dans de grands réseaux pour réduire la charge sur le serveur de Symantec Endpoint Protection Manager. Remarque : Ne configurez pas un grand nombre de clients gérés et en réseau pour récupérer des mises à jour à partir d'un serveur Symantec LiveUpdate externe.Cette configuration consomme des quantités inutiles de bande passante de passerelle Internet. Les clients peuvent récupérer des mises à jour directement à partir d'un serveur LiveUpdate. Le serveur LiveUpdate peut être un serveur Symantec LiveUpdate externe ou un serveur LiveUpdate interne qui reçoit des mises à jour à partir d'un serveur Symantec LiveUpdate externe. Du Serveur LiveUpdate aux clients Mise à jour des définitions et du contenu 107 A propos de LiveUpdate et de la mise à jour des définitions et du contenuArchitecture Description Quand l'utiliser Utilisez cette méthode quand vous voulez tester des fichiers de mise à jour avant de les distribuer. En outre, utilisez cette méthode si vous avez une infrastructure de distribution d'outil tiers et si vous voulez bénéficier de cette infrastructure. Les outils tiers comme Microsoft SMS vous permettent de distribuer des fichiers spécifiques de mise à jour aux clients. Vous pouvez récupérer des fichiers auto-extractibles Intelligent Updater à partir du site Web de Symantec qui contiennent des fichiers de définitions de virus et de risque de sécurité avec des extensions jdb et vdb. Les extensions ldb ne sont plus prises en charge. Pour recevoir d'autres fichiers de mise à jour, vous devez installer et configurer un serveur Symantec Endpoint Protection Manager pour télécharger et planifier les fichiers de mise à jour. Distribution d'outil tiers (Non illustré) A propos des types de mise à jour Par défaut, les ordinateurs client reçoivent tous les derniers types de mise à jour à moins qu'une politique soit appliquée, qui restreigne ou interdise ces types de mise à jour. Si un groupe utilise Symantec Endpoint Protection Manager pour distribuer des mises à jour (le paramètre par défaut), alors le serveur de gestion doit également être configuré pour télécharger lesmêmesmises à jour.Autrement, ces mises à jour ne sont pas disponibles pour la distribution de groupe. Tableau 6-2 liste et décrit les types de mise à jour. Tableau 6-2 Types de mises à jour Type de mise à jour Description Ces définitions contiennent deux types de mises à jour, une mise à jour de version complète et une mise à jour delta directe. Le type de mise à jour est inclus dans le paquet de mise à jour. Des paquets séparés de définition de virus sont disponibles pour les plates-formes x86 et x64. Définitions antivirus et antispyware Ces signatures prennent en charge le moteur de protection antivirus et antispyware et sont utilisées pour décomposer etlire les données qui sont enregistrées dans divers formats. Signatures de décomposeur Ces signatures protègent contre lesmenaces d'attaque "Zero Day". Signatures heuristiques du balayage proactif des menaces TruScan Mise à jour des définitions et du contenu A propos de LiveUpdate et de la mise à jour des définitions et du contenu 108Type de mise à jour Description Ces listes d'application sont des applications commerciales légales qui ont généré des faux positifs dans le passé. Liste d'application commerciale de l'analyse proactive des menaces TruScan Ces signatures protègent contre des menaces réseau et prennent en charge les moteurs de prévention d'intrusion et de détection. Signatures de Prévention d'intrusion Ces signatures contrôlent le flux des soumissions à Symantec Security Response. Signatures de contrôle de soumission Configuration d'un site pour télécharger des mises à jour Configuration et plannification des téléchargements de mises à jour sontles deux temps d'un processus. D'abord, vous configurez un site pour télécharger desmises à jour. Le site doit contenir les mises à jour qui sont distribuées aux clients. Les mises à jour sont distribuées aux clients comme spécifié dans les politiques LiveUpdate qui sont appliquées aux emplacements dans un groupe. Quand vous configurez un site pour télécharger des mises à jour, vous prenez les décisions suivantes : ¦ La fréquence des recherches de mises à jour. ¦ Les types de mises à jour à télécharger. Les politiques LiveUpdate spécifient également aux clients quels types de mises à jour télécharger. Soyez sûr que le site télécharge toutes les mises à jour qui sont spécifiées dans les politiques LiveUpdate client. ¦ La langue des types de mise à jour à télécharger. ¦ Le serveur LiveUpdate qui sert les mises à jour au site. Vous pouvez spécifier un serveur Symantec LiveUpdate externe (recommandé) ou bien un serveur LiveUpdate interne préalablement installé et configuré. ¦ Nombre de versions de contenu à conserver et conservation ou non des paquets client sous forme non compressée. Vous pouvez installer un serveur LiveUpdate interne sur un ordinateur, que le logiciel Symantec Endpoint ProtectionManager soitinstallé ou pas. Dans les deux cas, vous devez utiliser l'utilitaire de l'administrateur de LiveUpdate pour mettre à jour le serveur LiveUpdate. L'utilitaire de l'administrateur récupère les mises à jour des définitions depuis un serveur LiveUpdate de Symantec. Ensuite, l'utilitaire Mise à jour des définitions et du contenu 109 Configuration d'un site pour télécharger des mises à jourplace les paquets sur un serveur Web, un site FTP ou un emplacement défini par un chemin d'accès UNC. Vous devez alors configurer votre Symantec Endpoint Protection Manager pour récupérer leurs mises à jour de définitions à partir de cet emplacement. Pour plus d’informations, reportez-vous au Guide de l’administrateur de LiveUpdate, disponible sur le CD d'installation ou sur le site Web du support technique de Symantec. Si la réplication est utilisée, un seul site doit être configuré pour télécharger des fichiers de mise à jour. La réplication met automatiquement à jour l'autre base de données. Il esttoutefois déconseillé de répliquer des mises à jour de produit entre des sites. Ces mises à jour peuvent être assez grandes et il en existe une pour chaque langue que vous sélectionnez. Si vous choisissez de télécharger des mises à jour de produit avec LiveUpdate vers Symantec Endpoint Security Manager, les mises à jour apparaissent automatiquement dans le volet Paquets d'installation. Vous pouvez alors mettre à jour des clients avec une mise à niveau automatique. Si vous utilisez cette approche pour le contrôle de version, il est déconseillé de sélectionner des mises à niveau automatiques de produits dans la politique de paramètres LiveUpdate. Remarque : Les sites téléchargent des fichiers MSP pour des mises à jour de produits et créent ensuite de nouveaux fichierMSI. Les sites répliquent des fichiers MSI si vous choisissez de répliquer des mises à jour de produits. Les fichiers MSP sont une fraction de la taille des fichiers MSI. La planification par défaut de Symantec Endpoint Protection Manager, qui exécute LiveUpdate toutes les 4 heures, est un procédé optimal. La configuration d'un site pour télécharger des mises à jour 1 Dans la console, cliquez sur Administration. 2 Dans le volet Tâches, cliquez sur Serveurs. 3 Dans le voletAffichage, cliquez avec le bouton droit de la souris sur Sitelocal, puis cliquez sur Propriétés. 4 Dans la boîte de dialogue Propriétés de site, dans l'onglet LiveUpdate, sous Planification du téléchargement, définissez les options de planification déterminant la fréquence à laquelle le serveur doit rechercher des mises à jour. 5 Sous Types de contenu à télécharger, examinez la liste des types de mises à jour téléchargés. 6 Pour ajouter ou supprimer un type de mise à jour, cliquez sur Modifier la sélection, modifiez la liste, puis cliquez sur OK. Mise à jour des définitions et du contenu Configuration d'un site pour télécharger des mises à jour 1107 Sous Langues à télécharger, examinez la liste des langues des types de mises à jour qui sont téléchargées. 8 Pour ajouter ou supprimer une langue, cliquez sur Modifier la sélection, modifiez la liste, puis cliquez sur OK. 9 Sous Serveurs source LiveUpdate, examinez le serveur LiveUpdate actuel qui est utilisé pour mettre à jour le serveur de gestion. Ce serveur est par défaut le serveur Symantec LiveUpdate. Effectuez ensuite les opérations suivantes : ¦ Pour utiliser le serveur source LiveUpdate existant, cliquez sur OK. Ne poursuivez pas cette procédure ; vous avez terminé. ¦ Pour utiliser un serveur LiveUpdate interne, cliquez sur Modifier les serveurs source et continuez la procédure. 10 Dans la boîte de dialogue Serveurs LiveUpdate, cochez Utiliser un serveur LiveUpdate interne spécifique et cliquez ensuite sur Ajouter. 11 Dans la boîte de dialogue Ajouter le serveur de mise à jour, remplissez les zones de texte avec les informations identifiant le serveur LiveUpdate puis cliquez sur OK. 12 Dans la boîte de dialogue Propriétés de site, sous Gestion de l'espace disque des téléchargements, tapez le nombre de révisions de contenu LiveUpdate à conserver et définissez l'option Enregistrer les paquets client non compressés. Davantage d'espace disque est requis pour le stockage d'un grand nombre de révisions de contenu. Les paquets client qui sont conservés sous forme développée requièrent également plus d'espace disque. 13 Cliquez sur OK. L'aide liste et décritles données à entrer dans les zones de texte. Pour la prise en charge du basculement, vous pouvez installer, configurer et sélectionner plus d'un serveur LiveUpdate. Si un serveur disparaît hors ligne, l'autre serveur fournit la prise en charge. Configuration des politiques LiveUpdate Il existe deux types de politiques LiveUpdate. L'un est appelé Politique des paramètres de LiveUpdate et s'applique aux clients Symantec Endpoint Protection et Symantec Network Access Control. L'autre est appelé Politique de contenu LiveUpdate et ne s'applique qu'aux clients Symantec Endpoint Protection. La politique des paramètres de LiveUpdate spécifie les ordinateurs avec lesquels les clients communiquent pour rechercher les mises à jour et contrôle la fréquence de recherche des mises à jour. S'il y a lieu, vous pouvez appliquer cette politique à des emplacements spécifiques d'un groupe. Mise à jour des définitions et du contenu 111 Configuration des politiques LiveUpdateLa politique de contenu LiveUpdate spécifie les types demises à jour que les clients sont autorisés à rechercher et à installer. Pour chaque type, vous pouvez spécifier que les clients recherchent et installent la dernière mise à jour. Vous pouvez également spécifier une version d'une mise à jour que les clients installent s'ils n'exécutent pas cette version. Vous ne pouvez pas appliquer cette politique à des emplacements spécifiques d'un groupe. Vous pouvez seulement appliquer cette politique au niveau du groupe. Configuration d'une politique de paramètres LiveUpdate Quand vous ajoutez et appliquez une politique de paramètres LiveUpdate, vous devez envisager la fréquence à laquelle vous voulez que les ordinateurs client recherchent des mises à jour. Le paramètre par défaut est toutes les 4 heures. Vous devez également savoir à partir d'où vous voulez que vos ordinateurs client recherchent et récupèrent des mises à jour. Généralement, il est souhaitable que les ordinateurs client recherchent et récupèrent des mises à jour à partir de Symantec Endpoint Protection Manager. Après avoir créé votre politique, vous pouvez l'attribuer à un ou plusieurs groupes et emplacements. Remarque : Un paramètre avancée permet aux utilisateurs de démarrer manuellement LiveUpdate à partir de leurs ordinateurs client et ce paramètre est désactivé par défaut. Si vous activez ce paramètre, les utilisateurs peuvent démarrer LiveUpdate et télécharger les dernières définitions de virus, les mises à jour de composants et les mises à jour potentielles des produits. Si le paramètre avancé de politique pour Télécharger les mises à jour de produit avec LiveUpdate est activé, les mises à jour de produit qu'elles téléchargent sont des versions et des correctifs de maintenance pour le logiciel client Symantec. Selon la taille de votre population d'utilisateurs, il se peut que vous ne vouliez pas permettre aux utilisateurs de télécharger toutle contenu sans test préalable. En outre, des conflits peuvent se produire si deux sessions de LiveUpdate s'exécutent simultanément sur des ordinateurs client. Une pratique d'excellence consiste à laisser ce paramètre désactivé. Pour configurer une politique de paramètres LiveUpdate 1 Dans la console, cliquez sur Politiques. 2 Dans le volet Afficher les politiques, cliquez sur LiveUpdate. 3 Dans le volet Tâches de l'onglet Paramètres LiveUpdate, cliquez sur Ajouter une politique de paramètre LiveUpdate. 4 Dans le volet Présentation, dans la zone Nomde politique,tapez un nompour la politique. Mise à jour des définitions et du contenu Configuration des politiques LiveUpdate 1125 Sous Politique LiveUpdate, cliquez sur Paramètres du serveur. 6 Dans le volet Paramètres du serveur, sous Serveur LiveUpdate interne ou externe, cochez et activez aumoins une source à partir de laquelle vous voulez récupérer des mises à jour. La plupart des organisations doivent utiliser le serveur de gestion par défaut. 7 Si vous avez coché Utiliser un serveur LiveUpdate, sous Politique LiveUpdate, cliquez sur Planifier. 8 Dans le volet Planification, acceptez ou modifiez les options de planification. 9 Si vous avez coché Utiliser un serveur LiveUpdate, sous Politique LiveUpdate, cliquez sur Paramètres avancés. 10 Décidez si vous voulez garder ou modifier les paramètres par défaut. Généralement, il n'est pas souhaitable que les utilisateurs modifient les paramètres de mise à jour. Cependant, vous pouvez souhaiter leur permettre de lancer manuellement une session LiveUpdate si vous ne prenez pas en charge des centaines ou des milliers de clients. 11 Quand vous avez configuré votre politique, cliquez sur OK. 12 Dans la boîte de dialogueAssigner la politique, effectuez l'une des opérations suivantes : ¦ Cliquez sur Oui pour enregistrer et attribuer la politique à un groupe ou l'emplacement d'un groupe. ¦ Cliquez sur Non pour enregistrer la politique seulement. 13 Si vous avez cliqué sur Oui, dans la boîte de dialogue Assigner la politique LiveUpdate, vérifiez les groupes et les emplacements auxquels la politique doit être attribuée, puis cliquez sur Assigner. Si vous ne pouvez pas sélectionner un groupe imbriqué, ce groupe hérite des politiques de son groupe parent, comme défini dans l'onglet Politiques des ordinateurs et des utilisateurs. Configuration d'une politique de contenu LiveUpdate Par défaut, tous les clients Symantec Endpoint Protection d'un groupe reçoivent les dernières versions de tout le contenu et de toutes les mises à jour du produit. Si un groupe de clients obtient des mises à jour via un serveur de gestion, les clients ne reçoivent que les mises à jour que le serveur est configuré pour télécharger. Si la politique de contenu LiveUpdate autorise toutes les mises à jour mais si le serveur de gestion n'est pas configuré pour télécharger toutes les mises à jour, les clients reçoivent uniquement ce que le serveur télécharge. Mise à jour des définitions et du contenu 113 Configuration des politiques LiveUpdateSe reporter à "Configuration d'un site pour télécharger des mises à jour" à la page 109. Si un groupe est configuré pour obtenir des mises à jour d'un serveur LiveUpdate, les clients de ce groupe reçoiventtoutes lesmises à jour autorisées dans la politique de contenu LiveUpdate. Si la politique de contenu LiveUpdate spécifie une révision spécifique pour une mise à jour, les clients ne reçoivent jamais les révisions de cettemise à jour particulière tant que le paramètre d'une révision spécifique n'est pas remplacé par la dernière révision disponible. Les serveurs LiveUpdate ne comprennent pas la fonctionnalité de version nommée. Les versions nommées vous permettent d'exercer un contrôle plus stricte sur les mises à jour qui sont distribuées aux clients. Généralement, les environnements qui testent les dernières mises à jour avant de les distribuer aux clients utilisent la fonctionnalité de version nommée. Remarque : L'utilisation des révisions spécifiques fournit la fonctionnalité de restauration. Pour configurer une politique de contenu LiveUpdate 1 Dans la console, cliquez sur Politiques. 2 Dans le volet Afficher les politiques, cliquez sur LiveUpdate. 3 Dans l'onglet Contenu LiveUpdate, cliquez sur Ajouter une politique de contenu LiveUpdate. 4 Dans le volet Présentation, dans la zone Nomde politique,tapez un nompour la politique. 5 Dans le volet Contenu LiveUpdate, cliquez sur Définitions de sécurité. 6 Dans le volet Définitions de sécurité, sélectionnez lesmises à jour à télécharger et à installer et désélectionnez les mises à jour à ne pas autoriser. 7 Pour chaque mise à jour, faites une des opérations suivantes : ¦ Cochez Utiliser le dernier disponible ¦ Cochez Sélectionner une révision 8 Pour continuer, effectuez l'une des opérations suivantes : ¦ Si vous n'avez pas coché Sélectionner une révision pour un type de mise à jour, cliquez sur OK, puis passez à l'étape 11. ¦ Si vous avez cochez Sélectionner une révision pour un type demise à jour, cliquez sur Modifier, puis passez à l'étape suivante. Mise à jour des définitions et du contenu Configuration des politiques LiveUpdate 1149 Dans la boîte de dialogue Sélectionnez une révision, dans la colonne Révision, cliquez et sélectionnez la révision à utiliser, puis cliquez sur OK. 10 Dans la fenêtre Politique de contenu LiveUpdate, cliquez sur OK. 11 Dans la boîte de dialogue Assigner la politique, cliquez sur Oui. Vous pouvez aussi annuler cette procédure et attribuer la politique ultérieurement. 12 Dans la boîte de dialogueAssigner la politique de contenu LiveUpdate, activez un ou plusieurs groupes auxquels cette politique doit être attribuée, puis cliquez sur Assigner. Afficher et modifier la politique de contenu LiveUpdate appliquée à un groupe Des politiques de contenu LiveUpdate sont appliquées à des groupes et à tous les emplacements des groupes. Par conséquent, la politique n'apparaît pas avec d'autres politiques sous des emplacements dans la console. Pour afficher et modifier la politique de contenu LiveUpdate qui est appliquée à un groupe 1 Dans la console, cliquez sur Politiques et créez au moins deux politiques de contenu LiveUpdate. 2 Appliquez l'une des politiques à un groupe. 3 Cliquez sur Clients. 4 Dans l'onglet Politiques, sous Paramètres dans le volet de droite, cliquez sur Politique de contenu LiveUpdate. 5 Dans la boîte de dialogue Politique de contenu LiveUpdate, notez le nom de la politique en cours d'utilisation sous Spécifier la politique de contenu LiveUpdate à utiliser pour ce groupe. 6 Pour changer la politique appliquée au groupe, cliquez sur la politique de contenu à utiliser, puis sur OK. Configuration d'un fournisseur de mise à jour groupée dans une politique de paramètres LiveUpdate Quand vous créez une politique de Paramètres LiveUpdate, vous avez la possibilité de spécifier un fournisseur de mise à jour groupée. Le fournisseur de mise à jour groupée fournit des mises à jour aux clients du groupe et aux sous-groupes qui héritent des politiques définies dans l'onglet Clients. Si les clients d'un groupe qui se trouve à unemplacement distant possédant des problèmes de bande passante Mise à jour des définitions et du contenu 115 Configuration des politiques LiveUpdatesur leWAN, définissez l'un des clients comme fournisseur de mise à jour groupée, puis configurez le groupe pour utiliser ce fournisseur demise à jour. Le fournisseur de mise à jour groupée vous permet également d'alléger la capacité de traitement de Symantec Endpoint Protection Manager si vous avez besoin de cette option. Remarque : Vous pouvez configurer un fournisseur de mise à jour groupée quand vous créez une politique ou vous pouvez en configurer une quand vous modifiez un politique existante. Vous devez d'abord créer une politique sans fournisseur de mise à jour groupée et vérifier que les ordinateurs client reçoivent des mises à jour. Lors de la vérification, vous pouvez ajouter un fournisseur de mise à jour groupée. Cette approche aide à résoudre les problèmes de communication. Cependant, si l'ordinateur du fournisseur de mise à jour groupée est déconnecté, les clients du groupe obtiennent les mises à jour directement de son serveur de gestion. Quand vous configurez un fournisseur de mise à jour groupée, vous spécifiez un nom d'hôte ou une adresse IP et un numéro de port TCP. Le numéro de port TCP par défaut est 2967, un port qui a été utilisé dans les communications réseau de Symantec AntiVirus 10.x et de Symantec Client Security 3.x. Si l'ordinateur de votre fournisseur de mise à jour groupée reçoit des adresses IP avec DHCP, vous devez attribuer une adresse IP statique à l'ordinateur ou taper le nom d'hôte. Si l'ordinateur de votre fournisseur de mise à jour groupée se trouve sur un site distant et si ce site distant utilise NAT (network address translation),tapez le nom d'hôte. Remarque : Si le fournisseur de mise à jour groupée exécute un pare-feuWindows ou le pare-feu Symantec Client, vous devez modifier la politique de pare-feu pour permettre au portTCP2967 de recevoir des communications de Symantec Endpoint Protection Manager. Pour configurer un fournisseur de mise à jour groupée dans une politique de paramètres LiveUpdate 1 Dans la console, cliquez sur Politiques. 2 Dans le volet Afficher les politiques, cliquez sur LiveUpdate. 3 Dans le volet Politiques LiveUpdate, onglet Paramètres LiveUpdate, sélectionnez sous Nom la politique à modifier. 4 Dans le volet Tâches, cliquez sur Modifier la politique. 5 Dans la fenêtre Politique LiveUpdate, cliquez sur Paramètres du serveur. Mise à jour des définitions et du contenu Configuration des politiques LiveUpdate 1166 Dans l'onglet Serveur LiveUpdate, sous Option de serveur de réseau local, sélectionnez Utiliser le fournisseur demise à jour groupée comme serveur LiveUpdate par défaut. 7 Cliquez sur Fournisseur de mise à jour groupée. 8 Dans la boîte de dialogue Fournisseur de mise à jour groupée, dans la zone Hôte, tapez une adresse IP ou un nom d'hôte. 9 Dans la zone Port, acceptez ou modifiez le paramètre par défaut, puis cliquez sur OK. Options avancées de distribution des mises à jour Vous pouvez utiliser Intelligent Updater pour distribuer des mises à jour de virus et de risque de sécurité. Vous pouvez également utiliser les outils tiers de distribution pour distribuer les mises à jour. Ces mises à jour sontobtenues après avoir installé et configuré Symantec Endpoint ProtectionManager pour télécharger les mises à jour que vous voulez distribuer. Remarque : Des définitions antivirus et antispyware sont contenues dans les fichiers vdb etjdb que vous pouvez distribuer. Les fichiers vdb prennent en charge les clients 32 bits seulement. Les fichiers jdb prennent en charge les clients 32 bits et les clients 64 bits. Ce sont les fichiers que vous placez dans les boîtes de réception de l'ordinateur client. Vous pouvez télécharger des mises à jour à partir du site suivant : ftp://ftp.symantec.com/AVDEFS/symantec_antivirus_corp/ Fourniture de mises à jour de contenu d'antivirus avec Intelligent Updater Pour distribuer seulement les mises à jour de virus et de risque de sécurité, téléchargez le nouvel Intelligent Updater. Puis, utilisez votre méthode de distribution favorite pour fournir les mises à jour à vos serveurs gérés et vos clients. Intelligent Updater est disponible sous la forme d'un seul fichier ou d'un paquet segmenté, distribué sur plusieurs fichiers plus petits. Le fichier unique est destiné aux ordinateurs dotés de connexions réseau. Le paquet segmenté est destiné aux ordinateurs qui n'ont pas de connexions réseau, d'accès à Internet ou de lecteur CD-ROM. Copiez le paquet segmenté sur le support amovible pour la distribution. Mise à jour des définitions et du contenu 117 Options avancées de distribution des mises à jourRemarque : Actuellement, Intelligent Updater met seulement à jour les virus et les mises à jour de risque de sécurité. Veillez à utiliser les fichiers Intelligent Updater pour entreprise plutôt que ceux destinés à la version grand public du produit. Pour télécharger Intelligent Updater 1 Dans votre navigateur Web, accédez à l'URL suivant : http://www.symantec.com/fr/fr/security_response/ 2 Sous Définitions de virus, cliquez sur Télécharger les définitions de virus manuellement. 3 Cliquez sur Télécharger les définitions de virus(Intelligent Updater uniquement). 4 Sélectionnez la langue et le produit. 5 Cliquez sur Télécharger les mises à jour. 6 Cliquez sur le fichier comportant l'extension .exe. 7 Quand un message vous demande de choisir un emplacement où enregistrer les fichiers, sélectionnez un dossier sur votre disque dur. Pour installer les fichiers de définitions de virus et de risques de sécurité 1 Localisez le fichier Intelligent Updater que vous avez téléchargé depuis Symantec. 2 Double-cliquez sur le fichier et suivez les instructions affichées à l'écran. A propos de l'utilisation d'outils de distribution tiers pour distribuer des mises à jour aux clients gérés Les grands réseaux peuvent dépendre d'outils de distribution tiers comme IBM Tivoli,Microsoft SMS, etc., pour distribuer desmises à jour aux ordinateurs client. Le logiciel client Symantec prend en charge la distribution de mise à jour avec ces outils. Pour utiliser les outils de distribution tiers, vous devez obtenir les fichiers de mise à jour et les distribuer avec un outil de distribution. Pour les clients gérés, vous pouvez obtenir les fichiers de mise à jour après avoir installé et configuré un serveur Symantec Endpoint Protection Manager en tant que premier et seul serveur d'un site. Vous programmez et sélectionnez ensuite les mises à jour LiveUpdate à télécharger. Se reporter à "Configuration d'un site pour télécharger des mises à jour" à la page 109. Mise à jour des définitions et du contenu Options avancées de distribution des mises à jour 118Les fichiers demise à jour sonttéléchargés dans des sous-répertoires du répertoire (par défaut) suivant : \Program Files\Symantec Endpoint Protection Manager\data\outbox\ Vous distribuez ensuite les fichiers aux répertoires de boîte de réception des ordinateurs client : Le répertoire suivant apparaît sur les ordinateurs client qui n'exécutent pas Windows Vista : \\Documents and Settings\All Users\Application Data\Symantec\ Symantec Endpoint Protection\inbox\ Le répertoire suivant apparaît sur les ordinateurs client qui exécutent Windows Vista : \\Program Data\Symantec\Symantec Endpoint Protection\inbox\ Par défaut, ce répertoire n'existe pas et le logiciel client ne vérifie pas et ne traite pas le contenu de ce répertoire. Pour les clients gérés, vous devez configurer une politique LiveUpdate pour le groupe, activer la distribution tiers aux clients du groupe et appliquer la politique. Pour les clients non gérés, vous devez activer manuellement une clé de registre. Remarque : Le meilleur procédé est d'activer cette prise en charge avec une politique LiveUpdate. Activer la distribution de contenu tiers aux clients gérés avec une politique LiveUpdate Quand vous créez une politique LiveUpdate qui prend en charge la distribution de contenu tiers aux clients gérés, vous avez deux ou trois buts supplémentaires. L'un est de réduire la fréquence avec laquelle les clients recherchent des mises à jour. L'autre est typiquement de désactiver la capacité des utilisateurs client d'effectuer LiveUpdate manuellement. Le terme clients gérés signifie que les clients sont gérés avec des politiques Symantec Endpoint Protection Manager. Quand vous avez terminé cette procédure, le répertoire suivant apparaît sur les ordinateurs client du groupe qui n'exécute pas Windows Vista : \\Documents and Settings\All Users\Application Data\Symantec\ Symantec Endpoint Protection\inbox\ Le répertoire suivant apparaît sur les ordinateurs client du groupe qui exécute Windows Vista : \\Program Data\Symantec\Symantec Endpoint Protection\inbox\ Mise à jour des définitions et du contenu 119 Options avancées de distribution des mises à jourPour activer la distribution de contenu tiers aux clients gérés avec une politique LiveUpdate 1 Dans la console, cliquez sur Politiques. 2 Dans le volet Afficher les politiques, cliquez sur LiveUpdate. 3 Dans le volet Politiques LiveUpdate, onglet Paramètres LiveUpdate, sous Tâches, cliquez sur Ajouter une politique de paramètre LiveUpdate. 4 Dans la fenêtre Politique LiveUpdate, tapez un nom et une description dans les zones Nom de la politique et Description. 5 Sous Administration tiers, cochez l'option Activer la gestion de contenu tiers. 6 Décochez toutes les autres options de la source LiveUpdate. 7 Cliquez sur OK. 8 Dans la boîte de dialogue Assigner la politique, cliquez sur Oui. Vous pouvez aussi annuler cette procédure et attribuer la politique ultérieurement. 9 Dans la boîte de dialogue Assigner la politique LiveUpdate, activez un ou plusieurs groupes auxquels cette politique doit être attribuée, puis cliquez sur Assigner. Distribution du contenu aux clients gérés par des outils de distribution tiers Après avoir activé la gestion du contenu tiers dans la politique LiveUpdate, vous localisez et copiez le contenu sur Symantec Endpoint Protection Manager. Une fois que vous avez localisé et copié le contenu, vous pouvez le distribuer aux clients. Vous pouvez également choisir le type de contenu que vous souhaitez copier et distribuer. Remarque : Si vous enregistrez les fichiers demise à jour sur des ordinateurs client avant de les placer dans le répertoire /inbox, vous devez alors copier les fichiers. Les fichiers ne peuvent pas être déplacés.Vous pouvez également copier les fichiers .vdb et .jdb vers la boîte de réception en vue de leur traitement. Mise à jour des définitions et du contenu Options avancées de distribution des mises à jour 120Pour distribuer du contenu aux clients gérés par des outils de distribution tiers 1 Sur l'ordinateur qui exécute Symantec Endpoint Protection Manager, créez un répertoire de référence tel que \Work_Dir. 2 Dans la console, sous l'onglet Clients, cliquez avec le bouton droit de la souris sur le groupe pour le mettre à jour, puis cliquez sur Propriétés. 3 Documentez les quatre premières valeurs hexadécimales de Numéro de série de la politique, tel que 7B86. 4 Naviguez vers le répertoire suivant : \\Program Files\Symantec\Symantec Endpoint Protection Manager\data\outbox\agent 5 Recherchez le répertoire qui contient les quatre premières valeurs hexadécimales correspondant au numéro de série de la politique de votre groupe de clients. 6 Ouvrez ce répertoire puis copiez index2.dax sur votre répertoire de référence, tel que \Work_Dir.dax. 7 Naviguez vers le répertoire suivant : \\Program Files\Symantec\Symantec Endpoint Protection Manager\Inetpub\content 8 Ouvrez et lisez le fichier ContentInfo.txt pour découvrir les données que chaque répertoire <> contient. Le contenu de chaque répertoire est <>\\full.zip|full. Le fichier que vous devez utiliser est <>\\index.dax. 9 Copiez le contenu de chaque répertoire \<> vers votre répertoire de référence tel que \Work_Dir. Mise à jour des définitions et du contenu 121 Options avancées de distribution des mises à jour10 Supprimez tous les fichiers et répertoires de chaque répertoire \<> de sorte que seuls la structure de répertoires et le fichier suivants demeurent dans votre répertoire de référence : \\Work_Dir\<>\\full.zip Votre répertoire de travail contient maintenant la structure de répertoires et les fichiers à distribuer aux clients. 11 Utilisez vos outils de distribution tiers pour distribuer le contenu de \Work_Dir vers le répertoire \\Symantec Endpoint Protection\inbox\ des clients de votre groupe. Le résultat final doit s'apparenter aux chaînes suivantes : \\Symantec Endpoint Protection\inbox\index2.dax \\Symantec Endpoint Protection\inbox\<>\\full.zip Si les fichiers disparaissentlaissantla boite de réception vide. Si le répertoire \inbox\invalid\ apparaît, cela signifie que vous devez réessayer. A propos de l'utilisation d'outils de distribution tiers pour distribuer les mises à jour aux clients autonomes Pour des raisons de sécurité, si vous avez installé les clients autonomes à partir du CD-ROM d'installation, les clients ne font pas confiance et ne traitent pas le contenu ou les mises à jour de politique. Pour permettre à ces clients de traiter les mises à jour, vous devez créer la clé de registre suivante : HKLM\Software\Symantec\Symantec Endpoint Protection\SMC\TPMState Définissez une valeur hexadécimale 80 de sorte que la clé ressemble à 0x00000080 (128) Une fois la clé définie, vous devez redémarrer l'ordinateur ou exécuter les commandes suivantes depuis le répertoire Symantec\Symantec Endpoint Protection\ : smc.exe -stop smc.exe -start Le répertoire suivant apparaît sur les ordinateurs client qui n'exécutent pas Windows Vista : \\Documents and Settings\All Users\Application Data\Symantec\ Symantec Endpoint Protection\inbox\ Le répertoire suivant apparaît sur les ordinateurs client exécutantWindowsVista : Mise à jour des définitions et du contenu Options avancées de distribution des mises à jour 122\\Program Data\Symantec\Symantec Endpoint Protection\inbox\ Vous pouvez maintenant utiliser les outils de distribution tiers pour copier le contenu ou les mises à jour de la politique sur ce répertoire. Le logiciel client Symantec fait confiance à la source et traite le contenu. La distribution du contenu à partir du module Symantec Endpoint Protection Manager s'effectue presque de la même manière que pour les clients réseau. Cependant, vous devez copier index2.xml à partir du groupe global, au lieu de copier index2.dax à partir de votre répertoire de groupe client géré, comme décrit dans l'étape 2 de "Pour distribuer du contenu aux clients gérés par des outils de distribution tiers" à la page 121.. Copiez le fichier full.dax comme décrit pour le client réseau. Vous pouvez alors distribuer ces fichiers. Vous pouvez également déposer des fichiers .vdb et de .jdb dans la boîte de réception client pour le traitement. Remarque : Si vous placez les fichiers de mise à jour sur les ordinateurs, vous devez les copier dans la boîte de réception. Les fichiers de mise à jour ne sont pas traités si vous les déplacez vers la boîte de réception. Se reporter à "Distribution du contenu aux clients gérés par des outils de distribution tiers" à la page 120. Remarque : Après une installation de client réseau, la clé de registre de TPMState existe avec une valeur de 0, que vous pouvez modifier. Cette clé n'existe pas après une installation client autonome. En outre, pour une installation de client réseau, il n'est pas nécessaire de redémarrer l'ordinateur ou d'exécuter la commande smc.exe. Le répertoire apparaît dès que la clé de registre est modifiée. Mise à jour des définitions et du contenu 123 Options avancées de distribution des mises à jourMise à jour des définitions et du contenu Options avancées de distribution des mises à jour 124Limitation de l'accès des utilisateurs aux fonctions client Ce chapitre traite des sujets suivants : ¦ A propos de l'accès à l'interface client ¦ Verrouillage et déverrouillage des paramètres gérés ¦ Modification du niveau de contrôle de l'utilisateur ¦ Protection du client par mot de passe A propos de l'accès à l'interface client Vous pouvez déterminer le niveau d'interaction que vous voulez que les utilisateurs aient sur le client Symantec Endpoint Protection. Choisissez les fonctions que les utilisateurs peuvent configurer. Par exemple, vous pouvez contrôler le nombre de notifications qui s'affichent et limiter la capacité des utilisateurs à créer des règles de filtrage et des analyses d'antivirus. Vous pouvez également donner aux utilisateurs l'accès complet à l'interface utilisateur. Les fonctions que les utilisateurs peuvent personnaliser pour l'interface utilisateur sont appelées paramètres gérés. L'utilisateur n'a pas accès à toutes les fonctions client comme la protection par mot de passe. Pour déterminer le niveau de l'interaction utilisateur, vous pouvez personnaliser l'interface utilisateur des façons suivantes : ¦ Pour les paramètres antivirus et antispyware, vous pouvez verrouiller ou déverrouiller les paramètres. Chapitre 7¦ Pour les paramètres de pare-feu, des paramètres de prévention d'intrusion et pour quelques paramètres client d'interface utilisateur, vous pouvez définir le niveau de contrôle de l'utilisateur et configurer les paramètres associés. ¦ Vous pouvez protéger le client par mot de passe. Se reporter à "Protection du client par mot de passe" à la page 133. Verrouillage et déverrouillage des paramètres gérés Pour déterminer les fonctionnalités de protection antivirus et antispyware et de protection contre les interventions que les utilisateurs peuvent configurer sur le client, vous pouvez verrouiller ou déverrouiller celles-ci. Les utilisateurs peuvent configurer les paramètres déverrouillés,mais pas les paramètres verrouillés. Seuls les administrateurs de la console Symantec Endpoint ProtectionManager peuvent configurer des paramètres verrouillés. Tableau 7-1 décrit les icônes de cadenas. Tableau 7-1 Icônes de cadenas verrouillé et déverrouillé Icône Signification de l'icône Le paramètre est déverrouillé et les utilisateurs peuvent le modifier dans l'interface utilisateur client. Sur le client, l'icône de cadenas n'apparaît pas etl'option est disponible. Le paramètre est verrouillé et les utilisateurs ne peuvent pas le modifier dans l'interface utilisateur client. Sur le client, le cadenas verrouillé s'affiche et l'option est grisée. Vous verrouillez et déverrouillez les paramètres sur les pages ou les boîtes de dialogue sur lesquelles ils apparaissent. Pour verrouiller et déverrouiller les paramètres gérés 1 Ouvrez une politique antivirus et antispyware. Se reporter à "A propos de la modification des politiques" à la page 380. 2 Sur la page antivirus et antispyware, cliquez sur l'une des pages suivantes : ¦ Auto-Protect pour le système de fichiers ¦ Auto-Protect pour le courrier électronique Internet ¦ Auto-Protect pour Microsoft Outlook ¦ Auto-Protect pour Lotus Notes Limitation de l'accès des utilisateurs aux fonctions client Verrouillage et déverrouillage des paramètres gérés 126¦ Analyses proactives des menaces TruScan ¦ Transmissions ¦ Divers 3 Cliquez sur l'icône de cadenas pour verrouiller ou déverrouiller le paramètre. 4 Si vous avez terminé de configurer cette politique, cliquez sur OK. Vous pouvez aussi verrouiller et déverrouiller les paramètres de protection contre les interventions. Se reporter à "Configuration de la protection contre les interventions" à la page 346. Modification du niveau de contrôle de l'utilisateur Vous pouvez déterminer quelles fonctions de protection contre lesmenaces réseau et quels paramètres client d'interface utilisateur sont disponibles pour que les utilisateurs les configurent sur le client Symantec Endpoint Protection. Pour déterminer quels paramètres sont disponibles, vous spécifiez le niveau de contrôle de l'utilisateur. Le niveau de commande d'utilisateur détermine si le client peut être complètementinvisible, afficher un ensemble de dispositifs partiel ou afficher une pleine interface utilisateur. Remarque : Le client Symantec Network Access Control s'exécute uniquement en contrôle de serveur. Les utilisateurs ne peuvent configurer aucun paramètre d'interface utilisateur. Tableau 7-2 indique les niveaux de commande de l'utilisateur du client Symantec Endpoint Protection. Limitation de l'accès des utilisateurs aux fonctions client 127 Modification du niveau de contrôle de l'utilisateurTableau 7-2 niveaux de contrôle de l'utilisateur Niveau de contrôle de Description l'utilisateur Donne aux utilisateurs le niveau de contrôle minimum sur le client. Le contrôle de serveur verrouille les paramètres gérés de sorte que les utilisateurs ne puissent pas les configurer. Le contrôle de serveur a les caractéristiques suivantes : ¦ Les utilisateurs ne peuvent pas configurer ou activer les règles de filtrage, les paramètres spécifiques à des applications, les configurations de pare-feu, les paramètres de prévention d'intrusion ou les journaux de protection contre les menaces réseau et de gestion des clients. Vous devez configurer toutes les règles de filtrage et paramètres de sécurité dans la console Symantec Endpoint Protection Manager du client. ¦ Les utilisateurs peuvent afficher des journaux, l'historique du trafic du client et la liste des applications que le client exécute. ¦ Vous pouvez configurer certains paramètres d'interface utilisateur et notifications de pare-feu pour qu'ils s'affichent ou non sur le client. Par exemple, vous pouvez masquer l'interface utilisateur client. Les paramètres que vous définissez sur le contrôle de serveur s'affichent obscurcis ou ne sont pas visibles dans l'interface utilisateur client. Lorsque vous créez un nouvel emplacement, l'emplacement est automatiquement défini sur contrôle de serveur. Contrôle du serveur Donne aux utilisateurs la plupart de contrôle du client. La commande client déverrouille les paramètres gérés de sorte que les utilisateurs puissent les configurer. La commande client a les caractéristiques suivantes : ¦ Les utilisateurs peuvent configurer ou activer des règles de filtrage, des paramètres spécifiques à des applications, des paramètres du pare-feu, des paramètres de prévention d'intrusion et des paramètres d'interface utilisateur client. ¦ Le client ignore les règles de filtrage que vous configurez pour le client. Vous pouvez donner le contrôle client aux ordinateurs client que les employés utilisent sur un site distant ou à domicile. Contrôle client Limitation de l'accès des utilisateurs aux fonctions client Modification du niveau de contrôle de l'utilisateur 128Niveau de contrôle de Description l'utilisateur Donne à l'utilisateur un contrôle mixte sur le client. Le contrôle mixte a les caractéristiques suivantes : ¦ Les utilisateurs peuvent configurer les règles de filtrage et les paramètres spécifiques à des applications. ¦ Vous pouvez configurer les règles de filtrage, qui peuvent remplacer ou non les règles que les utilisateurs configurent. La position des règles de serveur dans la liste Règles de la politique de pare-feu détermine si les règles de serveur remplacent des règles client. ¦ Vous pouvez spécifier certains paramètres pour qu'ils soient disponibles ou non sur le client pour que les utilisateurs les activent et les configurent. Ces paramètres incluent les journaux de protection contre les menaces réseau, les journaux de gestion des clients, les configurations de pare-feu, les paramètres de prévention d'intrusion et des paramètres d'interface utilisateur. ¦ Vous pouvez configurer des paramètres d'antivirus et de protection contre les logiciels espions pour remplacer le paramètre sur le client, même si le paramètre est déverrouillé. Par exemple, si vous déverrouillez la fonction Auto-Protect etl'utilisateur la désactive, vous pouvez activer Auto-Protect. Les paramètres que vous définissez sur le contrôle client sont à la disposition de l'utilisateur. Les paramètres que vous définissez sur le contrôle de serveur s'affichent obscurcis ou ne sont pas visibles dans l'interface utilisateur client. Se reporter à "A propos du contrôle mixte" à la page 130. Contrôle mixte Certains paramètres gérés ont des dépendances. Par exemple, les utilisateurs peuvent avoir la permission de configurer des règles de filtrage, mais ne peuvent pas accéder à l'interface utilisateur client. Puisque les utilisateurs n'ont pas accès dans la boîte de dialogue Configurer les règles de filtrage, ils ne peuvent pas créer des règles. Vous pouvez définir un niveau différent de contrôle d'utilisateur pour chaque emplacement. Remarque : Les clients qui s'exécutent sous contrôle client ou mixte passent sous contrôle serveur quand le serveur applique une politique de quarantaine. Limitation de l'accès des utilisateurs aux fonctions client 129 Modification du niveau de contrôle de l'utilisateurPour modifier le niveau de contrôle de l'utilisateur : 1 Dans la console, cliquez sur Clients. 2 Sous Afficher les clients, sélectionnez le groupe dont vous voulez modifier l'emplacement. 3 Cliquez sur l'onglet Politiques. 4 Sous Politiques et paramètres dépendants de l'emplacement, sous l'emplacement que vous voulezmodifier, développez Paramètresspécifiques aux emplacements. 5 A droite de Paramètres de contrôle d'interface utilisateur du client, cliquez sur Tâches >Modifier les paramètres. 6 Dans la boîte de dialogue Paramètres de contrôle de l'interface utilisateur du client, choisissez une des options suivantes : ¦ Cliquez sur Contrôle du serveur et puis cliquez sur Personnaliser. Configurez l'un des paramètres et cliquez sur OK. ¦ Cliquez sur Contrôle client. ¦ Cliquez sur Contrôle mixte et puis cliquez sur Personnaliser. Configurez l'un des paramètres et cliquez sur OK. Se reporter à "A propos du contrôle mixte" à la page 130. ¦ Pour le client Symantec Network Access Control, vous pouvez cliquer sur Afficher le client et Afficher l'icône de la zone de notification. 7 Cliquez sur OK. A propos du contrôle mixte Pour les clients en contrôle mixte, vous pouvez déterminer les options que vous voulez que les utilisateurs configurent ou pas. Les options gérées incluent des paramètres dans une politique de pare-feu, une politique de prévention d'intrusion et les paramètres d'interface utilisateur client. Vous pouvez attribuer chaque option au contrôle serveur ou au contrôle client. En contrôle client, seul l'utilisateur peut activer ou désactiver le paramètre. En contrôle serveur, vous seul pouvez activer ou désactiver le paramètre. Contrôle client est le niveau de contrôle d'utilisateur par défaut. Si vous attribuez une option au contrôle de serveurs, vous devez ensuite configurer le paramètre dans la page ou la boîte de dialogue correspondante de la console Symantec Endpoint ProtectionManager. Par exemple, vous pouvez activer les paramètres du pare-feu dans la politique de pare-feu. Vous pouvez configurer les journaux dans la boîte de dialogue Paramètres de journalisation client dans l'onglet Politiques de la page Clients. Limitation de l'accès des utilisateurs aux fonctions client Modification du niveau de contrôle de l'utilisateur 130Vous pouvez configurer les types de paramètres suivants : ¦ paramètres de l'interface utilisateur ; ¦ paramètres de protection contre les menaces réseau générales ; ¦ paramètres de politique de pare-feu ; ¦ paramètres de politique de prévention d'intrusion. Configuration des paramètres d'interface utilisateur Vous pouvez configurer les paramètres d'interface utilisateur sur le client en effectuant l'une ou l'autre des tâches suivantes : ¦ Définissez le niveau de contrôle de l'utilisateur du client à la commande de serveur. ¦ Définissez le niveau de contrôle de l'utilisateur du client sur le contrôle mixte et définissez la fonction parente dans l'onglet Paramètres de contrôle du client/serveur sur Serveur. Par exemple, vous pouvez définir l'option Afficher/Masquer l'icône de la zone de notification sur Client. L'icône de zone de notification s'affiche sur le client et l'utilisateur peut choisir d'afficher ou masquer l'icône. Si vous définissez l'option Afficher/Masquer l'icône de la zone de notification sur Serveur, vous pouvez choisir d'afficher l'icône de zone de notification sur le client. Pour configurer des paramètres d'interface utilisateur dans le contrôle mixte : 1 Modifiez le niveau de commande d'utilisateur à contrôle mixte. Se reporter à "Modification du niveau de contrôle de l'utilisateur" à la page 127. 2 Dans la boîte de dialogue Paramètres de contrôle de l'interface utilisateur du client pour nom d'emplacement, près de Commande mixte, cliquez sur Personnaliser. 3 Dans la boîte de dialogue Paramètres de contrôle mixtes de l'interface utilisateur du client, dans l'onglet Paramètres de contrôle du client/serveur, faites l'une des actions suivantes : ¦ Verrouillez une option de sorte que vous puissiez la configurer seulement du serveur. Pour l'option que vous voulez verrouiller, cliquez sur Serveur. Tous les paramètres de protections antivirus et antispyware configurés sur le serveur remplacent les paramètres du client. ¦ Déverrouillez une option de sorte que l'utilisateur puisse la configurer sur le client. Pour l'option que vous voulez, cliquez sur Client. Le client est sélectionné par défaut pour tous les paramètres, à l'exception des paramètres antivisus et antispyware. Limitation de l'accès des utilisateurs aux fonctions client 131 Modification du niveau de contrôle de l'utilisateur4 Pour les options suivantes configurées sur le serveur, cliquez sur l'onglet Paramètres client d'interface utilisateur pour les configurer : Afficher/Masquer l'icône de zone de Afficher l'icône de zone de notification notification Permettre aux utilisateurs d'activer et de désactiver la protection contre les menaces réseau Activer/Désactiver la protection contre les menaces réseau Permettre aux utilisateurs de réaliser un essai de sécurité Commande de menu Tester la sécurité réseau Afficher les notifications de prévention d'intrusion Afficher/Masquer les notifications de prévention d'intrusion Pour plus d'informations sur l'emplacement de la console où configurer les options restantes définies sur Serveur, cliquez sur Aide. Pour activer les paramètres du pare-feu et de prévention d'intrusion, configurez-les dans la politique de pare-feu et la politique de prévention d'intrusion. Se reporter à "Activation du filtrage de trafic intelligent " à la page 507. Se reporter à "Activation des paramètres de trafic et des paramètres furtifs" à la page 508. Se reporter à "Configuration de la prévention d'intrusion" à la page 515. 5 Dans l'onglet Paramètres de l'interface utilisateur du client, sélectionnez la case à cocher de l'option de sorte que l'option soit disponible sur le client. 6 Cliquez sur OK. 7 Cliquez sur OK. Pour configurer des paramètres d'interface utilisateur dans le contrôle du serveur: 1 Modifiez le niveau de commande d'utilisateur à contrôle mixte. Se reporter à "Modification du niveau de contrôle de l'utilisateur" à la page 127. 2 Dans la boîte de dialogue Paramètres de contrôle de l'interface utilisateur du client pour nom d'emplacement, près de Commande de serveur, cliquez sur Personnaliser. 3 Dans la boîte de dialogue Paramètres de l'interface utilisateur du client, sélectionnez la case à cocher d'une option de sorte que l'option s'affiche sur le client pour être utilisée. 4 Cliquez sur OK. 5 Cliquez sur OK. Limitation de l'accès des utilisateurs aux fonctions client Modification du niveau de contrôle de l'utilisateur 132Protection du client par mot de passe Vous pouvez augmenter la sécurité de l'entreprise en requérant la protection par mot de passe sur l'ordinateur client toutes les fois que les utilisateurs effectuent certaines tâches. Vous pouvez exiger des utilisateurs qu'ils saisissent un mot de passe lorsqu'ils essayent de faire une des actions suivantes : ¦ ouvrir l'interface utilisateur du client ; ¦ arrêter le client ; ¦ importer et exporter la politique de sécurité ; ¦ désinstaller le client. Vous pouvez modifier des paramètres de protection par mot de passe seulement pour les sous-groupes qui n'héritent pas d'un groupe parent. Pour protéger le client par mot de passe : 1 Dans la Console Symantec Endpoint ProtectionManager, cliquez sur Clients. 2 Sous Afficher les clients, sélectionnez le groupe pour lequel vous voulez installer la protection par mot de passe. 3 Dans l'onglet Politiques, sous Politiques et paramètres indépendants de l'emplacement, cliquez sur Paramètres généraux. 4 Cliquez sur Paramètres de sécurité. 5 Dans l'onglet Paramètres de sécurité, choisissez l'une des cases à cocher suivantes : ¦ Exiger unmot de passe pour l'ouverture de l'interface utilisateur du client ¦ Exiger un mot de passe pour l'arrêt du service client ¦ Exiger un mot de passe pour l'importation et l'exportation des politiques ¦ Exiger un mot de passe pour la désinstallation du client 6 Dans la zone de texte Mot de passe, saisissez le mot de passe. Le mot de passe est limité à 15 caractères ou moins. 7 Dans la zone de texte Confirmer le mot de passe, saisissez le mot de passe de nouveau. 8 Cliquez sur OK. Limitation de l'accès des utilisateurs aux fonctions client 133 Protection du client par mot de passeLimitation de l'accès des utilisateurs aux fonctions client Protection du client par mot de passe 134Configuration de connexions entre les serveurs de gestion et les clients Ce chapitre traite des sujets suivants : ¦ A propos des serveurs de gestion ¦ Spécification d'une liste de serveurs de gestion ¦ Ajout d'une liste de serveurs de gestion ¦ Assignation d'une liste de serveurs de gestion à un groupe et à un emplacement ¦ Affichage des groupes et des empacements auxquels une liste de serveurs de gestion est assignée ¦ Modification du nom et de la description d'une liste de serveurs de gestion ¦ Modification de l'adresse IP, du nom d'hôte et du numéro de port d'un serveur de gestion dans une liste de serveurs de gestion ¦ Modification de l'ordre de connexion des serveurs de gestion ¦ Remplacement d'une liste de serveurs de gestion ¦ Copie et collage d'une liste de serveurs de gestion ¦ Exportation et importation d'une liste de serveurs de gestion ¦ Suppression d'une liste de serveurs de gestion Chapitre 8¦ A propos des paramètres de communication entre le client et le serveur A propos des serveurs de gestion Les clients et modules Enforcer doivent pouvoir se connecter aux serveurs de gestion pour télécharger les politiques et paramètres de sécurité. Symantec Endpoint Protection Manager inclut un fichier qui aide à gérer le trafic entre les clients, les serveurs de gestion et les modules d'application Enforcer facultatifs. Le fichier spécifie le serveur de gestion auquel un client ou module Enforcer se connecte. Il peut également spécifier à quel serveur de gestion un client ou un module d'application Enforcer se connecte en cas d'échec d'un serveur de gestion. Ce fichier est désigné comme étant une liste de serveurs de gestion. Une liste de serveurs de gestion inclutles adresses IP ou les noms d'hôte du serveur de gestion auxquels les clients et les modules d'application Enforcer facultatifs peuvent se connecter après l'installation initiale.Vous pouvez personnaliser la liste du serveur de gestion avant de déployer les clients ou modules Enforcer facultatifs. Lorsque Symantec Endpoint ProtectionManager estinstallé, une liste de serveurs de gestion par défaut est créée pour assurer la communication HTTP entre les clients, les modules Enforcer et les serveurs de gestion. La liste de serveurs de gestion par défaut comprend les adresses IP de toutes les cartes d'interface de réseau connectées (NIC) pour tous les serveurs de gestion du site. Il se peut que vous souhaitiez n'inclure que les cartes d'interface réseau dans la liste. Bien que vous ne puissiez pas modifier la liste de serveurs de gestion par défaut, vous pouvez créer une liste de serveurs de gestion personnalisée. Chaque liste de serveurs de gestion personnalisée indique les serveurs de gestion exacts et les cartes d'interface réseau appropriées auxquels les clients devront se connecter. Les listes personnalisées vous permettent également d'utiliser le protocole HTTPS, de vérifier le certificat du serveur et de personnaliser les numéros de port HTTP ou HTTPS. Spécification d'une liste de serveurs de gestion Vous pouvez spécifier la liste des serveurs de gestion à connecter à un groupe de clients et aux modules d'application Enforcer facultatifs à tout moment. Il est toutefois recommandé d'effectuer cette tâche après qu'une liste de serveurs de gestion personnalisée a été créée et avant que l'ensemble des paquets client n'aient été déployés. Configuration de connexions entre les serveurs de gestion et les clients A propos des serveurs de gestion 136Pour spécifier une liste de serveurs de gestion 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Clients. 2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe pour lequel vous souhaitez spécifier une liste de serveurs de gestion. 3 Dans l'onglet Politiques, désactivez l'option Hériter les politiques etles paramètres du groupe parent. Vous ne pouvez définir les paramètres de communication d'un groupe que si celui-ci n'hérite plus d'aucune politique ou paramètre d'un groupe parent. 4 Sous Politiques et paramètres indépendants de l'emplacement dans la zone Paramètres, cliquez sur Paramètres de communication. 5 Dans les paramètres de communication du nom du groupe, sous Liste de serveurs de gestion, sélectionnez la liste de serveurs de gestion de votre choix. Le groupe que vous sélectionnez utilise ensuite cette liste de serveurs de gestion pour communiquer avec un serveur de gestion. 6 Cliquez sur OK. Ajout d'une liste de serveurs de gestion Si votre entreprise possède plusieurs modules Symantec Endpoint Protection Manager, vous pouvez créer une liste de serveurs de gestion personnalisée. La liste de serveurs de gestion spécifie l'ordre dans lequel les clients d'un groupe particulier se connectent. Les clients et modules Enforcer facultatifs essayent d'abord de se connecter aux serveurs de gestion ajoutés avec la priorité la plus élevée. Si les serveurs de gestion avec la priorité la plus élevée ne sont pas disponibles, alors les clients et modules Enforcer facultatifs essayent de se connecter aux serveurs de gestion avec la priorité la plus élevée suivante. Une liste de serveurs de gestion par défaut est automatiquement créée pour chaque site. Tous les serveurs de gestion disponibles sur ce site sont ajoutés à la liste de serveur de gestion par défaut avec la même priorité. Si vous ajoutez plusieurs serveurs de gestion avec la même priorité, alors les clients et modules Enforcer facultatifs peuvent se connecter aux serveurs de gestion. Les clients équilibrent automatiquement la charge entre les serveurs de gestion disponibles ayant cette priorité. Vous pouvez utiliser le protocole HTTPS plutôt que le paramètre HTTP par défaut pour la communication. Si vous voulez sécuriser davantage les communications, vous pouvez personnaliser les numéros de port HTTP et HTTPS en créant une liste de serveurs de gestion personnalisée. Cependant, vous devez personnaliser Configuration de connexions entre les serveurs de gestion et les clients 137 Ajout d'une liste de serveurs de gestionles ports avant que des clients soient installés ou bien la communication entre le client et le serveur de gestion sera perdue. Si vous mettez à jour la version de Symantec Endpoint ProtectionManager, n'oubliez pas de personnaliser à nouveau les ports de sorte que les clients puissent reprendre la communication. Après avoir ajouté une nouvelle liste de serveurs de gestion, vous devez l'attribuer à un groupe ou un emplacement spécifiques ou aux deux. Se reporter à "Assignation d'une liste de serveurs de gestion à un groupe et à un emplacement" à la page 139. Pour ajouter une liste de serveurs de gestion : 1 Dans la Console de Symantec Endpoint Protection Manager, cliquez sur Politiques. 2 Dans la page Politiques, sous Afficher les politiques, cliquez sur Composants de politique > Listes de serveurs de gestion. 3 Sous Tâches, cliquez sur Ajouter une liste de serveurs de gestion. 4 Dans la boîte de dialogue Listes de serveurs de gestion, tapez un nom pour la liste de serveurs de gestion et une description facultative. 5 Pour spécifier le protocole de communication à utiliser entre les serveurs de gestion, les clients et les modules Enforcer, sélectionnez l'une des options suivantes : ¦ Utiliser le protocole HTTP ¦ Utiliser le protocole HTTPS Utilisez cette option si vous voulez que les serveurs de gestion communiquent à l'aide d'HTTPS et si le serveur exécute Secure Sockets Layer (SSL). 6 Si vous exigez la vérification d'un certificat par une autorité de certificat tierce approuvée, cochez Vérifierlecertificatlorsdel'utilisationduprotocole HTTPS. 7 Pour ajouter un serveur, cliquez sur Ajouter > Nouveau serveur. 8 Dans la boîte de dialogue Ajouter un serveur de gestion, saisissez l'adresse IP ou le nom d'hôte du serveur de gestion dans la zone Adresse du serveur. 9 Si vous voulez changer le numéro du port du protocole HTTP ou HTTPS de ce serveur, procédez de l'une des manières suivantes : ¦ CochezPersonnalisernumérodeportHTTPet entrez un nouveau numéro de port. Le numéro de port par défaut pour le protocole HTTP est 80. Configuration de connexions entre les serveurs de gestion et les clients Ajout d'une liste de serveurs de gestion 138¦ Cochez Personnaliser numéro de port HTTPS et entrez un nouveau numéro de port. Par défaut, le numéro de port utilisé pour le protocole HTTPS est 443. Si vous personnalisez les numéros de port HTTP ou HTTPS après le déploiement des clients, les communications entre les clients etle serveur de gestion sont interrompues. 10 Cliquez sur OK. 11 Si vous voulez ajouter un serveur de gestion ayant une priorité différente de celle du serveur de gestion que vous venez d'ajouter, cliquez sur Ajouter > Nouvelle priorité. 12 Répétez les étapes 7 à 10 pour ajouter d'autres serveurs de gestion. 13 Dans la boîte de dialogue Listes de serveurs de gestion, cliquez sur OK. Assignation d'une liste de serveurs de gestion à un groupe et à un emplacement Lorsque vous ajoutez une politique, vous devez ensuite l'attribuer à un groupe ou un emplacement (ou les deux), faute de quoi la liste de serveurs de gestion ne prend pas effet. Vous devez avoir terminé d'ajouter ou de modifier la liste de serveurs de gestion avant de pouvoir l'attribuer. Se reporter à "Ajout d'une liste de serveurs de gestion" à la page 137. Se reporter à "Modification du nom et de la description d'une liste de serveurs de gestion" à la page 140. Se reporter à "Modification de l'adresse IP, du nom d'hôte et du numéro de port d'un serveur de gestion dans une liste de serveurs de gestion" à la page 141. Pour assigner une liste de serveurs de gestion à un groupe et à un emplacement 1 Dans la Console de Symantec Endpoint Protection Manager, cliquez sur Politiques. 2 Dans la page Politiques, sous Afficher les politiques, cliquez sur Composants de politique> Listes de serveurs de gestion. 3 Dans le volet Listes de serveurs de gestion, sélectionnez la liste de serveurs de gestion que vous souhaitez assigner. 4 Sous Tâches, cliquez sur Assigner la liste. 5 Dans la boîte de dialogue Appliquer la liste de serveurs de gestion, cochez les groupes et les emplacements auxquels vous souhaitez appliquer la liste de serveurs de gestion. Configuration de connexions entre les serveurs de gestion et les clients 139 Assignation d'une liste de serveurs de gestion à un groupe et à un emplacement6 Cliquez sur Assigner. 7 Cliquez sur Oui dans l'invite qui s'affiche. Affichage des groupes et des empacements auxquels une liste de serveurs de gestion est assignée Il est possible que vous souhaitiez afficher les groupes et les emplacements auxquels une liste de serveurs de gestion a été attribuée. Pour afficher des groupes et des empacements auxquels une liste de serveurs de gestion est assignée 1 Dans la Console de Symantec Endpoint Protection Manager, cliquez sur Politiques. 2 Sur la page Politiques, sous Afficher les politiques, cliquez sur Composants de politique > Listes de serveurs de gestion. 3 Dans le volet Listes de serveurs de gestion, sélectionnez la liste de serveurs de gestion dont vous souhaitez afficher les groupes et les emplacements. 4 Sous Tâches, cliquez sur Afficher les groupes ou emplacements assignés. Les groupes ou emplacements qui sont assignés à la liste de serveurs de gestion sélectionnée sont signalés par un petit cercle vert contenant une coche blanche. 5 Dans la boîte de dialogue nom de la liste de serveurs de gestion: Groupes et emplacements assignés&, cliquez sur OK. Modification du nom et de la description d'une liste de serveurs de gestion Vous pouvez modifier le nom et la description d'une liste de serveurs de gestion. Se reporter à "Assignation d'une liste de serveurs de gestion à un groupe et à un emplacement" à la page 139. Pour modifier le nom et la description d'une liste de serveurs de gestion 1 Dans la Console de Symantec Endpoint Protection Manager, cliquez sur Politiques. 2 Sur la page Politiques, sous Afficher les politiques, cliquez sur Composants de politique > Listes de serveurs de gestion. Configuration de connexions entre les serveurs de gestion et les clients Affichage des groupes et des empacements auxquels une liste de serveurs de gestion est assignée 1403 Dans le volet Listes de serveurs de gestion, sélectionnez la liste de serveurs de gestion dont vous souhaitez modifier le nom et la description. 4 Sous Tâches, cliquez sur Modifier la liste. 5 Dans la boîte de dialogue Listes de serveurs de gestion, modifiez le nom et la description facultative de la liste de serveurs de gestion. 6 Cliquez sur OK. Modification de l'adresse IP, du nom d'hôte et du numéro de port d'un serveur de gestion dans une liste de serveurs de gestion Si l'adresse IP ou le nomd'hôte d'un serveur de gestion change, vous devez refléter cette modification dans la liste de serveurs de gestion. Vous pouvez modifier le numéro de port utilisé pour le protocole de communication HTTP ou HTTPS. Se reporter à "Assignation d'une liste de serveurs de gestion à un groupe et à un emplacement" à la page 139. Pour modifier l'adresse IP, le nom d'hôte et le numéro de port d'un serveur de gestion dans une liste de serveurs de gestion 1 Dans la Console de Symantec Endpoint Protection Manager, cliquez sur Politiques. 2 Sur la page Politiques, sous Afficher les politiques, cliquez sur Composants de politique > Listes de serveurs de gestion. 3 Dans le volet Listes de serveurs de gestion, sélectionnez la liste de serveurs de gestion que vous souhaitez modifier. 4 Sous Tâches, cliquez sur Modifier la liste. 5 Dans la boîte de dialogue Listes de serveurs de gestion, sélectionnez la liste de serveurs de gestion que vous souhaitez modifier. 6 Cliquez sur Modifier. 7 Dans la boîte de dialogue Ajouter un serveur de gestion, saisissez la nouvelle adresse IP ou le nouveau nom d'hôte du serveur de gestion dans la zone Adresse du serveur. Vous pouvez également modifier le numéro de port utilisé pour le protocole HTTP ou HTTPS. 8 Cliquez sur OK. 9 Dans la boîte de dialogue Listes de serveur de gestion, cliquez sur OK. Configuration de connexions entre les serveurs de gestion et les clients 141 Modification de l'adresse IP, du nom d'hôte et du numéro de port d'un serveur de gestion dans une liste de serveurs de gestionModification de l'ordre de connexion des serveurs de gestion Si l'état de votre réseau change, il est possible que vous deviez redéfinir les adresses IP, les noms d'hôte ou les niveaux de priorité d'une liste de serveurs de gestion. Supposez par exemple qu'un échec de disque s'est produit sur l'un des serveurs sur lesquels Symantec Endpoint Protection Manager est installé. Ce serveur de gestion était utilisé comme serveur de répartition de charge et s'était vu attribué le niveau de priorité 1.Vous disposez en outre d'un autre serveur de gestion associé au niveau de priorité 2. Pour résoudre ce problème, vous pouvez redéfinir le niveau de priorité du second serveur de gestion. Vous pouvez attribuer le niveau de priorité 1 au serveur de gestion qui était associé au niveau de priorité 2 afin de remplacer le serveur de gestion défectueux. Pour modifier l'ordre de connexion des serveurs de gestion 1 Dans la Console de Symantec Endpoint Protection Manager, cliquez sur Politiques. 2 Dans la page Politiques, sous Afficher les politiques, cliquez sur Composants de politique> Listes de serveurs de gestion. 3 Dans le volet Listes de serveurs de gestion, sélectionnez la liste pour laquelle vous souhaitez modifier l'ordre des serveurs. 4 Sous Tâches, cliquez sur Modifier la liste. 5 Dans la boîte de dialogue Listes de serveurs de gestion, sous Serveurs de gestion, sélectionnez l'adresse IP, le nom d'hôte ou le niveau de priorité du serveur de gestion. Vous pouvez redéfinir le niveau de priorité d'une adresse IP ou d'un nom d'hôte. Si vous décidez de modifier un niveau de priorité, toutes les adresses IP et tous les noms d'hôte associés à ce niveau de priorité sont automatiquement modifiés. 6 Cliquez sur Vers le haut ou Vers le bas. 7 Dans la boîte de dialogue Listes de serveur de gestion, cliquez sur OK. Remplacement d'une liste de serveurs de gestion Il se peut que vous souhaitiez remplacer une liste de serveurs de gestion appliquée à un groupe ou à un emplacement particulier. Configuration de connexions entre les serveurs de gestion et les clients Modification de l'ordre de connexion des serveurs de gestion 142Pour remplacer une liste de serveurs de gestion 1 Dans la Console de Symantec Endpoint Protection Manager, cliquez sur Politiques. 2 Sur la page Politiques, sous Afficher les politiques, cliquez sur Composants de politique > Listes de serveurs de gestion. 3 Dans le volet Listes de serveurs de gestion, sélectionnez la liste de serveurs de gestion que vous souhaitez remplacer. 4 Sous Tâches, cliquez sur Remplacer la liste. 5 Dans la boîte de dialogue Remplacer la liste de serveurs de gestion, sélectionnez la nouvelle liste de serveurs de gestion depuis la Nouvelle liste déroulante de serveurs de gestion. 6 Cochez les groupes ou les emplacements auxquels vous souhaitez appliquer la nouvelle liste de serveurs de gestion. 7 Cliquez sur Remplacer. 8 Cliquez sur Oui dans l'invite qui s'affiche. Copie et collage d'une liste de serveurs de gestion Il est possible d'utiliser plusieurs listes de gestion presque identiques, à quelques différences près. Vous pouvez créer une copie d'une liste de serveurs de gestion. Lorsque vous copiez et collez une liste de serveurs de gestion, la copie apparaît dans le volet Listes de serveurs de gestion. Pour copier et coller une liste de serveurs de gestion 1 Dans la Console de Symantec Endpoint Protection Manager, cliquez sur Politiques. 2 Dans la page Politiques, sous Afficher les politiques, cliquez sur Composants de politique> Listes de serveurs de gestion. 3 Dans le volet Listes de serveurs de gestion, sélectionnez la liste à copier. 4 Sous Tâches, cliquez sur Copier la liste. 5 Sous Tâches, cliquez sur Coller la liste. Configuration de connexions entre les serveurs de gestion et les clients 143 Copie et collage d'une liste de serveurs de gestionExportation etimportation d'une liste de serveurs de gestion Il est possible que vous souhaitiez exporter ou importer une liste de serveurs de gestion existante. Les listes de serveurs de gestion portent l'extension : .dat. Pour exporter une liste de serveurs de gestion 1 Dans la Console de Symantec Endpoint Protection Manager, cliquez sur Politiques. 2 Dans la page Politiques, sous Afficher les politiques, cliquez sur Composants de politique> Listes de serveurs de gestion. 3 Dans le volet Listes de serveurs de gestion, sélectionnez la liste à exporter. 4 Dans la page Politiques, sous Tâches, cliquez sur Exporter la liste. 5 Dans la boîte de dialogue Exporter la politique, recherchez le dossier dans lequel vous souhaitez exporter le fichier de liste de serveurs de gestion. 6 Cliquez sur Exporter. 7 Si vous êtes invité à modifier le nom de fichier dans la boîte de dialogue Exporter la politique, modifiez le nom du fichier, puis cliquez sur OK. Pour importer une liste de serveurs de gestion 1 Dans la Console de Symantec Endpoint Protection Manager, cliquez sur Politiques. 2 Dans la page Politiques, sous Afficher les politiques, cliquez sur Composants de politique> Listes de serveurs de gestion. 3 Sous Tâches, cliquez sur Importer une liste de serveurs de gestion. 4 Dans la boîte de dialogue Importer la politique, recherchez le fichier de liste de serveurs de gestion à importer, puis cliquez sur Importer. 5 Si vous êtes invité à modifier le nom de fichier dans la boîte de dialogue de saisie, modifiez le nom du fichier, puis cliquez sur OK. Suppression d'une liste de serveurs de gestion Il est possible que vous deviez supprimer une liste de serveurs de gestion si des serveurs ne fonctionnent plus ou si votre réseau a été reconfiguré. Configuration de connexions entre les serveurs de gestion et les clients Exportation et importation d'une liste de serveurs de gestion 144Pour supprimer une liste de serveurs de gestion 1 Dans la Console de Symantec Endpoint Protection Manager, cliquez sur Politiques. 2 Dans la page Politiques, sous Afficher les politiques, cliquez sur Composants de politique> Listes de serveurs de gestion. 3 Dans le volet Listes de serveurs de gestion, sélectionnez la liste à supprimer. 4 Dans la page Politiques, sous Tâches, cliquez sur Supprimer la liste. 5 Dans la boîte de dialogue Supprimer la liste de serveurs de gestion, cliquez sur Oui. A propos des paramètres de communication entre le client et le serveur Les paramètres de communication entre le client etle serveur, ainsi que les autres paramètres client sont stockés dans les fichiers sur l'ordinateur client. Tableau 8-1 décrit les fichiers qui sont utilisés pour stocker l'état de interface utilisateur du client. Tableau 8-1 Fichiers client Nom de fichier Description Fichier chiffré qui stocke les paramètres de communication par emplacement. Chaque fois que l'utilisateurmodifie des emplacements, le fichier SerDef.dat est lu, et les paramètres de communication appropriés pour le nouvel emplacement sont appliqués au client. SerDef.dat Stocke les paramètres de communication globale. Ce fichier est réservé à un usage interne et ne doit pas être modifié. Il contient des paramètres de Symantec Endpoint Protection Manager. Si vous modifiez ce fichier, la plupart des paramètres seront écrasés par les paramètres de Symantec Endpoint Protection Manager la prochaine fois que le client se connectera au Symantec Endpoint Protection Manager. sylink.xml Fichier chiffré qui stocke les informations sur l'interface graphique, telles que la taille de l'écran, définit si la console des messages est affichée et si les services de Windows sont visibles. Lorsque le client démarre, il lit ce fichier et reprend l'état d'interface graphique dans lequel il était avant d'être arrêté. SerState.dat Configuration de connexions entre les serveurs de gestion et les clients 145 A propos des paramètres de communication entre le client et le serveurConfiguration de connexions entre les serveurs de gestion et les clients A propos des paramètres de communication entre le client et le serveur 146Informations de base sur la création de rapports Ce chapitre traite des sujets suivants : ¦ A propos de Reporting ¦ A propos des rapports pouvant être exécutés ¦ A propos de l'affichage des journaux et des rapports ¦ Utilisation de la base de données pour les rapports ¦ A propos des événements consignés issus de votre réseau ¦ A propos des journaux contrôlables ¦ Accéder aux fonctions de rapport ¦ Association de localhost à l'adresse IP lorsque vous avez des adresses de bouclage désactivées ¦ A propos de l'utilisation de SSL avec les fonctions de notification ¦ Utilisation de la page d'accueil de Symantec Endpoint Protection ¦ Utiliser la page d'accueil de Symantec Network Access Control ¦ Configuration des préférences de rapport ¦ Apropos des temps d'analyse de client utilisés dans les rapports etles journaux ¦ A propos de l'utilisation du filtre Dernières 24 heures dans les rapports et les journaux ¦ A propos de l'utilisation des filtres qui recherchent des groupes dans les rapports et les journaux Chapitre 9A propos de Reporting Les fonctions de Reporting fournissent toutes les informations dont vous avez besoin pour contrôler et gérer la sécurité de votre réseau. La page d'accueil de la console de gestion affiche des graphiques générés de façon automatique, lesquels contiennent des informations sur les événements importants qui se sont produits récemment sur votre réseau. Vous pouvez utiliser les filtres de la page Rapports pour générer des rapports prédéfinis ou personnalisés. La page Rapports vous permet d'afficher des représentations et des statistiques graphiques sur les événements qui se produisent sur votre réseau. Vous pouvez utiliser les filtres de la page Contrôles pour afficher des informations en temps réel plus détaillées sur votre réseau à partir des journaux. Si Symantec Endpoint Protection est installé sur votre réseau, Reporting inclut les fonctions suivantes : ¦ page d'accueil personnalisable présentant vos principaux rapports, l'état global de sécurité et des liens vers Symantec Security Response ; ¦ vues récapitulatives des rapports pour l'état de l'antivirus, l'état de la protection contre les menaces réseau, l'état de conformité et l'état du site ; ¦ rapports rapides prédéfinis et rapports graphiques personnalisables avec plusieurs options de filtrage configurables ; ¦ possibilité de planifier des rapports pour qu'ils soient envoyés par courrier électronique aux destinataires à intervalles réguliers ; ¦ prise en charge de Microsoft SQL ou d'une base de données intégrée pour le stockage des journaux d'événements ; ¦ possibilité d'exécuter des analyses de client, d'activer la protection contre les menaces réseau etAuto-Protect sur les clients et de redémarrer les ordinateurs directement à partir des journaux ; ¦ possibilité d'ajouter des exclusions d'application directement à partir des journaux ; ¦ notifications configurables basées sur les événements de sécurité. Si Symantec NetworkAccess Control estinstallé sur votre réseau,Reporting inclut les fonctions suivantes : ¦ page d'accueil comprenant une vue récapitulative globale de l'état de conformité ; ¦ rapports graphiques prédéfinis et personnalisables comprenant plusieurs options de filtrage ; ¦ prise en charge deMicrosoft SQL ou de base de données incorporée pour stocker les journaux d'événements Informations de base sur la création de rapports A propos de Reporting 148¦ possibilité de planifier les rapports à envoyer par courrier électronique aux destinataires à intervalles réguliers ¦ les notifications configurables sont basées sur les événements de sécurité Reporting s'exécute en tant qu'application Web dans la console de gestion. L'application utilise un serveur Web pour fournir ces informations. Vous pouvez également accéder aux fonctions de Reporting à partir de tout navigateur Web autonome étant connecté à votre serveur de gestion. Les tâches de base de Reporting sont les suivantes : ¦ consignation des rapports en utilisant un navigateur Web ¦ utilisation de la page d'accueil et de la vue récapitulative pour obtenir rapidement des informations sur les événements qui se sont produits sur votre réseau de sécurité ; ¦ configuration de vos préférences de Reporting ; ¦ utilisation des liens vers Symantec Security Response. A propos des rapports pouvant être exécutés Symantec Endpoint Protection et Symantec Network Access Control collectent des informations sur les événements de sécurité qui se produisent sur votre réseau. Vous pouvez afficher des rapports rapides prédéfinis et générer des rapports personnalisés basés sur des paramètres de filtre que vous devez sélectionner. Vous pouvez également enregistrer des configurations de filtre pour générer les mêmes rapports personnalisés à l'avenir et les supprimer lorsqu'ils ne sont plus nécessaires. Tableau 9-1 décrit les types de rapport disponibles. Tableau 9-1 Types de rapport Type de rapport Description Affiche des informations sur les événements où un certain type de comportement a été bloqué. Ces rapports incluent des informations sur les alertes de sécurité des applications, les cibles bloquées et les périphériques bloqués. Les cibles bloquées peuvent être des clés de registre, des fichiers dlls, des fichiers et des processus. Contrôle des applications et des périphériques Affiche des informations sur les politiques que les clients et les emplacements utilisent actuellement. Audit Informations de base sur la création de rapports 149 A propos des rapports pouvant être exécutésType de rapport Description Affiche des informations sur l'état de conformité de votre réseau. Ces rapports incluent des informations sur les serveurs Enforcer, les clients Enforcer, le trafic d'Enforcer et la conformité de l'hôte. Conformité Affiche des informations sur l'état opérationnel des ordinateurs présents sur votre réseau, telles que les ordinateurs dont les dispositifs de sécurité sont désactivés. Ces rapports incluent des informations sur les versions, les clients qui ne se sont pas authentifié auprès du serveur, l'inventaire client et l'état connecté. Etat de l'ordinateur Affiche des informations sur la prévention d'intrusion, les attaques enregistrées sur le pare-feu ainsi que le trafic et les paquets de pare-feu. Protection contre les menaces réseau Affiche des informations sur les événements de risque enregistrés sur vos serveurs de gestion et leurs clients. Il inclut des informations sur les analyses proactives des menaces TruScan. Risque Affiche des informations sur l'activité d'analyse antivirus et de protection contre les logiciels espions. Analyse Affiche des informations sur l'heure des événements, les types d'événement, les sites, les domaines, les serveurs et les niveaux de gravité. Système Se reporter à "A propos des rapports" à la page 176. Remarque : Certains rapports prédéfinis contiennent des informations obtenues auprès de Symantec Network Access Control. Si vous tentez d'exécuter l'un des rapports offert par ce produit alors que ce dernier n'est pas installé sur votre système, le rapport qui s'affiche est vide. Vous pouvez modifier les rapports prédéfinis et enregistrer votre configuration. Vous pouvez créer de nouvelles configurations de filtre basées sur une configuration prédéfinie ou existante. Vous pouvez également supprimer vos configurations personnalisées si celles-ci ne vous sont plus utiles. Les paramètres de filtre actifs sont indiqués dans le rapport si vous avez configuré le journal et les préférences du rapport de manière à ce que les filtres soient inclus dans le rapport. Informations de base sur la création de rapports A propos des rapports pouvant être exécutés 150Se reporter à "Configuration des journaux et des préférences de rapports" à la page 170. Lorsque vous créez un rapport, celui-ci apparaît dans une nouvelle fenêtre. Vous pouvez enregistrer une copie du rapport au format d'archivageWeb ou en imprimer une copie. Le fichier enregistré ou le rapportimprimé fournit un cliché des données actuelles de votre base de données Reporting et vous permet ainsi de conserver un enregistrement historique. Vous pouvez également créer des rapports planifiés, lesquels sont automatiquement générés en fonction de la planification que vous avez configurée. Vous devez définir les filtres qui devront être appliqués au rapport ainsi que l'heure à laquelle le rapport devra s'exécuter. Une fois le rapport terminé, il est envoyé par courrier électronique à un ou plusieurs destinataires. Les rapports planifiés s'exécutent toujours par défaut. Vous pouvez modifier les paramètres des rapport planifiés tant que ceux-ci n'ont pas encore été exécutés. Vous pouvez également supprimer un rapport planifié ou l'ensemble de ces rapports. Se reporter à "Création et suppression de rapports planifiés" à la page 199. A propos de l'affichage des journaux et des rapports La résolution d'écran optimale pour les fonctions de reporting est 1024 x 768 ou plus haute. Cependant, vous pouvez afficher les fonctions de reporting avec une résolution d'écran aussi faible que 800 x 600 en utilisant les barres de défilement. Utilisation de la base de données pour les rapports Symantec Endpoint Protection collecte et lit les événements qui se produisent sur votre réseau à partir des journaux des serveurs de gestion qui sont stockés dans la base de données. Il peut s'agir d'une base de données Microsoft SQL existante de votre réseau ou de la base de données qui est fournie avec le logiciel Reporting. La base de données doit être maintenue en fonction des rapports. Se reporter à "A propos de la gestion des événements de journal dans la base de données" à la page 329. Vous pouvez obtenir le schéma de base de données que Symantec Endpoint Protection utilise pour créer vos propres rapports à l'aide de logiciels tiers. Pour plus d'informations sur ce schéma de bases de données, consultez la base de connaissances Symantec. Informations de base sur la création de rapports 151 A propos de l'affichage des journaux et des rapportsA propos des événements consignés issus de votre réseau Symantec Endpoint Protection extrait les événements qui apparaissent dans les rapports à partir des journaux d'événements qui sont stockés sur vos serveurs de gestion. Les journaux d'événements contiennent des horodatages exprimés dans les fuseaux horaires des clients. Lorsque le serveur de gestion reçoit les événements, il convertit leurs horodatages de manière à ce qu'ils soient exprimés dans l'heure GMT en vue de leur insertion dans la base de données. Lorsque vous créez des rapports, le logiciel Reporting affiche les informations des événements dans l'heure locale de l'ordinateur sur lequel vous affichez les rapports. Certains types d'événement,tels que les propagations de virus, peuvent entraîner la génération d'un nombre important d'événements de sécurité. Ces types d'événements sont collectés avant d'être transférés vers le serveur de gestion. Pour plus d'informations sur les événements qui apparaissent sur la page d'accueil, consultez la page des signatures d'attaque du site Web de Symantec Security Response. Après vous être connecté à Internet, accédez à la page : http://securityresponse.symantec.com/avcenter/attack_sigs/ A propos des journaux contrôlables Vous pouvez consulter les données des événements si vous recherchez des événements spécifiques. Les journaux incluent des données d'événement issues de vos serveurs de gestion ainsi que tous les clients gérés par ces serveurs. Vous pouvez filtrer les données des journaux de lamêmemanière que vous pouvez filtrer les données des rapports. Vous pouvez exporter les données d'un journal vers un fichier délimité par des virgules. Certaines données peuvent également être exportées vers un fichier texte ou un serveur Syslog. Cette fonction peut se montrer utile pour sauvegarder des données d'événement ou les utiliser dans une feuille de calcul ou une autre application. Se reporter à "Exportation des données de journal" à la page 225. Accéder aux fonctions de rapport Les rapports s'exécutent comme une application Web dans la console de gestion. L'application utilise un serveur Web pour fournir ces informations. Vous pouvez accéder aux fonctions de rapport situées sur la page d'accueil, la page Contrôleurs et la page Rapports à partir de la console. Informations de base sur la création de rapports A propos des événements consignés issus de votre réseau 152Vous pouvez également accéder aux fonctions de la page d'accueil, de la page Contrôleurs et de la pageRapports à l'aide d'un navigateurWeb autonome connecté à votre serveur de gestion. Vous pouvez effectuer toutes les fonctions de rapport depuis la console ou un navigateur Web autonome. Cependant, toutes les autres fonctions de la console ne sont pas disponibles depuis un navigateur autonome. Pour accéder aux rapports depuis un navigateur Web, vous devez avoir les informations suivantes : ¦ Adresse IP ou nom d'hôte du serveur de gestion. ¦ Nom et mot de passe de compte pour le gestionnaire. Quand vous utilisez un navigateur Web pour accéder à des fonctions de rapport, aucune page ni icône de page n'est dans l'affichage. Tous les onglets présents sur la page d'accueil et les pages Contrôleurs et Rapports se trouvent en haut de la fenêtre du navigateur. Les pages de rapport et de journal s'affichenttoujours dans la langue avec laquelle le serveur de gestion a été installé. Pour afficher ces pages quand vous utilisez une console distante ou un navigateur, vous devez disposer de la police appropriée sur l'ordinateur que vous utilisez. Remarque : Pour accéder aux fonctions de rapport par l'une ou l'autre méthode, vous devez avoir Internet Explorer 6.0 ou supérieur. Les autres navigateurs Web ne sont pas pris en charge. Les informations fournies ici supposent que vous utilisez la console de gestion pour accéder aux fonctions de rapport plutôt qu'un navigateurWeb. Les procédures d'utilisation des rapports sont similaires, quelle que soit la manière dont vous accédez aux rapports. Cepandant, des procédures utilisant spécifiquement les rapports dans un navigateur autonome ne sont pas documentées, excepté en ce qui concerne la façon d'ouvrir une session en utilisant un navigateur Web autonome. Remarque : Vous pouvez également utiliser la console ou un navigateurWeb pour afficher des rapports en cas de connexion par l'intermédiaire d'une session de terminal à distance. Se reporter à "Connexion à Symantec Endpoint Protection Manager" à la page 43. L'aide contextuelle est disponible en cliquant sur le lien Plus d'infos situé sur les pages de la console utilisées pour des fonctions de rapport. Informations de base sur la création de rapports 153 Accéder aux fonctions de rapportRemarque : Si vous n'utilisez pas le port par défaut quand vous installez les pages d'aide pour les rapports, vous ne pouvez pas accéder à l'aide contextuelle en ligne. Pour accéder à l'aide contextuelle quand vous utilisez un port autre que le port par défaut, vous devez ajouter une variable au fichier Reporter.php. Pour ouvrir une session de rapport depuis un navigateur Web autonome 1 Ouvrez un navigateur Web. 2 Tapez URL de rapport dans la zone de texte d'adresse dans le format qui suit: http://nom serveur /reporting/index.php? 3 Lorsque la boîte de dialogue de connexion s'affiche, tapez votre nom d'utilisateur et votre mot de passe, puis cliquez sur Ouvrir une session. Si vous avez plus d'un domaine, dans la zone de texte Domaine, tapez votre nom de domaine. Pour modifier le port utilisé pour accéder à l'aide contextuelle pour le rapport 1 Accédez au répertoire lecteur:\ProgramFiles\ Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\Resources. 2 Ouvrez le fichier de configuration Reporter.php avec un éditeur. 3 Ajoutez la ligne suivante au fichier et remplacez numéro de port par le numéro de port que vous avez utilisé quand vous avez installé l'aide de rapport. $scm_http_port=numéro de port 4 Enregistrez et fermez le fichier. Association de localhost à l'adresse IP lorsque vous avez des adresses de bouclage désactivées Si vous avez désactivé des adresses de bouclage sur l'ordinateur, les pages des rapports ne s'affichent pas. Si vous tentez de vous connecter à la console de gestion ou d'accéder aux fonctions de notifications, le message d'erreur suivant s'affiche : Impossible de communiquer avec un composant Reporting Les pages d'accueil, des contrôleurs et des rapports sont vierges; les pages Politiques, Clients et Admin paraissent et fonctionnent normalement. Pour parvenir à afficher les composants Reporting lorsque vous avez désactivé des adresses de bouclage, vous devez associer le mot localhost à l'adresse IP de Informations de base sur la création de rapports Association de localhost à l'adresse IP lorsque vous avez des adresses de bouclage désactivées 154votre ordinateur.Vous pouvezmodifier le fichier des hôtesWindows pour associer localhost à une adresse IP. Pour associer localhost à l'adresse IP sur des ordinateurs exécutant Windows 1 Placer le répertoire à l'emplacement de votre fichier d'hôtes. Par défaut, le fichier d'hôtes se trouve dans %SystemRoot%\system32\drivers\etc 2 Ouvrir le fichier d'hôtes avec un éditeur. 3 Ajouter la ligne suivante au fichier d'hôtes : xxx.xxx.xxx.xxx localhost #pour vous connecter aux fonctions de notification où vous remplacez xxx.xxx.xxx.xxx par l'adresse IP de votre ordinateur. Vous pouvez ajouter un commentaire après le symbole de la livre (#). Par exemple, vous pouvez taper la ligne suivante : 192.168.1.100 localhost # cette entrée est pour mon ordinateur de console de gestion 4 Enregistrer et fermer le fichier. A propos de l'utilisation de SSL avec les fonctions de notification Vous pouvez utiliser SSL avec les fonctions de notification pour une sécurité accrue. SSL permetla confidentialité, l'intégrité de vos données etl'authentification entre le client et le serveur. Pour plus d'informations au sujet de l'utilisation de SSL avec les fonctions de notification, consultez "Configuring SSL to work with the Symantec Endpoint Protection reporting functions" dans la base de connaissances de Symantec à l'adresse URL suivante : http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2007072512593748 Utilisation de la page d'accueil de Symantec Endpoint Protection Si Symantec Endpoint Protection est installé sur votre système et si les droits associés à votre compte administrateur vous autorisent à afficher les rapports, votre page d'accueil affiche alors les rapports générés de façon automatique. Ces rapports contiennent des informations importantes quant à la sécurité de votre Informations de base sur la création de rapports 155 A propos de l'utilisation de SSL avec les fonctions de notificationréseau. Si vous n'êtes pas autorisé à afficher les rapports, les rapports générés de façon automatique n'apparaissent pas sur votre page d'accueil. Figure 9-1montre un exemple de page d'accueil visualisée par les administrateurs ayant l'autorisation d'afficher des rapports. Figure 9-1 Exemple de page d'accueil de Symantec Endpoint Protection sur la console La page d'accueil contient les rapports générés de façon automatique ainsi que plusieurs éléments relatifs à l'état. Certains des rapports de la page d'accueil contiennent des liens hypertexte vers des rapports plus détaillés. Vous pouvez cliquer sur les nombres et certains diagrammes dans les rapports de la page d'accueil pour consulter des détails. Remarque : Les rapports sont automatiquementfiltrés enfonctiondes autorisations de l'utilisateur connecté. Si vous êtes un administrateur système, vous pouvez consulter des informations sur tous les domaines. Si vous êtes un administrateur limité dont les droits d'accès se limitent à un domaine, vous pouvez consulter des informations sur ce domaine uniquement. Informations de base sur la création de rapports Utilisation de la page d'accueil de Symantec Endpoint Protection 156Tableau 9-2 décrit chaque élément de la page d'accueil de Symantec Endpoint Protection. Tableau 9-2 Eléments et rapports de la page d'accueil Informations sur les rapports ou Description l'état L'état de la sécurité peut être Bon ou Attention requise. Les seuils que vous définissez dans l'onglet Etat de la sécurité déterminentles définitions de Bon et Attention requise.. Vous pouvez accéder à l'onglet Etat de la sécurité à partir du lien Préférences de la page d'accueil. Se reporter à "Configuration des seuils d'état de sécurité" à la page 169. Pour plus de détails, vous pouvez cliquer sur l'icône qui correspond à l'état de la sécurité sur la page d'accueil. Etat de la sécurité Informations de base sur la création de rapports 157 Utilisation de la page d'accueil de Symantec Endpoint ProtectionInformations sur les rapports ou Description l'état Par défaut, la page d'accueil affiche un résumé des actions pour les dernières 24 heures. Ce résumé indique également le nombre d'infections associées aux virus et aux risques de sécurité. Vous pouvez cliquer sur le lien Préférences pour modifier l'intervalle de temps utilisé et le définir sur La dernière semaine plutôt que sur Les dernières 24 heures. Ce lien vous permet également de remplacer l'affichage "par nombre de détections" par l'affichage "par nombre d'ordinateurs". Se reporter à "A propos des options d'affichage Domicile et Contrôles" à la page 168. Le résumé des actions par nombre de détections contient les informations suivantes : ¦ nombre d'actions entreprises sur des virus et des risques de sécurité ; ¦ incidence de nouvelles détections de virus et de risques de sécurité ; ¦ nombre d'ordinateurs toujours infectés par des virus et des risques de sécurité. Le résumé des actions par nombre d'ordinateurs contient les informations suivantes : ¦ nombre d'ordinateurs distincts sur lesquels les diverses actions ont été exécutées sur des virus et des risques de sécurité ; ¦ nombre total de nouvelles détections de virus et de risques de sécurité ; ¦ nombre total d'ordinateurs restant infectés par des virus et des risques de sécurité. Par exemple, supposez que vous avez cinq actions de nettoyage dans la vue du nombre de détections. Si toutes les détections se sont produites sur le même ordinateur, la vue du nombre d'ordinateurs indique alors la valeur 1 plutôt que 5. Pour obtenir un rapport détaillé pour l'une des actions, cliquez sur le nombre de virus ou de risques de sécurité. Tout risque de sécurité indique qu'une analyse proactive desmenacesTruScan a détecté un élément suspect requérant votre attention. Cet élément peut être inoffensif ou non. Si vous constatez que ce risque est inoffensif, vous pouvez utiliser la politique d'exceptions centralisées pour l'exclure des détections à l'avenir. Si vous avez configuré les analyses proactives des menaces TruScan pour consigner et que vous déterminez que ce risque est nocif, vous pouvez utiliser la politique d'exceptions centralisées pour le terminer ou le mettre en quarantaine. Si vous avez utilisé les paramètres d'analyse proactive de menace TruScan par défaut, Symantec Endpoint Protection ne peut pas résoudre le risque. Si vous constatez que ce risque est nocif, vous devez le supprimer manuellement. Résumé des actions par nombre de détections | Résumé des actions par nombre d'ordinateurs Informations de base sur la création de rapports Utilisation de la page d'accueil de Symantec Endpoint Protection 158Informations sur les rapports ou Description l'état Le compteur Nouvellementinfecté contientle nombre de risques ayantinfecté des ordinateurs pendant l'intervalle spécifié. Le compteur Nouvellement infecté est un sous-ensemble deToujours infectés. Le compteur Encore infecté affiche le nombre de risques total qu'une analyse continue de considérer comme infectés (toujours dans l'intervalle de temps spécifié). Par exemple, un ordinateur peut demeurer infecté parce que Symantec Endpoint Protection ne peut supprimer le risque que partiellement. Après avoir étudié le risque, vous pouvez effacer le compteur Encore infecté du journal d'état de l'ordinateur. Les compteurs Nouvellementinfecté et Encore infecté identifientles risques qui exigent votre intervention pour être nettoyés. Dans la plupart des cas, vous pouvez prendre cette mesure depuis la console et n'êtes pas obligé d'utiliser l'ordinateur. Remarque : Un ordinateur est compté en tant qu'élément nouvellement infecté si l'événement de détection s'est produit pendantl'intervalle de temps de la page d'accueil. Par exemple, si un risque non résolu a affecté un ordinateur dans les dernières 24 heures, le compteur Nouvellement infecté augmente sur la page d'accueil. Le risque peut être non résolu en raison d'une résolution partielle ou parce que la politique de sécurité pour ce risque est définie sur Consigner seulement. Vous pouvez configurer un balayage de base de données pour supprimer ou conserver les événements de détection qui ont abouti à des risques non résolus. Si le balayage est configuré pour supprimer les événements de risque non résolus, le compteur de la page d'accueil Encore infecté ne contient plus ces événements. Ces événements vieillissent et sont évacués de la base de données. Cette disparition ne signifie pas que les risques ont été résolus. Aucune limite temporelle ne s'applique aux entrées du compteur Encore infecté. Une fois les risques nettoyés, vous pouvezmodifier l'étatinfecté pour l'ordinateur.Vous pouvezmodifier cet état dans le journal Etat de l'ordinateur en cliquant sur l'icône associée à l'ordinateur dans la colonne Infectés. Remarque : Le compteur Nouvellement infectés ne diminue pas lorsque l'état de l'infection de l'ordinateur est effacé dans le journal d'état de l'ordinateur ; c'est le compteur Toujours infectés qui diminue. Vous pouvez déterminer le nombre total d'événements qui se sont produits dans la dernière période configurée pour l'afficher sur la page d'accueil. Pour déterminer le nombre total, additionnez les compteurs de toutes les lignes du résumé des actions mis à part la ligne Encore infecté. Se reporter à "Affichage des journaux" à la page 214. Résumé des actions par nombre de détections | Résumé des actions par nombre d'ordinateurs (Suite) Informations de base sur la création de rapports 159 Utilisation de la page d'accueil de Symantec Endpoint ProtectionInformations sur les rapports ou Description l'état Ce rapport se compose d'un graphique linéaire. Le graphique linéairemontre l'incidence des attaques, détections ou infections dans votre réseau de sécurité sur les dernières 12 ou 24 heures. Vous pouvez choisir de sélectionner l'un des éléments suivants : ¦ Les attaques représentent les incidents que la protection contre les menaces réseau a contrecarrés. ¦ Les risques représentent toutes les détections de virus, logiciels espions et détections de l'analyse proactive des menaces TruScan qui ont été effectuées. ¦ Les infections représentent les virus et les risques de sécurité qui ont été détectés mais qui ne peuvent pas être entièrement résolues. Vous pouvez modifier l'affichage en cliquant sur une nouvelle vue dans la zone de liste. Remarque : Vous pouvez cliquer sur le lien Préférences pour modifier l'intervalle de temps par défaut qui est utilisé. Se reporter à "A propos des options d'affichage Domicile et Contrôles" à la page 168. Attaques | Risques | Infections Par heure : Dernières 12 heures | Par heure : Dernières 24 heures Le résumé de l'état des notifications présente un résumé en ligne de l'état des notifications que vous avez configurées. Par exemple, 100 notifications sans accusé de réception pendant les 24 dernières heures. Se reporter à "Création des notifications d'administrateur" à la page 231. Résumé de l'état des notifications LeRésumé de l'état décritl'état opérationnel des ordinateurs sur votre réseau. Il indique le nombre d'ordinateurs qui présententles problèmes suivants sur le réseau : ¦ Le moteur antivirus est désactivé. ¦ Auto-Protect est désactivé. ¦ La protection contre les interventions est désactivée. ¦ Les ordinateurs nécessitent un redémarrage pour finir de résoudre un risque ou d'installer un logiciel LiveUpdate téléchargé. ¦ Les ordinateurs ont échoué une contrôle de l'intégrité de l'hôte. Ce nombre est toujours zéro si Symantec Network Access Control n'est pas installé. Vous pouvez cliquer sur chaque nombre du Résumé de l'état pour plus de détails. Le nombre de notifications non acquittées des dernières 24 heures s'affiche également. Résumé de l’état Informations de base sur la création de rapports Utilisation de la page d'accueil de Symantec Endpoint Protection 160Informations sur les rapports ou Description l'état Les sections Distribution des définitions de virus et Signatures de prévention d'intrusion de la page d'accueil indiquent comment les définitions de virus actuelles et les signatures IPS sont distribuées. Vous pouvez passer d'une section à l'autre en cliquant sur une nouvelle vue dans la zone de liste. Distribution des définitions de virus | Signatures de prévention d'intrusion La section Security Response affiche les menaces principales etles dernières menaces telles qu'elle sont détectées par Symantec Security Response. Elle affiche également le nombre d'ordinateurs qui ne sont pas protégés contre ces menaces sur le réseau. Le compteur ThreatCon indique le niveau actuel de gravité de la menace pour les ordinateurs d'un réseau. Les niveaux de gravité sont basés sur les évaluations des menaces que Symantec Security Response établit. Le niveau de gravité ThreatCon fournit une représentation globale de la sécurité sur Internet. Vous pouvez cliquer sur les liens pour obtenir des informations supplémentaires. Se reporter à "A propos de l'utilisation des liens Security Response" à la page 164. Remarque : Symantec ne prend pas en charge l'installation de Symantec Client Firewall sur le même ordinateur que Symantec Endpoint Protection Manager. Si vous les installez tous deux sur le même ordinateur, cette situation peut entraîner des erreurs de CGI lorsque vous cliquez sur les liens Security Response de la page d'accueil. Security Response Le Résumé des applications surveillées indique les occurrences sur votre réseau des applications qui figurent sur les listes suivantes : ¦ liste des applications commerciales Symantec ; ¦ liste des détections proactives forcées de menaces TruScan (c'est-à-dire votre liste personnalisée d'applications surveillées). Vous pouvez cliquer sur un nombre pour afficher un rapport plus détaillé. Résumé des applications surveillées La section Rapports sur les favoris contient trois rapports par défaut. Vous pouvez personnaliser cette section en remplaçant un ou plusieurs de ces rapports par n'importe quel autre rapport par défaut ou personnalisé de votre choix. Les rapports sur les favoris s'exécutent chaque fois que vous les affichez de sorte que leurs données soient toujours pertinentes. Ils s'affichent dans une nouvelle fenêtre. Pour sélectionner les rapports auxquels vous souhaitez accéder depuis la page d'accueil, vous pouvez cliquer sur l'icône Plus (+) en regard de Rapports sur les favoris. Rapports sur les favoris Informations de base sur la création de rapports 161 Utilisation de la page d'accueil de Symantec Endpoint ProtectionVous pouvez utiliser le lien Préférences pour modifier la période des rapports et des résumés qui s'affichent sur ces pages. Le paramètre par défaut est Dernières 24 heures. Vous pouvez également choisir l'option La semaine dernière. Vous pouvezmodifier les rapports par défaut qui sont affichés dans la sectionRapports sur les favoris de la page d'accueil. Configuration des Rapports sur les favoris dans la page d'accueil Vous pouvez configurer la section Rapports sur les favoris de la page d'accueil pour créer des liens vers trois rapports maximum et faciliter ainsi leur consultation. Vous pouvez utiliser cette fonction pour afficher les rapports que vous consultez fréquemment chaque fois que vous ouvrez une session sur la console de gestion. Les rapports sur les favoris s'exécutent chaque fois que vous les affichez et les informations qu'ils contiennent sont donc toujours à jour. Les rapports suivants apparaissent dans la section Rapports sur les favoris par défaut : ¦ Principales sources d'attaque ¦ Corrélation des principales détections de risque ¦ Distribution des menaces - Protection proactive TruScan Remarque : Lorsque vous personnalisez l'affichage, c'est uniquement l'affichage du compte utilisateur actuellement connecté qui est personnalisé. Les paramètres que vous configurez sur cette page sont conservés d'une session à l'autre. A votre prochaine connexion à la console de gestion avec les mêmes coordonnées utilisateurs, ces paramètres seront utilisés dans la page d'accueil. Le Tableau 9-3 décrit les options d'affichage de la page d'accueil. Informations de base sur la création de rapports Utilisation de la page d'accueil de Symantec Endpoint Protection 162Tableau 9-3 Les rapports sur les favoris de la page d'accueil offrent diverses options Option Définition Indique les types de rapport disponibles. Symantec Endpoint Protection fournit les types de rapport suivants : ¦ Contrôle des applications et des périphériques ¦ Audit ¦ Conformité ¦ Etat d'ordinateur ¦ Protection contre les menaces réseau ¦ Risque ¦ Analyse ¦ Système Type de rapport Répertorie les noms des rapports disponibles pour le type de rapport que vous avez sélectionné. Nom du rapport Si vous avez sauvegardé des filtres pour le rapport que vous avez sélectionné, ils apparaissent dans cette zone de liste. Le filtre par défaut est toujours répertorié. Filtre Pour configurer les rapports sur les favoris de la page d'accueil 1 Cliquez sur Domicile. 2 Cliquez sur l'icone en forme de signe plus en regard de Rapports sur les favoris. 3 Dans la zone de liste du rapport que vous souhaitez modifier, cliquez sur un type de rapport. Par exemple, cliquez sur Risque. 4 Dans la zone de liste suivante, cliquez sur le nom du rapport approprié. Par exemple, cliquez sur Distribution des risques dans le temps. 5 Si vous avez sauvegardé des filtres pour le rapport que vous avez sélectionné, sélectionnez celui que vous souhaitez utiliser ou sélectionnez le filtre par défaut. 6 Répétez ces opérations pour les deuxièmes et troisième liens de rapport, si vous le souhaitez. 7 Cliquez sur OK. Les liens de rapport que vous avez sélectionnés apparaissent sur votre page d'accueil. Informations de base sur la création de rapports 163 Utilisation de la page d'accueil de Symantec Endpoint ProtectionA propos de l'utilisation des liens Security Response La page d'accueil contient un récapitulatif des informations provenant du site Web de Symantec Security Response. Ces informations sont composées d'un graphique indiquantle niveau de gravité ThreatCon, ainsi que de liens vers le site Web de Symantec Security Response et d'autres sites Web de sécurité. Le niveau ThreatCon affiche la condition d'Internet durantles dernières 24 heures. Le niveau est réévalué toutes les 24 heures à moins que l'activité Internet ne nécessite une réévaluation plus rapide. Les niveaux ThreatCon sont les suivants : ¦ 1 - Normal Aucune activité d'incident de réseau ni aucune activité de code malveillant avec un indique de risque élevé ou modéré. Sous des conditions normales, seul un fonctionnement de sécurité de routine conçu pour protéger des menaces de réseau normales est nécessaire. Vous pouvez utiliser les systèmes automatisés et les mécanismes de notification. ¦ 2 - Elevé Des activités d'attaque sont prévues ou ont été constatées, sans qu'aucun événement particulier ne se soit produit. Cette évaluation est utilisée lorsqu'un code malveillant atteint un indice de risque modéré. Si le niveau de risque est moyen, un examen soigneux des systèmes vulnérables et exposés se montre alors plus approprié. Les applications de sécurité doivent être mises à jour avec de nouvelles signatures et règles dès que ces dernières sont disponibles. Un contrôle méticuleux des journaux est recommandé, mais aucune modification de l'infrastructure de sécurité en cours n'est requise. ¦ 3 – Elevé Ce niveau indique qu'unemenace isolée affectantl'infrastructure informatique est présente ou qu'un code malveillant a atteint un indice de risque sévère. Si le niveau de risque est élevé, une surveillance accrue est nécessaire. Les applications de sécurité doivent être mises à jour avec de nouvelles signatures et règles dès que ces dernières sont disponibles. Le redéploiement et la reconfiguration des systèmes de sécurité est recommandé. ¦ 4 - Extrême Ce niveau indique qu'une activité d'incident réseau globale extrême a été détectée. La mise en œuvre de mesures contre ce niveau de menace pendant une période prolongée risque d'entraîner des problèmes et d'affecter le fonctionnement de l'infrastructure réseau. Pour plus d'informations sur les niveaux de menace, cliquez sur le lien Symantec pour afficher le site Web de Symantec. Informations de base sur la création de rapports Utilisation de la page d'accueil de Symantec Endpoint Protection 164Remarque : Chaque risque de sécurité peut être compris entre 1 et 5. Chaque lien affiche une page dans une nouvelle fenêtre. Le Tableau 9-4 décrit les liens Security Response. Tableau 9-4 Liens Security Response sur la page d'accueil de Reporting Lien Informations affichées Affiche un récapitulatif desmenaces potentielles pour votre réseau sécurisé d'après les informations du siteWeb de Symantec Security Response. Ce récapitulatif inclut les dernières menaces, les principales menaces ainsi que des liens permettant d'accéder aux outils de suppression de ces menaces. Vous pouvez également effectuer des recherches dans la base de données des menaces de Symantec Security Response. Alertes de sécurité Affiche le site Web de Symantec. Vous pouvez obtenir des informations concernant les risques et les risques de sécurité, le téléchargement des définitions de virus et des informations récentes concernant les produits de sécurité Symantec. Symantec Affiche la page de téléchargement des définitions de virus du site Web de Symantec. Définitions Affiche le site Web de Symantec Security Response, qui fournit les informations les plus récentes sur les dernièresmenaces, ainsi que des conseils de sécurité. Dernières menaces Affiche le siteWeb de Security Focus, quifournit des informations sur les derniers virus. Security Focus Utiliserla page d'accueil de SymantecNetwork Access Control Si Symantec Network Access Control est installé et que vous avez la permission d'afficher des rapports, votre page d'accueil affiche des résumés automatiquement générés. Ces rapports contiennent des informations importantes sur l'état de conformité du réseau. Certains des résumés comportent des hyperliens vers des rapports plus détaillés. Vous pouvez cliquer sur le diagramme et les numéros des récapitulatifs pour consulter des détails. Informations de base sur la création de rapports 165 Utiliser la page d'accueil de Symantec Network Access ControlRemarque : Les rapports sont filtrés automatiquement selon les permissions de l'utilisateur connecté. Si vous êtes administrateur système, vous voyez des informations à travers les domaines. Si vous êtes administrateur limité avec des droits d'accès à un seul domaine, vous voyez seulement des informations issues de ce domaine. Figure 9-2 montre à quoi ressemble la page d'accueil Symantec Network Access Control. Figure 9-2 Page d'accueil de Symantec Network Access Control Tableau 9-5 décrit les rapports de page d'accueil pour Symantec Network Access Control. Tableau 9-5 Résumés de page d'accueil de Symantec Network Access Control Résumé Description La section Echec d'état de conformité du réseau fournit un cliché de la conformité globale de votre réseau pour la période configurée. Elle affiche les clients qui ont tenté de se connecter au réseau mais n'ont pas pu parce qu'ils sont non conformes. Echec d'état de conformité du réseau Informations de base sur la création de rapports Utiliser la page d'accueil de Symantec Network Access Control 166Résumé Description Affiche les clients qui ont échoué à la vérification d'intégrité de l'hôte qui s'exécute sur leur ordinateur. Distribution d'état de conformité Ce résumé affiche le taux d'échec de la spécification de conformité globale. Elle contient un diagramme à barres représentant le nombre de stations de travail uniques, par type d'événement d'échec de contrôle. Des exemples des types d'événement d'échec de contrôle sont un problème d'antivirus, de pare-feu ou de VPN. Résumé des clients par échec de conformité Fournit un histogramme plus détaillé que le résumé Clients par échec de conformité. Par exemple, supposons que le résumé Clients par échec de conformité montre dix clients avec un échec de conformité d'antivirus. Par opposition, ce rapport affiche les détails suivants : ¦ Quatre clients ne contiennent aucun logiciel antivirus actuellement en fonctionnement. ¦ Deux clients n'ont aucun logiciel antivirus installé. ¦ Quatre clients ont des fichiers de définitions de virus périmés. Détails d'échec de conformité Si seul Symantec NetworkAccess Control estinstallé, les rapports de page d'accueil ne sont pas personnalisables, excepté la période couverte par les rapports et les résumés. Vous pouvez modifier la période en utilisant le lien Préférences. Les options sont la semaine passée et les dernières 24 heures. Remarque : Si vous êtes administrateur système, vous voyez des informations à travers les domaines. Si vous êtes administrateur limité avec des droits d'accès à un seul domaine, vous ne voyez que des informations issues de ce domaine. Configuration des préférences de rapport Vous pouvez configurer les préférences suivantes des rapports : ¦ Les pages Domicile et Contrôles affichent des options ¦ Les seuils d'état de la sécurité Informations de base sur la création de rapports 167 Configuration des préférences de rapport¦ Les options d'affichage qui sont utilisées pour les journaux et les rapports, ainsi que le chargement du fichier journal hérité Pour plus d'informations concernant les options de préférence que vous pouvez définir, vous pouvez cliquer sur Aide dans chaque onglet dans la boîte de dialogue Préférences. Pour configurer des préférences de rapport 1 Depuis la console, dans la page d'accueil, cliquez sur Préférences. 2 Cliquez sur l'un des onglets suivants, selon le type de préférences que vous voulez définir : ¦ Domicile et Contrôles ¦ Etat de la sécurité ¦ Journaux et rapports 3 Définissez les valeurs des options que vous voulez modifier. 4 Cliquez sur OK. A propos des options d'affichage Domicile et Contrôles Vous pouvez définir les préférences suivantes pour la page d'accueil et l'onglet de Vue résumée de la page Contrôles : ¦ L'unité de temps qui est utilisée pour les rapports dans la page d'accueil et dans l'onglet Vue résumée de la page Contrôles ¦ La fréquence d'actualisation automatique de la page d'accueil et de l'onglet Vue résumée de la page Contrôles ¦ L'ampleur des notifications qui sont incluses au nombre de notifications sans accusé de réception dans la page d'accueil ¦ Le contenu du résumé des actions dans la page d'accueil Par défaut, vous consultez les informations des dernières 24 heures, mais vous pouvez consulter celles de la semaine écoulée si vous le souhaitez. Vous pouvez également configurer la fréquence d'actualisation automatique de la page d'accueil et de l'onglet Vue résumée de la page Contrôles. Les valeurs valides vont de jamais à toutes les 5 minutes. Remarque : Pour configurer la fréquence d'actualisation des différents journaux, vous pouvez afficher le journal que vous voulez consulter. Ensuite, vous pouvez sélectionner la fréquence que vous voulez dans la zone de liste d'actualisation automatique de la vue de ce journal. Informations de base sur la création de rapports Configuration des préférences de rapport 168Si vous êtes un administrateur système, vous pouvez configurer le nombre de la page d'accueil pour n'inclure que les notifications que vous avez créées mais qui n'ont pas d'accusé de réception. Par défaut, les administrateurs système voient le nombre total de notifications sans accusé de réception, quel que soitle créateur des notifications. Si vous êtes un administrateur limité, le nombre des notifications sans accusé de réception ne compte que celles que vous avez créées vous-même sans accusé de réception. Vous pouvez configurer le Résumé des actions dans la page d'accueil pour afficher selon le nombre de détections sur les ordinateurs ou selon le nombre d'ordinateurs. Se reporter à "Utilisation de la page d'accueil de Symantec Endpoint Protection" à la page 155. Pour obtenir la description de ces options d'affichage, consultez l'aide contextuelle de l'onglet Domicile et Contrôles. Vous pouvez accéder à l'aide contextuelle à partir du lien Préférences de la page d'accueil. Configuration des seuils d'état de sécurité Les seuils d'état de sécurité que vous définissez déterminent quand le message d'état de la sécurité de la page d'accueil de la console de gestion est considéré comme médiocre. Les seuils sont exprimés en pourcentage et reflètent quand votre réseau est considéré non conforme par rapport à vos politiques de sécurité. Par exemple, vous pouvez définir le pourcentage des ordinateurs avec des définitions de virus périmées qui déclenche un état de sécurité médiocre. Vous pouvez également définir l'âge (en jours) que doivent avoir les définitions pour être qualifiées de périmées. Symantec Endpoint Protection détermine ce qui est à jour quand il calcule si les signatures ou les définitions sont périmées, de la façon suivante. Sa norme est basée sur les définitions de virus les plus à jour et sur les dates de signature d'IPS disponibles sur le serveur de gestion sur lequel la console de gestion s'exécute. Remarque : Si seul Symantec Network Access Control estinstallé, vous n'avez pas d'onglet d'état de la sécurité pour configurer les seuils de sécurité. Pour obtenir la description de ces options d'affichage, consultez l'aide contextuelle de l'onglet Etat de la sécurité. Vous pouvez accéder à l'aide contextuelle à partir du lien Préférences de la page d'accueil. Informations de base sur la création de rapports 169 Configuration des préférences de rapportPour configurer des seuils d'état de sécurité 1 Depuis la console, dans la page d'accueil, cliquez sur Préférences. 2 Dans l'onglet Etat de la sécurité, sélectionnez les éléments que vous voulez inclure dans les critères qui déterminent l'état global de sécurité de la page d'accueil. 3 Pour chaque élément, tapez le numéro vous voulez pour déclencher un état Attention requise.. 4 Cliquez sur OK. Configuration des journaux et des préférences de rapports Vous pouvez définir des préférences dans les zones suivantes pour les journaux et les rapports : ¦ Le format de date et le séparateur de date qui sont utilisés pour l'affichage de la date ¦ Le nombre de lignes, le fuseau horaire et le format de l'adresse IP qui sont utilisés pour l'affichage du tableau ¦ L'affichage du filtre dans les rapports et les notifications ¦ La disponibilité des données du journal des ordinateurs du réseau qui exécutent le logiciel Symantec Antivirus 10.x Pour obtenir la description de ces options d'affichage, consultez l'aide contextuelle de l'onglet Journaux et Rapports. Vous pouvez accéder à l'aide contextuelle à partir du lien Préférences de la page d'accueil. Remarque : Le format d'affichage de la date que vous définissez ici ne s'applique pas aux définitions de virus les dates et aux versions qui s'affichent dans des colonnes du tableau. Ces éléments utilisent toujours le format A-M-J. A propos des temps d'analyse de client utilisés dans les rapports et les journaux Les rapports et les journaux affichent des temps d'analyse de client en utilisant le fuseau horaire de la console. Par exemple, supposons que le client est dans le fuseau horaire Pacifique et qu'il est analysé à 20h00 PST. Si la console se trouve dans le fuseau horaire de la côte est américaine, l'heure qui s'affiche pour cette analyse est 11:00 PM EST. Informations de base sur la création de rapports A propos des temps d'analyse de client utilisés dans les rapports et les journaux 170Si les clients réseau sont dans un fuseau horaire différent du serveur de gestion et si vous utilisez l'option de filtre Définir des dates spécifiques, vous pouvez obtenir des résultats inattendus. Les conditions suivantes affectentle filtre de temps Définir des dates spécifiques : ¦ l'exactitude des données et de l'heure sur le client ; ¦ l'exactitude des données et de l'heure sur le serveur de gestion. Remarque : Si vous modifiez le fuseau horaire sur le serveur, fermez la session de la console et rouvrez-la pour voir des heures précises dans les journaux et les rapports. A propos de l'utilisation du filtre Dernières 24 heures dans les rapports et les journaux Si vous sélectionnez l'option Dernières 24 heures comme plage horaire pour une vue de rapport ou de journal, la plage horaire débute lorsque vous sélectionnez le filtre. Si vous actualisez la page, le point de départ de l'intervalle de 24 heures n'est pas réinitialisé. Si vous sélectionnez le filtre et décidez d'afficher un journal, la plage horaire débute lorsque vous sélectionnez le filtre. Cette condition s'applique égalementlorsque vous affichez un journal d'événements ou d'alertes. La plage horaire ne débute pas lorsque vous créez le rapport ou affichez le journal. Si vous souhaitez que la plage horaire Dernières 24 heures débute immédiatement, sélectionnez une autre plage horaire, puis resélectionnez le filtre Dernières 24 heures. Remarque : La plage horaire du filtre Dernières 24 heures de la page d'accueil est déterminé au moment où vous accédez à la page d'accueil. A propos de l'utilisation des filtres qui recherchent des groupes dans les rapports et les journaux Puisque tous les groupes sont des sous-groupes du groupe parent global, quand un filtre recherche des groupes, il recherche hiérarchiquement en commençant par la chaîne Global. Si le nom du groupe ne commence pas par la lettre g, mettez un astérisque devantla chaîne que vous recherchez. Ou, vous pouvez commencer la chaîne par g* quand vous utilisez des caractères génériques. Informations de base sur la création de rapports 171 A propos de l'utilisation du filtre Dernières 24 heures dans les rapports et les journauxPar exemple, si vous avez un groupe nommé Services et que vous saisissez s* dans cette zone de texte, aucun groupe ne sera trouvé et utilisé dans la vue. Pour trouver un groupe nommé Services, vous devez utiliser la chaîne *s* à la place. Si plusieurs groupes contiennent la lettre s, vous pouvez utiliser une chaîne comme*ser*. Informations de base sur la création de rapports A propos de l'utilisation des filtres qui recherchent des groupes dans les rapports et les journaux 172Affichage et configuration des rapports Ce chapitre traite des sujets suivants : ¦ Affichage des rapports ¦ A propos des rapports ¦ Points importants quant à l'utilisation des rapports ¦ Création de rapports rapides ¦ Enregistrement et suppression des filtres de rapport sauvegardés ¦ Impression et enregistrement d'une copie d'un rapport ¦ Création et suppression de rapports planifiés Affichage des rapports Utilisez la page Rapports pour exécuter, afficher, imprimer et programmer des rapports devant s'exécuter de façon régulière. Figure 10-1 montre un exemple d'un rapport de risque. Chapitre 10Figure 10-1 Exemple de rapport A propos de l'affichage des graphiques linéaires dans les rapports Les graphiques linéaires affichent la progression dans le temps. Les unités qui sont affichées sur l'axe des abscisses dépendent de la plage horaire que vous sélectionnez. Tableau 10-1 affiche l'unité de l'axe des abscisses qui est utilisée pour chaque plage horaire que vous pouvez sélectionner pour des graphiques linéaires. Tableau 10-1 Unités de l'axe des abscisses pour la plage horaire correspondante sélectionnée Plage horaire Unité de l'axe des abscisses Dernières 24 heures heure Affichage et configuration des rapports Affichage des rapports 174Plage horaire Unité de l'axe des abscisses La semaine dernière jour Le mois dernier Le mois en cours Les 3 derniers mois L'année dernière mois un jour (24 heures quelconques) : par heure supérieur à 1 jourmais inférieur ou égal à 7 jours : par heure supérieur à 7 jours mais inférieur ou égal à 31 jours : par jour supérieur à 31 joursmais inférieur ou égal à 2 ans : parmois supérieur à 2 ans : par an Plage horaire A propos de l'affichage des diagrammes à barres Dans les rapports qui contiennent des histogrammes ou des diagrammes à barres qui impliquent des menaces, faites glisser la souris sur les barres du graphique pour consulter les noms des menaces. Afficher les rapports dans les langues asiatiques Les histogrammes et les histogrammes 3D sont créés sur le serveur en tant qu'images avant que les diagrammes soient envoyés au navigateur. Par défaut, le serveur que vous utilisez pour créer ces diagrammes recherche la police MS Arial Unicode. MS Arial Unicode est disponible en tant qu'élément de Microsoft Office et affiche toutes les langues prises en charge correctement. Si la police MS Arial Unicode n'est pas trouvée, le serveur utilise Lucida Sans Unicode. Sur les serveurs qui affichent dans une langue asiatique, certains rapports n'affichent pas correctement le texte des diagrammes si MS Arial Unicode n'est pas installée sur le serveur. Ce problème se pose si votre rapport inclut un histogramme ou un histogramme 3D. Si la police MS Arial Unicode n'est pas installée sur le serveur, vous pouvez configurer votre serveur pour résoudre ce problème. Vous pouvez configurer Symantec Endpoint Protection pour utiliser n'importe quelle police Unicode prenant en charge les langues dans votre environnement. Affichage et configuration des rapports 175 Affichage des rapportsPour modifier la police utilisée pour afficher des rapports 1 Accédez au répertoire lecteur:\ProgramFiles\ Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\Common. 2 Ouvrez le fichier de configuration d'i18nCommon.bundle avec un éditeur. 3 Tapez le nom du fichier de ppolice que vous voulez utiliser après le signe égal (=) suivant la variable SPECIAL_FONT. Par exemple, si vous voulez utiliser Arial, vous taperiz ce qui suit : SPECIAL_FONT=arial.ttf 4 Enregistrez le fichier dans le format UTF-8 et fermez-le. 5 Assurez-vous que le fichier de police se trouve dans le répertoire %WINDIR%\fonts. A propos des rapports Les rapports rapides sont des rapports imprimables disponibles à la demande à partir de l'onglet Rapports rapides de la page Rapports. Tableau 10-2 décrit les types de rapport rapide. Tableau 10-2 Types de rapport rapide Type de rapport Description Les rapports Contrôle des applications et des périphériques contiennent des informations sur des événements tels que le blocage de l'accès à un ordinateur ou l'exclusion du réseau d'un périphérique. Contrôle des applications et des périphériques Le rapport d'audit contient des informations sur les activités de modification des politiques, telles que les heures et les types des événements, les modifications de politique, les domaines, les sites, les administrateurs et les descriptions. Audit Les rapports de conformité contiennent des informations sur le serveur Enforcer, les clients Enforcer, le trafic Enforcer et la conformité de l'hôte. Conformité Les rapports Etat de l'ordinateur contiennent des informations sur l'état opérationnel en temps réel des ordinateurs sur le réseau. Etat de l'ordinateur Les rapports de protection contre les menaces réseau vous permettent de suivre l'activité d'un ordinateur ainsi que son interaction avec d'autres ordinateurs et réseaux. Ils enregistrent des informations sur le trafic entrant et sortant qui est détecté sur les connexions réseau des ordinateurs. Protection contre les menaces réseau Les rapports de risque comprennent des informations sur les événements de risque présents sur vos serveurs de gestion et leurs clients. Risque Affichage et configuration des rapports A propos des rapports 176Type de rapport Description Les rapports d'analyse fournissent des informations sur l'activité d'analyse des antivirus et de la protection contre les logiciels espions. Analyse Les rapports système contiennent les informations utiles pour le dépannage des problèmes des clients. Système Cette section décrit chaque rapport et son contenu général.Vous pouvez configurer les Paramètres de base et les Paramètres avancés pour tous les rapports afin de mieux cibler les données à afficher. Vous pouvez également enregistrer votre filtre personnalisé en lui attribuant un nomdifférent demanière à ce que lemême rapport personnalisé puisse s'exécuter ultérieurement. Si votre réseau comprend plusieurs domaines, de nombreux rapports vous permettent d'afficher des données sur tous les domaines, sur un site ou sur plusieurs sites. Par défaut, les rapports rapides affichent tous les domaines, groupes, serveurs, etc., selon le rapport que vous souhaitez créer. Remarque : Plusieurs rapports apparaissent comme vides si seul Symantec Network Access Control est installé. Les rapports Contrôle des applications et des périphériques, les rapports Protection contre les menaces réseau, les rapports de risques etles rapports d'analyse ne contiennent alors aucune donnée. Les rapports de conformité et d'audit contiennent des données, de même que certains des rapports Etat de l'ordinateur et Système. Pour obtenir une description de chaque option configurable, vous pouvez cliquer sur En savoir plus pour chaque type de rapport sur la console. Vous accédez alors à l'aide contextuelle. Se reporter à "Création de rapports rapides" à la page 192. Tableau 10-3 décritles rapports de contrôle des applications et des périphériques disponibles. Tableau 10-3 Rapports de Contrôle des applications et des périphériques Nom de rapport Description Ce rapport présente un graphique sectoriel et des barres relatives.Il affiche les groupes qui sont associés à des journaux de contrôle des applications et qui ont généré le plus grand nombre d'alertes de sécurité. Principaux groupes dont les journaux de contrôle des applications ont enregistré le plus d'alertes Affichage et configuration des rapports 177 A propos des rapportsNom de rapport Description Ce rapport présente un graphique sectoriel et des barres relatives pour chacune des cibles suivantes, le cas échéant : ¦ Principaux fichiers ¦ Principales clés de registre ¦ Principaux processus ¦ Principaux modules (dlls) Principales cibles bloquées Ce rapport présente un graphique sectoriel et une barre relative indiquant les périphériques les plus souvent bloqués lors de leur accès à votre réseau. Principaux périphériques bloqués Tableau 10-4 décrit le rapport d'audit disponible. Tableau 10-4 Rapport d'audit Nom de rapport Description Ce rapport indique les politiques que les clients et les emplacements utilisent actuellement. Ce type de rapport inclut le nom de domaine, le nom de groupe et le numéro de série de la politique qui est appliquée à chaque groupe. Politiques l'a utilisé Tableau 10-5 décrit les rapports de conformité disponibles. Tableau 10-5 Rapports de conformité Nom de rapport Description Ce rapport se compose d'un graphique linéaire et d'un tableau. Il indique l'heure des événements, le nombre d'attaques etle pourcentage des attaques qui sontimpliquées dans chaque événement. Vous pouvez consulter le nombre total de clients auxquels les actions de conformité suivantes ont été appliquées pendant l'intervalle de temps que vous avez spécifié : ¦ Authentifié ¦ Déconnecté ¦ Echec ¦ Réussi ¦ Rejeté Etat de conformité du réseau Affichage et configuration des rapports A propos des rapports 178Nom de rapport Description Vous pouvez sélectionner une action pour afficher un graphique linéaire indiquant les informations suivantes : ¦ le nombre total de clients ayant réussi un contrôle de l'intégrité de l'hôte sur votre réseau pendant l'intervalle que vous avez spécifié ; ¦ le nombre total de clients ayant échoué un contrôle de l'intégrité de l'hôte sur votre réseau pendant l'intervalle que vous avez spécifié. Ce rapportinclut également un tableau indiquantl'heure des événements, le nombre de clients et le pourcentage de clients impliqués dans chaque événement. Etat de conformité Ce rapport est composé d'un graphique à barres qui affiche les informations suivantes : ¦ le nombre de postes de travail individuels pour chaque type d'événement d'échec de contrôle, notamment en matière d'antivirus, de pare-feu ou de VPN ; ¦ le nombre total de clients dans le groupe. Résumé des clients par défaut de conformité Ce rapport contient un tableau indiquant le nombre d'ordinateurs individuels pour chaque échec de contrôle. Il affiche les critères et la règle impliqués dans chaque échec. Il inclut le pourcentage de clients déployés et le pourcentage de clients dont le déploiement a échoué. Détails du défaut de conformité Ce rapport contient un tableau indiquant les événements d'échec de conformité. Ces événements s'affichent sous forme de groupes en fonction de leur emplacement. Ce rapportindique les ordinateurs individuels qui ont échoué le contrôle de conformité, le pourcentage d'échec total et les échecs par emplacement. Clients non-conformes par emplacement Tableau 10-6 décrit les rapports Etat de l'ordinateur disponibles. Tableau 10-6 Rapports d'état des ordinateurs Nom de rapport Description Ce rapport affiche les versions de fichier de définitions de virus qui sont utilisées sur l'ensemble de votre réseau ainsi que le nombre etle pourcentage d'ordinateurs utilisant chaque version. Il contient un graphique sectoriel, un tableau et des barres relatives. Distribution des définitions de virus Ce rapport présente une liste de tous les ordinateurs qui ne se sont pas authentifiés auprès de leur serveur. Il affiche également l'adresse IP de l'ordinateur, l'heure de sa dernière authentification et l'utilisateur qui était connecté à ce moment-là. Ordinateurs non contrôlés dans le serveur Ce rapport affiche la liste des numéros de version de tous les produits Symantec Endpoint Protection installés sur votre réseau. Il inclut également le domaine et le serveur de chacun de ces produits, ainsi que le nombre etle pourcentage d'ordinateurs associés à chacun. Il contient un graphique sectoriel et des barres relatives. Versions des produits Symantec Endpoint Protection Affichage et configuration des rapports 179 A propos des rapportsNom de rapport Description Ce rapport indique les versions de fichier de signatures IPS qui sont utilisées sur l'ensemble de votre réseau. Il inclut également le domaine et le serveur de chacune de ces versions, ainsi que le nombre etle pourcentage d'ordinateurs associés à chacune. Il contient un graphique sectoriel et des barres relatives. Distribution de signatures de la prévention d'intrusion Ce rapport comprend les graphiques suivants, sachant que les barres relatives présentent le nombre total d'ordinateurs et le pourcentage de chacun : ¦ Système d'exploitation ¦ Mémoire totale ¦ Mémoire libre ¦ Espace disque total ¦ Espace disque libre ¦ Type de processeur Inventaire client Ce rapport se compose d'un graphique sectoriel et de barres relatives indiquant les réussites et les échecs de conformité par groupe ou par sous-réseau. Il affiche le nombre d'ordinateurs et le pourcentage d'entre eux qui sont conformes. Répartition de l'état de conformité Ce rapport contient des graphiques sectoriels et des barres relatives pour chaque groupe et sous-réseau. Il indique le pourcentage d'ordinateurs en ligne. L'expression "En ligne" désigne les cas de figure suivants : ¦ Pour les clients en mode transfert, "en ligne" signifie que les clients sont actuellement connectés au serveur. ¦ Pour les clients en mode extraction, "en ligne" signifie que les clients ont contacté le serveur au cours des deux derniers battements du client. ¦ Pour les clients des sites distants, "en ligne" signifie que les clients étaient en ligne au moment de la dernière réplication. Etat des clients connectés Ce rapport contient des graphiques sectoriels et des barres relatives pour chaque groupe et sous-réseau. Il indique le nombre etle pourcentage d'ordinateurs auxquels la dernière politique a été appliquée. Clients avec la dernière politique Ce rapport se compose d'un tableau contenant des statistiques sur l'hôte par groupe. Il indique le nombre de clients et d'utilisateurs. Si vous utilisez plusieurs domaines, ces informations sont indiquées en fonction de chaque domaine. Nombre de clients par groupe Affichage et configuration des rapports A propos des rapports 180Nom de rapport Description Ce rapport reflète l'état de sécurité général du réseau. Il indique le nombre etle pourcentage d'ordinateurs qui présententles états suivants : ¦ Le moteur antivirus est arrêté. ¦ Auto-Protect est arrêté. ¦ La protection contre les interventions est désactivée. ¦ Un redémarrage est requis. ¦ Une vérification de l'intégrité de l'hôte a échoué. ¦ La protection contre les menaces réseau est désactivée. Résumé de l'état de la sécurité Ce rapport indique toutes les versions proactives de contenu de protection qui sont utilisées sur l'ensemble de votre réseau dans un unique rapport. Un graphique sectoriel est affiché pour chaque type de protection. Les types de contenu suivants sont disponibles : ¦ Versions de Decomposer ¦ Versions du moteur Eraser ¦ Versions du Contenu de l'analyse proactive des menaces TruScan ¦ Versions du Moteur d'analyse proactive des menaces TruScan ¦ Version de la liste d'applications commerciales ¦ Versions du moteur du gestionnaire de contenu proactif ¦ Versions de la liste des applications autorisées ¦ Les nouveaux types de contenu que Symantec Security Response a ajoutés Versions du contenu de protection Ce rapport se compose de tableaux décrivant l'état de migration des clients par domaine, par groupe et par serveur. Il affiche l'adresse IP du client et indique si la migration a réussi, échoué ou n'a pas encore démarré. Migration du client Ce rapport se compose de tableaux indiquant la progression des déploiements des paquets client. Ces informations cliché vous permettent de connaître la vitesse de progression des déploiements et d'identifier les clients partiellement déployés. Déploiement logiciel du client (cliché) Ce rapport n'est disponible qu'en tant que rapport planifié. Ce rapport se compose de graphiques linéaires et de tableaux indiquant le nombre de clients en ligne et hors ligne. Un graphique apparaît pour chacune des principales cibles. Cette cible peut correspondre à un groupe ou à un système d'exploitation. Clients en ligne/hors ligne dans le temps (Clichés) Ce rapport n'est disponible qu'en tant que rapport planifié. Affichage et configuration des rapports 181 A propos des rapportsNom de rapport Description Ce rapport se compose d'un graphique linéaire indiquant les clients auxquels la dernière politique a été appliquée. Un graphique apparaît pour chacun des principaux clients. Clients ayant le dernière politique au cours du temps (cliché) Ce rapport n'est disponible qu'en tant que rapport planifié. Ce rapport se compose d'un graphique linéaire indiquant le pourcentage de clients ayant échoué une vérification de l'intégrité de l'hôte. Un graphique apparait pour chacun des principaux clients. Clients non conformes dans le temps (clichés) Ce rapport n'est disponible qu'en tant que rapport planifié. Ce raport répertorie les versions de paquet de définitions de virus qui ont été déployées aux clients. Ces informations vous permettent de suivre la progression du déploiement des nouvelles définitions de virus à partir de la console. Déploiement des définitions de virus (cliché) Ce rapport n'est disponible qu'en tant que rapport planifié. Tableau 10-7 décrit les rapports de protection contre les menaces réseau disponibles. Tableau 10-7 Rapports de protection contre les menaces réseau Nom de rapport Description Ce rapport présente un graphique sectoriel et des barres relatives. Les informations peuvent être affichées par groupe, par sous-réseaux, par clients ou par port, chacun de ces éléments constituant une cible différente. Ce rapport comprend des informations telles que le nombre et le pourcentage d'attaques, le type et la gravité des attaques et la distribution des attaques. Cibles principales attaquées Ce rapport contient un graphique sectoriel et des barres relatives indiquant les principaux hôtes qui se trouvent à l'origine d'une attaque contre votre réseau. Ce rapport comprend des informations telles que le nombre etle pourcentage d'attaques, le type et la gravité des attaques et la distribution des attaques. Principales sources d'attaque Ce rapport présente un graphique sectoriel et des barres relatives. Il inclut des informations telles que le nombre etle pourcentage d'événements.Il inclut également le groupe et la gravité, ainsi que le type et le nombre d'événements par groupe. Principaux types d'attaque Affichage et configuration des rapports A propos des rapports 182Nom de rapport Description Ce rapport contient un graphique sectoriel et des barres relatives indiquant les principales applications dontl'accès à votre réseau a été bloqué. Ce rapport comprend des informations telles que le nombre et le pourcentage d'attaques, le groupe et la gravité des attaques et la distribution des attaques par groupe. Principales applications bloquées Ce rapport contient un ou plusieurs graphiques linéaires indiquant les attaques au cours de la période sélectionnée. Par exemple, si l'intervalle spécifié correspond au mois précédent, le rapport affiche le nombre total d'attaques par jour pour le mois passé. Il inclut le nombre et le pourcentage d'attaques. Vous pouvez afficher les attaques pour tous les ordinateurs ou par système d'exploitation, par utilisateur, par adresse IP, par groupe ou par type d'attaque. Attaques au cours du temps par utilisateur Ce rapport se compose d'un graphique sectoriel indiquant le nombre total et le pourcentage d'événements de sécurité sur votre réseau, classés par ordre de gravité. Evénements de sécurité par gravité Ce rapport se compose d'un graphique linéaire et d'un tableau. Il indique le nombre total d'applications dont l'accès à votre réseau a été bloqué pendant une période que vous devez spécifier. Il inclut l'heure des événements ainsi que le nombre et le pourcentage d'attaques. Vous pouvez afficher les informations pour tous les ordinateurs ou par groupe, par adresse IP, par système d'exploitation ou par utilisateur. Applications bloquées au cours du temps Ce rapport se compose d'un graphique linéaire. Il indique le nombre de notifications relatives à des violations de règle de filtrage. Les règles prises en compte sont celles où l'option Envoyer une alerte par message électronique a été cochée dans la colonne Consignation de la liste des règles de politique de pare-feu. Vous pouvez afficher les informations pour tous les ordinateurs ou par groupe, par adresse IP, par système d'exploitation ou par utilisateur. Notifications de trafic au cours du temps Ce rapport contient un graphique sectoriel et des barres relatives indiquantle groupe ou le sous-réseau ainsi que le nombre et le pourcentage de notifications. Il indique le nombre de notifications relatives à des violations de règle de filtrage que vous avez configurées comme devant être notifiée. Les règles prises en compte sont celles où l'option Envoyer une alerte par message électronique a été cochée dans la colonne Consignation de la liste des règles de politique de pare-feu. Vous pouvez afficher toutes les informations, les informations pour le journal Trafic ou pour le journal Paquet, regroupées par sous-réseaux ou groupes principaux. Principales notifications de trafic Affichage et configuration des rapports 183 A propos des rapportsNom de rapport Description Ce rapportfournitles informations de protection contre lesmenaces réseau suivantes : ¦ Principaux types d'attaques ¦ Cibles principales attaquées par groupe ¦ Cibles principales attaquées par sous-réseau ¦ Cibles principales attaquées par client ¦ Principales sources d'attaques ¦ Principales notifications de trafic par groupe (trafic) ¦ Principales notifications de trafic par groupe (paquets) ¦ Principales notifications de trafic par sous-réseau (trafic) ¦ Principales notifications de trafic par sous-réseau (paquets) Ce rapport inclut des informations sur tous les domaines. Rapport complet Tableau 10-8 décrit les rapports de risque disponibles. Tableau 10-8 Rapports de risque Nom de rapport Description Ce rapport se compose de deux tableaux. L'un présente les ordinateurs qui présentent une infection par virus alors que l'autre répertorie les ordinateurs qui présentent un risque de sécurité non résolu. Ordinateurs infectés et à risque Ce rapport se compose d'un tableau indiquant le nombre d'actions ayant été entreprises lorsque des risques ont été détectés. Les actions possibles sont Nettoyé(s), Suspect, Bloqué, Mis en quarantaine, Supprimé, Nouvellement infecté et Encore infecté. Ces informations apparaissent également sur la page d'accueil de Symantec Endpoint Protection. Résumés des actions de détection Ce rapport se compose d'un graphique sectoriel, d'un tableau de risque et d'une barre relative associée. Il indique le nombre total de détections de risque par domaine, par serveur ou par ordinateur. Si vous utilisez des clients Symantec AntiVirus hérités, le rapport utilise le groupe de serveurs plutôt que le domaine. Nombre de détections de risques Affichage et configuration des rapports A propos des rapports 184Nom de rapport Description Ce rapport contient un tableau et un graphique sectoriel de distribution. Ce tableau fournit les informations suivantes pour chaque nouveau risque : ¦ Nom du risque ¦ Catégorie ou type de risque ¦ Date de détection ¦ Première occurrence dans l'entreprise ¦ Type d'analyse ayant détecté le risque pour la première fois ¦ Domaine où le risque a été découvert (groupe de serveurs sur les ordinateurs hérités) ¦ Serveur sur lequel le risque a été découvert (serveur parent sur les ordinateurs hérités) ¦ Groupe sur lequel le risque a été découvert (serveur parent sur les ordinateurs hérités) ¦ L'ordinateur sur lequel le risque a été découvert etle nom de l'utilisateur qui était connecté à ce moment là Le graphique sectoriel indique la nouvelle distribution des risques par type de cible de sélection : domaine (groupe de serveurs sur les ordinateurs hérités), groupe, serveur (serveur parent sur les ordinateurs hérités), ordinateur ou nom d'utilisateur. Nouveaux risques détectés dans le réseau Ce rapport se compose d'un diagramme à barres tridimensionnel conçu pour établir une corrélation entre les virus et les détections de risque de sécurité à partir de deux variables. Vous pouvez sélectionner l'ordinateur, le nom d'utilisateur, le domaine, le groupe, le serveur ou le nom de risque comme variables x et y (abscisse et ordonnée). Ce rapport indique les cinq instances principales associées à chaque variable d'axe. Si vous sélectionnez l'ordinateur en tant que variable alors que moins de cinq ordinateurs sontinfectés, il est possible que des ordinateurs non infectés apparaissent sur le graphique. Remarque : Pour les ordinateurs qui exécutent des versions héritées de Symantec AntiVirus, le groupe de serveurs etle serveur parent sont utilisés à la place du domaine et du serveur. Corrélation des principaux risques Ce rapport contient un graphique sectoriel et un diagramme à barres indiquant un pourcentage relatif pour chaque élément du type de cible sélectionné. Si vous utilisez le nom du risque comme cible par exemple, le graphique sectoriel affiche une part pour chaque risque individuel. Une barre est affichée pour chaque nom de risque et les informations fournies incluent le nombre de détections et son pourcentage par rapport à l'ensemble des détections. Les cibles disponibles sont les suivantes : nom du risque, domaine, groupe, serveur, ordinateur, nom utilisateur, source, type de risque ou gravité de risque. Pour les ordinateurs qui exécutent des versions héritées de Symantec AntiVirus, le groupe de serveurs et le serveur parent sont utilisés à la place du domaine et du serveur. Résumé de la distribution des risques Affichage et configuration des rapports 185 A propos des rapportsNom de rapport Description Ce rapport se compose d'une barre relative et d'un tableau indiquant le nombre de virus et de détections de risque de sécurité par unité de temps. Distribution des risques dans le temps Ce rapport se compose d'un graphique sectoriel et de diagrammes à barres indiquant les informations suivantes : ¦ une liste des applications à risques que vous avez ajoutées à vos exceptions comme acceptables sur votre réseau. ¦ Une liste des applications dont l'état de risque a été confirmé. ¦ Une liste des applications dont l'état de risque n'a pas encore été confirmé. Pour chaque liste, ce rapport affiche le nomde l'entreprise, le hachage de l'application ainsi que la version et l'ordinateur impliqués. Pour les applications autorisées, il indique également la source de permission. Résultats de détection d'analyse proactive contre les menaces TruScan Ce rapport se compose d'un graphique sectoriel indiquant le nom des principales applications ayant été détectées ainsi que de barres relatives et d'un tableau récapitulatif. Les détections incluent des applications qui figurent sur la liste des applications commerciales et la liste des détections forcées. Le premier tableau récapitulatif contient le nom de l'application ainsi que le nombre et le pourcentage de détections. Le tableau récapitulatif affiche les informations suivantes pour chaque détection : ¦ Nom et hachage de l'application ¦ Type d'aplication, enregistreur de frappe, cheval de Troie, ver, contrôle à distance ou enregistreur de frappe commercial ¦ Nom de société ¦ Version de l'application ¦ Nombre d'ordinateurs ayant signalé la détection ¦ Trois noms de chemin d'accès principaux dans les détections ¦ Date de la dernière détection Distribution proactive des menaces TruScan Ce rapport se compose d'un graphique linéaire indiquant le nombre de détections de menaces proactives pour la période sélectionnée. Il contient également un tableau et des barres relatives indiquant le nombre total de menaces ayant été détectées pendant cette période. Détection proactive des menaces TruScan dans le temps Ce rapport répertorie les principaux risques ayant été détectés sur votre réseau. Pour chacun d'entre eux, il affiche des barres de résumé d'action affichant le pourcentage de chaque action prise à la détection d'un risque. Les actions comprennent la quarantaine, le nettoyage, la suppression, etc. Ce rapport affiche également le pourcentage de fois auquel chaque action en particulier a été la première action configurée, la seconde action configurée, ou si la valeur est différente ou inconnue. Résumé des actions pour les principaux risques Affichage et configuration des rapports A propos des rapports 186Nom de rapport Description Ce rapport présente un graphique sectoriel et une barre relative associée. Ce graphique indique le nombre de notifications ayant été déclenchées par des violations de règle de filtrage configurées comme devant être notifiées. Il inclut le type de notifications ainsi que le nombre de chaque notification. Se reporter à "Configurer les messages électroniques pour les événements de trafic" à la page 544. Nombre de notifications Ce rapport se compose d'un graphique linéaire indiquant le nombre de notifications qui ont été envoyées sur le réseau pendant la période sélectionnée. Il contient également un tableau qui présente le nombre et le pourcentage de notifications dans le temps. Vous pouvez filtrer les données à afficher par type de notification, par état d'accusé de réception, par créateur et par nom de notification. Nombre de notifications au cours du temps Ce rapport affiche le nombre de virus et de détections de risque de sécurité ainsi qu'une barre relative par semaine pour l'intervalle de temps spécifié. Si vous avez spécifié un intervalle d'un jour, c'est toute la semaine passée qui est affichée. Déclenchements hebdomadaires Par défaut, ce rapport inclut tous les rapports de distribution ainsi que le nouveau rapport de risque. Vous pouvez toutefois le configurer de façon à ce qu'il n'inclue qu'un certain nombre de rapports. Ce rapport inclut des informations sur tous les domaines. Rapport détaillé des risques Tableau 10-9 décrit les rapports d'analyse disponibles. Affichage et configuration des rapports 187 A propos des rapportsTableau 10-9 Rapports d'analyse Nom de rapport Description Ce rapport est présenté sous forme d'histogramme.Vous pouvez sélectionner lemode de distribution des informations qui figurent dans le rapport d'analyse. Vous pouvez choisir l'une des méthodes suivantes : ¦ durée de l'analyse (en secondes) ; ¦ nombre de risques détectés ; ¦ nombre de fichiers avec détections ; ¦ nombre de fichiers analysés ; ¦ nombre de fichiers omis lors des analyses. Vous pouvez également configurer la largeur d'emplacement et le nombre d'emplacements utilisés dans l'histogramme. La largeur d'emplacement représente l'intervalle de données qui est utilisé pour le groupe par sélection. Le nombre d'emplacements spécifie le nombre de répétitions de l'intervalle de données dans l'histogramme. Les informations fournies incluent le nombre d'entrées, les valeurs minimales et maximales, ainsi que les écarts type moyen et standard. Vous pouvezmodifier les valeurs de rapport pourmaximiser le nombre d'informations générées dans l'histogramme du rapport. Par exemple, vous pouvez examiner la taille de votre réseau et la quantité d'informations affichées. Histogramme de statistiques d'analyse Ce rapport contient une liste des ordinateurs présents sur votre réseau classée en fonction de l'heure de leur dernière analyse. Elle inclut également l'adresse IP et le nom de l'utilisateur qui était connecté au moment de l'analyse. Ordinateurs par heure de dernière analyse Ce rapport contient une liste des ordinateurs qui n'ont pas été analysés sur votre réseau sécurisé. Ce rapport fournit les informations complémentaires suivantes : ¦ l'adresse IP ; ¦ l'heure de la dernière analyse ; ¦ le nom de l'utilisateur actuel ou de l'utilisateur qui était connecté au moment de la dernière analyse. Ordinateurs non analysés Tableau 10-10 décrit les rapports système disponibles. Tableau 10-10 rapports système Nom de rapport Description Ce rapport présente un graphique sectoriel pour chaque état d'avertissement et d'erreur. Ce graphique indique le nombre relatif et le pourcentage d'erreurs et d'avertissements par client. Principaux clients générant des erreurs et des avertissements Affichage et configuration des rapports A propos des rapports 188Nom de rapport Description Ce rapport présente un graphique sectoriel pour chaque état d'avertissement et d'erreur. Ce graphique indique le nombre relatif et le pourcentage d'erreurs et d'avertissements par serveur. Principaux serveurs générant des erreurs et des avertissements Ce rapport présente un graphique sectoriel pour chaque état d'avertissement et d'erreur. Ce graphique indique le nombre relatif et le pourcentage d'erreurs et d'avertissements par Enforcer. Principaux Enforcers générant des erreurs et des avertissements Ce rapport se compose d'un graphique linéaire et d'un tableau présentant les échecs de réplication pour la période sélectionnée. Echecs de réplication de la base de données dans le temps Affichage et configuration des rapports 189 A propos des rapportsNom de rapport Description Ce rapport affiche l'état actuel et le débit de tous les serveurs sur votre site local. Il contient également des informations sur l'installation client, l'état des clients connectés et le volume du journal client pour votre site local. Les données qui sont à l'origine de ce rapport sont mises à jour toutes les dix secondes mais vous devez toutefois réexécuter le rapport pour consulter des données mises à jour. Remarque : Si vous disposez de plusieurs sites, ce rapport indique l'ensemble des clients installés et en ligne pour votre site local plutôt que pour tous vos sites. Si des restrictions de site ou de domaine vous sontimposées en tant qu'administrateur, seules les informations que vous êtes autorisé à consulter s'affichent. Un serveur peut présenter les conditions suivantes : ¦ Bon : le serveur fonctionne normalement. ¦ Faible : le serveur dispose de peu de mémoire ou d'espace disque ou présente un grand nombre d'échecs de demande de client. ¦ Critique : le serveur est en panne. Pour chaque serveur, ce rapport indique l'état, la condition, la raison, l'utilisation de l'UC et de la mémoire ainsi que l'espace disque disponible. Il contient également des informations sur le débit du serveur, telles que les politiques téléchargées et le débit de site échantillonné lors du dernier battement. Il inclut les informations de débit suivantes pour le site : ¦ Total des clients en ligne et total des clients installés ¦ Politiques téléchargées par seconde ¦ Signatures de prévention d'intrusion téléchargées par seconde ¦ Applications apprises par seconde ¦ Journaux clients reçus par seconde ¦ Politiques téléchargées par seconde ¦ Signatures de système de prévention d'intrusion téléchargé par seconde ¦ Applications apprises par seconde ¦ Journaux système, journaux de trafic etjournaux de paquets par seconde d'Enforcer ¦ Mises à jour d'informations du client par seconde ¦ Journaux de sécurité, journaux système, journaux de trafic etjournaux de paquets reçus par seconde des clients ¦ Journaux de contrôle d'application et de périphérique reçus par seconde L'expression "en ligne" désigne les cas de figure suivants dans ce rapport : ¦ Pour les clients en mode transfert, "en ligne" signifie que les clients sont actuellement connectés au serveur. ¦ Pour les clients en mode extraction, "en ligne" signifie que les clients ont contacté le serveur au cours des deux derniers battements du client. ¦ Pour les clients des sites distants, "en ligne" signifie que les clients étaient en ligne au moment de la dernière réplication. Etat du site Affichage et configuration des rapports A propos des rapports 190Points importants quant à l'utilisation des rapports Veillez à tenir compte des informations suivantes lorsque vous utilisez des rapports : ¦ Les horodatages des rapports sont exprimés dans l'heure locale de l'utilisateur. Les événements de la base de données Reporting sont basés sur l'heure GMT (Greenwich Mean Time). Lorsque vous créez un rapport, les valeurs GMT sont converties en heure locale de l'ordinateur sur lequel vous affichez les rapports. ¦ Dans certains cas, les données du rapport ne peuvent être mises en correspondance avec les données affichées par vos produits de sécurité. Ce manque de correspondance résulte de la collecte des événements de sécurité par le logiciel de notification. ¦ Les informations relatives aux catégories de risque des rapports sont obtenues auprès du site Web de Symantec Security Response. La console doit pouvoir extraire ces informations pour que les rapports que vous générez cessent d'afficher la valeur Inconnu dans les champs de catégorie de risque. ¦ Les rapports que vous générez vous offrent un aperçu détaillé des ordinateurs compromis sur le réseau. Les rapports reposent sur les données du journal et non pas sur les données de registre Windows. ¦ Les pages des rapports et des journaux s'affichent toujours dans la langue du serveur de gestion. Pour pouvoir afficher ces pages lorsque vous utilisez une console ou un navigateur distant, la police appropriée doit être installée sur l'ordinateur que vous utilisez. ¦ Si des erreurs de base de données surviennent lorsque vous générez des rapports contenant un volume important de données, cela peut signifier que vous devez modifier les paramètres d'expiration de la base de données concernée. Se reporter à "Modification des paramètres d'expiration" à la page 331. ¦ Si des erreurs de CGI ou de processus arrêtés surviennent, vous pouvezmodifier d'autres paramètres d'expiration. Reportez-vous à l'article de la base de connaissances Symantec suivant : "Reporting server does not report or shows a timeout error message when querying large amounts of data (Le serveur Reporting ne génère pas de rapport ou affiche un message d'erreur signalant un dépassement de délai)". Veillez à tenir compte des informations suivantes si certains des ordinateurs présents sur votre réseau exécutent des versions héritées de SymantecAntiVirus : ¦ Lorsque vous utilisez des filtres de rapport et de journal, les groupes de serveurs sont classés par domaine. Les groupes de clients sont classés par groupe et les serveurs parents sont classés par serveur. Affichage et configuration des rapports 191 Points importants quant à l'utilisation des rapports¦ Si vous générez un rapport comprenant des ordinateurs hérités, les champs d'adresse IP et d'adresse MAC affichent Aucun(e). Création de rapports rapides Générez un rapport rapide à partir des options Paramètres de base qui apparaissent sous "Quels paramètres de filtrage voulez-vous utiliser". Si vous voulez configurer des options supplémentaires pour construire un rapport, cliquez sur Paramètres avancés. Les paramètres de base et les paramètres avancés varient d'un rapport à l'autre. Pour une description de chaque paramètre avancé que vous pouvez configurer, vous pouvez cliquer sur Plus d'infos pour ce type de rapport sur la console. Plus d'infos affiche l'aide contextuelle pour ce type de rapport. Vous pouvez enregistrer les paramètres d'un rapport afin de pouvoir exécuter le même rapport ultérieurement et vous pouvez imprimer et enregistrer des rapports. Remarque : Les champs d'option de filtre qui acceptent des caractères génériques et recherchent des correspondances ne distinguent pas les majuscules et les minuscules. L'astérisque ASCII estle seul astérisque qui puisse être utilisé comme caractère générique. Se reporter à "Impression et enregistrement d'une copie d'un rapport" à la page 198. Tableau 10-11 décrit tous les Paramètres de base disponibles pour tous les types de rapports rapides. Affichage et configuration des rapports Création de rapports rapides 192Tableau 10-11 Paramètres de filtre de base pour les rapports rapides Paramètre Description Spécifie l'intervalle de temps des événements que vous voulez afficher dans le rapport. Sélectionnez une des périodes suivantes : ¦ Les dernières 24 heures ¦ La semaine dernière ¦ Le mois dernier ¦ Le mois en cours ¦ Les trois derniers mois ¦ L'année dernière ¦ Définir des dates spécifiques Si vous sélectionnez Définir des dates spécifiques, certains rapports requièrentla définition d'une date de début et de fin. D'autres rapports requièrent que vous définissiez la date du dernier enregistrement, qui correspond à la dernière fois où l'ordinateur s'est authentifié à son serveur. Le paramètre par défaut est Les dernières 24 heures. Plage horaire Définit la date de début pour la plage de dates. Cette option n'est disponible que lorsque vous sélectionnez l'option Définir des dates spécifiques pour la plage horaire. Date de début Définit la date de fin pour la plage de dates. Cette option est disponible uniquementlorsque vous sélectionnez l'option Définir des dates spécifiques pour la plage horaire. Remarque : Vous ne pouvez pas définir une date de fin qui soit la même que la date de début ou antérieure à la date de début. Date de fin Spécifie que vous voulez consulter toutes les entrées qui impliquent un ordinateur qui ne s'est pas authentifié à son serveur depuis cette époque. Seulement disponible pour les rapports d'état de l'ordinateur quand vous sélectionnez Définir des dates spécifiques pour l'intervalle de temps. Dernière authentification après Affichage et configuration des rapports 193 Création de rapports rapidesParamètre Description Disponible pour le rapport de conformité d'état de conformité du réseau. Sélectionnez parmi les actions suivantes : ¦ Authentifié ¦ Déconnecté ¦ Echec ¦ Réussi ¦ Rejeté Disponible pour le rapport de conformité d'état de conformité. Sélectionnez parmi les actions suivantes : ¦ Réussi ¦ Echec Etat De nombreux rapports peuvent être regroupés de façon appropriée. Par exemple, le choix le plus commun est d'afficher des informations pour seulement un groupe ou sous-réseau, mais certains rapports fournissent d'autres choix appropriés. Regrouper par Affichage et configuration des rapports Création de rapports rapides 194Paramètre Description Disponible pour le rapport sur les principales cibles attaquées de la protection contre les menaces réseau. Sélectionnez parmi les options suivantes : ¦ Groupe ¦ Sous-réseau ¦ Client ¦ Port Disponible pour le rapport Attaques dans le temps de la protection contre les menaces réseau. Sélectionnez parmi les options suivantes : ¦ Tous ¦ Groupe ¦ Adresse IP ¦ Système d'exploitation ¦ Nom d'utilisateur ¦ Type d'attaque Disponible pour les rapports Applications bloquées dans le temps et Notifications de trafic dans le temps de la protection contre les menaces réseau. Sélectionnez parmi les options suivantes : ¦ Toutes ¦ Groupe ¦ Adresse IP ¦ Système d'exploitation ¦ User Name Disponible pour le rapport Principales notifications de trafic de la protection contre les menaces réseau. Sélectionnez parmi les options suivantes : ¦ Toutes ¦ Trafic ¦ Paquet Cible Disponible pour le rapport de corrélation des principales détections de risque. Sélectionnez parmi les options suivantes : ¦ Ordinateur ¦ Nom de l'utilisateur ¦ Domaine ¦ Groupe ¦ Serveur ¦ Nom du risque Axe X Axe Y Spécifie la largeur d'un emplacement pour former un histogramme. Disponible pour le rapport d'analyse d'histogramme d'analyses statistiques. Largeur d'emplacement Affichage et configuration des rapports 195 Création de rapports rapidesParamètre Description Spécifie le nombre d'emplacements que vous voulez utiliser pour former les barres d'un histogramme. Disponible pour le rapport d'analyse d'histogramme d'analyses Statistiques. Nombre d'emplacements Les paramètres avancés permettent un contrôle supplémentaire des données que vous voulez afficher. Ils sont spécifiques au type et au contenu de rapport. Pour obtenir une description de chaque paramètre avancé que vous pouvez configurer, vous pouvez cliquer sur Plus d'infos en regard du type de rapport dans la console. L'option Plus d'infos affiche l'aide contextuelle de ce type de rapport. Pour créer un rapport rapide 1 Dans la console, cliquez sur Rapports. 2 Dans l'onglet Rapports rapides, dans la zone de liste Type de rapport, sélectionnez le type de rapport que vous voulez créer. Par exemple, sélectionnez Risque. 3 Sous le type de rapport d'analyse que vous désirez consulter, dans la zone de liste Sélectionner un rapport, sélectionnez le nomdu rapport que vous voulez afficher. Par exemple, sélectionnez Compte des détections de Risque. 4 Dans la zone de liste Utilisez un filtre sauvegardé, sélectionnez une configuration de filtre sauvegardé, ou conservez le filtre par défaut. 5 Sous les paramètres de filtrage que vous désirez utiliser, dans la zone de liste Plage horaire, sélectionnez l'intervalle de temps pour le rapport. 6 Si vous sélectionniez Définir des dates spécifiques, alors utilisez les zones de liste Date de début et Date de fin. Ces options définissentl'intervalle de temps à propos duquel vous voulez afficher des informations. 7 Si vous voulez configurer des paramètres supplémentaires pour le rapport, cliquez sur Paramètres avancés et définissez les options que vous voulez. Vous pouvez cliquer sur Plus d'infos dans l'onglet Rapports rapides pour consulter les descriptions des options de filtre dans l'aide contextuelle. Quand le bouton à 3 points est disponible, il vous conduit à une liste des options connues pour ce choix. Par exemple, cette option peut vous conduire à une liste des serveurs connus ou à une liste des domaines connus. Vous pouvez enregistrer les paramètres de configuration du rapport si vous pensez vouloir exécuter à nouveau ce rapport à l'avenir. Se reporter à "Enregistrement et suppression des filtres de rapport sauvegardés" à la page 197. 8 Cliquez sur Créer un rapport. Affichage et configuration des rapports Création de rapports rapides 196Enregistrement et suppression des filtres de rapport sauvegardés Vous pouvez enregistrer vos paramètres de rapport personnalisés afin de pouvoir restaurer un rapport ultérieurement. Lorsque vous enregistrez vos paramètres, ceux-ci sont enregistrés dans la base de données. Le nom que vous attribuez au filtre apparaît dans la zone de liste Utilisez un filtre sauvegardé pour le type de journal et de rapport appropriés. Remarque : Les paramètres de configuration de filtre que vous enregistrez sont uniquement disponibles pour votre compte de connexion utilisateur. Les autres utilisateurs disposant de privilèges de notification n'ont pas accès à vos paramètres enregistrés. Vous pouvez également supprimer les configurations de rapport que vous avez créées. Lorsque vous supprimez une configuration, le rapport n'est plus disponible. Le nom de configuration de rapport par défaut apparaît dans la zone Utilisez un rapport sauvegardé et l'écran est renseigné avec les paramètres de configuration par défaut. Pour enregistrer un filtre 1 Dans la console, cliquez sur Rapports. 2 Sélectionnez un type de rapport dans la liste. 3 Modifiez les Paramètres de base ou les Paramètres avancés du rapport si nécessaire. 4 Cliquez sur Enregistrer le filtre. 5 Dans la zone de texte Nom du filtre, saisissez un nom descriptif pour le filtre de rapport. Seuls les 32 premiers caractères du nom s'affichent lorsque le filtre sauvegardé est ajouté à la liste Utilisez un filtre sauvegardé. 6 Cliquez sur OK. 7 Lorsque la boîte de dialogue de confirmation s'affiche, cliquez sur OK. Une fois enregistré, le filtre apparaît dans la zone de liste Utilisez un filtre sauvegardé pour les rapports et les journaux associés. Pour supprimer un filtre sauvegardé 1 Dans l'onglet Rapports, sélectionnez un type de rapport. 2 Dans la zone de liste Utilisez un filtre sauvegardé, sélectionnez le nom du filtre à supprimer. Affichage et configuration des rapports 197 Enregistrement et suppression des filtres de rapport sauvegardés3 Cliquez sur l'icône Supprimer qui se trouve en regard de la zone de liste Utilisez un filtre sauvegardé. 4 A l'apparition de la boîte de dialogue de confirmation, cliquez sur Oui. A propos des noms de filtre dupliqués Le stockage de filtre est basé en partie sur le créateur, ainsi aucun problème ne se pose quand deux utilisateurs différents créent un filtre avec le même nom. Cependant, un utilisateur ou deux utilisateurs qui se connectent au compte "admin" par défaut ne doivent pas créer des filtres avec le même nom. Si les utilisateurs créent des filtres avec le même nom, un conflit peut se produire dans deux conditions : ¦ Deux utilisateurs sont connectés au compte "admin" par défaut sur différents sites et chacun d'eux crée un filtre avec le même nom. ¦ Un utilisateur crée un filtre, se connecte à un site différent et crée immédiatement un filtre avec le même nom. Si l'une ou l'autre condition se produit avant que la réplication de site ait lieu, deux filtres avec le même nom s'affichent alors dans la liste des filtres. Seul l'un des filtres est utilisable. Si ce problème se pose, la meilleure action consiste à supprimer le filtre utilisable et à le recréer avec un nom différent. Si vous supprimez le filtre utilisable, vous supprimez également le filtre inutilisable. Impression et enregistrement d'une copie d'un rapport Lorsque vous générez un rapport, celui-ci apparaît dans une nouvelle fenêtre. Vous pouvez imprimer le rapport ou enregistrer une copie du rapport. Remarque : Par défaut, Internet Explorer n'imprime pas les couleurs etles images d'arrière-plan. Si cette option d'impression est désactivée le rapportimprimé peut être différent du rapport que vous avez créé.Vous pouvezmodifier les paramètres de votre navigateur pour qu'il imprime les couleurs et les images d'arrière-plan. Pour imprimer une copie d'un rapport 1 Dans la fenêtre du rapport, cliquez sur Imprimer. 2 Dans la boîte de dialogue Imprimer, sélectionnez l'imprimante que vous souhaitez utiliser puis cliquez sur Imprimer. Affichage et configuration des rapports Impression et enregistrement d'une copie d'un rapport 198Lorsque vous enregistrez un rapport, vous enregistrez un "cliché" de votre environnement de sécurité basé sur les données qui se trouvent actuellement dans votre base de données Reporting. Si vous exécutez le même rapport ultérieurement, avec lamême configuration de filtrage, le nouveau rapport affiche des données différentes. Pour enregistrer une copie d'un rapport 1 Dans la fenêtre du rapport, cliquez sur Enregistrer. 2 Dans la boîte de dialogue de téléchargement de fichier, cliquez surEnregistrer. 3 Dans la boîte de dialogue Enregistrer sous, dans la zone Enregistrer dans, localisez l'emplacement où vous souhaitez enregistrer le fichier. 4 Dans la zone de liste Nom du fichier, vous pouvez modifier le nom de fichier par défaut si vous le souhaitez. 5 Cliquez sur Enregistrer. Le rapport est enregistré sous forme de fichier unique (*.mht) au format d'archivageWeb deMicrosoft dans l'emplacement que vous avez sélectionné. 6 Dans la boîte de dialogue Téléchargement terminé, cliquez sur Fermer. Création et suppression de rapports planifiés Les rapports planifiés sont des rapports qui s'exécutent automatiquement en fonction d'une planification que vous devez configurer. Les rapports planifiés sont envoyés aux destinataires par courrier électronique, ce qui signifie que vous devez inclure l'adresse électronique d'aumoins un destinataire. Une fois le rapport exécuté, il est envoyé sous forme de pièce jointe (fichier .mht) aux destinataires que vous avez configurés. Les données qui apparaissent dans les rapports cliché sont mises à jour chaque heure dans la base de données. Les rapports planifiés sont envoyés à leurs destinataires à l'heure qui a été définie par l'administrateur à l'aide de l'option Exécuter tous les. Lorsque Symantec Endpoint Protection envoie un rapport cliché par courrier électronique, les données contenues dans le rapport sont actuelles à une heure près. Les autres rapports qui contiennent des données pour une période particulière sont mis à jour dans la base de données en fonction de l'intervalle de téléchargement que vous avez configuré pour les journaux client. Se reporter à "Configuration des paramètres de journal client " à la page 325. Affichage et configuration des rapports 199 Création et suppression de rapports planifiésRemarque : Si plusieurs des serveurs installés partagentla même base de données sur un site, seul le premier serveur installé exécute les rapports planifiés pour le site. Ce paramètre par défaut permet de garantir que tous les serveurs du site n'exécutent pas les mêmes analyses planifiées simultanément. Si vous souhaitez spécifier un serveur différent pour l'exécution des rapports planifiés, vous pouvez configurer cette option dans les propriétés du site local. Se reporter à "Modification des propriétés du site" à la page 266. Les rapports rapides suivants sont uniquement disponibles en tant que rapports planifiés : ¦ Déploiement logiciel du client (cliché) ¦ Clients connectés/déconnectés au cours du temps (cliché) ¦ Clients ayant le dernière politique au cours du temps (cliché) ¦ Clients non compatibles à 100% au cours du temps (cliché) ¦ Déploiement des définitions de virus (cliché) Vous pouvez modifier les paramètres de n'importe quel rapport déjà planifié. La prochaine fois que le rapport s'exécute, il utilise les nouvelles configurations de filtre. Vous pouvez également créer des rapports planifiés supplémentaires, que vous pouvez associer à un filtre de rapport précédemment sauvegardé. Vous pouvez supprimer un seul ou tous les rapports planifiés. Remarque : Lorsque vous associez un filtre sauvegardé à un rapport planifié, assurez-vous que le filtre ne contient aucune date personnalisée. Si le filtre est associé à une date personnalisée, vous obtiendrez le même rapport à chaque exécution du rapport. Tout comme pour les rapports exécutés à la demande, vous pouvez imprimer et enregistrer les rapports planifiés. Remarque : Lorsque vous créez un rapport planifié pour la première fois, vous devez utiliser le filtre par défaut ou un filtre déjà sauvegardé. Une fois que vous avez planifié le rapport, vous pouvez y revenir à tout moment pour modifier le filtre. Pour plus d'informations sur les options que vous pouvez définir au cours de ces procédures, cliquez sur En savoir plus dans l'onglet Rapports planifiés. Affichage et configuration des rapports Création et suppression de rapports planifiés 200Pour créer un rapport planifié 1 Dans la console, cliquez sur Rapports. 2 Dans l'onglet Rapports planifiés, cliquez sur Ajouter. 3 Dans la zone de texte Nom du rapport, saisissez un nom descriptif et entrez ensuite une description plus détaillée (facultatif). Bien que vous puissiez coller plus de 255 caractères dans la zone de texte de la description, seuls 255 caractères sont enregistrés dans la description. 4 Désélectionnez la case Activer ce rapport planifié si vous ne souhaitez pas que ce rapport s'exécute pour l'instant. 5 Sélectionnez le type de rapport que vous souhaitez planifier dans la liste. 6 Sélectionnez le nom du rapport que vous souhaitez planifier dans la liste. 7 Sélectionnez le nom du filtre sauvegardé que vous souhaitez utiliser dans la liste. 8 Dans la zone de texte Exécuter tous les, sélectionnez la fréquence à laquelle vous souhaitez que le rapport soit envoyé par courrier électronique (heures, jours, semaines,mois). Saisissez ensuite la valeur que vous souhaitez attribuer à l'intervalle que vous avez sélectionné. Par exemple, si vous souhaitez que le rapport vous soit envoyé un jour sur deux, sélectionnez Jours et saisissez 2. 9 Sous Planification du rapport, dans la zone de texte de texte Exécuter tous les, spécifiez la fréquence à laquelle ce rapport devra être envoyé aux destinataires par courrier électronique. 10 Dans la zone de texte Démarrer après, saisissez la date à laquelle le rapport devra démarrer ou cliquez sur l'icône du calendrier et sélectionnez une date. Sélectionnez ensuite l'heure et la minute à partir des zones de liste. 11 Sous Destinataires du rapport, saisissez une ou plusieurs adresses électroniques en les séparant par des virgules. Vous devez avoir déjà configuré des propriétés du serveur demessagerie pour que les notifications par message électronique fonctionnent. 12 Cliquez sur OK pour enregistrer la configuration du rapport planifié. Pour modifier le filtre utilisé par un rapport planifié 1 Dans la console, cliquez sur Rapports. 2 Cliquez sur Rapports planifiés. 3 Dans la liste des rapports, cliquez sur le rapport planifié que vous souhaitez modifier. Affichage et configuration des rapports 201 Création et suppression de rapports planifiés4 Cliquez sur Modifier le filtre. 5 Apportez vos modifications au filtre. 6 Cliquez sur Enregistrer le filtre. Si vous souhaitez conserver le filtre d'origine, vous devez lui attribuer une nouveau nom. 7 Cliquez sur OK. 8 A l'apparition de la boîte de dialogue de confirmation, cliquez sur OK. Pour supprimer un rapport planifié 1 Dans la console, cliquez sur Reports. 2 Dans l'onglet Rapports planifiés, dans la liste des rapports, cliquez sur le nom du rapport à supprimer. 3 Cliquez sur Supprimer. 4 A l'apparition de la boîte de dialogue de confirmation, cliquez sur Oui. Affichage et configuration des rapports Création et suppression de rapports planifiés 202Affichage et configuration des journaux et des notifications Ce chapitre traite des sujets suivants : ¦ A propos des journaux ¦ Utiliser l'onglet Résumé de la page Contrôleurs ¦ Affichage des journaux ¦ Enregistrement et suppression des filtres ¦ Paramètres de filtrage de base pour les journaux ¦ Paramètres avancés de filtre pour les journaux ¦ Exécuter des commandes et des actions à partir des journaux ¦ A propos de la réduction du volume d'événements envoyés aux journaux ¦ Exportation des données de journal ¦ Utilisation des notifications A propos des journaux Utilisation des journaux, vous pouvez afficher les événements détaillés qui ont été détectés par vos produits de sécurité. Les journaux contiennent des données d'événement issues de vos serveurs de gestion ainsi que de tous les clients qui communiquent avec ces serveurs. Etant donné que les rapports sont statiques et Chapitre 11n'incluent pas autant de détails que les journaux, certains administrateurs préfèrent contrôler leur réseau en utilisant des journaux. Il est possible que vous souhaitiez afficher ces informations afin de dépanner des problèmes de sécurité ou de connectivité sur votre réseau. Ces informations peuvent également être utiles pour rechercher d'éventuelles menaces ou vérifier l'historique des événements. Remarque : Les pages des rapports et des journaux s'affichent toujours dans la langue du serveur de gestion. Pour pouvoir afficher ces pages lorsque vous utilisez une console ou un navigateur distant, la police appropriée doit être installée sur l'ordinateur que vous utilisez. Vous pouvez exporter certaines données d'événements de journal vers un fichier délimité par des virgules afin que celui-ci puisse être importé dans une application de tableur. Vous pouvez également exporter d'autres données du journal vers un fichier de vidage mémoire ou un serveur Syslog. Se reporter à "Exportation des données de journal" à la page 225. A propos des types de journaux, du contenu et des commandes Vous pouvez afficher les types de journaux suivants de la page de Contrôles : ¦ Contrôle des applications et des périphériques ¦ Audit ¦ Conformité ¦ Etat de l'ordinateur ¦ Protection contre les menaces réseau ¦ Analyse proactive des menaces TruScan ¦ Risque ¦ Analyse ¦ Système Remarque : Tous ces journaux sont accessibles à partir de la page Contrôles en utilisant l'onglet Journaux. Vous pouvez afficher des informations sur les notifications créées dans l'onglet Notifications et des informations sur l'état des commandes dans l'onglet Etat de la commande. Affichage et configuration des journaux et des notifications A propos des journaux 204Certains types de journaux sont encore divisés en différents types de contenu pour faciliter l'affichage. Par exemple, les journaux de contrôle des applications et des périphériques incluent le journal de contrôle des applications et le journal de contrôle des périphériques. Vous pouvez également exécuter des commandes à partir de certains journaux. Se reporter à "Affichage etfiltrage des informations de notification administrateur" à la page 230. Remarque : Si seul Symantec Network Access Control est installé, seulement certains des journaux contiennent des données ; d'autres journaux sont vides. Le journal d'audit, le journal de conformité, le journal d'état des ordinateurs et le journal système contiennent des données. Si seul Symantec Endpoint Protection estinstallé, les journaux de conformité etles journaux d'Enforcer sont vides mais tous les autres journaux contiennent des données. Tableau 11-1 décrit les différents types de contenu que vous pouvez afficher et les mesures que vous pouvez prendre à partir de chaque journal. Affichage et configuration des journaux et des notifications 205 A propos des journauxTableau 11-1 Journal et listes Type de journal Contenus et actions Le journal Contrôle des applications et le journal Contrôle des périphériques contiennent des informations sur les événements dans lesquels certains types de comportement étaient bloqués. Les journaux de contrôle des applications et des périphériques suivants sont disponibles : ¦ Contrôle des applications, qui inclut des informations sur la protection contre les interventions ¦ Contrôle des périphériques Les informations qui sont disponibles dans le journal de contrôle des applications incluent les éléments suivants : ¦ Le moment où l'événement s'est produit ¦ La mesure prise ¦ Le domaine et l'ordinateur qui étaient concernés ¦ La gravité ¦ La règle qui était concernée ¦ Le processus appellant ¦ La cible Les informations qui sont disponibles dans le journal de contrôle des périphériques incluent les éléments suivants : ¦ Le moment où l'événement s'est produit ¦ Le type d'événement ¦ Le domaine et le groupe qui étaient concernés ¦ L'ordinateur qui était concerné ¦ L'utilisateur qui était impliqué ¦ Le nom du système d'exploitation ¦ Une description ¦ L'emplacement ¦ Nom de l'application qui était impliquée Vous pouvez ajouter un fichier à la politique d'exceptions centralisées à partir du journal Contrôle des applications. Contrôle des applications et des périphériques Le rapport d'audit contient des informations sur l'activité de modification de la politique. Les informations disponibles incluentlemoment etle type des événements ; la politique modifiée ; le domaine, le site et l'administrateur impliqué ; et une description. Aucune action n'est associée à ce journal. Audit Affichage et configuration des journaux et des notifications A propos des journaux 206Type de journal Contenus et actions Les journaux de conformité contiennent des informations au sujet du trafic du serveur Enforcer, des clients Enforcer et d'Enforcer et sur la conformité des hôtes. Les journaux de conformité suivants sont disponibles si vous avez installé Symantec Network Access Control : ¦ Serveur Enforcer Ce journal suitla communication entre les modules d'application Enforcer etleur serveur de gestion. Les informations consignées incluentle nomd'Enforcer, quand il se connecte au serveur de gestion, le type d'événement, le site et le nom du serveur. ¦ Client Enforcer Fournit les informations sur toutes les connexions Client Enforcer, y compris les informations d'authentification point à point. Les données disponibles incluent chaque nom, type, site, serveur à distance et adresse MAC distante d'Enforcer et si le client a été accepté, rejeté ou authentifié. ¦ Trafic d'Enforcer (Gateway Enforcer seulement) Fournit quelques informations au sujet du trafic qui passe par un boîtier Enforcer. Ces informations incluent la direction et la période du trafic, le protocole qui a été utilisé, le nom d'Enforcer et le site. Les informations incluent également le port local qui a été utilisé, la direction et un compte. Vous pouvez filtrer les tentatives de connexion qui ont été permises ou bloquées. ¦ Conformité d'hôte Ce journal suit les détails des vérifications de l'intégrité d'hôte des clients. Les informations disponibles incluent le moment, l'emplacement, le système d'exploitation, la raison des échecs et une description. Aucune action n'est associée à ces journaux. Conformité Affichage et configuration des journaux et des notifications 207 A propos des journauxType de journal Contenus et actions Etat de l'ordinateur Affichage et configuration des journaux et des notifications A propos des journaux 208Type de journal Contenus et actions Le journal d'état de l'ordinateur contient des informations sur l'état de fonctionnement des ordinateurs clients dans le réseau en temps réel. Les informations disponibles incluent le nom et l'adresse IP de l'ordinateur, le dernier enregistrement, la date des définitions, l'état d'infection, l'état d'Auto-Protect, le serveur, le groupe, le domaine et le nom d'utilisateur. Vous pouvez exécuter les actions suivantes à partir du journal d'état de l'ordinateur : ¦ Analyse Cette commande lance une analyse active, complète ou personnalisée. Les options d'analyse personnalisée sont celles que vous avez définies pour des analyses de commande sur la page Analyse définie par l'administrateur. La commande utilise les paramètres de la politique antivirus et antispyware qui s'applique aux clients que vous avez sélectionnés pour analyse. ¦ Mise à jour de contenu Cette commande déclenche une mise à jour des politiques, des définitions et du logiciel à partir de la console aux clients du groupe sélectionné. ¦ Mise à jour de contenu et analyse Cette commande déclenche une mise à jour des politiques, des définitions et du logiciel sur les clients du groupe sélectionné. Cette commande lance ensuite une analyse active, complète ou personnalisée. Les options d'analyse personnalisée sont celles que vous avez définies pour des analyses de commande sur la page Analyse définie par l'administrateur. La commande utilise les paramètres de la politique antivirus et antispyware qui s'applique aux clients que vous avez sélectionnés pour analyse. ¦ Annuler toutes les analyses Cette commande annule toutes les analyses en cours et toutes les analyses en attente sur les destinataires sélectionnés. ¦ Redémarrage des ordinateurs Cette commande redémarre les ordinateurs que vous avez sélectionnés. Si des utilisateurs sont connectés, ils sont avertis du redémarrage basé sur les options de redémarrage que l'administrateur a configurées pour cet ordinateur. Vous pouvez configurer des options de redémarrage client dans l'onglet Paramètres généraux des paramètres de bloc de la boîte de dialogue Paramètres généraux de la page Clients. ¦ Activation d'Auto-Protect Cette commande active Auto-Protect pour tous les ordinateurs clients que vous avez sélectionnés. ¦ Activation de la protection contre les menaces réseau Cette commande active la protection contre les menaces réseau pour tous les ordinateurs clients que vous avez sélectionnés. ¦ Désactivation de la protection contre les menaces réseau Cette commande désactive la protection contre les menaces réseau pour tous les ordinateurs clients que vous avez sélectionnés. Affichage et configuration des journaux et des notifications 209 A propos des journauxType de journal Contenus et actions Vous pouvez également effacer l'état d'infection des ordinateurs à partir de ce journal. Les journaux de protection contre les menaces réseau contiennent des informations à propos des attaques sur le pare-feu et sur la prévention d'intrusion. Des informations sont disponibles au sujet des attaques de refus de service, des analyses de port et des modifications qui ont été apportées aux fichiers exécutables.Ils contiennent également des informations sur les connexions qui sont faites par le pare-feu (trafic) et sur les paquets de données qui le traversent. Ces journaux contiennent également certaines des modifications opérationnelles qui sont apportées aux ordinateurs, telles que la détection des applications réseau et la configuration des logiciels. Les informations disponibles incluent des éléments tels que le moment, le type d'événement ; et la mesure prise. Les informations complémentaires disponibles incluent la gravité ; la direction, le nom d'hôte, la mesure prise, l'adresse IP et le protocole impliqué. Les journaux suivants de protection contre les menaces réseau sont disponibles : ¦ Attaques ¦ Trafic ¦ Paquet Aucune action n'est associée à ces journaux. Protection contre les menaces réseau Le journal de protection proactive contre les menaces TruScan contient des informations sur les menaces qui ont été détectées lors d'une analyse proactive. Les analyses proactives des menaces TruScan utilisent des technologies heuristiques pour analyser tout comportement similaire à celui des virus ou présentant un risque pour la sécurité. Cette méthode peut détecter des virus inconnus et les risques de sécurité. Les informations disponibles incluent des éléments tels que la période de l'occurrence, le nom d'événement, l'ordinateur et l'utilisateur impliqués, le nom et le type de l'application et le nom du fichier. Vous pouvez ajouter un processus détecté à une politique d'exceptions centralisées préexistente à partir de ce journal. Analyse proactive des menaces TruScan Le journal deRisque contient des informations sur des événements à risque. Certaines des informations disponibles incluent le nom et l'heure de l'événement, le nom de l'utilisateur, l'ordinateur, le nom du risque, le nombre, la source et le chemin d'accès. Vous pouvez prendre les mesures suivantes à partir de ce journal : ¦ Ajouter le risque à la politique d'exception centralisée ¦ Ajouter un fichier à la politique d'exceptions centralisées ¦ Ajouter un dossier à la politique d'exceptions centralisées ¦ Ajouter une extension à la politique d'exceptions centralisées ¦ Suppression de la quarantaine Risque Affichage et configuration des journaux et des notifications A propos des journaux 210Type de journal Contenus et actions Le journal d'Analyse contient des informations sur l'activité d'analyse antivirus et antispyware. Les informations disponibles incluent des éléments tels que le nom d'ordinateur, l'adresse IP, l'état, le moment de l'analyse, sa durée et ses résultats. Aucune action n'est associée à ces journaux. Analyse Les journaux système contiennent des informations sur des événements tels que le démarrage etl'arrêt des services. Les informations disponibles incluent des éléments tels que le moment et le type des événements ; le site, le domaine et le serveur impliqués ; et la gravité. Les journaux système suivants sont disponibles : ¦ Administratif ¦ Activité client-serveur ¦ Activité serveur ¦ Activité client ¦ Activité Enforcer Aucune action n'est associée à ces journaux. Système La liste Etat de la commande contient des informations sur l'état des commandes que vous avez exécutées à partir de la console. Elle inclut des informations telles que la date d'exécution de la commande, qui les a émises et une description de la commande. Elle inclut également l'état d'avancement de la commande et les clients affectés par la commande. Liste Etat de la commande La liste Notifications contient des informations sur des événements de notification. De tels événements incluent des informations telles que la date et l'heure de la notification. Elle inclut également si la notification a été reconnue, qui l'a créée, son sujet et le message. Aucune action n'est associée à ces journaux. Remarque : Le journal de Notifications est accessible à partir de l'onglet Notifications à la page Contrôles, et non à partir de l'onglet Journaux. Se reporter à "Affichage et filtrage des informations de notification administrateur" à la page 230. Liste Notifications Utiliser l'onglet Résumé de la page Contrôleurs L'onglet Résumé de la page Contrôleurs affiche des résumés concis et évolués des données de journal importantes pour vous donner une vision immédiate de l'état de sécurité. Vous pouvez afficher les résumés suivants dans l'onglet Résumé : Affichage et configuration des journaux et des notifications 211 Utiliser l'onglet Résumé de la page Contrôleurs¦ Protection antivirus et antispyware ¦ Protection contre les menaces réseau ¦ Conformité ¦ Etat de site Tableau 11-2 liste le contenu des vues récapitulatives. Tableau 11-2 Vues résumées et contenu Vue résumée Contenu La vue Antivirus contient les informations suivantes : ¦ Menaces proactives TruScan ¦ Distribution des risques ¦ Nouveaux risques ¦ Distribution des risques par source ¦ Distribution des risques par attaquant ¦ Distribution des risques par groupe Remarque : Les nouveaux risques sont évalués à partir du dernier balayage de la base de données et pour la période configurée sur l'onglet Page d'accueil et Contrôleurs des Préférences. Se reporter à "A propos des options d'affichage Domicile et Contrôles" à la page 168. Par exemple, supposons que votre intervalle de temps dans Préférences soit défini sur la valeur par défaut (dernières 24 heures). Et supposons que votre base de données soit définie pour un balayage chaque dimanche soir avec suppression des risques âgés de plus de trois jours. Si un virus particulier infecte un ordinateur de votre réseau le lundi, cela est signalé comme nouveau risque. Si un autre ordinateur est infecté par le même virus le mercredi, cela n'est pas reflété dans ce compteur. Si ce même virus infecte un ordinateur de votre réseau le lundi suivant, il est signalé ici comme nouvellement infecté. Il est signalé en tant que nouveau parce qu'il s'est produit pendant les dernières 24 heures, alors que la base de données a été nettoyée le dimanche des entrées remontant à plus de trois jours. Les détections précédentes de risques se sont produites il y a plus de trois jours et ont donc été supprimées de la base de données. Antivirus Affichage et configuration des journaux et des notifications Utiliser l'onglet Résumé de la page Contrôleurs 212Vue résumée Contenu La vue de la protection contre les menaces réseau contient les informations suivantes : ¦ Principales cibles attaquées par groupe ¦ Types d'événements d'attaque ¦ Principales sources d'attaque ¦ Evénements de sécurité par gravité Protection contre les menaces réseau La vue de conformité contient les informations suivantes : ¦ Echec d'état de conformité du réseau ¦ Distribution d'état de conformité ¦ Résumé des clients par échec de conformité ¦ Détails d'échec de conformité Remarque : Si Symantec Network Access Control n'est pas installé, la vue de conformité ne contient aucune données. Conformité La vue d'état de site contient les informations suivantes : ¦ Etat de site ¦ Principaux générateurs d'erreurs par serveur ¦ Principaux générateurs d'erreurs par client ¦ Echecs de réplication dans le temps ¦ Principaux générateurs d'erreurs par Enforcer Remarque : Si Symantec Network Access Control n'est pas installé, les principaux générateurs d'erreurs par Enforcer ne contiennent aucune donnée. Etat de site Si Symantec Network Access Control est seul installé, vous devriez noter les informations suivantes : ¦ La vue de conformité décrite dans Tableau 11-2 comporte votre page d'accueil. ¦ L'état de site est la seule vue disponible dans votre onglet Résumé. Vous pouvez cliquer sur les diagrammes circulaires de l'onglet Résumé pour afficher plus de détails. Pour les principales cibles attaquées par résumé sous Protection contre les menaces réseau, utilisez la zone de liste pour consulter le résumé par groupes, sous-réseaux, clients ou ports. Affichage et configuration des journaux et des notifications 213 Utiliser l'onglet Résumé de la page ContrôleursRemarque : Si seul Symantec Endpoint Protection est installé, les diagrammes dans la vue récapitulative de conformité sont vides. Si seul Symantec Network Access Control estinstallé, l'onglet Résumé contient seulementla vue Etat de site. Vous pouvez afficher les informations récapitulatives de conformité sur la page d'accueil. Pour modifier le type de sommaire 1 Dans la fenêtre principale, cliquez sur Contrôleurs. 2 En haut de l'ongletRésumé, dans la zone de liste Type de résumé, sélectionnez le type de vue que vous voulez consulter. Affichage des journaux Vous pouvez générer une liste des événements à afficher à partir des journaux basés sur des paramètres de filtrage particuliers. Chaque type de journal et de contenu est associé à une configuration de filtre par défaut que vous pouvez utiliser tel quel ou sous une forme modifiée. Vous pouvez également créer et enregistrer de nouvelles configurations de filtre. Ces nouveaux filtres peuvent être basés sur le filtre par défaut ou sur un filtre que vous avez créé précédemment. Si vous enregistrez une configuration de filtre, vous pouvez la restaurer ultérieurement dans lamême vue de journal. Cela vous évite de devoir reconfigurer les paramètres à chaque fois. Vous pouvez supprimer vos configurations de filtre personnalisées si elles ne vous sont plus utiles. Se reporter à "Enregistrement et suppression des filtres" à la page 217. Remarque : Si des erreurs de base de données se produisent lorsque vous affichez des journaux comprenant de nombreuses données, vous pouvez modifier les paramètres d'expiration de la base de données. Se reporter à "Modification des paramètres d'expiration" à la page 331. Si des erreurs de CGI ou de processus arrêtés surviennent, vous pouvez modifier d'autres paramètres d'expiration. Pour plus d'informations sur ces paramètres d'expiration supplémentaires, reportez-vous à l'article de la base de connaissances Symantec intitulé "Reporting server does not report or shows a timeout error message when querying large amounts of data (Le serveur Reporting ne génère pas de rapport ou affiche un message d'erreur signalant un dépassement de délai)". Etant donné que certaines des informations contenues dans les journaux sont collectées à intervalles réguliers, vous pouvez actualiser vos vues de journal. Pour Affichage et configuration des journaux et des notifications Affichage des journaux 214configurer la fréquence d'actualisation d'un journal, affichez le journal de votre choix et sélectionnez une option dans la zone de liste Actualisation automatique qui se trouve dans la partie supérieure droite de la vue du journal. Remarque : Si vous affichez des données de journal pour des dates particulières, la fonction d'actualisation automatique n'a alors aucun effet. Les données restent toujours les mêmes. Pour obtenir une description de chaque option configurable, vous pouvez cliquer sur En savoir plus pour ce type de rapport sur la console. Vous accédez alors à l'aide contextuelle. Remarque : Les champs d'option de filtre qui acceptent des caractères génériques et recherchent des correspondances ne fait aucune distinction entre majuscules et minuscules. Le caractère astérisque ASCII est le seul astérisque qui puisse être utilisé comme caractère générique. Pour afficher un journal 1 Dans la fenêtre principale, cliquez sur Contrôles. 2 Sous l'onglet Journaux, dans la zone de liste Type de journal, sélectionnez le type de journal que vous souhaitez afficher. 3 Pour certains types de journaux, une liste de contenu de journal apparaît. Si elle apparaît, sélectionnez le contenu que vous voulez afficher. 4 Dans la liste Utiliser un filtre sauvegardé, sélectionnez un filtre sauvegardé ou laissez la valeur par défaut. 5 Sélectionnez une heure dans la liste Plage horaire ou laissez la valeur par défaut. Si vous sélectionnez Définirdesdates spécifiques, vous devez définir la ou les dates et heures dont vous souhaitez afficher les entrées. 6 Cliquez sur Paramètres avancés pour limiter le nombre d'entrées à afficher. Vous pouvez également définir les autres Paramètres avancés disponibles pour le type de journal que vous avez sélectionné. 7 Une fois que vous avez obtenu la configuration de vue souhaitée, cliquez sur Afficher le journal. La vue de journal apparaît dans la même fenêtre. Affichage des détails des événements dans les journaux Vous pouvez afficher les détails des événements stockés dans les journaux. Affichage et configuration des journaux et des notifications 215 Affichage des journauxPour afficher les détails d'un événement 1 Dans la fenêtre principale, cliquez sur Contrôles. 2 Sous l'onglet Journaux, dans la zone de liste Type de journal, sélectionnez le type de journal que vous souhaitez afficher. 3 Pour certains types de journaux, une liste de contenu de journal apparaît. Si elle apparaît, sélectionnez le contenu que vous voulez afficher. 4 Cliquez sur Afficher le journal. 5 Cliquez sur l'événement dont vous souhaitez afficher les détails, puis cliquez sur Détails. Afficher les journaux d'autres sites Si vous voulez afficher les journaux d'un autre site, vous devez vous connecter à un serveur du site distant depuis la console. Si vous avez un compte sur un serveur du site distant, vous pouvez ouvrir une session à distance et afficher les journaux du site. Si vous avez configuré des partenaires de réplication, vous pouvez choisir que tous les journaux des partenaires de réplication soient copiés sur le partenaire local et vice versa. Se reporter à "Réplication des journaux" à la page 343. Si vous choisissez de répliquer des journaux, vous voyez par défaut à la fois les informations de votre site et celles des sites répliqués quand vous affichez n'importe quel journal. Si vous voulez consulter un unique site, vous devez filtrer les données pour les limiter à l'emplacement que vous voulez afficher. Remarque : Si vous choisissez de répliquer des journaux, soyez sûr que vous avez le suffisamment d'espace disque pour les journaux supplémentaires de tous les partenaires de réplication. Affichage et configuration des journaux et des notifications Affichage des journaux 216Pour afficher les journaux d'un autre site 1 Ouvrez un navigateur Web. 2 Tapez le nom ou l'adresse IP du serveur et le numéro de port, 9090, dans la zone d'adresse comme suit : http://192.168.1.100:9090 La console effectue alors le téléchargement. L'environnement d'exécution Java 2 (JRE) doit être installé sur l'ordinateur depuis lequel vous vous connectez. Si ce n'est pas le cas, vous êtes invité à télécharger et à installer le JRE. Suivez les invites pour installer le JRE. Se reporter à "Connexion à Symantec Endpoint Protection Manager" à la page 43. 3 Dans la boîte de dialogue d'ouverture de session de la console, tapez votre nom d'utilisateur et votre mot de passe. 4 Dans la zone de texte Serveur, si elle ne se remplit pas automatiquement, tapez le nom ou l'adresse IP du serveur et le numéro de port 8443 comme suit : http://192.168.1.100:8443 5 Cliquez sur Connexion. Enregistrement et suppression des filtres Vous pouvez construire des filtres personnalisés à l'aide des Paramètres de base et des Paramètres avancés, lesquels vous permettent demodifier les informations que vous souhaitez consulter. Vous pouvez enregistrer vos paramètres de filtre sur la base de données afin de pouvoir restaurer cettemême vue à l'avenir. Lorsque vous enregistrez vos paramètres, ceux-ci sont enregistrés dans la base de données. Le nom que vous attribuez au filtre apparaît dans la zone de liste Utilisez un filtre sauvegardé pour le type de journal et de rapport appropriés. Affichage et configuration des journaux et des notifications 217 Enregistrement et suppression des filtresRemarque : Si vous sélectionnez Dernières 24 heures comme plage horaire pour un filtre de journal, la plage horaire de 24 heures débute lorsque vous sélectionnez le filtre pour la première fois. Si vous actualisez la page, le point de départ de l'intervalle de 24 heures n'est pas réinitialisé. Si vous sélectionnez le filtre et décidez d'afficher un journal, la plage horaire débute lorsque vous sélectionnez le filtre et non pas lorsque vous affichez le journal. Si vous souhaitez que la plage horaire Dernières 24 heures débute immédiatement, sélectionnez une autre plage horaire, puis resélectionnez le filtre Dernières 24 heures. Pour enregistrer un filtre 1 Dans la fenêtre principale, cliquez sur Contrôles. 2 Dans l'ongletJournaux, sélectionnez le type d'affichage de journal pour lequel vous souhaitez configurer un filtre dans la zone de liste Type de journal. 3 Pour certains types de journaux, une liste de contenu de journal apparaît. Si elle apparaît, sélectionnez le contenu pour lequel vous souhaitez configurer un filtre. 4 Dans la zone de liste Utilisez un filtres sauvegardé, sélectionnez le filtre à partir duquel vous souhaitez démarrer. Vous pouvez sélectionner le filtre par défaut, par exemple. 5 Sous Quels paramètres de filtrage voulez-vous utiliser ?, cliquez sur Paramètres avancés. 6 Modifiez les paramètres selon vos besoins. 7 Cliquez sur Enregistrer le filtre. 8 Dans la boîte de dialogue qui apparaît, dans la zone Nom de filtre, tapez le nom à utiliser pour cette configuration de filtre de journal. Seuls les 32 premiers caractères du nom s'affichent lorsque le filtre sauvegardé est ajouté à la liste des filtres. 9 Cliquez sur OK. Votre nouveau nom de filtre est ajouté à la zone de liste Utilisez un filtre sauvegardé. 10 Lorsque la boîte de dialogue de confirmation s'affiche, cliquez sur OK. Affichage et configuration des journaux et des notifications Enregistrement et suppression des filtres 218Pour supprimer un filtre sauvegardé 1 Dans la zone de liste Utilisez un filtre sauvegardé, sélectionnez le nom du filtre de journal à supprimer. 2 En regard de la zone de liste Utilisez un filtre sauvegardé, cliquez sur l'icône Supprimer. 3 Vous êtes alors invité à confirmer la suppression du filtre. Cliquez sur Oui. A propos des noms de filtre dupliqués Le stockage de filtre est basé en partie sur le créateur, ainsi aucun problème ne se pose quand deux utilisateurs différents créent un filtre avec le même nom. Cependant, un utilisateur ou deux utilisateurs qui se connectent au compte "admin" par défaut ne doivent pas créer des filtres avec le même nom. Si les utilisateurs créent des filtres avec le même nom, un conflit peut se produire dans deux conditions : ¦ Deux utilisateurs sont connectés au compte "admin" par défaut sur différents sites et chacun d'eux crée un filtre avec le même nom. ¦ Un utilisateur crée un filtre, se connecte à un site différent et crée immédiatement un filtre avec le même nom. Si l'une ou l'autre condition se produit avant que la réplication de site ait lieu, deux filtres avec le même nom s'affichent alors dans la liste des filtres. Seul l'un des filtres est utilisable. Si ce problème se pose, la meilleure action consiste à supprimer le filtre utilisable et à le recréer avec un nom différent. Si vous supprimez le filtre utilisable, vous supprimez également le filtre inutilisable. Paramètres de filtrage de base pour les journaux La plupart des journaux ont les mêmes paramètres de base. Tableau 11-3 décrit les paramètres de base communs à la plupart des journaux. Affichage et configuration des journaux et des notifications 219 Paramètres de filtrage de base pour les journauxTableau 11-3 Paramètres de base des journaux Paramètre Description Spécifie le type de journal que vous voulez afficher. Sélectionnez parmi les types suivants : ¦ Contrôle des application et des périphériques ¦ Audit ¦ Conformité ¦ Etat de l'ordinateur ¦ Protection contre les menaces réseau ¦ Analyse proactive des menaces TruScan ¦ Risque ¦ Analyse ¦ Système Type de journal S'il existe plusieurs journaux de ce type, vous pouvez sélectionner le type de contenu de journal que vous voulez afficher. Contenu du journal Spécifie le filtre que vous voulez utiliser pour créer la vue du journal. Vous pouvez utiliser le filtre par défaut ou un filtre personnalisé que vous avez nommé et enregistré pour afficher des informations du journal. Utiliser un filtre enregistré Spécifie l'intervalle de temps des événements que vous voulez afficher dans le journal. Sélectionnez une des périodes suivantes : ¦ Les dernières 24 heures ¦ La semaine dernière ¦ Le mois dernier ¦ Le mois en cours ¦ Les trois derniers mois ¦ L'année dernière ¦ Définir des dates spécifiques Plage horaire Chaque journal a des paramètres avancés qui lui sont spécifiques. Cliquez sur Paramètres avancés et Paramètres de base pour alterner entre les deux. Paramètres avancés Affichage et configuration des journaux et des notifications Paramètres de filtrage de base pour les journaux 220Paramètres avancés de filtre pour les journaux Les paramètres avancés apportent un contrôle supplémentaire sur les données que vous voulez afficher.Ils sont spécifiques selon le type etle contenu du journal. Si vous avez des ordinateurs dans votre réseau qui exécutent des versions héritées de Symantec AntiVirus, quand vous utilisez des filtres de journal, la terminologie suivante s'applique : ¦ Les groupes de serveurs hérités sont classés comme des domaines ¦ Les groupes de clients hérités sont classés comme des groupes ¦ Les serveurs parents hérités sont classés comme des serveurs Remarque :Vous ne pouvez pas filtrer sur les données héritées de Symantec Client Firewall pour les signatures de prévention d'intrusion. Pour consulter les versions de signature qui s'exécutent sur un ordinateur, vous pouvez accéder au journal d'état de l'ordinateur. Sélectionnez un ordinateur sur lequel Symantec Client Firewall est installé, puis cliquez sur Détails. Le champ de version IDS contient ces informations. Pour obtenir une description de chaque option configurable, vous pouvez cliquer sur plus d'infos pour ce type de connexion à la console. Vous accédez alors à l'aide contextuelle. Exécuter des commandes et des actions à partir des journaux Depuis le journal d'état de l'ordinateur, vous pouvez exécuter plusieurs commandes sur des clients sélectionnés. Vous pouvez également cliquer avec le bouton droit de la souris sur un groupe directement dans la page client de la console pour exécuter des commandes. L'ordre dans lequel les commandes et les actions sont traitées sur le client diffère selonla commande.Indépendamment d'où la commande estlancée,les commandes et les actions sont traitées de la même manière. Pour plus d'informations au sujet des options que vous pouvez définir quand vous exécutez des commandes, dans la console dans l'onglet Journaux, vous pouvez cliquer sur Plus d'infos. Vous accédez alors à l'aide contextuelle. Depuis l'onglet Etat de la commande, vous pouvez afficher l'état des commandes que vous avez exécutées depuis la console etleurs détails.Vous pouvez également annuler une analyse spécifique depuis cet onglet si l'analyse est en cours. Affichage et configuration des journaux et des notifications 221 Paramètres avancés de filtre pour les journauxVous pouvez annuler toutes les analyses en cours et en attente pour les clients sélectionnés depuis le journal d'état de l'ordinateur. Si vous confirmez la commande, le tableau est actualisé et vous voyez la commande d'annulation ajoutée au tableau d'état de commande. Remarque : Si vous exécutez la commande d'analyse et sélectionnez une analyse personnalisée, l'analyse utilise les paramètres d'analyse de commande que vous avez configurés sur la page Analyse définie par l'administrateur. La commande utilise les paramètres de la politique antivirus et antispyware appliquée aux clients sélectionnés. Si vous exécutez une commande Redémarrer l'ordinateur depuis un journal, la commande est envoyée immédiatement. Si des utilisateurs sont connectés au client, ils sont avertis du redémarrage selon les options que l'administrateur a configurées pour ce client. Vous pouvez configurer des options de redémarrage de client dans l'onglet Paramètres généraux de la boîte de dialogue Paramètres généraux sous Paramètres à la page Clients. Les journaux suivants vous permettent d'ajouter des exceptions à une politique d'exceptions centralisées : ¦ Journal de contrôle d'application ¦ Journal TruScan Proactive Threat Scan ¦ Journal de risque Se reporter à "Création d'exceptions centralisées à partir des événements de journal" à la page 622. Pour ajouter n'importe quel type d'exception depuis un journal, vous devez avoir déjà créé une politique d'exceptions centralisées. Se reporter à "Configurationd'une politique d'exceptions centralisées" à la page 615. Depuis le journal de risque, vous pouvez également supprimer des fichiers de la quarantaine. Si Symantec Endpoint Protection détecte des risques dans un fichier compressé, le fichier compressé est tout entier mis en quarantaine. Cependant, le journal de risque contient une entrée séparée pour chaque fichier du fichier compressé.Vous ne pouvez pas utiliser la commande Supprimer de la quarantaine du journal de risque pour supprimer seulement les fichiers infectés de la quarantaine. Pour supprimer le(s) risque(s) avec succès, vous devez sélectionner tous les fichiers du fichier compressé avant d'utiliser la commande Supprimer de la quarantaine. Affichage et configuration des journaux et des notifications Exécuter des commandes et des actions à partir des journaux 222Remarque : Pour sélectionner les fichiers dans le fichier compressé, vous devez les afficher tous dans la vue de journal. Vous pouvez utiliser l'option Limite dans les paramètres avancés du filtre du journal des risques pour augmenter le nombre d'entrées à afficher. Pour supprimer des fichiers de la quarantaine depuis le journal de risque 1 Cliquez sur Contrôles. 2 Dans l'onglet Journaux, dans la zone de liste Type de journal, sélectionnez le journal de risque, puis cliquez sur Afficher le journal. 3 Sélectionnez dans le journal une entrée qui a un fichier en quarantaine. 4 Dans la liste Action, sélectionnez Supprimer de la quarantaine. 5 Cliquez sur Démarrer. 6 Dans la boîte de dialogue qui s'affiche, cliquez sur Supprimer. 7 Dans la boîte de dialogue de confirmation, cliquez sur OK. Pour supprimer un fichier compressé de la quarantaine depuis le journal de risque 1 Cliquez sur Indicateurs. 2 Dans l'onglet Journaux, dans la zone de liste Type de journal, sélectionnez le journal de risque, puis cliquez sur Afficher le journal. 3 Sélectionnez toutes les entrées de fichier dans le fichier compressé. Vous devez voir toutes les entrées du fichier compressé dans la vue de journal. Vous pouvez utiliser l'optionLimiter sous Paramètres avancés pour augmenter le nombre d'entrées dans la vue. 4 Dans la zone de listeAction, sélectionnez Supprimer de lamise en quarantaine. 5 Cliquez sur Démarrer. 6 Dans la boîte de dialogue qui apparaît, cliquez sur Supprimer. 7 Dans la boîte de dialogue de confirmation qui apparaît, cliquez sur OK. Pour exécuter une commande depuis le journal d'état de l'ordinateur 1 Cliquez sur Indicateurs. 2 Dans l'onglet Journaux, dans la zone de liste Type de journal, sélectionnez Etat de l'ordinateur. 3 Cliquez sur Afficher le journal. 4 Sélectionnez une commande dans la zone de liste Opération. Affichage et configuration des journaux et des notifications 223 Exécuter des commandes et des actions à partir des journaux5 Cliquez sur Démarrer. S'il y a des choix de paramètres pour la commande que vous avez sélectionnée, une nouvelle page paraît pour configurer les paramètres appropriés. 6 Une fois la configuration terminée, cliquez sur Oui ou sur OK. 7 Dans la boîte de message de confirmation de commande qui apparaît, cliquez sur Oui. 8 Dans la boîte de dialogue Message, cliquez sur OK. Si la commande n'est pas mise en attente avec succès, vous devrez peut-être répéter cette procédure. Vous pouvez vérifier si le serveur est en panne. Si la console a perdu la connectivité avec le serveur, vous pouvez fermer la session de console puis rouvrir une session pour essayer de résoudre le problème. Pour afficher les détails d'état de commande 1 Cliquez sur Indicateurs. 2 Dans l'onglet Etat de la commande, sélectionnez une commande dans la liste puis cliquez sur Détails. Pour annuler une analyse spécifique en cours 1 Cliquez sur Indicateurs. 2 Dans l'onglet Etat de la commande, cliquez sur l'icone Annuler l'analyse dans la colonne Commande de la commande d'analyse que vous voulez annuler. 3 Quand la confirmation de réussite pour la mise en file d'attente de la commande s'affiche, cliquez sur OK. Pour annuler toutes les analyses en cours et en attente 1 Cliquez sur Indicateurs. 2 Dans l'onglet Journaux, dans la zone de liste Type de journal, sélectionnez Etat de l'ordinateur. 3 Cliquez sur Afficher le journal. 4 Sélectionnez les ordinateurs dans la liste, puis Tout annuler dans la liste des commandes. 5 Cliquez sur Démarrer. 6 Quand la boîte de dialogue de confirmation apparaît, cliquez sur Oui pour annuler toutes les analyses en cours et en attente pour les ordinateurs sélectionnés. 7 Lorsqu'un message apparaît pour confirmer que la commande a été mise en file d'attente, cliquez sur OK. Affichage et configuration des journaux et des notifications Exécuter des commandes et des actions à partir des journaux 224A propos de la réduction du volume d'événements envoyés aux journaux Vous pouvez réduire le nombre d'événements qui sont envoyés aux journaux antivirus et antispyware en configurant les paramètres de traitement de journal. Ces options sont configurées pour chaque politique antivirus et antispyware. Se reporter à "Définir des paramètres de gestion des journaux dans une politique antivirus et antispyware" à la page 432. Exportation des données de journal Vous avez plusieurs choix pour exporter les données de vos journaux.Vous pouvez exporter les données de certains journaux vers un fichier texte délimité par des virgules.Vous pouvez exporter les données d'autres journaux vers un fichier texte délimité par des tabulations qui est appelé fichier de vidage mémoire ou vers un serveur Syslog. L'exportation des données du journal est utile si vous voulez regrouper tous les journaux de votre réseau entier dans un emplacement centralisé. L'exportation des données du journal est également utile si vous voulez utiliser un programme tiers tel qu'un tableur pour organiser ou manipuler les données. Vous pouvez également exporter les données de vos journaux avant d'en supprimer les enregistrements. Quand vous exportez les données du journal vers un serveur Syslog, vous devez configurer le serveur Syslog pour recevoir ces journaux. Pour transférer des journaux vers un programme tiers, ce dernier doit être installé et sur le réseau. Par exemple, vous pouvez utiliserMicrosoft Excel pour ouvrir les fichiers journaux exportés. Chaque champ apparaît dans une colonne séparée, un enregistrement séparé du journal sur chaque ligne. Remarque : Vous ne pouvez pas restaurer la base de données en utilisant les données exportées du journal. Exportation de données de journal vers un fichier texte Lorsque vous exportez des données des journaux dans un fichier texte, les fichiers sont placés par défaut dans le dossier:\Program Files\Symantec\Symantec Endpoint ProtectionManager\data\dump . Des entrées sont placées dans un fichier .tmp jusqu'à ce que les enregistrements soient transférés vers le fichier texte. Si vous n'installez pas Symantec NetworkAccess Control, certains de ces journaux n'existent pas. Affichage et configuration des journaux et des notifications 225 A propos de la réduction du volume d'événements envoyés aux journauxTableau 11-4 affiche la correspondance des types de données de journal avec les noms des fichiers de données de journal exportés. Tableau 11-4 Noms de fichiers texte de journal pour Symantec Endpoint Protection Données de journal Nom de fichier texte Administration de serveur scm_admin.log Contrôle des applications du serveur agt_behavior.log Client serveur scm_agent_act.log Politique serveur scm_policy.log Système serveur scm_system.log Paquet client agt_packet.log Menace proactive client agt_proactive.log Risque client agt_risk.log Analyse client agt_scan.log Sécurité client agt_security.log Système client agt_system.log Trafic client agt_traffic.log Remarque : Les noms de journaux dans Tableau 11-4 ne correspondent pas respectivement aux noms de journaux qui sont utilisés dans l'onglet Journaux de la page Contrôles. Tableau 11-5 affiche la correspondance des types de données de journal avec les noms des fichiers de données de journal exportés pour les journaux d'Enforcer. Tableau 11-5 Noms de fichiers texte de journal supplémentaires pour Symantec Network Access Control Données de journal Nom de fichier texte Activité du serveur Enforcer scm_enforcer_act.log Activité de client Enforcer enf_client_act.log Système Enforcer enf_system.log Affichage et configuration des journaux et des notifications Exportation des données de journal 226Données de journal Nom de fichier texte Trafic Enforcer enf_traffic.log Remarque : Quand vous exportez des données de journal vers un fichier texte, le nombre d'enregistrements exportés peut différer du nombre que vous avez défini dans la boîte de dialogue Consignation externe. Cette situation apparaît lorsque vous redémarrez le serveur de gestion. Après que vous ayez redémarré le serveur de gestion, le compte d'entrée de journal se réinitialise à zéro, mais il peut déjà y avoir des entrées dans les fichiers journaux temporaires. Dans cette situation, le premier fichier *.log de chaque type qui est généré après le redémarrage contient plus d'entrées que la valeur spécifiée. Tous les fichiers journaux qui sont ultérieurement exportés contiennent le nombre correct d'entrées. Pour plus d'informations sur les options que vous pouvez définir dans cette procédure, vous pouvez cliquer sur Aide sur la console pour l'onglet Général. Pour l'exportation des données de journal vers un fichier de vidage 1 Dans la console, cliquez sur Admin. 2 Cliquez sur Serveurs. 3 Cliquez sur le site local ou le site à distance dont vous voulez configurer la consignation externe. 4 Cliquez sur Configurer la consignation externe. 5 Sur l'onglet Général, sélectionnez la fréquence à laquelle vous voulez que les données de journal soient envoyées au fichier. 6 Sélectionnez le serveur principal de consignation qui devra prendre en charge la consignation externe. Si vous utilisezMicrosoft SQL avec plus d'un serveur de gestion se connectant à la base de données, un seul serveur doit être serveur principal de consignation. 7 Cocher Exporter les journaux vers un fichier de vidage. 8 Au besoin, cochez Limiter les enregistrements du fichier de vidage et tapez le nombre d'entrées que vous voulez envoyer à la fois au fichier texte. Affichage et configuration des journaux et des notifications 227 Exportation des données de journal9 Dans l'onglet Filtre de journal, sélectionnez tous les journaux que vous désirez envoyer aux fichiers texte. Si un type de journal que vous sélectionnez vous permet de sélectionner le niveau de gravité, vous devez cocher les niveaux de gravité que vous voulez enregistrer. Tous les niveaux que vous sélectionnez sont enregistrés. 10 Cliquez sur OK. L'exportation de données vers un serveur Syslog Vous pouvez configurer Symantec Endpoint Protection pour envoyer les données de journal à partir de certains journaux à un serveur Syslog. Remarque : N'oubliez pas de configurer votre serveur Syslog pour recevoir les données de journal. Pour plus d'informations sur les options que vous pouvez définir dans cette procédure, cliquez sur Aide sur la console pour accéder à l'onglet Général. Pour exporter des données de journal vers un serveur Syslog 1 Dans la console, cliquez sur Administration. 2 Cliquez sur Serveurs. 3 Cliquez sur le site local ou le site à distance à partir duquel vous souhaitez exporter des données de journal. 4 Cliquez sur Configurer la consignation externe. 5 Sur onglet Général, sélectionnez la fréquence à laquelle vous voulez que les données de journal soient envoyées au fichier. 6 Sélectionnez le serveur qui devra prendre en charge la consignation externe. Si vous utilisez Microsoft SQL et si vous avez plusieurs serveurs de gestion connectés à la base de données, vous n'avez besoin que d'un seul serveur qui soit serveur principal de consignation. 7 Cochez Activer la transmission des journaux à un Serveur Syslog. 8 Configurez selon vos préférences les champs suivants : ¦ Serveur Syslog : Entrez l'adresse IP ou le nom de domaine du serveur Syslog qui doit recevoir les données de journal. ¦ Port de destination UDP : Affichage et configuration des journaux et des notifications Exportation des données de journal 228Entrez le port de destination utilisé par le serveur Syslog pour écouter les messages Syslog ou utilisez le paramètre par défaut. ¦ Service de journal : Entrez le numéro du service de journal qui sera utilisé dans le fichier de configuration Syslog ou utilisez le paramètre par défaut. Les valeurs valides sont comprises entre 0 et 23. 9 Dans l'onglet Filtre de journal, sélectionnez tous les journaux que vous voulez envoyer aux fichiers texte. Si un type de journal que vous sélectionnez vous permet de choisir le niveau de gravité, cochez les niveaux de gravité que vous voulez enregistrer. 10 Cliquez sur OK. Exportation des données de journal vers un fichier texte délimité par des virgules Vous pouvez exporter les données des journaux vers un fichier texte délimité par des virgules. Pour exporter des journaux vers un fichier texte délimité par des virgules 1 Dans la console, cliquez sur Contrôles. 2 Dans l'onglet Journaux, sélectionnez le journal à exporter. 3 Modifiez les Paramètres de base ou les Paramètres avancés. 4 Cliquez sur Afficher le journal. 5 Cliquez sur Exporter. 6 Dans la nouvelle fenêtre qui s'affiche, cliquez sur le menu Fichier, puis sur Enregistrer sous. 7 Si vous êtes invité à continuer, cliquez sur Oui. 8 Dans la fenêtre Enregistrer la page Web qui apparaît, utilisez la zone de liste Enregistrer dans pour rechercher le répertoire dans lequel vous souhaitez enregistrer le fichier. 9 Dans la zone de texte Nom du fichier, tapez le nom de fichier à utiliser. 10 Pour enregistrer les données brutes, dans la zone de liste Type, remplacez le type par Fichier texte (*.txt). 11 Cliquez sur Enregistrer pour exporter les données vers le fichier. Affichage et configuration des journaux et des notifications 229 Exportation des données de journalUtilisation des notifications Les notifications sont des messages au sujet des événements de sécurité qui ont eu lieu dans votre réseau. Vous pouvez configurer une multiplicité de types de notifications. Certaines notifications sont adressées aux utilisateurs et certaines notifications sont adressées aux administrateurs. Vous pouvez configurer les actions de notification suivantes pour alerter les administrateurs ou autres utilisateurs spécifiques lorsque certaines conditions en relation avec la sécurité sont remplies : ¦ Envoyer un courrier électronique. ¦ Exécuter un fichier batch ou un autre fichier exécutable. ¦ Consigner une entrée dans le journal des notifications de la base de données. Se reporter à "Création des notifications d'administrateur" à la page 231. Affichage et filtrage des informations de notification administrateur Vous pouvez afficher les informations du journal des notifications de la même façon que les informations qui sont contenues dans d'autres journaux.Vous pouvez filtrer le journal des notifications pour afficher des informations sur un seul type d'événement de notification à la fois. Vous pouvez filtrer l'affichage des notifications et enregistrer les filtres pour future référence. Vous pouvez filtrer le journal des notifications en fonction des critères suivants : ¦ Plage horaire ¦ Etat d'accusé de réception ¦ Type ¦ Créateur ¦ Nom Pour afficher toutes les notifications : 1 Dans la console, cliquez sur Clients. 2 Dans l'onglet Notifications, cliquez sur Afficher les notifications. La liste de tous les types de notifications apparaît. Pour filtrer l'affichage des notifications : 1 Dans la console, cliquez sur Indicateurs. 2 Dans l'onglet Notifications, sous le Quelsparamètresdefiltragevoulez-vous utiliser, cliquez sur Paramètres avancés. Affichage et configuration des journaux et des notifications Utilisation des notifications 2303 Définissez l'option de filtrage souhaitée. Vous pouvez filtrer sur n'importe quelle combinaison : intervalle de temps, état d'accusé de réception, type de notification, créateur ou nom spécifique de notification. 4 Cliquez sur Afficher les notifications. Une liste du type de notifications que vous avez sélectionnées apparaît. Directives de seuil pour les notifications d'administrateur Certains types de notification contiennent des valeurs par défaut quand vous les configurez. Ces directives fournissent des points de départ raisonnables selon la taille de votre environnement, mais qui peuvent devoir être ajustés. Des essais et erreurs peuvent être requis pour trouver le bon équilibre entre un trop grand nombre de notifications ettrop peu pour votre environnement. Définissez le seuil à une première limite, puis attendez quelques jours. Voyez si vous recevez des notifications trop rarement ou si les notifications vous inondent, vous ou votre réseau. Pour la détection des virus, des risques de sécurité et des événement de pare-feu, supposons que vous ayez moins de 100 ordinateurs dans un réseau. Un point de départ raisonnable pour ce réseau serait de configurer une notification quand deux événements de risque sont détectés dans un délai d'uneminute. Si vous avez 100 à 1000 ordinateurs, la détection de cinq événements de risque dans un délai d'une minute peut constituer un point de départ plus utile. Vous pouvez également vouloir être alerté quand les clients ont des définitions périmées. Vous pouvez vouloir être avisé de chaque client dont le fichier de définitions est périmé de plus de deux jours. Création des notifications d'administrateur Vous pouvez créer et configurer des notifications à déclencher quand certains événements en relation avec la sécurité se produisent. Vous pouvez configurer le logiciel pour prendre les mesures suivantes de notification : ¦ Consigner la notification dans la base de données. ¦ Envoyer un courrier électronique aux individus. Affichage et configuration des journaux et des notifications 231 Utilisation des notificationsRemarque : Pour envoyer des notifications par message électronique, vous devez également configurer un serveur demessagerie.Vous pouvez configurer un serveur demessagerie en utilisantl'onglet Serveur demessagerie de la page Serveurs Admin. ¦ Exécuter un fichier batch ou tout autre genre de fichier exécutable. La période d'atténuation par défaut des notifications est Auto (automatique). Si une notification est déclenchée et que l'état de déclenchement continue à exister, l'action de notification que vous avez configurée n'est pas exécutée de nouveau pendant 60minutes. Par exemple, supposons que vous définissiez une notification de sorte que vous être avisé par courrier électronique quand un virus infecte cinq ordinateurs dans un délai d'une heure. Si un virus continue à infecter vos ordinateurs à ce taux ou à un taux supérieur, Symantec Endpoint Protection vous en informe par courrier électronique toute les heures. Lesmessages électroniques continuent jusqu'à ce que la cadence ralentisse à moins de cinq ordinateurs par heure. Vous pouvez configurer le logiciel pour vous informer quand les types suivants d'événements se produisent : ¦ Echec d'authentification Les échecs de connexion déclenchent ce type de notification. Vous définissez le nombre d'échecs de connexion et la période qui doivent déclencher une notification. Symantec Endpoint Protection vous informe si le nombre d'échecs de connexion qui se produisent au cours de la période dépasse votre paramètre. Il signale le nombre d'échecs de connexion qui se sont produits. ¦ Modification de liste client Les modifications aux clients déclenchent ce type de notification. Les types de modifications qui peuvent déclencher cette notification incluent l'ajout, le mouvement, le changement de nom ou la suppression d'un client. Les possibilités supplémentaires sont que l'état du détecteur non géré d'un client, le mode client ou le matériel ont été modifiés. ¦ Alerte de sécurité client Vous pouvez choisir parmi les événements de conformité, de protection contre les menaces réseau, de trafic, de paquet, de contrôle de périphérique et de contrôle d'application. Vous pouvez également choisir le type et l'ampleur de la manifestation qui devrait déclencher cette notification et la période. Les types incluent des occurrences sur n'importe quel ordinateur, des occurrences sur un unique ordinateur ou des occurrences sur des ordinateurs distincts. Certains de ces types requièrent que vous activiez également la consignation dans la politique associée. Affichage et configuration des journaux et des notifications Utilisation des notifications 232¦ Enforcer est arrêté Un boîtier Enforcer hors ligne déclenche ce type de notification. La notification vous indique le nom de chaque module Enforcer, son groupe et la période de son dernier état. ¦ Forcé ou application commerciale détectée La détection d'une application de la liste des applications commerciales ou de la liste des applications à observer de l'administrateur déclenche cette notification. ¦ Nouvelle application apprise Les nouvelles applications apprises déclenchent ce type de notification. ¦ Nouveau risque détecté Les nouveaux risques déclenchent ce type de notification. ¦ Nouveau progiciel Les téléchargements de nouveaux progiciels déclenchent ce type de notification. ¦ Manifestation de risque Vous définissez le nombre et le type d'occurrences des nouveaux risques et la période qui devraient déclencher ce type de notification. Les types incluent des occurrences sur n'importe quel ordinateur, des occurrences sur un unique ordinateur ou des occurrences sur des ordinateurs distincts. ¦ Etats du serveur Les états de santé du serveur hors ligne, médiocre ou critique déclenchent cette notification. La notification liste le nom du serveur, l'état de santé, la raison et le dernier état. ¦ Evénement de risque unique La détection d'un unique événement de risque déclenche cette notification. La notification liste un certain nombre de détails au sujet du risque, incluant l'utilisateur etl'ordinateur impliqués etlamesure prise par Symantec Endpoint Protection. ¦ Evénement système Les événements système tels que les activités du serveur et d'Enforcer, les échecs de réplication, les problèmes de sauvegarde et de restauration et les erreurs système déclenchent cette notification. La notification liste le nombre d'événements de ce type qui ont été détectés. ¦ Ordinateur non géré Les ordinateurs non gérés déclenchent cette notification. La notification liste des détails tels que l'adresse IP, l'adresse MAC et le système d'exploitation pour chaque ordinateur. ¦ Définitions de virus périmées Affichage et configuration des journaux et des notifications 233 Utilisation des notificationsVous définissez le délai "périmé" en configurantla notification.Vous définissez le nombre d'ordinateurs et le nombre de jours dont les définitions de l'ordinateur doivent être âgées pour déclencher cette notification. En utilisant les paramètres Conditions de notification, vous pouvez configurer une alerte de sécurité client par occurrences sur n'importe quel ordinateur, un ordinateur unique ou des ordinateurs distincts.Vous pouvez également configurer ces options pour une manifestation de risque. Se reporter à "Configurer des notifications pour la protection contre les menaces réseau" à la page 542. Pour une description de chaque option configurable, vous pouvez cliquer sur Plus d'infos sur la console. Vous accédez alors à l'aide contextuelle. Remarque : Vous pouvez filtrer votre vue de Conditions de notification que vous avez créé en utilisant la zone de liste Afficher les types de notification. Pour être sûr que les nouvelles notifications que vous créez sont affichées, vérifiez que Tout est sélectionné dans cette zone de liste. Pour créer une notification 1 Dans la console, cliquez sur Contrôles. 2 Dans l'onglet Notifications, cliquez sur Conditions de notifications. 3 Cliquez sur Ajouter, puis sélectionnez le type de notification que vous voulez ajouter depuis la liste qui apparaît. 4 Dans la nouvelle fenêtre qui apparaît, dans la zone de texte Nom de la notification, tapez un nom descriptif. 5 Spécifiez les options de filtre que vous voulez. Par exemple, pour certains types de notifications, vous pouvez limiter la notification à des domaines, groupes, serveurs, ordinateurs, risques ou applications spécifiques. Affichage et configuration des journaux et des notifications Utilisation des notifications 2346 Spécifiez les paramètres de notification et les actions que vous voulez voir se produire quand cette notification est déclenchée. Vous pouvez cliquer sur Aide pour consulter des descriptions des options possibles pour tous les types de notifications. Si vous sélectionnez Envoyer un message électronique à comme action à effectuer, la notification par email dépend de l'option du nom d'utilisateur du serveur de messagerie. Le nom d'utilisateur configuré pour le serveur de messagerie dans la boîte de dialogue Propriétés de serveur doit être de la forme utilisateur@domaine. Si ce champ estlaissé vide, les notifications sont envoyées par SYSTEM@nom d'ordinateur. Si le serveur de notification a un nom utilisant des caractères sur deux octets (DBCS), vous devez spécifier le champ de nom d'utilisateur avec un nom de compte d'email de la forme utilisateur@domaine. Si vous sélectionnez Exécuter le fichier batch ou exécutable comme action à effectuer, tapez le nom du fichier. Les noms de chemin d'accès ne sont pas autorisés. Le fichier batch ou le fichier exécutable à exécuter doit se trouver dans le répertoire suivant : lecteur:\Program Files\Symantec\Symantec Endpoint Protection Manager\ bin 7 Cliquez sur OK. Vous pouvez vouloir créer une notification de protection contre lesmenaces réseau déclenchée quand un événement de trafic correspond aux critères définis pour une règle de filtrage. Pour créer ce type de notification, vous devez effectuer les tâches suivantes : ¦ Dans la liste Règles de politique de pare-feu, cochez l'option Envoyer une alerte par message électronique dans la colonne Consignation des règles à propos desquelles vous voulez être notifié. ¦ Dans l'onglet Notifications, configurez une alerte de sécurité client pour les événements de la protection contre lesmenaces réseau, de paquet ou de trafic. Pour créer une notification de protection contre les menaces réseau 1 Dans la console, cliquez sur Indicateurs. 2 Dans l'onglet Notifications, cliquez sur Conditions de notification. 3 Cliquez sur Ajouter et sélectionnez l'alerte de sécurité client. 4 Tapez un nom pour cette notification. 5 Si vous voulez limiter cette notification à des domaines, groupes, serveurs ou ordinateurs spécifiques, spécifiez les options de filtrage que vous voulez. 6 Sélectionnez un des types suivants de manifestation : Affichage et configuration des journaux et des notifications 235 Utilisation des notifications¦ Occurrences sur des ordinateurs distincts ¦ Occurrences sur tout ordinateur ¦ Occurrences sur ordinateur unique 7 Pour spécifier le type d'activité de protection contre les menaces réseau, cochez l'une des cases suivantes : ¦ Pour les attaques et les événements que le pare-feu ou la prévention d'intrusion détecte, cochez Evénementsdeprotectioncontrelesmenaces réseau. ¦ Pour les règles de filtrage qui sont déclenchées et enregistrées dans le journal des paquets, cochez Evénements de paquets. ¦ Pour les règles de filtrage qui sont déclenchées et enregistrées dans le journal du trafic, cochez Evénements de trafic. 8 Eventuellement,modifiez les conditions de notification par défaut pour définir le nombre d'occurrences dans le nombre de minutes que vous voulez voir déclencher cette notification. 9 Cochez Envoyer un message électronique à, puis tapez les adresses électroniques des personnes que vous voulez informer quand ces critères sont remplis. 10 Cliquez sur OK. L'option Envoyer une alerte par message électronique dans la colonne Consignation de la liste Règles de politique de pare-feu est maintenant opérationnelle. Quand cette notification est déclenchée, le courrier électronique est envoyé. Se reporter à "Configurer les messages électroniques pour les événements de trafic" à la page 544. A propos de la modification des notifications existantes Si vous modifiez les paramètres d'une notification existante, les entrées précédentes qu'elle a générées affichent des messages dans le journal des notifications en fonction des nouveaux paramètres. Si vous voulez conserver vos messages de notification précédents dans la vue du journal des notifications, ne modifiez les paramètres d'aucune notification existante. Au lieu de cela, créez une notification avec un nouveau nom. Ensuite, désactivez la notification existante en désélectionnant les actions que vous avez configurées sous Que doit-il se produire lorsque cette notification est déclenchée. Affichage et configuration des journaux et des notifications Utilisation des notifications 236Utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau Ce chapitre traite des sujets suivants : ¦ A propos de l'utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau ¦ A propos des virus et des risques de sécurité ¦ Recherche des clients hors ligne A propos de l'utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau Les rapports affichent un cliché statique d'informations sur vos clients et serveurs. Ils peuvent être programmés pour s'exécuter à intervalles spécifiques afin de fournir des informations pertinentes. Les journaux auxquels vous accédez à partir de la page Contrôles sont dynamiques et contiennent des informations plus spécifiques et détaillées, telles que les noms des ordinateurs et des utilisateurs. Un tel niveau de précision peut s'avérer utile pour mettre en évidence certains problèmes.Vous pouvez exécuter des commandes sur tous les clients d'un groupe pour certains journaux afin de résoudre ces problèmes immédiatement. Vous pouvez contrôler l'état des commandes à partir de l'onglet Etat de la commande. Chapitre 12Les notifications que vous pouvez configurer à partir de la page Contrôles vous permettent d'être averti en cas de problème.Vous pouvez utiliser une notification pour déclencher la résolution d'un problème en la configurant de manière à ce qu'elle exécute un fichier batch ou un fichier exécutable.Vous pouvez programmer l'envoi d'une notification lorsque certains événements se produisent ou atteignent un certain nombre d'occurrences. Vous pouvez obtenir des informations pertinentes à partir des journaux et des rapports de plusieurs manières. Supposez par exemple que vous souhaitez identifier les ordinateurs infectés sur votre réseau. La page d'accueil présente le nombre d'ordinateurs nouvellement infectés et encore infectés. Ce nombre vous indique immédiatement, dès que vous ouvrez une session sur la console, si des problèmes de sécurité ont été détectés sur votre réseau. Plusieursméthodes vous permettent d'obtenir des détails supplémentaires quant à ces ordinateurs. Vous pouvez notamment effectuer les opérations suivantes : ¦ Programmez le rapport rapide Ordinateurs infectés et à risque de façon à ce qu'il s'exécute chaquematin et qu'il soit vous soit envoyé, à vous ou à une autre personne. ¦ Construisez et enregistrez un filtre Rapports de risques comprenant des informations spécifiques sur les ordinateurs infectés. Exécutez un rapport rapide basé sur ce filtre chaque fois que vous remarquez sur la page d'accueil qu'un problème de sécurité s'est produit. Vous pouvez également créer un rapport programmé utilisant ce filtre et vous l'envoyer à vous-même ou à une autre personne. ¦ Accédez directement au journal des risques et affichez les événements d'infection. Vous pouvez utiliser le filtre par défaut ou créer un filtre basé sur les informations de votre choix avant de l'enregistrer. ¦ Personnalisez la page d'accueil pour modifier les rapports par défaut qui apparaissent dans la sectionRapports sur les favoris, si nécessaire.Vous pouvez utiliser un rapport rapide prédéfini ou un rapport basé sur un filtre personnalisé. Ces rapports s'exécutent généralementlorsque vous les affichez de sorte que les informations qu'ils contiennent sont toujours pertinentes. Quelle que soit votre approche, vous pouvez créer des rapports et des filtres de journal personnalisés. Ces filtres personnalisés peuvent être régulièrement utilisés pour contrôler ou éliminer les problèmes de sécurité présents sur votre réseau. Pour personnaliser des filtres, vous devez dans un premier temps identifier les informations que vous souhaitez voir apparaître dans le rapport ou le journal. Vous pouvez par exemple exécuter un rapport pour connaître les principaux risques de sécurité qui affectent votre réseau pendant une période donnée. S'il est établi que le principal risque présent sur votre réseau la semaine dernière était une attaque RPC, le rapport identifie alors les ordinateurs infectés. Vous pouvez Utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau A propos de l'utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau 238alors utiliser le journal des risques pour connaître les noms des ordinateurs qui ont été infectés par l'attaque RPC. Le journal des risques indique également les noms des utilisateurs qui étaient connectés à ces ordinateurs au moment de l'infection. A propos des informations des rapports et des journaux Contrôle d'application et Contrôle de périphérique Les journaux et les rapports Contrôle d'application et Contrôle de périphérique contiennent des informations sur les types suivants d'événements : ¦ L'accès à une entité d'ordinateur a été bloqué ¦ Un périphérique a tenu à l'écart du réseau Les fichiers, les clés de registre et les processus sont des exemples d'entités d'ordinateur. Les informations disponibles incluent des éléments tels que le moment et le type d'événement, la mesure prise, l'hôte et la règle impliqués. Elles incluent également le processus appellant impliqué. Ces journaux et ces rapports incluent des informations sur les politiques de contrôle d'application et de périphérique et la protection contre les interventions. Tableau 12-1 décrit les cas d'utilisation les plus courants pour le type d'informations que vous pouvez obtenir avec les rapports et les journaux de contrôle des applications et des périphériques. Tableau 12-1 Rapports rapides et résumé des journaux Contrôle d'application et Contrôle de périphérique Rapport ou journal Utilisations typiques Utilisez ce rapport pour vérifier quels groupes sontles plus vulnérables dans votre réseau. Journaux des principaux groupes avec le plus grand nombre d'alertes du contrôle d'application Utilisez ce rapport pour vérifier quels fichiers, processus et autres entités sont utilisés le plus souvent dans des attaques contre votre réseau. Principales cibles bloquées Utilisez ce rapport pour vérifier quels périphériques posent le plus de problèmes du point de vue de la sécurité de votre réseau. Principaux périphériques bloqués Utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau 239 A propos de l'utilisation des contrôleurs et des rapports pour la sécurisation de votre réseauRapport ou journal Utilisations typiques Utilisez ce journal pour consulter des informations sur les entités suivantes : ¦ Actions effectuées en réponse aux événements ¦ Processus impliqués dans les événements ¦ Noms des règles appliquées par la politique quand l'accès d'une application est bloqué Journal de contrôle d'application Utilisez ce journal quand vous devez consulter des détails de contrôle de périphérique,tels que lemoment exact où le contrôle de périphérique a activé ou désactivé des périphériques. Ce journal affiche également des informations telles que le nom de l'ordinateur, son emplacement, l'utilisateur qui était connecté et le système d'exploitation impliqué. Journal de contrôle de périphérique A propos des informations dans le rapport et le journal d'audit Le rapport d'audit contient des informations sur les activités de modification de politique, telles que le moment et le type des événements, les modifications de politique, les domaines, les sites, les administrateurs et les descriptions. Le rapport rapide d'audit par défaut est appelé Politiques utilisées. Affichez le rapport Politiques utilisées pour contrôler les politiques en service dans votre réseau, par groupe. Vous pouvez regarder le journal d'audit quand vous voulez savoir quel administrateur a modifié une politique particulière et quand. A propos des informations dans les rapports et les journaux de conformité Les journaux de conformité contiennent des informations au sujet du serveur Enforcer, des clients et du trafic et sur la conformité d'hôte. Les informations disponibles incluent des éléments tels que le moment et le type d'événement, le nom de l'Enforcer impliqué, le site et le serveur. Remarque : Si Symantec Network Access Control n'est pas installé, les journaux et les rapports de conformité ne contiennent aucune donnée. Tableau 12-2 décrit les cas d'utilisation les plus courants pour le type d'informations que vous pouvez obtenir avec les rapports et les journaux de conformité. Utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau A propos de l'utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau 240Tableau 12-2 Journaux de conformité et récapitulatif des rapports rapides Rapport ou journal Utilisations typiques Utilisez ce rapport pour examiner la conformité globale, pour voir si des clients ont échoué aux vérifications d'intégrité de l'hôte ou à l'authentification ou ont été déconnectés. Etat de conformité du réseau Utilisez ce rapport pour voir le nombre total de clients qui ont réussi ou échoué à une vérification d'intégrité de l'hôte dans votre réseau. Etat de conformité Utilisez ce rapport pour voir les raisons générales des événements d'échec de contrôle, tels que antivirus, pare-feu ou VPN. Résumé des clients par échec de conformité Utilisez ce rapport pour obtenir un niveau de détail supérieur au sujet des échecs de conformité. Il affiche les critères et la règle impliqués dans chaque échec. Il inclut le pourcentage de clients qui ont été déployés et le pourcentage qui ont échoué. Par exemple, le résumé d'échec de conformité peut afficher dix échecs de client dus au logiciel antivirus. En revanche, les détails d'échec de conformité affichent les informations suivantes : ¦ Quatre clients ne contiennent aucun logiciel antivirus actuellement en fonctionnement. ¦ Deux clients n'ont aucun logiciel antivirus installé. ¦ Quatre clients ontles fichiers de définitions de virus périmés. Détails d'échec de conformité Utilisez ce rapport pour voir si certains emplacements ont plus de problèmes de conformité que les autres. Clients non conforme par emplacement Utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau 241 A propos de l'utilisation des contrôleurs et des rapports pour la sécurisation de votre réseauRapport ou journal Utilisations typiques Utilisez ce journal pour obtenir des informations sur des événements de conformité d'Enforcer, le nom d'Enforcer impliqué, son site et son serveur. Ce journal contient notamment les informations suivantes : ¦ Quels modules d'application Enforcer n'ont pas pu s'inscrire sur leur serveur ¦ Quelsmodules d'application Enforcer ont reçu avec succès des téléchargements de politiques et du fichier de communication sylink.xml ¦ Indique si le serveur des Enforcers a reçu les journaux des Enforcers. Journal de serveur Enforcer Utilisez ce journal pour voir quels clients ont réussi ou échoué aux vérifications d'intégrité de l'hôte, ont été authentifiés ou rejetés ou ont été déconnecté du réseau. Journal de client Enforcer Utilisez ce journal pour obtenir des informations sur le trafic traversant Enforcer. Les informations disponibles incluent : ¦ La direction du trafic ¦ Le moment où le trafic a commencé et le moment où il s'est terminé ¦ Le protocole utilisé ¦ Les adresses IP source et destination utilisées ¦ Le port utilisé ¦ La longueur de paquet (en octets) ¦ Les connexions tentées ont été autorisées ou bloquées. Ce journal s'applique seulement aux modules d'application Gateway Enforcer. Journal du trafic Enforcer Utilisez ce journal pour examiner des informations spécifiques sur des événements de conformité particuliers. De tels événements incluent la raison, l'utilisateur impliqué et le nom du système d'exploitation impliqué. Journal de conformité d'hôte Utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau A propos de l'utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau 242A propos des informations dans les rapports et le journal d'état de l'ordinateur Le journal d'état de l'ordinateur contient des informations sur l'état opérationnel en temps réel des ordinateurs du réseau. Les informations disponibles incluent le nom de l'ordinateur et son adresse IP, l'heure de dernière connexion, les dates de définitions, l'état d'infection, l'état d'Auto-Protect, le serveur, le groupe, le domaine etle nomde l'utilisateur. Les filtres pour les rapports d'état de l'ordinateur ont des options de configuration standard et des options spécifiques pour la conformité. Tableau 12-3 décrit les cas d'utilisation les plus courants pour le type d'informations que vous pouvez obtenir avec les rapports et les journaux d'état des ordinateurs. Tableau 12-3 Rapports d'état rapides de l'ordinateur et résumé de journal Rapport ou journal Utilisations typiques Utilisez ce rapport pour vous assurer que tous les groupes, domaines ou serveurs de votre réseau utilisent des versions à jour de fichiers de définitions de virus. Distribution de définitions de virus Utilisez ce rapport pour trouver les ordinateurs qui ne se sont pas connectés à un serveur et pourraient donc être perdus ou manquants. Ordinateurs non connectés au serveur Utilisez ce rapport pour vérifier les versions du logiciel de produit, des définitions de virus, des signatures d'IPS et du contenu de la protection proactive en service dans votre réseau. Avec ces informations vous pouvez identifier exactement les ordinateurs qui ont besoin d'une mise à jour. Versions de produit Symantec Endpoint Protection Utilisez ce rapport pour vous assurer que tous les groupes de votre réseau utilisent des signatures à jour pour la prévention d'intrusion.Vous pouvez également identifier les domaines ou serveurs périmés. Distribution de signatures de la prévention d'intrusion Utilisez ce rapport pour vérifier le nombre et le pourcentage des ordinateurs dans certaines catégories dematériel et de logiciel. Les informations disponibles incluent le système d'exploitation de l'ordinateur, sa mémoire totale, samémoire libre, l'espace disque total, l'espace disque libre et le type de processeur. Par exemple, depuis le rapport d'inventaire client, vous pourriez constater que 22 % de vos ordinateurs ont moins de 1 Go d'espace disque disponible. Inventaire client Utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau 243 A propos de l'utilisation des contrôleurs et des rapports pour la sécurisation de votre réseauRapport ou journal Utilisations typiques Utilisez ce rapport pour savoir quels groupes ou sous-réseaux ont le plus grand pourcentage d'ordinateurs non conformes. Vous pouvez vouloir étudier si certains groupes semblent avoir beaucoup plus de problèmes de conformité que d'autres. Distribution d'état de conformité Utilisez ce rapport pour savoir quels groupes ou sous-réseaux ont le plus grand pourcentage de clients en ligne.Vous pouvez vouloir étudier pourquoi certains groupes ou sous-réseaux rencontrent actuellement plus de problèmes que d'autres. Etat en ligne des clients Utilisez ce rapport pour savoir quels groupes ou sous-réseaux ont le plus grand pourcentage d'ordinateurs ne contenant pas la dernière version de politique. Clients avec la dernière politique Utilisez ce rapport pour connaître le nombre total de clients et d'utilisateurs par groupe. Nombre de clients par groupe Utilisez ce rapport pour connaître rapidement le nombre total d'ordinateurs qui ont les problèmes suivants : ¦ Auto-Protect est désactivé ¦ Le moteur antivirus est désactivé ¦ La protection contre les interventions est désactivée ¦ L'ordinateur doit redémarrer ¦ L'ordinateur a échoué à une vérification d'intégrité de l'hôte ¦ La protection contre les menaces réseau est désactivée Ces ordinateurs peuvent continuer à être vulnérables à moins que vous interveniez. Résumé d'état de la sécurité Utilisez ce rapport pour vérifier les versions de la protection proactive utilisées dans votre réseau, afin de déterminer les ordinateurs qui ont besoin d'une mise à jour. Versions de contenu de la protection Utilisez ce rapport pour consulter l'état de migration des clients par domaine, groupe et serveur. Vous pouvez identifier rapidement les clients pour lesquels la migration a échoué ou n'a pas encore démarré. Migration de client Utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau A propos de l'utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau 244Rapport ou journal Utilisations typiques Utilisez ce rapport pour déterminer les clients qui ne se connectent pas au réseau assez fréquemment. Ce rapport est disponible seulement comme rapport programmé. Clients connectés/déconnectés au cours du temps (clichés) Utilisez ce rapport pour déterminer les clients qui ne récupèrent pas les mises à jour de politique assez fréquemment. Ce rapport est disponible seulement comme rapport programmé. Clients avec la dernière politique dans le temps (clichés) Utilisez ce rapport pour déterminer les clients sur lesqquels la dernière version du logiciel n'est pas déployée. Ce rapport est disponible seulement comme rapport programmé. Déploiement de logiciel client (clichés) Utilisez ce rapport pour déterminer les clients qui échouent fréquemment aux vérifications d'intégrité de l'hôte. Ce rapport est disponible seulement comme rapport programmé. Clients non conformes dans le temps (clichés) Utilisez ce rapport pour vérifier les versions de définitions utilisées par les clients. Ce rapport est disponible seulement comme rapport programmé. Déploiement de définitions de virus (clichés) Vérifiez le journal d'Etat de l'ordinateur si vous avez besoin de plus de détails au sujet des domaines couverts par les rapports. Journal d'état de l'ordinateur A propos des informations dans les rapports et les journaux de la protection contre les menaces réseau Les journaux de protection contre les menaces réseau vous permettent de suivre l'activité d'un ordinateur et ses relations avec d'autres ordinateurs et réseaux. Ils enregistrent des informations sur le trafic qui tente d'entrer ou de sortir sur les ordinateurs par leurs connexions réseau. Les journaux de la protection contre les menaces réseau contiennent des détails au sujet des attaques sur le pare-feu, tel que les informations suivantes : ¦ Attaques par déni de service ¦ Analyses de port ¦ Modifications des fichiers exécutables Les journaux de la protection contre lesmenaces réseau collectent des informations au sujet de la prévention d'intrusion. Ils contiennent également des informations Utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau 245 A propos de l'utilisation des contrôleurs et des rapports pour la sécurisation de votre réseausur les connexions établies à travers le pare-feu (trafic), les clés de registre, les fichiers et les DLL utilisés. Ils contiennent des informations sur les paquets de données qui traversent les ordinateurs. Les modifications opérationnelles apportées aux ordinateurs sont également consignées dans ces journaux. Ces informations peuvent inclure le moment où les services démarrent et s'arrêtent ou quand quelqu'un configure le logiciel. Parmi les autres types d'informations qui peuvent être disponibles figurent des éléments tels que le moment et le type d'événement et la mesure prise. Elles peuvent également inclure la direction, le nom d'hôte, l'adresse IP et le protocole qui a été utilisé pour le trafic impliqué. Si elles s'appliquent à l'événement, les informations peuvent également inclure le niveau de gravité. Tableau 12-4 décrit les cas d'utilisation les plus courants pour le type d'informations que vous pouvez obtenir avec les rapports et les journaux de protection contre les menaces réseau. Tableau 12-4 Rapports rapides etrécapitulatif des journaux de la protection contre les menaces réseau Rapport ou journal Utilisations typiques Utilisez ce rapport pour identifier les groupes, sous-réseaux, ordinateurs ou ports attaqués le plus souvent. Vous pouvez vouloir prendre des mesures basées sur ce rapport. Par exemple, vous pouvez constater que les clients connectés par l'intermédiaire d'un VPN sont attaqués beaucoup plus fréquemment. Vous pouvez vouloir regrouper ces ordinateurs de manière à pouvoir leur appliquer une politique de sécurité plus rigoureuse. Principales cibles attaquées Utilisez ce rapport pour identifier quels hôtes attaquent votre réseau le plus souvent. Principales sources d'attaque Utilisez ce rapport pour identifier les types d'attaque dirigés sur votre réseau le plus souvent. Les types d'attaque possibles que vous pouvez contrôler incluent les analyses de port, les attaques par déni de service et les usurpations MAC. Principaux types d'attaque Utilisez ces rapports ensemble pour identifier les applications qui sont utilisées le plus souvent pour attaquer votre réseau.Vous pouvez également vérifier si les applications utilisées pour les attaques ont changé dans le temps. Principales applications bloquées Applications bloquées dans le temps Utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau A propos de l'utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau 246Rapport ou journal Utilisations typiques Utilisez ce rapport pour identifier les groupes, les adresses IP, les systèmes d'exploitation et les utilisateurs qui sont attaqués le plus souvent dans votre réseau. Utilisez-le pour identifier également le type le plus fréquent d'attaque qui se produit. Attaques dans le temps Utilisez ce rapport pour obtenir un résumé de la gravité des événements de sécurité dans votre réseau. Evénements de sécurité par gravité Ces rapports affichent le nombre d'attaques qui ont violé les règles de filtrage configurées pour vous informer des violations. Vous configurez les données à signaler en cochant l'option Envoyer une alerte par message électronique dans la colonne Consignation des Règles de politique de pare-feu. Utilisez les notifications de trafic dans le temps pour savoir comment les attaques augmentent ou diminuent ou affectent différents groupes dans le temps. Utilisez-les pour savoir quels groupes sont les plus exposés aux attaque par le pare-feu. Principales notifications de trafic Notifications de trafic dans le temps Utilisez ce rapport pour consulter aumême endroitles informations qui apparaissent dans tous les rapports rapides de la protection contre les menaces réseau. Rapport complet Utilisez ce journal si vous avez besoin de plus d'informations au sujet d'un événement de trafic ou d'un type de trafic spécifique qui traverse votre pare-feu. Journal du trafic Utilisez ce journal si vous avez besoin de plus d'informations au sujet d'un paquet spécifique. Vous pouvez vouloir examiner des paquets pour étudier plus à fond un événement de sécurité qui a été listé dans un rapport. Journal des paquets Utilisez ce journal si vous avez besoin d'informations plus détaillées au sujet d'une attaque spécifique qui s'est produite. Journal des attaques Utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau 247 A propos de l'utilisation des contrôleurs et des rapports pour la sécurisation de votre réseauA propos des informations figurant dans les rapports et les journaux d'analyse proactive des menaces TruScan Tableau 12-5 décrit les cas d'utilisation les plus courants pour le type d'informations que vous pouvez obtenir avec les rapports etles journaux d'analyse proactive des menaces TruScan. Tableau 12-5 Récapitulatif des rapports rapide et des journaux d'analyse proactive des menaces TruScan Rapport ou journal Utilisations standard Utilisez ce rapport pour consulter les informations suivantes : ¦ Une liste des applications étiquetées comme étant à risque que vous avez ajoutées à vos exceptions comme étant acceptables sur votre réseau. ¦ Une liste des applications qui ont été détectées comme présentant un risque confirmé. ¦ Une liste des applications qui ont été détectéesmais dont l'état de risque n'est pas encore confirmé. Utilisez la fonction Détection proactive de menaces TruScan dans le temps pour savoir si les menaces détectées par les analyses proactives des menaces TruScan ont été modifiées au cours du temps. Résultats de la détection proactive de menaces TruScan (sous Rapports de risques) Détection proactive de menaces TruScan dans le temps (située sous Rapports de risques) Utilisez ce rapport pour les raisons suivantes : ¦ Pour savoir quelles applications issues de la liste des applications commerciales et de la liste des détections forcées sont le plus souvent détectées. ¦ Pour savoir quelle action a été entreprise en réponse à la détection. ¦ Pour déterminer si des ordinateurs spécifiques de votre réseau sont attaqués plus fréquemment par ce vecteur. ¦ Pour obtenir des détails au sujet de l'application ayant provoqué l'attaque. Distribution des menaces - Protection proactive TruScan (située sous Rapports de risques) Utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau A propos de l'utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau 248Rapport ou journal Utilisations standard Utilisez ce journal pour obtenir des informations plus détaillées sur des événements spécifiques de détection proactive des menaces. Il peut s'agir par exemple du nom de l'utilisateur qui était connecté quand la détection s'est produite. Vous pouvez également utiliser des commandes de ce journal afin d'ajouter des entités légitimes telles que des fichiers, des dossiers, des extensions et des processus à la politique d'exceptions centralisées. Une fois ajoutées à la liste, si une activité légitime est détectée comme risque, aucune action n'est entreprise sur l'entité. Journal d'analyse proactive des menaces TruScan A propos des informations dans les rapports et le journal de risque Le journal etles rapports de risque incluent des informations sur des événements de risque sur vos serveurs de gestion et leurs clients. Tableau 12-6 décrit les cas d'utilisation les plus courants pour le type d'informations que vous pouvez obtenir avec les rapports et les journaux rapides sur les risques. Tableau 12-6 Récapitulatif des rapports rapides et du journal de risque Types de journal et de rapport Utilisations standard Utilisez ce rapport pour identifier rapidement les ordinateurs qui ont besoin de votre attention parce qu'ils sont infectés par un virus ou un risque de sécurité. Ordinateurs infectés et à risque Utilisez ce rapport pour identifier les actions qui ont été prises quand des risques ont été détectés. Ces informations apparaissent également sur la page d'accueil du module Symantec Endpoint Protection. Résumé des actions de détection Utilisez ce rapport pour identifier les domaines, les groupes ou les ordinateurs particuliers qui ont le plus grand nombre de détections de risque. Vous pouvez alors étudier pourquoi certaines entités semblent être plus exposées que d'autres dans votre réseau. Nombre de détections de risques Utilisez ce rapport pour identifier et suivre l'incidence de nouveaux risques sur votre réseau. Nouveaux risques détectés dans le réseau Utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau 249 A propos de l'utilisation des contrôleurs et des rapports pour la sécurisation de votre réseauTypes de journal et de rapport Utilisations standard Utilisez ce rapport pour rechercher des corrélations entre les risques etles ordinateurs, les utilisateurs, les domaines et les serveurs. Corrélation des principaux risques Utilisez ces rapports pour suivre la distribution des risques. Vous pouvez également les utiliser pour identifier exactement les risques, les domaines, les groupes, les serveurs, les ordinateurs etles utilisateurs particuliers qui semblent avoir plus de problèmes que d'autres.Vous pouvez utiliser Distribution des risques dans le temps pour voir l'évolution de ces risques avec le temps. Résumé de la distribution des risques Distribution des risques dans le temps Utilisez ce rapport pour passer en revue les actions qui ont été prises sur les risques que le module Symantec Endpoint Protection a détectés dans votre réseau. Résumé des actions pour les principaux risques Utilisez ces rapports pour définir précisément comment vous créez et configurez des notifications dans votre réseau. Nombre de notifications Nombre de notifications au cours du temps Utilisez ce rapport pour suivre les manifestations de risque de semaine en semaine. Déclenchements hebdomadaires Utilisez ce rapport pour consulter toutes les informations des rapports de distribution et des rapports de risques en même temps. Rapport détaillé des risques Utilisez ce journal si vous avez besoin d'informations plus spécifiques au sujet d'une section de rapport de risque. Par exemple, vous pouvez utiliser le journal de risque pour consulter des détails au sujet des risques qui ont été détectés sur les ordinateurs où des risques sont souvent trouvés. Vous pouvez également utiliser le journal de risque pour consulter des détails au sujet des risques de sécurité d'une gravité particulière qui ont affecté votre réseau. Journal de risque A propos des informations dans les rapports et le journal d'analyse Les journaux etles rapports d'analyse fournissent des informations sur les activités d'analyse antivirus et contre les logiciels espions. Utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau A propos de l'utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau 250Tableau 12-7 décrit les cas d'utilisation les plus courants pour le type d'informations que vous pouvez obtenir avec les rapports et les journaux rapides sur les analyses. Tableau 12-7 Récapitulatif des rapports rapides et des journaux d'analyse Rapport ou journal Utilisations standard Regroupez les données par échéance d'analyse lorsque vous utilisez ce rapport pour consulter un histogramme de la durée d'exécution des analyses planifiées sur les clients. Vous pourriez vouloir modifier l'échéance de planification de l'analyse en fonction de ces informations. Vous pouvez filtrer ce rapport basé sur le nombre de fichiers qui ont été analysés. Ces résultats peuvent vous aider à consulter si des utilisateurs restreignent les analyses à certains fichiers sur leurs ordinateurs. Histogramme de statistiques d'analyse Utilisez ce rapport pour identifier les ordinateurs qui n'ont pas exécuté d'analyse récemment. Vous pouvez le configurer sur le dernier jour ou la dernière semaine ou une période personnalisée que vous voulez vérifier. Ordinateurs par heure de dernière analyse Utilisez ce rapport pour obtenir la liste des ordinateurs qui n'ont pas été analysés pendant une période spécifique. Ce rapport vous indique également les adresses IP des ordinateurs par domaine ou par groupe spécifique. Ces ordinateurs peuvent être vulnérables. Ordinateurs non analysés Vous pouvez trier ce journal par la durée d'analyse pour identifier les ordinateurs qui prennent le plus long temps d'analyse dans votre réseau. Suivant ces informations, vous pouvez personnaliser des analyses planifiées pour ces ordinateurs si nécessaire. Journal d'analyse A propos des informations dans les rapports et les journaux système Les journaux système contiennent les informations qui sont utiles pour le dépannage des problèmes de client. Tableau 12-8 décrit les cas d'utilisation les plus courants pour le type d'informations que vous pouvez obtenir avec les rapports et les journaux rapides sur les systèmes. Utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau 251 A propos de l'utilisation des contrôleurs et des rapports pour la sécurisation de votre réseauTableau 12-8 Récapitulatif des rapports rapides et des journaux système Rapport ou journal Utilisations standard Utilisez ce rapport pour voir quels clients génèrent le plus grand nombre d'erreurs et d'avertissements.Vous pouvez regarder l'emplacement etle type d'utilisateurs de ces clients pour voir pourquoi ils rencontrent plus de problèmes que d'autres.Vous pouvez alors consulter le journal système pour des détails. Principaux clients générant des erreurs Utilisez ce rapport pour voir quels serveurs génèrent le plus grand nombre d'erreurs et d'avertissements. Vous pouvez regarder ces serveurs pour voir pourquoi ils rencontrent plus de problèmes que la normale sur votre réseau. Principaux serveurs générant des erreurs et des avertissements Utilisez ce rapport pour voir quels Enforcers génèrent le plus grand nombre d'erreurs et d'avertissements. Vous pouvez regarder ces Enforcers pour voir pourquoi ils rencontrent plus de problèmes que la normale sur votre réseau. PrincipauxEnforcers générant des erreurs et des avertissements Utilisez ce rapport pour voir quels serveurs ou quels sites rencontrent le plus de problèmes avec la réplication de base de données. Il indique également pourquoi les réplications échouent de sorte que vous puissiez résoudre les problèmes. Echecs de réplication de la base de données dans le temps Utilisez ce rapport pour voir comment votre serveur traite la charge client. Suivant les informations qui sont dans ce rapport, vous pouvez régler la charge. Etat de site Utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau A propos de l'utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau 252Rapport ou journal Utilisations standard Utilisez ce journal pour consulter les activités d'administration comme : ¦ les connexions et les fermetures de session ; ¦ les modifications de politique ; ¦ les modifications de mot de passe ; ¦ la mise en correspondance de certificats ; ¦ les événements de réplication ; ¦ les événements de journal. Ce journal peut être utile pour le dépannage des problèmes client liés par exemple à l'absence de certificats, de politiques ou d'importations. Vous pouvez consulter séparément des événements associés aux domaines, aux groupes, aux utilisateurs, aux ordinateurs, aux importations, aux paquets, aux réplications et à d'autres événements. Journal d'administration Utilisez ce journal pour consulter toutes les activités client qui ont lieu pour un serveur spécifique. Par exemple, vous pouvez utiliser ce journal pour regarder les éléments suivants : ¦ téléchargements de politique réussis et non réussis ; ¦ connexions client au serveur ; ¦ enregistrements de serveur ; Journal d'activité client/serveur Entre autres, utilisez ce journal pour les raisons suivantes : ¦ pour localiser et dépanner des problèmes de réplication ; ¦ pour localiser et dépanner des problèmes de sauvegarde ; ¦ pour localiser et dépanner des problèmes de serveur Radius ; ¦ pour regarder tous les événements de serveur d'un niveau particulier de gravité. Journal d'activité client/serveur Utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau 253 A propos de l'utilisation des contrôleurs et des rapports pour la sécurisation de votre réseauRapport ou journal Utilisations standard Entre autres, vous pouvez utiliser ce journal pour contrôler les activités client suivantes : ¦ clients dont l'accès au réseau a été bloqué ; ¦ clients devant être redémarrés ; ¦ installations réussies ou non réussies sur les clients ; ¦ problèmes de déclenchement et d'arrêt de service sur les clients ; ¦ problèmes d'importation de règles sur les clients ; ¦ problèmes de téléchargement de politiques sur les clients ; ¦ connexions défectueuses au serveur. Journal d'activité du client Utilisez ce journal pour surveiller les problèmes avec les modules d'application Enforcer. Dans ce journal, vous pouvez afficher des événements de gestion, des événements d'Enforcer, des événements d'activation et des événements de politique.Vous pouvez les filtrer par niveau de gravité. Par exemple, vous pouvez utiliser ce journal pour dépanner les types de problèmes suivants : ¦ connectivité d'Enforcer ; ¦ importation et application des politiques et configurations ; ¦ démarrage, arrêts et interruptions d'Enforcer. Journal d'activité Enforcer Remarque : Si Symantec Network Access Control n'est pas installé, le journal d'activité Enforcer etles entrées des autres journaux qui s'appliquent auxmodules d'application Enforcer sont vides. A propos des virus et des risques de sécurité L'élimination des infections par virus et des risques de sécurité est une tâche que vous pouvez effectuer tous les jours ou en fonctions de vos besoins, selon l'état de sécurité de votre réseau. Vous devez d'abord identifier et localiser les risques, puis choisir la méthode de traitement à utiliser. Une fois les problèmes résolus, vous pouvez mettre à jour le journal relatif à l'état de l'ordinateur pour indiquer que vous avez répondu aux risques. Utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau A propos des virus et des risques de sécurité 254Identification des ordinateurs infectés et à risque La première tâche est d'identifier les ordinateurs qui sont infectés et à risque. Pour identifier les ordinateurs infectés 1 Dans la console, cliquez sur Accueil et consultez le résumé des actions. Si vous êtes un administrateur système, les compteurs du nombre d'ordinateurs nouvellement infectés et du nombre d'ordinateurs encore infectés de votre site sont affichés. Si vous êtes un administrateur de domaine, les compteurs du nombre d'ordinateurs nouvellement infectés et du nombre d'ordinateurs encore infectés de votre domaine sont affichés. Le compteur Encore infecté est un sous-ensemble du compteur Nouvellement infecté. Le compteur Encore infecté diminue à mesure que vous éliminez les risques de votre réseau. Les ordinateurs sont encore infectés si une analyse ultérieure les signale comme infectés. Par exemple, si Symantec Endpoint Protection n'a nettoyé un risque que partiellement sur un ordinateur, Auto-Protect détecte toujours le risque. 2 Dans la console, cliquez sur Rapports. 3 Dans la zone de liste Type de rapport, cliquez sur Risque. 4 Dans la zone de liste Sélectionner un rapport, cliquez sur Ordinateursinfectés et à risque. 5 Cliquez sur Créer un rapport et notez les listes des ordinateurs infectés et à risque qui apparaissent. Modification d'une action et réanalyse des ordinateurs identifiés L'étape suivante dans la résolution des risques de votre réseau est d'identifier pourquoi les ordinateurs sont encore infectés ou à risque. Consultez l'action qui a été effectuée pour chaque risque sur les ordinateurs infectés et à risque. Il se peut que l'action qui a été configurée et effectuée soit Laissé tel quel. Si l'action qui a été effectuée est Laissé tel quel, vous devez nettoyer le risque de l'ordinateur, supprimer l'ordinateur du réseau ou accepter le risque. Si vous le souhaitez, vous pouvez modifier la politique antivirus et antispyware appliquée au groupe auquel appartient cet ordinateur.Vous pouvez également configurer une action différente pour cette catégorie de risques ou pour ce risque spécifique. Utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau 255 A propos des virus et des risques de sécuritéPour identifier les actions qui doivent être modifiées et réanalyser les ordinateurs identifiés 1 Dans la console, cliquez sur Contrôles. 2 Dans l'onglet Journaux, sélectionnez le journal des risques, puis cliquez sur Afficher le journal. La colonne des événements du journal des risques affiche ce qui s'est produit et l'action qui a été effectuée. La colonne Nom du risque affiche les noms des risques qui sonttoujours actifs. La colonne Utilisateur du groupe de domaine affiche le groupe auquel appartient l'ordinateur. Si un client est à risque parce qu'une analyse a effectué l'action Laissé tel quel, vous devrez peut-être modifier la politique antivirus et antispyware pour le groupe. La colonne Ordinateur affiche les noms des ordinateurs qui contiennent encore des risques actifs. Se reporter à "Configurer des actions pour les virus connus et les détections de risques de sécurité" à la page 441. Si votre politique est configurée pour utiliser le mode de transfert, elle est transférée aux clients du groupe au prochain battement. Se reporter à "Définition du mode de transfert ou d'extraction" à la page 394. 3 Cliquez sur Précédent. 4 Dans l'onglet Journaux, sélectionnez le journal d'état de l'ordinateur, puis cliquez sur Afficher le journal. 5 Si vous avez modifié une action et transféré une nouvelle politique, sélectionnez les ordinateurs qui doivent être réanalysés avec les nouveaux paramètres. 6 De la zone de liste Commande, sélectionnez Analyse, puis cliquez sur Démarrer pour réanalyser les ordinateurs. Vous pouvez contrôler l'état de la commandeAnalyse à partir de l'onglet Etat de la commande. Redémarrage des ordinateurs nécessitant un redémarrage pour terminer la résolution Les ordinateurs peuvent encore être à risque ou infectés parce qu'ils doivent être redémarrés pour terminer la résolution d'un virus ou d'un risque de sécurité. Utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau A propos des virus et des risques de sécurité 256Pour redémarrer les ordinateurs afin de terminer la résolution 1 Dans le journal des risques, consultez la colonne Redémarrage requis. Il se peut qu'un risque ait été partiellement nettoyé de certains ordinateurs, mais les ordinateurs nécessitent toujours un redémarrage pour terminer la résolution. 2 Sélectionnez dans la liste les ordinateurs qui nécessitent un redémarrage. 3 Dans la zone de liste Commande, sélectionnez Redémarrer les ordinateurs, puis cliquez sur Démarrer. Vous pouvez contrôler l'état de la commande Redémarrer les ordinateurs à partir de l'onglet Etat de la commande. Mise à jour des définitions et réanalyse Certains ordinateurs peuvent encore être à risque car leurs définitions sont périmées. Pour mettre à jour des définitions et réanalyser 1 Pour les ordinateurs restants affichés, consultez la colonne Date des définitions. Si certains ordinateurs ont des définitions de virus périmées, sélectionnez ces ordinateurs. 2 Dans la zone de liste Commande, sélectionnez Mettre à jour le contenu et analyser, puis cliquez sur Démarrer. Vous pouvez contrôler l'état de la commande Mettre à jour le contenu et analyser à partir de l'onglet Etat de la commande. 3 Cliquez sur Accueil et consultez les nombres dans les lignes Encore infecté et Nouvellement infecté du résumé des actions. Si les compteurs sont à zéro, vous avez éliminé les risques. Si les compteurs ne sont pas à zéro, vous devez étudier les risques restants. A propos de l'étude et du nettoyage des risques restants Si des risques demeurent, vous devrez peut-être les étudier de manière plus approfondie. Dans la boîte de dialogue des résultats de l'analyse, vous pouvez cliquer sur le lien vers Symantec Security Response pour le risque détecté. Les résultats de l'analyse vous indiquent également les processus, les fichiers ou les clés de registre qui sont impliqués dans la détection de risque. Vous pourrez peut-être créer une politique de contrôle des applications personnalisée pour bloquer une application offensive ou vous devrez déconnecter l'ordinateur du Utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau 257 A propos des virus et des risques de sécuritéréseau, supprimer des fichiers et des clés de registre et arrêter les processus manuellement. Elimination des événements suspects Tout risque de sécurité indique qu'une analyse proactive des menaces TruScan a détecté un élément suspect requérant votre attention. Cet élément peut être inoffensif ou non. Si vous constatez que ce risque est inoffensif, vous pouvez utiliser la politique d'exceptions centralisées pour l'exclure des détections à l'avenir. Si les analyses proactives desmenaces ne peuvent pas résoudre un risque ou si vous les avez configurées pour ignorer un risque, il se peut que vous deviez éliminer ces risques. Si vous avez configuré les analyses proactives desmenacesTruScan pour consigner et, après des recherches, vous déterminez que ce risque est nocif, vous pouvez y remédier avec la politique d'exceptions centralisées. Configurez la politique d'exceptions centralisées pour arrêter ou mettre en quarantaine le risque au lieu de le consigner. Si Symantec Endpoint Protection a détecté ce risque en utilisant les paramètres par défaut de l'analyse proactive des menaces TruScan, alors Symantec Endpoint Protection ne peut pas résoudre ce risque. Si vous constatez que ce risque est nocif, vous devez le supprimer manuellement. Après avoir supprimé le risque, vous pouvez supprimer cette entrée du journal des risques. Recherche des clients hors ligne Vous pouvez effectuer une vérification pour savoir quels ordinateurs sont hors ligne sur votre réseau de plusieurs manières. Par exemple, vous pouvez effectuer les contrôles suivants : ¦ Exécutez le rapport rapide d'état des ordinateurs Ordinateurs non contrôlés dans le serveur pour consulter l'état en ligne. ¦ Configurez et exécutez une version personnalisée de ce rapport pour consulter les ordinateurs d'un groupe ou d'un site particulier. ¦ Affichez le Journal d'état des ordinateurs, qui contient l'adresse IP de l'ordinateur et l'heure de la dernière authentification. Un client peut être hors ligne pour un certain nombre de raisons. Vous pouvez identifier les ordinateurs qui sont hors ligne et résoudre ces problèmes d'un certain nombre de manières. Si le module Symantec Network Access Control est installé, vous pouvez utiliser les options de filtre de conformité pour personnaliser le rapport rapide Ordinateurs Utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau Recherche des clients hors ligne 258non contrôlés dans le serveur.Vous pouvez alors utiliser ce rapport pour connaître les raisons spécifiques pour lesquelles les ordinateurs ne sont pas sur le réseau. Vous pouvez alors résoudre les problèmes existants. Vous pouvez filtrer selon les problèmes de conformité suivants : ¦ La version de l'antivirus de l'ordinateur est périmée. ¦ Le logiciel antivirus de l'ordinateur n'est pas en cours d'exécution. ¦ Un script a échoué. ¦ L'emplacement de l'ordinateur a été modifié. Procédure de recherche de clients hors ligne 1 Dans la console, cliquez sur Clients. 2 Dans l'onglet Journaux, à partir de la liste Type de journal, cliquez sur Etat de l'ordinateur. 3 Cliquez sur Paramètres avancés. 4 Dans la liste Etat connecté, cliquez sur Hors ligne. 5 Cliquez sur Afficher le journal. Par défaut, une liste des ordinateurs qui sont hors ligne pour les dernières 24 heures apparaît. La liste inclut le nom de chaque ordinateur, l'adresse IP et la dernière authentification auprès de son serveur. Vous pouvez régler l'intervalle de temps pour afficher les ordinateurs hors ligne pour l'intervalle que vous voulez consulter. Utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau 259 Recherche des clients hors ligneUtilisation des contrôleurs et des rapports pour la sécurisation de votre réseau Recherche des clients hors ligne 260Tâches administratives avancées ¦ Géstion de sites d'entreprise uniques et multiples ¦ Gestion des serveurs ¦ Gestion des serveurs de répertoires ¦ Gestion des serveurs de messagerie ¦ Gestion des serveurs proxy ¦ Gestion des serveurs RSA ¦ Gestion des certificats de serveur ¦ Gestion des bases de données ¦ Réplication des données ¦ Gestion de la protection contre les interventions Section 2262Géstion de sites d'entreprise uniques et multiples Ce chapitre traite des sujets suivants : ¦ A propos de la gestion des sites ¦ Opérations relatives aux sites ¦ Ce que vous ne pouvez pas faire sur un site ¦ A propos de la réplication de site sur plusieurs sites de l'entreprise ¦ A propos des modules Enforcer facultatifs sur un site ¦ A propos des sites distants ¦ Modification des propriétés du site ¦ Sauvegarde d'un site ¦ Suppression de sites distants A propos de la gestion des sites Symantec organise les installations de composants en sites. Chaque site comporte une ou plusieurs instances de Symantec Endpoint ProtectionManager ainsi qu'une base de données (MS SQL ou intégrée). Il peut également comprendre un ou plusieurs modules d'application Enforcer, lesquels sont généralement stockés ensemble, dans les mêmes locaux d'entreprise. Les grandes sociétés d'entreprise installent généralement de nombreux sites. Le nombre de sites nécessaires varie Chapitre 13en fonction du nombre de locaux et de filiales de l'entreprise ainsi que des zones affectées aux différents sous-réseaux. La direction de l'entreprise et les services informatiques sont généralement chargés de déterminer le nombre et l'emplacement de ces sites. Le site local estla console Symantec Endpoint ProtectionManager à laquelle vous êtes connecté. Ce site peut se trouver dans une autre ville. Toutefois, cela ne signifie pas nécessairement que le site est physiquement local. Les sites distants correspondent aux sites liés au site local en tant que partenaires de réplication. Vous pouvez gérer la sécurité de façon centralisée à partir de n'importe quelle console Symantec Endpoint Protection Manager permettant de gérer les sites locaux et les sites distants. Opérations relatives aux sites Lorsque vous vous trouvez sur un site particulier, vous pouvez effectuer les tâches suivantes sur tous les sites (locaux et distants) : ¦ modifier la description d'un site ; Se reporter à "Modification des propriétés du site" à la page 266. ¦ configurer la console Symantec Endpoint Protection Manager pour se déconnecter après un certain temps ; Se reporter à "Modification des propriétés du site" à la page 266. ¦ effacer les clients qui n'ont pas été connectés depuis un certain temps ; Se reporter à "Modification des propriétés du site" à la page 266. ¦ configurer les seuils des journaux ; ¦ planifier des rapports quotidiens et hebdomadaires ; ¦ configurer la journalisation externe pour filtrer les journaux et les transférer vers un fichier ou un serveur Syslog ; ¦ modifier le nom et la description d'une base de données. Se reporter à "Modification du nom et de la description d'une base de données dans la console the Symantec Endpoint Protection Manager" à la page 317. Lorsque vous vous trouvez sur un site particulier, vous pouvez effectuer les tâches suivantes pour un site local uniquement : ¦ sauvegarder le site local immédiatement ; Se reporter à "Sauvegarde d'une base de donnéesMicrosoft SQL" à la page 308. Se reporter à "Sauvegarde d'une base de données intégrée à la demande à partir de Symantec Endpoint Protection Manager" à la page 313. ¦ modifier la planification de la sauvegarde ; Géstion de sites d'entreprise uniques et multiples Opérations relatives aux sites 264Se reporter à "Planification de sauvegardes de base de données automatiques à partir du module Symantec Endpoint Protection Manager" à la page 314. ¦ supprimer un serveur sélectionné (uniquement si plusieurs Symantec Endpoint Protection Manager sont connectés à une même base de données Microsoft SQL) ; ¦ ajouter une connexion à un partenaire de réplication du même site ; Se reporter à "Ajout de partenaires et de planification de réplication" à la page 338. ¦ mettre à jour le certificat de serveur ; Se reporter à "A propos des types de certificats de serveur" à la page 297. ¦ rechercher des informations dans la base de données. Ces listes ne sont pas complètes. Elles vous donnent simplement une idée des types de tâche que vous pouvez effectuer localement ou à distance. Ce que vous ne pouvez pas faire sur un site Vous ne pouvez pas effectuer certaines tâches sur un site distant. Si vous voulez installer un nouveau site, vous devez accéder à un ordinateur spécifique sur lequel vous avez installé Symantec Endpoint Protection Manager ou un Enforcer. Cependant, vous pouvez vous connecter à un site à distance pour effectuer d'autres tâches qui ne peuvent être effectuées que sur la console Symantec Endpoint Protection Manager d'un site local. Se reporter à "Connexion à Symantec Endpoint Protection Manager" à la page 43. A propos de la réplication de site sur plusieurs sites de l'entreprise Après l'installation du premier site dans une entreprise, vous pouvez installer des sites supplémentaires comme partenaires de réplication.Vous pouvez ajouter des partenaires de réplication en installant un deuxième site et les sites ultérieurs. Consultez le Guide d'Installation de Symantec Endpoint Protection et de Symantec Network Access Control pour plus d'informations sur la façon dont configurer le premier site pendant l'installation initiale. Géstion de sites d'entreprise uniques et multiples 265 Ce que vous ne pouvez pas faire sur un siteA propos des modules Enforcerfacultatifs sur un site Si vous voulez une application supplémentaire sur votre site, vous pouvez installer les modules d'application Enforcer Passerelle, Réseau local et DHCP. Si vous voulez ajouter des modules d'application Enforcer à un site existant, consultez le Guide de mise en œuvre du boîtier Symantec Network Access Control Enforcer. A propos des sites distants Vous pouvez afficher d'autres sites à partir de l'onglet Serveurs. Si vous êtes connecté aux autres consoles Symantec Endpoint ProtectionManager, vous pouvez égalementmodifier des propriétés de serveur du site distant.Vous pouvez effectuer les tâches suivantes sur des sites distants : ¦ Supprimer un site distant et ses partenariats de réplication. ¦ Modifier la description du serveur distant. ¦ Modifier l'accès à la console Symantec Endpoint Protection Manager du site distant. ¦ Installer un serveur de messagerie pour un site distant. ¦ Planifier une synchronisation de serveur de répertoire pour un site distant. ¦ Configurer une connexion du serveur du site distant à un serveur proxy. ¦ Configurer la consignation externe pour envoyer des journaux à un fichier ou un serveur Syslog. Modification des propriétés du site Les propriétés du site sont les suivantes : ¦ Nom du site et description de site ¦ Spécification du laps de temps pour l'expiration de la console ¦ S'il faut supprimer les clients qui ne se sont pas connectés après un certain laps de temps ¦ Si les applications apprises sont activées ou non pour le site ¦ Tailles maximum de journal qui sont conservées sur le site ¦ Planification des rapports Géstion de sites d'entreprise uniques et multiples A propos des modules Enforcer facultatifs sur un site 266Vous pouvez modifier des propriétés de site local ou à distance à partir de la console. Pour modifier des propriétés de site 1 Dans la console de Symantec Endpoint Protection Manager, cliquez sur Admin. 2 Dans la page Admin, sous Tâches, cliquez sur Serveurs. 3 Dans la page Admin, sous Afficher, développez Site local (nom_site) ou Site distant. 4 Sélectionnez le site dont vous voulez modifier les propriétés. 5 Dans la pageAdmin, sous Tâches, cliquez surModifierlespropriétésdusite. 6 Dans la boîte de dialogue Propriétés du site, dans l'onglet Général, modifiez la description du site dans la zone Description. Vous pouvez utiliser jusqu'à 1024 caractères. 7 Dans la boîte de dialogue Propriétés du site, dans l'onglet Général, sélectionnez une valeur, de 5 minutes à Jamais, dans la liste de délai d'expiration de la console. Le paramètre par défaut est d'une (1) heure. L'administrateur est automatiquement déconnecté de la console quand le délai d'expiration de la console est atteint. 8 Dans la boîte de dialogue Propriétés du site, dans l'onglet Général, cochez Supprimer les clients ne s'étant pas connectés depuis x jours. Vous pouvez supprimer les utilisateurs qui ne se sont pas connectés pendant un nombre spécifié de jours (de 1 à 99999). Le paramètre par défaut est activé pendant une période de trente (30) jours. 9 Dans la boîte de dialogue Propriétés de site, dans l'onglet Général, cochez Suivre chaque application excutée par les clients. Les applications apprises aidentles administrateurs à suivre l'accès au réseau d'un client etl'utilisation d'applications en enregistranttoutes les applications démarrées sur chaque client.Vous pouvez activer ou désactiver l'apprentissage des applications pour un site spécifique. Si cette option n'est pas activée, le suivi des applications ne se produit pas pour ce site. De même, le suivi des applications ne se produit plus même s'il est activé pour les clients qui se connectent au site indiqué. Cette option fonctionne comme une optionmaître. Géstion de sites d'entreprise uniques et multiples 267 Modification des propriétés du site10 Dans la boîte de dialogue Propriétés de site, dans l'onglet Général, sélectionnez un serveur de rapport dans la liste Sélectionner un serveur pour envoyer des notifications et exécuter des rapports planifiés. Cette option n'est appropriée que si vous utilisez une base de données Microsoft SQL qui est connectée à plusieurs bases de données. 11 Cliquez sur OK. Sauvegarde d'un site Quand vous sauvegardez des informations sur un site, vous effectuez la même tâche que lorsque vous sauvegardez une base de données pour un site. Se reporter à "Sauvegarde d'une base de données Microsoft SQL" à la page 308. Se reporter à "Sauvegarde d'une base de données intégrée à la demande à partir de Symantec Endpoint Protection Manager" à la page 313. Pour sauvegarder un site : 1 Dans la console de Symantec Endpoint Protection Manager, cliquez sur Administrateur. 2 Dans la page Administrateur, sous Tâches, cliquez sur Serveurs. 3 Dans la page Administrateur, sous Afficher, cliquez sur hôte local. 4 Dans la page Administrateur, sous Tâches, cliquez sur Modifier les paramètres de sauvegarde. 5 Dans la boîte de dialogue Site de sauvegarde pour le site local : Dans la boîte de dialogue nom de site du site local, sélectionnez le nom du serveur de sauvegarde dans la liste des serveurs de sauvegarde. Le chemin d'accès par défaut est C:\Program Files\Symantec\Symantec Endpoint Protection Manager\data\backup. Cependant, vous pouvezmodifier le nomdu chemin de sauvegarde en utilisant l'un des utilitaires de sauvegarde disponibles. 6 Sélectionnez le nombre de sauvegardes à conserver dans la liste intitulée Nombre de sauvegardes à conserver. Vous pouvez sélectionner jusqu'à 10 sauvegardes que vous pouvez conserver avant qu'une copie de sauvegarde soit automatiquement supprimée. 7 Cliquez sur OK. Géstion de sites d'entreprise uniques et multiples Sauvegarde d'un site 268Suppression de sites distants Lorsque vous supprimez un serveur sur le site distant d'une société, vous devez le supprimer manuellement de toutes les consoles Symantec Endpoint Protection Manager. Les serveurs sont répertoriées sous Sites distants. La désinstallation du logiciel de l'une des consoles Symantec Endpoint Protection Manager ne permet pas de faire disparaitre l'icône du volet Serveurs des autres consoles Symantec Endpoint Protection Manager. Pour supprimer des sites distants 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Admin. 2 Dans la page Admin, sous Tâches, cliquez sur Serveurs. 3 Dans la page Admin, sous Afficher, cliquez sur Sites distants. 4 Dans la page Admin, sous Afficher, développez Sites distants et sélectionnez le site que vous prévoyez de supprimer. 5 Cliquez sur Supprimer un site distant. Dans la boîte de dialogue Supprimer un site distant, vous êtes invité à confirmer la suppression du site distant : La suppression du site distant supprime également tous les partenariats de réplication auxquels ce site participe. Etes-vous sûr de vouloir supprimer ce site ? 6 Cliquez sur Oui pour supprimer le site distant. Vous pouvez rajouter un site distant qui a été supprimé en ajoutant un partenaire de réplication. Géstion de sites d'entreprise uniques et multiples 269 Suppression de sites distantsGéstion de sites d'entreprise uniques et multiples Suppression de sites distants 270Gestion des serveurs Ce chapitre traite des sujets suivants : ¦ A propos de la gestion des serveurs ¦ A propos des serveurs et des mots de passe tiers ¦ Démarrage et arrêt du service de Symantec Endpoint Protection Manager ¦ Accord ou refus d'accès aux consoles Symantec Endpoint Protection Manager distantes ¦ Suppression des serveurs sélectionnés ¦ Exportation et importation des paramètres de serveur A propos de la gestion des serveurs Vous pouvez gérer tous les types de serveurs de façon centralisée depuis la page Admin dans la console Symantec Endpoint Protection Manager. La pageAdmin, sousAfficher les serveurs, répertorie les regroupements suivants : ¦ Site local La console Symantec Endpoint Protection Manager du site local, les bases de données, les partenaires de réplication, tels que les autres consoles Symantec Endpoint Protection Manager dont les bases de données se répliquent et les modules d'application Enforcer facultatifs ¦ Sites distants Console Symantec Endpoint Protection Manager sur tout site distant, bases de données, partenaires de réplication, comme Symantec Endpoint Protection Manager dont les bases de données sont répliquées et boîtiers Enforcer facultatifs Chapitre 14A propos des serveurs et des mots de passe tiers Vous devez configurer desmots de passe tiers dans Symantec Endpoint Protection Manager pour tous les serveurs pour lesquels une connexion peut être établie. Lesmots de passe tiers sont automatiquement enregistrés dans la base de données que vous avez créée lors de l'installation initiale de Symantec Endpoint Protection Manager. Vous êtes généralement invité à fournir un mot de passe tiers lors de la configuration des types de serveur suivants : ¦ Serveurs de messagerie ¦ Serveurs de répertoires ¦ Serveurs RSA ¦ Serveurs proxy Démarrage et arrêt du service de Symantec Endpoint Protection Manager Quand vous installez Symantec Endpoint Protection Manager, la dernière étape de l'assistant de configuration du serveur inclut une case à cocher de console Symantec Endpoint Protection Manager (sélectionnée par défaut). Si vous laissez cette case à cocher sélectionnée, la console Symantec Endpoint ProtectionManager démarre automatiquement. Symantec Endpoint ProtectionManager s'exécute en tant que service automatique. S'il ne démarre pas automatiquement, vous pouvez le démarrer (etl'arrêter ensuite) en utilisant Services dans Outils d'administration du menu Démarrer. A partir d'une invite de commandes, vous pouvez démarrer et arrêter le service Symantec Endpoint Protection Manager de la façon suivante : net start Symantec Endpoint Protection Manager consolesemsrv et net stop semsrv Vous pouvez également redémarrer la console Symantec Endpoint Protection Manager pour lancer automatiquement le service. Gestion des serveurs A propos des serveurs et des mots de passe tiers 272Remarque : Si vous arrêtez le service Symantec Endpoint Protection Manager, les clients ne peuvent plus s'y connecter. Si les clients sont requis pour communiquer avec Symantec Endpoint Protection Manager afin de se connecter au réseau, l'accès leur est refusé jusqu'au redémarrage du service de Symantec Endpoint Protection Manager. Par exemple, un client doit communiquer avec Symantec Endpoint Protection Manager pour réussir une vérification de l'intégrité de l'hôte. Accord ou refus d'accès aux consoles Symantec Endpoint Protection Manager distantes Vous pouvez sécuriser la console Symantec Endpoint Protection Manager principale en accordant ou en refusant l'accès aux ordinateurs sur lesquels une console Symantec Endpoint ProtectionManager distante estinstallée. Par défaut, l'accès est autorisé à toutes les consoles. Les administrateurs peut ouvrir une session à la console Symantec Endpoint ProtectionManager principale localement ou à distance depuis n'importe quel ordinateur du réseau. Outre la possibilité d'accorder ou de refuser globalement l'accès, vous pouvez spécifier des exceptions par adresse IP. La liste d'exceptions refuse automatiquementl'accès si vous avez choisi d'accorder l'accès à toutes les consoles distantes. A l'inverse, si vous refusez l'accès à toutes les consoles distantes, vous accordez automatiquement l'accès à toutes les exceptions. Quand vous créez une exception, l'ordinateur que vous avez spécifié doit avoir une adresse IP statique. Vous pouvez également créer une exception pour un groupe d'ordinateurs en spécifiant un masque de sous-réseau. Par exemple, vous pouvez autoriser l'accès dans toutes les zones que vous gérez. Cependant, vous pouvez refuser l'accès à une console Symantec Endpoint Protection Manager qui se trouve dans une zone public. Pour accorder ou refuser l'accès à une console Symantec Endpoint Protection Manager distante 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Admin. 2 Dans la page Admin, sous Tâches, cliquez sur Serveurs. 3 Ala pageAdmin, sousAfficher les serveurs, sélectionnez le serveur dont vous voulez changer l'autorisation d'accès à la console. 4 Sous Tâches, cliquez sur Modifier les propriétés du serveur. 5 Dans l'onglet Général, cliquez sur Accès autorisé ou Accès refusé. Gestion des serveurs 273 Accord ou refus d'accès aux consoles Symantec Endpoint Protection Manager distantes6 Si vous voulez spécifier des adresses IP des ordinateurs qui sont exempts de cette autorisation d'accès à la console, cliquez sur Ajouter. Les ordinateurs que vous ajoutez deviennent des exceptions par rapport à ceux auxquels l'accès est accordé. L'accès est refusé à ces ordinateurs. Si vous sélectionnez Accès refusé, les ordinateurs que vous spécifiez deviennent les seuls auxquel l'accès est autorisé. Créez une exception pour un ordinateur unique ou un ensemble d'ordinateurs. 7 Dans la boîte de dialogue Refuser l'accès console, cliquez sur l'une des options suivantes : ¦ Ordinateur individuel Pour un ordinateur individuel, tapez l'adresse IP. ¦ Groupe d'ordinateurs Pour plusieurs ordinateurs, tapez à la fois l'adresse IP et le masque de sous-réseau du groupe. 8 Cliquez sur OK. Les ordinateurs apparaissent maintenant dans la liste d'exceptions. L'état d'autorisation de chaque adresse IP/masque apparaît. Si vous modifiez Accès autorisé pour Accès refusé ou vice versa, toutes les exceptions changent également. Si vous avez créé des exceptions pour refuser l'accès, l'accès leur est maintenant accordé. 9 Cliquez sur Modifier tout pour modifier les adresses IP ou les noms d'hôte des ordinateurs qui apparaissent dans la liste d'exceptions. L'éditeur d'adresse IP apparaît. L'éditeur d'adresse IP est un éditeur de texte qui vous permet de modifier des adresses IP et des masques de sous-réseau. 10 Cliquez sur OK. 11 Quand vous avez terminé d'ajouter des exceptions à la liste ou de modifier la liste, cliquez sur OK. Suppression des serveurs sélectionnés Il est possible que vous ayez désinstallé plusieurs Symantec Endpoint Protection Manager. Il est toutefois possible qu'ils apparaissent encore dans la console de Symantec Endpoint Protection Manager. Dans ce cas, vous devez supprimer les connexions. Ces situations se présentent généralement lorsque vous utilisez une base de donnéesMicrosoft SQL à laquelle plusieurs SymantecEndpointProtectionManager sont connectés. Les SymantecEndpointProtectionManager désinstallés continuent Gestion des serveurs Suppression des serveurs sélectionnés 274à apparaître sur les autres consoles. Vous devez supprimer manuellement les serveurs qui ne sont plus connectés. Pour supprimer les serveurs sélectionnés 1 Dans la console de Symantec Endpoint Protection Manager, cliquez sur Admin. 2 Dans la page Admin, sous Tâches, cliquez sur Serveurs. 3 Dans la page Admin, sous Afficher les serveurs, développez Site local () pour sélectionner le Symantec Endpoint Protection Manager que vous voulez supprimer. Notez que vous devez arrêter le service Symantec Endpoint Protection Manager avant de pouvoir le supprimer. Se reporter à "Démarrage et arrêt du service de Symantec Endpoint Protection Manager" à la page 272. 4 Cliquez sur Supprimer le serveur sélectionné. 5 Cliquez sur Oui pour confirmer que vous voulez supprimer le serveur sélectionné. Exportation etimportation des paramètres de serveur Vous pouvez exporter ou importer des paramètres pour un Symantec Endpoint ProtectionManager. Les paramètres sont exportés vers un fichier au format.xml. Pour exporter des paramètres de serveur 1 Cliquez sur l'onglet Serveurs. 2 Dans l'arborescence, développez Site local (Site nom_site), puis sélectionnez le serveur de gestion à exporter. 3 Cliquez sur Exporter les propriétés du serveur. 4 Sélectionnez un emplacement dans lequel enregistrer le fichier et spécifiez un nom de fichier. 5 Cliquez sur Exporter. Pour importer des paramètres de serveur 1 Cliquez sur l'onglet Serveurs. 2 Dans l'arborescence, développez Site local (Site nom_site), puis sélectionnez le serveur de gestion dont vous voulez importer les paramètres. 3 Cliquez sur Importer les propriétés du serveur. Gestion des serveurs 275 Exportation et importation des paramètres de serveur4 Sélectionnez le fichier que vous souhaitez importer, puis cliquez sur Importer. 5 Cliquez sur Oui pour confirmer l'importation. Gestion des serveurs Exportation et importation des paramètres de serveur 276Gestion des serveurs de répertoires Ce chapitre traite des sujets suivants : ¦ A propos de la gestion des serveurs de répertoires ¦ Ajout de serveurs de répertoires ¦ Synchronisation des comptes utilisateurs entre des serveurs de répertoires et un Symantec Endpoint Protection Manager ¦ Importation d'informations sur les utilisateurs à partir d'un serveur de répertoires LDAP ¦ Recherche d'utilisateurs sur un serveur de répertoires LDAP ¦ Importation d'utilisateurs à partir d'une liste de résultats de recherche issue d'un serveur de répertoires LDAP ¦ A propos des unités organisationnelles et du serveur LDAP A propos de la gestion des serveurs de répertoires Vous devez configurer Symantec Endpoint Protection Manager de manière à ce qu'il communique avec un serveur de répertoires.Vous devez établir une connexion entre les serveurs de répertoires et Symantec Endpoint Protection Manager. Si vous n'établissez pas une connexion, vous ne pourrez ni importer des utilisateurs à partir des serveurs de répertoires Active Directory ou LDAP, ni les synchroniser avec ceux-ci. Chapitre 15Ajout de serveurs de répertoires Avec les serveurs Active Directory, vous ne pouvez pas filtrer les utilisateurs. Avec les serveurs LDAP, vous pouvez filtrer les utilisateurs avant d'importer des données. Par conséquent vous pouvez ajouter un serveur Active Directory compatible LDAP en tant que serveur LDAP si vous devez filtrer les données. Lorsque vous avez terminé d'ajouter un serveur de répertoires, vous pouvez configurer la synchronisation. Se reporter à "Synchronisation des comptes utilisateurs entre des serveurs de répertoires et un Symantec Endpoint Protection Manager" à la page 279. Pour ajouter des serveurs de répertoires 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Admin. 2 Dans la page Admin, sous Tâches, cliquez sur Serveurs. 3 Dans la page Admin, sous Afficher les serveurs, sélectionnez la Symantec Endpoint Protection Manager auquel vous voulez ajouter un serveur de répertoires. 4 Dans la page Admin, sous Tâches, cliquez sur Modifier les propriétés du serveur. 5 Dans la boîte de dialogue Propriétés du serveur pour nom_site, dans l'onglet Serveurs de répertoires, cliquez sur Ajouter. 6 Dans la boîte de dialogue Ajouter un serveur de répertoires, tapez le nom du serveur de répertoires que vous voulez ajouter dans le champ Nom. 7 Dans la boîte de dialogue Ajouter serveur de répertoire, cochez Active Directory ou LDAP en type de serveur. 8 Dans la boîte de dialogue Ajouter un serveur de répertoires, tapez l'adresse IP, le nom d'hôte ou le nom de domaine dans la zone Adresse IP ou nom de serveur. Vous devez taper l'adresse IP, le nom d'hôte ou le nom de domaine du serveur de répertoires que vous voulez ajouter. 9 Si vous ajoutez un serveur LDAP, tapez le numéro de port du serveur LDAP dans la zone Port LDAP. Vous ne pouvez pas modifier les valeurs si vous ajoutez un serveur Active Directory. Le paramètre de port par défaut est 389. 10 Si vous ajoutez un serveur LDAP, tapez le DN de base LDAP dans la zone DN de base LDAP. Gestion des serveurs de répertoires Ajout de serveurs de répertoires 27811 Tapez le nom d'utilisateur du compte de serveur du répertoire autorisé dans la zone Nom d'utilisateur. 12 Tapez le mot de passe du compte du serveur de répertoires dans la zone Mot de passe. 13 Si vous voulez vous connecter avec le serveur de répertoire utilisant SSL (Secure Sockets Layer), sélectionnez Utiliser une connexion sécurisée. Si vous n'activez pas cette option, une connexion normale non codée est utilisée. 14 Cliquez sur OK. Synchronisation des comptes utilisateurs entre des serveurs de répertoires et un Symantec Endpoint Protection Manager Vous pouvez configurer des serveurs de répertoires pour importer et synchroniser des utilisateurs avec le Symantec Endpoint Protection Manager. Vous devez d'abord ajouter les serveurs de répertoires avant de pouvoir synchroniser des informations sur les utilisateurs. Pour synchroniser des comptes d'utilisateurs entre des serveurs de répertoires et un Symantec Endpoint Protection Manager 1 Dans la console de Symantec Endpoint Protection Manager, cliquez sur Admin. 2 Dans la page Administration, sous Tâches, cliquez sur Serveurs. 3 Dans la pageAdministration, sousAfficher, sélectionnez le SymantecEndpoint Protection Manager auquel vous voulez ajouter un serveur de répertoire. 4 Dans la pageAdministration, sous Tâches, cliquez surModifierlespropriétés du serveur. 5 Dans la boîte de dialogue Propriétés du serveur, cliquez sur l'onglet Serveurs de répertoires. 6 Cochez la case Synchroniser avec les serveurs de répertoires si nécessaire. Il s'agit du paramètre par défaut. 7 Pour définir la fréquence de synchronisation du serveur de gestion avec le serveur de répertoires, procédez à l'une des actions suivantes : ¦ Pour réaliser une synchronisation automatique toutes les 24 heures, cliquez sur Planification automatique. Gestion des serveurs de répertoires 279 Synchronisation des comptes utilisateurs entre des serveurs de répertoires et un Symantec Endpoint Protection ManagerLe paramètre par défaut est programmé pour synchroniser toutes les 86400 secondes. Vous pouvez également personnaliser l'interfvalle en modifiant le fichier tomcat\etc\conf.properties. ¦ Pour spécifier la fréquence à laquelle vous souhaitez réaliser une synchronisation, cliquez sur Synchroniser toutes les et indiquez un nombre d'heures. 8 Cliquez sur OK. Importation d'informations surles utilisateurs à partir d'un serveur de répertoires LDAP Les administrateurs peuventimporter des informations sur les comptes utilisateur et ordinateur à partir d'un serveur de répertoires LDAP à l'aide du protocole LDAP. Si vous prévoyez d'importer des informations sur les utilisateurs et les comptes, vous devez dans un premier temps établir une connexion entre Symantec Endpoint Protection Manager un serveur de répertoires. Se reporter à "Ajout de serveurs de répertoires" à la page 278. Vous pouvez alors rechercher et importer des informations sur les utilisateurs et les comptes en effectuant les tâches suivantes : ¦ Recherchez des utilisateurs sur le serveur LDAP. Se reporter à "Recherche d'utilisateurs sur un serveur de répertoires LDAP" à la page 280. ¦ Importez les informations sur les comptes utilisateur. Se reporter à "Importation d'utilisateurs à partir d'une liste de résultats de recherche issue d'un serveur de répertoires LDAP" à la page 283. Recherche d'utilisateurs sur un serveur de répertoires LDAP Pour importer des informations sur des utilisateurs vers le serveur de gestion, vous devez rechercher ces utilisateurs sur un serveur LDAP. Pour rechercher des utilisateurs sur un serveur de répertoires LDAP 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Clients. 2 Dans la page Clients, sous Afficher, sélectionnez le groupe dans lequel vous souhaitez importer les utilisateurs. Gestion des serveurs de répertoires Importation d'informations sur les utilisateurs à partir d'un serveur de répertoires LDAP 2803 Dans la page Clients, sousTâches, cliquez sur ImporterlesutilisateursActive Directory et LDAP. 4 Dans la boîte de dialogue Importer les utilisateurs Active Directory et LDAP, tapez l'adresse IP ou le nom d'hôte dans la zone Serveur. 5 Dans la boîte de dialogue Importer les utilisateurs Active Directory et LDAP, saisissez le numéro de port du serveur LDAP ou du serveur Active Directory dans la zone Port du serveur. Le numéro de port par défaut est 389. 6 Si vous souhaitez vous connecter au serveur de répertoires à l'aide de Secure Sockets Layer (SSL), cliquez sur Utiliser une connexion sécurisée. Si vous ne cochez pas cette case, une connexion non codée sera utilisée. Gestion des serveurs de répertoires 281 Recherche d'utilisateurs sur un serveur de répertoires LDAP7 Affichez les utilisateurs en cliquant sur Répertorier des utilisateurs. Vous pouvez également taper une requête LDAP afin de localiser les noms des utilisateurs que vous souhaitez importer dans la zone Base de recherche LDAP. Vous pouvez spécifier des options de recherche telles que des paires attribut=valeur. Vous devez séparer les attributs par des virgules. CN CommonName DC DomainComponent L LocalityName ST StateOrProvinceName O OrganizationName OU OrganizationalUnitName C CountryName STREET StreetAddress La disponibilité des options varie en fonction des serveurs LDAP. Par exemple, Microsoft Active Directory ne prend pas en charge l'attribut O. L'ordre dans lequel vous spécifiez les paires attribut=valeur est important puisqu'il indique l'emplacement de l'entrée dans la hiérarchie des répertoires LDAP. Si vous spécifiez un nomde domaine de type DNS tel que itsupport.sygate.com pendantl'installation d'un serveur de répertoires, vous pourrez effectuer des recherches sur ce serveur de répertoires, itsupport étant un nom typique de domaine NetBIOS. Pour effectuer des recherches sur un serveur Active Directory, vous devez spécifier la base de recherche LDAP dans cet ordre : CN=Users, DC=itsupport, DC=sygate, DC=com Vous pouvez utiliser des caractères génériques ou des expressions standard dans la base de recherche. Par exemple : CN=a*, CN=Users, DC=itsupport, DC=sygate, DC=com Cette requête renvoie tous les noms d'utilisateur qui commencent par la lettre a. Gestion des serveurs de répertoires Recherche d'utilisateurs sur un serveur de répertoires LDAP 282Un autre exemple représente les organismes dans lesquels vous êtes susceptible de vouloir effectuer une recherche de répertoire structurale : mycorp.com -> engineering.mycorp.com ou sales.mycorp.com Vous pouvez spécifier l'une ou l'autre de ces options selon l'emplacement où vous souhaitez lancer la recherche sur le répertoire LDAP. o=mycorp.com ou o=engineering.mycorp.com Vous pouvez spécifier une comparaison en plaçant des opérateurs logiques > ou < dans le chaîne de recherche LDAP. Toute requête LDAP aboutissant à plus de 1 000 résultats est susceptible d'échouer. Veillez à installer la base de recherche de façon à cemoins de 1 000 utilisateurs soient renvoyés. 8 Saisissez le nom du compte d'utilisateur LDAP dans la zone Compte autorisé. 9 Saisissez le mot de passe du compte d'utilisateur LDAP dans la zone Mot de passe. 10 Cliquez sur Répertorierdesutilisateurs pour afficher une liste des utilisateurs disponibles sur le serveur LDAP. Si la case Afficher uniquement les utilisateurs qui n'appartiennent à aucun groupe est cochée, seuls les utilisateurs qui n'appartiennent à aucun groupe et qui n'ont pas déjà été ajoutés apparaissent. Importation d'utilisateurs à partir d'une liste de résultats de recherche issue d'un serveur de répertoires LDAP Vous pouvez également importer des utilisateurs à partir d'une liste de résultats de recherche issue d'un serveur LDAP. Pour importer des utilisateurs à partir d'une liste de résultats de recherche issue d'un serveur de répertoires LDAP 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Clients. 2 Dans l'arborescence Liste des groupes, sélectionnez le groupe auquel vous souhaitez ajouter des utilisateurs à partir du serveur de LDAP. Cliquez sur Ajouter tout pour ajouter tous les utilisateurs ou sélectionnez des utilisateurs particuliers dans la liste avant de cliquer sur Ajouter. Gestion des serveurs de répertoires 283 Importation d'utilisateurs à partir d'une liste de résultats de recherche issue d'un serveur de répertoires LDAP3 Cliquez sur le nom de la zone que vous souhaitez utiliser pour le tri. Vous pouvez trier les résultats de la recherche par champ dans l'ordre décroissant ou croissant. 4 Sélectionnez un ou plusieurs utilisateurs dans la liste des utilisateurs LDAP. Vous pouvez utiliser les touches de sélection standard deWindows,telles que la touche de Ctrl, pour sélectionner des utilisateurs non contigus. 5 Cliquez sur Ajouter de sorte que les noms de nouveaux utilisateurs apparaissent dans l'arborescence du groupe. 6 Répétez cette procédure pour ajouter des utilisateurs à d'autres groupes jusqu'à ce que vous ayez ajouté tous les nouveaux utilisateurs aux groupes appropriés. 7 Cliquez sur Fermer. A propos des unités organisationnelles et du serveur LDAP Symantec Endpoint Protection Manager peut automatiquement synchroniser les utilisateurs, les ordinateurs et l'ensemble de la structure de groupe d'une unité organisationnelle (UO) à partir d'un serveur Active Directory ou LDAP. Une fois les unités organisationnelles importées, vous pouvez attribuer des politiques aux groupes créés. Les unités organisationnelles importées ne peuvent pas être modifiées dans la console Symantec Endpoint Protection Manager. L'ajout, la suppression et la modification des unités organisationnelles s'effectuent sur le serveur LDAP. Symantec Endpoint Protection Manager reste automatiquement synchronisé avec la structure qui est mise en œuvre sur le serveur de répertoires si vous activez la synchronisation. Vous pouvez également créer des groupes sur Symantec Endpoint Protection Manager et leur assigner des utilisateurs issus de l'unité organisationnelle. Un même utilisateur peut appartenir à la fois au groupe du serveur de gestion et à une unité organisationnelle. Dans ce cas, le groupe a préséance sur l'unité organisationnelle et c'est donc la politique du groupe qui s'applique à l'utilisateur ou à l'ordinateur. Importation d'unités organisationnelles à partir d'un serveur Active Directory ou LDAP Si vous souhaitez importer une unité organisationnelle ou un conteneur, vous devez déjà avoir connecté Symantec Endpoint Protection Manager à un serveur LDAP. Gestion des serveurs de répertoires A propos des unités organisationnelles et du serveur LDAP 284Se reporter à "Ajout de serveurs de répertoires" à la page 278. Vous ne pouvez pas filtrer les résultats de la boîte de dialogue Importer une unité organisationnelle. Si vous souhaitez filtrer les utilisateurs, vous devez le faire au moment de l'ajout du serveur LDAP à Symantec Endpoint Protection Manager. Les serveurs Active Directory ne peuvent en aucun cas être filtrés. La durée de ce processus varie en fonction du nombre d'utilisateurs. Une unité organisationnelle ne peut pas être placée dans plus d'une arborescence de groupe. Pour importer une unité organisationnelle à partir d'un serveur LDAP 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Clients. 2 Dans la page Clients, sous Afficher, sélectionnez le groupe auquel vous souhaitez ajouter l'unité organisationnelle ou le conteneur. 3 Dans la page Clients, sous Tâches, cliquez sur Importer une unité ou un conteneur organisationnels. 4 Choisissez le domaine. 5 Sélectionnez l'unité organisationnelle. 6 Cliquez sur OK. Synchronisation des unités organisationnelles L'intégration et la synchronisation avec les serveurs LDAP et Active Directory sont des fonctionnalités facultatives de Symantec Endpoint Protection Manager. Vous pouvez importer des unités organisationnelles à partir d'autres serveurs et configurer la synchronisation automatique de l'unité organisationnelle importée avec les autres serveurs. Les modifications que vous apportez sur le serveur LDAP n'apparaissent pas immédiatement dans l'unité organisationnelle qui a été importée dans Symantec Endpoint Protection Manager. Le temps d'attente dépend de la fréquence de synchronisation.Vous pouvez définir la fréquence de synchronisation enmodifiant les propriétés du serveur sur Symantec Endpoint Protection Manager. Le nom d'utilisateur apparaît toujours dans le groupe sur Symantec Endpoint Protection Manager, même si vous avez effectué les tâches suivantes : ¦ copié un utilisateur à partir d'une unité organisationnelle vers un groupe ; ¦ supprimé cet utilisateur du serveur LDAP. La synchronisation se produit uniquement entre le serveur LDAP et l'unité organisationnelle. Gestion des serveurs de répertoires 285 A propos des unités organisationnelles et du serveur LDAPGestion des serveurs de répertoires A propos des unités organisationnelles et du serveur LDAP 286Gestion des serveurs de messagerie Ce chapitre traite des sujets suivants : ¦ A propos de la gestion des serveurs de messagerie ¦ Etablissement de la connexion entre Symantec Endpoint Protection Manager et des serveurs de messagerie A propos de la gestion des serveurs de messagerie Si votre réseau prend en charge des serveurs de messagerie électronique, vous voudrez peut-être effectuer les tâches suivantes après avoir établi la communication entre le Symantec Endpoint Protection Manager et le serveur d'adresse électronique : ¦ Installez les notifications automatiques par message électronique pour que les événements de sécurité soient envoyés aux administrateurs. ¦ Installez les notifications automatiques par message électronique pour que les événements de sécurité soient envoyés aux clients. Les notifications automatiques par message électronique peuvent se produire seulement si vous établissez une connexion entre Symantec Endpoint Protection Manager et au moins un des serveurs de messagerie du réseau. Se reporter à "Configurer les messages électroniques pour les événements de trafic" à la page 544. Chapitre 16Etablissement de la connexion entre Symantec Endpoint Protection Manager et des serveurs de messagerie Si vous souhaitez utiliser des notifications de messagerie, vous devez configurer le serveur de messagerie sur Symantec Endpoint Protection Manager. Pour établir la connexion entre Symantec Endpoint Protection Manager et des serveurs de messagerie 1 Dans la console de Symantec Endpoint Protection Manager, cliquez sur Admin. 2 Dans la page Admin, sous Tâches, cliquez sur Serveur. 3 Dans la page Admin, sous Afficher les serveurs, sélectionnez Symantec Endpoint Protection Manager pour lequel vous souhaitez établire une connexion au serveur de messagerie. 4 Dans la page Admin, sous Tâches, cliquez sur Modifier les propriétés du serveur. 5 Dans la boîte de dialogue Propriétés de serveur, cliquez sur l'onglet de Serveur de messagerie. 6 Tapez l'adresse IP, le nom d'hôte ou le nom de domaine du serveur de messagerie dans la zone Adresse du serveur. 7 Tapez le nom d'utilisateur du compte du serveur de messagerie dans la zone Nom d'utilisateur. Vous devez ajouter un nom d'utilisateur uniquement si le serveur de messagerie requiert une authentification. 8 Dans la boîte de dialogue Propriétés du serveur, tapez le mot de passe d'un compte du serveur de messagerie dans la zone Mot de passe. Vous devez ajouter un mot de passe uniquement si le serveur de messagerie requiert une authentification. 9 Cliquez sur OK. Gestion des serveurs de messagerie Etablissement de la connexion entre Symantec Endpoint Protection Manager et des serveurs de messagerie 288Gestion des serveurs proxy Ce chapitre traite des sujets suivants : ¦ A propos des serveurs proxy ¦ Configuration d'une connexion entre un serveur proxy HTTP et Symantec Endpoint Protection Manager ¦ Installation d'une connexion entre un serveur proxy FTP etlemodule Symantec Endpoint Protection Manager A propos des serveurs proxy Vous pouvez utiliser les serveurs proxy HTTP et FTP pour vous aider à gérer LiveUpdate. Vous pouvez établir des connexions entre lemodule Symantec Endpoint Protection Manager et les types de serveur suivants : ¦ serveur proxy HTTP ¦ serveur proxy FTP Configuration d'une connexion entre un serveur proxy HTTP et Symantec Endpoint Protection Manager Si vous prenez en charge un serveur proxy HTTP dans le réseau d'entreprise, vous devez connecter celui-ci à Symantec Endpoint Protection Manager. Vous pouvez utiliser le serveur proxy HTTP pour télécharger automatiquement le contenu LiveUpdate. Chapitre 17Pour configurer un serveur proxy HTTP 1 Dans la console de Symantec Endpoint Protection Manager, cliquez sur Admin. 2 Dans la page Admin, sous Tâches, cliquez sur Serveurs. 3 Sous Afficher les serveurs, sélectionnez Symantec Endpoint Protection Manager auquel vous voulez connecter un serveur proxy HTTP. 4 Sous Tâches, cliquez sur Modifier les propriétés du serveur. 5 Dans la boîte de dialogue Propriétés de serveur, cliquez sur l'onglet Serveur proxy. 6 Sous Paramètres proxy HTTP, sélectionnez Utiliser les paramètres proxy personnalisés dans la liste. 7 Tapez l'adresse IP du serveur proxy HTTP dans la zone d'adresse du serveur. Une adresse IP ou un nom du serveur valide ayant jusqu'à 256 caractères. 8 Tapez le numéro de port du serveur proxy dans la zone Port. Les numéros de port valides vont de 0 à 65535. 9 Cochez la case Authentificationnécessaireàlaconnexionviaserveurproxy. 10 Tapez le nom d'utilisateur du serveur proxy dans la zone appropriée. 11 Tapez le mot de passe du serveur proxy auquel vous voulez vous connecter dans la zone Mot de passe. 12 Cliquez sur OK. Installation d'une connexion entre un serveur proxy FTP et le module Symantec Endpoint Protection Manager Si vous prenez en charge un serveur proxy FTP dans le réseau d'entreprise, vous devez connecter le serveur proxy FTP à Symantec Endpoint Protection Manager. Vous pouvez utiliser le serveur proxy HTTP pour télécharger automatiquement le contenu de LiveUpdate. Pour configurer une connexion entre un serveur proxy FTP etle Symantec Endpoint Protection Manager : 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Admin. 2 Dans la page Administrateur, sous Tâches, cliquez sur Serveurs. Gestion des serveurs proxy Installation d'une connexion entre un serveur proxy FTP et le module Symantec Endpoint Protection Manager 2903 Sous Afficher les serveurs, sélectionnez le Symantec Endpoint Protection Manager auquel vous souhaitez connecter un serveur proxy FTP. 4 Sous Tâches, cliquez sur Modifier les propriétés du serveur. 5 Dans la boîte de dialogue Propriétés de serveur, cliquez sur l'onglet Serveur proxy. 6 Sous Paramètres de serveurs proxy FTP, sélectionnez Utiliserlesparamètres Proxy personnalisés dans la liste d'utilisation Proxy. 7 Tapez l'adresse IP du serveur proxy FTP dans la zone Adresse du serveur. L'adresse IP ou le nom du serveur peut contenir un maximum de 256 caractères. 8 Saisissez le numéro du port du serveur proxy dans le champ Port. Un numéro de port valide s'étend de 0 à 65535. 9 Cliquez sur OK. Gestion des serveurs proxy 291 Installation d'une connexion entre un serveur proxy FTP et le module Symantec Endpoint Protection ManagerGestion des serveurs proxy Installation d'une connexion entre un serveur proxy FTP et le module Symantec Endpoint Protection Manager 292Gestion des serveurs RSA Ce chapitre traite des sujets suivants : ¦ A propos des conditions préalables pour l'utilisation de RSA SecurID avec Symantec Endpoint Protection Manager ¦ Configurer Symantec Endpoint ProtectionManager pour utiliserRSASecurID Authentication ¦ Spécification d'une authentification SecurID pour un administrateur Symantec Endpoint Protection Manager ¦ Configuration du serveur de gestion pour prendre en charge la communication HTTPS A propos des conditions préalables pour l'utilisation de RSA SecurID avec Symantec Endpoint Protection Manager Si vous voulez authentifier des administrateurs utilisant Symantec Endpoint Protection Manager avec RSA SecurID, vous devez activer l'authentification chiffrée en exécutant l'assistant d'installation de RSA. Avant d'exécuter l'assistant, assurez-vous que : ¦ Un serveur RSA ACE est installé. ¦ L'ordinateur sur lequel vous avez installé Symantec Endpoint Protection Manager est enregistré comme hôte valide sur le serveur RSA ACE. ¦ Créez le fichier secret de nœud pour le même hôte. ¦ Le fichier sdconf.rec sur le serveur RSA ACE est accessible sur le réseau. Chapitre 18¦ Une clé ou une carte SecurID synchronisée a été assignée à un compte Symantec Endpoint Protection Manager. Le nom de connexion doit être activé sur le serveur du RSA ACE. ¦ L'administrateur possède le code RSA ou le mot de passe. Symantec prend en charge les types suivants de connexions RSA : ¦ Jeton RSA SecurID (pas des jetons RSA de logiciel) ¦ Carte RSA SecurID ¦ Carte de pavé numérique RSA (pas de cartes à puce RSA) Pour se connecter à Symantec Endpoint Protection Manager avec RSA SecurID, l'administrateur a besoin d'un nom de connexion, du jeton (matériel) et d'un code PIN. Configurer Symantec Endpoint Protection Manager pour utiliser RSA SecurID Authentication Si votre réseau d'entreprise comprend un serveur RSA, vous devez installer le logiciel pour un agent RSA ACE sur l'ordinateur sur lequel vous avez installé Symantec Endpoint Protection Manager et le configurer en tant que client d'authentification SecurID. Symantec Endpoint ProtectionManager est également appelé serveur de gestion. Pour configurer l'authentification SecurID RSA sur Symantec Endpoint Protection Manager 1 Installez le logiciel pour l'agent RSA ACE sur l'ordinateur sur lequel vous avez installé Symantec Endpoint Protection Manager. Vous pouvez installer le logiciel en exécutant le fichier .msi de Windows à partir du CD d'agent d'authentification RCA. 2 Copiez les fichiers nodesecret.rec, sdconf.rec et agent_nsload.exe du serveur RSA ACE sur l'ordinateur sur lequel vous avez installé Symantec Endpoint Protection Manager. 3 A l'invite, saisissez la commande qui suit : agent_nsload -f nodesecret.rec -pmotdepassepourlefichiernodesecret 4 Dans la console de gestion, cliquez sur Administration. 5 Dans la page Administration, sous Tâches, cliquez sur Serveurs. 6 Dans la page Administration, sous Afficher les serveurs, sélectionnez le Symantec Endpoint Protection Manager auquel vous voulez connecter un serveur RSA. Gestion des serveurs RSA Configurer Symantec Endpoint Protection Manager pour utiliser RSA SecurID Authentication 2947 Dans la page Administration, sous Tâches, cliquez sur Configurer l'authentification SecurID. 8 Au panneau de bienvenue de l'assistant de configuration de l'authentification SecurID, cliquez sur Suivant. 9 Au panneau Qualification du panneau Assistant de configuration de l'authentification SecurID, lisez les informations nécessaires afin de pouvoir répondre à toutes les exigences. 10 Cliquez sur Suivant. 11 Au panneau Charger le fichier RSA du panneau Assistant de configuration de l'authentification SecurID, recherchez le dossier dans lequel se trouve le fichier sdconf.rec. Vous pouvez également taper le nom du chemin d'accès. 12 Cliquez sur Suivant. 13 Cliquez sur Test pour tester votre configuration. 14 Dans la boîte de dialogue Tester la configuration, tapez le nom d'utilisateur et le mot de passe pour votre SecurID puis cliquez sur Test. Il authentifie maintenant avec succès. Spécification d'une authentification SecurID pour un administrateur Symantec Endpoint Protection Manager Vous pouvez spécifier que les administrateurs doivent d'abord être authentifiés par SecurID pour pouvoir se connecter la console de gestion. Vous pouvez créer un nouvel administrateur ou modifier les paramètres pour un administrateur existant. La procédure décrit ici comment spécifier l'authentification pour un nouvel administrateur. Se reporter à "Ajout d'un administrateur" à la page 85. Pour créer une authentification SecurID pour un administrateur Symantec Endpoint Protection Manager 1 Dans la console de gestion, cliquez sur Administrateur. 2 Sur la page Administrateur, sous Tâches, sélectionnez Administrateurs. 3 Sur la page Administrateurs, sous Tâches, sélectionnez Ajouter un administrateur. Gestion des serveurs RSA 295 Spécification d'une authentification SecurID pour un administrateur Symantec Endpoint Protection Manager4 Dans la boîte de dialogue Ajouter un administrateur, tapez le nom d'un utilisateur que vous avez précédemment configuré pour le client RSA ACE. 5 En regard de Type d'authentification, cliquez sur Modifier. 6 Dans la boîte de dialogue Authentification de l'administrateur, sélectionnez Authentification RSA SecurID , puis cliquez sur OK. 7 Dans la boîte de dialogue Ajouter un administrateur, cliquez sur OK. Configuration du serveur de gestion pour prendre en charge la communication HTTPS Si vous prévoyez d'utiliser la communication HTTPS et l'authentification SSL entre les clients, Symantec Endpoint Protection Managers et les modules d'application Enforcer facultatifs, vous devez ajouter un certificat SSL.Vous devez ajouter le certificat SSL à Internet Information Server (IIS) de Microsoft. Vous devez effectuer les tâches suivantes dans cet ordre : ¦ Générez ou achetez un certificat SSL. ¦ Ajoutez le certificat au serveur IIS qui est installé sur le même ordinateur que Symantec Endpoint Protection Manager. ¦ Configurez les listes de serveurs de gestion devant prendre en charge la communication HTTPS. Pour ajouter le certificat au serveur IIS 1 Cliquez sur Démarrer > Programmes > Outils d'administration > Internet Information Services (IIS)Manager. 2 Dans l'ordinateur local, sélectionnez ServeurWeb Symantec sous SitesWeb. 3 Cliquez avec le bouton droit de la souris sur ServeurWeb Symantec et choisissez Propriétés. 4 Dans l'onglet Sécurité du répertoire, cliquez sur Certificat de serveur pour démarrer l'assistant de certificat de serveur Web. 5 Créez ou importez un certificat de serveur en suivantles étapes de l'assistant. Pour plus d'informations, reportez-vous à l'aide en ligne IIS. 6 Dans l'onglet Site Web, spécifiez le numéro du port SSL (443 par défaut). Gestion des serveurs RSA Configuration du serveur de gestion pour prendre en charge la communication HTTPS 296Gestion des certificats de serveur Ce chapitre traite des sujets suivants : ¦ A propos des types de certificats de serveur ¦ Mise à jour d'un certificat de serveur avec un assistant ¦ Sauvegarde d'un certificat de serveur ¦ Recherche du mot de passe keystore A propos des types de certificats de serveur Les certificats numériques constituentla norme industrielle pour l'authentification et le chiffrement des données sensibles. Si vous voulez empêcher la lecture des informations lorsqu'elles traversent des routeurs dans le réseau, vous devez chiffrer les données. Par conséquent vous avez besoin d'un certificat numérique qui utilise le protocole HTTPS. En tant qu'élément de cette procédure sécurisée, le serveur s'identifie et s'authentifie avec un certificat de serveur. Symantec utilise le protocole HTTPS pour la communication entre tous les serveurs, clients et modules d'application Enforcer facultatifs dans un réseau. Vous devez également activer le chiffrement sur le serveur de gestion de sorte que le serveur s'identifie et s'authentifie avec un certificat de serveur. Si vous n'activez pas cette option, l'installation d'un certificat numérique est inefficace. Symantec Endpoint Protection Manager prend en charge les types de certificats suivants : ¦ Fichier keystore JKS (.jks) Chapitre 19Un outilJava appelé keytool.exe génère le fichier keystore. Symantec ne prend en charge que le format de la norme clé Java (JKS). Le format Java d'Extension de cryptographie (JCEKS) requiert une version spécifique de Java Runtime Environment(JRE). Symantec Endpoint ProtectionManager ne prend en charge que les fichiers keystore de JCEKS générés avec la même version que le kit de développement Java (JDK) sur Symantec Endpoint Protection Manager. ¦ Fichier keystore PKCS12 (.pfx et .p12) Le keystore doit contenir à la fois un certificat et une clé privée. Le mot de passe keystore doit être identique au mot de passe clé. Il est habituellement exporté à partir d'Internet Information Services (IIS). ¦ Certificat et fichier de clé privée (formats DER et PEM) Symantec prend en charge les certificats et les clés privées non cryptés dans le format DER ou PEM. Les fichiers de clé privée PKCS8 cryptés ne sont pas pris en charge. Vous pouvez sauvegarder les informations sur le certificat comme mesure de sécurité. Si le serveur de gestion est endommagé ou si vous avez oublié le mot de passe de Keystore, vous pouvez facilement récupérer le mot de passe. Mise à jour d'un certificat de serveur avec un assistant Vous pouvez utiliser l'assistant de mise à jour de certificat de serveur pour vous guider le long du processus de mise à jour des certificats. Pour mettre à jour un certificat de serveur avec un assistant 1 Dans la console de Symantec Endpoint Protection Manager, cliquez sur Admin. 2 Dans la page Administration, sous Tâches, cliquez sur Serveurs. 3 Sous Afficher les serveurs, cliquez sur le serveur de gestion dont vous souhaitez mettre à jour le certificat. 4 Sous Tâches, cliquez sur Gérer le certificat de serveur. 5 Dans le volet de bienvenue de l'assistant de gestion du certificat de serveur, cliquez sur Suivant. 6 Dans le volet de gestion du certificat de serveur, cliquez sur Mise à jour du certificat de serveur. Gestion des certificats de serveur Mise à jour d'un certificat de serveur avec un assistant 2987 Dans le volet de gestion du certificat de serveur, cliquez sur Suivant. 8 Sélectionnez l'une des options suivantes pour l'installation ou la mise à jour d'un certificat de serveur : Se reporter à "Mise à jour d'un certificat JKS avec un assistant" à la page 299. Fichier keystore JKS (.jks) Se reporter à "Mise à jour d'un certificat PKCS12 avec un assistant" à la page 300. Fichier de keystore PKCS12 (.pfx et .p12) Se reporter à "Mise à jour des certificats non cryptés et des clés privées (DER ou PEM) avec un assistant" à la page 300. Certificat et fichier de clé privée (formats DER et PEM) Mise à jour d'un certificat JKS avec un assistant 1 Terminez les étapes 1 à 8 à moins que vous ne l'ayez déjà fait. 2 Dans le volet de mise à jour du certificat de serveur, cliquez sur Fichier keystore JKS (.jks). 3 Cliquez sur Suivant. 4 Dans le volet Keystore JKS, cliquez sur Parcourir pour localiser le Fichier keystore JKS (.jks) sur le serveur de gestion ou tapez le nomd'accès à ce fichier dans le champ de texte. 5 Dans la boîte de dialogue Sélectionner le fichier Java Keystore, cliquez sur Ouvrir après avoir localisé le fichier. 6 Dans le volet Keystore JKS, tapez le mot de passe pour Keystore dans la zone de texte Mot de passe de Keystore. 7 Dans le volet Keystore JKS, tapez à nouveau le mot de passe pour Keystore dans le champ approprié. 8 Dans le volet Keystore JKS, cliquez sur Suivant. 9 Dans le volet Manage Server Certificate Wizard is complete, cliquez sur Terminer. Dans le volet indiquant que l'assistant de gestion de certificat de serveur est terminé, unmessage s'affiche, indiquant si le certificat a été ajouté avec succès ou non. Vous devez vous déconnecter et redémarrer le serveur de gestion avant que le certificat ne prenne effet. Gestion des certificats de serveur 299 Mise à jour d'un certificat de serveur avec un assistantMise à jour d'un certificat PKCS12 avec un assistant 1 Terminez les étapes 1 à 8 à moins que vous ne l'ayez déjà fait. 2 Dans le volet de mise à jour du certificat de serveur, cliquez sur Fichier keystore PKCS12 (.pfx et.p12). 3 Cliquez sur Suivant. 4 Dans le voletKeystore PKCS12, cliquez sur Parcourir pour localiser le fichier Keystore PKCS12 (.pfx et .p12) sur le serveur de gestion ou tapez le nom d'accès à ce fichier dans la zone de texte. 5 Dans la boîte de dialogue Sélectionnez le fichier PKCS12, cliquez sur Ouvrir après avoir localisé le fichier. 6 Dans le volet Keystore PKCS12, tapez le mot de passe Keystore dans la zone appropriée. 7 Dans le volet Keystore PKCS12, cliquez sur Suivant. 8 Dans le volet indiquant que l'assistant de gestion de certificat de serveur est terminé, cliquez sur Terminer. Dans le volet indiquant que l'assistant de gestion de certificat de serveur est terminé, unmessage s'affiche, indiquant si le certificat a été ajouté avec succès ou non. Vous devez vous déconnecter et redémarrer le serveur de gestion avant que le certificat ne prenne effet. Mise à jour des certificats non cryptés et des clés privées (DER ou PEM) avec un assistant 1 Terminez les étapes 1 à 8 à moins que vous ne l'ayez déjà fait. 2 Dans le volet de mise à jour du certificat de serveur, cliquez sur Certificat et fichier de clé privée (formats DER et PEM). 3 Cliquez sur Suivant. 4 Dans le volet Fichier de certificat, localisez le certificat (format DER et PEM) sur le serveur de gestion en cliquant sur Parcourir. Autrement, tapez le nom d'accès à ce fichier dans la zone de texte Chemin d'accès au certificat. 5 Dans le volet Fichier de certificat, cliquez sur Parcourir pour localiser le fichier de clé privée (formats DER et PEM) sur le serveur de gestion. Sinon, tapez le nomdu chemin d'accès au fichier dans la zone de fichier de clé privée. Gestion des certificats de serveur Mise à jour d'un certificat de serveur avec un assistant 3006 Dans le volet Fichier de certificat, cliquez sur Suivant après avoir localisé les fichiers. 7 Dans le volet indiquant que l'assistant de gestion de certificat de serveur est terminé, cliquez sur Terminer. Dans le volet indiquant que l'assistant de gestion de certificat de serveur est terminé, unmessage s'affiche, indiquant si le certificat a été ajouté avec succès ou non. Vous devez vous déconnecter et redémarrer le serveur de gestion avant que le certificat ne prenne effet. Sauvegarde d'un certificat de serveur Dans le cas où le serveur de gestion serait endommagé, vous devez sauvegarder la clé privée ainsi que les fichiers qui représentent le certificat. Pour sauvegarder un certificat de serveur : 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Admin. 2 Dans la page Administrateur, sous Tâches, cliquez sur Serveurs. 3 Sous Afficher les serveurs, cliquez sur le serveur de gestion dont vous souhaitez sauvegarder le certificat de serveur. 4 Sous Tâches, cliquez sur Gérer le certificat de serveur. 5 Dans le panneau Bienvenue dans l'Assistant de gestion des certificats de serveur, cliquez sur Suivant. 6 Dans le panneau Gérer le certificat de serveur, cliquez sur Sauvegarder le certificat de serveur. 7 Dans le panneau Certificat de serveur de sauvegarde, saisissez le nomd'accès ou localisez le dossier dans lequel vous voulez sauvegarder la clé privée. Notez que vous sauvegardez le certificat du serveur de gestion dans lemême dossier. Le fichier Keystore JKS est sauvegardé pendant l'installation initiale. Un fichier qui est appelé servertimestamp.xml est également sauvegardé. Le fichier de keystore JKS inclutle serveur les paires de clés privées et publiques et le certificat auto-signé. 8 Dans le panneau Certificat de serveur de sauvegarde, cliquez sur Suivant. 9 Dans le panneau Gérer le certificat de serveur, cliquez sur Terminer. Recherche du mot de passe keystore Vous devez rechercher le mot de passe si vous l'égarez. Gestion des certificats de serveur 301 Sauvegarde d'un certificat de serveurPour rechercher le mot de passe du mot clé : 1 Cliquez à l'aide du bouton droit de la souris sur Poste de travail. 2 Sélectionnez Explorer pour rechercher le dossier dans lequel vous avez sauvegardé les fichiers du certificat. 3 Ouvrez le fichier serverhorodateur.xml et recherchez lemot de passe keystore. 4 Collez le mot de passe keystore dans les champs Mot de passe Keystore et Mot clé. Gestion des certificats de serveur Recherche du mot de passe keystore 302Gestion des bases de données Ce chapitre traite des sujets suivants : ¦ A propos de la gestion des bases de données ¦ Sauvegarde d'une base de données Microsoft SQL ¦ Sauvegarde d'une base de données intégrée à la demande à partir de Symantec Endpoint Protection Manager ¦ Planification de sauvegardes de base de données automatiques à partir du module Symantec Endpoint Protection Manager ¦ Restauration d'une base de données ¦ Modification du nomet de la description d'une base de données dans la console the Symantec Endpoint Protection Manager ¦ Reconfiguration d'une base de données ¦ A propos de la gestion des données de journal A propos de la gestion des bases de données Symantec Endpoint Protection et Symantec Network Access Control prennent en charge une base de données Microsoft SQL ou une base de données intégrée. La base de données intégrée est en général utilisée au sein des organisations avec 1000 clients maximum se connectant à la console Symantec Endpoint Protection Manager. Les organisations de plus grande taille utilisent généralement la base de données Microsoft SQL Server. Chapitre 20Si vous installez une base de données intégrée, Symantec Endpoint Protection Manager peut l'installer automatiquement. Si votre environnement d'entreprise prend en charge déjà un serveur MS SQL, vous pouvez tirer profit des matériels et des logiciels existants. Les serveurs MS SQL vous permettent généralement de prendre en charge un plus grand nombre de clients. Une base de données contient des informations concernant les politiques de sécurité et d'application. En outre, tous les paramètres de configuration, les données au sujet des attaques, les journaux et les rapports sont également inclus dans la base de données. Par conséquent vous pouvez contrôler les failles de sécurité sur le réseau. Les informations de la base de données sont stockées dans des tableaux également appelés schémas de bases de données. Le schéma est fourni aux administrateurs qui peuvent avoir en besoin pour générer des rapports spécialisés. A propos des conventions de dénomination d'une base de données Une base de données Microsoft SQL utilise des conventions d'appellation différentes de celles d'une base de données incorporée. Convention d'appellation d'une base de données Microsoft SQL Vous pouvez installer une base de donnéesMicrosoft SQL sur le même ordinateur que Symantec Endpoint Protection Manager ou sur un autre. Dans les deux cas, la base de données Microsoft SQL conserve le même nom que l'ordinateur sur lequel le serveur de base de données MS SQL est installé. Vous pouvez installer le serveur de gestion et la base de données Microsoft SQL sur l'ordinateur appelé PolicyMgrCorp. La base de données conserve le nom de l'ordinateur sur lequel elle est installé. Le nom de base de données apparaît dans l'arborescence de la page Admin sous Afficher. Il est également visible dans l'adresse de base de données de la base de données Microsoft SQL dans le volet Gestion des bases de données. Convention de dénomination d'une base de données intégrée Si vous utilisez une base de données intégrée, le nom de la base de données est toujours appelé localhost. Le nom, localhost, apparaît dans la page Admin sous Afficher. Il est figure également en tant qu'adresse de base de données intégrée dans le volet Gestion de bases de données. Gestion des bases de données A propos de la gestion des bases de données 304Assistant de configuration du serveur de gestion et outils de base de données Symantec Vous pouvez sauvegarder, planifier et modifier certains des paramètres de base de données, tels que le nom d'une base de données, dans la console Symantec Endpoint Protection Manager. Cependant, vous pouvez restaurer et modifier des bases de données uniquement en utilisantl'Assistant de configuration du serveur de gestion et l'utilitaire Symantec Database Backup and Restore. Vous pouvez utiliser l'Assistant de configuration du serveur de gestion pour modifier tous les paramètres de bases de données MS SQL et de bases de données intégrées. Se reporter à "Apropos de la reconfiguration d'une base de données" à la page 307. Vous pouvez utiliser l'utilitaire Outils de base de données Symantec pour sauvegarder, restaurer et modifier tous les paramètres de bases de données SQL et de bases de données intégrées. Se reporter à "Apropos de la sauvegarde etla restauration d'une base de données" à la page 305. A propos de la sauvegarde et la restauration d'une base de données Puisque la taille d'une base de données augmente avec le temps, vous devez sauvegarder régulièrement la base de données. Si un sinistre se produit, vous devez restaurer le dernier cliché de la base de données. Sauvegarder des bases de données et supprimer l'espace inutilisé des bases de données est une étape nécessaire dans la maintenance d'une base de données de production. Sauvegardes de la base de données Quand vous sauvegardez une base de données, vous créez une copie séparée de la base de données. En cas de corruption des données ou de panne de matériel, vous pouvez revenir à une sauvegarde précédente. Pour obtenir une copie nettoyée de la base de données, vous devez retrouver le point précédent la survenue du problème. Quelques données peuvent devoir être saisies à nouveau dans la base de données pendantle processus de restauration.Cependant,la structure principale et la majorité des données est conservée à l'aide d'une sauvegarde récente. Vous pouvez sauvegarder la base de données depuis la console Symantec Endpoint Protection Manager ou à l'aide de l'utilitaire Symantec Database Backup and Restore. L'utilitaire Symantec Database Backup and Restore est automatiquement installé pendant l'installation. Vous pouvez effectuer la sauvegarde de l'une des façons suivantes : ¦ Base de données Microsoft SQL uniquement Gestion des bases de données 305 A propos de la gestion des bases de donnéesVous pouvez utiliserMicrosoft SQL Server EnterpriseManager pour configurer un plan demaintenance qui permet de planifier des sauvegardes automatiques. ¦ Base de données incorporée ou Microsoft SQL Vous pouvez effectuer une sauvegarde à la demande et planifier des sauvegardes automatiques dans la console Symantec Endpoint Protection Manager. Les sauvegardes doivent être stockées de préférence sur une unité de disques séparée. Il est conseillé de sauvegarder le lecteur de disques périodiquement. Se reporter à "Sauvegarde d'une base de données Microsoft SQL" à la page 308. Se reporter à "Sauvegarde d'une base de données intégrée à la demande à partir de Symantec Endpoint Protection Manager" à la page 313. Restauration de base de données Vous pouvez devoir restaurer une base de données pour un certain nombre de raisons. Il est nécessaire de restaurer une base de données dans les cas suivants : ¦ Les données de la base de données ont été corrompues. ¦ Une panne de matériel s'est produite. Vous souhaitez convertir une base de données incorporée en une base de données Microsoft SQL ou vice-versa. Si des données existent déjà dans l'ancienne base de données, vous devez effectuer les tâches suivantes : ¦ sauvegarder le site ; ¦ reconfigurer la base de données ; ¦ créer une nouvelle base de données vide ; ¦ restaurer la base de données. Si vous avez une copie de sauvegarde d'une base de données, vous pouvez restaurer cette base de données sur l'ordinateur sur lequel le module Symantec Endpoint Protection Manager a été installé. Vous pouvez également restaurer la base de données sur n'importe quel autre ordinateur. Utilisez l'utilitaire Symantec Database Backup and Restore pour restaurer une base de données. Cet outil est automatiquement installé quand vous installez le module Symantec Endpoint Protection Manager. Se reporter à "Restauration d'une base de données" à la page 315. Gestion des bases de données A propos de la gestion des bases de données 306A propos de la reconfiguration d'une base de données Vous devez reconfigurer la base de données dans un certain nombre de cas : ¦ L'adresse IP ou le nom d'hôte du serveur de base de données ont été modifiés. ¦ Le port du serveur de base de données par lequel il se connecte au module Symantec Endpoint Protection Manager a été modifié. ¦ Le nom de la base de données a été modifié. Remarque : Vous pouvez également modifier le nom de la base de données dans le module Symantec Endpoint Protection Manager. Se reporter à "Modification du nom et de la description d'une base de données dans la console the Symantec Endpoint Protection Manager" à la page 317. ¦ MS SQL seulement : le nom de l'utilisateur responsable de la base de données a été modifié. Si vous modifiez le nom d'utilisateur du serveur de base de données sur un serveur de base de données, la console Symantec Endpoint Protection Manager ne peut plus se connecter à ce serveur. ¦ Lemot de passe de l'utilisateur responsable de la base de données a étémodifié. Vous pouvez modifier le mot de passe de l'utilisateur responsable du serveur de base de données. Si vous modifiez le mot de passe, le serveur de gestion ne peut plus se connecter au serveur de base de données. ¦ MS SQL seulement : Le chemin du client SQL a été modifié. Le dossier bin du client SQL qui par défaut se trouve dans C:\Program Files\Microsoft SQL Server\80\Tools\Binn a été modifié. Si vous avez modifié le chemin du client SQL sur le serveur de base de données Microsoft SQL, la console Symantec Endpoint ProtectionManager ne peut plus se connecter à ce serveur. ¦ Vousmettez à niveau une base de données incorporée vers une base de données Microsoft SQL. Se reporter à "Reconfiguration d'une base de données" à la page 317. Consultez le Guide d'installation de Symantec Endpoint Protection et de Symantec Network Access Control. Elle fournit des informations sur la procédure de mise à niveau d'une base de données incorporée vers une base de donnéesMicrosoft SQL. A propos de la planification d'une sauvegarde de la base de données Vous pouvez effectuer des sauvegardes à la demande des bases de données ou installer une planification pour des sauvegardes automatiques de bases de données MS SQL et de bases de données intégrées dans le module Symantec Endpoint Gestion des bases de données 307 A propos de la gestion des bases de donnéesProtection Manager. Toutefois, vous pouvez également utiliser l'Assistant de maintenance de base de données du serveurMS SQL pour planifier les sauvegardes automatiques d'une base de données Microsoft SQL. En outre, vous pouvez également recourir à l'utilitaire Symantec Database Backup and Restore pour sauvegarder une base de données MS SQL ou incorporée. Se reporter à "Planification de sauvegardes de base de données automatiques à partir du module Symantec Endpoint Protection Manager" à la page 314. Se reporter à "Sauvegarder une base de données Microsoft SQL à la demande depuis la console Symantec Endpoint Protection Manager" à la page 309. Se reporter à "Sauvegarde d'une base de données intégrée à la demande à partir de Symantec Endpoint Protection Manager" à la page 313. Se reporter à "Sauvegarde d'une base de données SQL Microsoft avec l'assistant de plan de maintenance de base de données" à la page 309. Consultez le Guide d'installation de Symantec Endpoint Protection et de Symantec NetworkAccess Control. Ilfournit des informations sur la façon dont sauvegarder une base de données deMicrosoft SQL avec l'utilitaire Symantec Database Backup and Restore. Sauvegarde d'une base de données Microsoft SQL Vous pouvez réaliser une sauvegarde à la demande d'une base de donnéesMicrosoft SQL à partir de la console Symantec Endpoint ProtectionManager ou de l'utilitaire Symantec Database Backup and Restore. L'utilitaire Symantec Database Backup and Restore est installé automatiquement pendant l'installation de Symantec Endpoint Protection Manager. Vous pouvez également utiliser l'assistant de planification de la maintenance de la base de données qui est inclus au logiciel MS SQL Server pour sauvegarder la base de données Microsoft SQL. L'l'assistant de planification de la maintenance de la base de données MS SQL peut également vous aider à configurer une planification de sauvegarde et d'autres tâches de maintenance. Se reporter à "Sauvegardes de la base de données" à la page 305. Se reporter à "Sauvegarder une base de données Microsoft SQL à la demande depuis la console Symantec Endpoint Protection Manager" à la page 309. Se reporter à "Sauvegarde d'une base de données SQL Microsoft avec l'assistant de plan de maintenance de base de données" à la page 309. Consultez le Guide d'installation de Symantec Endpoint Protection et de Symantec Network Access Control. Il fournit des informations sur la manière d'effectuer la sauvegarde d'une base de données Microsoft SQL avec l'utilitaire Symantec Database Backup and Restore. Gestion des bases de données Sauvegarde d'une base de données Microsoft SQL 308Sauvegarder une base de données Microsoft SQL à la demande depuis la console Symantec Endpoint Protection Manager La console Symantec Endpoint Protection Manager inclut une sauvegarde de site que vous pouvez utiliser pour sauvegarder et restaurer ultérieurement la base de données. En outre, vous pouvez installer un plan de maintenance sur l'agent Microsoft SQL Server. La procédure suivante inclut les paramètres recommandés. Il se peut que vous deviez utiliser différents paramètres selon les critères suivants : ¦ La taille de votre société. ¦ La quantité d'espace disque que vous avez réservée pour les sauvegardes. ¦ Toutes directives requises de votre entreprise. Pour sauvegarder une base de données Microsoft SQL à la demande, depuis une console Symantec Endpoint Protection Manager 1 Dans la console de Symantec Endpoint Protection Manager, cliquez sur Admin. 2 Dans la page Admin, cliquez sur Serveurs. 3 Dans la page Admin, sous Afficher les serveurs, cliquez sur l'icône de la base de données SQL Microsoft. 4 Dans la pageAdmin, sousTâches, cliquez sur Sauvegarderlesitemaintenant. Cette méthode sauvegarde toutes les données de site, y compris la base de données. Vous pouvez vérifier le journal Système comme le dossier de sauvegarde pour l'état pendant et après la sauvegarde. 5 Cliquez sur Fermer. Sauvegarde d'une base de données SQL Microsoft avec l'assistant de plan de maintenance de base de données Microsoft SQL Server EnterpriseManager fournit un assistant pour aider à installer un plan de maintenance de base de données. Vous pouvez utiliser l'assistant de plan de maintenance de base de données pour gérer la base de données et pour programmer des sauvegardes automatiques de la base de données Microsoft SQL. Remarque : Assurez-vous que l'agent SQL Server est démarré. Des droits d'accès Sysadmin sont requis pour exécuter l'assistant de plan de maintenance de base de données. Gestion des bases de données 309 Sauvegarde d'une base de données Microsoft SQLConsultez la documentation de Microsoft SQL Server pour des détails sur la façon de mettre à jour une base de données Microsoft SQL Server. Pour sauvegarder une base de données SQL Microsoft en utilisant l'assistant de plan demaintenance de base de données dansMicrosoft SQL Sever 2000 Enterprise Manager 1 Dans SQL Server Enterprise Manager, cliquez sur Programmes >Microsoft SQL Server > EnterpriseManager. 2 Développez le nom du serveur où le nom du serveur est le nom du serveur sur lequel la base de données est installée. 3 Cliquez deux fois sur le dossier Gestion. L'agent SQL Server affiche une flèche verte sur l'icone s'il est déjà démarré. S'il n'est pas démarré, démarrez SQL Server ServiceManager en sélectionnant l'agent SQL Server et en cliquant avec le bouton droit de la souris sur Démarrer et en sélectionnant l'option. 4 Développez Bases de données. 5 Cliquez avec le bouton droit de la souris sur sem5 et sélectionnez Toutes les tâches > Plan de maintenance. 6 Sur l'écran Bienvenue dans l'assistant de plan de maintenance de base de données, cliquez sur Suivant. 7 Dans l'écran de sélection de bases de données, sélectionnez Ces bases de données et, à côté, cochez sem5 pour sauvegarder la base de données. Cliquez ensuite sur Suivant. 8 Sur l'écran de mise à jour des informations d'optimisation, sélectionnez Supprimer l'espace inutilisé des fichiers de base de données. 9 Dans la zone de texte Lorsque la base de données dépasse , tapez 1024 ou une taille maximale appropriée en fonction de la taille de votre entreprise. Quand la base de données dépasse la taille spécifiée, l'espace inutilisé est automatiquement supprimé. 10 Dans la zone de texte Quantité d'espace libre restant après réduction, choisissez 20 % de l'espace de données ou une autre valeur répondant aux besoins de votre entreprise. 11 Les données sont optimisées chaque semaine et un paramètre par défaut acceptable est spécifié. Si vous voulez modifier la planification, cliquez sur Modifier. Dans la boîte de dialogue Modifier la planification de la tâche périodique qui apparaît, spécifiez avec quelle fréquence et quand supprimer l'espace inutilisé de la base de données puis cliquez sur OK. Gestion des bases de données Sauvegarde d'une base de données Microsoft SQL 31012 Quand vous avez fini de configurer l'optimisation, cliquez sur Suivant. 13 Sur l'écran de contrôle d'intégrité de la base de données, cliquez sur Suivant sans définir cette option parce que le Symantec Endpoint ProtectionManager contrôle l'intégrité de la base de données. 14 Dans l'écran Spécifier le plan de sauvegarde de la base de données, cochez les cases Sauvegarder la base de données en tant qu'élément du plan de maintenance et Vérifier l'intégrité de la sauvegarde. 15 Sélectionnez les supports sur lesquels enregistrer la sauvegarde. 16 Cliquez sur Modifier pour modifier la planification pour la sauvegarde. 17 Dans la boîte de dialogue Modifier la planification de la tâche périodique, après Se produit, cliquez sur Quotidiennement. Sélectionnez la fréquence avec laquelle la base de données doit être sauvegardée. Tout les 1 jour est recommandé. 18 Cochez Activer la planification. 19 Définissez l'heure à laquelle vous voulez que les sauvegardes se produisent. Vous pouvez également choisir une date de début et de fin ou aucune de date de fin, le cas échéant, et cliquer sur OK. 20 Cliquez sur Suivant. 21 Dans l'écran Spécifier un répertoire de sauvegarde, choisissez un répertoire de sauvegarde en cliquant sur Utiliserlerépertoiredesauvegardepardéfaut (le chemin d'accès est \MSSQL\BACKUP) ou Utiliser ce répertoire. 22 Sélectionnez le répertoire dans lequel vous voulez copier des fichiers. Le répertoire doit se trouver sur le même ordinateur que la base de données. Vous devez diriger la sauvegarde vers un lecteur de disque séparé. 23 Cochez Créer un sous-répertoire pour chaque base de données. 24 Cliquez sur Supprimer les fichiers antérieurs à, puis spécifiez une période après laquelle les sauvegardes les plus anciennes seront automatiquement supprimées. Veillez à disposer de suffisamment d'espace disque pour enregistrer des sauvegardes pour la période spécifiée et cliquez sur Suivant. Gestion des bases de données 311 Sauvegarde d'une base de données Microsoft SQL25 Procédez comme suit : Si vous avez sélectionné Mettre à jour Passez à l'étape 41. automatiquement la base de données Sem5 pendantla configuration du serveur de base de données Si la boîte de dialogue de modèle de Passez à l'étape 41. récupération affiche Simple Si la boîte de dialogue de modèle de Passez à l'étape 26. récupération affiche Complète 26 Dans l'écran Spécifier le plan de sauvegarde du journal de transactions, cochez Sauvegarder le journal de transactions en tant qu'élément du plan de maintenance. 27 Sélectionnez le support de stockage de la sauvegarde. 28 Cliquez sur Modifier pour modifier la planification pour sauvegarder le journal de transactions. La boîte de dialogue Modifier la planification de la tâche périodique apparaît. La taille maximale du journal de transactions est définie à 8 Go par défaut. Si le journal de transactions atteint la taille maximale, il ne fonctionne plus et la base de données peut être corrompue. (Vous pouvez modifier la taille maximale du journal de transactions dans SQL Server Enterprise Manager.) 29 Après Se produit, cliquez sur Quotidiennement. Sélectionnez la fréquence avec laquelle le journal de transactions doit être sauvegardé. Toutles 1 jour est recommandé. Veilez à cocher Activer la planification. 30 Sélectionnez la fréquence de la sauvegarde. L'option par défaut (recommandée) est Se produit toutes les 4 heures. 31 Sélectionnez une date de début et une date de fin ou Pas de date de fin, le cas échéant, et cliquez sur OK. 32 Cliquez sur Suivant. 33 Sur l'écran Spécifier un répertoire de sauvegarde, sélectionnez un répertoire de sauvegarde en cliquant sur Utiliserlerépertoiredesauvegardepardéfaut ou Utiliser ce répertoire. Le chemin d'accès par défaut est \MSSQL\BACKUP. 34 Sélectionnez le répertoire de destination de la copie des fichiers. Gestion des bases de données Sauvegarde d'une base de données Microsoft SQL 31235 Cochez Créer un sous-répertoire pour chaque base de données. 36 Cliquez sur Supprimer les fichiers antérieurs à : 37 Spécifiez une période après laquelle les sauvegardes les plus anciennes sont automatiquement supprimées. Assurez-vous que vous avez suffisamment d'espace disque pour enregistrer des sauvegardes pour la période spécifiée, puis cliquez sur Suivant. 38 Sur l'écran Rapports à générer, cochez Rédiger le rapport dans un fichier texte dans le répertoire. Spécifiez le chemin d'accès complet et le nom du fichier texte où vous voulez que le rapport soit généré. 39 Cochez Supprimer les fichiers texte de rapport antérieurs à et laissez cette option définie sur 4 semaines. 40 Cochez Envoyer un rapport par courrier électronique à l'opérateur et spécifiez l'administrateur système à qui le rapport généré sera envoyé par le courrier SQL. Si l'opérateur de courrier électronique n'est pas disponible, sélectionnez Nouvel opérateur, puis cliquez sur Suivant. 41 Dans l'écran Historique de plan de maintenance, cliquez sur Suivant. Vous devriez utiliser les paramètres par défaut pour l'historique de plan de maintenance à moins que vous ne deviez les modifier. 42 Dans l'écran Historique de plan de maintenance de base de données, tapez un nom pour le plan de maintenance tel que Maintenance de base de données SQL, puis cliquez sur Terminer. 43 Lorsque le plan est terminé, affichez le message indiquant que le plan a été créé et cliquez sur OK. Sauvegarde d'une base de données intégrée à la demande à partir de Symantec Endpoint Protection Manager Vous pouvez effectuer une sauvegarde à la demande d'une base de données intégrée à partir de la console Symantec Endpoint Protection Manager. Se reporter à "Sauvegardes de la base de données" à la page 305. Consultez le Guide d'Installation de Symantec Endpoint Protection et de Symantec Network Access Control. Il fournit des informations sur la manière d'effectuer la sauvegarde d'une base de données intégrée avec l'utilitaire Symantec Database Backup and Restore. Gestion des bases de données 313 Sauvegarde d'une base de données intégrée à la demande à partir de Symantec Endpoint Protection ManagerPour effectuerla sauvegarde d'une base de données intégrée à partir de la console Symantec Endpoint Protection Manager 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Admin. 2 Dans la page Admin, cliquez sur Serveurs. 3 SousAfficher les serveurs, cliquez sur l'icône représentantla base de données intégrée. 4 Sous Tâches, cliquez sur Sauvegarder maintenant. Cette méthode sauvegarde toutes les données de site, y compris la base de données.Vous pouvez vérifier l'état du journal du système ainsi que du dossier de sauvegarde pendant et après la sauvegarde. 5 Cliquez sur Oui lorsque le message de sauvegarde apparaît. 6 Cliquez sur Fermer. Planification de sauvegardes de base de données automatiques à partir du module Symantec Endpoint Protection Manager Vous pouvez établir des planifications pour la sauvegarde automatique des bases de données MS SQL et des bases de données intégrées dans le module Symantec Endpoint Protection Manager. Se reporter à "Apropos de la planification d'une sauvegarde de la base de données" à la page 307. Procédure de sauvegarde d'une base de données incorporée à partir d'une console Symantec Endpoint Protection Manager 1 Dans la console de Symantec Endpoint Protection Manager, cliquez sur Administrateur. 2 Dans la page Administrateur, cliquez sur Serveurs. 3 Sous Afficher les serveurs, cliquez sur l'icône qui représente la base de donnéesMS SQL ou incorporée et dont vous souhaitezmodifier les paramètres de sauvegarde. 4 Dans la page Administrateur, sous Tâches, cliquez sur Modifier les paramètres de sauvegarde. 5 Dans la boîte de dialogue Site de sauvegarde pour le site local, cliquez sur Planifier des sauvegardes. Gestion des bases de données Planification de sauvegardes de base de données automatiques à partir du module Symantec Endpoint Protection Manager 3146 Spécifiez la fréquence de sauvegarde en sélectionnant Horaire, Quotidienne ou Hebdomadaire, puis choisissez l'une des options suivantes : ¦ Si vous choisissez Horaire dans la zone Heure de début, entrez le nombre de minutes après l'heure à laquelle les sauvegardes doivent avoir lieu. ¦ Si vous choisissez Quotidienne dans la zone Heure de début, entrez l'heure et les minutes pour indiquer le moment auquel les sauvegardes doivent avoir lieu chaque jour. ¦ Si vous choisissez Hebdomadaire dans la zone Heure de début, entrez l'heure et les minutes pour indiquer le moment auquel les sauvegardes doivent avoir lieu. ¦ Si vous choisissez Hebdomadaire, spécifiez la Jour de la semaine pour indiquer le jour où les sauvegardes doivent se produire. 7 Cliquez sur OK. A l'heure programmée, les sauvegardes se produisent automatiquement et sont placées dans un fichier.zip qui est libellé avec la date de la sauvegarde. Le fichier de sauvegarde est stocké dans un dossier de sauvegarde qui est créé dans le chemin d'accès comme spécifié pour les données de serveur racine. Par exemple, un fichier de sauvegarde qui est créé le 1er août 2007 à 09h46 est appelé 2007-Aug-01_09-46-13-AM.zip. Restauration d'une base de données Si la base de données ne fonctionne plus correctement, vous pouvez la restaurer à condition de l'avoir précédemment sauvegardée. Pour restaurer une base de données : 1 Recherchez le dernier fichier de sauvegarde que vous avez. Ce fichier est en format .zip et libellé avec la date. Le fichier est enregistré dans un dossier de sauvegarde qui a été créé dans le chemin d'accès qui a été spécifié pour la racine de données de serveur. 2 Configurez l'ordinateur sur lequel vous voulez restaurer la base de données en utilisant l'une des méthodes suivantes : ¦ En utilisant un autre ordinateur Si lematériel de l'ordinateur précédent est défectueux, vous devez installer le système d'exploitation et Symantec Endpoint Protection Manager sur le nouvel ordinateur. Bien que vous remplaciez la base de données par de nouvelles données, vous devez encore configurer une base de données après avoir terminé l'installation. Gestion des bases de données 315 Restauration d'une base de données¦ En utilisant le même ordinateur Si le matériel et Symantec Endpoint Protection Manager fonctionnent correctement, vous pouvez restaurer la base de données sur le même ordinateur. Si vous rencontrez des problèmes, vous pouvez désinstaller le module Symantec Endpoint Protection Manager, le réinstaller, configurez la base de données, puis restaurer les données. 3 Fermez la session de console. 4 Arrêtez le service Symantec Endpoint Protection Manager en sélectionnant Démarrer > Programmes > Outils d'administration > Services. 5 Recherchez le service Symantec Endpoint ProtectionManager et cliquez avec le bouton droit de la souris pour sélectionner Arrêter. 6 Sélectionnez Démarrer > Programmes > Symantec Endpoint Protection Manager > Database Back Up and Restore. 7 Cliquez sur Restaurer, puis sur Oui dans la fenêtre de message qui s'ouvre. 8 Dans la boîte de dialogue Restauration de base de données, sélectionnez la sauvegarde que vous souhaitez appliquer dans la liste. 9 Cliquez sur OK. La restauration de la base de données prend quelques minutes. La durée de la restauration dépend de la taille de la base de données, du nombre d'utilisateurs, des partenaires de réplication et d'autres critères. 10 Dès que la restauration de la base de données estterminée, lemessage suivant s'affiche : La base de données a été restaurée avec succès. 11 Cliquez sur Quitter. 12 Cliquez sur Démarrer > Programmes >Symantec Endpoint Protection Manager si vous avez restauré la base de données sur un ordinateur différent parce que vous devez supprimer l'ancien serveur de base de données. Autrement la restauration de la base de données est terminée. 13 Connectez-vous à la console Symantec Endpoint Protection Manager. 14 Cliquez sur Admin. 15 Cliquez sur Serveurs. Gestion des bases de données Restauration d'une base de données 31616 Dans la page d'Administration, sous Tâches, cliquez avec le bouton droit de la souris sur l'ancien serveur de base de données et sélectionnez Supprimer. 17 Modifiez les critères supplémentaires, tels que des noms d'utilisateur et le mot de passe, au besoin. Se reporter à "Reconfiguration d'une base de données Microsoft SQL " à la page 318. Modification du nom et de la description d'une base de données dans la console the Symantec Endpoint Protection Manager Vous pouvez modifier le nom et la description d'une base de données locale ou d'une base de données à distance. Vous pouvez également modifier le nom de la base de données en utilisant l'assistant de configuration du serveur de gestion. Se reporter à "Reconfiguration d'une base de donnéesMicrosoft SQL " à la page 318. Pour modifier le nom et la description d'une base de données 1 Dans la console de Symantec Endpoint Protection Manager, cliquez sur Admin. 2 Dans la page Administration, cliquez sur Serveurs. 3 Sous Afficher les serveurs, développez Site local. 4 Sélectionnez la base de données locale ou développez Sites distants pour sélectionner la base de données d'un site à distance dont vous voulezmodifier les propriétés. 5 Sous Tâches, cliquez sur Modifier les propriétés de base de données. 6 Dans la boîte de dialogue Propriétés de base de données, modifiez le nom de la base de données dans le champ Nom. 7 Dans la boîte de dialogue Propriétés de base de données, modifiez la description de la base de données dans le champ Description. 8 Cliquez sur OK. Reconfiguration d'une base de données Vous pouvez reconfigurer une base de données SQL ainsi qu'une base de données intégrée pour l'un des raisons suivantes : Gestion des bases de données 317 Modification du nom et de la description d'une base de données dans la console the Symantec Endpoint Protection Manager¦ modification de l'adresse IP du serveur de base de données ; ¦ modification du nom d'hôte du serveur de base de données. Reconfiguration d'une base de données Microsoft SQL Vous devez utiliser l'Assistant de configuration du serveur de gestion pour reconfigurer la base de données Microsoft SQL. Se reporter à "Apropos de la reconfiguration d'une base de données" à la page 307. Pour reconfigurer une base de données Microsoft SQL 1 Arrêtez le service Symantec Endpoint Protection Manager en sélectionnant Démarrer > Tous les programmes > Outils d'administration > Services. 2 Recherchez Symantec Endpoint ProtectionManager et cliquez avec le bouton droit de la souris pour sélectionner Arrêter. 3 Cliquez sur Démarrer > Tous les programmes > Symantec Endpoint ProtectionManager > Assistant de configuration du serveur de gestion. 4 Dans l'écran de bienvenue de l'assistant de configuration du serveur de gestion, cliquez sur Reconfigurer le serveur de gestion. 5 Cliquez sur Suivant pour lancer la reconfiguration. 6 Modifiez le nom de l'ordinateur sur lequel Symantec Endpoint Protection Manager est installé dans la zone Nom du serveur. 7 Modifiez le numéro de port HTTPS que Symantec Endpoint Protection Manager écoute dans la zone Port du serveur. Le numéro de port par défaut est 8443. 8 Modifiez l'emplacement du dossier des données du serveur ou localisez le dossier racine où les fichiers de données se trouvent. Le dossier racine inclut les sauvegardes, la réplication et d'autres fichiers Symantec Endpoint Protection Manager. Le chemin d'accès par défaut est C:\Program Files\Symantec\Symantec Endpoint Protection Manager\data. 9 Cliquez sur Suivant. 10 Cliquez sur Microsoft SQL Server. 11 Cliquez sur Suivant. Gestion des bases de données Reconfiguration d'une base de données 31812 Tapez le nom du serveur de base de données dans la zone Serveur de base de données, le cas échéant. Tapez l'adresse IP ou le nomd'hôte du serveur de base de données dans lequel le serveur SQL Server Enterprise Manager (SEM) enregistre des données de l'application. 13 Tapez le numéro de port du serveur SQL dans la zone Port du serveur SQL. Le numéro de port par défaut est 1433. 14 Tapez le nom de la base de données dans la zone Nom de la base de données. Le nom de la base de données Microsoft SQL où les données de l'application sont stockées. 15 Tapez le nom de l'utilisateur dans la zone Utilisateur Ce nom représente l'utilisateur qui est responsable de la base de données. 16 Tapez le mot de passe dans le champ Mot de passe. Cemot de passe est pour l'utilisateur de la base de données. Ce champ ne peut pas être vide. 17 Tapez le nom du chemin d'accès client SQL dans Chemin d'accès client SQL. Par défaut, le dossier SQL client contient le fichier bcp.exe. Par exemple, C:\Program Files\Microsoft SQL Server\80\Tools\Binn. Le fichier bcp.exe doit résider sur le même ordinateur que celui sur lequel vous avez installé Symantec Endpoint Protection Manager. Ce fichier fait partie du paquet client SQL Server. Vous devez également spécifier le nom d'accès correct du clientMS SQL dans l'Assistant de configuration du serveur de gestion. Si ce nom n'est pas spécifié correctement ou si le paquet MS SQL Client n'a jamais été installé, vous ne pouvez pas reconfigurer la base de données. 18 Cliquez sur Suivant. La base de données est alors créée. Ce processus ne prend que quelques minutes. Unmessage de la base de données apparaît au cours de cette période si le service Symantec Endpoint Protection Manager s'exécute toujours. 19 Vous pouvez sélectionner de démarrer SymantecEndpointProtectionManager et de démarrer la console de gestion. Ces options sont sélectionnées par défaut. 20 Cliquez sur Terminer. Vous avez terminé la reconfiguration de la base de données. Si vous avez conservé les options de démarrage, la connexion à la console Symantec Endpoint Protection Manager apparaît. Gestion des bases de données 319 Reconfiguration d'une base de donnéesReconfiguration d'une base de données intégrée Vous devez utiliser l'assistant de configuration de serveur de gestion Symantec pour reconfigurer la base de données. Se reporter à "Apropos de la reconfiguration d'une base de données" à la page 307. Pour reconfigurer une base de données intégrée : 1 Arrêtez le service Symantec Endpoint Protection Manager en sélectionnant Démarrer > Programmes > Outils d'administration > Services. 2 Recherchez lemodule Symantec Endpoint ProtectionManager et cliquez avec le bouton droit de la souris pour sélectionner Arrêter. 3 Cliquez sur Démarrer > Programmes > Symantec Endpoint Protection Manager >Assistant de configuration du serveur de gestion. 4 Dans l'écran de bienvenue de l'assistant de configuration du serveur de gestion, cliquez sur Reconfigurer le serveur de gestion. 5 Cliquez sur Suivant pour lancer la reconfiguration. 6 Modifiez le nom de l'ordinateur sur lequel le module Symantec Endpoint Protection Manager est installé dans la zone de texte Nom du serveur. 7 Modifiez le numéro de port de HTTPS que le module Symantec Endpoint Protection Manager écoute dans la zone de texte Port de serveur. Le numéro de port par défaut est 8443. 8 Modifiez l'emplacement du dossier des données du serveur ou localisez le dossier racine où les fichiers de données se trouvent. Le dossier racine inclut les sauvegardes, la réplication et d'autres fichiers Symantec Endpoint Protection Manager. Le chemin d'accès par défaut est C:\Program Files\Symantec\Symantec Endpoint Protection Manager\data. 9 Cliquez sur Suivant. 10 Cliquez sur Base de données intégrée. 11 Cliquez sur Suivant. 12 Entrez le numéro de port du serveur dans la zone de texte du port de serveur de base de données. Le numéro de port par défaut est 2638. 13 Saisissez le mot de passe dans la zone de texte Mot de passe. Ce champ ne peut pas être vide. 14 Entrez le mot de passe dans la zone de texte Confirmez le mot de passe. Gestion des bases de données Reconfiguration d'une base de données 32015 Cliquez sur Suivant. La création de la base de données prend quelques minutes. Un message de base de données s'affiche au cours de cette période si le service Symantec Endpoint Protection Manager s'exécute toujours. 16 Vous pouvez choisir de démarrer le module Symantec Endpoint Protection Manager et de démarrer la console de gestion. Ces options sont sélectionnées par défaut. 17 Cliquez sur Terminer. Vous avez terminé la reconfiguration de la base de données. Si vous conservez la sélection des options de démarrage, la page de connexion de la console Symantec Endpoint Protection Manager s'affiche. A propos de la gestion des données de journal Vous pouvez configurer un certain nombre d'options pour gérer les journaux qui sont enregistrés dans la base de données. A propos des données de journal et du stockage Les données de tous les journaux qui sont chargés sur la console sont enregistrées dans la base de données de console. Les données des types de journaux suivants sont enregistrées dans deux tables de base de données : ¦ Journaux de contrôle des applications et des périphériques ¦ Journal d'audit ¦ journaux d'Enforcer ¦ Journaux de protection contre les menaces réseau ¦ Journaux système Les données des autres journaux sont enregistrées dans une table unique. Vous pouvez définir les options de journal pour gérer les journaux de base de données qui sont enregistrés dans deux tables. Se reporter à "Configuration des paramètres de journal pour les serveurs d'un site" à la page 323. La table unique qui contientles données des autres journaux est gérée en utilisant les options de maintenance de base de données dans les propriétés de site. Vous Gestion des bases de données 321 A propos de la gestion des données de journalpouvez définir les options de maintenance de base de données qui affectent les données qui sont enregistrées dans une seule table. Se reporter à "Configuration des options de maintenance de la base de données pour des journaux" à la page 330. Pour les journaux qui sont enregistrés dans deux tables, une table (la table A) correspond à la table de journal actuelle. Les nouvelles entrées de journal sont consignées dans cette table. Quand le seuil ou la date d'expiration de journal est atteint, les nouvelles entrées de journal sont consignées dans la deuxième table (table B). Les données demeurent dans la tableAjusqu'à ce que le seuil ou le nombre de jours spécifié dans le champ Expiré après soit atteint pour la table B.Ace stade, la table A est effacée complètement et de nouvelles entrées y sont consignées. Les informations dans la table B demeurent jusqu'au prochain basculement. Le basculement d'une table à l'autre, aussi appelé suppression des données des journaux de la base de données, se produit automatiquement. L'échéance de basculement dépend des paramètres de journal définis dans les propriétés de site. Le processus est identique indépendamment de si le champ est automatique ou manuel. Vous pouvez supprimer les données de journal manuellement après avoir sauvegardé la base de données, si vous préférez utiliser cette méthode en tant qu'élément de la maintenance courante de base de données. Si une suppression automatique intervient, vous risquez de perdre quelques données de journal si vos sauvegardes de la base de données ne se produisent pas assez fréquemment. Si vous effectuez régulièrement une suppression manuelle des données de journal après une sauvegarde de la base de données, vous êtes assuré de conserver toutes les données. Cette procédure esttrès utile si vous devez maintenir vos journaux pendant une période relativement longue (par exemple, une année). Remarque : La procéduremanuelle qui est décrite à la section Suppressionmanuelle des données de journal de la base de données n'affecte pas les données des journaux enregistrés dans une table de la base de données unique. Suppression manuelle des données de journal de la base de données Vous pouvez supprimer manuellement les données des journaux, mais cette procédure est facultative. Gestion des bases de données A propos de la gestion des données de journal 322Pour supprimer manuellement des données de journal de la base de données : 1 Pour empêcher la suppression automatique du contenu de la base de données avant qu'une sauvegarde se produise, définissez l'option des paramètres de journal des propriétés de site sur la valeur maximale. Se reporter à "Configuration des paramètres de journal pour les serveurs d'un site" à la page 323. 2 Effectuez la sauvegarde, comme approprié. 3 Sur l'ordinateur où Symantec Endpoint Protection Manager est installé, ouvrez un navigateur Web et tapez l'URL suivante : https://localhost:8443/servlet/ConsoleServlet?ActionType= ConfigServer&action=SweepLogs Après que vous avez effectué cette tâche, les entrées de journal pour tous les types de journaux sont enregistrées dans la table de base de données alternative. La table initiale est conservée jusqu'à ce que l'effacement suivant soit lancé. 4 Pour vider tout sauf les entrées les plus actuelles, effectuez un deuxième effacement. La table initiale est effacée et des entrées sont à nouveau enregistrées. 5 Souvenez-vous des restaurer les valeurs de paramètres de journal de propriétés de site. Données consignées des clients hérités Les fonctions de création de rapports de Symantec Endpoint Protection utilisent un dossier temporaire, lecteur:\Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\Temp, pour diverses tâches. Les administrateurs peuvent programmer leurs propres tâches automatisées afin de nettoyer ce dossier temporaire à intervalles réguliers. Si tel est le cas, assurez-vous que vous ne supprimez pas le fichier de LegacyOptions.inc, s'il existe. Si vous supprimez ce fichier, vous perdrez les données entrantes des journaux de client Symantec AntiVirus hérités. Configuration des paramètres de journal pour les serveurs d'un site Pour faciliter le contrôle de l'utilisation de l'espace disque, vous pouvez configurer le nombre d'entrées qui sont conservées sur le serveur dans les journaux d'un site. Vous pouvez également configurer le nombre de jours pendantlesquels les entrées sont gardées. Vous pouvez configurer différents paramètres pour les différents sites. Gestion des bases de données 323 A propos de la gestion des données de journalRemarque : Les informations de journal de l'ongletJournaux de console de la page Contrôles sont présentées par groupes logiques. Les noms de journal de l'onglet Paramètres de journal des propriétés de site correspondent au contenu de journal plutôt qu'aux types de journal de l'onglet Journaux de la page Contrôles. Pour une description de chaque option configurable, vous pouvez cliquer sur En savoir plus en regard du type de rapport sur la console. Vous accédez alors à l'aide contextuelle. Pour configurer des paramètres de journal pour les serveurs d'un site : 1 Dans la console, cliquez sur Admin. 2 Dans le coin inférieur gauche, cliquez sur Serveurs. 3 Sélectionnez le site que vous voulez configurer. 4 Sous Tâches, cliquez sur Modifier les propriétés de site. 5 Dans l'onglet Paramètres de journal, définissez le nombre d'entrées et le nombre de jours pour garder des entrées de journal pour chaque type de journal. Vous pouvez définir des tailles pour des journaux de serveur de gestion, des journaux client et des journaux d'Enforcer. 6 Cliquez sur OK. A propos de la configuration du regroupement des événements Vous configurez le regroupement des événements pour des journaux client dans deux emplacements de la console. Le Tableau 20-1 décrit où configurer le regroupement des événements client et ce que signifient les paramètres. Tableau 20-1 Regroupement des événements client Emplacement Description Utilisez cet emplacement pour configurer le regroupement des événements de risque. Le temps de regroupement par défaut est de 5minutes. La première occurrence d'un événement est immédiatement consignée. Des occurrences ultérieures des mêmes événements sont collectées etle nombre d'occurrences est consigné sur le client toutes les 5 minutes. Dans la page Politiques, Politique antivirus et antispyware, Divers, onglet Gestion des journaux Gestion des bases de données A propos de la gestion des données de journal 324Emplacement Description Utilisez cet emplacement pour configurer le regroupement d'événements de protection contre les menaces réseau. Des événements sont maintenus sur les clients pour la période d'atténuation avant qu'ils soient collectés en un événement unique puis chargés sur la console. La période d'atténuation aide à ramener les événements à un nombre maniable. Le paramètre par défaut de la période d'atténuation est Auto (automatique).. La période d'inactivité de l'atténuateur détermine le laps de temps qui doit passer entre les entrées de journal avant que l'occurrence suivante soit considérée comme une nouvelle entrée. L'inactivité par défaut de l'atténuateur est 10 secondes. Sur la page Clients, la page Politiques, Paramètres de journalisation client Se reporter à "Définir des paramètres de gestion des journaux dans une politique antivirus et antispyware" à la page 432. Se reporter à "Configuration des paramètres de journal client " à la page 325. Configuration des paramètres de journal client Si vous avez installé Symantec Endpoint Protection, vous pouvez configurer quelques options de journal client. Vous pouvez configurer le nombre d'entrées conservées dans les journaux etle nombre de jours pendantlesquels chaque entrée est conservée sur le client. Vous pouvez configurer des paramètres pour les journaux client suivants : ¦ Contrôle ¦ Paquet ¦ Risque ¦ Sécurité ¦ Système ¦ Trafic Si Symantec NetworkAccess Control estinstallé, vous pouvez activer et désactiver la journalisation et envoyez des journaux d'Enforcer au serveur de gestion. Vous pouvez également configurer le nombre d'entrées de journal etle nombre de jours pendant lesquels les entrées sont conservées sur le client. Pour plus d'informations sur les journaux d'Enforcer, consultez le guide Guide de mise en œuvre de Symantec Network Access Control Enforcer. Gestion des bases de données 325 A propos de la gestion des données de journalPour les journaux de sécurité, de risque et de trafic, vous pouvez également configurer la période d'atténuation et la période d'inactivité de l'atténuateur à utiliser pour le regroupement des événements. Vous pouvez indiquer si vous souhaitez ou non charger chaque type de journal client au serveur et la taille maximale des téléchargements. La non-configuration du chargement des journaux client a les conséquences suivantes : ¦ Vous ne pouvez pas afficher les données de journal client dans la console en utilisant l'onglet Journaux du volet Suivi. ¦ Vous ne pouvez pas sauvegarder les journaux client quand vous sauvegardez la base de données. ¦ Vous ne pouvez pas exporter les données de journal client vers un fichier ou un serveur de journal centralisé. Pour configurer les paramètres de journal client : 1 Dans la console, cliquez sur Clients. 2 Dans l'onglet Politiques, sous Politiques et paramètres indépendants de l'emplacement, sous Paramètres, cliquez sur Paramètres de journalisation client. 3 Dans la boîte de dialogue Paramètres de journal client de nom de groupe, définissez la taille de fichier maximale et le nombre de jours de conservation des entrées de journal. 4 Activez Taille de chargement maximale : pour tous les journaux que vous voulez que les clients transfèrent au serveur. 5 Pour le journal de sécurité et le journal du trafic, définissez la période d'atténuation et la période d'inactivité de l'atténuateur. Ces paramètres déterminent la fréquence de regroupement des événements de protection contre les menaces réseau. 6 Spécifie le nombre maximal d'entrées qu'un client doit charger en une fois vers le module Symantec Endpoint Protection Manager. 7 Cliquez sur OK. A propos de la configuration des options de gestion des journaux pour les politiques antivirus et antispyware Vous pouvez configurer les options suivantes de gestion des journaux pour les politiques antivirus et antispyware : Gestion des bases de données A propos de la gestion des données de journal 326¦ Les événements antivirus et antispyware qui sonttransférés à partir des clients vers les journaux de protection antivirus et contre les logiciels espions dans le serveur. ¦ Combien de temps les événements dans les journaux de protection antivirus et contre les logiciels espions sont maintenus sur le serveur. ¦ Comment les événements fréquemment collectés sont chargés à partir des clients sur le serveur. Se reporter à "Définir des paramètres de gestion des journaux dans une politique antivirus et antispyware" à la page 432. Sauvegarde des journaux pour un site Les données de journal ne sont pas sauvegardées à moins de configurer Symantec Endpoint Protection pour le faire. Si vous ne sauvegardez pas les journaux, alors seules vos options de configuration de journal sont enregistrées pendant une sauvegarde. Vous pouvez utiliser la sauvegarde pour restaurer votre base de données, mais les connexions la base de données ne contiennent pas de données quand elles sont restaurées. Cette option de configuration se trouve avec les autres options de sauvegarde pour les sites locaux sur la page Serveurs de la page Administration. Vous pouvez choisir de conserver jusqu'à à dix versions de sauvegardes de site. Vous devriez vous assurer que vous avez suffisamment d'espace disque disponible pour conserver toutes vos données si vous choisissez de conserver plusieurs versions. Pour sauvegarder les journaux d'un site : 1 Dans la console, cliquez sur Admin. 2 Sélectionnez un serveur de base de données. 3 Sous Tâches, cliquez sur Modifier les paramètres de sauvegarde. 4 Dans Paramètres de sauvegarde, sélectionnez Sauvegarder les journaux. 5 Cliquez sur OK. A propos du chargement de grandes quantités de données de journal client Si vous avez un grand nombre de clients, vous pouvez avoir un grand volume de données de journal client. Vous devriez considérer si vous voulez réduire ou non le volume de données en utilisant les configurations suivantes : ¦ Charger seulement certains des journaux client dans le serveur. Gestion des bases de données 327 A propos de la gestion des données de journalSe reporter à "Configuration des paramètres de journal client " à la page 325. ¦ Filtrer les événements de risque et les événements système moins importants de sorte que moins de données soient transférées au serveur. Se reporter à "Définir des paramètres de gestion des journaux dans une politique antivirus et antispyware" à la page 432. Si vous prévoyez toujours de charger un grand nombre de données de journal client à un serveur, vous devez tenir compte des facteurs suivants : ¦ nombre de clients dans votre réseau ; ¦ fréquence de battement, qui contrôle à quelle fréquence les journaux client sont chargés au serveur ; ¦ quantité d'espace dans le répertoire où les données de journal sont enregistrées avant d'être insérées dans la base de données. Une configuration qui charge un grand volume de données de journal client au serveur à intervalles fréquents peut poser des problèmes d'espace. Si vous devez charger un grand volume de données de journal client, vous devrez peut-être régler quelques valeurs par défaut pour éviter ces problèmes d'espace. Pendant le déploiement vers des clients, surveillez l'espace sur le serveur dans le répertoire de mise en place de journal et réglez ces valeurs si nécessaire. Le répertoire par défaut où les journaux sont convertis en fichiers .dat puis enregistrés dans la base de données est lecteur:\Program Files\Symantec\Symantec Endpoint Protection Manager\data\inbox\log. L'emplacement du répertoire de données de serveur est défini pendant l'installation quand vous êtes invité à sélectionner le dossier de données de serveur.Vous pouvez exécuter l'Assistant de configuration du serveur de gestion à partir du menu Démarrer pour modifier ce répertoire si désiré. Le répertoire \inbox\log s'ajoute automatiquement au répertoire configuré. La fréquence à laquelle les journaux client sont chargés est configurée dans la page Politiques de la page de Clients, sous Paramètres de communication. Par défaut, la fréquence de chargement des journaux est toutes les cinq minutes. Pour régler les valeurs qui contrôlent l'espace disponible sur le serveur, vous devez modifier ces valeurs dans le registre. Les clés de registre que vous devez modifier se trouvent sur le serveur dans HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SEPM. Le Tableau 20-2 liste les clés de registre et leurs valeurs par défaut et décrit ce qu'elles font. Gestion des bases de données A propos de la gestion des données de journal 328Tableau 20-2 Clés de registre qui contiennent des paramètres de téléchargement de journal Nom de valeur Valeur par défaut et description MaxInboxSpace spécifie l'espace qui est alloué au répertoire où des fichiers journaux sont convertis en fichiers .dat avant qu'ils soient enregistrés dans la base de données. La valeur par défaut est 200 Mo. MaxInboxSpace MinDataFreeSpace spécifie la quantité minimum d'espace à conserver libre dans ce répertoire. Cette clé est utile pour s'assurer que les autres applications qui utilisent le même répertoire ont assez d'espace pour s'exécuter sans effets nuisibles sur la performance. La valeur par défaut est 0. MinDataFreeSpace IntervalOfInboxSpaceChecking spécifie combien de temps Symantec Endpoint Protection attend entre les contrôles sur la quantité d'espace restant dans la boîte de réception qui est disponible pour les données de journal. La valeur par défaut est 30 secondes. IntervalOfInboxSpaceChecking A propos de la gestion des événements de journal dans la base de données La base de données reçoit et stocke un flux constant d'entrées dans ses fichiers journaux. Vous devez gérer les données qui sont enregistrées dans la base de données de sorte que les données stockées ne consomment pas toutl'espace disque disponible. Une quantité trop importante de données peut entraîner l'arrêtimprévu de l'ordinateur sur lequel la base de données s'exécute. Vous devez comprendre vos paramètres de maintenance de la base de données par défaut et les modifier si l'espace disque utilisé par la base de données semble continuellement augmenter. Si un grand pic apparaît dans l'activité à risque, il est possible que vous deviez supprimer certaines données pour protéger l'espace disque disponible sur le serveur. Gestion des bases de données 329 A propos de la gestion des données de journalConfiguration des options de maintenance de la base de données pour des journaux Les administrateurs peuvent configurer les options de maintenance de la base de données pour les données qui sont stockées dans les journaux. Les options de maintenance de la base de données vous aident à gérer la taille de votre base de données en spécifiant des paramètres de compression ainsi qu'un délai de rétention pour les données. Pour plus d'informations sur les options de maintenance de la base de données, reportez-vous à l'aide contextuelle de l'onglet Base de données de la boîte de dialogue Propriétés de site de nom du site. Pour configurerles options demaintenance de la base de données pour des journaux 1 Dans la console, cliquez sur Admin. 2 Sélectionnez un site. 3 Sous Tâches, cliquez sur Modifier les propriétés de site. 4 Dans l'onglet Base de données, définissez le nombre de jours pendantlesquels les événements de risque devront être conservés. Pour conserver le sous-ensemble d'événements d'infection à risque au-delà du seuil défini pour les événements de risque, cochez la case Nepassupprimer les événements d'infection. 5 Indiquez la fréquence à laquelle les événements de risque identiques devront être compressés sous forme d'événement unique. 6 Définissez le nombre de jours pendant lesquels les événements compressés devront être conservés. Cette valeur inclut le délai avant que les événements ne soient compressés. Supposez par exemple que les événements compressés devront être supprimés tous les dix jours et que les événements devront être compressés tous les sept jours. Dans ce cas, les événements sont supprimés trois jours après avoir été compressés. 7 Définissez le nombre de jours pendant lesquels les notifications avec et sans accusé de réception devront être conservées. 8 Définissez le nombre de jours pendant lesquels les événements d'analyse devront être conservés. 9 Définissez le nombre de jours pendantlesquels les commandes que vous avez exécutées à partir de la console et de leurs informations d'état associées devront être conservées. Une fois ces opérations effectuées, Symantec Endpoint Protection ne peut plus distribuer les commandes à leurs destinataires respectifs. Gestion des bases de données A propos de la gestion des données de journal 33010 Cochez les cases appropriées si vous souhaitez supprimer les définitions et les événements de virus inutilisés qui indiquent EICAR comme nom de virus. Le virus de test EICAR est un fichier texte développé par l'Institut européen pour la recherche antivirus informatique (EICAR). Il offre un moyen simple et sûr de tester la plupart des logiciels antivirus. Vous pouvez le télécharger à partir du site Web de l'EICAR. Vous pouvez l'utiliser pour vérifier que la partie antivirus de Symantec Endpoint Protection fonctionne. 11 Cliquez sur OK. A propos de l'utilisation de l'utilitaire interactif SQL avec la base de données intégrée Si vous choisissez d'utiliser la base de données intégrée avec le module Symantec Endpoint Protection ou le module Symantec Network Access Control, notez les informations suivantes. Lorsque vous exécutez l'application de base de données Interactive SQL (dbisqlc.exe), cela bloque l'insertion de données dans la base de données intégrée. Si vous utilisez l'application pendant quelque temps, les fichiers .dat s'accumulent dans les répertoires lecteur:\ProgramFiles\Symantec\Symantec Endpoint Protection Manager\data\inbox\log. Pour éviter l'accumulation de fichiers .dat et redémarrer l'insertion de données dans la base de données,fermez l'application. Modification des paramètres d'expiration Si des erreurs de base de données se produisentlorsque vous affichez des rapports ou des journaux contenant de nombreuses données, vous pouvez apporter les modifications suivantes : ¦ Modification du délai d'expiration des connexions au serveur Microsoft SQL ¦ Modification du délai d'expiration des commandes du serveur Microsoft SQL Les valeurs par défaut de Reporting sont les suivantes : ¦ Le délai d'expiration des connexions est de 300 secondes (5 minutes). ¦ Le délai d'expiration des commandes est de 300 secondes (5 minutes). Si des erreurs de CGI ou de processus arrêtés surviennent, vous pouvez modifier d'autres paramètres d'expiration. Reportez-vous à l'article de la base de connaissances Symantec suivant : "Reporting server does not report or shows a timeout errormessage when querying large amounts of data (Le serveurReporting ne génère pas de rapport ou affiche unmessage d'erreur signalant un dépassement de délai)". Gestion des bases de données 331 A propos de la gestion des données de journalPour modifier des paramètres d'expiration 1 Ouvrez le fichier Reporter.php situé dans le répertoire \Program Files\ Symantec\Symantec Endpoint Protection Manager\Inetpub\Reporting\ Resources. 2 Utilisez un éditeur de texte pour ajouter les paramètres suivants au fichier : ¦ $CommandTimeout =xxxx ¦ $ConnectionTimeout =xxxx Les délais d'expiration sont exprimés en secondes. Si vous spécifiez la valeur zéro ou laissez le champ vide, les paramètres par défaut sont utilisés. A propos de la restauration des journaux système client corrompus sur les ordinateurs 64 bits Si un journal système est corrompu sur un client 64 bits, un message d'erreur inconnue est susceptible de s'afficher dans les journaux système de la console. Lorsqu'un journal système est corrompu, vous ne pouvez pas en afficher les données dans le client et les données ne sont pas chargées sur la console. Ce problème peut affecter les données relatives à l'état de l'ordinateur, aux risques ainsi qu'aux journaux et aux rapports d'analyse dans la console. Pour corriger ce problème, vous pouvez supprimer le fichier journal corrompu et le fichier serialize.dat sur le client. Ces fichiers se trouvent sur le client dans Drive:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Logs\date.Log. Une fois ces fichiers supprimés, le fichier journal est recréé et les entrées sont consignées correctement. Gestion des bases de données A propos de la gestion des données de journal 332Réplication des données Ce chapitre traite des sujets suivants : ¦ A propos de la réplication des données ¦ Compréhension de l'impact de la réplication ¦ Définition de la réplication de données ¦ Planification de la réplication automatique et à la demande ¦ Réplication des paquets client ¦ Réplication des journaux A propos de la réplication des données La réplication est le processus consistant à partager des informations entre des bases de données pour s'assurer que le contenu est cohérent.Vous pouvez utiliser la réplication pour augmenter le nombre de serveurs de base de données qui sont à la disposition des clients et réduire de ce fait la charge de chacun d'eux. La réplication est habituellement configurée pendant l'installation initiale. Consultez le Guide d'Installation pour Symantec Endpoint Protection et Symantec Network Access Control pour plus d'informations sur la façon dont configurer la réplication de données pendant une première installation. Un partenaire de réplication est un autre site doté d'un serveur de base de données. Il dispose également d'une connexion au site que vous établissez comme site d'exploitation principal ou local. Un site peut avoir autant de partenaires de réplication que nécessaire. Tous les partenaires de réplication partagent une clé de licence commune. Les modifications que vous avez apportées sur n'importe quel partenaire de réplication sont reproduites chez tous les autres partenaires de réplication chaque fois qu' Symantec Endpoint Protection Manager est programmé pour répliquer des données. Chapitre 21Par exemple, vous pouvez installer un site à votre bureau principal (site 1) et un deuxième site (site 2). Le site 2 est un partenaire de réplication du premier site. Les bases de données sur le site 1 et sur le site 2 sont synchronisées en utilisant une planification que vous devez configurer. Si unemodification est effectuée sur le site 1, elle apparaît automatiquement sur le site 2 après la réplication. Si une modification est effectuée sur le site 2, elle apparaît automatiquement sur le site 1 après la réplication. Vous pouvez également installer un troisième site (site 3) qui peut répliquer les données du site 1 ou du site 2. Le troisième site est un partenaire de réplication des deux autres sites. Figure 21-1 illustre comment la réplication des données se produit d'un site local à deux autres sites. Réplication des données A propos de la réplication des données 334Figure 21-1 Sites partenaires de réplication Site 1 Symantec Endpoint Protection Manager Base de données MS SQL Symantec Endpoint Protection Manager Réplication Site 2 Base de données MS SQL Site 3 Symantec Endpoint Protection Manager Base de données MS SQL Réplication Les partenaires de réplication sont listés à la page Administration. Vous pouvez afficher des informations sur les partenaires de réplication en sélectionnant le partenaire dans l'arborescence. Tous les sites ont habituellement le même type de base de données. Vous pouvez toutefois configurer la réplication entre les sites en utilisant différents types de bases de données. En outre, vous pouvez configurer la réplication entre une base de données intégrée et une base de données MS SQL. Réplication des données 335 A propos de la réplication des donnéesSi vous utilisez une base de données intégrée, vous ne pouvez y connecter qu'un seul Symantec Endpoint ProtectionManager en raison de la configuration requise. Si vous utilisez une base de données MS SQL, vous pouvez vous connecter à plusieurs Symantec Endpoint Protection Manager ou bien partager une base de données. Seul le premier Symantec Endpoint Protection Manager doit être configuré en tant que partenaire de réplication. Tous les sites qui sont configurés en tant que partenaires de réplication sont considérés comme faisant partie de la même ferme de site. Au commencement, vous devez installez le premier site, puis installer un deuxième site en tant que partenaire de réplication. Un troisième site pourra être installé et configuré pour se connecter à l'un ou l'autre des deux premiers sites. Vous pouvez ajouter autant de sites que nécessaire à la ferme de sites. Vous pouvez supprimer les partenaires de réplication pour arrêter la réplication. Vous pourrez ajouter ce partenaire de réplication ultérieurement pour assurer la cohérence des bases de données. Cependant, certains changements peuvent être en conflit. Se reporter à "Quels paramètres sont répliqués" à la page 336. Compréhension de l'impact de la réplication Si les administrateurs apportent des modifications sur chaque site de réplication simultanément, certains changements peuvent être perdus. Si vous modifiez le même paramètre sur les deux sites et si un conflit surgit, le dernier changement est celui qui entre en vigueur quand la réplication se produit. Par exemple, le site 1 (New York) se réplique avec le site 2 (Tokyo) et le site 2 se réplique avec le site 3 (Londres). Vous souhaitez que les clients qui se connectent au réseau à New York se connecte également avec Symantec Endpoint Protection Manager à New York. Cependant, vous ne voulez pas qu'ils se connectent au Symantec Endpoint Protection Manager à Tokyo ou à Londres. Quels paramètres sont répliqués Quand vous configurez la réplication, les paramètres de communication du client sont également répliqués. Par conséquent, vous devez vous assurer que les paramètres de communication sont corrects pour tous les sites d'une ferme de site de la manière suivante : ¦ Créez des paramètres de communication génériques de sorte que la connexion d'un client soit basée sur le type de connexion. Par exemple, vous pouvez utiliser un nomDNS générique,tel que symantec.compour tous les sites d'une ferme de site. Toutes les fois que des clients se connectent, le serveur DNS Réplication des données Compréhension de l'impact de la réplication 336résoutle nom et connecte le client au Symantec Endpoint Protection Manager local. ¦ Créez des paramètres spécifiques de communication en attribuant des groupes aux sites de sorte que tous les clients d'un groupe se connectent au Symantec Endpoint Protection Manager indiqué. Par exemple, vous pouvez créer deux groupes pour les clients du site 1, deux groupes différents pour le site 2 et deux autres pour le site 3. Vous pouvez appliquer les paramètres de communication au niveau de groupe pour que les clients se connectent au Symantec Endpoint Protection Manager indiqué. Vous pouvez définir des directives pour gérer des paramètres d'emplacement pour les groupes. Ces directives peuvent contribuer à empêcher des conflits de se produire sur les mêmes emplacements. Vous pouvez également contribuer à empêcher les conflits pour tous les groupes qui se trouvent dans des sites différents. Mode de fusion des changements pendant la réplication Lorsque la réplication s'est produite, la base de données du site 1 et la base de données du site 2 sont identiques. Seules les informations d'identification des serveurs diffèrent. Si les administrateurs modifient les paramètres sur tous les sites d'une ferme de site, des conflits peuvent se produire. Par exemple, les administrateurs du site 1 et du site 2 peuvent ajouter chacun un groupe portantlemême nom. Si vous voulez résoudre ce conflit, les deux groupes existent après réplication. Toutefois, l'un d'entre eux est renommé avec un tilde et le chiffre 1 (~1). Si les deux sites ont ajouté un groupe nommé Ventes, après la réplication, vous pouvez voir deux groupes sur les deux sites. Un groupe est nommé Ventes et l'autre est appelé Ventes 1. Cette duplication se produit toutes les fois qu'une politique avec le même nom est ajoutée au même emplacement sur deux sites. Si les adaptateurs de réseau dupliqués sont créés sur différents sites avec lemême nom, un tilde et le chiffre 1 sont ajoutés (~1). Les deux symboles sont ajoutés à un des noms. Si des paramètres différents sont modifiés sur les deux sites, les changements sont fusionnés après réplication. Par exemple, si vous modifiez les paramètres de sécurité client sur le site 1 et la protection par mot de passe sur le site 2, les deux ensembles de changements apparaissent après réplication. Autant que possible, les changements sont fusionnés entre les deux sites. Si des politiques sont ajoutées aux deux sites, les nouvelles politiques apparaissent sur les deux sites après réplication. Des conflits peuvent se produire quand une politique est modifiée sur deux sites différents. Si une politique est modifiée sur Réplication des données 337 Compréhension de l'impact de la réplicationplusieurs sites, la dernièremise à jour de n'importe quel changement est conservée après réplication. Si vous effectuez les tâches suivantes avec la réplication prévue pour se produire chaque heure à l'heure : ¦ Vous modifiez AvAsPolicy1 sur le site 1 à 14:00. ¦ Vous modifiez la même politique sur le site 2 à 14:30. Seulement les changements terminés sur le site 2 apparaissent lorsque la réplication est terminée quand la réplication se produit à 15:00. Si l'un des partenaires de réplication est déconnecté, le site distant peut néanmoins indiquer l'état comme en ligne. Définition de la réplication de données Vous pouvez définir la réplication de données pendant l'installation initiale ou ultérieurement. Quand vous définissez la réplication pendantl'installation initiale, vous pouvez également définir une planification pour la synchronisation des partenaires de réplication. Ajout de partenaires et de planification de réplication Si vous voulez répliquer des données avec un autre site, vous l'avez peut-être déjà défini lors de l'installation initiale. Si vous n'avez pas défini la réplication pendant l'installation initiale, vous pouvez le faire maintenant en ajoutant un partenaire de réplication. Un ensemble de plusieurs sites est appelé ferme de site s'ils sont définis en tant que partenaires de réplication. Vous pouvez ajouter n'importe quel site à la ferme de site en tant que partenaire de réplication. Consultez le Guide d'Installation de Symantec Endpoint Protection et de Symantec Network Access Control pour plus d'informations. En outre, vous pouvez ajouter un partenaire de réplication qui a été précédemment supprimé en tant que partenaire. Avant de commencer, vous devez avoir les informations suivantes : ¦ Une adresse IP ou un nom d'hôte du module Symantec Endpoint Protection Manager dont vous voulez faire un partenaire de réplication. ¦ Le module Symantec Endpoint Protection Manager auquel vous voulez vous connecter doit avoir précédemment été un partenaire de réplication. Lemodule Symantec Endpoint ProtectionManager peut avoir également été un partenaire d'un autre site de la même ferme de site. Réplication des données Définition de la réplication de données 338Pour ajouter un partenaire de réplication : 1 Dans la console de Symantec Endpoint Protection Manager, cliquez sur Administrateur. 2 Sous Afficher les serveurs, sélectionnez un site. 3 Dans la page Administrateur, sous Tâches, cliquez sur Ajouter lepartenaire de réplication. 4 Dans l'assistant d'ajout d'un partenaire de réplication, cliquez sur Suivant. 5 Entrez l'adresse IP ou le nom d'hôte du Symantec Endpoint Protection Manager dont vous voulez faire un partenaire de réplication. 6 Entrez le numéro de port du serveur distant sur lequel Symantec Endpoint Protection Manager est installé. Le paramètre par défaut du port de serveur distant est 8443. 7 Entrez le nom d'utilisateur et le mot de passe de l'administrateur. 8 Cliquez sur Suivant. 9 Dans le volet Planifier la réplication, entrez la date prévue pour la réplication entre les deux partenaires en effectuant l'une des opérations suivantes : ¦ Supprimez la coche de l'option Réplication automatique. Cela entraîne une réplication fréquente et automatique entre deux sites. Il s'agit du paramètre par défaut. Par conséquent vous ne pouvez pas installer une planification personnalisée pour la réplication. ¦ Désélectionner Réplication automatique Vous pouvez maintenant installer une planification personnalisée pour la réplication : ¦ Sélectionnez une Fréquence de réplication horaire, quotidienne ou hebdomadaire. ¦ Sélectionnez le jour spécifique de la réplication dans la liste Jour de la semaine pour installer une planification hebdomadaire. 10 Cliquez sur Suivant. 11 Dans le volet Réplication des fichiers journaux et des paquets client, cochez ou supprimez la coche des options, selon que vous souhaitez ou non répliquer les journaux. Par défaut, les options ne sont pas activées. Réplication des données 339 Définition de la réplication de données12 Cliquez sur Suivant. 13 Cliquez sur Terminer. Le site de partenaires de réplication est ajouté sous Partenaires de réplication dans la page Administrateur. Déconnexion des partenaires de réplication La suppression d'un partenaire de réplication déconnecte simplementle partenaire de réplicationdumodule SymantecEndpointProtectionManager.Celane supprime pas le site. Vous pouvez ajouter le site ultérieurement si nécessaire en ajoutant un partenaire de réplication. Pour supprimer des bases de données du processus de réplication : 1 Dans la console de Symantec Endpoint Protection Manager, cliquez sur Administrateur. 2 Dans la page Administrateur, sous Afficher, cliquez sur Partenaires de réplication. 3 Développez Partenaires de réplication et sélectionnez le partenaire dont vous voulez vous déconnecter. 4 Dans la page Administrateur, sous Tâches, cliquez sur Supprimer le partenaire de réplication. 5 Saisissez Oui lorsqu'il vous est demandé de confirmer que vous voulez supprimer le partenaire de réplication. Planification de la réplication automatique et à la demande Vous pouvez planifier une réplication automatique ou à la demande. Vous pouvez également spécifier la fréquence avec laquelle vous voulez planifier la réplication. Réplication des données à la demande La réplication se produit normalement selon la planification que vous avez configurée quand vous avez ajouté un partenaire de réplication pendant l'installation. Le site avec le numéro d'ID le plus petit lance la réplication programmée. Parfois, vous souhaiterez que la réplication se produise immédiatement. Réplication des données Planification de la réplication automatique et à la demande 340Planifier la réplication à la demande 1 Dans la console de Symantec Endpoint Protection Manager, cliquez sur Admin. 2 Dans la page Administration, cliquez sur Serveurs. 3 Dans la page Administrateur, sous Affichage, développez Partenaires de réplication et sélectionnez le partenaire dont vous voulez répliquer immédiatement la base de données. 4 Dans la page Admin, sous Tâches, cliquez sur Répliquer maintenant. 5 Cliquez sur Oui lorsqu'il vous est demandé de confirmer que vous voulez démarrer immédiatement une réplication unique. Le message suivant apparaît : La réplication a été planifiée. Pour plus de détails sur le résultat de l'événement planifié, consultez les journaux système du serveur après un délai de quelques minutes. Le délai dépend de la charge du serveur, de la quantité de modifications à répliquer et de la bande passante du canal de communication. 6 Cliquez sur OK. La base de données est répliquée immédiatement. Si vous utilisez une base de données Microsoft SQL avec plusieurs serveurs, vous ne pouvez lancer la réplication qu'à partir du premier serveur configuré sur le site. Si vous essayez d'effectuer la réplication maintenant à partir du deuxième serveur, vous recevrez le message suivant : Seul le premier serveur du site peut effectuer la réplication. Veuillez vous connecter au serveur : pour lancer la réplication Modification des fréquences de réplication La réplication se produit normalement selon la planification définie lorsque vous avez ajouté un partenaire de réplication pendantl'installation initiale. Le site avec le numéro d'ID le plus petitlance la réplication programmée. Quand un partenaire de réplication a été établi, vous pouvez modifier la planification de réplication. Quand vousmodifiez la planification d'un partenaire de réplication, la planification des deux côtés est identique après la réplication suivante. Réplication des données 341 Planification de la réplication automatique et à la demandePour modifier les fréquences de réplication : 1 Dans la console de Symantec Endpoint Protection Manager, cliquez sur Admin. 2 Dans la page Administrateur, sous Afficher, cliquez sur Partenaires de réplication. 3 Dans la pageAdministrateur, sous Tâches, cliquez surModifier lepartenaire de réplication. 4 Dans la boîte de dialogue Modifier le partenaire de réplication, spécifiez la planification pour la réplication entre les deux partenaires en effectuant une des actions suivantes : ¦ Supprimez la coche de l'option Réplication automatique. Cela entraîne une réplication fréquente et automatique entre deux sites. Il s'agit du paramètre par défaut. Par conséquent vous ne pouvez pas installer une planification personnalisée pour la réplication. ¦ Désélectionner Réplication automatique Vous pouvez maintenant installer une planification personnalisée pour la réplication. ¦ Sélectionnez une Fréquence de réplication horaire, quotidienne ou hebdomadaire. ¦ Sélectionnez le jour spécifique de la réplication dans la liste Jour de la semaine pour installer une planification hebdomadaire. 5 Cliquez sur OK. Réplication des paquets client Vous pouvez choisir de répliquer ou reproduire les paquets client entre le site local et un partenaire de réplication sur un site distant. Vous pouvez copier la dernière version d'un paquet client à partir d'un site local sur un site distant. L'administrateur du site distant peut alors déployer le paquet client. Consultez le Guide d'Installation pour Symantec Endpoint Protection et Symantec NetworkAccessControl pour plus d'informations sur la façon dont créer et déployer les paquets d'installation client sur un site. Si vous décidez de répliquer les paquets client, vous pouvez reproduire un grand volume de données. Si vous répliquez de nombreux paquets, les données peuvent aller jusqu'à 5 Go en taille. Les paquets d'installation de Symantec Endpoint Protection et Symantec Network Access Control de 32 bits et 64 bits peuvent nécessiter jusqu'à 500 Mo d'espace disque. Réplication des données Réplication des paquets client 342Consultez le Guide d'Installation pour Symantec Endpoint Protection et Symantec Network Access Control pour plus d'informations sur les exigences en matière d'espace disque. Pour répliquer les paquets client entre partenaires de réplication : 1 Dans la console de Symantec Endpoint Protection Manager, cliquez sur Administrateur. 2 Dans la page Administrateur, sous Afficher, cliquez sur Partenaires de réplication. 3 Développez Partenaires de réplication et sélectionnez le partenaire de réplication avec lequel vous voulez répliquer les paquets client. 4 Dans la pageAdministrateur, sousTâches, cliquez surModifierlespropriétés du partenaire de réplication. 5 Dans la boîte de dialogue Propriétés de partenaire de réplication, sous Partenaire, cliquez sur Répliquer les paquets client entre le site local etle site partenaire. 6 Cliquez sur OK. Réplication des journaux Vous pouvez spécifier que vous voulez répliquer ou reproduire des journaux ainsi que la base de données d'un partenaire de réplication. Vous pouvez spécifier la réplication des journaux lorsque vous ajoutez des partenaires de réplication ou en modifiant les propriétés des partenaires de réplication. Si vous prévoyez de répliquer des journaux, assurez-vous que vous avez suffisamment d'espace disque pour les journaux supplémentaires sur tous les ordinateurs des partenaires de réplication. Se reporter à "Afficher les journaux d'autres sites" à la page 216. Pour répliquer des journaux entre les partenaires de réplication 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Admin. 2 Dans la page Admin, sous Afficher, cliquez sur Partenaires de réplication. 3 Développez Partenaires de réplication et sélectionnez le partenaire de réplication pour lequel vous voulez démarrer la génération des journaux de réplication. 4 Dans la page Admin, sous Tâches, cliquez sur Modifier les propriétés du partenaire de réplication. Réplication des données 343 Réplication des journaux5 Dans la boîte de dialogue Propriétés de partenaire de réplication, sous Partenaire, cliquez sur Répliquer les journaux du site local vers ce site de partenaire ou Répliquer les journaux de ce partenaire vers le site local 6 Cliquez sur OK. Réplication des données Réplication des journaux 344Gestion de la protection contre les interventions Ce chapitre traite des sujets suivants : ¦ A propos de la protection contre les interventions ¦ Configuration de la protection contre les interventions A propos de la protection contre les interventions La protection contre les interventions assure une protection en temps réel des applications Symantec sur les serveurs et les clients. Il empêche les processus non Symantec tels que les vers, les chevaux de Troie, les virus et les risques de sécurité, d'affecter les processus Symantec. Vous pouvez configurer le logiciel pour bloquer ou consigner les tentatives demodification des processus Symantec. Remarque : Si vous utilisez des outils de détection des risques de sécurité issus de fournisseurs autres que Symantec et conçus pour rechercher et éliminer les logiciels espions et publicitaires indésirables, ces outils ont généralement un impact sur les processus Symantec. Si vous activez la protection contre les interventions alors qu'un tel type d'analyseur est utilisé, la protection contre les interventions génère un grand nombre de notifications et d'entrées de journal. Une pratique d'excellence consiste à laisser la protection contre les interventions toujours activée. Utilisez le filtrage du journal si le nombre d'événements générés est trop important. Lorsqu'un client est installé en tant que client non géré, la protection contre les interventions adopte les valeurs suivantes par défaut : ¦ La protection contre les interventions est activée. Chapitre 22¦ L'action entreprise par la protection contre les interventions lorsqu'une tentative d'intervention est détectée consiste à bloquer la tentative et de consigner l'événement. ¦ La protection contre les interventions envoie un message par défaut à l'utilisateur lorsqu'une tentative d'intervention est détectée. Lorsqu'un client est installé en tant que client géré, la protection contre les interventions adopte les valeurs suivantes par défaut : ¦ La protection contre les interventions est activée. ¦ L'action entreprise par la protection contre les interventions lorsqu'une tentative d'intervention est détectée consiste à consigner l'événement uniquement. ¦ La protection contre les interventions n'envoie aucun message à l'utilisateur lorsqu'une tentative d'intervention est détectée. Remarque : Si les notifications sont activées lorsque Symantec Endpoint Protection détecte des tentatives d'intervention, des notifications relatives aux processus de Windows et aux processus Symantec sont envoyées aux ordinateurs affectés. Configuration de la protection contre les interventions Vous pouvez activer et désactiver la protection contre les interventions et configurer l'action à entreprendre lorsqu'une tentative d'intervention est détectée. Vous pouvez également configurer la protection contre les interventions de manière à ce que les utilisateurs soient informés lorsqu'une tentative d'intervention est détectée. Lorsque vous utilisez Symantec Endpoint Protection pour la première fois, une pratique d'excellence consiste à n'utiliser l'action Consigner l'événement que lorsque vous contrôlez les journaux chaque semaine. Lorsque vous êtes certain qu'aucun faux positif n'est présent, définissez la protection contre les interventions sur Bloquer et consigner l'événement. Vous pouvez configurer un message de façon à ce qu'il apparaisse sur les clients lorsque Symantec Endpoint Protection détecte une tentative d'intervention. Par défaut, les messages de notification apparaissent lorsque le logiciel détecte une tentative d'intervention. Le message que vous créez peut contenir un mélange de texte et de variables. Les variables sont renseignées à l'aide des valeurs qui identifient des caractéristiques Gestion de la protection contre les interventions Configuration de la protection contre les interventions 346de l'attaque. Si vous utilisez une variable, vous devez la saisir exactement telle qu'elle apparaît. Tableau 22-1 décrit les variables que vous pouvez utiliser pour configurer un message. Tableau 22-1 Variables et descriptions du message de protection contre les interventions Champ Description Action entreprise par la protection contre les interventions en réponse à l'attaque. [ActionEffectuée] Numéro d'identification du processus ayant attaqué une application Symantec. [IDProcessusActeur] [NomProcessusActeur] Nomdu processus ayant attaqué une application Symantec. [Ordinateur] Nom de l'ordinateur attaqué. [DateTrouvé] Date à laquelle l'attaque s'est produite. [TypeEntité] Type de cible attaqué par le processus. [Nomfichier] Nom du fichier ayant attaqué les processus protégés. Zone du matériel ou des logiciels de l'ordinateur protégée contre les interventions. Pour les messages de protection contre les interventions, il s'agit des applications Symantec. [Emplacement] Chemin et nom complet du fichier ayant attaqué les processus protégés. [CheminNomfichier] [EvénementSystème] Type de tentative d'intervention s'étant produit. [NomCheminCible] Emplacement de la cible que le processus a attaqué. Identifiant de processus de la cible que le processus a attaquée. [IDProcessusCible] Identifiant de la session de terminal au cours de laquelle l'événement s'est produit. [IDSessionTerminalCible] Nom de l'utilisateur connecté lorsque l'attaque s'est produite. [Utilisateur] Pour activer ou désactiver la protection contre les interventions 1 Dans la console, cliquez sur Clients. 2 Dans l'onglet Politiques, sous Paramètres, cliquez sur Paramètresgénéraux. Gestion de la protection contre les interventions 347 Configuration de la protection contre les interventions3 Dans l'onglet Protection contre les interventions, cochez ou désélectionnez la case Protéger les logiciels de sécurité Symantec contre les interventions ou interruptions. 4 Cliquez sur l'icône de verrouillage si vous souhaitez que les utilisateurs ne puissent pas modifier ce paramètre. 5 Cliquez sur OK. Pour configurer les paramètres de base de la protection contre les interventions 1 Dans la console, cliquez sur Clients. 2 Dans l'onglet Policies (Politiques), sous Settings (Paramètres), cliquez sur General Settings (Paramètres généraux). 3 Dans l'onglet Protection contre les interventions, dans les zones de liste, sélectionnez l'une des actions suivantes : ¦ Pour bloquer et consigner l'activité non autorisée, cliquez sur Bloquer et consigner l'événement. ¦ Pour consigner l'activité non autorisée sans interdire son exécution, cliquez sur Consigner l'événement uniquement. 4 Cliquez sur l'icône de verrouillage si vous souhaitez que les utilisateurs ne puissent pas modifier ce paramètre. 5 Cliquez sur OK. Pour activer et personnaliser des messages de notification de protection contre les interventions 1 Dans la console, cliquez sur Clients. 2 Dans l'onglet Policies (Politiques), sous Settings (Paramètres), cliquez sur General Settings (Paramètres généraux). 3 Dans l'onglet Protection contre les interventions, cliquez sur le Afficher un message de notification si une modification est détectée. 4 Dans la zone de texte, vous pouvez saisir ou supprimer du texte afin de modifier le message par défaut. Si vous utilisez une variable, vous devez la saisir exactement telle qu'elle apparaît. 5 Cliquez sur l'icône de verrouillage si vous souhaitez que les utilisateurs ne puissent pas modifier ce paramètre. 6 Cliquez sur OK. Gestion de la protection contre les interventions Configuration de la protection contre les interventions 348Tâches de gestion des politiques générales ¦ A propos des politiques ¦ Gestion de l'héritage d'un groupe en matière d'emplacements et de politiques ¦ Gestion des emplacements d'un groupe ¦ Utilisation des politiques ¦ Extraction ou transfert des politiques entre les serveurs de gestion, les clients et les boîtiers Enforcer facultatifs ¦ Configuration des applications apprises Section 3350A propos des politiques Ce chapitre traite des sujets suivants : ¦ Présentation des politiques ¦ A propos des politiques partagées et non partagées ¦ A propos des tâches de politique ¦ Groupes, transmission, emplacements et politiques ¦ Exemples de politiques Présentation des politiques La page Politiques de la console Symantec Endpoint Protection Manager offre une solution centralisée. Elle gère lamise en application des politiques de sécurité, la vérification de l'intégrité de l'hôte (Symantec Network Access Control uniquement) et la résolution automatisée sur tous les clients. Les fonctionnalités de la page Politiques sont au cœur du logiciel Symantec. Les clients se connectent au serveur pour obtenir les dernières politiques, les paramètres de sécurité et les mises à jour logicielles. Vous pouvez également effectuer de nombreuses tâches associées aux politiques à partir de la page Clients. La plupart des tâches associées aux politiques partagées s'effectuent à partir de la page Politiques. En revanche, la plupart des tâches associées aux politiques non partagées s'effectuent à partir de la page Clients. Symantec Endpoint Protection Manager apprend le comportement des communications, crée et déploie les politiques de sécurité et demise en application, gère la structure des groupes d'ordinateurs et d'utilisateurs et communique avec les autres serveurs de gestion. Grâce au protocole de transmission des battements de Symantec, le serveur de gestion se renseigne sur l'utilisateur, l'application et Chapitre 23le comportement réseau des clients. Le serveur de gestion fournit aux entreprises un aperçu pertinent de leur état de sécurité. Vous pouvez utiliser plusieurs types de politiques pour gérer l'environnement de votre entreprise. Certaines de ces politiques sont automatiquement créées pendant l'installation. Vous pouvez réutiliser une politique par défaut ou la personnaliser pour l'adapter à un environnement d'entreprise spécifique. Tableau 23-1 répertorie chaque politique, indique si une politique par défaut est créée pendantl'installation initiale etfournit une description de chaque politique. Tableau 23-1 Politiques Symantec Endpoint Protection Manager Politique par Description défaut Nom de la politique Définit les paramètres d'analyse antivirus et antispyware ainsi que le mode de traitement des processus détectés. Antivirus et protection contre les Oui logiciels espions Définit les règles de pare-feu qui autorisent et bloquent les transmissions et indique les paramètres pour le filtrage intelligent du trafic, le trafic et une authentification point à point. Pare-feu Oui Définit les exceptions aux signatures de prévention d'intrusion et spécifie les paramètres de prévention d'intrusion, comme l'intervention active. Prévention d'intrusion Oui Permet de définir, de restaurer et d'appliquer les mesures de sécurité des clients afin de protéger les réseaux etles données d'entreprise. Intégrité d'hôte Oui Protège les ressources système des applications et gère les périphériques pouvant être joints aux ordinateurs. Contrôle d'application et de Oui périphérique A propos des politiques Présentation des politiques 352Politique par Description défaut Nom de la politique Indique les ordinateurs que les clients doivent contacter ainsi que la fréquence qu'ils doivent observer pour rechercher des mises à jour. LiveUpdate Oui Spécifie les exceptions aux fonctions particulières de politique que vous souhaitez appliquer. Exceptions centralisées Non Les entreprises utilisentles informations collectées par le serveur de gestion pour créer des politiques de sécurité. Ces politiques de sécurité associent des utilisateurs, des systèmes de connectivité, des applications et les communications réseau aux politiques de sécurité. Les politiques de sécurité de Symantec sont gérées et héritées par le biais de groupes d'utilisateurs, d'ordinateurs et de serveurs. Vous pouvez importer des informations sur les utilisateurs et les ordinateurs. Vous pouvez également synchroniser les données à l'aide de serveurs de répertoires, tels qu'Active Directory et LDAP. Le serveur de gestion peut être mis en œuvre de façon centralisée ou distribuée au sein d'une entreprise afin de fournir des fonctions d'évolutivité, de tolérance aux pannes, de répartition de charge et de réplication des politiques. Vous pouvez effectuer les tâches suivantes : ¦ configurer votre structure administrative et votre structure d'organisation, laquelle inclut des ordinateurs, des utilisateurs et des groupes ; ¦ configurer des politiques de sécurité ; Chaque groupe que vous définissez en tant qu'élément dans votre structure d'organisation peut être associé à une politique propre.Vous pouvez également configurer des politiques différentes pour différents emplacements (maison, bureau, etc.) sous forme de groupes. ¦ Configurez et déployez les paquets client. ¦ Personnalisez les paramètres client. ¦ Gérez les sites et la réplication de Symantec Endpoint Protection Manager. ¦ Configurez lesmodules d'application Enforcer de Symantec afin de les utiliser dans le cadre de votre solution de mise en application. ¦ Contrôlez les journaux et affichez les rapports. A propos des politiques 353 Présentation des politiquesA propos des politiques partagées et non partagées Vous pouvez créer les types suivants de politiques : S'applique à n'importe quel groupe et emplacement. Vous pouvez avoir des politiques partagées multiples. Politique partagée S'applique à un emplacement spécifique à un groupe. Cependant, vous pouvez avoir seulement une politique par emplacement. Politique non partagée Créez des politiques partagées, car vous pouvez aisément modifier et remplacer une politique dans tous les groupes et emplacements qui l'utilisent. Cependant, vous pouvez avoir besoin d'une politique spécialisée pour un emplacement particulier qui existe déjà. Dans ce cas, vous pouvez créer une politique spécifique à un emplacement. Quand vous créez une nouvelle politique, vousmodifiez typiquement une politique par défaut. Une politique par défaut inclut toujours des règles et des paramètres de sécurité par défaut. Vous appliquez une politique séparée à chaque groupe d'utilisateurs ou d'ordinateurs. Toutefois, vous pouvez également appliquer des politiques de sécurité distinctes à l'emplacement de chaque groupe. Par exemple, des emplacements multiples ont été attribués à un groupe. Chaque utilisateur peut vouloir se connecter à un réseau d'entreprise depuis différents emplacements quand il est au bureau ou à son domicile. Vous pouvez devoir appliquer une politique différente avec son propre jeu de règles et de paramètres à chaque emplacement. A propos des tâches de politique Lorsque vous avez terminé l'installation de la console Symantec Endpoint Protection Manager, vous pouvez personnaliser toutes les politiques par défaut. Tableau 23-2 affiche la liste des tâches de routine qu'il convient d'exécuter lorsque vous gérez des politiques partagées et non partagées. A propos des politiques A propos des politiques partagées et non partagées 354Tableau 23-2 Tâches de gestion des politiques Nom de tâche Type de politique ¦ Antivirus et protection contre les logiciels espions ¦ Pare-feu ¦ Prévention d'intrusion ¦ Intégrité d'hôte ¦ Contrôle des applications et des périphériques ¦ LiveUpdate ¦ Exceptions centralisées Ajouter ¦ Antivirus et antispyware ¦ Pare-feu ¦ Prévention d'intrusion ¦ Intégrité d'hôte ¦ Contrôle des applications et des périphériques ¦ LiveUpdate ¦ Exceptions centralisées Modifier ¦ Antivirus et antispyware ¦ Pare-feu ¦ Prévention d'intrusion ¦ Intégrité d'hôte ¦ Contrôle des applications et des périphériques ¦ LiveUpdate ¦ Exceptions centralisées Supprimer ¦ Antivirus et antispyware ¦ Pare-feu ¦ Prévention d'intrusion ¦ Intégrité d'hôte ¦ Contrôle des applications et des périphériques ¦ LiveUpdate ¦ Exceptions centralisées Exporter A propos des politiques 355 A propos des tâches de politiqueNom de tâche Type de politique ¦ Antivirus et antispyware ¦ Pare-feu ¦ Prévention d'intrusion ¦ Intégrité d'hôte ¦ Contrôle des applications et des périphériques ¦ LiveUpdate ¦ Exceptions centralisées Remarque : Vous n'attribuez pas de politique non partagée, car son attribution est automatique à son emplacement de création. Attribuer ¦ Antivirus et antispyware ¦ Pare-feu ¦ Prévention d'intrusion ¦ Intégrité de l'hôte ¦ Contrôle des applications et des périphériques ¦ Exceptions centralisées Retirer ¦ Antivirus et antispyware ¦ Pare-feu ¦ Prévention d'intrusion ¦ Intégrité d'hôte ¦ Contrôle des applications et des périphériques ¦ LiveUpdate ¦ Exceptions centralisées Remplacer ¦ Antivirus et antispyware ¦ Pare-feu ¦ Prévention d'intrusion ¦ Intégrité d'hôte ¦ Contrôle des applications et des périphériques ¦ LiveUpdate ¦ Exceptions centralisées Copier ¦ Antivirus et antispyware ¦ Pare-feu ¦ Prévention d'intrusion ¦ Intégrité d'hôte ¦ Contrôle des applications et des périphériques ¦ LiveUpdate ¦ Exceptions centralisées Importer A propos des politiques A propos des tâches de politique 356Groupes, transmission, emplacements et politiques Vous pouvez développer des politiques partagées et les appliquer à des groupes et des emplacements. Vous pouvez appliquer des politiques au niveau du groupe global, d'une racine ou d'un groupe principal. Les sous-groupes peuvent hériter des politiques dans la console Symantec Endpoint Protection Manager. Vous pouvez appliquer une politique avec plusieurs règles à un groupe ou un emplacement. Exemples de politiques Par exemple, des utilisateurs distants utilisent typiquement DSL et RNIS, pour lesquels vous pouvez avoir besoin d'une connexion VPN. D'autres utilisateurs distants peuvent vouloir appeler pour se connecter au réseau d'entreprise par téléphone. Les employés qui travaillent au bureau utilisent typiquement une connexion Ethernet. Cependant, les groupes commerciaux et marketing peuvent également utiliser des connexions sans fil. Chacun de ces groupes peut nécessiter sa propre politique de pare-feu pour les emplacements à partir desquels il se connecte au réseau de l'entreprise. Vous pouvez vouloir mettre en application une politique restrictive en ce qui concerne l'installation d'applications non certifiées sur la plupart des postes de travail des employés pour protéger le réseau d'entreprise contre les attaques. Le groupe Informatique peut nécessiter d'accéder à des applications supplémentaires. Par conséquent, le groupe informatique peut avoir besoin d'une politique de sécurité moins restrictive que les employés typiques. Dans ce cas, vous pouvez créer une politique de pare-feu différente pour le groupe Informatique. A propos des politiques 357 Groupes, transmission, emplacements et politiquesA propos des politiques Exemples de politiques 358Gestion de l'héritage d'un groupe en matière d'emplacements et de politiques Ce chapitre traite des sujets suivants : ¦ A propos des groupes héritant des emplacements et des politiques d'autres groupes ¦ Activation ou désactivation de l'héritage d'un groupe A propos des groupes héritant des emplacements et des politiques d'autres groupes Dans la structure du groupe, les sous groupes accumulent initialement et automatiquement des informations sur les emplacements, les politiques, et les paramètres du groupe parent. Par défaut, l'héritage est activé pour chaque groupe. Cependant, vous pouvez désactiver l'héritage à tout moment pour n'importe quel groupe. Par exemple, vous voudrez créer un groupe appelé Ingénierie avec un sous groupe appelé Assurance Qualité. Le sous groupe Assurance Qualité inclut automatiquement les mêmes emplacements, politiques, et paramètres que le groupe Ingénierie. Si vous changer les politiques etles paramètres du sous-groupeAssurance Qualité, vous devez d'abord désactiver l'accumulation du sous groupe Assurance Qualité. Chapitre 24Si vous ne désactivez pas l'accumulation, un message s'affichera en haut de la boîte de dialogue de l'article que vous voulez changer. Cemessage établit que vous ne pouvez pas modifier les emplacements, politiques, ou paramètres car ils sont accumulés du groupe Ingénierie. Si vous créez un sous-groupe et ensuite désactiver l'accumulation du sous-groupe, rien dans ce sous-groupe ne change initialement.Il conserve tous les emplacements et politiques du groupe duquel il a initialement accumulé les informations sur ses emplacements et politiques. Cependant, vous pouvez faire des changements du sous-groupe qui estindépendant du groupe duquel il a initialement hérité les informations sur ses emplacements et politiques. Si vous faîtes des changements et ensuite activez l'héritage, les changements du sous-groupe seront écrasées. Elles seront écrasées par les emplacements et les politiques actuellement présentes dans le groupe duquel elles héritent leures politiques. Vous voudrez peut-être assigner des politiques et des paramètres à chaque groupe. Vous devrez donc les ajouter au groupe au plus haut niveau avant de désactiver l'héritage pour un sous groupe. Ensuite tous les sous-groupes partageront les mêmes informations sur les emplacements etles politiques,même si vous réactivez l'héritage. Se reporter à "Ajouter des règles héritées d'un groupe parent" à la page 503. Activation ou désactivation de l'héritage d'un groupe Vous pouvez désactiver ou activer l'héritage d'un groupe à tout moment. Par défaut, la transmission est activée toutes les fois que vous créez un nouvel emplacement pour un groupe. Pour activer ou désactiver l'héritage d'un groupe 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Clients. 2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe pour lequel vous voulez activer ou désactiver l'héritage. Vous pouvez sélectionner n'importe quel groupe autre que celui qui est associé au groupe temporaire. 3 Dans le volet Nom du groupe, dans l'onglet Politiques, exécutez l'une des tâches suivantes : ¦ Pour désactiver l'héritage, désélectionnez Hériter les politiques etles paramètres du groupe parent "nom de groupe". Gestion de l'héritage d'un groupe en matière d'emplacements et de politiques Activation ou désactivation de l'héritage d'un groupe 360¦ Pour activer l'héritage, sélectionnez Hériter les politiques etles paramètres du groupe parent "nom de groupe", puis cliquez sur Oui lorsqu'un message vous demande de continuer. Gestion de l'héritage d'un groupe en matière d'emplacements et de politiques 361 Activation ou désactivation de l'héritage d'un groupeGestion de l'héritage d'un groupe en matière d'emplacements et de politiques Activation ou désactivation de l'héritage d'un groupe 362Gestion des emplacements d'un groupe Ce chapitre traite des sujets suivants : ¦ A propos des emplacements d'un groupe ¦ Activation de l'attribution automatique des politiques d'un client ¦ Ajouter un emplacement avec un assistant d'installation ¦ Ajout d'un emplacement sans assistant ¦ Affectation d'un emplacement par défaut ¦ Modification du nom et de la description de l'emplacement d'un groupe ¦ Supprimer l'emplacement d'un groupe A propos des emplacements d'un groupe Les politiques et les paramètres doivent souvent différer selon l'emplacement à partir duquel un utilisateur essaie de se connecter au réseau d'entreprise. Vous pouvez donc créer différents emplacements ou profils pour chaque groupe duquel un client est membre. Vous pouvez avoir de nombreux emplacements, comme les exemples suivants: ¦ Défaut (travail dans le bureau d'une entreprise) ¦ Bureau à distance (travail dans un bâtiment séparé de l'entreprise) ¦ VPN (VPN d'un emplacement extérieur) ¦ Domicile (travail à partir d'un emplacement à domicile par l'intermédiaire d'un fournisseur d'accès Internet) Chapitre 25Vous pouvez personnaliser la politique etles paramètres de chaque emplacement selon les conditions spécifiques qui lui sont appropriées. Par exemple, les politiques de l'emplacement par défaut peuvent ne pas être aussi strictes que les politiques des emplacements VPN ou nominaux. La politique associée à l'emplacement par défaut est utilisée lorsque l'utilisateur est déjà protégé par le pare-feu d'une entreprise. Vous pouvez ajouter des emplacements après avoir installé tous les groupes que vous devez gérer. Chaque groupe peut avoir différents emplacements si votre stratégie de sécurité le requiert. Si vous ajoutez un emplacement, il s'applique au groupe pour lequel vous l'avez créé et à tous les sous-groupes qui héritent du groupe parent. Par conséquent, les emplacements que vous avez l'intention d'appliquer à tous les utilisateurs finaux doivent probablement être créés au niveau du groupe global. Les emplacements spécifiques à un groupe particulier peuvent être créés au niveau du sous-groupe. Par exemple, dans la plupart des compagnies tous les utilisateurs finaux nécessitent un emplacement par défaut qui est automatiquement ajouté au groupe Global. Cependant, tous les utilisateurs finaux n'ont pas besoin d'une connexion VPN. Les utilisateurs finaux qui ont besoin d'une connexionVPN peuvent être organisés dans un groupe appeléTélétravailleur.Vous ajoutez l'emplacementVPN au groupe Telecommuter ainsi qu'à l'emplacement du bureau hérité. Les membres de ce groupe peuvent utiliser les politiques associées au bureau ou à l'emplacement VPN. A propos des emplacements et des informations des emplacements Si vous voulez protéger votre réseau, vous devrez configurer les conditions de son activation commutation automatique ou informations de l'emplacement.Vous devez appliquer automatiquementlameilleure politique de sécurité pour un client ou serveur. La meilleure politique de sécurité est en général dépendante de l'emplacement à partir duquel un utilisateur se connecte. Vous pouvez ajouter un ensemble de conditions à l'emplacement de chaque groupe qui sélectionne automatiquement la politique de sécurité correcte pour un environnement d'utilisateur. Ces conditions sont basées sur des informations, telles que les paramètres réseau de l'ordinateur à partir duquel la demande d'accès au réseau a été lancée. Une adresse IP, une adresse MAC ou l'adresse d'un serveur de répertoire peuvent également fonctionner comme condition. Si vous changez une politique de sécurité dans la console, le serveur du gestionnaire met à jour la politique du client ou le client télécharge la politique. Si l'emplacement actuel n'est pas valable après la mise à jour, alors le client passe à un autre emplacement valable ou le client utilise l'emplacement par défaut. Gestion des emplacements d'un groupe A propos des emplacements d'un groupe 364A propos de la planification des emplacements Avant d'ajouter des emplacements à un groupe, vous devez prendre en compte les types de politiques de sécurité dont votre environnement à besoin. Vous devez également déterminer le critère qui définit chaque emplacement. Vous devriez considérer les questions suivantes : ¦ A partir de quels emplacements les utilisateurs se connectent-ils ? Demandez-vous quels emplacements doivent être créés et comment étiqueter chacun d'eux. Par exemple, les utilisateurs peuvent se connecter au bureau, de la maison, d'un site client ou d'un autre site distanttel qu'un hôtel lors d'un voyage. D'autres emplacements qualifiés peuvent être nécessaires pour un grand site. ¦ Les informations de l'emplacement doivent-elles être configurées pour chaque emplacement ? ¦ Comment voulez-vous identifier l'emplacement si vous utiliser les informations des emplacements ? Vous pouvez identifier l'emplacement basé sur les adresses IP, WINS, DHCP, ou les adresses du serveur DNS, les connexion au réseau, et d'autres critères. ¦ Si vous identifiez l'emplacement par connexion réseau, de quel type de connexion s'agit-il ? Par exemple, la connexion réseau peut être une connexion à Symantec Endpoint Protection Manager, à la connexion réseau à distance ou à une marque particulière de serveur VPN. ¦ Voulez-vous que les clients se connectant dans cet emplacement utilisent un type spécifique de commande,telle que la commande de serveur, la commande mélangée ou la commande client ? ¦ Voulez-vous faire des vérifications de l'Intégrité de l'Hôte de chaque emplacement ? Ou voulez-vous l'ignorer à tout moment, par exemple lorsque vous n'êtes pas connecté à Symantec Endpoint Protection Manager ? ¦ Quelles applications et services doivent être autorisés à chaque emplacement ? ¦ Désirez-vous que l'emplacement utilise les mêmes paramètres de communication que les autres emplacements du groupe ou qu'il en utilise d'autres ? Vous pouvez définir des paramètres de communication uniques pour un emplacement. A propos de l'emplacement par défaut d'un groupe L'emplacement par défaut est utilisé dans l'un des cas suivants : Gestion des emplacements d'un groupe 365 A propos des emplacements d'un groupe¦ L'un des emplacements multiples répond à des critères d'emplacement et si le dernier emplacement ne répond pas aux critères d'emplacement. ¦ Vous utilisez des informations sur l'emplacement et aucun emplacement ne répond au critère. ¦ L'emplacement est renommé ou modifié dans la politique. Le client récupère l'emplacement par défaut quand il reçoit la nouvelle politique. Lorsque le Gestionnaire Symantec Endpoint Protection est initialement installé, seul l'emplacement par défaut, appelé Défaut, est configuré.Acemoment, chaque emplacement de groupe par défaut est Défaut. Vous pourrez ultérieurement changer l'emplacement par défaut après avoir ajouté d'autres emplacements. Chaque groupe doit avoir un emplacement par défaut. Vous pouvez préférer indiquer un emplacement comme Domicile ouRoute comme emplacement de défaut. Activation de l'attribution automatique des politiques d'un client Vous pouvez contrôler les politiques qui sont attribuées aux clients en fonction de l'emplacement à partir duquel un client se connecte.Vous pourrez donc activer les informations de l'emplacement. Pour activer l'attribution automatique des politiques d'un client 1 Dans la Console du Gestionnaire Symantec Endpoint Protection, cliquez sur Clients. 2 Dans la page Clients, sousAfficher Clients, sélectionnez le groupe pour lequel vous souhaitez implanter un passage automatique des emplacements. 3 Dans l'onglet Politiques, décochez Hériter des politiques et des paramètres du groupe parent "nom du groupe". Vous ne pouvez modifier que les paramètres n'appartenant pas à l'emplacement pour ces groupes qui n'ont pas ces politiques et paramètres d'un groupe parent. 4 Dans l'onglet Politiques et Paramètres n'appartenant pas à l'emplacement, cliquez sur Paramètres généraux. 5 Dans la boîte de dialogue Paramètres Généraux, dans l'onglet Paramètres Généraux, dans Paramètres de l'Emplacement, cochez Sesouvenirdudernier emplacement. Gestion des emplacements d'un groupe Activation de l'attribution automatique des politiques d'un client 366Par défaut, cette option est activée. Le client est d'abord assigné à la politique associée à l'emplacement auquel le client s'est connecté la dernière fois au réseau. ¦ Si vous cochez sur Se souvenir du dernier emplacement lorsque l'ordinateur du client se connecte au réseau, alors une politique est initialement assignée au client. Cette politique est associée au dernier emplacement utilisé. Si les informations de l'emplacement sont activées, alors le client passe automatiquement à la politique appropriée après quelques secondes. La politique qui est associée à un emplacement spécifique détermine la connexion réseau d'un client. Si les informations de l'emplacement sont désactivées, le client peut basculer manuellement entre tous les emplacements même dans le contrôle du serveur. Si un emplacement de quarantaine est activé, le client peut commuter vers la politique de quarantaine après quelques secondes. ¦ Si vous ne cochez pas Se souvenir du dernier emplacement lorsque l'ordinateur du client se connecte au réseau, alors une politique associée à l'emplacement par défaut est initialement assignée au client. Le client ne peut pas se connecter au dernier emplacement utilisé. Si les informations de l'emplacement sont activées, alors le client passe automatiquement à la politique appropriée après quelques secondes. La politique associée à un emplacement spéficique détermine la connexion du réseau d'un client. Si les informations sur l'emplacement sont désactivées, l'utilisateur peut basculer entre tous les emplacementsmême lorsque le client est dans le contrôle du serveur. Si un emplacement de quarantaine est activé, le client pourra passer à la Politique de Quarantaine après quelques secondes. 6 Cochez Activez les Informations de l'emplacement. Par défaut, les informations de l'emplacement sont activées. Le client est automatiquement assigné à la politique associée à l'emplacement à partir duquel l'utilisateur tente de se connecter au réseau. 7 Cliquez sur OK. Ajouter un emplacement avec un assistant d'installation Vous pouvez ajouter un emplacement de groupe en utilisant un assistant d'installation oulorsque vous éditez les informations d'un emplacement de groupe. Chaque emplacement dispose comme d'habitude de son propre assortiment de politiques et de paramètres. Gestion des emplacements d'un groupe 367 Ajouter un emplacement avec un assistant d'installationSi vous ajoutez un emplacement avec l'assistant Ajouter un emplacement, vous assignez également l'emplacement dans un groupe spécifique. Vous spécifiez également les conditions sous lesquelles les politiques et les paramètres d'un groupe sonttransférés vers un nouvel emplacement doté de ses propres politiques et paramètres. Ajouter un emplacement avec un assistant d'installation 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Clients. 2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe auquel vous souhaitez ajouter un ou plusieurs emplacements. 3 Dans l'onglet Politiques, décochez Hériter des politiques et des paramètres du groupe parent "nom du groupe". Vous pouvez ajouter des emplacements seulement à des groupes qui n'héritent pas des politiques d'un groupe parent. 4 Dans la page Clients, sous Tâches, cliquez sur Ajouter un Emplacement. 5 Dans le volet de bienvenue de l'Assistant à l'ajout d'emplacement, cliquez sur Suivant. 6 Dans le panneau Préciser un Nom d'Emplacement, tapez le nom et la description du nouvel emplacement, et cliquez sur Suivant. 7 Dans le volet de spécification d'une condition, sélectionnez l'une des conditions suivantes, sous laquelle un client passe d'un emplacement à un autre : Sélectionnez cette option afin que le client puisse choisir cet emplacement si demultiples emplacements sont disponibles. Pas de condition spécifique Sélectionnez cette option afin que le client puisse choisir cet emplacement si son adresse IP est incluse dans la plage spécifiée. Vous devez spécifier l'adresse IP de début et l'adresse IP de fin. Plage d'adresse IP Sélectionnez cette option de sorte que le client puisse choisir cet emplacement si sonmasque de sous-réseau et son adresse de sous-réseau sont spécifiés. Adresse et masque de sous-réseau Sélectionnez cette option de sorte que le client puisse choisir cet emplacement s'il se connecte au serveur DNS spécifié. Serveur DNS Sélectionnez cette option de sorte que le client puisse choisir cet emplacement s'il se connecte au nom de domaine spécifié et à l'adresse de résolution DNS. Le client peut résoudre le nom d'hôte Gestion des emplacements d'un groupe Ajouter un emplacement avec un assistant d'installation 368Sélectionnez cette option pour que le client puisse choisir cet emplacement s'il se connecte au serveur de gestion spécifié. Le client peut se connecter au serveur de gestion Sélectionnez cette option de sorte que le client puisse choisir cet emplacement s'il se connecte au type spécifié de connexion réseau. Le client accède à cet emplacement en utilisant l'une des connexions suivantes : ¦ Tout réseau ¦ Connexion réseau à distance ¦ Ethernet ¦ Sans fil ¦ Check Point VPN-1 ¦ Cisco VPN ¦ Microsoft PPTP VPN ¦ Juniper NetScreen VPN ¦ Nortel Contivity VPN ¦ SafeNet SoftRemote VPN ¦ Aventail SSL VPN ¦ Juniper SSL VPN Type de connexion réseau 8 Cliquez sur Suivant. 9 Dans le voletAssistant d'ajout d'emplacementterminé, cliquez sur Terminer. Ajout d'un emplacement sans assistant Vous pouvez ajouter un emplacement et ses politiques et paramètres associés à un groupe sans utiliser d'assistant. Se reporter à "Ajouter un emplacement avec un assistant d'installation" à la page 367. Procédure d'ajout d'un emplacement sans assistant 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Clients. 2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe pour lequel vous souhaitez ajouter un ou plusieurs emplacements. 3 Dans l'onglet Politiques, supprimez la coche de l'option Hériter lespolitiques etles paramètres du groupe parent "nom de groupe". Vous pouvez seulement ajouter des emplacements aux groupes qui n'héritent pas des politiques d'un groupe supérieur. Gestion des emplacements d'un groupe 369 Ajout d'un emplacement sans assistant4 Dans la page Client, sous Tâches, cliquez sur Gérer les emplacements. 5 Dans la boîte de dialogue Gérer les emplacements, sous Emplacements, cliquez sur Ajouter. 6 Dans la boîte de dialogue Ajouter un emplacement, entrez le nom et la description du nouvel emplacement, puis cliquez sur OK. 7 Dans la boîte de dialogue Gérer les emplacements, en regard de l'option Basculer vers cet emplacement si, cliquez sur Ajouter. 8 Dans la boîte de dialogue Indiquer les critères d'emplacement, dans la liste déroulante Type, sélectionnez et définissez une condition. Un ordinateur client bascule vers l'emplacement si l'ordinateur remplit la condition indiquée. 9 Cliquez sur OK. 10 Pour ajouter d'autres conditions, en regard de l'option Basculer vers cet emplacement si, cliquez sur Ajouter, puis sélectionnez Critères avec relation ET ou Critères avec relation OU. 11 Répétez les étapes de 8 à 9. 12 Cliquez sur OK. Affectation d'un emplacement par défaut Chaque fois que vous créez un groupe, la console Symantec Endpoint Protection Manager crée automatiquement un emplacement par défaut appelé Default.Vous pouvez spécifier un autre emplacement comme emplacement par défaut. Pour attribuer un emplacement par défaut : 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Clients. 2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe auquel vous souhaitez attribuer un autre emplacement par défaut. 3 Dans l'onglet Politiques, supprimez la coche de l'option Hériter lespolitiques etles paramètres du groupe parent "nom de groupe". 4 Sous Tâches, cliquez sur Gérer les emplacements. 5 Dans la boîte de dialogue Gérer les emplacements, sous Emplacements, sélectionnez l'emplacement que vous voulez définir comme emplacement par défaut. Gestion des emplacements d'un groupe Affectation d'un emplacement par défaut 3706 Sous Description, cochez Définircetemplacementcommeemplacementpar défaut en cas de conflit. Il s'agit toujours de celui par défaut tant que vous n'en attribuez pas un autre au groupe. 7 Cliquez sur OK. Modification du nom et de la description de l'emplacement d'un groupe Vous pouvez modifier le nom et la description d'un emplacement au niveau du groupe. Pour modifier le nom et la description de l'emplacement d'un groupe 1 Dans la Console Symantec Endpoint ProtectionManager, cliquez sur Clients. 2 Dans le volet Clients, sous Afficher les clients, cliquez sur le groupe dont vous souhaitez modifier le nom et la description. 3 Dans le volet Tâches de l'onglet Politiques, cliquez sur Gérer les emplacements. 4 Dans la zone de texte Nom de l'emplacement, modifiez le nom de l'emplacement. 5 Dans la zone de texte Description, modifiez la description de l'emplacement. 6 Cliquez sur OK. Supprimer l'emplacement d'un groupe Vous pouvez devoir supprimer un emplacement de groupe parce qu'il ne s'applique plus. Pour supprimer un emplacement 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Clients. 2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe qui contient l'emplacement à supprimer. 3 Dans l'onglet Politiques, désélectionnez Hériter les politiques etles paramètres du groupe parent "nom de groupe". Vous ne pouvez supprimer les emplacements que des groupes qui n'héritent pas des politiques de leurs groupes parent. 4 Dans la page Clients, sous Tâches, cliquez sur Gérer les emplacements. Gestion des emplacements d'un groupe 371 Modification du nom et de la description de l'emplacement d'un groupe5 Dans la boîte de dialogue Gérer les emplacement, sélectionnez l'emplacement à supprimer et cliquez sur Supprimer. Vous ne pouvez pas supprimer l'emplacement par défaut. 6 Dans la boîte de dialogue Supprimer la condition, cliquez sur Oui. Gestion des emplacements d'un groupe Supprimer l'emplacement d'un groupe 372Utilisation des politiques Ce chapitre traite des sujets suivants : ¦ A propos du travail avec les politiques ¦ A propos de l'ajout de politiques ¦ A propos de la modification des politiques ¦ Modification d'une politique partagée dans la page Politiques ¦ Modifier une politique non partagée ou partagée dans la page Clients ¦ Affectation d'une politique partagée ¦ Retrait d'une politique ¦ Supprimer une politique ¦ Exporter une politique ¦ Importation d'une politique ¦ A propos de la copie des politiques ¦ Copie d'une politique partagée dans la page Politique ¦ Copie d'une politique partagée ou non partagée dans la page Clients ¦ Coller une politique ¦ Remplacement d'une politique ¦ Conversion d'une politique partagée en politique non partagée ¦ Conversion d'une copie d'une politique partagée en politique non partagée Chapitre 26A propos du travail avec les politiques Vous pouvez effectuer les tâches suivantes sur toutes les politiques : ¦ Ajouter Si vous ajoutez ou modifiez des politiques partagées dans la page Politiques, vous devez également attribuer les politiques à un groupe ou emplacement. Autrement ces politiques ne prennent pas effet. ¦ Modifier ¦ Attribuer ¦ Supprimer ¦ Importer et exporter ¦ Copier et coller ¦ Convertir ¦ Remplacer Chaque tâche, si applicable, possède des références croisées appropriées vers les tâches qui décrivent les éléments spécifiques de chaque type de politique. Ces politiques peuvent être ajoutées en tant que politique partagée ou non partagée. A propos de l'ajout de politiques Vous pouvez ajouter des politiques en tant que politiques partagées ou non partagées. En général, vous ajoutez n'importe quelle politique partagée par les groupes les emplacements dans la page Politiques de l'onglet Politiques. Toutefois, ajoutez toute politique non partagée entre les groupes, s'appliquant uniquement à un emplacement spécifique, dans la page Clients. Si vous décidez d'ajouter une politique dans la page Clients, vous le faire à l'aide de l'une des méthodes suivantes : ¦ Basez une nouvelle politique sur une politique existante. ¦ Créez une politique. ¦ Importez une politique à partir d'une politique précédemment exportée. Se reporter à "Ajouter une politique partagée dans la page Politiques" à la page 375. Se reporter à "Ajout d'une politique non partagée dans la page Clients avec un assistant" à la page 377. Utilisation des politiques A propos du travail avec les politiques 374Ajouter une politique partagée dans la page Politiques Vous ajoutez typiquement une politique partagée dans la page Politiques au lieu de la page Clients. Les emplacements, comme les groupes, peuvent partager la même politique. Vous devez affecter la politique partagée après l'avoir ajoutée. Vous pouvez ajouter une politique non partagée depuis la page Clients. Se reporter à "Ajout d'une politique non partagée dans la page Clients avec un assistant" à la page 377. Pour ajouter une politique partagée dans la page Politiques 1 Dans la Console de Symantec Endpoint Protection Manager, cliquez sur Politiques. 2 Dans la page Politiques, sous Afficher les politiques, sélectionnez les types de politiques. 3 Dans la page Politiques, sous Tâches, cliquez sur Ajouterunetype de politique politique. 4 Dans la page type de politique Politique, dans le volet Présentation, tapez le nom et la description de la politique. 5 Sinon l'option n'est pas déjà cochée, cochez Activer cette politique. 6 Dans le volet gauche, sélectionnez l'une des vues suivantes : Toutes les politiques qui ont été attribuées à des groupes et des emplacements sont représentées comme des icones. Affichage sous forme d'arborescence Toutes les politiques qui ont été attribuées à des groupes et des emplacements sont représentées dans une liste. Affichage sous forme de liste Utilisation des politiques 375 A propos de l'ajout de politiques7 Pour définir la politique, sous Afficher les politiques, cliquez sur les types de politiques suivants : Se reporter à "Apropos de l'utilisation des politiques de contrôle des applications et des périphériques" à la page 577. Antivirus et antispyware Se reporter à "Apropos de l'utilisation des politiques de pare-feu" à la page 488. Pare-feu Se reporter à "Apropos de l'utilisation des politiques de prévention d'intrusion" à la page 516. Prévention d'intrusion Se reporter à "Apropos de l'utilisation des politiques de contrôle des applications et des périphériques" à la page 577. Contrôle d'application et de périphérique Se reporter à "Apropos de l'utilisation des politiques d'intégrité de l'hôte" à la page 632. Intégrité d'hôte Se reporter à "A propos de LiveUpdate et de la mise à jour des définitions et du contenu" à la page 103. LiveUpdate Se reporter à "Apropos de l'utilisation des politiques d'exceptions centralisées" à la page 612. Exceptions centralisées 8 Quand vous avez terminé de configurer la politique, cliquez sur OK. 9 Dans la boîte de dialogueAssigner la politique, effectuez l'une des opérations suivantes : ¦ Pour affecter la politique à un groupe ou un emplacement maintenant, cliquez sur Oui, puis passez à l'étape 10. ¦ Pour affecter la politique à un groupe ou un emplacement plus tard, cliquez sur Non. Se reporter à "Affectation d'une politique partagée" à la page 382. Vous devez affecter la politique, car sinon les ordinateurs client du groupe ou de l'emplacement ne reçoivent pas la politique. 10 Dans la boîte de dialogueAssigner la policy type politique, cochez les groupes et les emplacements auxquels doit s'appliquer la politique. Utilisation des politiques A propos de l'ajout de politiques 37611 Cliquez sur Assigner. 12 Pour confirmer, cliquez sur Oui. Ajout d'une politique non partagée dans la page Clients avec un assistant Vous pouvez ajouter des politiques non partagées ou partagées dans la page Clients. Vous pouvez ajouter une politique partagée dans la page Politiques. Se reporter à "Ajouter une politique partagée dans la page Politiques" à la page 375. Pour ajouter une politique non partagée dans la page Clients avec un assistant : 1 Dans la console, cliquez sur Politiques. 2 Dans la page Politiques, sousAfficher les politiques, localisez le groupe auquel vous souhaitez ajouter une politique. 3 Dans l'onglet Politiques, désactivez l'option Hériter les politiques etles paramètres du groupe parent "nom de groupe". Vous devez désactiver l'héritage pour ce groupe. Si vous ne désélectionnez pas l'héritage, vous ne pouvez pas ajouter la politique. 4 Sous Politiques et paramètres dépendants de l'emplacement, défilez vers l'emplacement. 5 Adroite de Politiques spécifiques aux emplacements, cliquez sur Ajouterune politique. S'il existe une politique partagée ou spécifique à l'emplacement, elle n'apparaît plus dans l'assistant Ajouter une politique pour nom d'emplacement. Utilisation des politiques 377 A propos de l'ajout de politiques6 Dans l'assistantAjouter une politique pour nomd'emplacement, sélectionnez le type de politique à ajouter et cliquez sur Suivant. Vous ne pouvez ajouter des politiques spécifiques à l'emplacement que s'il n'en existe aucune. L'option Ajouter une politique s'affiche seulement si aucune politique n'existe pour un type spécifique de politique. 7 Effectuez l'une des opérations suivantes : Crée une politique non partagée à partir d'une politique partagée de même type. Si vous modifiez cette politique, elle est modifiée dans tous les emplacements qui utilisent cette politique. Se reporter à "Ajout d'une nouvelle politique non partagée à partir d'une politique existante dans la page Clients" à la page 379. Utiliser une politique partagée existante Crée une politique non partagée. Se reporter à "Ajout d'une nouvelle politique non partagée dans la page Clients" à la page 378. Créer une nouvelle politique Crée une politique non partagée à partir d'un fichier .datformaté précédemment exporté. Se reporter à "Ajout d'une nouvelle politique non partagée à partir d'un fichier de politique précédemment exporté dans la page Clients" à la page 380. Importer une politique à partir d'un fichier de politique Ajout d'une nouvelle politique non partagée dans la page Clients Si vous créez une politique non partagée dans la page Clients, la politique s'applique uniquement à un emplacement spécifique. Se reporter à "Ajout d'une politique non partagée dans la page Clients avec un assistant" à la page 377. Pour ajouter une nouvelle politique non partagée dans la page Clients : 1 Dans l'assistantAjouter une politique pour nomd'emplacement, sélectionnez le type de politique à ajouter et cliquez sur Suivant. 2 Cliquez sur Créer une nouvelle politique et cliquez sur Suivant. Utilisation des politiques A propos de l'ajout de politiques 3783 Dans le volet Présentation de politique type de politique, tapez le nom et la description de la politique. 4 Pour configurer la politique, sous Afficher les politiques, cliquez sur l'un des types de politique suivants : Se reporter à "A propos de l'utilisation des politiques antivirus et antispyware" à la page 414. Antivirus et antispyware Se reporter à "A propos de l'utilisation des politiques de pare-feu" à la page 488. Pare-feu Se reporter à "A propos de l'utilisation des politiques de prévention d'intrusion" à la page 516. Prévention d'intrusion Se reporter à "A propos de l'utilisation des politiques de contrôle des applications et des périphériques" à la page 577. Contrôle d'application et de périphérique Se reporter à "A propos de l'utilisation des politiques d'intégrité de l'hôte" à la page 632. Intégrité de l'hôte Se reporter à "A propos de LiveUpdate et de la mise à jour des définitions et du contenu" à la page 103. LiveUpdate Se reporter à "A propos de l'utilisation des politiques d'exceptions centralisées" à la page 612. Exceptions centralisées Ajout d'une nouvelle politique non partagée à partir d'une politique existante dans la page Clients Vous pouvez ajouter une nouvelle politique non partagée à partir d'une politique existante dans la page Clients. Se reporter à "Ajout d'une politique non partagée dans la page Clients avec un assistant" à la page 377. Pour ajouter une nouvelle politique non partagée à partir d'une politique existante dans la page Clients : 1 Dans l'assistantAjouter une politique pour nomd'emplacement, sélectionnez le type de politique à ajouter et cliquez sur Suivant. 2 Cliquez sur Utiliserunepolitiquepartagée existante et cliquez sur Suivant. 3 Dans la boîte de dialogue Ajouter une politique, sélectionnez une politique existante dans la liste déroulante. 4 Cliquez sur OK. Utilisation des politiques 379 A propos de l'ajout de politiquesAjout d'une nouvelle politique non partagée à partir d'un fichier de politique précédemment exporté dans la page Clients Vous pouvez ajouter une nouvelle politique non partagée à partir d'un fichier de politique précédemment exporté dans la page Clients. Se reporter à "Ajout d'une politique non partagée dans la page Clients avec un assistant" à la page 377. Pour ajouter une nouvelle politique non partagée à partir d'un fichier de politique précédemment exporté dans la page Clients 1 Dans l'assistantAjouter une politique pour nomd'emplacement, sélectionnez le type de politique à ajouter et cliquez sur Suivant. 2 Cliquez sur Importer une politique à partir d'un fichier de politique et cliquez sur Suivant. 3 Dans la boîte de dialogue Importer la politique, localisez le fichier .dat qui a été précédemment exporté. 4 Cliquez sur Importer. A propos de la modification des politiques Vous pouvez modifier les politiques partagées dans l'onglet Politiques de la page Politiques et dans la page Client. Cependant, vous ne pouvez modifier que des politiques non partagées dans la page Clients. Modification d'une politique partagée dans la page Politiques Les emplacements etles groupes peuvent partager la même politique. Vous devez attribuer une politique partagée après l'avoir modifié. Pour modifier une politique partagée dans la page Politiques : 1 Dans la Console de Symantec Endpoint Protection Manager, cliquez sur Politiques. 2 Dans la page Politiques, sous Afficher les politiques, cliquez sur le type de politique. 3 Dans le volet Politiques type de politique, cliquez sur la politique à modifier. 4 Sous Tâches, cliquez sur Modifier la politique. Utilisation des politiques A propos de la modification des politiques 3805 Dans le volet Présentation de politique type de politique, moditifiez le nom et la description de la politique, si nécessaire. 6 Pour modifier la politique, cliquez sur l'une des pages Politique type de politique des politiques suivantes : Se reporter à "A propos de l'utilisation des politiques antivirus et antispyware" à la page 414. Antivirus et antispyware Se reporter à "A propos de l'utilisation des politiques de pare-feu" à la page 488. Pare-feu Se reporter à "A propos de l'utilisation des politiques de prévention d'intrusion" à la page 516. Prévention d'intrusion Se reporter à "A propos de l'utilisation des politiques de contrôle des applications et des périphériques" à la page 577. Contrôle des applications et des périphériques Se reporter à "A propos de l'utilisation des politiques d'intégrité de l'hôte" à la page 632. intégrité de l'hôte Se reporter à "A propos de LiveUpdate et de la mise à jour des définitions et du contenu" à la page 103. LiveUpdate Se reporter à "A propos de l'utilisation des politiques d'exceptions centralisées" à la page 612. Exceptions centralisées Modifier une politique non partagée ou partagée dans la page Clients Vous pouvez modifier les politiques non partagées et partagées dans la page Clients. Pour modifier une politique partagée ou non partagée dans la page Clients : 1 Dans la Console Symantec Endpoint ProtectionManager, cliquez sur Clients. 2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe pour lequel vous souhaitez modifier une politique. 3 Dans l'onglet Politiques, désactivez l'option Hériter les politiques etles paramètres du groupe parent "nom de groupe". Vous devez désactiver l'héritage pour ce groupe. Si vous ne désélectionnez pas l'héritage, vous ne pouvez pas modifier la politique. Utilisation des politiques 381 Modifier une politique non partagée ou partagée dans la page Clients4 Sous Politiques et paramètres dépendants de l'emplacement, faites défiler le menu pour trouver le nom de l'emplacement dont vous souhaitez modifier la politique. 5 Recherchez la politique spécifique pour l'emplacement que vous voulez modifier. 6 A droite de la politique sélectionnée, cliquez sur Tâches puis sur Modifier une politique. 7 Effectuez l'une des tâches suivantes : ¦ Pour modifier une politique non partagée, passez à l'étape 8. ¦ Pour modifier une politique partagée, cliquez sur Modifierunepolitique partagée dans la boîte de dialogue Modifier une politique pour modifier la politique dans tous les emplacements. 8 Vous pouvez cliquer sur un lien pour le type de politique à modifier. Se reporter à "A propos de l'utilisation des politiques antivirus et antispyware" à la page 414. Antivirus et antispyware Se reporter à "A propos de l'utilisation des politiques de pare-feu" à la page 488. Pare-feu Se reporter à "A propos de l'utilisation des politiques de prévention d'intrusion" à la page 516. Prévention d'intrusion Se reporter à "A propos de l'utilisation des politiques de contrôle des applications et des périphériques" à la page 577. Contrôle d'application et de périphérique Se reporter à "A propos de l'utilisation des politiques d'intégrité de l'hôte" à la page 632. Intégrité de l'hôte Se reporter à "A propos de LiveUpdate et de la mise à jour des définitions et du contenu" à la page 103. LiveUpdate Se reporter à "A propos de l'utilisation des politiques d'exceptions centralisées" à la page 612. Exceptions centralisées Affectation d'une politique partagée Après avoir créé une politique partagée dans la page Politiques, vous devez l'affecter à un ou plusieurs groupes et emplacements. Les politiques non affectées ne peuvent pas être téléchargées vers les ordinateurs client du groupes et des emplacements. Si vous n'affectez pas la politique lorsque vous l'ajoutez, vous Utilisation des politiques Affectation d'une politique partagée 382pouvez l'affecter à des groupes et des emplacements plus tard. Vous pouvez également affecter une politique à un groupe ou un emplacement différent. Pour affecter une politique partagée 1 Ajoutez une politique partagée. Se reporter à "Ajouter une politique partagée dans la page Politiques" à la page 375. 2 Dans la page Politiques, sous Afficher les politiques, cliquez sur le type de politique à affecter. 3 Dans le volet type de politique Politiques, sélectionnez la politique à affecter. 4 Dans la page Politiques, sous Tâches, cliquez sur Assigner la politique. 5 Dans la boîte de dialogue Assigner type de politiquela politique, cochez les groupes et les emplacements auxquels doit s'appliquer la politique. 6 Cliquez sur Assigner. 7 Cliquez sur Oui pour confirmer que vous voulez affecter la politique. Retrait d'une politique Il se peut que vous souhaitiez retirer une politique d'un groupe ou d'un emplacement dans certaines situations, notamment lorsqu'un groupe particulier a rencontré des problèmes suite à l'introduction d'une nouvelle politique. Si vous retirez une politique, celle-ci est automatiquement retirée des groupes et des emplacements auquels vous l'avez attribuée. La politique demeure toutefois dans la base de données. Vous pouvez retirer toutes les politiques de la page Politiques, à l'exception des politiques suivantes : ¦ Antivirus et Antispyware ¦ LiveUpdate Remarque : Vous devez retirer une politique de tous les groupes et emplacements avant de la supprimer. Vous ne pouvez pas retirer une politique d'antivirus, de protection contre les logiciels espions ou une politique LiveUpdate d'un emplacement ou groupe. Vous pouvez les remplacer seulement par une autre politique d'antivirus, de protection contre les logiciels espions ou par une autre politique LiveUpdate. Utilisation des politiques 383 Retrait d'une politiquePour retirer une politique partagée de la page Politiques 1 Dans la Console de Symantec Endpoint Protection Manager, cliquez sur Politiques. 2 Dans la page Politiques, sous Afficher les politiques, cliquez sur le type de politique que vous souhaitez retirer. 3 Dans le volet Politiques type de politique, cliquez sur la politique que vous souhaitez retirer. 4 Dans la page Politiques, sous Tâches, cliquez sur Retirer la politique. 5 Dans la boîte de dialogue Retirer la politique, cochez les groupes et les emplacements dont vous souhaitez retirer la politique. 6 Cliquez sur Retirer. 7 Lorsque vous êtes invité à confirmer le retrait de la politique des groupes et emplacements, cliquez sur Oui. Pour retirer une politique partagée ou non-partagée de la page Clients 1 Dans la Console Symantec Endpoint ProtectionManager, cliquez sur Clients. 2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe pour lequel vous souhaitez retirer une politique. 3 Dans l'onglet Politiques, désactivez l'option Hériter les politiques etles paramètres du groupe parent "nom de groupe". Vous devez désactiver l'héritage pour ce groupe. Si vous ne désélectionnez pas l'option d'héritage, vous ne pourrez pas retirer la politique. 4 Sous Politiques et paramètres spécifiques à l'emplacement, faites défiler le menu pour trouver le nom de l'emplacement dont vous souhaitez retirer la politique. 5 Recherchez la politique à retirer de l'emplacement sélectionné. 6 Cliquez sur Tâches puis sur Retirer la politique. 7 Dans la boîte de dialogue Retirer la politique, cliquez sur Oui. Supprimer une politique Vous pouvez devoir supprimer une politique qui s'applique à des groupes et des emplacements. Par exemple, des directives d'entreprise peuvent changer et nécessiter la mise en place de différentes politiques. Quand de nouveaux groupes de sociétés sont ajoutés, vous pouvez devoir supprimer d'anciens groupes et les politiques associées. Utilisation des politiques Supprimer une politique 384Vous pouvez supprimer une politique partagée ou non partagée. A mesure que vous ajoutez des groupes et des emplacements, vous pouvez être amené à supprimer d'anciennes politiques. Pour supprimer une politique non partagée, retirez-la et supprimez-la en utilisant la même commande. Remarque : Vous devez préalablement retirer une politique affectée à un groupe ou un emplacement pour pouvoir supprimer la politique. Vous ne pouvez pas supprimer une politique antivirus et de protection contre les logiciels espions, ni une politique LiveUpdate. Vous devez la remplacer par une autre politique de protection contre les logiciels espions ou LiveUpdate, puis vous pouvez supprimer la politique d'origine de protection contre les logiciels espions ou une politique LiveUpdate. Vous devez disposer d'au moins une politique de protection contre les logiciels espions et une politique LiveUpdate pour chaque groupe et chaque emplacement. Pour supprimer une politique partagée dans la page Politique 1 Dans la Console de Symantec Endpoint Protection Manager, cliquez sur Politiques. 2 Dans la page Politiques, sous Afficher les politiques, sélectionnez le type de politique à supprimer. La politique peut avoir été affectée ou non à un ou plusieurs groupes et emplacements. 3 Dans le volettype de politique Politiques, cliquez sur la politique à supprimer. 4 Dans la page Politiques, sous Tâches, cliquez sur Supprimer la politique. 5 Lorsqu'unmessage vous demande de confirmer la suppression de la politique que vous avez sélectionnée, cliquez sur Oui. Pour supprimer une politique non partagée dans la page Clients 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Clients. 2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe pour lequel vous voulez supprimer une politique. 3 Dans l'onglet Politiques, désélectionnez Hériter les politiques etles paramètres du groupe parent "nom de groupe". Vous devez désactiver l'héritage pour ce groupe. Si vous ne désélectionnez pas l'option d'héritage, vous ne pouvez pas supprimer la politique. Utilisation des politiques 385 Supprimer une politique4 Sous Politiques et paramètres dépendants de l'emplacement, faites défiler le menu jusqu'à ce que vous trouviez le nomde l'emplacement dont vous voulez supprimer la politique. 5 Recherchez la politique à supprimer associée à l'emplacement. 6 A droite de la politique sélectionnée, cliquez sur Tâches, puis sur Retirer la politique. Lorsque vous retirez la politique, vous la supprimez. Vous ne pouvez pas supprimer une politique antivirus et de protection contre les logiciels espions, ni une politique LiveUpdate d'un emplacement. Vous ne pouvez la remplacer que par une autre politique. 7 Cliquez sur Oui. Exporter une politique Vous pouvez exporter des politiques existantes vers un fichier .dat. Par exemple, vous pouvez exporter une politique pour l'utiliser sur un site différent. Sur l'autre site, vous devez importer la politique en utilisant le fichier .dat du site d'origine. Tous les paramètres associés à la politique sont exportés automatiquement. Vous pouvez exporter une politique partagée ou non partagée. Pour exporter une politique partagée dans la page Politiques 1 Dans la Console de Symantec Endpoint Protection Manager, cliquez sur Politiques. 2 Dans la page Politiques, sous Afficher les politiques, cliquez sur le type de politique à exporter. 3 Dans le volet type de politique Politiques, cliquez sur la politique à exporter. 4 Dans la page Politiques, sous Tâches, cliquez sur Exporter la politique. 5 Dans la boîte de dialogue Exporter la politique, recherchez le dossier vers lequel vous voulez exporter le fichier de la politique, puis cliquez sur Exporter. Pour exporter une politique partagée ou non partagée dans la page Clients 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Clients. 2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe pour lequel vous voulez exporter une politique. 3 Dans l'onglet Politiques, désélectionnez Hériter les politiques etles paramètres du groupe parent "nom de groupe". Vous devez désactiver l'héritage pour ce groupe. Si vous ne désélectionnez pas l'option d'héritage, vous ne pourrez pas exporter la politique. Utilisation des politiques Exporter une politique 3864 Sous Politiques et paramètres dépendants de l'emplacement, faites défiler le menu jusqu'à ce que vous trouviez le nomde l'emplacement dont vous voulez exporter la politique. 5 Recherchez la politique à exporter associée à l'emplacement. 6 A droite de la politique, cliquez sur Tâches, puis sur Exporter la politique. 7 Dans la boîte de dialogue Exporter la politique, recherchez le dossier vers lequel vous voulez exporter la politique. 8 Dans la boîte de dialogue Exporter la politique, cliquez sur Exporter. Importation d'une politique Vous pouvez importer un fichier de politique et l'appliquer à un groupe ou à un emplacement uniquement. Le fichier d'importation porte l'extension .dat. Vous pouvez importer une politique partagée ou non partagée pour un emplacement particulier dans la page Clients. Se reporter à "Ajout d'une nouvelle politique non partagée à partir d'un fichier de politique précédemment exporté dans la page Clients" à la page 380. Pour importer une politique partagée dans la page Politiques 1 Dans la Console de Symantec Endpoint Protection Manager, cliquez sur Politiques. 2 Dans la page Politiques, sous Afficher les politiques, cliquez sur le type de politique à importer. 3 Dans le volet Politiques de type de politique, cliquez sur la politique à importer. 4 Dans la page Politiques, sous Tâches, cliquez sur Importeruntype de politique Politique. 5 Dans la boîte de dialogue Importer la politique, recherchez le fichier de politique à importer, puis cliquez sur Importer. A propos de la copie des politiques Vous pouvez copier les politiques avant de les personnaliser. Après avoir copié une politique, vous devez la coller. Se reporter à "Coller une politique" à la page 389. Utilisation des politiques 387 Importation d'une politiqueCopie d'une politique partagée dans la page Politique Vous pouvez copier une politique partagée dans la page Politique. Vous pouvez également copier une politique partagée sur la page Clients. Se reporter à "Copie d'une politique partagée ou non partagée dans la page Clients" à la page 388. Pour copier une politique partagée dans la page Politique 1 Dans la Console de Symantec Endpoint Protection Manager, cliquez sur Politiques. 2 Sur la page Politiques, sous Afficher les politiques, cliquez sur le type de politique que vous voulez copier. 3 Dans le volet Politiques type de police, cliquez sur la politique que vous souhaitez copier. 4 Sur la page Politiques, sous Tâches, cliquez sur Copier la politique. 5 Dans la boîte de dialogue Copier la politique, cliquez sur Ne plus afficher ce message. Vous ne devez cocher cette option que si vous ne souhaitez plus être informé de ce processus. Le message indique que la politique a été copiée vers le presse-papiers et est prête à être collée. 6 Cliquez sur OK. Copie d'une politique partagée ou non partagée dans la page Clients Vous pouvez copier une politique partagée ou non partagée dans la page Clients. Vous devez toutefois la coller ultérieurement dans la page Clients. Vous pouvez également copier des politiques partagées dans la page Politique. Se reporter à "Copie d'une politique partagée dans la page Politique" à la page 388. Pour copier une politique partagée ou non partagée dans la page Clients 1 Dans la Console Symantec Endpoint ProtectionManager, cliquez sur Clients. 2 Sur la page Clients, sous Afficher les clients, sélectionnez le groupe pour lequel vous souhaitez copier une politique. 3 Dans l'onglet Politiques, sous Politiques et paramètres dépendants de l'emplacement, recherchez l'emplacement à partir duquel vous souhaitez effectuer une copie. Utilisation des politiques Copie d'une politique partagée dans la page Politique 3884 Recherchez la politique qui correspond à cet emplacement. 5 A droite de la politique, cliquez sur Tâches, puis cliquez sur Copier. 6 Dans la boîte de dialogue Copier la politique, cliquez sur Ne plus afficher ce message. Vous ne devez cocher cette option que si vous ne souhaitez plus être informé de ce processus. Le message indique que la politique a été copiée vers le presse-papiers et est prête à être collée. 7 Cliquez sur OK. Coller une politique Vous devez avoir copié une politique afin de pouvoir la coller. Concernantles politiques partagées, lorsque vous en collez une, elle apparaît dans le volet droit. Les mots "Copie de" sont ajoutés au début du nom de la politique pour la distinguer comme étant une copie. Vous pouvez alors modifier le nom de la politique copiée. Se reporter à "A propos de la copie des politiques" à la page 387. Pour coller une politique partagée dans la page Politique 1 Dans la Console de Symantec Endpoint Protection Manager, cliquez sur Politiques. 2 Dans la page Politiques, sous Afficher les politiques, cliquez sur le type de politique à coller. 3 Dans le volet Politiques type de politique, cliquez sur la politique à coller. 4 Dans la page Politiques, sous Tâches, cliquez sur Coller une politique. Pour coller une politique partagée ou non partagée dans la page Clients 1 Dans la Console Symantec Endpoint ProtectionManager, cliquez sur Clients. 2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe pour lequel vous souhaitez coller une politique. 3 Dans l'onglet Politiques, désactivez l'option Hériter les politiques etles paramètres du groupe parent "nom de groupe". Vous devez désactiver l'héritage pour ce groupe. Si vous ne désélectionnez pas l'option d'héritage, vous ne pourrez pas coller la politique. 4 Sous Politiques et paramètres dépendants de l'emplacement, faites défiler le menu pour trouver le nom de l'emplacement dont vous souhaitez coller la politique. Utilisation des politiques 389 Coller une politique5 Recherchez la politique pour l'emplacement à coller. 6 À droite de la politique, cliquez sur Tâches puis sur Coller. 7 Lorsque vous êtes invité à remplacer la politique existante, cliquez sur Oui. Remplacement d'une politique Il se peut que vous souhaitiez remplacer une politique partagée par une autre. Vous pouvez remplacer la politique partagée dans tous les emplacements ou pour un seul emplacement. Quand vous remplacez une politique pour tous les emplacements, le serveur de gestion ne remplace la politique que pour les emplacements auxquels cette politique a été attribuée. Par exemple, supposez que le groupe Ventes utilise la politique Ventes pour trois de ses quatre emplacements. Si vous remplacez la politique Ventes par la politique Marketing, ce changement ne concernera que ces trois emplacements. Vous pouvez définir que les clients d'un groupe utilisent les mêmes paramètres indépendamment de leur emplacement. Dans ce cas, vous pouvez remplacer une politique non partagée par une politique partagée. La politique non partagée doit être remplacée par une politique partagée pour chaque emplacement individuellement. Pour remplacer une politique partagée pour tous les emplacements 1 Dans la Console de Symantec Endpoint Protection Manager, cliquez sur Politiques. 2 Sur la page Politiques, sous Afficher les politiques, cliquez sur le type de politique que vous voulez remplacer. 3 Dans le volet Politiques de type de politique, cliquez sur la politique. 4 Dans la page Politiques, sous Tâches, cliquez sur Remplacer la politique. 5 Dans la boîte de dialogue Remplacer la politique type de politique, dans la liste déroulante Nouvelle politique type de politique, sélectionnez la politique partagée qui remplace l'ancienne. 6 Sélectionnez les groupes et les emplacements dont vous voulez remplacer la politique. 7 Cliquez sur Remplacer. 8 Quand vous êtes invité à confirmer le remplacement de la politique pour les groupes et les emplacements, cliquez sur Oui. Utilisation des politiques Remplacement d'une politique 390Pour remplacer une politique partagée ou une politique non partagée pour un emplacement 1 Dans la console, cliquez sur Clients. 2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe dont vous souhaitez remplacer la politique. 3 Dans l'onglet Politiques, désactivez l'option Hériter les politiques etles paramètres du groupe parent "nom de groupe". Vous devez désactiver l'héritage pour ce groupe. Si vous ne désélectionnez pas l'option d'héritage, vous ne pourrez pas remplacer la politique. 4 Sous Politiques et paramètres dépendants de l'emplacement, recherchez l'emplacement qui contient la politique. 5 A côté de la politique que vous voulez remplacer, cliquez sur Tâches, puis sur Remplacer la politique. 6 Dans la boîte de dialogue Remplacer la politique, dans la liste déroulante Nouvelle politique, sélectionnez la politique de remplacement. 7 Cliquez sur OK. Conversion d'une politique partagée en politique non partagée Il se peut que vous souhaitiez convertir une politique partagée existante en politique non partagée du fait que celle-ci ne s'applique plus à tous les groupes ou tous les emplacements. Une fois la conversion terminée, la politique convertie et son nouveau nom apparaissent sous Politiques et paramètres dépendants de l'emplacement. Pour convertir une politique partagée en politique non partagée 1 Dans la console Symantec Endpoint Protection Manager, cliquez sur Clients. 2 Dans la page Clients, sous Afficher, sélectionnez le groupe pour lequel vous souhaitez convertir une politique. 3 Dans le volet qui est associé au groupe que vous avez sélectionné lors de l'étape précédente, cliquez sur Politiques. 4 Dans l'onglet Politiques, désactivez l'option Hériter les politiques etles paramètres du groupe parent "nom de groupe". Si vous ne désélectionnez pas l'option d'héritage, vous ne pourrez exporter aucune politique. Utilisation des politiques 391 Conversion d'une politique partagée en politique non partagée5 Sous Politiques et paramètres dépendants de l'emplacement, faites défiler le menu jusqu'à ce que vous trouviez le nom de l'emplacement dont est issue la politique à convertir. 6 Recherchez la politique à convertir dans l'emplacement sélectionné. 7 Cliquez sur Tâches puis sur Convertir en politique non partagée. 8 Dans la boîte de dialogue Présentation, modifiez le nom et la description de la politique. 9 Cliquez sur OK. Conversion d'une copie d'une politique partagée en politique non partagée Vous pouvez copier le contenu d'une politique partagée et créer une politique non partagée à partir de ce contenu. Une copie permet de modifier le contenu d'une politique partagée dans un seul emplacement et non dans tous les emplacements. La copie remplace la politique non partagée existante. Pour convertir une copie d'une politique partagée en politique non partagée 1 Dans la console, cliquez sur Clients. 2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe dont vous souhaitez remplacer la politique. 3 Dans l'onglet Politiques, désactivez l'option Hériter les politiques etles paramètres du groupe parent "nom de groupe". Vous devez désactiver l'héritage pour ce groupe. Si vous ne désactivez pas l'héritage, vous ne pourrez pas remplacer la politique. 4 Sous Politiques et paramètres dépendants de l'emplacement, recherchez l'emplacement qui contient la politique. 5 Cliquez sur Tâches, puis sur Modifier la politique, à côté de la politique à remplacer. 6 Dans la boîte de dialogueModifier la politique, cliquez sur Créerunepolitique non partagée à partir d'une copie. 7 Modifiez la politique. Se reporter à "A propos de la modification des politiques" à la page 380. 8 Quand vous avez terminé de configurer la politique, cliquez sur OK. Utilisation des politiques Conversion d'une copie d'une politique partagée en politique non partagée 392Extraction ou transfert des politiques entre les serveurs de gestion, les clients et les boîtiers Enforcer facultatifs Ce chapitre traite des sujets suivants : ¦ A propos du mode d'extraction et du mode de transfert ¦ Définition du mode de transfert ou d'extraction A propos du mode d'extraction et du mode de transfert Vous pouvez configurer le client en mode de transfert ou d'extraction. Dans l'un ou l'autre de ces modes, le client effectue l'opération suivante qui est basée sur le changement d'état du serveur de gestion. En raison de la connexion constante, le mode de transfert requiert une bande passante importante. Le plus souvent, vous pouvez configurer les clients en mode d'extraction. Le client se connecte à Symantec Endpoint Protection Manager périodiquement, selon la fréquence du paramètre de battement. Le client vérifie l'état du serveur de gestion quand le client se connecte. mode d'extraction Chapitre 27Le client établit une connexion HTTP permanente au serveur de gestion. Dès que l'état du serveur de gestion change, le client en est immédiatement informé. mode de transfert A propos du battement Un battement estla fréquence à laquelle les ordinateurs client chargentles données et téléchargent les politiques. Un battement est un protocole que chaque client utilise pour communiquer avec Symantec Endpoint Protection Manager. La fréquence de battement est un facteur clé dans le nombre de clients que chaque Symantec Endpoint Protection Manager peut prendre en charge. Symantec Corporation recommande ce qui suit pour de grands déploiements. Les déploiements de 1 000 postes ou plus doivent définir la fréquence de battement à la durée maximale qui correspond aux exigences de sécurité d'une entreprise. Par exemple, si vous voulez mettre à jour des politiques de sécurité et recueillir des journaux quotidiennement, définissez alors la fréquence de battement à 24 heures. Ce paramètre permet à chaque client de communiquer avec Symantec Endpoint ProtectionManager peu de temps après que le redémarrage de Symantec Endpoint ProtectionManager. La première fois qu'un battement se produit dépend de la fréquence du battement que vous avez définie. Cette première occurrence de battement est calculée comme suit : fréquence de battement x 0,5 (5 %) Quand vous définissez une fréquence de battement à 30 minutes, le premier battement se produit en 90 secondes. Cet intervalle représente cinq pour cent du paramètre de battement. Si vous définissez une fréquence de battement à 30 minutes ou moins, il limite le nombre total de clients que Symantec Endpoint Protection Manager peut prendre en charge. Il se peut que vous ayez besoin d'une fréquence de battement élevée dans un grand déploiement (1000 postes ou plus) sur chaque Symantec Endpoint Protection Manager. Dans ce cas, consultez les services professionnels et le support d'entreprise de Symantec pour évaluer la configuration, le matériel et l'architecture réseau appropriés pour votre environnement réseau. Définition du mode de transfert ou d'extraction Vous pouvez indiquer si le serveur de gestion transfert la politique aux clients ou si les clients extraient la politique du serveur de gestion. Le mode de transfert est le mode par défaut. Si vous sélectionnez le mode d'extraction, vous devez également définir la fréquence à laquelle chaque client se connecte au serveur de gestion.Vous pouvez définir lemode de transfert ou d'extraction pour les groupes ou les emplacements. Extraction ou transfert des politiques entre les serveurs de gestion, les clients et les boîtiers Enforcer facultatifs Définition du mode de transfert ou d'extraction 394Procédure de définition du mode de transfert ou d'extraction pour un groupe 1 Dans la console, cliquez sur Clients. 2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe pour lequel vous souhaitez indiquer s'il faut transférer ou extraire les politiques. 3 Dans la page Clients, cliquez sur l'onglet Politiques. 4 Dans l'onglet Politiques, supprimez la coche de l'option Hériter lespolitiques etles paramètres du groupe parent "nom du groupe". 5 Dans le volet Politiques et paramètres indépendants de l'emplacement, sous Paramètres, cliquez sur Paramètres de communication. 6 Dans la boîte de dialogue Paramètres de communication du nom du groupe, sous Téléchargement, vérifiez que l'option Télécharger les politiques et contenus depuis le serveur de gestion est cochée. 7 Effectuez l'une des opérations suivantes : ¦ Cliquez sur Mode de transfert. ¦ Cliquez sur Mode d'extraction, puis sous Intervalle de battement, définissez le nombre de minutes ou d'heures de l'intervalle. 8 Cliquez sur OK. Procédure de définition du mode de transfert ou d'extraction pour un emplacement 1 Dans la console, cliquez sur Clients. 2 Dans la page Clients, sous Afficher les clients, sélectionnez le groupe pour lequel vous souhaitez indiquer s'il faut transférer ou extraire les politiques. 3 Dans la page Clients, cliquez sur l'onglet Politiques. 4 Dans l'onglet Politiques, supprimez la coche de l'option Hériter lespolitiques etles paramètres du groupe parent "Global". 5 Sous Politiques et paramètres dépendants de l'emplacement, sous Politiques spécifiques aux emplacements pour l'emplacement que vous souhaitez modifier, développez Paramètres spécifiques aux emplacements. 6 Sous Paramètres spécifiques aux emplacements, à droite de Paramètres de communication, cliquez sur Tâches >Modifier les paramètres, supprimez la coche de l'option Utiliser les paramètres de communication du groupe. 7 A droite de Paramètres de communication, cliquez sur Local - Transfert ou (Local - Extraction). 8 Effectuez l'une des opérations suivantes : ¦ Cliquez sur Mode de transfert. Extraction ou transfert des politiques entre les serveurs de gestion, les clients et les boîtiers Enforcer facultatifs 395 Définition du mode de transfert ou d'extraction¦ Cliquez sur Mode d'extraction, puis sous Intervalle de battement, définissez le nombre de minutes ou d'heures de l'intervalle. 9 Cliquez sur OK. Extraction ou transfert des politiques entre les serveurs de gestion, les clients et les boîtiers Enforcer facultatifs Définition du mode de transfert ou d'extraction 396Configuration des applications apprises Ce chapitre traite des sujets suivants : ¦ A propos des applications assimilées ¦ Activation des applications apprises. ¦ Recherche d'applications A propos des applications assimilées Le client surveille et collecte des informations sur les applications et les services exécutés sur chaque ordinateur.Vous pouvez configurer le client pour qu'il collecte les informations d'une liste et envoie la liste au serveur de gestion. La liste des applications et de leurs caractéristiques porte le nom d'applications apprises. Vous pouvez utiliser ces informations pour savoir quelles applications vos utilisateurs exécutent. Vous pouvez les utiliser pour obtenir des informations sur les applications des domaines suivants : ¦ Politiques de pare-feu ¦ Politiques de contrôle des applications et des périphériques ¦ Analyse proactive des menaces TruScan ¦ Politiques d'intégrité de l'hôte ¦ Surveillance d'application réseau ¦ Listes de signatures de fichier La console inclut un outil de requête qui vous permet de rechercher une liste des applications. Vous pouvez effectuer des recherches sur des critères basés sur Chapitre 28l'application ou sur l'ordinateur. Par exemple, vous pouvez rechercher la version d'Internet Explorer que chaque ordinateur client utilise. Remarque : Dans certains pays, la règlementation locale peutinterdire l'utilisation des applications apprises sous certaines conditions, par exemple pour obtenir des informations à partir d'un ordinateur portable lorsqu'un employé se connecte, depuis son domicile, au réseau de votre entreprise à l'aide d'un ordinateur portable que vous lui avez fourni. Avant d'utiliser cet outil, vérifiez que son utilisation est autorisée dans le cadre de la législation en vigueur. Si elle n'est pas autorisée, suivez les instructions pour désactiver cet outil. Remarque : Le client n'enregistre pas les informations concernantles applications que les clients de Symantec Network Access Control exécutent. Les applications apprises ne sont pas disponibles sur la console si vous avez uniquement installé Symantec Network Access Control. Si vous intégrez Symantec Network Access Control à Symantec Endpoint Protection, vous pouvez utiliser l'outil des applications apprises avec les politiques d'intégrité de l'hôte.Vous devez installer le module de protection contre les menaces réseau et le module de contrôle des applications et des périphériques sur le client pour activer cette fonctionnalité. Activation des applications apprises. Vous pouvez activer des applications apprises pour des sites entiers, pour des groupes dans un site ou des emplacements au sein d'un groupe. La fonction des applications apprises est activée par défaut pour le site, le groupe etl'emplacement. Vous activez d'abord les applications apprises pour chaque site, puis vous pouvez éventuellement activer les applications apprises pour les emplacements et groupes spécifiques. Pour activer des applications apprises, vous devez effectuer les tâches suivantes : ¦ Activez les applications apprises pour le site. Vous devez activer l'outil d'applications apprises pour un site afin d'utiliser l'outil pour un emplacement ou un groupe spécifique. ¦ Autorisez les clients à envoyer les applications apprises au serveur de gestion par groupe ou par emplacement. Vous pouvez configurer une notification à envoyer à votre adresse de courrier électronique lorsque chaque client d'un groupe ou emplacement exécute une application. Se reporter à "Création des notifications d'administrateur" à la page 231. Configuration des applications apprises Activation des applications apprises. 398Vous pouvez configurer les applications apprises pour les serveurs de gestion d'un site local ou distant. Pour activer les applications apprises pour un site 1 Dans la console, cliquez sur Admin, puis sur Serveurs. 2 Sous Afficher les serveurs, réalisez une des opérations suivantes : ¦ Cliquez sur Site local (Site nom_site). ¦ Développez Site distant, puis cliquez sur (Site nom_site). 3 Sous Tâches, cliquez sur Modifier les propriétés de site. 4 Dans la boîte de dialogue Propriétés de site de nom_site, dans l'onglet Général, cochez Suivre chaque application excutée par les clients. 5 Cliquez sur OK. Une fois que vous avez activé un site pour collecter les listes des applications apprises des clients, vous activez les clients pour envoyer les listes au serveur par groupe ou par emplacement. Remarque : Vous ne pouvez modifier ce paramètre que pour les sous-groupes qui n'héritent pas des politiques et paramètres d'un groupe parent. Pour envoyer la liste des applications apprises au serveur de gestion 1 Dans la console, cliquez sur Clients. 2 Sous Afficher les clients, sélectionnez un groupe. 3 Dans l'onglet Politiques, cliquez sur Paramètres de communication. 4 Dans la boîte de dialogue Paramètres de communication de nom_groupe, assurez-vous que la case Apprendre les applications exécutées sur les ordinateurs client est cochée. 5 Cliquez sur OK. Pour envoyerles applications apprises au serveur de gestion pour un emplacement 1 Dans la console, cliquez sur Clients. 2 Sous Afficher les clients, sélectionnez un groupe. 3 Sous Politiques et paramètres dépendants de l'emplacement, sélectionnez l'emplacement, puis développez Paramètresdépendantsde l'emplacement. Configuration des applications apprises 399 Activation des applications apprises.4 Adroite de Paramètres de communications, cliquez sur Tâches, puis décochez Utiliser paramètres de communication du groupe. L'activation de ce paramètre vous permet de créer un paramètre d'emplacement plutôt qu'un paramètre de groupe. 5 Cliquez sur Tâches, puis sur Modifier les paramètres. 6 Dans la boîte de dialogue Paramètres de communicationde nom_emplacement, cochez la case Apprendre les applications exécutées sur les ordinateurs client. 7 Cliquez sur OK. Recherche d'applications Une fois que le serveur de gestion a reçu la liste des applications de la part des clients, vous pouvez rechercher des informations sur les applications. Par exemple, vous pouvez rechercher tous les ordinateurs client qui utilisent une application non autorisée. Vous pouvez alors créer une règle de pare-feu afin de bloquer l'application sur l'ordinateur client. Vous pouvez également mettre à niveau tous les ordinateurs client de façon à ce qu'ils utilisentla dernière version deMicrosoft Word. Vous pouvez rechercher une application de différentes manières : ¦ Par application. Vous pouvez limiter la recherche à des applications ou des détails d'application particuliers, tels que le nom, la signature de fichier, le chemin d'accès, la taille ou la version de l'application ou encore l'heure de sa dernière modification. ¦ Par client ou ordinateur client. Vous pouvez rechercher les applications exécutées par un utilisateur ou un ordinateur particulier. Par exemple, vous pouvez rechercher l'adresse IP de l'ordinateur. Vous pouvez également rechercher les noms d'applications à ajouter à une règle de pare-feu, directement dans la politique de pare-feu. Se reporter à "Ajouter des applications à une règle" à la page 540. Les informations concernantles clients à partir desquels vous pouvez choisir dans le champ de recherche sont collectées à partir des clients dès que vous les ajoutez. Se reporter à "Affichage des propriétés d'un client" à la page 79. Configuration des applications apprises Recherche d'applications 400Pour rechercher des applications 1 Dans la console, cliquez sur Politiques. 2 Dans la page Politiques, sousTâches, cliquez sur Rechercherdesapplications. 3 Dans la boîte de dialogue Rechercher des applications, à droite du champ Rechercher les applications dans, cliquez sur Parcourir. 4 Dans la boîte de dialogue Sélectionner un groupe ou un emplacement, sélectionnez un groupe de clients pour lequel vous souhaitez afficher les applications, puis cliquez sur OK. Vous pouvez spécifier un seul groupe en même temps. 5 Assurez-vous que la case Rechercher les sous-groupes est cochée. 6 Effectuez l'une des opérations suivantes : ¦ Pour effectuer une recherche basée sur des informations d'utilisateur ou d'ordinateur, cliquez sur D'après les informations du client/de l'ordinateur. ¦ Pour effectuer une recherche par application, cliquez sur D'après les applications. 7 Cliquez sur la cellule vide sous Champ de recherche, puis sélectionnez les critères de recherche dans la liste. La cellule Champ de recherche affiche les critères pour l'option que vous avez sélectionnée. Pour des détails sur ces critères, cliquez sur Aide. 8 Cliquez sur la cellule vide sous Opérateur de comparaison, puis sélectionnez un des opérateurs. 9 Cliquez sur la cellule vide sous Valeur, puis sélectionnez ou tapez une valeur. La celluleValeur peutfournir un format ou une valeur dans la liste déroulante, selon les critères que vous avez sélectionnés dans la cellule Champ de recherche. 10 Pour ajouter un autre critère de recherche, cliquez sur la deuxième ligne, puis entrez les informations dans les cellules Champ de recherche, Opérateur de comparaison et Valeur. Si vous entrez plusieurs lignes de critères de recherche, la requête essaie de correspondre à toutes les conditions. 11 Cliquez sur Rechercher. 12 Dans la table Résultats de requête, effectuez l'une des tâches suivantes : ¦ Cliquez sur les flèches de défilement pour afficher des lignes et des colonnes supplémentaires. Configuration des applications apprises 401 Recherche d'applications¦ Cliquez sur Précédent et Suivant pour consulter des écrans d'information supplémentaires. ¦ Sélectionnez une ligne, puis cliquez sur Afficher les détails pour voir d'autres informations concernant l'application. Les résultats ne sont pas enregistrés à moins que vous ne les exportiez vers un fichier. 13 Pour supprimer les résultats de la requête, cliquez sur Effacer tout. 14 Cliquez sur Fermer. Enregistrement des résultats d'une recherche d'application Après avoir exécuté une requête, vous pouvez enregistrer les résultats dans un fichier texte ou séparé par des virgules. L'outil de requête exporte tous les résultats de la requête plutôt qu'une ligne sélectionnée. Pour enregistrer les résultats d'une recherche d'application 1 Recherchez des informations sur une application ou un ordinateur client. Se reporter à "Recherche d'applications" à la page 400. 2 Dans la boîte de dialogue Rechercher des applications, sous Résultats de requête, cliquez sur Exporter. 3 Dans la boîte de dialogue Exporter les résultats, tapez le numéro de la page contenantles détails concernantl'applications etl'ordinateur client à exporter. 4 Sélectionnez ou tapez le nom de chemin d'accès et le nom du fichier dans lequel vous souhaitez exporter le fichier, puis cliquez sur Exporter. 5 Pour confirmer, cliquez sur Oui. 6 Si vous avez fini de rechercher des applications, cliquez sur Fermer. Configuration des applications apprises Recherche d'applications 402Configuration de l'antivirus et de la protection contre les logiciels espions ¦ Paramètres de base de la politique antivirus et antispyware ¦ Configuration d'Auto-Protect ¦ Utilisation d'analyses définies par l'administrateur Section 4404Paramètres de base de la politique antivirus et antispyware Ce chapitre traite des sujets suivants : ¦ Bases de la protection antivirus et antispyware ¦ A propos de l'utilisation des politiques antivirus et antispyware ¦ A propos des virus et des risques de sécurité ¦ A propos des analyses ¦ A propos des actions pour les virus et les risques de sécurité que les analyses détectent ¦ Définir des paramètres de gestion des journaux dans une politique antivirus et antispyware ¦ A propos de l'interaction client avec des options d'antivirus et de protection contre les logiciels espions ¦ Modifier le mot de passe nécessaire pour analyser des lecteurs réseau mappés ¦ Spécifier comment le Centre de sécurité Windows interagit avec le client Symantec Endpoint Protection ¦ Afficher un avertissementlorsque les définitions sont périmées oumanquantes ¦ Spécification d'une URL devant apparaître dans des notifications d'erreur d'antivirus et de protection contre les logiciels espions ¦ Spécifier une URL pour une page d'accueil de navigateur Chapitre 29¦ Configuration des options qui s'appliquent aux analyses antivirus et de protection contre les logiciels espions ¦ Transmettre des informations sur des analyses à Symantec ¦ Gérer des fichiers en quarantaine Bases de la protection antivirus et antispyware Vous pouvez apporter une protection antivirus et antispyware aux ordinateurs de votre réseau de sécurité en procédant comme suit : ¦ Créez un plan pour réagir face aux virus et aux risques de sécurité. ¦ Affichez le statut de votre réseau sur la page d'accueil dans la console. ¦ Exécutez des commandes via la console pour activer Auto-Protect, lancez une analyse à la demande ou mettez à jour les définitions. ¦ Utilisez les politiques antivirus et antispyware pour modifier Auto-Protect et les paramètres d'analyse sur les ordinateurs client. A propos de la création d'un plan pour réagir face aux virus et aux risques de sécurité Pour répondre de manière rapide et efficace à une propagation de virus et de risques de sécurité, vous devez élaborer une stratégie. Créez un plan pour faire face aux épidémies de virus et définissez des actions permettant de traiter les fichiers suspects. Tableau 29-1 présente les tâches de création d'un plan antivirus et de lutte contre la propagation des risques de sécurité. Paramètres de base de la politique antivirus et antispyware Bases de la protection antivirus et antispyware 406Tableau 29-1 Un exemple de plan Tâche Description Vérifiez que les ordinateurs infectés comportent les derniers fichiers de définitions. Vous pouvez exécuter des rapports pour vérifier que les ordinateurs client comportent les dernières définitions. Pour mettre à jour les définitions, effectuez l'une des opérations suivantes : ¦ Appliquez une politique LiveUpdate. Se reporter à "Configuration des politiques LiveUpdate" à la page 111. ¦ Exécutez la commande Update Content pour un groupe ou les ordinateurs sélectionnés répertoriés dans l'onglet Clients. ¦ Exécutez la commande Update Content sur les ordinateurs sélectionnés répertoriés dans le fichier journal d'état ou des risques de l'ordinateur. Vérifiez que les fichiers de définitions sont à jour. Préparez une carte de la topologie de votre réseau pour pouvoir systématiquement isoler et nettoyer les ordinateurs par segment avant de les reconnecter au réseau local. Votre carte doit contenir les informations suivantes : ¦ Noms et adresses des ordinateurs clients ¦ Protocoles réseau ¦ Ressources partagées Mappez la topologie du réseau. Maîtrisez la topologie de votre réseau et votre mise en œuvre du client dans votre réseau.Maîtrisez également la mise en œuvre de tous les autres produits de sécurité utilisés sur votre réseau. Considérez les points suivants : ¦ Quels programmes de sécurité protègentles serveurs et stations de travail en réseau ? ¦ Quelle est la planification de la mise à jour des définitions ? ¦ Quelles autres méthodes de récupération des mises à jour sont disponibles si les canaux habituels sont attaqués ? ¦ Quels fichiers journaux sont disponibles pour effectuer le suivi des virus sur votre réseau ? Maîtrisez les solutions de sécurité. Paramètres de base de la politique antivirus et antispyware 407 Bases de la protection antivirus et antispywareTâche Description En cas d'infection catastrophique, il se peut que vous deviez restaurer les ordinateurs client. Assurez-vous que vous disposez d'un plan de secours pour restaurer les ordinateurs vitaux. Disposez d'un plan de secours. Les menaces combinées (par exemple, les vers) peuvent circuler via des ressources partagées sans intervention de l'utilisateur. Pour réagir à une infection par un ver informatique, il est essentiel d'isoler les ordinateurs infectés en les déconnectant du réseau. Isolez les ordinateurs infectés. Les rapports et journaux de la console de gestion représentent unemine d'informations quant aux risques auxquels votre réseau est exposé. Vous pouvez utiliser l'encyclopédie de virus de Symantec Security Response pour en savoir plus sur un risque particulier que vous identifiez dans les rapports ou les fichiers journaux. Dans certains cas, vous pouvez trouver des instructions supplémentaires permettant de traiter le risque. Identifiez le risque. Il est souhaitable d'accéder au site Web Symantec Security Response pour obtenir des informations à jour, lorsque les situations suivantes sont vraies : ¦ Vous ne pouvez pas identifier un fichier suspect en examinant les fichiers journaux et les rapports. ¦ Les derniers fichiers de définitions de virus ne nettoient pas le fichier suspect. Sur le site Web, il se peut que vous trouviez des informations récentes sur le fichier suspect. Vérifiez les derniers conseils relatifs aux menaces virales et à la sécurité. http://www.symantec.com/fr/fr/security_response/ Réagissez face aux risques inconnus. Où se rendre pour plus d'informations Vous pouvez consulter la base de connaissances Symantec pour plus d'informations. Cette base de connaissances contient les informations détaillées qui n'étaient pas disponibles au moment de la publication de ce guide. http://www.symantec.com/fr/fr/security_response/ Vous pouvez également rechercher sur la pageWeb de Symantec SecurityResponse des informations à jour sur les virus et les risques de sécurité. http://www.symantec.com/fr/fr/enterprise/security_response/ Paramètres de base de la politique antivirus et antispyware Bases de la protection antivirus et antispyware 408A propos de l'affichage de l'état d'antivirus et de protection contre les logiciels espions de votre réseau Vous pouvez rapidement afficher l'état de votre réseau de sécurité sur la page d'accueil de la console. Un récapitulatif d'état indique combien d'ordinateurs de votre réseau de sécurité comportent un antivirus et une protection contre les logiciels espions désactivés. Un récapitulatif d'action affiche les actions que le client a effectuées au niveau des virus et des risques de sécurité détectés. La page d'accueil inclut également la distribution des définitions de virus à travers le réseau. Se reporter à "Utilisation de la page d'accueil de Symantec Endpoint Protection" à la page 155. Vous pouvez également exécuter des rapports et afficher des fichiers journaux. Se reporter à "A propos de l'utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau" à la page 237. A propos de l'exécution de commandes pour la protection antivirus et contre les logiciels espions Vous pouvez rapidement exécuter des commandes via la page Clients dans la console ou en utilisant les journaux d'état d'ordinateur de la page Contrôles. A propos de l'activation manuelle d'Auto-Protect La politique antivirus et contre les logiciels espions par défaut activeAuto-Protect par défaut. Si les utilisateurs sur des ordinateurs client désactivent Auto-Protect, vous pouvez rapidement le réactiver via la console. Vous pouvez sélectionner les ordinateurs pour lesquels vous voulez activer Auto-Protect via la console dans la page Clients. Vous pouvez également activer Auto-Protect via un fichier journal que vous générez à partir de la page Contrôles. Se reporter à "Activer Auto-Protect pour le système de fichiers" à la page 454. A propos de l'exécution d'analyses à la demande Vous pouvez inclure des analyses planifiées en tant qu'élément des politiques antivirus et contre les logiciels espions. Cependant, il se peut que vous deviez exécuter manuellement des analyses sur les ordinateurs client. Vous pouvez sélectionner les ordinateurs pour lesquels vous souhaitez lancer des analyses à la demande, à partir de la console de la page Clients. Vous pouvez également exécuter une analyse à la demande à partir d'un fichier journal que vous générez via la page Contrôles. Paramètres de base de la politique antivirus et antispyware 409 Bases de la protection antivirus et antispywareVous pouvez exécuter une analyse rapide, complète ou personnalisée. Si vous choisissez de lancer une analyse personnalisée, le client applique les paramètres des analyses à la demande que vous configurez dans la politique d'antivirus et d'antispyware. Se reporter à "Exécuter des analyses à la demande" à la page 477. A propos des politiques antivirus et antispyware Une politique antivirus et antispyware inclut les types suivants d'options : ¦ Analyses Auto-Protect ¦ Analyses définies par l'administrateur (planifiées et à la demande) ¦ Analyses proactives des menaces TruScan ¦ Options de quarantaine ¦ Options de transmission ¦ Paramètres divers Quand vous installez Symantec Endpoint Protection, plusieurs politiques antivirus et antispyware apparaissent dans la liste des politiques de la console.Vous pouvez modifier l'une des politiques préconfigurées ou vous pouvez créer de nouvelles politiques. Remarque : Les politiques antivirus et antispyware incluentla configuration pour des analyses proactives des menaces TruScan. Se reporter à "A propos des analyses" à la page 418. Apropos des politiques antivirus et antispyware préconfigurées Les politiques antivirus et antispyware préconfigurées suivantes sont disponibles : ¦ Politique antivirus et antispyware ¦ Politique antivirus et antispyware – Hautes performances ¦ Politique antivirus et antispyware – Haute sécurité La politique haute sécurité estla plus rigoureuse de toutes les politiques antivirus et antispyware préconfigurées. Vous devez garder à l'esprit qu'elle peut affecter les performances d'autres applications. La politique hautes performances fournit de meilleures performances que la politique haute sécurité, mais elle ne fournit pas les mêmes dispositifs de protection. Pour détecter les menaces, elle se fonde principalement sur Paramètres de base de la politique antivirus et antispyware Bases de la protection antivirus et antispyware 410Auto-Protect pour le système de fichiers pour analyser les fichiers dont les extensions sont sélectionnées. La politique antivirus et antispyware par défaut contientles paramètres importants suivants : ¦ Auto-Protect pour le système de fichiers est chargé au démarrage de l'ordinateur et activé pour tous les fichiers. ¦ Le courrier électronique Internet, Microsoft Outlook et Auto-Protect pour Lotus Notes sont activés pour tous les fichiers. ¦ L'analyse réseau de la protection automatique du système de fichiers est activée. ¦ Les analyses proactives des menaces TruScan sont activées et sont exécutées toutes les heures. ¦ ActiveScan ne s'exécute pas automatiquement quand les nouvelles définitions arrivent. ¦ Une analyse planifiée s'exécute une fois par semaine, avec l'optimisation d'analyse définie sur Meilleures performances d'application. La politique hautes performances contient les paramètres importants suivants : ¦ Auto-Protect pour le système de fichiers est chargé quand Symantec Endpoint Protection démarre et est activé pour les fichiers dont les extensions sont sélectionnées. ¦ L'analyse réseau de la protection automatique du système de fichiers est désactivée. ¦ Le courrier électronique Internet, Microsoft Outlook et Auto-Protect pour Lotus Notes sont désactivés. ¦ Les analyses proactives desmenaces sont activées et s'exécutent une fois toutes les six heures. ¦ ActiveScan n'est pas exécuté automatiquementlorsque de nouvelles définitions arrivent. ¦ Une analyse planifiée s'exécute une fois parmois, avec l'optimisation d'analyse définie sur Meilleures performances d'application. La politique haute sécurité contient les paramètres importants suivants : ¦ Auto-Protect pour le système de fichiers est chargé au démarrage de l'ordinateur et activé pour tous les fichiers. ¦ Internet Email, Microsoft Outlook et Lotus Notes Auto-Protect sont activés pour tous les fichiers. ¦ L'analyse réseau de la protection automatique du système de fichiers est activée. Paramètres de base de la politique antivirus et antispyware 411 Bases de la protection antivirus et antispyware¦ Les analyses proactives des menaces sont activées et s'exécutent toutes les heures, ainsi qu'à chaque démarrage d'un nouveau processus. ¦ ActiveScans'exécute automatiquement quand denouvelles définitions arrivent. ¦ Une analyse planifiée s'exécute une fois par semaine, avec l'optimisation d'analyse définie pour être équilibrée. A propos du verrouillage de paramètres dans les politiques antivirus et antispyware Vous pouvez verrouiller quelques paramètres dans une politique antivirus et antispyware. Quand vous verrouillez des paramètres, les utilisateurs ne peuvent pas modifier les paramètres sur les ordinateurs client qui utilisent la politique. A propos des politiques antivirus et antispyware pour des clients hérités Si votre environnement contient des multiples versions des clients hérités, votre politique antivirus et antispyware pourrait contenir les paramètres qui ne peuvent pas être appliqués.Vous pourriez devoir configurer et gérer des politiques antivirus et antispyware séparées pour des clients hérités. A propos des paramètres par défaut de prise en charge des fichiers suspects Grâce à la politique antivirus et antispyware par défaut, le client de Symantec Endpoint Protection exécute les actions suivantes lorsqu'il identifie un fichier susceptible d'être infecté par un virus : ¦ Le client essaye de réparer le fichier. ¦ Si le fichier ne peut pas être réparé à l'aide de l'ensemble de définitions actuel, le clienttransfertle fichier infecté dans la zone de quarantaine locale. En outre, le client crée une entrée dans le journal des événements de risque. Le client transmet les données au serveur de gestion. Vous pouvez afficher les données du journal à partir de la console. Vous pouvez effectuer les actions supplémentaires suivantes pour compléter votre stratégie de gestion des virus : ¦ Configurez la fonction de création de rapports pour être informé lorsque des virus sont détectés. Se reporter à "Utilisation des notifications" à la page 230. ¦ Définissez les différentes actions de réparation en fonction du type de virus. Par exemple, vous pouvez configurer le client de façon à ce qu'il répare automatiquement les virus macro. Vous pouvez également configurer une Paramètres de base de la politique antivirus et antispyware Bases de la protection antivirus et antispyware 412action différente pour les cas de figure où le client détecte un fichier de programme et ¦ attribuer une action de sauvegarde pour les fichiers que le client ne peut pas réparer. Se reporter à "Configurer des actions pour les virus connus et les détections de risques de sécurité" à la page 441. ¦ Configurez la zone de quarantaine locale de manière à ce que les fichiers infectés soient transférés vers la quarantaine centralisée. Vous pouvez configurer la quarantaine centralisée de manière à ce qu'elle tente une réparation. Lorsque la quarantaine centralisée tente une réparation, elle utilise son propre ensemble de définitions de virus. Les définitions de la quarantaine centralisée sont parfois plus appropriées que celles de l'ordinateur local. Vous pouvez également configurer le transfert automatique d'échantillons de fichiers infectés à Symantec Security Response à des fins d'analyse. Pour plus d'informations, consultez le Guide de l'administrateur de la quarantaine centralisée Symantec. A propos de l'utilisation de politiques pour gérer des éléments dans la zone de quarantaine Quand le client détecte un virus connu, il place le fichier dans la zone de quarantaine locale de l'ordinateur client. Le client peut également mettre en quarantaine les éléments que les analyses proactives desmenaces détectent.Vous configurez les paramètres de quarantaine dans le cadre d'une politique antivirus et antispyware que vous appliquez aux clients. Vous pouvez définir les éléments suivants : ¦ Un chemin de répertoire de quarantaine local ¦ Si les clients soumettentmanuellement ou non à Symantec Security Response les éléments mis en quarantaine ¦ Si les clients soumettent automatiquement ou non à un serveur de quarantaine centralisé les éléments mis en quarantaine ¦ La manière dont la zone de quarantaine locale traite la correction quand de nouvelles définitions de virus sont reçues Se reporter à "Gérer des fichiers en quarantaine" à la page 448. Vous pouvez également supprimer des éléments mis en quarantaine sur vos ordinateurs client du journal des risques de la console. Se reporter à "A propos de l'utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau" à la page 237. Paramètres de base de la politique antivirus et antispyware 413 Bases de la protection antivirus et antispywareA propos de l'utilisation des politiques antivirus et antispyware Vous créez etmodifiez des politiques antivirus et antispyware de lamêmemanière que vous créez et modifiez d'autres types de politiques. Vous pouvez attribuer, retirer, remplacer, copier, exporter, importer ou supprimer une politique antivirus et antispyware. Vous attribuez généralement une politique à plusieurs groupes de votre réseau de sécurité. Vous pouvez créer une politique non partagée et spécifique à un emplacement si vous avez des conditions spécifiques pour un emplacement particulier. Les procédures de ce chapitre supposent que vous êtes familier des bases de la configuration des politiques. Se reporter à "A propos du travail avec les politiques" à la page 374. A propos des virus et des risques de sécurité Une politique antivirus et antispyware analyse à la fois la présence de virus et de risques de sécurité ; les exemples de risques de sécurité sont des logiciels espions, des logiciels publicitaires et d'autres fichiers qui peuvent mettre un ordinateur ou un réseau en danger. Les analyses contre les virus et les logiciels espions détectent les rootkits de niveau noyau. Les rootkits sont les programmes qui essayent de se masquer vis-à-vis du système d'exploitation d'un ordinateur et peuvent être utilisés à des fins malveillantes. La politique antivirus et antispyware par défaut effectue les actions suivantes : ¦ Détection, élimination et réparation des effets secondaires des virus, des vers, des chevaux de Troie et des menaces combinées. ¦ Détection, élimination et réparation des effets secondaires des risques de sécurité comme les logiciels publicitaires, les composeurs, les outils de piratage, les blagues, les programmes d'accès à distance, les logiciels espions, les outils de suivi et autres. Tableau 29-2 décrit les types de risques analysés par le logiciel client. Paramètres de base de la politique antivirus et antispyware A propos de l'utilisation des politiques antivirus et antispyware 414Tableau 29-2 Virus et risques de sécurité Risque Description Programmes ou code qui ajoutent une copie d'eux-mêmes à un autre programme ou document, au moment de leur exécution. Quand le programme infecté s'exécute, le programme de virus joint s'active et s'ajoute à d'autres programmes et documents. Quand un utilisateur ouvre un document qui contient un virus macro, le programme de virus joint s'active et s'ajoute à d'autres programmes et documents. La plupart des virus produisent un effet, comme l'affichage d'un message, à une date particulière. Quelques virus endommagent spécifiquement des données. Ces virus peuvent corrompre des programmes, supprimer des fichiers ou reformater des disques. Virus Programmes qui exécutent des tâches automatisées sur Internet à des fins malveillantes. Des robots Web peuvent être utilisés pour automatiser des attaques sur des ordinateurs ou pour collecter des informations de sites Web. Robots Web malveillants Programmes qui se reproduisent sans infecter d'autres programmes. Certains vers se répandent en se copiant de disque en disque, tandis que d'autres se reproduisent uniquement dans lamémoire afin de ralentir les ordinateurs. Vers Programmes malveillants qui se masquent dans quelque chose d'inoffensif, comme un jeu ou un utilitaire. Chevaux de Troie Paramètres de base de la politique antivirus et antispyware 415 A propos des virus et des risques de sécuritéRisque Description Menaces qui combinent les caractéristiques des virus, des vers, des chevaux de Troie et des codesmalveillants avec les vulnérabilités de serveur et d'Internet pour lancer, transmettre et propager une attaque. Les menaces combinées utilisent plusieurs méthodes et techniques pour se propager rapidement et causent des dommages étendus à travers un réseau. Menaces combinées Programmes autonomes ou ajoutés qui collectent, de façon clandestine, des informations personnelles via Internet et relayent ces informations vers un autre ordinateur. Ces logiciels peuvent surveiller vos habitudes de navigation dans un but publicitaire. Ils peuvent également diffuser des contenus publicitaires. Vous êtes susceptible de télécharger inconsciemment des logiciels publicitaires à partir de sites Web (généralement sous la forme de partagiciel ou graticiel), de courriers électroniques ou de programmes de messagerie instantanée. Parfois, un utilisateur télécharge à son insu un logiciel publicitaire en acceptant le Contrat de licence Utilisateur d'un programme. Logiciel publicitaire Programmes qui utilisent un ordinateur, sans permission de l'utilisateur ou à son insu, pour composer par Internet un numéro 900 ou accéder à un site FTP. Habituellement, ces numéros sont composés pour engendrer des frais. Numéroteurs Programmes utilisés par un pirate pour obtenir un accès non autorisé à l'ordinateur d'un utilisateur. Une exemple est un programme d'enregistrement automatique des frappes qui piste et enregistre chaque frappe au clavier et envoie ces informations au pirate. Le pirate peut ensuite effectuer des analyses de port ou de vulnérabilité. Les outils de piratage peuvent également servir à créer des virus. Outils de piratage Paramètres de base de la politique antivirus et antispyware A propos des virus et des risques de sécurité 416Risque Description Programmes qui altèrent ou interrompent le fonctionnement d'un ordinateur d'une manière qui se veut amusante ou effrayante. Par exemple, un programme téléchargé depuis un site Web, dans un courrier électronique ou dans un programme de messagerie instantanée.Il peut, par exemple, déplacer la Corbeille loin de la souris lorsque l'utilisateur tente de le supprimer ou inverser les boutons de la souris. Blagues Tous les autres risques de sécurité qui ne se conforment pas aux définitions strictes des virus, des chevaux de Troie, des vers ou d'autres catégories de risque de sécurité. Autres Programmes permettant un accès par Internet à partir d'un autre ordinateur afin d'obtenir des informations ou d'attaquer voire d'altérer votre ordinateur. Un utilisateur ou un autre processus peut, par exemple, installer un programme sans que l'utilisateur le sache. Le programme peut être utilisé à des fins malveillantes avec ou sans modification du programme d'accès à distance d'origine. Programmes d'accès distant Programmes autonomes pouvant surveiller secrètement les activités du système et détecter des informations comme les mots de passe et autres informations confidentielles et retransmettre ces informations à un autre ordinateur. Vous êtes susceptible de télécharger inconsciemment des logiciels publicitaires à partir de sites Web (généralement sous la forme de partagiciel ou graticiel), de courriers électroniques ou de programmes de messagerie instantanée. Parfois, un utilisateur télécharge à son insu un logiciel publicitaire en acceptant le Contrat de licence Utilisateur d'un programme. Logiciel espion Paramètres de base de la politique antivirus et antispyware 417 A propos des virus et des risques de sécuritéRisque Description Applications autonomes ou ajoutées qui suivent l'itinéraire d'un utilisateur sur Internet et envoient les informations au système cible.Par exemple,l'applicationpeut être téléchargée depuis un siteWeb, dans un courrier électronique ou dans un programme demessagerie instantanée. Elle peut ensuite obtenir des informations confidentielles concernantle comportement de l'utilisateur. Logiciel de suivi Par défaut, Auto-Protect analyse la présence des virus, des chevaux de Troie, des vers et des risques de sécurité quand il s'exécute. Certains risques, tels que Back Orifice, étaient détectés comme étant des virus dans les versions antérieures du logiciel client. Ils restent détectées comme étant des virus afin que le logiciel client puisse continuer à protéger les anciens systèmes. A propos des analyses Vous pouvez inclure les types suivants d'analyses dans une politique antivirus et antispyware : ¦ Analyses d'antivirus et de protection contre les logiciels espions ¦ Analyses Auto-Protect ¦ Analyses définies par l'administrateur ¦ Analyses proactives des menaces TruScan Par défaut, toutes les analyses d'antivirus et de protection contre les logiciels espions détectent des virus et des risques de sécurité, tels que des logiciels publicitaires et des logiciels espions ; les analyses mettent en quarantaine les virus et les risques de sécurité, puis elles suppriment ou réparent leurs effets secondaires. Les analyses Auto-Protect et définies par l'administrateur détectent les virus et les risques de sécurité connus. Les analyses proactives des menaces détectent les virus et les risques de sécurité inconnus en analysant la possibilité d'un comportement malveillant. Paramètres de base de la politique antivirus et antispyware A propos des analyses 418Remarque : Dans certains cas, vous pouvez installer à votre insu une application incluant un risque de sécurité tel qu'un logiciel publicitaire ou espion. Si Symantec détermine qu'il n'est pas nuisible pour un ordinateur de bloquer un risque de sécurité, le logiciel client bloque celui-ci par défaut. Pour éviter de laisser l'ordinateur dans un état instable, le logiciel client attend que l'installation de l'application soit terminée avant de placer le risque en quarantaine. Il supprime ou répare ensuite les effets secondaires du risque. A propos des analyses Auto-Protect Les analyses Auto-Protect incluent les types suivants d'analyses : ¦ Analyses Auto-Protect pour le système de fichiers ¦ Analyses Auto-Protect des pièces jointes pour Lotus Notes et Outlook (MAPI et Internet) ¦ Analyses Auto-Protect pour les messages Internet et les pièces jointes de message utilisantles protocoles de communication POP3 ou SMTP ; les analyses Auto-Protect pour messagerie Internet inclut aussi l'analyse heuristique des messages sortants Remarque : Pour des raisons de performance, Auto-Protect pour messagerie Internet pour POP3 n'est pas pris en charge sur les systèmes d'exploitation serveur. Sur un serveur Microsoft Exchange, vous ne devrez pas installer Auto-Protect pour Microsoft Outlook. Auto-Protect analyse continuellementles fichiers etles données demessage pour les virus et les risques de sécurité ; les virus et les risques de sécurité peuvent inclure des logiciels espions et des logiciels publicitaires, car ils sont lus ou enregistrés sur un ordinateur. Vous pouvez configurer Auto-Protect pour analyser seulement des extensions de fichier choisies. Quand il analyse des extensions sélectionnées,Auto-Protect peut également déterminer le type d'un fichier même si un virus modifie l'extension de fichier. Lorsque vous effectuez la configuration, vous pouvez verrouiller les options d'Auto-Protect sur les clients pour imposer une politique de sécurité au niveau de l'entreprise afin d'assurer une protection contre les virus et les risques de sécurité. Les utilisateurs ne peuvent pasmodifier les options que vous verrouillez. Auto-Protect est activé par défaut.Vous pouvez afficher l'état d'Auto-Protect dans la console sous l'onglet Clients ou en générant les rapports et les journaux qui Paramètres de base de la politique antivirus et antispyware 419 A propos des analysesaffichent l'état de l'ordinateur. Vous pouvez également afficher l'état d'Auto-Protect directement sur le client. Auto-Protect peut analyser les pièces jointes de messagerie des applications suivantes : ¦ Lotus Notes 4.5x, 4.6, 5.0 et 6.x ¦ Microsoft Outlook 98/2000/2002/2003/2007 (MAPI et Internet) Si vous utilisez Microsoft Outlook sur MAPI ou le client Microsoft Exchange et que Auto-Protect est activé pour le courrier électronique, les pièces jointes sont immédiatementtéléchargées sur l'ordinateur qui exécute le client de messagerie. Les pièces jointes sont analysées quand l'utilisateur ouvre le message. Si vous téléchargez une pièce jointe volumineuse sur une connexion lente, les performances de la messagerie sont affectées. Vous pouvez désactiver cette fonction pour les utilisateurs qui reçoivent souvent des pièces jointes de grande taille. Remarque : Si Lotus Notes ou Microsoft Outlook est déjà installé sur l'ordinateur quand vous effectuez une installation de logiciel client, le logiciel client détecte l'application demessagerie. Le clientinstalle alors le plug-in correct d'Auto-Protect. Les deux plug-in sont installés si vous sélectionnez une installation complète quand vous effectuez une installation manuelle. Si votre programme demessagerie ne correspond à aucun des formats de données pris en charge, vous pouvez protéger votre réseau en activant Auto-Protect sur votre système de fichiers. Si un utilisateur reçoit unmessage avec une pièce jointe infectée sur un système de messagerie de Novell GroupWise, Auto-Protect peut détecter le virus quand l'utilisateur ouvre la pièce jointe. En effet, la plupart des programmes de messagerie (comme GroupWise) enregistrent les pièces jointes dans un répertoire temporaire lorsque les utilisateurs les lancent depuis le client de messagerie. Si vous activez Auto-Protect sur votre système de fichiers, Auto-Protect détecte le virus quand il est enregistré dans le répertoire temporaire. Auto-Protect détecte également le virus si l'utilisateur essaye d'enregistrer la pièce jointe infectée sur un lecteur local ou lecteur réseau local. A propos de la détection d'Auto-Protect des processus qui téléchargent continuellement le même risque de sécurité Si Auto-Protect détecte un processus qui télécharge continuellement un risque de sécurité vers un ordinateur client, il peut afficher une notification et consigner la détection. (Auto-Protect doit être configuré pour envoyer des notifications.) Si le processus continue à télécharger le même risque de sécurité, plusieurs notifications apparaissent sur l'ordinateur de l'utilisateur etAuto-Protect consigne Paramètres de base de la politique antivirus et antispyware A propos des analyses 420ces événements. Pour empêcher que plusieurs notifications aient lieu et que plusieurs événements soient consignés, Auto-Protect arrête automatiquement d'envoyer des notifications au sujet du risque de sécurité au bout de trois détections. Auto-Protect arrête également de consigner l'événement au bout de trois détections. Dans certaines situations, Auto-Protect n'arrête pas d'envoyer des notifications et de consigner des événements pour le risque de sécurité. Auto-Protect continue à envoyer des notifications et à consigner des événements quand l'un des cas suivants se produit : ¦ Vous ou des utilisateurs sur des ordinateurs client désactivez le blocage de l'installation des risques de sécurité (par défaut, il est activé). ¦ L'action pour le type de risque de sécurité des téléchargements de processus est Ignorer. A propos de l'exclusion automatique des fichiers et des dossiers Le logiciel client détecte automatiquement la présence de certaines applications tierces et produits Symantec. Après les avoir détectés, il crée des exclusions pour ces fichiers et ces dossiers. Le client exclut ces fichiers et ces dossiers de toutes les analyses antivirus et antispyware. Le logiciel client crée automatiquement des exclusions pour les éléments suivants : ¦ Microsoft Exchange ¦ contrôleur de domaine Active Directory ¦ Certains produits Symantec Remarque : Pour consulter les exclusions que le client crée sur les ordinateurs 32 bits, vous pouvez examiner le contenu du registre HKEY_LOCAL_MACHINE\Software\Symantec\Symantec Endpoint Protection\AV\Exclusions. Vous ne devez pas modifier ce registre directement. Sur les ordinateurs 64 bits, regardez dans HKEY_LOCAL_MACHINE\Software\Wow6432Node\Symantec\SymantecEndpoint Protection\AV\Exclusions. Le client n'exclut pas de l'analyse les dossiers système temporaires car cela pourrait aboutir à une vulnérabilité grave de l'ordinateur. Vous pouvez configurer des exclusions supplémentaires en utilisant des exceptions centralisées. Paramètres de base de la politique antivirus et antispyware 421 A propos des analysesPour obtenir plus d'informations sur l'utilisation des exceptions centralisées, voir "Configuration d'une politique d'exceptions centralisées" à la page 615. A propos de l'exclusion automatique des fichiers et des dossiers pour Microsoft Exchange Server Si des serveurs Microsoft Exchange sont installés sur l'ordinateur où vous avez installé le client Symantec Endpoint Protection, le logiciel client détecte automatiquement la présence de Microsoft Exchange. Quand le logiciel client détecte un serveur Microsoft Exchange, il crée les exclusions de fichiers et de dossiers appropriées pour les analyses Auto-Protect pour le système de fichiers et toutes les autres analyses. Les serveurs Microsoft Exchange peuvent inclure des serveurs en cluster. Le logiciel client vérifie la présence demodifications dans l'emplacement des fichiers et dossiersMicrosoft Exchange appropriés à intervalles réguliers. Si vous installez Microsoft Exchange sur un ordinateur où le logiciel client est déjà installé, les exclusions sont créées quand le client recherche des modifications. Le client exclut les fichiers et les dossiers ; si un fichier unique est déplacé d'un dossier exclu, il demeure exclu. Le logiciel client crée des exclusions d'analyse de fichiers et de dossiers pour les versions suivantes de Microsoft Exchange Server : ¦ Exchange 5.5 ¦ Exchange 6.0 ¦ Exchange 2000 ¦ Exchange 2003 ¦ Exchange 2007 ¦ Exchange 2007 SP1 Pour Exchange 2007, consultez votre documentation utilisateur pour plus d'informations sur la compatibilité avec les logiciels antivirus. Dans certaines circonstances, vous pourriez devoir créermanuellement des exclusions d'analyse pour certains dossiers Exchange 2007. Dans un environnement de cluster, vous pouvez devoir créer des exclusions. Pour plus d'informations, consultez "Preventing Symantec Endpoint Protection 11.0 from scanning the Microsoft Exchange 2007 directory structure" (Empêcher Symantec Endpoint Protection 11.0 d'analyser la structure de répertoires de Microsoft Exchange 2007) dans la base de connaissances de Symantec à l'adresse URL suivante : http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2007072619121148 Paramètres de base de la politique antivirus et antispyware A propos des analyses 422A propos de l'exclusion automatique des fichiers et des dossiers issus de produits Symantec Le client crée des exclusions d'analyses de fichiers et dossiers appropriées pour certains produits Symantec quand ils sont détectés. Le client crée des exclusions pour les produits Symantec suivants : ¦ Symantec Mail Security 4.0, 4.5, 4.6, 5.0 et 6.0 pour Microsoft Exchange ¦ Symantec AntiVirus/Filtering 3.0 pour Microsoft Exchange ¦ Norton AntiVirus 2.x pour Microsoft Exchange ¦ Base de données intégrée et journaux de Symantec Endpoint Protection Manager A propos de l'exclusion automatique des fichiers et des dossiers Active Directory Le logiciel client crée des exclusions de fichiers et de dossiers pour la base de données, les journaux etles fichiers en fonctionnement du contrôleur de domaine Active Directory. Le client contrôle les applications qui sont installées sur l'ordinateur client. Si le logiciel détecte Active Directory sur l'ordinateur client, le logiciel crée automatiquement les exclusions. Si les applications de messagerie client utilisent une boîte de réception unique Les applications qui stockent tout le courrier électronique dans un fichier unique incluent Outlook Express, Eudora, Mozilla et Netscape. Si vos ordinateurs client utilisent une application de messagerie qui utilise une boîte de réception unique, créez une exception centralisée pour exclure le fichier de boîte de réception. L'exception s'applique à toutes les analyses antivirus et antispyware aussi bien qu'à Auto-Protect. Le client Symantec Endpoint Protection met en quarantaine la boîte de réception entière et les utilisateurs ne peuvent pas accéder à leur courrier électronique si les cas suivants se produisent : ¦ Le client détecte un virus dans le fichier de boîte de réception pendant une analyse à la demande ou une analyse planifiée. ¦ L'action configurée pour le virus est Quarantaine. Symantec ne recommande généralement pas d'exclure des fichiers des analyses. Quand vous excluez le fichier de boîte de réception des analyses, la boîte de réception ne peut pas être mise en quarantaine ; cependant, si le client détecte un virus quand un utilisateur ouvre un message, il peut sans risque mettre en quarantaine ou supprimer le message. Paramètres de base de la politique antivirus et antispyware 423 A propos des analysesA propos des analyses définies par l'administrateur Les analyses définies par l'administrateur sont les analyses d'antivirus et de protection contre les logiciels espions qui détectent les virus et les risques de sécurité connus. Pour la protection la plus complète, vous devez planifier des analyses occasionnelles pour vos ordinateurs client.Ala différence d'Auto-Protect, qui analyse les fichiers et le courrier électronique pendant qu'ils sont lus vers et à partir de l'ordinateur, les analyses définies par l'administrateur détectent les virus etles risques de sécurité. Les analyses définies par l'administrateur détectent les virus et les risques de sécurité en examinant tous les fichiers et processus (ou un sous-ensemble de fichiers et de processus). Les analyses définies par l'administrateur peuvent également analyser la mémoire et les points de chargement. Vous configurez des analyses définies par l'administrateur en tant qu'élément d'une politique antivirus et antispyware. Les analyses définies par l'administrateur incluent les types suivants d'analyses : ¦ Analyses planifiées ¦ Analyses sur demande En général, il est conseillé de créer une analyse planifiée complète à exécution hebdomadaire et une analyse Active Scan à exécution quotidienne. Par défaut, le client Symantec Endpoint Protection génère une analyse Active Scan à exécuter au démarrage sur les ordinateurs client. A propos des analyses planifiées Vous pouvez planifier des analyses pour qu'elles s'exécutent à des moments donnés. Les utilisateurs peuvent également planifier des analyses pour leurs ordinateurs à partir des ordinateurs client, mais ils ne peuvent pas modifier ou désactiver les analyses que vous programmez pour leurs ordinateurs. Le logiciel client exécute une analyse planifiée à la fois. Si plusieurs analyses sont planifiées pour le même moment, elles sont exécutées l'une après l'autre. Certains paramètres des analyses planifiées sont similaires à ceux des analyses Auto-Protect,mais chaque type d'analyse est configuré séparément. Les exceptions centralisées que vous configurez s'appliquent à tous les types d'analyses d'antivirus et de protection contre les logiciels espions. Si un ordinateur est hors tension lors d'une analyse planifiée, l'analyse n'est pas exécutée, sauf si l'ordinateur est configuré pour exécuter les analyses manquées. Les analyses planifiées recherchentles virus etles risques de sécurité (comme les logiciels publicitaires et espions). Tableau 29-3 décrit les types d'analyses planifiées. Paramètres de base de la politique antivirus et antispyware A propos des analyses 424Tableau 29-3 Types d'analyses planifiées Type Description Analyse rapidement la mémoire système et tous les emplacements de l'ordinateur contenant classiquement des virus et des risques de sécurité. L'analyse inclut tous les processus exécutés enmémoire, les fichiers de registre importants et des fichiers, tels que config.sys et windows.ini, ainsi que certains dossiers système importants. Active Scan Recherche les virus et les risques de sécurité dans l'intégralité de l'ordinateur, y compris dans le secteur d'amorce et la mémoire système. Analyse complète Recherche les virus et les risques de sécurité dans les fichiers et dossiers sélectionnés. Analyse personnalisée A propos des analyses à la demande Vous pouvez exécuter une analyse à la demande de la console pour examiner les fichiers etles dossiers choisis sur les ordinateurs client sélectionnés. Les analyses à la demande assurent des résultats rapides pour l'analyse d'une zone du réseau ou d'un disque dur local. Vous pouvez exécuter ces analyses de l'onglet Client de la console. Vous pouvez également exécuter ces analyses de l'onglet Contrôles de la console. Se reporter à "Exécuter des analyses à la demande" à la page 477. Se reporter à "Exécuter des commandes et des actions à partir des journaux" à la page 221. L'analyse à la demande par défaut analyse tous les fichiers et dossiers.Vous pouvez modifier les paramètres pour des analyses à la demande dans une politique antivirus et antispyware. Dans la politique, vous pouvez spécifier les extensions de fichier et les dossiers que vous voulez analyser. Quand vous exécutez une analyse à la demande de la page Contrôles, l'analyse s'exécute sur le client selon les paramètres qui sont configurés dans la politique. Se reporter à "Configurer des options d'analyse à la demande" à la page 476. A propos des analyses proactives des menaces TruScan Les analyses proactives des menaces TruScan utilisent des technologies heuristiques pour analyser les comportement similaires à ceux des virus ou présentant un risque pour la sécurité. Contrairement aux analyses antivirus et Paramètres de base de la politique antivirus et antispyware 425 A propos des analysesantispyware, qui détectentles virus etles risques de sécurité connus, les analyses proactives des menaces détectent les virus et les risques de sécurité inconnus. Remarque : Parce qu'elle examine les processus actifs sur les ordinateurs client, l'analyse proactive des menaces peut affecter les performances du système. Le logiciel client exécute des analyses proactives des menaces par défaut. Vous pouvez activer ou désactiver l'analyse proactive des menaces dans une politique antivirus et antispyware. Les utilisateurs sur les ordinateurs client peuvent activer ou désactiver ce type d'analyse si vous ne verrouillez pas le paramètre. Bien que vous incluiez des paramètres pour des analyses proactives des menaces dans une politique antivirus et antispyware, vous configurez les paramètres d'analyse différemment des analyses antivirus et antispyware. Se reporter à "Apropos des analyses proactives desmenacesTruScan" à la page 552. A propos de l'analyse après la mise à jour des fichiers de définitions Si Auto-Protect est activé, le logiciel client commence immédiatement à effectuer l'analyse avec les fichiers de définitions mis à jour. Quand les fichiers de définitions sontmis à jour, le logiciel client essaye de réparer les fichiers stockés en quarantaine et analyse les processus actifs. Pour l'analyse proactive des menaces des détections mises en quarantaine, les fichiers sont analysés pour savoir s'ils sont maintenant considérés comme un virus ou un risque de sécurité. Le client analyse les éléments mis en quarantaine par des analyses proactives des menaces comme il analyse les éléments mis en quarantaine par d'autres types d'analyses. Pour les détections mises en quarantaine, le logiciel client procède à la correction et élimine les effets secondaires. Si la détection des menaces proactive figure maintenant sur la liste blanche de Symantec, le logiciel client restaure et supprime la détection de la quarantaine ; cependant, le processus n'est pas relancé. A propos de l'analyse des extensions ou des dossiers sélectionnés Pour chaque type d'analyse antivirus et contre les logiciels espions et pour Auto-Protect, vous pouvez sélectionner des fichiers à inclure par extension. Pour les analyses définies par l'administrateur, vous pouvez également sélectionner des fichiers à inclure par dossier. Par exemple, vous pouvez spécifier qu'une analyse planifiée analyse seulement certaines extensions et qu'Auto-Protect analyse toutes les extensions. Paramètres de base de la politique antivirus et antispyware A propos des analyses 426Quand vous sélectionnez des extensions de fichier ou des dossiers à analyser, vous pouvez sélectionner plusieurs extensions ou les dossiers que vous voulez analyser. Les extensions ou les dossiers que vous ne sélectionnez pas sont exclus de l'analyse. Dans la boîte de dialogue Extensions de fichier, vous pouvez rapidement ajouter des extensions pour tous les programmes ou documents courants. Vous pouvez également ajouter vos propres extensions. Quand vous ajoutez vos propre extensions, vous pouvez spécifier des extensions comportant jusqu'à quatre caractères. Dans la boîte de dialogueModifier les dossiers, sélectionnez des dossiersWindows plutôt que des chemins de dossier absolus. Il se peut que les ordinateurs client sur votre réseau de sécurité utilisent des chemins d'accès à ces dossiers différents. Vous pouvez sélectionner l'un des dossiers suivants : ¦ COMMON_APPDATA ¦ COMMON_DESKTOPDIRECTORY ¦ COMMON_DOCUMENTS ¦ COMMON_PROGRAMS ¦ COMMON_STARTUP ¦ PROGRAM_FILES ¦ PROGRAM_FILES_COMMON ¦ SYSTEM ¦ WINDOWS Quand vous analysez des extensions de fichier ou des dossiers sélectionnés, vous pouvez améliorer les performances de l'analyse. Par exemple, si vous copiez un dossier volumineux ne figurant pas dans la liste des dossiers sélectionnés, le processus de copie est plus rapide car le contenu du dossier est exclu. Vous pouvez exclure des fichiers de l'analyse par type d'extension ou de répertoire. Pour exclure des fichiers, définissez une politique d'exceptions centralisée qui contient les exclusions. Quand vous spécifiez des exclusions dans une politique, les exclusions sont appliquées chaque fois que des analyses antivirus et contre les logiciels espions sont exécutées sur des clients comportant cette politique. Se reporter à "Configurationd'une politique d'exceptions centralisées" à la page 615. Quand vous analysez les extensions sélectionnées, le logiciel client ne lit pas l'en-tête de fichier pour déterminer le type de fichier. Quand vous analysez les extensions sélectionnées, le client analyse seulement les fichiers avec les extensions que vous spécifiez. Paramètres de base de la politique antivirus et antispyware 427 A propos des analysesAvertissement : Parce que le logiciel client exclut des fichiers et des dossiers des analyses, il ne protège pas les fichiers et les dossiers exclus contre les virus et les risques menaçant la sécurité. Tableau 29-4 décrit les extensions qu'il est recommandé d'analyser. Tableau 29-4 Extensions de fichier recommandées pour l'analyse Extension de fichier Description 386 Gestionnaire ACM Gestionnaire ; gestionnaire de compression audio Gestionnaire ; gestionnaire de compression/décompression audio ACV ADT Fichier ADT ; télécopie AX Fichier AX BAT Fichier de traitement par lot BTM Fichier de traitement par lot BIN Binaire CLA Classe Java COM Fichier exécutable Panneau de configuration d'applet pour Microsoft Windows CPL CSC Script Corel Bibliothèque de liaisons dynamiques (Dynamic Link Library) DLL DOC Microsoft Word DOT Microsoft Word DRV Pilote EXE Fichier exécutable HLP Fichier d'aide HTA Application HTML Paramètres de base de la politique antivirus et antispyware A propos des analyses 428Extension de fichier Description HTM HTML HTML HTML HTT HTML INF Script d'installation INI Fichier d'initialisation JPEG Fichier graphique JPG Fichier graphique JS JavaScript JSE Encodé JavaScript JTD Ichitaro MDB Microsoft Access MP? Microsoft Project MSO Microsoft Office 2000 OBD Classeur Microsoft Office OBT Classeur Microsoft Office Objet de Microsoft qui joint et inclut le contrôle personnalisé OCX OV? Recouvrement PIF Fichier d'informations de programme PL Code source de programme PERL (UNIX) PM Graphique bitmap Presentation Manager POT Microsoft PowerPoint PPT Microsoft PowerPoint PPS Microsoft PowerPoint RTF Document RTF (Rich Text Format) Télécopie, écran de veille, cliché ou script pour Farview ou Microsoft Windows SCR Paramètres de base de la politique antivirus et antispyware 429 A propos des analysesExtension de fichier Description SH Script Shell (UNIX) SHB Fichier d'arrière-plan Corel Show SHS Fichier de travail Shell SMM Lotus AmiPro SYS Gestionnaire de périphérique VBE BIOS VESA (fonctions de base) VBS Script Visual Basic VSD Microsoft Office Visio VSS Microsoft Office Visio VST Microsoft Office Visio VXD Gestionnaire de périphérique virtuel WSF Fichier script Windows WSH Fichier de paramètres hôte de script Windows XL? Microsoft Excel A propos de l'exclusion de fichiers et de dossiers spécifiques La politique de sécurité de votre entreprise peut autoriser certains risques de sécurité sur vos ordinateurs. Vous pouvez configurer le client pour exclure ces risques de toutes les analyses antivirus et antispyware. Vous pouvez exclure des fichiers et des dossiers spécifiques d'Auto-Protect et des analyses définies par l'administrateur. Par exemple, vous pouvez exclure le chemin d'accès C:\Temp\Install ou les dossiers qui contiennent un risque de sécurité autorisé. Vous pouvez exclure les fichiers qui déclenchent des alertes faussement positives. Par exemple, si vous avez utilisé un autre programme d'analyse de virus pour nettoyer un fichier infecté, le programme peut ne pas complètement supprimer le code de virus. Le fichier peut être inoffensif mais le code de virus désactivé peutfaire que le logiciel client enregistre un faux positif.Adressez-vous au support technique de Symantec si vous n'êtes pas sûr qu'un fichier est infecté. Quand vous créez une exclusion, elle s'applique à tous les types d'analyses antivirus et antispyware que vous exécutez. Vous créez une exclusion en tant qu'élément d'une exception centralisée. Paramètres de base de la politique antivirus et antispyware A propos des analyses 430Se reporter à "Configurationd'une politique d'exceptions centralisées" à la page 615. A propos des actions pour les virus et les risques de sécurité que les analyses détectent De nombreuses options d'analyse semblables sont disponibles pour différents types d'analyse. Quand vous configurez des analyses à la demande, planifiées ou d'Auto-Protect, vous pouvez définir une première et une seconde action à effectuer lorsque le logiciel client trouve des virus et des risques de sécurité. Vous pouvez définir une première et une seconde action particulières à effectuer lorsque le client découvre les types suivants de risques : ¦ virus macro ¦ virus non-macro ¦ tous les risques de sécurité (logiciels publicitaires, logiciels espions, blagues, composeurs, outils de piratage, programmes d'accès à distance, outils de suivi et autres) ¦ catégories individuelles de risque de sécurité, comme les logiciels espions ¦ Actions personnalisées pour un risque spécifique Par défaut, le client Symantec Endpoint Protection tente d'abord de nettoyer un fichier qui est infecté par un virus. Si le logiciel client ne peut pas nettoyer le fichier, il effectue les actions suivantes : ¦ Place le fichier en quarantaine sur l'ordinateur infecté ¦ Refuse l'accès au fichier ¦ Consigne l'événement Par défaut, le client place tous les fichiers infectés par des risques de sécurité en quarantaine sur l'ordinateur infecté. Le client tente également de supprimer ou réparer les effets secondaires du risque. Par défaut, la quarantaine contient un enregistrement de toutes les actions que le client a effectuées. Si nécessaire, l'ordinateur peut être rétabli dans l'état existant avant que le client n'ait tenté la suppression et la réparation. Si lamise en quarantaine etla réparation d'un risque de sécurité sontimpossibles, la seconde action est de consigner le risque. Pour les détections d'analyse proactive des menaces TruScan, les actions sont déterminées selon l'utilisation des paramètres par défaut Symantec ou le choix personnalisé d'actions. Vous devez configurer les actions pour les analyses Paramètres de base de la politique antivirus et antispyware 431 A propos des actions pour les virus et les risques de sécurité que les analyses détectentproactives des menaces dans une partie distincte de la politique antivirus et antispyware. Se reporter à "Spécification des actions et des niveaux de sensibilité pour détecter des chevaux de Troie, des vers et des enregistreurs de frappe" à la page 564. Définir des paramètres de gestion des journaux dans une politique antivirus et antispyware Vous pouvez inclure des paramètres de gestion des journaux dans la politique antivirus et antispyware. Par défaut, les clients envoient toujours certains types d'événements au serveur de gestion (tel qu'un arrêt d'analyse ou un lancement d'analyse). Vous pouvez choisir d'envoyer ou de ne pas envoyer d'autres types d'événements (tels qu'un fichier non analysé). Les événements que les clients envoient au serveur de gestion affectent les informations des rapports et des journaux. Vous devez déterminer le type d'informations à transférer au serveur de gestion. Vous pouvez réduire la taille des journaux et la quantité d'informations incluse dans les rapports si vous sélectionnez seulement certains types d'événements. Vous pouvez également configurer la durée de conservation des éléments de journal par le client . L'option n'affecte aucun événement que les clients envoient à la console de gestion. Vous pouvez utiliser l'option pour réduire la taille réelle du journal sur les ordinateurs client. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilisées dans cette procédure. Pour définir des paramètres de gestion des journaux pour une politique antivirus et antispyware 1 Dans la page Politique antivirus et antispyware, cliquez sur Divers. 2 Dans l'onglet Gestion des journaux, sous Filtrage des événements des journaux antivirus et antispyware, sélectionnez les événements que vous voulez transférer au serveur de gestion. 3 Sous Conservation du journal, sélectionnez la fréquence de suppression des lignes de journal par le client. 4 Sous Regroupement des événements des journaux, sélectionnez la fréquence d'envoi des événements regroupés au serveur. 5 Lorsque vous avez terminé la configuration de la politique, cliquez sur OK. Paramètres de base de la politique antivirus et antispyware Définir des paramètres de gestion des journaux dans une politique antivirus et antispyware 432A propos de l'interaction client avec des options d'antivirus et de protection contre les logiciels espions Vous pouvez configurer les paramètres spécifiques dans la politique qui contrôlent l'interaction client. Vous pouvez effectuer l'une des actions suivantes : ¦ Configurer des options de progression d'analyse pour des analyses planifiées. ¦ Définir des options d'analyse pour des clients. ¦ Modifier le mot de passe nécessaire pour analyser des lecteurs mappés. ¦ Spécifier comment le Centre de sécurité Windows interagit avec le client Symantec Endpoint Security. ¦ Afficher unavertissementlorsque les définitions sont périmées oumanquantes. ¦ Spécifier une URL à inclure dans des notifications d'erreur d'antivirus et de protection contre les logiciels espions. ¦ Spécifier une URL pour rediriger un navigateur Internet si un risque de sécurité essaye de modifier l'URL. Vous pouvez afficher et personnaliser des messages d'avertissement sur les ordinateurs infectés. Par exemple, si les utilisateurs ont un programme de logiciel espion installé sur leurs ordinateurs, vous pouvez les informer qu'ils ont violé votre politique d'entreprise. Vous pouvez inclure un message dans la notification indiquant que les utilisateurs doivent désinstaller l'application immédiatement. Remarque : Vous pouvez également verrouiller des paramètres de politique de sorte que les utilisateurs ne puissent pas modifier les paramètres. Modifier le mot de passe nécessaire pour analyser des lecteurs réseau mappés Symantec Endpoint Protection exige que les utilisateurs sur des ordinateurs client fournissent un mot de passe avant de pouvoir analyser un lecteur réseau mappé. Par défaut, ce mot de passe est symantec. Remarque : Si les utilisateurs analysent des lecteurs réseau, l'analyse peut affecter la performance d'ordinateur client. Paramètres de base de la politique antivirus et antispyware 433 A propos de l'interaction client avec des options d'antivirus et de protection contre les logiciels espionsVous pouvez cliquer sur Aide pour plus d'informations sur les options utilisées dans la procédure. Pour modifier le mot de passe nécessaire pour analyser des lecteurs mappés 1 Dans la page Politique antivirus et antispyware, cliquez sur Divers. 2 Dans l'onglet Divers, sous Analyser le lecteur réseau, cochez la case Exiger un mot de passe avantl'analyse des lecteurs réseau mappés. 3 Cliquez sur Modifier le mot de passe. 4 Dans la boîte de dialogue de configuration de mot de passe, saisissez un nouveau mot de passe et confirmez-le. 5 Cliquez sur OK. 6 Lorsque vous avez terminé la configuration de la politique, cliquez sur OK. Spécifier comment le Centre de sécurité Windows interagit avec le client Symantec Endpoint Protection Si vous utilisez le Centre de sécurité Windows sous Windows XP Service Pack 2 ouWindows Vista, vous pouvez utiliser la politique antivirus et antispyware pour définir les options suivantes sur des ordinateurs client : ¦ Période après laquelle le Centre de sécuritéWindows considère que les fichiers de définitions sont obsolètes. ¦ Selon que le Centre de sécurité Windows affiche des alertes antivirus pour les produits Symantec sur l'ordinateur hôte. Remarque : L'état du produit Symantec est toujours disponible dans la console de gestion, que le Centre de sécurité Windows soit actif ou non. Configuration du client Symantec Endpoint Protection pour la désactivation du Centre de sécurité Windows Vous pouvez configurer les circonstances sous lesquelles le logiciel client désactive Windows Security Center. Pour configurer Symantec Endpoint Protection afin de désactiverWindows Security Center 1 Dans la page Politique antivirus et antispyware, cliquez sur Divers. 2 Cliquez sur l'onglet Divers. Paramètres de base de la politique antivirus et antispyware Spécifier comment le Centre de sécurité Windows interagit avec le client Symantec Endpoint Protection 4343 Sous Centre de sécuritéWindows, dans la liste déroulante Désactiver le Centre de sécurité Windows, sélectionnez l'une des options suivantes : Jamais Ne jamais désactiver Windows Security Center. Ne désactiver Windows Security Center qu'une seule fois. Si un utilisateur réactive celui-ci, le logiciel client ne le désactive pas de nouveau. Une fois Toujours désactiver Windows Security Center. Si un utilisateur le réactive, le logiciel client le désactive de nouveau immédiatement. Toujours Ne réactiverWindows Security Center que si Symantec Endpoint Protection la désactivé. Restorer 4 Cliquez sur OK. Configurer des alertes Symantec Endpoint Protection pour leur affichage sur l'ordinateur hôte Vous pouvez configurer le Centre de sécurité Windows pour afficher les alertes du client Symantec Endpoint Protection. Pour configurer des alertes pour qu'elles s'affichent sur l'ordinateur hôte 1 Dans la page Politique antivirus et antispyware, cliquez sur Divers. 2 Cliquez sur l'onglet Divers. 3 Sous Centre de sécuritéWindows, dans lemenu déroulantAfficher les alertes antivirus dans le Centre de sécurité Windows, sélectionnez une des options suivantes : Le Centre de sécurité Windows n'affiche pas ces alertes dans la zone de notification Windows. Désactiver Le Centre de sécuritéWindows affiche ces alertes dans la zone de notification Windows. Activer Le Centre de sécurité Windows utilise le paramètre existant pour afficher ces alertes. Utiliser le paramètre existant 4 Cliquez sur OK. Paramètres de base de la politique antivirus et antispyware 435 Spécifier comment le Centre de sécurité Windows interagit avec le client Symantec Endpoint ProtectionConfigurer le délai de péremption pour les définitions Par défaut, le Centre de sécuritéWindows considère que les définitions Symantec sont obsolètes après 30 jours. Vous pouvez modifier le nombre de jours qui correspond au délai de péremption des définitions pendant l'installation dans Windows Installer.Vous pouvez égalementmodifier le paramètre dans la politique antivirus et antispyware. Sur les ordinateurs client, le client Symantec Endpoint Protection vérifie toutes les 15 minutes la date de péremption, la date des définitions et la date actuelle. Généralement, aucun état d'obsolescence n'est signalé au Centre de sécurité Windows, car les définitions sont habituellement mises à jour automatiquement. Si vous mettez à jour manuellement les définitions, vous pouvez être amené à patienter 15 minutes pour pouvoir afficher l'état exact dans le Centre de sécurité Windows. Pour configurer le délai de péremption pour les définitions 1 Dans la page Politique antivirus et antispyware, cliquez sur Divers. 2 Cliquez sur l'onglet Divers. 3 Sous Centre de sécurité Windows, sous Afficher un message du Centre de sécurité Windows lorsque les définitions sont périmées, tapez le nombre de jours. Vous pouvez également utiliser la flèche vers le haut ou vers le bas pour sélectionner le nombre de jours qui indique le délai de péremption des définitions de virus et de risque de sécurité. Cette valeur doit être comprise entre 1 et 30. 4 Lorsque vous avez terminé la configuration de la politique, cliquez sur OK. Afficher un avertissementlorsque les définitions sont périmées ou manquantes Vous pouvez afficher des messages d'avertissement personnalisés sur les ordinateurs client lorsque leurs définitions de virus et de risques de sécurité sont périmées ou manquantes. Vous pouvez également alerter les utilisateurs si vous n'avez pas planifié de mises à jour automatiques. Vous pouvez également alerter les utilisateurs s'ils sont autorisés à désactiver LiveUpdate. Pour afficher un avertissement concernant les définitions 1 Dans la page Politique antivirus et antispyware, cliquez sur Divers. 2 Dans l'onglet Notifications, sous Actions, sélectionnez l'une des options suivantes ou les deux : Paramètres de base de la politique antivirus et antispyware Afficher un avertissement lorsque les définitions sont périmées ou manquantes 436¦ Afficher un message lorsque les définitions sont obsolètes ¦ Afficher unavertissementlorsque Symantec Endpoint Protections'exécute sans définition de virus 3 Pour la péremption des définitions de virus et de risques de sécurité, définissez la durée (en jours) pendant laquelle les définitions peuvent être périmées avant affichage de l'avertissement. 4 Pour les définitions de virus et de risques de sécurité manquantes, définissez le nombre de tentatives de correction que Symantec Endpoint Protection doit observer avant affichage de l'avertissement. 5 Cliquez sur Message d'avertissement pour chaque option que vous avez cochée, puis personnalisez le message par défaut. 6 Dans la boîte de dialogue de confirmation, cliquez sur OK. 7 Si vous avez terminé de configurer cette politique, cliquez sur OK. Spécification d'une URL devant apparaître dans des notifications d'erreur d'antivirus et de protection contre les logiciels espions Dans de rares cas, les utilisateurs peuvent voir apparaître des erreurs sur des ordinateurs client. Par exemple, l'ordinateur client peut rencontrer des dépassements de tamponou des problèmes de décompressionpendantles analyses. Vous pouvez spécifier URL qui pointe vers le site du support technique de Symantec ou vers une URL personnalisée. Par exemple, vous pouvez, à la place, spécifier un site Web interne. Remarque : L'URL apparaît également dans le journal des événements système pour l'ordinateur client sur lequel l'erreur se produit. Pour spécifier une URL devant apparaître dans des notifications d'erreur d'antivirus et de protection contre les logiciels espions 1 Sur la page de politique antivirus et antispyware, cliquez sur Divers. 2 Dans l'onglet Notifications, sélectionnez Afficher lesmessagesd'erreuravec un lien vers une solution. 3 Sélectionnez l'une des options suivantes : ¦ Afficher l'URL d'un article de la base de connaissances du support technique de Symantec. Paramètres de base de la politique antivirus et antispyware 437 Spécification d'une URL devant apparaître dans des notifications d'erreur d'antivirus et de protection contre les logiciels espions¦ Afficher une URL personnalisée 4 Cliquez sur Personnaliser le message d'erreur si vous voulez personnaliser le message. 5 Entrez le texte personnalisé que vous voulez inclure, puis cliquez sur OK. 6 Si vous avec terminé la configuration de cette politique, cliquez sur OK. Spécifier une URL pour une page d'accueil de navigateur Vous pouvez spécifier une URL à utiliser comme page d'accueil quand le client Symantec Endpoint Protection répare un risque de sécurité qui a détourné une page d'accueil de navigateur. Pour spécifier une URL pour une page d'accueil de navigateur 1 Dans la page Politique antivirus et antispyware, cliquez sur Divers. 2 Dans l'onglet Divers, sous Protection du navigateur Internet, tapez l'URL. 3 Si vous avez fini de configurer cette politique, cliquez sur OK. Configuration des options qui s'appliquent aux analyses antivirus et de protection contre les logiciels espions Quelques options d'analyse sont communes à toutes les analyses antivirus et de protection contre les logiciels espions. Les analyses antivirus et de protection contre les logiciels espions incluent à la fois Auto-Protect et des analyses définies par l'administrateur. La politique inclut les options suivantes : ¦ Configurer les analyses d'extensions de fichiers ou de dossiers sélectionnés ¦ Configurer les exceptions centralisées pour les risques de sécurité ¦ Configurer les actions pour les virus connus et les détections de risque de sécurité ¦ Gérer les messages de notification sur les ordinateurs infectés ¦ Personnaliser et afficher les notifications sur les ordinateurs infectés ¦ Ajouer des avertissements dans les messages électroniques infectés. Paramètres de base de la politique antivirus et antispyware Spécifier une URL pour une page d'accueil de navigateur 438¦ Avertir les expéditeurs de messages infectés ¦ Avertir les utilisateurs de messages infectés Des informations au sujet des actions et des notifications pour les analyses proactives des menaces sont incluses dans une section séparée. Se reporter à "Configuration des notifications pour les analyses proactives des menaces TruScan" à la page 566. Configurer des analyses des extensions de fichier choisies Le client Symantec Endpoint Protection peut effectuer des analyses plus rapides en les limitant aux fichiers portant des extensions spécifiques. Les analyses qui analysent seulement des extensions sélectionnée offrentmoins de protection aux ordinateurs ; cependant, quand vous analysez seulement des extensions sélectionnées vous pouvez sélectionner les types de fichier que les virus attaquent typiquement. Quand vous analysez des extensions sélectionnées, vous pouvez rendre les analyses plus efficaces et utiliser moins de ressources informatiques. Vous pouvez configurer les extensions à analyser pour équilibrer les conditions suivantes : ¦ La quantité de protection que votre réseau requiert ¦ Le laps de temps et les ressources requis pour assurer la protection Par exemple, vous pouvez choisir de n'analyser que les fichiers portant certaines extensions, susceptibles d'être infectés par un virus ou un risque de sécurité. Lorsque vous choisissez de n'analyser que certaines extensions, vous excluez automatiquement de l'analyse tous les fichiers qui portent d'autres extensions. Quand vous excluez des fichiers des analyses, vous diminuez la quantité de ressources informatiques requises pour exécuter l'analyse. Avertissement: Quand vous sélectionnez les extensions que vous voulez analyser, aucune autre extension n'est protégée des virus et des risques de sécurité. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilisées dans la procédure. Pour inclure seulement des fichiers avec des extensions particulières pour Auto-Protect ou des analyses définies par l'administrateur 1 Dans l'onglet Détails de l'analyse, sous Types de fichier, cliquez sur Analyser les extensions sélectionnées uniquement. 2 Cliquez sur Sélectionner des extensions. Paramètres de base de la politique antivirus et antispyware 439 Configuration des options qui s'appliquent aux analyses antivirus et de protection contre les logiciels espions3 Dans la boîte de dialogue Extensions de fichier, vous pouvez effectuer les actions suivantes : ¦ Ajoutez vos propres extensions en les saisissant et en cliquant sur Ajouter. ¦ Pour supprimer une extension, sélectionnez-la et cliquez sur Supprimer. ¦ Pour ramener la liste à sa valeur par défaut, cliquez sur Utiliser défaut. ¦ Cliquez sur Ajouter les programmes communs pour ajouter toutes les extensions de programme. ¦ Cliquez sur Ajouter les documents commun pour ajouter toutes les extensions de document. 4 Si vous avez terminé avec la configuration pour cette politique, cliquez sur OK. Configurer les analyses des dossiers sélectionnés Vous pouvez configurer des dossiers sélectionnés à analyser par certaines analyses définies par l'administrateur. Ces analyses définies par l'administrateur incluent des analyses planifiées personnalisées et des analyses à la demande. Vous ne pouvez pas configurer de dossiers sélectionnés pour Auto-Protect. Se reporter à "A propos de l'analyse des extensions ou des dossiers sélectionnés" à la page 426. Vous pouvez cliquer sur Aide pour obtenir plus d'informations sur les options utilisées dans cette procédure. Pour configurer les analyses des dossiers sélectionnés 1 Dans la page Politique antivirus et antispyware, cliquez sur Analysesdéfinies par l'administrateur. 2 Dans l'onglet Analyses, effectuez l'une des opérations suivantes : ¦ Cliquez sur Ajouter. ¦ SousAnalyses planifiées, sélectionnez une analyse existante, puis cliquez sur Edition. ¦ Sous Analyse sur demande de l'administrateur, cliquez sur Edition. 3 Dans l'onglet Détails de l'analyse, dans la liste déroulante Type d'analyse, cliquez sur Analyse personnalisée. Les analyses à la demande sont prédéfinies sur Analyse personnalisée. 4 Sous Analyse, cliquez sur Modifier les dossiers. Paramètres de base de la politique antivirus et antispyware Configuration des options qui s'appliquent aux analyses antivirus et de protection contre les logiciels espions 4405 Dans la boîte de dialogue Modifier les dossiers, cliquez sur Analyser les dossierssélectionnés, puis, dans la liste des dossiers, sélectionnez les dossiers que vous voulez que cette analyse analyse. Le champ Dossiers sélectionnés affiche tous vos choix. 6 Cliquez sur OK jusqu'à ce que vous reveniez à la page Analyses définies par l'administrateur. 7 Si vous avez terminé de configurer cette politique, cliquez sur OK. A propos des exceptions de risques de sécurité Si vous voulez que des risques de sécurité subsistent sur votre réseau, vous pouvez ignorer les risques de sécurité quand ils sont détectés sur des ordinateurs client. Si un utilisateur a configuré des actions personnalisées pour un risque de sécurité que vous avez défini pour être ignoré, ces actions personnalisées ne sont pas effectuées. Remarque : Lorsque vous ajoutez un risque de sécurité à la liste des exclusions, le client Symantec Endpoint Protection ne consigne plus aucun événement impliquant ce risque de sécurité. Vous pouvez configurer le client pour consigner le risque même si vous incluez le risque dans la liste des exceptions. Que le risque soit consigné ou non, les utilisateurs ne sont notifiés d'aucune manière quand le risque est présent sur leurs ordinateurs. Vous pouvez utiliser une politique d'exceptions centralisée pour définir des exceptions. Se reporter à "Configurationd'une politique d'exceptions centralisées" à la page 615. Configurer des actions pour les virus connus et les détections de risques de sécurité Les actions permettent de spécifier la réponse des clients lorsqu'une analyse antivirus et antispyware détecte un virus connu ou un risque de sécurité. Ces actions s'appliquent aux analyses Auto-Protect et définies par l'administrateur. Vous configurez séparémentles actions pour les analyses proactives desmenaces. Se reporter à "Apropos des analyses proactives desmenacesTruScan" à la page 552. Les actions vous permettent de définir comment le logiciel client réagit quand il détecte un virus connu ou un risque de sécurité. Vous pouvez attribuer une première action et, au cas où la première action ne serait pas possible, une deuxième action. Le client Symantec Endpoint Protection utilise ces actions quand Paramètres de base de la politique antivirus et antispyware 441 Configuration des options qui s'appliquent aux analyses antivirus et de protection contre les logiciels espionsil découvre un virus ou un risque de sécurité tel qu'un logiciel publicitaire ou espion. Les types de virus et de risques de sécurité sont répertoriés dans l'arborescence. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilisées dans les procédures. Remarque : Pour les risques de sécurité, soyez prudents lors de l'utilisation de l'action de suppression. Dans certains cas, la suppression d'un risque de sécurité peut empêcher les applications de fonctionner correctement. Avertissement : Si vous configurez le logiciel client pour supprimer les fichiers affectés par le risque de sécurité, il ne peut pas restaurer les fichiers. Pour sauvegarder les fichiers affectés par les risques de sécurité, configurez le logiciel client pour les mettre en quarantaine. Pour configurer des actions pour les détections de virus connus et de risques de sécurité 1 Dans l'onglet Actions, sous Détection, sélectionnez un type de virus ou de risque de sécurité. Par défaut, chaque sous-catégorie de risque de sécurité est automatiquement configurée pour utiliser les actions définies pour la catégorie entière de risques de sécurité. 2 Pour configurer une instance spécifique d'une catégorie de risques de sécurité pour utiliser différentes actions, cochez Remplacer les actions configurées pour les risques de sécurité, puis définissez les actions pour cette catégorie uniquement. 3 Sous Opérations pour, sélectionnez les premières et deuxièmes mesures que le logiciel client prend quand il détecte cette catégorie de virus ou de risque de sécurité. Vous pouvez verrouiller des actions de sorte que les utilisateurs ne puissent pas modifier l'action sur les ordinateurs client qui utilisent cette politique. Pour les risques de sécurité, utilisez l'action de suppression avec prudence. Dans certains cas, la suppression d'un risque de sécurité peut empêcher les applications de fonctionner correctement. 4 Répétez l'étape 3 pour chaque catégorie pour laquelle vous voulez définir des actions (virus et risques de sécurité). 5 Si vous avec terminé la configuration de cette politique, cliquez sur OK. Paramètres de base de la politique antivirus et antispyware Configuration des options qui s'appliquent aux analyses antivirus et de protection contre les logiciels espions 442A propos des messages de notification sur les ordinateurs infectés Vous pouvez activer un message de notification personnalisé sur les ordinateurs infectés quand une analyse définie par l'administrateur ou Auto-Protect trouve un virus ou un risque de sécurité. Ces notifications peuvent alerter les utilisateurs pour qu'ils passent en revue leur activité récente sur l'ordinateur client. Par exemple, un utilisateur pourraittélécharger une application ou afficher une page Web aboutissant à une infection par un logiciel espion. Remarque : La langue du système d'exploitation sur lequel vous exécutez le client peut ne pas savoir interpréter certains caractères des noms de virus. Si le système d'exploitation ne peut pas interpréter les caractères, ceux-ci apparaissent comme des points d'interrogation dans les notifications. Par exemple, certains noms de virus Unicode peuvent contenir des caractères à deux octets. Sur les ordinateurs qui exécutent le client sur un système d'exploitation anglais, ces caractères apparaissent comme des points d'interrogation. Pour les analyses de messagerie Auto-Protect, vous pouvez également configurer les options suivantes : ¦ Ajouter des avertissements dans les messages électroniques infectés ¦ Envoyer un avertissement aux expéditeurs d'un message infecté ¦ Avertir les utilisateurs de messages infectés. Se reporter à "Configurer des options de notification pour Auto-Protect" à la page 464. Les notifications des résultats d'analyse proactive des menaces sont configurés séparément. Se reporter à "Configuration des notifications pour les analyses proactives des menaces TruScan" à la page 566. Personnaliser et afficher des notifications surles ordinateurs infectés Vous pouvez concevoir unmessage personnalisé qui doit apparaître sur les postes infectés lorsqu'un virus ou un risque de sécurité est détecté. Vous pouvez taper directement dans la zone de message pour ajouter ou modifier le texte. Quand vous exécutez une analyse distante, vous pouvez informer l'utilisateur d'un problème en affichant un message sur l'écran de l'ordinateur infecté. Vous pouvez personnaliser le message d'avertissement en incluant des informations telles que le nomdu risque, le nomdu fichier infecté etl'état du risque. Unmessage d'avertissement pourrait ressembler à l'exemple suivant : Paramètres de base de la politique antivirus et antispyware 443 Configuration des options qui s'appliquent aux analyses antivirus et de protection contre les logiciels espionsType d'analyse : Analyse planifiée Evénement : Risque détecté NomRisqueSécurité: Stoned-C Fichier : C:\Autoexec.bat Emplacement : C: Ordinateur : ACCTG-2 Utilisateur : JSmith Action effectuée : Nettoyé Tableau 29-5 décrit les champs de variables disponibles pour les notifications. Tableau 29-5 Variables de message de notification Champ Description NomRisqueSécurité Nom du virus ou du risque de sécurité détecté. Action effectuée en réponse à la détection du virus ou du risque de sécurité. Il peut s'agir de la première ou de la seconde action configurée. ActionEffectuée Etat du fichier : Infecté, Non Infecté ou Supprimé. Cette variable de message n'est pas utilisée par défaut. Pour afficher cette information, ajoutez manuellement cette variable au message. Etat Nomfichier Nom du fichier infecté par le virus ou le risque de sécurité. Chemin d'accès complet et nomdu fichier ayant été infecté par le virus ou le risque de sécurité. CheminNomfichier Lecteur de l'ordinateur sur lequel le virus ou le risque de sécurité a été détecté. Emplacement Nom de l'ordinateur sur lequel le virus ou le risque de sécurité a été détecté. Ordinateur Nom de l'utilisateur qui était connecté lorsque le virus ou le risque de sécurité a été détecté. Utilisateur Evénement Type d'événement tel que "Risque détecté". ConsignéPar Type d'analyse qui a détecté le virus ou le risque de sécurité. DateTrouvé Date à laquelle le virus ou le risque de sécurité a été détecté. Zone affectée de l'application (par exemple Auto-Protect pour le système de fichiers ou Auto-Protect pour messagerie Lotus Notes). NomStockage Paramètres de base de la politique antivirus et antispyware Configuration des options qui s'appliquent aux analyses antivirus et de protection contre les logiciels espions 444Champ Description Description complète des actions effectuées en réponse à la détection du virus ou du risque de sécurité. DescriptionAction Pour afficher des messages de notification sur les ordinateurs infectés 1 Dans la page Politique antivirus et antispyware, effectuez une des actions suivantes : ¦ Cliquez sur Analyses définies par l'administrateur. ¦ Cliquez sur Auto-Protect pour le système de fichiers. ¦ Cliquez sur Auto-Protect pour le courrier électronique Internet. ¦ Cliquez sur Auto-Protect pourMicrosoft Outlook. ¦ Cliquez sur Auto-Protect pour Lotus Notes. 2 Si vous avez sélectionnéAnalyses définies par l'administrateur, dans l'onglet Analyses, cliquez sur Ajouter ou Edition. 3 Dans l'onglet Notifications, cochez la case Afficherunmessagedenotification sur l'ordinateur infecté et modifiez le corps du message de notification. 4 Cliquez sur OK. Transmettre des informations sur des analyses à Symantec Vous pouvez spécifier que des informations sur des détections de l'analyse proactive des menaces et des informations sur Auto-Protect ou les détections d'analyse sont automatiquement envoyées à Symantec Security Response. Les informations transmises par les clients aident Symantec à déterminer si une menace détectée est réelle. Si Symantec détermine que la menace est réelle, Symantec peut générer une signature pour traiter la menace. La signature est incluse dans une versionmise à jour des définitions. Pour les détections proactives desmenacesTruScan, Symantec peutmettre à jour ses listes de processus autorisés ou rejetés. Quand un client envoie des informations sur un processus, les informations incluent les éléments suivants : ¦ Le chemin d'accès à l'exécutable ¦ L'exécutable ¦ Les informations d'état interne Paramètres de base de la politique antivirus et antispyware 445 Transmettre des informations sur des analyses à Symantec¦ Les informations sur le fichier et les points de registre qui se rapportent à la menace ¦ La version de contenu utilisée par l'analyse proactive des menaces Aucune coordonnée permettant d'identifier l'ordinateur client n'est envoyée. Les informations sur les taux de détection aident potentiellement Symantec à affiner les mises à jour de définitions de virus. Les taux de détection indiquent les virus etles risques de sécurité les plus détectés par des clients. Symantec Security Response peut supprimer les signatures qui ne sont pas détectées et fournir une liste de définitions de virus segmentée aux clients qui la demandent. Les listes segmentées améliorent les performances des analyses antivirus et contre les logiciels espions. Quand une analyse proactive des menaces fait une détection, le logiciel client vérifie si des informations sur le processus ont été déjà envoyées. Si les informations ont été envoyées, le client n'envoie pas les informations de nouveau. Remarque : Quand les analyses proactives des menaces détectent des éléments sur la liste des applications commerciales, les informations sur ces détections ne sont pas transférées à Symantec Security Response. Si vous activez la transmission pour des processus, les éléments qui sont mis en quarantaine par des analyses proactives des menaces sont mis à jour. Quand les éléments sont mis à jour, la fenêtre Quarantaine indique que les échantillons ont été transmis à Symantec Security Response. Le logiciel client n'informe pas des utilisateurs et la console de gestion ne donne pas une indication quand des détections avec d'autres types d'actions sonttransmises. D'autres types d'actions incluent la consignation ou l'arrêt. Vous pouvez transmettre des échantillons de quarantaine à Symantec. Se reporter à "Transmettre des éléments en quarantaine à Symantec" à la page 451. A propos de la limitation des soumissions Les clients peuvent soumettre ou ne pas soumettre des échantillons à Symantec selon les informations suivantes : ¦ La date du fichier de contrôle des données de soumission ¦ Le pourcentage des ordinateurs autorisés à envoyer des soumissions Symantec publie son fichier SCD (Submission Control Data) et l'inclut en tant qu'élément d'un paquet LiveUpdate. Chaque produit Symantec comporte son propre SCD. Paramètres de base de la politique antivirus et antispyware Transmettre des informations sur des analyses à Symantec 446Le fichier contrôle les paramètres suivants : ¦ Le nombre de soumissions qu'un client peut soumettre en un jour ¦ La durée d'attente avant que le logiciel client relance des soumissions ¦ Le nombre de nouvelles tentatives des soumissions ayant échoué ¦ Quelle adresse IP du serveur Symantec SecurityResponse reçoitla soumission Si le SCD est périmé, les clients arrêtent d'envoyer des soumissions. Symantec considère le SCD comme périmé quand un ordinateur client n'a pas récupéré de contenu LiveUpdate depuis 7 jours. Si les clients arrêtentla transmission des soumissions, le logiciel client ne collecte pas les informations de soumission et ne les envoie pas ultérieurement. Quand les clients recommencent à transmettre les soumissions, ils n'envoient que les informations relatives aux événements se produisant après le redémarrage de la transmission. Les administrateurs peuvent également configurer le pourcentage d'ordinateurs autorisés à soumettre des informations. Chaque ordinateur client détermine s'il doit ou non soumettre des informations. L'ordinateur client sélectionne demanière aléatoire un nombre allant de 1 à 100. Si le nombre est inférieur ou égal au pourcentage défini dans la politique de cet ordinateur, l'ordinateur soumet des informations. Si le nombre est supérieur au pourcentage configuré, l'ordinateur ne soumet pas d'informations. Configurer des options de soumission Par défaut, les soumissions sont activées. Vous pouvez activer ou désactiver des soumissions dans une politique antivirus et antispyware dans l'onglet Soumissions. Vous pouvez cliquer sur Aide pour obtenir plus d'informations sur les options utilisées dans cette procédure. Pour spécifier si des informations sont envoyées ou non concernant les processus détectés par les analyses proactives des menaces TruScan 1 Dans la page Politique antivirus et antispyware, cliquez sur Transmissions. 2 Sous Analyses proactives des menaces TruScan, activez ou désactivez la case Autoriser les ordinateurs clients à transmettre les processus détectés par les analyses. 3 Quand vous sélectionnez ce paramètre, vous pouvez modifier le pourcentage d'ordinateurs client autorisés à soumettre des informations sur des processus. Paramètres de base de la politique antivirus et antispyware 447 Transmettre des informations sur des analyses à Symantec4 Si vous avez activé les soumissions, utilisez la flèche vers le haut ou vers le bas pour sélectionner le pourcentage ou tapez la valeur désirée dans la zone de texte. 5 Si vous avez terminé de configurer cette politique, cliquez sur OK. Pour indiquer si des informations sont envoyées ou non concernant Auto-Protect et les taux de détection d'analyse manuelle 1 Dans la page Politique antivirus et antispyware, cliquez sur Transmissions. 2 Sous Taux de détection, cochez ou décochez Autoriserlesordinateursclient à transmettre les taux de détection de menaces. Quand vous sélectionnez ce paramètre, vous pouvez modifier le pourcentage d'ordinateurs client autorisés à soumettre des taux de détection de menaces. 3 Une fois la définition de la politique terminée, cliquez sur OK. Gérer des fichiers en quarantaine La gestion des fichiers en quarantaine inclut ce qui suit : ¦ Spécifier un répertoire de quarantaine local ¦ Transmettre des éléments en quarantaine à Symantec ¦ Configurer des actions à effectuer à la réception de nouvelles définitions de virus A propos des paramètres de quarantaine Utilisez la politique antivirus et contre les logiciels espions pour configurer les paramètres de quarantaine client. La gestion des paramètres de quarantaine représente un aspect important de votre stratégie antivirus. Spécifier un répertoire de quarantaine local Si vous ne voulez pas utiliser le répertoire de quarantaine par défaut pour enregistrer des fichiers en quarantaine sur des ordinateurs client, vous pouvez spécifier un répertoire local différent. Vous pouvez utiliser l'expansion de chemin d'accès en incluant le signe pourcentage quand vous tapez le chemin d'accès. Par exemple, vous pouvez taper %COMMON_APPDATA%. Les chemins relatifs ne sont pas autorisés. Le logiciel prend en charge les paramètres d'expansion suivants : Paramètres de base de la politique antivirus et antispyware Gérer des fichiers en quarantaine 448Il s'agit généralement du chemin d'accès C:\Documents and Settings\All Users\Application Data. %COMMON_APPDATA% Il s'agit généralement du chemin d'accès C:\Program Files. %PROGRAM_FILES% Il s'agit généralement du chemin d'accès C:\Program Files\Common. %PROGRAM_FILES_COMMON% Il s'agit généralement du chemin d'accès C:\Documents and Settings\Start Menu\ Programs. %COMMON_PROGRAMS% Il s'agit généralement du chemin d'accès C:\Documents and Settings\Start Menu\ Programs\Startup. %COMMON_STARTUP% Généralement, ce chemin est C:\Documents et Settings\All Users\Desktop %COMMON_DESKTOPDIRECTORY% Généralement, ce chemin est C:\Documents et Settings\All Users\Documents %COMMON_DOCUMENT% Généralement, ce chemin est C:\Windows\ System32 %SYSTEM% Il s'agit généralement du chemin d'accès C:\Windows. %WINDOWS% Pour spécifier un répertoire de quarantaine local 1 Dans la page Politique antivirus et antispyware, cliquez sur Quarantaine. 2 Dans l'onglet Divers, sous Options de quarantaine locales, cliquez sur Spécifier le répertoire de quarantaine. 3 Dans la zone de texte, tapez le nom d'un répertoire local sur les ordinateurs client.Vous pouvez utiliser l'expansion de chemin d'accès en incluantle signe pourcentage quand vous tapez le chemin d'accès. Par exemple, vous pouvez taper%COMMON_APPDATA%,mais des chemins relatifs ne sont pas permis. 4 Lorsque vous avez terminé la configuration de la politique, cliquez sur OK. Configurer des options de nettoyage automatique Quand le logiciel client détecte un fichier suspect, il le place dans le dossier de quarantaine local de l'ordinateur infecté. La fonction de nettoyage de la quarantaine supprime automatiquement les fichiers en quarantaine lorsqu'ils Paramètres de base de la politique antivirus et antispyware 449 Gérer des fichiers en quarantaineatteignent un âge donné. La fonction de nettoyage de la quarantaine supprime automatiquementles fichiers en quarantaine lorsque le répertoire où ils se trouvent atteint une taille donnée. Vous pouvez configurer ces options dans la politique antivirus et antispyware. Vous pouvez individuellement configurer le nombre de jours pour conserver les fichiers réparés, de sauvegarde et en quarantaine.Vous pouvez également définir la taille maximum de répertoire qui est permise avant que des fichiers soient automatiquement supprimés de l'ordinateur client. Vous pouvez utiliser l'un de ces paramètres ou utiliser les deux en même temps. Si vous configurez les deux types de limites, les fichiers antérieurs à la durée de conservation que vous avez définie sont purgés en premier. Si la taille du répertoire dépasse toujours la limite de taille que vous définissez, alors les fichiers les plus anciens sont supprimés un à un. Les fichiers sont supprimés jusqu'à ce que la taille de répertoire tombe au-dessous de la limite. Par défaut, ces options ne sont pas activées. Pour configurer des options de nettoyage automatique 1 Dans la page Politique antivirus et antispyware, cliquez sur Quarantaine. 2 Dans l'onglet Nettoyer, sous Fichiers réparés, activez ou désactivez l'option Activer la suppression automatique des fichiers réparés. 3 Dans la zone Supprimer après, entrez une valeur ou cliquez sur une flèche pour sélectionner l'intervalle de temps en jours. 4 Cochez la case Purger les fichiers les plus anciens pour respecter la taille limite, puis saisissez la taille maximale du répertoire en mégaoctets. Le paramètre par défaut est 50 Mo. 5 Sous Fichiers de sauvegarde, activez ou désactivez l'option Activer la suppression automatique des fichiers de sauvegarde. 6 Dans la zone Supprimer après, entrez une valeur ou cliquez sur une flèche pour sélectionner l'intervalle de temps en jours. 7 Cochez la case Purger les fichiers les plus anciens pour respecter la taille limite, puis saisissez la taille maximale du répertoire en mégaoctets. Le paramètre par défaut est 50 Mo. 8 Sous Fichiers en quarantaine, activez ou désactivez l'option Activer la suppressionautomatiquedesfichiersmisenquarantainedontlaréparation n'a pu être effectuée. 9 Dans la zone Supprimer après, tapez une valeur ou cliquez sur une flèche pour sélectionner la période en jours. Paramètres de base de la politique antivirus et antispyware Gérer des fichiers en quarantaine 45010 Cochez Supprimer les fichiers les plus anciens pour respecter la limite de taille de répertoire, puis tapez la taille maximale de répertoire exprimée en mégaoctets. Le paramètre par défaut est 50 Mo. 11 Lorsque vous avez terminé la configuration de la politique, cliquez sur OK. Transmettre des éléments en quarantaine à un serveur de quarantaine centralisée Vous pouvez activer des éléments en quarantaine pour les transférer de la quarantaine locale à un serveur de quarantaine centralisée. Configurez le client pour transférer les éléments si vous utilisez un serveur de quarantaine centralisée dans votre réseau de sécurité. Le serveur de quarantaine centralisée peuttransférer les informations à Symantec Security Response. Les informations transmises par les clients aident Symantec à déterminer si une menace détectée est réelle. Remarque : Seuls les éléments en quarantaine qui sont détectés par des analyses d'antivirus et de protection contre les logiciels espions peuvent être envoyés à un serveur de quarantaine centralisée. Des éléments en quarantaine qui sont détectés par des analyses proactives des menaces ne peuvent pas être envoyés. Pour activer la transmission des éléments en quarantaine à un serveur de quarantaine 1 Dans la page Politique antivirus et antispyware, cliquez sur Transmissions. 2 Sous Eléments en quarantaine, sélectionnez Permettre aux ordinateurs client de transmettre automatiquementles éléments en quarantaine à un serveur de quarantaine. 3 Tapez le nom du serveur de quarantaine. 4 Tapez le numéro de port à utiliser, puis sélectionnez le nombre de secondes pour relancer une connexion. 5 Lorsque vous avez terminé de configurer les paramètres de la politique, cliquez sur OK. Transmettre des éléments en quarantaine à Symantec Vous pouvez configurer le logiciel client pour que les utilisateurs puissent transmettre à Symantec Security Response leurs fichiers infectés ou suspects, ainsi que les effets secondaires connexes, pour analyse. Quand les utilisateurs envoient des informations, Symantec peut affiner ses processus de détection et de réparation. Paramètres de base de la politique antivirus et antispyware 451 Gérer des fichiers en quarantaineLes fichiers transmis à Symantec Security Response deviennent la propriété de Symantec Corporation. Dans certains cas, ces fichiers peuvent être partagés avec la communauté des éditeurs de solutions antivirus. Si Symantec partage des fichiers, Symantec utilise un chiffrement standard et peut rendre des données anonymes pour aider à protéger l'intégrité du contenu et la confidentialité. Dans certains cas, Symantec pourrait rejeter un fichier. Par exemple, Symantec pourrait rejeter un fichier parce que le fichier ne semble pas être infecté. Vous pouvez activer la retransmission des fichiers si vous voulez que les utilisateurs puissent retransmettre des fichiers sélectionnés. Les utilisateurs peuvent retransmettre des fichiers une fois par jour. Pour activer la transmission des éléments en quarantaine à Symantec 1 Dans la page Politique antivirus et antispyware, cliquez sur Transmissions. 2 Sous Eléments en quarantaine, cochez la case Permettre la transmission manuelle des éléments en quarantaine à Symantec Security Response. 3 Lorsque vous avez terminé la configuration de la politique, cliquez sur OK. Configurer des actions à effectuer à la réception de nouvelles définitions de virus Vous pouvez configurer les mesures que vous voulez prendre quand les nouvelles définitions arrivent sur des ordinateurs client. Par défaut, le client analyse de nouveau les éléments en quarantaine et répare et restaure automatiquement les éléments. Vous devriez normalement toujours utiliser ce paramètre. Pour configurer des actions pour les nouvelles définitions 1 Dans la page Politique antivirus et antispyware, cliquez sur Quarantaine. 2 Dans l'onglet Général, sous A la réception de nouvelles définitions de virus, sélectionnez l'une des options suivantes : ¦ Automatiquement réparer et restaurer les fichiersmis en quarantaine en mode silencieux ¦ Réparer les fichiers mis en quarantaine en mode silencieux sans les restaurer ¦ Demander à l'utilisateur ¦ Ne rien faire 3 Lorsque vous avez terminé la configuration de la politique, cliquez sur OK. Paramètres de base de la politique antivirus et antispyware Gérer des fichiers en quarantaine 452Configuration d'Auto-Protect Ce chapitre traite des sujets suivants : ¦ A propos de la configuration d'Auto-Protect ¦ A propos de types d'Auto-Protect ¦ Activer Auto-Protect pour le système de fichiers ¦ Configuration d'Auto-Protect pour le système de fichiers ¦ Configurer Auto-Protect pour messagerie Internet ¦ Configurer Auto-Protect pour messagerie Microsoft Outlook ¦ Configuration d'Auto-Protect pour messagerie Lotus Notes ¦ Configurer des options de notification pour Auto-Protect A propos de la configuration d'Auto-Protect Auto-Protect se configure dans le cadre d'une politique antivirus et contre les logiciels espions. Vous pouvez aussi activer Auto-Protect manuellement pour un groupe de clients ou des ordinateurs et des utilisateurs particuliers. Vous pouvez verrouiller ou déverrouiller de nombreuses options d'Auto-Protect dans une politique antivirus et contre les logiciels espions. Quand vous verrouillez une option, les utilisateurs des ordinateurs client ne peuvent pasmodifier l'option. Par défaut, les options sont déverrouillées. Certaines options d'Auto-Protect sont semblables aux options d'autres analyses antivirus et de protection contre les logiciels espions. Chapitre 30Se reporter à "Configuration des options qui s'appliquent aux analyses antivirus et de protection contre les logiciels espions" à la page 438. A propos de types d'Auto-Protect Auto-Protect protège le système de fichiers et les pièces jointes que les clients reçoivent. Vous pouvez configurer les types suivants d'Auto-Protect : ¦ Auto-Protect pour le système de fichiers ¦ Auto-Protect pour la messagerie Internet ¦ Auto-Protect pour Microsoft Outlook ¦ Auto-Protect pour Lotus Notes Par défaut, tous les types d'Auto-Protect sont activés. Si vos ordinateurs client exécutent d'autres produits de protection de messagerie, tels que Symantec Mail Security, il se peut que vous ne deviez pas activer Auto-Protect pour le courrier électronique. Se reporter à "A propos des analyses Auto-Protect" à la page 419. Activer Auto-Protect pour le système de fichiers Les paramètres d'Auto-Protect sont inclus dans la politique antivirus et antispyware que vous appliquez aux ordinateurs client. Par défaut, Auto-Protect pour le système de fichiers est activé. Vous pouvez verrouiller le paramètre de sorte que les utilisateurs sur les ordinateurs client ne puissent pas désactiver Auto-Protect pour le système de fichiers. Il se peut que vous deviez activer Auto-Protect via la console si vous autorisez les utilisateurs àmodifier le paramètre ou désactivez Auto-Protect pour le système de fichiers. Vous pouvez activer Auto-Protect pour le système de fichiers via l'onglet Clients de la console. Vous pouvez également activer manuellement Auto-Protect pour le système de fichiers via les journaux d'état d'ordinateur. Se reporter à "Exécuter des commandes et des actions à partir des journaux" à la page 221. Si vous voulez désactiver Auto-Protect, vous devez désactiver le paramètre dans la politique antivirus et antispyware appliquée au groupe. Configuration d'Auto-Protect A propos de types d'Auto-Protect 454Pour activer Auto-Protect pour le système de fichiers 1 Dans la console, cliquez sur Clients, puis, sous Afficher les clients, sélectionnez le groupe qui inclut les ordinateurs pour lesquels vous voulez activer Auto-Protect. 2 Dans le volet droit, sélectionnez l'onglet Clients. 3 Effectuez l'une des opérations suivantes : ¦ Dans le volet gauche, sous Afficher les clients, cliquez avec le bouton droit de la souris sur le groupe pour lequel vous voulez activer Auto-Protect. ¦ Dans le volet droit, dans l'onglet Clients, sélectionnez les ordinateurs et les utilisateurs pour lesquels vous voulez activerAuto-Protect, puis cliquez avec le bouton droit de la souris sur cette sélection. 4 Effectuez l'une des opérations suivantes : ¦ Cliquez sur Exécuter la commande sur le groupe>ActiverAuto-Protect ¦ Cliquez sur Exécuter lacommandesur lesclients>ActiverAuto-Protect 5 Dans le message qui apparaît, cliquez sur OK. Si vous voulez activer ou désactiverAuto-Protect pour le courrier électronique, vous devez inclure le paramètre dans la politique antivirus et antispyware. Configuration d'Auto-Protect pour le système de fichiers Quand vous configurezAuto-Protect pour le système de fichiers en tant qu'élément d'une politique antivirus et antispyware, vous configurez les paramètres qui définissent commentAuto-Protect et ses fonctions associées se comportent.Vous spécifiez également si vous voulez analyser les lecteurs de disquette, les lecteurs réseau ou les deux. Remarque : Quand vous configurez les options d'Auto-Protect, vous pouvez cliquer sur l'icône de verrou à côté des paramètres d'Auto-Protect. Les utilisateurs avec les ordinateurs client qui utilisent cette politique ne peut pas modifier les paramètres verrouillés. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilisées dans les procédures. Configuration d'Auto-Protect 455 Configuration d'Auto-Protect pour le système de fichiersPour configurer Auto-Protect pour le système de fichiers 1 Sur la page de politique antivirus et antispyware, cliquez sur Auto-Protect pour le système de fichiers. 2 Dans l'onglet Détails de l'analyse, activez ou désactivez la case Activer Auto-Protect pour le système de fichiers. 3 Sous Analyse, sous Types de fichier, cliquez sur l'une des options suivantes : ¦ Analyser tous les fichiers ¦ Analyser les extensions sélectionnées uniquement Se reporter à "Configurer des analyses des extensions de fichier choisies" à la page 439. 4 Sous Options supplémentaires, activez ou désactivez la case Rechercher les risques de sécurité et Bloquer l'installation du risque de sécurité. Se reporter à "A propos de l'analyse et et du blocage des risques de sécurité Auto-Protect" à la page 457. 5 Sous Paramètres réseau, activez ou désactivez la case Réseau pour activer ou désactiver les analyses Auto-Protect des fichiers réseau. 6 Si vous avez activé la case Réseau, cliquez sur Paramètres réseau. 7 Dans la boîte de dialogue Paramètres réseau, effectuez l'une des opérations suivantes : ¦ Permettez ou interdisez àAuto-Protect de faire confiance aux fichiers des ordinateurs distants qui exécutent Auto-Protect. ¦ Configurez les options de cache réseau pour les analyses d'Auto-Protect. 8 Cliquez sur OK. 9 Sous les Paramètres de disquette, activez ou désactivez la case Rechercher les virus d'amorce lors de l'accès à la disquette. 10 Si vous avez coché la case Rechercher les virus d'amorce lors de l'accès à la disquette, définissez l'action à effectuer en cas de détection d'un virus d'amorce : le supprimer de la zone amorce ou le consigner et ne plus y toucher. 11 Dans l'onglet Actions, définissez les options. Se reporter à "Configurer des actions pour les virus connus et les détections de risques de sécurité" à la page 441. 12 Dans l'onglet Notifications, définissez les options de notification. Se reporter à "Configurer des options de notification pour Auto-Protect" à la page 464. Configuration d'Auto-Protect Configuration d'Auto-Protect pour le système de fichiers 45613 Dans l'onglet Avancé, définissez l'une des options suivantes : ¦ Démarrage et arrêt ¦ Recharger les options 14 Sous Options supplémentaires, cliquez sur Cache de fichier ou sur Risk Tracer. 15 Configurez le cache du fichier ou les paramètres Risk Tracer, puis cliquez sur OK. 16 Si vous avec terminé la configuration de cette politique, cliquez sur OK. A propos de l'analyse et et du blocage des risques de sécurité Auto-Protect Par défaut, Auto-Protect effectue les opérations suivantes : ¦ Il recherche les risques de sécurité tels que les logiciels publicitaires et les logiciels espions. ¦ Il met en quarantaine les fichiers infectés. ¦ Il supprime ou répare les effects secondaires des risques de sécurité Dans le cas où le blocage de l'installation d'un risque de sécurité n'affecte pas la stabilité de l'ordinateur, Auto-Protect bloque également l'installation par défaut. Si Symantec détermine que le blocage d'un risque de sécurité peut compromettre la stabilité d'un ordinateur, alors Auto-Protect permet l'installation du risque. De plus, Auto-Protect effectue immédiatementl'opération configurée pour le risque. De temps à autre, il se peut néanmoins que vous deviez désactiver temporairement l'analyse des risques de sécurité dans Auto-Protect pour le système de fichiers et la réactiver ensuite. Il peut également être nécessaire de désactiver le blocage des risques de sécurité pour contrôler le moment où Auto-Protect réagit à certains risques de sécurité. Remarque : La recherche des risques de sécurité ne peut pas être désactivée pour les autres types d'analyse. Vous pouvez toutefois configurer Symantec Endpoint Protection afin d'ignorer le risque de sécurité et consigner la détection. Vous pouvez également exclure des risques spécifiques globalement de tous les types d'analyses en les ajoutant à la liste d'exceptions centralisées. Se reporter à "A propos des politiques d'exceptions centralisées" à la page 611. Configuration d'Auto-Protect 457 Configuration d'Auto-Protect pour le système de fichiersConfigurer des options avancées d'analyse et de surveillance Vous pouvez configurer des options avancées d'analyse et de surveillance pour des analyses Auto-Protect des fichiers et des processus. Les options permettent de déterminer le moment où les fichiers sont analysés et contiennent des paramètres d'analyse heuristiques. L'analyse heuristique en tant qu'élément d'Auto-Protect est différente de l'analyse proactive de menace. L'analyse heuristique en tant qu'élément d'Auto-Protect analyse des fichiers pour chercher un comportement malveillant, alors que l'analyse proactive de menace examine les processus actifs pour localiser des comportements malveillants. Se reporter à "Apropos des analyses proactives desmenacesTruScan" à la page 552. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilisées dans les procédures. Pour configurer des options avancées d'analyse et de surveillance 1 Sur la page Politique antivirus et antispyware, cliquez sur Fichier système Auto-Protect. 2 Dans l'onglet Détails de l'analyse, sous Analyse, cliquez sur Analyse et suivi avancés. 3 SousAnalyse des fichiers, spécifiez quelles activités déclenchent des analyses. 4 Sous Paramètres de détection de Bloodhound (TM), cochez ou supprimez la coche pour Activer la détection de virus de Bloodhound (TM). Vous pouvez également modifier le niveau de protection. 5 Cliquez sur OK. 6 Si vous avez terminé avec la configuration pour cette politique, cliquez sur OK. A propos de Risk Tracer Risk Tracer identifie la source des infections de virus issues de partages réseau sur les ordinateurs utilisant des systèmes d'exploitationWindows XP/2000/2003. Lorsque Auto-Protect détecte une infection, il envoie les informations à RtvScan, service principal de Symantec Endpoint Protection. RtvScan détermine si l'infection a une origine locale ou distante. Si l'infection est issue d'un ordinateur distant, Rtvscan peut faire les actions suivantes : ¦ Chercher et noter le nom NetBIOS de l'ordinateur et son adresse IP. Configuration d'Auto-Protect Configuration d'Auto-Protect pour le système de fichiers 458¦ Chercher et noter qui était connecté à l'ordinateur lors de l'envoi. ¦ Afficher les informations dans la boîte de dialogue Propriétés d'un risque. Par défaut, RtvScan interroge les sessions réseau toutes les secondes, puis met ces informations en mémoire cache sous la forme d'une liste source secondaire d'ordinateurs distants. Ces informations maximisent la fréquence avec laquelle Risk Tracer peut avec succès identifier l'ordinateur distant infecté. Par exemple, un risque peut fermer le partage réseau avant que RtvScan ne puisse enregistrer la session réseau. Risk Tracer utilise alors la liste source secondaire pour tenter d'identifier l'ordinateur distant. Vous pouvez configurer ces informations dans la boîte de dialogue Auto-Protect - Options avancées. Les informations de Risk Tracer apparaissent dans la boîte de dialogue Propriétés d'un risque et sont uniquement disponibles pour les entrées de risque provoquées par des fichiers infectés. Quand Risk Tracer détermine que l'activité d'hôte local a entraîné une infection, il liste la source comme hôte local. Risk Tracer liste une source comme inconnue quand les conditions suivantes sont vraies : ¦ Il ne peut pas identifier l'ordinateur distant. ¦ L'utilisateur authentifié pour un partage de fichiers se réfère à plusieurs ordinateurs. Cette condition peut se produire si l'ID d'un utilisateur est associé à plusieurs sessions réseau. Par exemple, plusieurs ordinateurs peuvent être connectés à un serveur de partage de fichiers avec le même ID utilisateur de serveur. Vous pouvez enregistrer la liste complète des ordinateurs distants multiples qui infectent actuellementl'ordinateur local.PourHKEY_LOCAL_MACHINE\Software\ Symantec\Symantec Endpoint Protection\AV\ProductControl\Debug, définissez la valeur de chaîne "THREATTRACER X" sur l'ordinateur client local. La valeur de THREATTRACER active la sortie de débogage et le X vérifie que seule la sortie de débogage pour Risk Tracer apparaît. Vous pouvez également ajouter L pour diriger la consignation vers le fichier journal \vpdebug.log.Pour garantir que la fenêtre de débogage n'est pas affichée sur l'ordinateur, ajoutez XW. Vous pouvez tester cette fonctionnalité en utilisant le fichier de virus test Eicar.com (inoffensif), disponible à l'adresse www.eicar.org Risk Tracer inclut également une option pour bloquer les adresses IP des ordinateurs source. Pour que cette option entre en vigueur, vous devez définir l'option correspondante dans la politique de pare-feu pour activer ce type de blocage automatique. Configuration d'Auto-Protect 459 Configuration d'Auto-Protect pour le système de fichiersConfigurer Auto-Protect pour messagerie Internet Auto-Protect pour messagerie Internet protège les messages entrants et les messages sortants qui utilisent le protocole de communication de POP3 ou de SMTP au-dessus de Secure Sockets Layer (SSL). Quand Auto-Protect pour messagerie Internet est activé, le logiciel client analyse le texte de corps du courrier électronique et toutes les pièces jointes qui sont inclus. Vous pouvez permettre à Auto-Protect de prendre en charge prendre en charge du courrier électronique chiffré au-dessus des connexions de POP3 et de SMTP. Auto-Protect détecte les connexions bloquées et n'analyse pas les messages encryptés. Même si Auto-Protect pour messagerie Internet n'analyse pas les messages encryptés, il continue à protéger des ordinateurs des virus et des risques de sécurité dans les pièces jointes. Auto-Protect pour le système de fichiers analyse les pièces jointes lorsque vous enregistrez les pièces jointes sur le disque dur. Remarque : Auto-Protect pour messagerie Internet n'est pas pris en charge pour les ordinateurs 64 bits. Auto-Protect pour messagerie Internet ne prend pas non plus en charge l'analyse de messagerie POP3 sur les systèmes d'exploitation serveur. Le client SymantecEndpointProtectionfournit également une analyseheuristiques de courrier sortant. L'analyser heuristique utilise la détection de virus Bloodhound pour identifier les risques qui peuvent être contenus dans les messages sortants. Quand le client analyse les messages sortants, l'analyse aide à empêcher la propagation des risques. Ces risques incluent les vers qui peuvent utiliser des clients de messagerie pour se répliquer et se distribuer à travers un réseau. L'analyse demessagerie ne prend pas en charge les clients demessagerie suivants : ¦ Clients IMAP ¦ Clients AOL ¦ Messagerie HTTP comme Hotmail et Yahoo! Mail Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilisées dans les procédures. Configuration d'Auto-Protect Configurer Auto-Protect pour messagerie Internet 460Pour configurer Auto-Protect pour messagerie Internet 1 Sur la page Politique antivirus et antispyware, cliquez sur le Auto-Protect pour messagerie Internet. 2 Dans l'onglet Détails de l'analyse, cochez ou supprimez la coche Activer Auto-Protect pour messagerie Internet. 3 Sous Analyse, sous Types de fichier, cliquez sur l'une des options suivantes : ¦ Analyser tous les fichiers ¦ Analyser les extensions sélectionnées uniquement Se reporter à "Configurer des analyses des extensions de fichier choisies" à la page 439. 4 Cochez ou supprimez la coche Analyser les fichiers dans les fichiers compressés. 5 Cliquez sur OK. 6 Dans l'onglet Actions, définissez les options. Se reporter à "Configurer des actions pour les virus connus et les détections de risques de sécurité" à la page 441. 7 Cliquez sur OK. 8 Dans l'onglet Notifications, sous Notifications par message électronique, activez ou désactivez les options suivantes : ¦ Insérer un avertissement dans le message électronique ¦ Envoyer un message électronique à l'expéditeur ¦ Envoyer le message électronique à d'autres destinataires Se reporter à "Configurer des options de notification pour Auto-Protect" à la page 464. 9 Cliquez sur OK. 10 Dans l'onglet Avancé, sous Connexions chiffrées, activez ou désactivez les connexions chiffrées de POP3 ou de SMTP. 11 Sous Heuristique de ver d'envoi de courrier de masse, cochez ou supprimez la coche Heuristiques de ver sortant. 12 Si vous avec terminé la configuration de cette politique, cliquez sur OK. Configuration d'Auto-Protect 461 Configurer Auto-Protect pour messagerie InternetConfigurer Auto-Protect pour messagerie Microsoft Outlook Par défaut, Auto-Protect analyse les pièces jointes de Microsoft Outlook. Vous pouvez personnaliser les paramètres d'analyse. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilisées dans les procédures. Pour configurer Auto-Protect pour Microsoft Outlook 1 Sur la page de politique antivirus et antispyware, cliquez sur Auto-Protect pourMicrosoft Outlook. 2 Dans l'onglet Détails de l'analyse, cochez ou supprimez la coche Activer Auto-Protect pourMicrosoft Outlook. 3 Sous Analyse, sous Types de fichier, cliquez sur l'une des options suivantes : ¦ Analyser tous les fichiers ¦ Analyser les extensions sélectionnées uniquement Se reporter à "Configurer des analyses des extensions de fichier choisies" à la page 439. 4 Cochez ou supprimez la coche Analyser les fichiers dans les fichiers compressés. 5 Dans l'onglet Actions, définissez les options. Se reporter à "Configurer des actions pour les virus connus et les détections de risques de sécurité" à la page 441. 6 Sous l'onglet Notifications, activez ou désactivez les options suivantes : ¦ Insérer un avertissement dans le message électronique ¦ Envoyer un message électronique à l'expéditeur ¦ Envoyer le message électronique à d'autres destinataires Se reporter à "Configurer des options de notification pour Auto-Protect" à la page 464. 7 Si vous avec terminé la configuration de cette politique, cliquez sur OK. Configuration d'Auto-Protect Configurer Auto-Protect pour messagerie Microsoft Outlook 462Configuration d'Auto-Protect pour messagerie Lotus Notes Par défaut, Auto-Protect analyse les pièces jointes de Lotus Notes. Vous pouvez personnaliser les paramètres d'analyse. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilisées dans les procédures. Pour configurer Auto-Protect pour Lotus Notes 1 A la page de politique antivirus et antispyware, cliquez sur Auto-Protect pour Lotus Notes. 2 Dans l'onglet Détails de l'analyse, cochez ou supprimez la coche pour Activer Auto-Protect pour Lotus Notes. 3 Sous Analyse, sous Types de fichier, cliquez sur l'une des options suivantes : ¦ Analyser tous les fichiers ¦ Analyser les extensions sélectionnées uniquement Se reporter à "Configurer des analyses des extensions de fichier choisies" à la page 439. 4 Cochez ou supprimez la coche pour Analyser les fichiers dans les fichiers compressés. 5 Dans l'onglet Actions, définissez les options. Se reporter à "Configurer des actions pour les virus connus et les détections de risques de sécurité" à la page 441. 6 Sous l'onglet Notifications, activez ou désactivez les options suivantes : ¦ Insérer un avertissement dans le message électronique ¦ Envoyer un message électronique à l'expéditeur ¦ Envoyer le message électronique à d'autres destinataires Se reporter à "Configurer des options de notification pour Auto-Protect" à la page 464. 7 Si vous avez fini de configurer les paramètres de politique, cliquez sur OK. Configuration d'Auto-Protect 463 Configuration d'Auto-Protect pour messagerie Lotus NotesConfigurer des options de notification pour Auto-Protect Par défaut, les résultats des analyses d'Auto-Protect pour le système de fichiers apparaissent sur les ordinateurs infectés. Vous pouvez configurer la politique antivirus et antispyware de sorte que les résultats n'apparaissent pas sur des ordinateurs client. Vous pouvez personnaliser le message de notification qui apparaît sur les ordinateurs client quand Auto-Protect fait une détection. Se reporter à "Personnaliser et afficher des notifications sur les ordinateurs infectés" à la page 443. Pour les logiciels demessagerie pris en charge, vous pouvez également configurer Auto-Protect pour l'exécution des actions suivantes : ¦ Ajouter un avertissement aux messages au sujet des ordinateurs infectés. ¦ Avertir les expéditeurs de messages infectés ¦ Informez d'autres utilisateurs sur les messages infectés. Vous pouvez personnaliser les messages que vous envoyez pour informer les utilisateurs. Remarque : Soyez prudent quand vous configurez des options pour informer les expéditeurs et les autres utilsiateurs sur les messages infectés. L'adresse du message infecté pourrait être usurpée. Si vous envoyez des notifications, vous pourriez générer du spamet entraîner une augmentation de trafic sur votre réseau. Les champs variables que vous personnalisez pour des messages de notifications et des messages normaux sont légèrement différents. Vous pouvez personnaliser les informations dans le corps du message et les informations dans le champ d'infection. Tableau 30-1 décrit les champs de corps de message. Tableau 30-1 Champs de corps de message Champ Description Nom de l'utilisateur connecté lorsque le virus ou le risque de sécurité a été détecté. Utilisateur Date à laquelle le virus ou le risque de sécurité a été détecté. DateTrouvé Configuration d'Auto-Protect Configurer des options de notification pour Auto-Protect 464Champ Description Adresse électronique qui a envoyé le courrier électronique avec la pièce jointe infectée. ExpéditeurEmail Liste des adresses auxquelles le courrier électronique avec la pièce jointe infectée a été envoyé. ListeDestinatairesEmail Tableau 30-2 décrit les champs d'information sur l'infection. Tableau 30-2 Champs d'informations sur l'infection Champ Description NomRisqueSécurité Nom du virus ou du risque de sécurité détecté. Action effectuée en réponse à la détection du virus ou du risque de sécurité. Il peut s'agir de la première action configurée ou de la seconde. ActionEffectuée Etat du fichier : Infecté, Non infecté ou Supprimé. Cette variable de message n'est pas utilisée par défaut. Pour afficher ces informations, ajoutez manuellement cette variable au message. Etat Nomfichier Nomdu fichier infecté par le virus ou le risque de sécurité. Chemin d'accès complet et nom du fichier infecté par le virus ou le risque de sécurité. CheminNomfichier Nom de l'ordinateur sur lequel le virus ou le risque de sécurité a été détecté. Ordinateur Nom de l'utilisateur qui était connecté lorsque le virus ou le risque de sécurité a été détecté. Utilisateur Date à laquelle le virus ou le risque de sécurité a été détecté. DateTrouvé Nom de la pièce jointe contenant le virus ou le risque de sécurité. NomPiècejointeOrigine Domaine de l'application affecté. Par exemple, le nom de stockage pourrait être Auto-Protect pour le système de fichiers ou Auto-Protect pour Lotus Notes. NomStockage Configuration d'Auto-Protect 465 Configurer des options de notification pour Auto-ProtectAfficher des résultats d'Auto-Protect sur les ordinateurs infectés Si vous voulez que les utilisateurs affichentles résultats des analysesAuto-Protect des fichiers et des processus, vous pouvez afficher les résultats sur les ordinateurs infectés. Vous pouvez également désactiver l'affichage si vous ne voulez pas que les résultats apparaissent sur des ordinateurs client. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilisées dans les procédures. Pour afficher les résultats d'Auto-Protect sur les ordinateurs infectés 1 Sur la page Politique antivirus et antispyware, cliquez sur Activer Auto-Protect pour le système de fichiers. 2 Dans l'onglet Notifications, cochez ou supprimez la coche Afficher la boîte de dialogue des résultats d'Auto-Protect sur l'ordinateur infecté. 3 Si vous avez fini de configurer les paramètres de politique, cliquez sur OK. Ajouter des avertissements dans les messages électroniques infectés. Pour les logiciels de messagerie pris en charge, vous pouvez configurer Auto-Protect de manière à automatiquement insérer un avertissement dans le corps des messages électroniques infectés. Un message d'avertissement est important si le client Symantec Endpoint Protection ne peut pas nettoyer le virus du message. L'avertissement est également important si une pièce jointe infectée est déplacée, conservée, supprimée ou renommée. Le message d'avertissement vous indique le nom du virus détecté et décrit l'action effectuée. Vous pouvez ajouter le texte suivant au début du message électronique associé à la pièce jointe infectée : Symantec Endpoint Protection a trouvé un risque de sécurité dans une pièce jointe provenant de [ExpéditeurEmail]. Pour chaque fichier infecté, les informations suivantes sont également ajoutées au message électronique : ¦ Nom de la pièce jointe de fichier ¦ Nom du risque ¦ Mesure prise ¦ Etat d'infection du fichier Vous pouvez personnaliser l'objet et le corps du message. Lemessage électronique contient un champ appelé ExpéditeurEmail.Vous pouvez personnaliser le message par défaut. Configuration d'Auto-Protect Configurer des options de notification pour Auto-Protect 466Pour le destinataire, le message apparaît sous la forme suivante : Symantec Endpoint Protection a trouvé un risque de sécurité dans une pièce jointe provenant de Bernard.Dupond@masociété.com. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilisées dans les procédures. Pour ajouter des avertissements dans les messages électroniques infectés. 1 Sur la page Politique antivirus et antispyware, faites une des actions suivantes : ¦ Cliquez sur le Auto-Protect pour messagerie Internet. ¦ Cliquez sur Auto-Protect pourMicrosoft Outlook. ¦ Cliquez sur Auto-Protect pour Lotus Notes. 2 Dans l'onglet Notifications, sous Notifications par message électronique, cochez Insérer un avertissement dans le message électronique. 3 Cliquez sur Avertissement et effectuez l'une des actions suivantes : ¦ Cliquez sur OK pour accepter le message par défaut. ¦ Personnalisez le message d'avertissement. 4 Si vous avec terminé la configuration de cette politique, cliquez sur OK. Envoi d'un avertissement aux expéditeurs d'un message infecté Pour un logiciel demessagerie pris en charge, vous pouvez configurerAuto-Protect afin de répondre automatiquement à l'expéditeur d'un message électronique contenant une pièce jointe infectée. Remarque : Soyez prudent quand vous configurez des options pour informer les expéditeurs de messages infectés. L'adresse du message infecté pourrait être usurpée. Si vous envoyez des notifications, vous pourriez générer du spam et entraîner une augmentation de trafic sur votre réseau. Vous pouvez également configurer Auto-Protect pour envoyer un message de réponse par défaut avec l'objet suivant : Risque de sécurité trouvé dans le message "[ObjetEmail]" Le corps du message informe l'expéditeur de la pièce jointe infectée : Symantec Endpoint Protection a trouvé un risque de sécurité dans une pièce jointe que vous ([ExpéditeurEmail]) avez envoyée à [ListeDestinatairesEmail]. Configuration d'Auto-Protect 467 Configurer des options de notification pour Auto-ProtectPour chaque fichier infecté, les informations suivantes sont également ajoutées au message électronique : ¦ Nom de la pièce jointe de fichier ¦ Nom du risque ¦ Mesure prise ¦ Etat d'infection du fichier Vous pouvez également personnaliser ce message. Pour informer des expéditeurs de messages infectés 1 Sur la page Politique antivirus et antispyware, faites une des actions suivantes : ¦ Cliquez sur le Auto-Protect pour messagerie Internet. ¦ Cliquez sur Auto-Protect pourMicrosoft Outlook. ¦ Cliquez sur Auto-Protect pour Lotus Notes. 2 Dans l'onglet Notifications, sous Notifications par message électronique, cochez Envoyer un message électronique à l'expéditeur. 3 Cliquez sur Expéditeur. 4 Dans la boîte de dialogue Envoyer le message électronique à l'expéditeur, dans l'onglet Message, sous Texte du message, faites une des actions suivantes : ¦ Cliquez sur OK pour accepter le message par défaut. ¦ Tapez un objet, un corps du message et des informations d'infection qui apparaîtront dans chaque message, puis cliquez sur OK. Vous pouvez cliquer sur Aide pour des informations sur les variables utilisables dans le message. 5 PourAuto-Protect pourmessagerie Internet seulement, dans l'onglet Serveur de messagerie, tapez les informations suivantes : ¦ Nom et port de serveur de messagerie ¦ Nom d'utilisateur et mot de passe ¦ Chemin d'accès inversé pour le courrier électronique 6 Si vous avec terminé la configuration de cette politique, cliquez sur OK. Configuration d'Auto-Protect Configurer des options de notification pour Auto-Protect 468Notifier d'autres utilisateurs de messages infectés Pour un logiciel demessagerie pris en charge, vous pouvez configurerAuto-Protect pour prévenir les destinataires chaque fois qu'unmessage électronique contenant une pièce jointe infectée est ouvert. Remarque : Soyez prudent quand vous configurez des options pour informer d'autres utilisateurs au sujet des messages infectés. L'adresse du message infecté pourrait être usurpée. Si vous envoyez des notifications, vous pourriez générer du spam et entraîner une augmentation de trafic sur votre réseau. Vous pouvez envoyer un message à d'autres utilisateurs avec l'objet suivant : Risque de sécurité trouvé dans le message "[ObjetEmail]" Le corps du message inclut des informations sur l'expéditeur de la pièce jointe infectée : Symantec Endpoint Protection a trouvé un risque de sécurité dans une pièce jointe de [ExpéditeurEmail]. Pour chaque fichier infecté, les informations suivantes sont également ajoutées au message électronique : ¦ Nom de la pièce jointe de fichier ¦ Nom du risque ¦ Mesure prise ¦ Etat d'infection du fichier Vous pouvez également personnaliser ce message. Pour informer d'autres utilisateurs de messages infectés 1 Sur la page Politique antivirus et antispyware, faites une des actions suivantes : ¦ Cliquez sur le Auto-Protect pour messagerie Internet. ¦ Cliquez sur Auto-Protect pourMicrosoft Outlook. ¦ Cliquez sur Auto-Protect pour Lotus Notes. 2 Dans l'onglet Notifications, sous Notifications par message électronique, cochez Envoyer le message électronique à d'autres destinataires. 3 Cliquez sur Autres. Configuration d'Auto-Protect 469 Configurer des options de notification pour Auto-Protect4 Dans la boîte de dialogue Envoyer le message électronique à d'autres destinataires, dans l'onglet Autres, fournissez une ou plusieurs adresses électroniques auxquelles des notifications doivent être envoyées. 5 Cliquez sur l'onglet Message et saisissez l'objet, le corps du message et les informations sur l'infection qui doivent apparaître dans chaque message. Vous pouvez cliquer sur Aide pour des informations sur les variables utilisables dans le message. 6 PourAuto-Protect pourmessagerie Internet seulement, dans l'onglet Serveur de messagerie, tapez les informations suivantes : ¦ Nom et port de serveur de messagerie ¦ Nom d'utilisateur et mot de passe ¦ Chemin d'accès inversé pour le courrier électronique 7 Cliquez sur OK. 8 Si vous avec terminé la configuration de cette politique, cliquez sur OK. Configurer des notifications de progression pour des analyses Auto-Protect pour messagerie Internet Vous pouvez activer ou désactiver des options d'indicateur de progression pour des analyses Auto-Protect pour messagerie Internet. Vous pouvez configurer les options suivantes : ¦ Affichage d'une fenêtre de progression sur l'ordinateur client quand unmessage est envoyé. ¦ Affichage d'une icône dans la zone de notification pour indiquer l'état de transmission du message. Les deux options sont activées par défaut. Pour configurer des notifications de progression 1 Sur la page Politique antivirus et antispyware, cliquez sur Auto-Protectpour messagerie Internet. 2 Dans l'onglet Notifications, sous Notifications de progression,faites les actions suivantes : ¦ Cochez ou supprimez la coche Afficher un indicateur de progression à l'envoi d'un message électronique. ¦ Cochez ou supprimez la coche Afficheruneicônedezonedenotification. 3 Si vous avec terminé la configuration de cette politique, cliquez sur OK. Configuration d'Auto-Protect Configurer des options de notification pour Auto-Protect 470Utilisation d'analyses définies par l'administrateur Ce chapitre traite des sujets suivants : ¦ A propos de l'utilisation d'analyses définies par l'administrateur ¦ Ajouter des analyses planifiées à une politique antivirus et antispyware ¦ Configurer des options d'analyse à la demande ¦ Exécuter des analyses à la demande ¦ Configurer des options de progression d'analyse pour des analyses définies par l'administrateur ¦ Définir des options avancées pour des analyses définies par l'administrateur A propos de l'utilisation d'analyses définies par l'administrateur Les analyses définies par l'administrateur incluentles analyses planifiées antivirus et antispyware et les analyses à la demande. Vous configurez des options pour ces types d'analyses dans le cadre d'une politique antivirus et antispyware. Vous utilisez des analyses planifiées et des analyses à la demande pour compléter la protection qu'Auto-Protect apporte. Auto-Protect assure la protection quand vous lisez et écrivez des fichiers. Les analyses planifiées et les analyses à la demande peuvent analyser les fichiers figurant sur vos ordinateurs client. Elles Chapitre 31peuvent également protéger la mémoire, les points de chargement et autres emplacements importants sur vos ordinateurs client. Remarque : Pour les clients gérés, Symantec Endpoint Protection fournit une analyse planifiée par défaut qui examine l'ensemble des fichiers, dossiers et emplacements sur les ordinateurs clients. Certaines options des analyses définies par l'administrateur sont semblables aux options des analyses Auto-Protect. Ces options incluent les actions de détection et les notifications que vous spécifiez. Se reporter à "Configuration des options qui s'appliquent aux analyses antivirus et de protection contre les logiciels espions" à la page 438. Ajouter des analyses planifiées à une politique antivirus et antispyware Vous configurez des analyses planifiées en tant qu'élément d'une politique antivirus et antispyware. Vous pouvez enregistrer vos paramètres d'analyse planifiée commemodèle.Vous pouvez utiliser n'importe quelle analyse que vous enregistrez comme modèle en tant que base pour une politique antivirus et antispyware différente. Les modèles d'analyse permettent de faciliter la configuration de plusieurs politiques antivirus et antispyware. Un modèle d'analyse planifiée est inclus par défaut dans la politique. L'analyse planifiée par défaut analyse tous les fichiers et répertoires. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilisées dans cette procédure. Pour ajouter une analyse planifiée à une politique antivirus et antispyware 1 Dans la page de la politique antivirus et de protection contre les logiciels espions, cliquez sur Analyses définies par l'administrateur. 2 Dans l'onglet Analyses, sous Analyses planifiées, cliquez sur Ajouter. 3 Dans la boîte de dialogueAjouter une analyse planifiée, cliquez sur Créerune analyse planifiée. 4 Cliquez sur OK. 5 Dans la boîte de dialogue Ajouter une analyse planifiée, dans l'onglet Détails de l'analyse, tapez un nom et une description pour cette analyse planifiée. 6 Sélectionnez le type d'analyse (Active, Complète ou Personnalisée). Utilisation d'analyses définies par l'administrateur Ajouter des analyses planifiées à une politique antivirus et antispyware 4727 Si vous avez sélectionné Personnalisée, sous Analyse, vous pouvez spécifier les répertoires à analyser. 8 Sous Types de fichier, cliquez sur Analyser tous les fichiers ou Analyser les extensions sélectionnées uniquement. Se reporter à "Configurer des analyses des extensions de fichier choisies" à la page 439. 9 Sous Améliorer l'analyse en vérifiant, cochez ou désactivez la caseMémoire, Emplacementsd'infectionscourants ouEmplacementsderisquesdesécurité et de virus connus. 10 Cliquez sur Options d'analyse avancées. 11 Définissez les options pour les fichiers compressés, la migration de stockage ou l'optimisation des performances. 12 Cliquez sur OK pour enregistrer les options d'analyse avancées de cette analyse. 13 Dans l'onglet Planification, sous Planification d'analyse, définissez la fréquence et l'heure auxquelles l'analyse doit s'exécuter. 14 Dans l'onglet Actions, définissez les options. Se reporter à "Configurer des actions pour les virus connus et les détections de risques de sécurité" à la page 441. 15 Dans l'onglet Notifications, définissez les options. Se reporter à "A propos des messages de notification sur les ordinateurs infectés" à la page 443. 16 Pour enregistrer l'analyse sous la forme d'unmodèle, cochez Enregistrerune copie sous la forme d'un modèle d'analyse planifiée. 17 Cliquez sur OK. Pour ajouter une analyse planifiée d'un modèle 1 Dans la page de la politique antivirus et de protection contre les logiciels espions, cliquez sur Analyses définies par l'administrateur. 2 Dans l'onglet Analyses, sous Analyses planifiées, cliquez sur Ajouter. 3 Dans la boîte de dialogueAjouter une analyse planifiée, cliquez sur Créerune analyse planifiée à partir d'un modèle. 4 Sélectionnez lemodèle d'analyse que vous voulez utiliser pour cette politique. 5 Cliquez sur OK. Utilisation d'analyses définies par l'administrateur 473 Ajouter des analyses planifiées à une politique antivirus et antispywareDéfinir des options pour les analyses planifiées manquées Si un ordinateur manque une analyse planifiée pour une raison quelconque, le client Symantec Endpoint Protection tentera d'effectuer l'analyse pendant un délai spécifique. Si le client ne peut lancer l'analyse dans le délai, il n'exécutera pas cette analyse. Si l'utilisateur qui a défini une analyse n'est pas connecté, le logiciel client exécute l'analyse de toute façon. Vous pouvez spécifier que le client ne doit pas exécuter l'analyse si l'utilisateur n'est pas connecté. Tableau 31-1 décrit les intervalles de temps par défaut. Tableau 31-1 Délais par défaut Fréquence de l'analyse Intervalle par défaut : Analyses quotidiennes 8 heures Analyses hebdomadaires 3 jours Analyses mensuelles 11 jours Si vous ne souhaitez pas utiliser les paramètres par défaut, vous pouvez spécifier un délai différent pendant lequel tenter de nouveau d'exécuter une analyse planifiée. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilisées dans cette procédure. Vous pouvez définir des options pour des analyses planifiées manquées quand vous créez une analyse planifiée ou quand vous modifiez une analyse planifiée existante. Pour définir les options pour les analyses planifiées manquées 1 Dans la page de la politique antivirus et de protection contre les logiciels espions, cliquez sur Analyses définies par l'administrateur. 2 Dans l'onglet Analyses, sous Analyses planifiées, effectuez une des actions suivantes : ¦ Cliquez sur Ajouter et, dans la boîte de dialogue Ajouter une analyse planifiée, vérifiez que la case Créer une analyse planifiée est cochée. Cliquez sur OK. ¦ Sélectionnez une analyse dans la liste, puis cliquez sur Edition. Utilisation d'analyses définies par l'administrateur Ajouter des analyses planifiées à une politique antivirus et antispyware 4743 Dans l'onglet Planification sousAnalyses planifiéesmanquées, cochez Définir le délai d'attente avant de réessayer. Tapez le nombre ou utilisez les flèches pour spécifier l'intervalle de temps pour que le client relance l'analyse planifiée. 4 Cliquez sur OK. Modifier, supprimer ou désactiver des analyses planifiées Vous pouvez modifier, supprimer ou désactiver des analyses planifiées dans une politique antivirus et antispyware. Les modifications entrent en vigueur la prochaine fois que vous appliquez la politique. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilisées dans cette procédure. Pour modifier une analyse planifiée 1 Dans la page de la politique antivirus et de protection contre les logiciels espions, cliquez sur Analyses définies par l'administrateur. 2 Dans l'onglet Analyses, sélectionnez l'analyse que vous voulez modifier et cliquez sur Edition. 3 Dans la boîte de dialogue Modifier l'analyse planifiée, effectuez les modifications que vous voulez. 4 Cliquez sur OK. Pour supprimer une analyse planifiée 1 Dans la page de la politique antivirus et de protection contre les logiciels espions, cliquez sur Analyses définies par l'administrateur. 2 Dans l'onglet Analyses, sélectionnez l'analyse que vous voulez supprimer. 3 Cliquez sur Supprimer. 4 Dans le message qui apparaît, cliquez sur Oui. Pour désactiver une analyse planifiée 1 Dans la page de la politique antivirus et de protection contre les logiciels espions, cliquez sur Analyses définies par l'administrateur. 2 Dans l'onglet Analyses, sélectionnez l'analyse que vous voulez désactiver dans cette politique. 3 Cliquez sur Modifier. Utilisation d'analyses définies par l'administrateur 475 Ajouter des analyses planifiées à une politique antivirus et antispyware4 Dans la boîte de dialogue Modifier l'analyse planifiée, dans l'onglet Planification, désactivez l'option Activer l'analyse. 5 Cliquez sur OK. Configurer des options d'analyse à la demande Vous pouvez configurer des options pour les analyses personnalisées que vous voulez exécuter à la demande. Vous exécutez les analyses à la demande manuellement dans la page Clients. Vous pouvez également exécuter les analyses à la demande dans la page Contrôles de la console de gestion. Vous ne pouvez pas configurer un nom d'analyse ou une description pour les options d'analyse. Le client utilise les options toutes les fois que vous exécutez une analyse à la demande personnalisée de la console de gestion sur l'ordinateur client. Remarque :Vous pouvez exécuter une analyseActive Scan ou une analyse complète à la demande. Se reporter à "A propos des analyses définies par l'administrateur" à la page 424. Les paramètres pour des analyses à la demande sont semblables aux paramètres pour des analyses planifiées. Se reporter à "Ajouter des analyses planifiées à une politique antivirus et antispyware" à la page 472. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilisées dans cette procédure. Pour configurer des paramètres pour des analyses à la demande 1 Dans la page de la politique antivirus et de protection contre les logiciels espions, cliquez sur Analyses définies par l'administrateur. 2 Dans l'ongletAnalyses, sousAnalyse sur demande de l'administrateur, cliquez sur Edition. 3 Dans la boîte de dialogueModifier l'analyse sur demande de l'administrateur, dans l'onglet Détails de l'analyse, sous Analyse, cliquez sur Modifier les dossiers. Par défaut, l'analyse inclut tous les dossiers. 4 Dans la boîte de dialogue Modifier les dossiers, sélectionnez les dossiers désirés et cliquez sur OK. Utilisation d'analyses définies par l'administrateur Configurer des options d'analyse à la demande 4765 Dans la boîte de dialogueModifier l'analyse sur demande de l'administrateur, sous Types de fichier, cliquez sur Analyser tous les fichiers ou Analyser les extensions sélectionnées uniquement. Se reporter à "A propos de l'analyse des extensions ou des dossiers sélectionnés" à la page 426. 6 Sous Enhance the scan by checking, cochez ou désactivez les casesMémoire, Emplacements d'infections courants ou Emplacements de risques de sécurité et de virus connus. 7 Cliquez sur Options d'analyse avancées. 8 Définissez les options pour les fichiers compressés, la migration de stockage ou l'optimisation des performances. 9 Cliquez sur OK pour enregistrer les options avancées de cette analyse. 10 Dans l'onglet Actions, définissez les options. Se reporter à "Configurer des actions pour les virus connus et les détections de risques de sécurité" à la page 441. 11 Dans l'onglet Notifications, définissez les options. Se reporter à "A propos des messages de notification sur les ordinateurs infectés" à la page 443. 12 Cliquez sur OK. Exécuter des analyses à la demande Vous pouvez exécuter une analyse à distance via la console de gestion.Vous pouvez exécuter l'analyse via l'onglet Clients de la console. Vous pouvez également exécuter l'analyse via les journaux d'état d'ordinateur que vous générez dans l'onglet Contrôles. Se reporter à "Exécuter des commandes et des actions à partir des journaux" à la page 221. Vous pouvez exécuter une analyse à la demande rapide, complète ou personnalisée. L'analyse personnalisée utilise les paramètres configurés pour des analyses à la demande dans la politique antivirus et antispyware. Par défaut, l'analyse analyse les types d'éléments suivants : ¦ Tous les répertoires ¦ Tous les types de fichier ¦ Mémoire Utilisation d'analyses définies par l'administrateur 477 Exécuter des analyses à la demande¦ Emplacements d'infections courants ¦ Emplacements de risques de sécurité et de virus connus Se reporter à "Configurer des options d'analyse à la demande" à la page 476. Vous pouvez cliquer sur Aide pour obtenir plus d'informations sur les options utilisées dans les procédures. Remarque : Si vous émettez une commande de redémarrage sur un ordinateur client qui exécute une analyse à la demande, l'analyse arrête etl'ordinateur client redémarre. L'analyse ne redémarre pas. Pour exécuter une analyse à la demande sur un groupe 1 Dans la console, cliquez sur Clients. 2 SousAfficher les clients, cliquez avec le bouton droit de la souris sur le groupe qui inclut les ordinateurs que vous voulez analyser. 3 Cliquez sur Exécuter la commande sur le groupe > Analyser. 4 Dans la boîte de dialogue Sélection d'un type d'analyse, sélectionnez Analyse rapide, Analyse complète ou Analyse personnalisée. 5 Cliquez sur OK. 6 Dans la fenêtre de message qui s'affiche, cliquez sur Oui. 7 Dans la fenêtre de confirmation qui s'affiche, cliquez sur Oui. Pour exécuter une analyse à la demande sur un ordinateur ou un utilisateur 1 Dans la console, cliquez sur Clients. 2 Dans le volet droit, sous Clients, sélectionnez les ordinateurs etles utilisateurs pour lesquels vous voulez exécuter une analyse. 3 Cliquez avec le bouton droit de la souris sur la sélection, puis cliquez sur Exécuter la commande sur les clients > Analyser. 4 Dans la fenêtre de message qui s'affiche, cliquez sur Oui. 5 Dans la boîte de dialogue Sélectionner le type d'analyse, sélectionnez Active Scan, Analyse complète ou Analyse personnalisée. 6 Cliquez sur OK. 7 Dans la fenêtre de confirmation qui s'affiche, cliquez sur Oui. Utilisation d'analyses définies par l'administrateur Exécuter des analyses à la demande 478Configurer des options de progression d'analyse pour des analyses définies par l'administrateur Vous pouvez configurer si la boîte de dialogueRésultats de l'analyse doit apparaître sur des ordinateurs client. Si vous permettez l'affichage de la boîte de dialogue sur des ordinateurs client, des utilisateurs peuventtoujours suspendre ou retarder une analyse définie par l'administrateur. Vous pouvez permettre à des utilisateurs d'arrêter une analyse entièrement. Des options permettent également de configurer comment des utilisateurs peuvent suspendre ou retarder des analyses. Les actions de l'utilisateur possibles sont définies comme suit : Quand un utilisateur suspend une analyse, la boîte de dialogue Résultats de l'analyse reste ouverte jusqu'à ce que l'analyse soit relancée ou abandonnée. Si l'ordinateur estmis hors tension, l'analyse suspendue est abandonnée. Analyse suspendue Quand un utilisateur met en sommeil une analyse planifiée, il peut choisir la durée de la mise en sommeil, une heure ou trois heures. Le nombre demises en sommeil est configurable. Quand une analyse est en sommeil, la boîte de dialogue Résultats de l'analyse est fermée. Elle réapparaît quand l'analyse reprend. Analyse en sommeil Quand un utilisateur arrête une analyse, l'analyse s'arrête en général immédiatement. Si un utilisateur arrête une analyse alors que le logiciel client analyse un fichier compressé, l'analyse ne s'arrête pas immédiatement. Dans ce cas, l'analyse s'arrête dès que l'analyse du fichier compressé estterminée. Une analyse arrêtée ne redémarre pas. Analyse arrêtée Une analyse suspendue redémarre automatiquement au bout d'un délai spécifié. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilisées dans cette procédure. Pour configurer des options de progression d'analyse pour des analyses définies par l'administrateur 1 Dans la page Politique antivirus et antispyware, cliquez sur Analysesdéfinies par l'administrateur. 2 Dans l'onglet Avancé, sous Options de progression d'analyse, cliquez sur Afficher la fenêtre de progression ou Afficher la progression de l'analyse si un risque est détecté. Utilisation d'analyses définies par l'administrateur 479 Configurer des options de progression d'analyse pour des analyses définies par l'administrateur3 Pour fermer automatiquementl'indicateur de progression d'analyse au terme de l'analyse, cochez la case Fermer lafenêtredeprogressionaprès l'analyse. 4 Cochez l'option Autoriser l'utilisateur à abandonner l'analyse. 5 Cliquez sur Options de pause. 6 Dans la boîte de dialogue Options de pause de l'analyse, effectuez l'une des actions suivantes : ¦ Pour limiter le temps pendant lequel un utilisateur peut suspendre une analyse, cochez la case Limiter la durée de la mise en pause de l'analyse et tapez un nombre de minutes. La valeur doit être comprise entre 3 et 180. ¦ Pour limiter le nombre de fois où un utilisateur peut retarder (ou mettre en sommeil) une analyse, dans la zone Nombre maximal d'opportunités de répétition, tapez un nombre entre 1 et 8. ¦ Par défaut, un utilisateur peut retarder une analyse d'une heure. Pour modifier cette limite à trois heures, cochez la case Autoriser les utilisateurs à répéter l'analyse pendant 3 heures. 7 Cliquez sur OK. Définir des options avancées pour des analyses définies par l'administrateur Vous pouvez définir des options avancées pour des analyses planifiées et des analyses à la demande. Vous pouvez cliquer sur Aide pour plus d'informations sur les options utilisées dans la procédure. Pour définir des options avancées pour des analyses définies par l'administrateur 1 Dans la page de la politique antivirus et de protection contre les logiciels espions, cliquez sur Analyses définies par l'administrateur. 2 Dans l'onglet Avancé, sous Analyses planifiées, activez ou désactivez les options suivantes : ¦ Différer les analyses planifiées si l'ordinateur fonctionne sur batterie ¦ Autoriser les analysesplanifiées à s'exécuterquandl'utilisateurquiles a créées n'est pas connecté. 3 SousAnalyses de démarrage et déclenchées, activez ou désactivez les options suivantes : Utilisation d'analyses définies par l'administrateur Définir des options avancées pour des analyses définies par l'administrateur 480¦ Exécuter les analyses au démarrage quand l'utilisateur se connecte ¦ Autoriser l'utilisateur à modifier les analyses au démarrage ¦ ExécuteruneanalyseActiveScanàlaréceptiondenouvellesdéfinitions de virus 4 Cliquez sur OK. Utilisation d'analyses définies par l'administrateur 481 Définir des options avancées pour des analyses définies par l'administrateurUtilisation d'analyses définies par l'administrateur Définir des options avancées pour des analyses définies par l'administrateur 482Configuration de la protection contre les menaces réseau ¦ Paramètres de base de protection contre les menaces réseau ¦ Configuration de la prévention d'intrusion ¦ Personnalisation de la protection contre les menaces réseau Section 5484Paramètres de base de protection contre les menaces réseau Ce chapitre traite des sujets suivants : ¦ A propos de la protection contre les menaces réseau et des attaques ¦ A propos du pare-feu ¦ A propos de l'utilisation des politiques de pare-feu ¦ A propos des règles de filtrage ¦ Ajouter des règles vierges ¦ Ajouter des règles avec l'assistant de règle de filtrage ¦ Ajouter des règles héritées d'un groupe parent ¦ Importation et exportation de règles ¦ Modifier et supprimer des règles ¦ Copier et coller des règles ¦ Modification de l'ordre des règles ¦ Activer et désactiver des règles ¦ Activation du filtrage de trafic intelligent ¦ Activation des paramètres de trafic et des paramètres furtifs ¦ Configuration de l'authentification point à point Chapitre 32A propos de la protection contre les menaces réseau et des attaques Les attaques réseau exploitent la manière dont les ordinateurs transfèrent les données. Le client peut protéger les ordinateurs en contrôlant les informations qui entrent et sortent sur l'ordinateur et en bloquant des tentatives d'attaque. Sur Internet, les informations circulent sous la forme de paquets. Chaque paquet comprend un en-tête contenant des informations sur l'ordinateur à l'origine de l'envoi, le destinataire, le mode de traitement des données du paquet et le port de réception du paquet. Les ports sont les canaux qui divisent le flux d'informations qui vient d'Internet en chemins d'accès séparés que les applications individuelles prennent en charge. Les programmes Internet exécutés sur un ordinateur sont à l'écoute d'un ou de plusieurs ports et acceptent les informations qui y sont envoyées. Les attaques réseau tirent profit des faiblesses de programmes Internet spécifiques. Les attaquants utilisent les outils qui envoient les paquets contenant le code de programmation malveillant à un port particulier. Si un programme vulnérable à cette attaque est à l'écoute de ce port, le code permet au pirate d'accéder à l'ordinateur, de le désactiver, voire de le contrôler. Le code de programmation servant à générer les attaques peut être inclus dans un seul paquet ou se répartir sur plusieurs paquets. Vous pouvez installer le client avec des paramètres par défaut pour la protection contre les menaces réseau. Dans la plupart des cas vous n'avez pas besoin de modifier les paramètres. Il est généralement sûr de laisser les paramètres inchangés. Cependant, si vous avez une connaissance détaillée des réseaux, vous pouvez apporter de nombreuses modifications au pare-feu client pour affiner votre protection. Comment Symantec Endpoint Protection protège les ordinateurs contre des attaques réseau Le client Symantec Endpoint Protection inclut les outils suivants qui protègent vos ordinateurs contre les tentatives d'intrusion : Contrôle toutes les communications Internet et crée un bouclier qui qui bloque ou limite les tentatives de visualisation des informations sur l'ordinateur. Pare-feu Paramètres de base de protection contre les menaces réseau A propos de la protection contre les menaces réseau et des attaques 486Analyse toutes les informations entrantes et sortantes des structures de données qui sont typiques d'une attaque. Se reporter à "A propos du système de prévention d'intrusion" à la page 513. Prévention d'intrusion A propos du pare-feu Le pare-feu Symantec Endpoint Protection est un logiciel quifournit une barrière entre l'ordinateur et Internet. Le pare-feu empêche les utilisateurs non autorisés d'accéder aux ordinateurs et aux réseaux qui se connectent à Internet. Il détecte les éventuelles attaques de pirates, protège les informations personnelles et élimine les sources indésirables de trafic réseau. Ordinateur client Le pare-feu surveille les tentatives d'accès provenant d'Internet Le pare-feu autorise ou bloque le trafic réseau spécifié par la politique de pare-feu Internet Toutes les informations qui entrent ou quittentle réseau privé doivent passer par le pare-feu qui examine les paquets d'informations. Le pare-feu bloque les paquets qui ne répondent pas aux critères de sécurité spécifiés. Lamanière dontle pare-feu examine les paquets d'informations consiste à utiliser une politique de pare-feu. Les politiques de pare-feu se composent d'une ou plusieurs règles quifonctionnent ensemble pour permettre ou bloquer l'accès des utilisateurs au réseau. Seul le trafic autorisé peut passer. La politique de pare-feu définit le trafic autorisé. Le pare-feu fonctionne à l'arrière-plan. Vous déterminez le niveau d'interaction entre les utilisateurs et le client en autorisant ou en bloquant leur possibilité de configurer les règles du pare-feu et les paramètres du pare-feu. Les utilisateurs Paramètres de base de protection contre les menaces réseau 487 A propos du pare-feupeuvent interagir avec le client seulement quand il les informe des nouvelles connexions réseau et des problèmes éventues, ou ils peuvent avoir l'accès complet à l'interface utilisateur. Se reporter à "A propos des règles de filtrage" à la page 489. A propos de l'utilisation des politiques de pare-feu Symantec Endpoint ProtectionManager inclut une politique de pare-feu par défaut avec des règles de pare-feu et des paramètres de pare-feu pour l'environnement de bureau. L'environnement de bureau est normalement sous la protection des pare-feu d'entreprise, des filtres de paquet de frontière ou des serveurs d'antivirus. Par conséquent, il est normalement plus sécurisé que la plupart des environnements familiaux, où il n'existe qu'une protection de frontière limitée. Quand vous installez la console pour la première fois, elle ajoute automatiquement une politique de pare-feu par défaut à chaque groupe. Chaque fois que vous ajoutez un nouvel emplacement, la console copie automatiquement une politique de pare-feu à l'emplacement par défaut. Si la protection par défaut n'est pas appropriée, vous pouvez personnaliser la politique de pare-feu pour chaque emplacement, comme pour un site domestique ou un site client. Si vous ne voulez pas de la politique de pare-feu par défaut, vous pouvez la modifier ou la remplacer par une autre politique partagée. Les politiques de pare-feu incluent les éléments suivants : Assurent la surveillance de toutes les communications Internet et créent un bouclier qui bloque ou limite les tentatives d'accès aux informations de votre ordinateur. Les règles de pare-feu peuvent rendre l'ordinateur invisible pour les autres ordinateurs d'Internet. Les règles de pare-feu protègentles utilisateurs distants des attaques de pirates et empêchent ces derniers d'accéder de f açon détournée au réseau d'entreprise par l'intermédiaire des ordinateurs de ces utilisateurs. Vous pouvez informer les utilisateurs quand une règle du pare-feu bloque une application sur leur ordinateur. Règles de pare-feu Autorise les types de trafic requis sur la plupart des réseaux tels que DHCP, DNS et WINS. Se reporter à "Activation du filtrage de trafic intelligent " à la page 507. Filtres intelligents de trafic Paramètres de base de protection contre les menaces réseau A propos de l'utilisation des politiques de pare-feu 488Détecte et bloque le trafic qui vient de certains pilotes, de protocoles et d'autres sources. Se reporter à "Activation des paramètres de trafic et des paramètres furtifs" à la page 508. Paramètres de trafic et de furtivité Empêche un ordinateur distant de se connecter à un ordinateur client tant que l'ordinateur client n'a pas authentifié cet ordinateur distant. Se reporter à "Configuration de l'authentification point à point" à la page 509. Paramètres d'authentification point à point Vous pouvez définir un emplacement pour le contrôle client ou le contrôle mixte de sorte que l'utilisateur puisse personnaliser la politique de pare-feu. Se reporter à "Configurer des paramètres de protection contre lesmenaces réseau pour la commande mélangée" à la page 529. Vous créez et modifiez des politiques de pare-feu de la même manière que vous créez et modifiez d'autres types de politiques. Vous pouvez attribuer, retirer, remplacer, copier, exporter, importer ou supprimer une politique de pare-feu. Vous attribuez généralement une politique à plusieurs groupes de votre réseau de sécurité. Vous pouvez créer une politique non partagée à un emplacement spécifique si un emplacement particulier requiert des conditions spécifiques. Il est conseillé de connaître les principes de base de la configuration de politique pour travailler avec les politiques. Se reporter à "A propos du travail avec les politiques" à la page 374. A propos des règles de filtrage Les règles de filtrage contrôlent la manière dont le client protège l'ordinateur client du trafic entrant et sortantmalveillant. Le pare-feu vérifie automatiquement tous les paquets entrants et sortants en fonction de ces règles. Le pare-feu autorise ou bloque alors les paquets en fonction des informations spécifiées dans les règles. Quand un ordinateur essaye de se connecter à un autre ordinateur, le pare-feu compare le type de connexion à sa liste de règles de filtrage. A propos des éléments d'une règle de filtrage Généralement une règle de pare-feu décrit les conditions dans lesquelles une connexion réseau peut être autorisée ou refusée.Vous utilisez les critères suivants pour définir une règle de pare-feu : Paramètres de base de protection contre les menaces réseau 489 A propos des règles de filtrageApplications, hôtes, protocoles et cartes réseau Lorsque le pare-feu évalue la règle, tous les déclencheurs doivent être vrais pour qu'une correspondance positive se produise. Si aucun déclencheur n'est vrai par rapport au paquet actuel, le pare-feu ne peut pas appliquer la règle. Vous pouvez combiner les définitions de déclencheeur pour former des règles plus complexes, comme d'identifier un protocole particulier par rapport à une adresse de destination spécifique. Déclencheurs Planification et état d'écran de veille Les paramètres conditionnels ne décrivent pas un aspect d'une connexion réseau. Au lieu de cela, les paramètres conditionnels déterminent l'état actif d'une règle. Vous pouvez définir une planification ou identifier un état d'écran de veille qui détermine quand une règle est considérée active ou inactive. Les paramètres conditionnels sont facultatifs et non significatifs s'ils ne sont pas définis. Le pare-feu n'évalue pas les règles inactives. Conditions Autoriser ou bloquer et consigner ou ne pas consigner Les paramètres d'action spécifient quellesmesures le pare-feu prend quand il trouve une correspondance avec une règle. Si la règle correspond et est sélectionnée en réponse à un paquet reçu, le pare-feu exécute toutes les actions. Le pare-feu autorise ou bloque le paquet et consigne ou ne consigne pas le paquet. Si le pare-feu permet le trafic, il laisse le trafic spécifié par la règle accéder à votre réseau. Si le pare-feu bloque le trafic, il bloque le trafic spécifié par la règle de sorte qu'il n'accède pas au réseau. Actions Une règle qui combine tous les critères pourrait permettre le trafic de l'adresse IP 192.58.74.0 sur le port distant 80 entre 9 heures et 17 heures chaque jour. A propos des déclencheurs d'application Quand l'application est le seul déclencheur défini dans une règle qui autorise le trafic, le pare-feu permet à l'application d'effectuer n'importe quelle opération réseau. L'application est la valeur significative, pas les opérations réseau que l'application effectue. Par exemple, supposez que vous autorisiez Internet Explorer et ne définissiez aucun autre déclencheur. Les utilisateurs peuvent accéder aux sites distants qui utilisent HTTP, HTTPS, FTP, Gopher et n'importe quel autre protocole que le navigateur Web prend en charge. Vous pouvez définir des déclencheurs supplémentaires pour décrire les protocoles réseau et les hôtes particuliers avec lesquels la communication est autorisée. Il peut être difficile de dépanner des règles basées sur les applications parce qu'une application peut utiliser des protocolesmultiples. Par exemple, si le pare-feu traite une règle qui autorise Internet Explorer avant une règle qui bloque FTP, Paramètres de base de protection contre les menaces réseau A propos des règles de filtrage 490l'utilisateur peut encore communiquer avec FTP. L'utilisateur peut entrer une URL basée sur FTP dans le navigateur, tel que ftp://ftp.symantec.com. Il n'est pas recommandé d'utiliser des règles d'application pour contrôler le trafic au niveau réseau. Par exemple, une règle qui bloque ou limite l'utilisation d'Internet Explorer n'aura aucun effet si l'utilisateur utilise un autre navigateur Web. Le trafic que l'autre navigateur Web génère sera comparé à toutes les autres règles excepté la règle d'Internet Explorer. Les règles basées sur les applications sont plus efficaces quand elles sont configurées pour bloquer les applications qui envoient et reçoivent le trafic. Remarque : Si Trend Micro PC-cillin IS 2007 et le client Symantec Endpoint Protection sont installés sur le même ordinateur, les règles de pare-feu pour un navigateur Web spécifique ne fonctionnent pas. Trend Micro PC-cillin fournit le trafic web à son propre logiciel de proxy. Dans Trend Micro PC-cillin, vous devez désactiver les contrôles d'accès du siteWeb etl'option de prévention desmenaces de données. A propos des déclencheurs d'hôte Quand vous définissez des déclencheurs d'hôte, vous spécifiez l'hôte des deux côtés de la connexion réseau décrite. Traditionnellement, le moyen d'exprimer la relation entre les hôtes est désigné comme étant la source ou la destination d'une connexion réseau. Vous pouvez définir la relation entre les hôtes de l'une ou l'autre des manières suivantes : L'hôte source et l'hôte de destination dépendent de la direction du trafic. Dans un cas, l'ordinateur client local peut être la source, tandis que dans un autre cas l'ordinateur distant peut être la source. La relation entre la source et la destination est plus généralement utilisée dans les pare-feu réseau. Source et destination L'hôte local esttoujours l'ordinateur clientlocal etl'hôte distant est toujours un ordinateur distant placé ailleurs sur le réseau. Cette expression du rapport d'hôte est indépendante de la direction du trafic. La relation local et distant est plus généralement utilisée dans les pare-feu basés sur l'hôte et constitue un moyen plus simple pour observer le trafic. Local et distant Paramètres de base de protection contre les menaces réseau 491 A propos des règles de filtrageFigure 32-1 illustre la relation entre la source et la destination par rapport à la direction du trafic. Figure 32-1 Hôtes source et de destination ` Client SEP Symantec.com HTTP ` Autre client ` Client SEP RDP Source Destination Destination Source Figure 32-2 illustre la relations entre l'hôte local et l'hôte distant par rapport à la direction du trafic. Figure 32-2 Hôtes locaux et distants ` Client SEP Symantec.com HTTP ` Autre client ` Client SEP RDP Local Distant Local Distant Vous pouvez définir plusieurs hôtes source et plusieurs hôtes de destination. Les hôtes que vous définissez de chaque côté de la connexion sont évalués en utilisant Paramètres de base de protection contre les menaces réseau A propos des règles de filtrage 492une instruction OR (OU). La relation entre les hôtes sélectionnés est évaluée en utilisant une instruction AND (ET). Par exemple, considérez une règle qui définit un hôte local unique et plusieurs hôtes distants. Lorsque le pare-feu examine les paquets, l'hôte local doit correspondre à l'adresse IP appropriée. Cependant, les côtés opposés de l'adresse peuvent être en correspondance avec n'importe quel hôte distant. Par exemple, vous pouvez définir une règle pour autoriser la communication HTTP entre l'hôte local et symantec.com, yahoo.com ou google.com. La règle unique revient à trois règles. Se reporter à "Ajout d'hôtes et de groupes d'hôtes à une règle" à la page 532. A propos des déclencheurs de service de réseau Un déclencheur de service réseau identifie un ou plusieurs protocoles réseau qui sont significatifs par rapport au trafic réseau décrit. Vous pouvez définir les types de protocoles suivants : TCP Ports ou plages de ports UDP Ports ou plages de ports ICMP Type et code Numéro de protocole (type d'IP) Exemples : Type 1 = ICMP, Type 6 = TCP, Type 17 = UDP IP Type de structure Ethernet Exemples : Type 0x0800 = IPv4, Type = 0x8BDD = IPv6, Type 0x8137 = IPX Ethernet Quand vous définissez des déclencheurs de service basés sur TCP ou basés sur UDP, vous identifiez les ports des deux côtés de la connexion réseau décrite. Traditionnellement, les ports sont désignés comme source ou comme destination d'une connexion réseau. Vous pouvez définir la relation du service réseau de l'une ou l'autre des manières suivantes : Le port source etle port de destination dépendent de la direction du trafic. Dans un cas l'ordinateur client local peut détenir le port source, tandis que dans un autre cas l'ordinateur distant peut détenir le port source. Source et destination Paramètres de base de protection contre les menaces réseau 493 A propos des règles de filtrageL'ordinateur d'hôte local possède toujours le port local et l'ordinateur distant possède toujours le port distant. Cette expression de la relation de ports est est indépendante de la direction du trafic. Local et distant Vous spécifiez la direction du trafic quand vous définissez le protocole. Vous pouvez définir plusieurs protocoles. Par exemple, une règle peut inclure les protocoles ICMP, IP et TCP. La règle décrit plusieurs types de connexion qui peuvent intervenir entre les ordinateurs client identifiés ou utilisés par une application. A propos des déclencheurs de carte réseau Lorsque vous définissez un déclencheur de carte réseau, la règle est appropriée seulement au trafic qui est transmis ou reçu en utilisant le type spécifié de carte. Vous pouvez spécifier un des types de cartes suivants : ¦ Ethernet ¦ Sans fil ¦ A distance ¦ Tout VPN ¦ Cartes virtuelles spécifiques Quand vous définissez un type particulier de carte, vous devez considérer son utilisation. Par exemple, si une règle permet le trafic HTTP sortant des cartes Ethernet, HTTP est autorisé par toutes les cartes installées dumême type.Il existe une seule exception si vous spécifiez également des adresses d'hôte local. L'ordinateur client peut utiliser des serveurs avec plusieurs cartes d'interface réseau et les stations de travail qui relient deux segments de réseau ou plus. Pour contrôler le trafic relativement à une carte particulière, le schéma d'adressage de chaque segment doit être utilisé plutôt que la carte elle-même. A propos de l'ordre de traitement des règles Les règles de filtrage sont classées séquentiellement, de la priorité la plus élevée à la priorité la plus basse ou du haut vers le bas dans la liste Règles. Le pare-feu examine les règles dans cet ordre. Si la première règle ne spécifie pas comment traiter un paquet, le pare-feu examine la deuxième pour obtenir des informations sur la manière de traiter un paquet. Ce processus se poursuit jusqu'à ce que le pare-feu trouve une correspondance. Une fois qu'il a trouvé une correspondance, le pare-feu effectue l'action que la règle spécifie etles règles de priorité inférieure suivantes ne sont pas examinées. Par exemple, si une règle qui bloque toutle trafic Paramètres de base de protection contre les menaces réseau A propos des règles de filtrage 494est répertoriée en premier et est suivie d'une règle qui autorise tout le trafic, le client bloque tout le trafic. Tableau 32-1 affiche l'ordre dans lequel le pare-feu traite les règles et les paramètres. Tableau 32-1 Ordre de traitement des règles de filtrage, des signatures IPS et des paramètres Priorité Paramètre Premier Signatures IPD personnalisées Paramètres de prévention d'intrusion, paramètres de trafic et paramètres furtifs Second Troisième Filtres intelligents de trafic Quatrième Règles de filtrage Cinquième Vérification d'analyse de port Sixième Signatures IPS téléchargées via LiveUpdate La liste Règles contient une ligne de démarcation bleue. La ligne de démarcation définit la priorité des règles dans les situations suivantes : ¦ Quand un sous-groupe hérite des règles d'un groupe parent. ¦ Quand le client est défini sur un contrôle mixe. Le pare-feu traite les règles de serveur et les règles client. Figure 32-3 affiche la liste Règles et la ligne de démarcation bleue. Figure 32-3 liste Règles Paramètres de base de protection contre les menaces réseau 495 A propos des règles de filtrageA propos des règles héritées Le pare-feu traite les règles de filtrage héritées dans la liste Règles, comme suit : ¦ Au-delà de la ligne séparatrice bleue, les règles dont hérite la politique priment sur les règlent que vous créez. ¦ Sous la ligne de démarcation bleue, les règles que vous créez ont la priorité sur les règles dont la politique hérite. Figure 32-4 affiche le mode de classement des règles de la liste Règles lorsqu'un sous-groupe hérite des règles d'un groupe parent. Dans cet exemple, le groupe de ventes est le groupe parent. Le groupe de ventes de l'Europe hérite du groupe de ventes. Figure 32-4 Règles de filtrage héritées Groupe Vente Groupe Vente Europe Prioritaire Groupe Vente Europe Vente Europe hérite des règles de filtrage de Vente Prioritaire Règle 1 Règle 3 Règle 2 Règle 4 Règle 2 Règle 4 Règle 3 Règle 1 Ligne bleue Ligne bleue Ligne bleue Se reporter à "Ajouter des règles héritées d'un groupe parent" à la page 503. A propos des règles de serveur et des règles de client Il existe deux catégories de règles : les règles de serveur et les règles de client. Les règles de serveur sont des règles que vous créez à partir de la console Symantec Endpoint ProtectionManager et sonttéléchargés sur l'ordinateur client Symantec Endpoint Protection. Les règles de client sont les règles que l'utilisateur crée sur le client. Tableau 32-2décrit le rapport entre le niveau de contrôle de l'utilisateur du client et l'interaction de l'utilisateur avec les règles de filtrage. Paramètres de base de protection contre les menaces réseau A propos des règles de filtrage 496Tableau 32-2 Etat de niveau de contrôle et de règle de l'utilisateur Niveau de contrôle de Interaction utilisateur l'utilisateur Le client reçoit des règles du serveur mais l'utilisateur ne peut pas les afficher. L'utilisateur ne peut pas créer des règles de client. Contrôle du serveur Le client reçoit des règles de serveur. L'utilisateur peut créer des règles de client, qui sont fusionnées avec les règles de serveur et les paramètres de sécurité de client. Contrôle mixte Le client ne reçoit pas les règles de serveur. L'utilisateur peut créer des règles de client. Vous ne pouvez pas afficher les règles de client. Contrôle client Se reporter à "Configuration des paramètres d'interface utilisateur" à la page 131. Pour les clients du contrôle mixte, le pare - feu traite les règles de serveur et les règles de client dans un ordre précis. Tableau 32-3 établit l'ordre de traitement des règles de serveur, des règles de client et des paramètres de client par le pare-feu. Tableau 32-3 Priorité de traitement des règles de serveur et des règles de client Priorité Type ou paramètre de règle Règles de serveur avec niveaux de priorité élevés (règles au-dessus de la ligne bleue de la liste Règles) Premier Second Règles de client Règles de serveur avec niveaux de priorité inférieurs (règles en dessous de la ligne bleue de la liste Règles) Sur le client, les règles de serveur en dessous de la ligne bleue sont traitées après les règles de client. Troisième Quatrième Paramètres de sécurité de client Cinquième Paramètres de client spécifiques à des applications Sur le client, les utilisateurs peuvent modifier une règle ou un paramètre de sécurité de client, mais les utilisateurs ne peuvent pas modifier une règle de serveur. Paramètres de base de protection contre les menaces réseau 497 A propos des règles de filtrageAvertissement : Si le client est en contrôle mixte, les utilisateurs peuvent créer une règle de client qui autorise toutle trafic. Cette règle remplace toutes les règles de serveur en dessous de la ligne bleue. Se reporter à "Modification de l'ordre des règles" à la page 506. A propos de l'inspection Stateful Le pare-feu utilise une inspection dynamique des paquets, processus qui surveille les informations sur les connexions en cours, telles que les adresses IP source et de destination, les ports et les applications. Le client prend des décisions sur le trafic en utilisant ces informations de connexion avant d'examiner les règles de filtrage. Par exemple, si une règle de filtrage autorise un client à se connecter à un serveur Web, le pare-feu consigne les informations de connexion. Lorsque le serveur répond, le pare-feu découvre qu'une réponse du serveurWeb au client est attendue et autorise le trafic du serveur Web vers le client ayant initié la connexion sans inspecter la base de règle. Une règle doit autoriser le trafic sortant initial avant que le pare-feu ne consigne la connexion. L'inspection dynamique des paquets permet de simplifier les bases de règle dans la mesure où il est inutile de créer des règles qui autorisent le trafic dans les deux sens, pour le trafic habituellement transmis dans un seul sens. Le trafic client généralement initié dans une direction inclut Telnet (port 23), HTTP (port 80) et HTTPS (port 443). Les clients initient ce trafic vers la sortie de sorte qu'il vous suffit de créer une règle autorisantle trafic sortant pour ces protocoles. Le pare-feu autorise le trafic de retour. En ne configurant que des règles sortantes, vous augmentez la sécurité client comme suit : ¦ En réduisant la complexité de la base de règle. ¦ En supprimantla possibilité qu'un ver ou autre programmemalveillant puisse établir des connexions avec un client sur les ports configurés pour le trafic sortant uniquement. Vous pouvez également ne configurer que des règles de trafic entrant pour le trafic vers des clients qui n'en sont pas les initiateurs. L'inspection Stateful prend en charge toutes les règles qui régissent le trafic TCP. L'inspection Stateful ne prend pas en charge les règles qui filtrent le trafic ICMP. Pour le trafic ICMP, vous devez créer les règles autorisant le trafic dans les deux directions lorsque c'est nécessaire. Par exemple, si vous souhaitez que les clients utilisent la commande ping et reçoivent des réponses, vous devez créer une règle autorisant le trafic ICMP dans les deux directions. Paramètres de base de protection contre les menaces réseau A propos des règles de filtrage 498Le pare-feu étant à état, il vous suffit de créer des règles qui établissent une connexion, et non les caractéristiques d'un paquet particulier. Tous les paquets propres à une connexion autorisée sont implicitement autorisés en tant que constituant intégral de cette même connexion. A propos des connexions UDP Dans le cas des communications UDP, le client analyse le premier datagramme UDP et applique l'action effectuée sur celui-ci à tous les datagrammes UDP suivants de la session en cours. Le trafic entrant ou sortant entre les mêmes ordinateurs est considéré comme faisant partie de la connexion UDP. Pour le trafic UDP à l'état activé, quand une connexion UDP est établie, la communication UDP entrante est autorisée,même si la règle de filtrage la bloque. Par exemple, si une règle bloque les communications UDP entrantes pour une application spécifique mais que vous choisissez d'autoriser un datagramme UDP sortant,toutes les communications UDP entrantes sont autorisées pour la session actuelle de l'application. Pour le trafic UDP sans état, vous devez créer une règle de filtrage pour autoriser la réponse de communication UDP entrante. Une session UDP expire au bout de 40 secondes si l'application ferme le port. Ajouter des règles vierges Quand vous créez une nouvelle politique de pare-feu, elle inclut plusieurs règles par défaut. Les règles par défaut vous donnent la protection de base pour un environnement de bureau. Si vous avez besoin de règles de pare-feu supplémentaires, vous pouvez les ajouter. Vous pouvez ajouter des règles comme suit : ¦ Ajoutez une règle vierge à la liste, puis configurez-la manuellement. ¦ Exécutez l'assistant de création de règles de filtrage. Se reporter à "Ajouter des règles avec l'assistant de règle de filtrage" à la page 502. Pour simplifier la gestion de la base de règle, vous devez spécifier le trafic entrant et sortant dans la règle autant que possible. Vous n'avez pas besoin de créer des règles entrantes pour le trafic tel que HTTP. Le client Symantec Endpoint Protection utilise l'inspection "Stateful" pour le trafic TCP et n'a pas besoin d'une règle pour filtrer le trafic de retour initié par les clients. Se reporter à "A propos de l'inspection Stateful" à la page 498. Paramètres de base de protection contre les menaces réseau 499 Ajouter des règles viergesPour ajouter des règles vierges 1 Dans la console, ouvrez une politique de pare-feu. Se reporter à "A propos de la modification des politiques" à la page 380. 2 Dans la page Politique de pare-feu, cliquez sur Règles. 3 Dans l'onglet Règles, sous la liste Règles, cliquez sur Ajouterunerèglevierge. 4 Dans la zone de texte Nom, entrez le nom de la règle. 5 Dans le champ Gravité, cliquez sur la liste déroulante et sélectionnez une des options suivantes : ¦ Critique ¦ Majeur ¦ Mineur ¦ Information 6 Cliquez avec le bouton droit de la souris sur le champ Application, cliquez sur Edition et dans la boîte de dialogue Liste d'applications, définissez une application. Se reporter à "Ajouter des applications à une règle" à la page 540. 7 Cliquez sur OK. 8 Cliquez avec le bouton droit de la souris sur le champHôte, cliquez sur Edition et dans la liste Hôte, définissez un hôte. Se reporter à "Ajout d'hôtes et de groupes d'hôtes à une règle" à la page 532. 9 Cliquez sur OK. 10 Cliquez avec le bouton droit de la souris sur le champ Heure, cliquez sur Edition, puis définissez une planification. Se reporter à "Ajout de planifications à une règle" à la page 541. 11 Cliquez sur OK. 12 Cliquez avec le bouton droit de la souris sur le champ Service, puis cliquez sur Modifier pour ajouter ou configurer un service de réseau personnalisé. Se reporter à "Ajout des services réseau à une règle" à la page 535. 13 Cliquez sur OK. 14 Cliquez avec le bouton droit de la souris sur le champ Adaptateur et sélectionnez un ou plusieurs des éléments suivants : ¦ Tous les adaptateurs Paramètres de base de protection contre les menaces réseau Ajouter des règles vierges 500¦ Tout VPN ¦ A distance ¦ Ethernet ¦ Sans fil ¦ Plus d'adaptateurs Vous pouvez ajouter des adaptateurs spécifiques au fabricant en les sélectionnant dans une liste Se reporter à "Ajouter des adaptateurs réseau" à la page 538. 15 Cliquez avec le bouton droit de la souris sur le champ Ecran de veille et sélectionnez l'état de ce dernier : ¦ Activé ¦ Désactivé ¦ N'importe lequel 16 Cliquez avec le bouton droit de la souris sur le champ Opération et sélectionnez l'action que vous voulez que le pare-feu effectue quand le trafic correspond à la règle : ¦ Autoriser ¦ Bloquer ¦ Demander 17 Cliquez avec le bouton droit de la souris sur le champ Consignation et sélectionnez une ou plusieurs actions de consignation que vous voulez que le pare-feu prenne quand le trafic correspond à la règle : ¦ Enregistrer dans le journal de trafic ¦ Enregistrer dans le journal des paquets ¦ Envoyer une alerte par message électronique Se reporter à "Configurer lesmessages électroniques pour les événements de trafic" à la page 544. Le champ Créé à n'est pas modifiable. Si la politique est partagée, le champ affiche le terme Partagé. Si la politique n'est pas partagée, le champ affiche le nom du groupe auquel la politique non-partagée est attribuée. 18 Cliquez avec le bouton droit de la souris sur le champ Description et puis cliquez sur Edition. 19 Dans la boîte de dialogue Saisissez la description, tapez une description facultative pour la règle et cliquez sur OK. Paramètres de base de protection contre les menaces réseau 501 Ajouter des règles vierges20 Quand vous avez terminé d'ajouter la règle, effectuez l'une des opérations suivantes : ¦ Ajoutez une nouvelle règle. ¦ Ajoutez les paramètres de filtrage de trafic intelligent ou les paramètres de trafic et de discrétion. Se reporter à "Activation du filtrage de trafic intelligent " à la page 507. Se reporter à "Activation des paramètres de trafic et des paramètres furtifs" à la page 508. ¦ Si vous en avez terminé avec la configuration de la politique, cliquez sur OK. 21 Si vous y êtes invité, attribuez la politique à un emplacement. Se reporter à "Affectation d'une politique partagée" à la page 382. Ajouter des règles avec l'assistant de règle de filtrage Utilisez l'assistant de règle de filtrage pour créer l'un des types de règles suivants : Une règle qui est basée sur un processus spécifique en cours d'exécution qui tente d'utiliser des ressources réseau. Règles d'application Une règle qui est basée sur les terminaux clients des connexions réseau. Règles de l'hôte Une règle qui est basée sur les protocoles qui sont utilisés par des connexions réseau. Règles de service Il se peut que vous deviez inclure deux critères ou plus pour décrire le trafic réseau spécifique,tel qu'un protocole particulier qui provient d'un hôte spécifique. Vous devez configurer la règle après l'avoir ajoutée, parce que l'assistant de règle de filtrage ne configure pas de nouvelles règles avec plusieurs critères. Quand vous vous êtes familiarisé avec la façon dont des règles sont définies et traitées, ll se peut que vous vouliez ajouter des règles vierges et configurer les divers champs selon les besoins. Une règle vierge autorise tout le trafic. Se reporter à "Ajouter des règles vierges" à la page 499. Pour ajouter des règles avec l'assistant de règle de filtrage 1 Dans la console, ouvrez une politique de pare-feu. Se reporter à "A propos de la modification des politiques" à la page 380. 2 Sur la page de politique de pare-feu, cliquez sur Règles. Paramètres de base de protection contre les menaces réseau Ajouter des règles avec l'assistant de règle de filtrage 5023 Dans l'onglet Règles, sous la liste Règles, cliquez sur Ajouter une règle. 4 Dans l'assistant de règle de filtrage, cliquez sur Suivant. 5 Dans le panneau Sélectionner un type de règle, sélectionnez un des types de règles. 6 Cliquez sur Suivant. 7 Entrez les données sur chaque panneau pour créer le type de règle que vous avez sélectionné. 8 Pour des applications et des hôtes, cliquez sur Ajouter d'autres pour ajouter des applications et des services supplémentaires. 9 Lorsque vous avez terminé, cliquez sur Terminer. 10 Dans la liste Règles, cliquez avec le bouton droit de la souris sur n'importe quel champ pour modifier la règle. 11 Quand vous avez terminé la configuration de cette politique, cliquez sur OK. Ajouter des règles héritées d'un groupe parent Vous pouvez ajouter des règles en héritant seulement les règles d'un groupe parent. Pour hériter les règles d'un groupe parent, la politique du sous-groupe doit être une politique non partagé. Remarque : Si le groupe hérite toutes ses politiques d'un groupe parent, cette option est indisponible. Des règles héritées sont automatiquement activées. La politique du sous-groupe peut hériter seulement des règles de filtrage qui sont activées sur le groupe parent. Quand vous avez hérité des règles, vous pouvez les désactiver,mais vous ne pouvez pas les modifier. Quand les nouvelles règles sont ajoutées à la politique du groupe parent, les nouvelles règles sont automatiquement ajoutées à la politique d'héritage. Quand les règles héritées apparaissent dans la liste Règles, elles sont ombrées en violet. Au-dessus de la ligne bleue, les règles héritées sont ajoutées au-dessus des règles que vous avez créées. Au-dessous de la ligne bleue, les règles héritées sont ajoutées au-dessous des règles que vous avez créées. Une politique de pare-feu hérite également des règles par défaut, ainsi la politique de pare-feu du sous-groupe peut avoir deux jeux de règles par défaut.Vous pouvez vouloir supprimer un jeu de règles par défaut. Paramètres de base de protection contre les menaces réseau 503 Ajouter des règles héritées d'un groupe parentSi vous voulez supprimer les règles héritées, vous annulez l'héritage plutôt que de les supprimer. Vous devez supprimer toutes les règles héritées plutôt que les règles sélectionnées. Pour ajouter des règles héritées d'un groupe parent 1 Dans la console, ouvrez une politique de pare-feu. Se reporter à "A propos de la modification des politiques" à la page 380. 2 Sur la page de politique de pare-feu, cliquez sur Règles. 3 Dans l'onglet Règles, au-dessus de la liste Règles, cochez Hériter des règles de filtrage du groupe parent. Pour supprimer les règles héritées, supprimez la coche Hériterdes règlesde filtrage du groupe parent. 4 Cliquez sur OK. Se reporter à "Groupes, transmission, emplacements et politiques" à la page 357. Importation et exportation de règles Vous pouvez exporter et importer les règles et paramètres d'une autre politique de pare-feu, ce qui vous évite d'avoir à les récréer. Par exemple, vous pouvez importer un groupe de règles partiel d'une politique dans une autre. Pour importer des règles, vous devez d'abord exporter les règles vers un fichier .dat et avoir accès à ce fichier. Les règles sont ajoutées dans l'ordre où elles apparaissent dans la politique parente, par rapport à la ligne bleue.Vous pouvez ensuitemodifier leur ordre de traitement. Pour exporter des règles 1 Dans la console, ouvrez une politique de pare-feu. Se reporter à "A propos de la modification des politiques" à la page 380. 2 Dans la page Firewall Policy, cliquez sur Règles. 3 Dans la liste Règles, sélectionnez les règles que vous voulez exporter, cliquez avec le bouton droit de la souris et cliquez sur Exporter. 4 Dans la boîte de dialogue Exporter la politique, localisez un répertoire pour enregistrer le fichier .dat,tapez un nomde fichier et puis cliquez sur Exporter. Paramètres de base de protection contre les menaces réseau Importation et exportation de règles 504Pour importer des règles 1 Dans la console, ouvrez une politique de pare-feu. Se reporter à "A propos de la modification des politiques" à la page 380. 2 Sur la page de politique de pare-feu, cliquez sur Règles. 3 Cliquez avec le bouton droit de la souris sur la liste Règles, puis cliquez sur Importer. 4 Dans la boîte de dialogue Importer la politique, localisez le fichier .dat qui contient les règles de filtrage à importer et cliquez sur Importer. 5 Dans la boîte de dialogue Entrée, tapez le nouveau nom de la politique, puis cliquez sur OK. 6 Cliquez sur OK. Modifier et supprimer des règles Vous pouvez modifier des règles de filtrage si elles ne fonctionnent pas de la manière souhaitée. Pour modifier une règle, procédez comme si vous ajoutiez une règle vierge, puis modifiez-la. Vous pouvez supprimer n'importe quelle règle de filtrage, même une règle par défaut.Vous ne pouvez pas supprimer une règle figurant dans une politique héritée d'une politique parente. Pour modifier des règles 1 Dans la console, ouvrez une politique de pare-feu. Se reporter à "A propos de la modification des politiques" à la page 380. 2 Dans la page Politique de pare-feu, cliquez sur Règles. 3 Dans l'onglet Règles, sous la liste Règles, cliquez deux fois sur une colonne dans une règle pour modifier la règle. 4 Modifiez une colonne dans le tableau de règles. Se reporter à "Ajouter des règles vierges" à la page 499. 5 Cliquez sur OK pour enregistrer vos modifications. Pour supprimer des règles 1 Dans la console, ouvrez une politique de pare-feu. Se reporter à "A propos de la modification des politiques" à la page 380. 2 Dans la page Politique de pare-feu, cliquez sur Règles. Paramètres de base de protection contre les menaces réseau 505 Modifier et supprimer des règles3 Dans l'onglet Règles, sélectionnez la règle que vous voulez supprimer, puis, au-dessous de la liste Règles, cliquez sur Supprimer. 4 Cliquez sur Oui pour confirmer la suppression de la règle. 5 Cliquez sur OK. Copier et coller des règles Vous pouvez copier et coller des règles de la même politique ou d'une politique différente. Pour copier et coller des règles 1 Dans la console, ouvrez une politique de pare-feu. Se reporter à "A propos de la modification des politiques" à la page 380. 2 Dans la page Politique de pare-feu, cliquez sur Règles. 3 Dans l'onglet Règles, cliquez avec le bouton droit de la souris sur la règle que vous voulez copier, puis cliquez sur Copier la règle. 4 Cliquez avec le bouton droit de la souris sur la ligne où vous voulez coller la règle, puis cliquez sur Coller la règle. 5 Cliquez sur OK. Modification de l'ordre des règles Le pare-feu traite la liste des règles de pare-feu de haut en bas. Vous pouvez déterminer comment le pare-feu traite les règles de pare-feu en modifiant leur ordre. Lorsque vous modifiez l'ordre, ce changement ne concerne que l'emplacement sélectionné. Pour modifier l'ordre des règles 1 Dans la console, ouvrez une politique de pare-feu. Se reporter à "A propos de la modification des politiques" à la page 380. 2 Dans la page de politique de pare-feu, cliquez sur Règles, puis sélectionnez la règle que vous voulez déplacer. 3 Effectuez l'une des opérations suivantes : ¦ Pour traiter cette règle avantla règle précédente, cliquez sur Verslehaut. ¦ Pour traiter cette règle après la règle qui se trouve au-dessous de elle, cliquez sur Vers le bas. 4 Cliquez sur OK. Paramètres de base de protection contre les menaces réseau Copier et coller des règles 506Activer et désactiver des règles Les règles doivent être activées pour que le pare-feu les traite. Vous pouvez désactiver une règle de filtrage si vous devez accorder un accès spécifique à un ordinateur ou un programme. La règle est désactivée pour tous les emplacements s'il s'agit d'une politique partagée et pour un seul emplacement s'il s'agit d'une politique spécifique à un emplacement. La règle est également désactivée pour toutes les politiques héritées. Pour activer et désactiver des règles 1 Dans la console, ouvrez une politique de pare-feu. Se reporter à "A propos de la modification des politiques" à la page 380. 2 Dans la page Politique de pare-feu, cliquez sur Règles. 3 Dans l'onglet Règles, sélectionnez la règle que vous voulez activer ou désactiver, puis cochez ou décochez la case dans la colonne Activée. 4 Cliquez sur OK. Activation du filtrage de trafic intelligent Les filtres de trafic intelligents permettent la communication entre certains services réseau de sorte que vous n'avez pas besoin de définir les règles qui permettent explicitement ces services. Vous pouvez activer les filtres de trafic intelligents pour permettre le trafic DHCP, DNS etWINS sur la plupart des réseaux. Les filtres de trafic intelligents permettentles demandes sortantes etles réponses entrantes sur les connexions réseau configurées pour utiliser DHCP, DNS etWINS. Les filtres permettent aux clients DHCP, DNS ou WINS de recevoir une adresse IP d'un serveur tout en protégeant les clients contre des attaques à partir du réseau. ¦ Si le client envoie une demande au serveur, le client attend cinq secondes pour permettre une réponse entrante. ¦ Si le client n'envoie pas de demande au serveur, chaque filtre ne permet pas le paquet. Les filtres intelligents permettent le paquet si une demande a été faite. Ils ne bloquent pas des paquets. Les règles de filtrage permettent ou bloquent des paquets. Paramètres de base de protection contre les menaces réseau 507 Activer et désactiver des règlesRemarque : Pour configurer ces paramètres dans le contrôle mixte, vous devez également activer ces paramètres dans la boîte de dialogue Paramètres de contrôle mixtes de l'interface utilisateur du client. Se reporter à "A propos du contrôle mixte" à la page 130. Pour activer le filtrage de trafic intelligent 1 Dans la console, ouvrez une politique de pare-feu. Se reporter à "A propos de la modification des politiques" à la page 380. 2 Dans la page Politique de pare-feu, cliquez sur Filtres de trafic intelligents. 3 Si elles ne sont pas déjà cochées, cochez les cases suivantes à votre gré : ¦ Activer Smart DHCP ¦ Activer Smart DNS ¦ Activer SmartWINS Pour plus d'informations sur ces options, cliquez sur Aide. 4 Cliquez sur OK. 5 Si vous y êtes invité, attribuez la politique à un emplacement. Se reporter à "Affectation d'une politique partagée" à la page 382. Activation des paramètres de trafic et des paramètres furtifs Vous pouvez permettre à des paramètres de trafic de détecter et de bloquer le trafic qui communique par les pilotes, NetBIOS etles anneaux à jeton.Vous pouvez également configurer des paramètres pour détecter le trafic qui utilise des attaques moins visibles. Remarque : Pour configurer ces paramètres en mode contrôle mixte, vous devez également activer ces paramètres dans la boîte de dialogue Paramètres de contrôle mixtes de l'interface utilisateur du client. Se reporter à "A propos du contrôle mixte" à la page 130. Paramètres de base de protection contre les menaces réseau Activation des paramètres de trafic et des paramètres furtifs 508Pour activer les paramètres de trafic et les paramètres furtifs 1 Dans la console, ouvrez une politique de pare-feu. Se reporter à "A propos de la modification des politiques" à la page 380. 2 Dans la page de politique de pare-feu, cliquez sur Paramètres de trafic et de furtivité. 3 Si aucune case à cocher n'est activée, activez n'importe laquelle des cases à cocher suivantes : ¦ Activer la protection NetBIOS ¦ Permettre le trafic Token Ring ¦ Activer l'interrogation DNS inverse ¦ Activer la protection contre l'usurpation d'adresseMAC ¦ Activer la navigationWeb en mode furtif ¦ Activer la remise en séquence TCP ¦ Activer le brouillage de la signature du système d'exploitation Pour plus d'informations en ces options, cliquez sur Aide. 4 Cliquez sur OK. 5 Si vous y êtes invité, attribuez la politique à un emplacement. Se reporter à "Affectation d'une politique partagée" à la page 382. Configuration de l'authentification point à point Vous pouvez utiliser l'authentification point à point pour autoriser un ordinateur client distant (homologue) à se connecter à un autre ordinateur client (authentificateur) sur le même réseau d'entreprise. L'authentificateur bloque temporairement le trafic TCP et UDP entrant de l'ordinateur distant jusqu'à ce que ce dernier réussisse la vérification de l'intégrité de l'hôte. La vérification de l'intégrité de l'hôte permet de contrôler les caractéristiques suivantes de l'ordinateur distant : ¦ Symantec Endpoint Protection et Symantec Network Access Control sont installés sur l'ordinateur distant. ¦ L'ordinateur distant répond aux conditions requises par les politiques d'intégrité de l'hôte. Si l'ordinateur distant réussit la vérification de l'intégrité de l'hôte, l'authentificateur autorise sa connexion. Paramètres de base de protection contre les menaces réseau 509 Configuration de l'authentification point à pointSi l'ordinateur distant échoue à la vérification de l'intégrité de l'hôte, l'authentificateur continue de le bloquer.Vous pouvez également spécifier le délai de blocage de l'ordinateur distant avant toute nouvelle tentative de reconnexion à l'authentificateur.Il est possible de toujours autoriser la connexion pour certains ordinateurs distants, même s'ils échouent à la vérification de l'intégrité de l'hôte. Si vous n'activez pas de politique d'intégrité de l'hôte pour l'ordinateur distant, celui-ci réussit la vérification. Les informations d'authentification point à point sont affichées dans le journal de conformité de client Enforcer et dans le journal de trafic de protection contre les menaces réseau. Remarque : L'authentification point à point est possible en mode commande serveur et commande mixte, mais pas en mode contrôle client. Avertissement : N'activez pas l'authentification point à point pour les clients installés sur le même ordinateur que le serveur de gestion. Dans ce cas, le serveur de gestion ne peut pas charger les politiques vers l'ordinateur distant si ce dernier échoue à la vérification de l'intégrité de l'hôte. Pour configurer l'authentification point à point 1 Dans la console, ouvrez une politique de pare-feu. Se reporter à "A propos de la modification des politiques" à la page 380. 2 Dans la page Politique de pare-feu, cliquez sur Paramètresd'authentification point à point. 3 Dans le volet Paramètres d'authentification point à point, cochez Activer l'authentification point à point. 4 Configurez chacune des valeurs figurant dans la liste de cette page. Pour plus d'informations sur ces options, cliquez sur Aide. 5 Pour autoriser des ordinateurs distants à se connecter à l'ordinateur client sans authentification, cochez Exclure les hôtes de l'authentification, puis cliquez sur Hôtes exclus. L'ordinateur client autorise le trafic vers les ordinateurs figurant dans la liste des hôtes. 6 Dans la boîte de dialogue Hôtes exclus, cliquez sur Ajouter pour ajouter les ordinateurs distants dont l'authentification n'est pas nécessaire. 7 Dans la boîte de dialogue Hôte, définissez l'hôte à l'aide de l'adresse IP, de la plage d'IP, ou du sous-réseau, puis cliquez sur OK. Paramètres de base de protection contre les menaces réseau Configuration de l'authentification point à point 5108 Dans la boîte de dialogue Hôtes exclus, cliquez sur OK. 9 Quand vous avez terminé la configuration de cette politique, cliquez sur OK. 10 Si vous y êtes invité, assignez la politique à un emplacement. Se reporter à "Affectation d'une politique partagée" à la page 382. Paramètres de base de protection contre les menaces réseau 511 Configuration de l'authentification point à pointParamètres de base de protection contre les menaces réseau Configuration de l'authentification point à point 512Configuration de la prévention d'intrusion Ce chapitre traite des sujets suivants : ¦ A propos du système de prévention d'intrusion ¦ Configuration de la prévention d'intrusion ¦ Création de signatures IPS personnalisées A propos du système de prévention d'intrusion Le système de prévention d'intrusion (IPS) est la seconde couche du client Symantec Endpoint Protection assurant la défense après le pare-feu. Le système de prévention d'intrusion est un système basé sur le réseau et qui fonctionne sur chaque ordinateur sur lequel le client est installé et le système de prévention d'intrusion est activé. Si une attaque connue est détectée, une ou plusieurs technologies de prévention d'intrusion peuvent automatiquement la bloquer. Le système de prévention d'intrusion analyse chaque paquet qui entre et sort sur les ordinateurs du réseau pour des signatures d'attaque. Les signatures d'attaque sont les séquences de paquets qui identifient la tentative d'un attaquant pour s'infiltrer dans un système d'exploitation connu ou exploiter la vulnérabilité d'un programme. Si les informations correspondent à une attaque connue, IPS rejette automatiquement le paquet. IPS peut également interrompre la connexion avec l'ordinateur qui a envoyé les données pendant un laps de temps spécifié. Cette fonction est appelée intervention active et elle protège les ordinateurs de votre réseau contre tout dommage. Chapitre 33Le client inclut les types suivants de moteurs IPS pour identifier les signatures d'attaque. Les signatures IPS de Symantec utilisent un moteur basé sur flux pour analyser des paquetsmultiples. Les signatures IPS de Symantec interceptent des données de réseau sur la couche de session et capturent les segments des messages échangés entre une application et la pile réseau. Signatures IPS de Symantec Les signatures IPS personnalisées utilisent un moteur basé sur paquet qui analyse chaque paquet individuellement. Signatures IPS personnalisées Le système de prévention d'intrusion consigne les attaques détectées dans le journal de sécurité. Vous pouvez permettre aux signatures IPS personnalisées de consigner des attaques détectées dans le journal des paquets. A propos des signatures IPS Symantec IPS Symantec examine les paquets de deux manières. Elle analyse chaque paquet individuellement pour rechercher les modèles de données non conformes aux spécifications et pouvant bloquer la pile TCP/IP. Elle contrôle également les paquets en tant que flux d'informations. Elle procède à un contrôle en recherchant les commandes orientées sur un service particulier pour exploiter ou bloquer le système. Par ailleurs, IPS peut mémoriser la liste des modèles ou modèles partiels de paquets précédents et appliqur ces informations aux inspections suivantes des paquets. Pour détecter et bloquer les activités réseau douteuses, IPS s'appuie sur une vaste liste de signatures d'attaque. L'équipe Symantec Security Response fournitla liste des menaces connues, que vous pouvez mettre à jour sur le client en utilisant Symantec LiveUpdate. Téléchargez les signatures vers la console, puis utilisez une politique de contenu LiveUpdate pour les télécharger vers le client. Lemoteur Symantec IPS etle jeu correspondant de signatures IPS sontinstallés sur le client par défaut. Se reporter à "Configuration d'une politique de contenu LiveUpdate" à la page 113. Vous pouvez également modifier le comportement des signatures IPS Symantec. Se reporter à "Modifier le comportement des signatures IPS Symantec" à la page 517. A propos des signatures IPS personnalisées Le client contient unmoteur IPS supplémentaire qui prend en charge les signatures basées sur paquet. Tantlemoteur basé sur flux que celui basé sur paquet détectent les signatures dans les données réseau qui attaquentla pileTCP/IP, les composants Configuration de la prévention d'intrusion A propos du système de prévention d'intrusion 514du système d'exploitation et la couche application. Cependant, les signatures basées sur paquet peuvent détecter des attaques dans la pile TCP/IP plus tôt que les signatures basées sur flux. Lemoteur basé sur paquet ne détecte pas les signatures couvrant plusieurs paquets. Le moteur IPS basé sur paquet est plus limité, car il ne bufferise pas les correspondances partielles et analyse seulement les résultats d'activation de paquets uniques. les signatures basées sur paquet examinent un paquet unique qui correspond à une règle. La règle spécifie un protocole, un port, une adresse IP source ou de destination, ou une application. Certaines attaques sont généralement lancées contre des applications spécifiques. Les signatures personnalisées utilisent les règles basées sur l'application, qui changent de façon dynamique pour chaque paquet. La règle est basée sur différents critères, tels que l'application, le nombre d'indicateurs de TCP, le port et le protocole. Par exemple, une signature personnalisée peut contrôler les paquets de données qui sont reçus pour la chaîne "phf" dans GET / cgi-bin/phf? comme indicateur d'une attaque de programme CGI. Chaque paquet est évalué pour ce modèle spécifique. Si le paquet de trafic correspond à la règle, le client permet ou bloque le paquet et consigne éventuellement l'événement dans le journal des paquets. Les signatures peut entraîner des faux positifs car ils sont souvent basés sur des expressions régulières et des correspondances de chaînes. Les signatures personnalisées utilisentles deux critères pour rechercher des chaînes en essayant de correspondre à un paquet. Le client n'inclut pas les signatures personnalisées par défaut. Vous créez des signatures IPS personnalisées. Se reporter à "Création de signatures IPS personnalisées" à la page 521. Configuration de la prévention d'intrusion Les paramètres IPS par défaut protègent les ordinateurs client contre une grande variété demenaces.Vous pouvez personnaliser les paramètres par défaut de votre réseau. Vous pouvez personnaliser les paramètres IPS de plusieurs façons différentes : ¦ Activez les paramètres de prévention d'intrusion. ¦ Modifiez le comportement des signatures d'attaque spécifiques. ¦ Excluez l'analyse de certains ordinateurs. ¦ Bloquez automatiquement un ordinateur attaquant. ¦ Activez les notifications de prévention d'intrusion. Configuration de la prévention d'intrusion 515 Configuration de la prévention d'intrusionSe reporter à "Configurer des notifications pour la protection contre les menaces réseau" à la page 542. ¦ Créez des signatures IPS personnalisées. Se reporter à "Création de signatures IPS personnalisées" à la page 521. A propos de l'utilisation des politiques de prévention d'intrusion Excepté les signatures IPS personnalisées et les notifications de prévention d'intrusion, quand vous configurez la prévention d'intrusion, vous créez une politique de prévention d'intrusion. Pour les signatures IPS personnalisées, vous créez une bibliothèque IPS personnalisée. Vous créez etmodifiez les politiques de prévention d'intrusion de lamêmemanière que vous créez et modifiez d'autres types de politiques. Vous pouvez attribuer, retirer, remplacer, copier, exporter, importer ou supprimer une politique de prévention d'intrusion ou une bibliothèque de prévention d'intrusion personnalisée. Vous attribuez généralement une politique à plusieurs groupes de votre réseau de sécurité. Vous pouvez créer une politique non partagée et spécifique à un emplacement si vous avez des conditions spécifiques pour un emplacement particulier. Les procédures de ce chapitre supposent que vous êtes familier des bases de la configuration des politiques. Se reporter à "A propos du travail avec les politiques" à la page 374. Activation des paramètres de prévention d'intrusion Vous pouvez bloquer certains types d'attaques sur le client, selon la technologie de prévention d'intrusion que vous sélectionnez. Vous devez permettre aux paramètres de prévention d'intrusion d'activer lemoteur de signatures IPS de Symantec ou le moteur personnalisé de signatures IPS. Si vous n'activez pas ce paramètre, le clientignore les signatures d'attaque possibles. Remarque : Pour configurer ces paramètres en commande mixte, vous devez également activer ces paramètres dans la boîte de dialogue Paramètres de contrôle mixtes de l'interface utilisateur du client. Se reporter à "Configurer des paramètres de protection contre lesmenaces réseau pour la commande mélangée" à la page 529. Pour plus d'informations sur ces options, cliquez sur Aide. Configuration de la prévention d'intrusion Configuration de la prévention d'intrusion 516Pour activer des paramètres de prévention d'intrusion 1 Dans la console, ouvrez une politique de prévention d'intrusion. Se reporter à "A propos de la modification des politiques" à la page 380. 2 Sur la page de politique de prévention d'intrusion, cliquez sur Paramètres. 3 Sur la page de Paramètres, sélectionnez les cases à cocher suivantes qui s'appliquent : ¦ Activer la prévention d'intrusion ¦ Activer la détection de déni de service ¦ Activer la détection d'analyse de port 4 Quand vous avez terminé de configurer cette politique, cliquez sur OK. Se reporter à "Installation d'une liste des ordinateurs exclus" à la page 519. Modifier le comportement des signatures IPS Symantec Vous pouvez vouloir modifier le comportement par défaut des signatures IPS Symantec pour les raisons suivantes : ¦ Pour réduire la possibilité d'un faux positif. Certaines activités de réseau inoffensives peuvent ressembler à des signatures d'attaque. Si vous recevez des avertissements répétés portant sur des attaques potentielles et déclenchés par des comportements inoffensifs, vous pouvez exclure la signature d'attaque correspondante. ¦ Pour réduire la consommation des ressources en réduisant le nombre de signatures d'attaque pour lesquelles le client procède à une vérification. En revanche, vous devez vous assurer qu'une signature d'attaque ne représente aucune menace avant de l'exclure du blocage. Vous pouvez modifier l'action que le client effectue quand l'IPS identifie une signature d'attaque. Vous pouvez également décider si le client consigne ou non l'événement dans le journal de sécurité. Remarque : Pour modifier le comportement d'une signature IPS personnalisée que vous créez ou importez, modifiez la signature directement. Pour modifier le comportement des signatures IPS Symantec 1 Dans la console, ouvrez une politique de prévention d'intrusion. Se reporter à "A propos de la modification des politiques" à la page 380. 2 Dans la page de politique de prévention d'intrusion, cliquez sur Exceptions. Configuration de la prévention d'intrusion 517 Configuration de la prévention d'intrusion3 Dans la page Exceptions, cliquez sur Ajouter. 4 Dans la boîte de dialogue Ajouter des exceptions de prévention d'intrusion, effectuez l'une des actions suivantes pour filtrer les signatures : ¦ Pour afficher les signatures dans une catégorie particulière, sélectionnez une option dans la liste déroulante Afficher la catégorie. ¦ Pour afficher les signatures classées avec une gravité particulière, sélectionnez une option dans la liste déroulante Afficher la gravité. 5 Sélectionnez une ou plusieurs signatures IPS. Pour rendre le comportement de toutes les signatures identique, cliquez sur Sélectionner tout. 6 Cliquez sur Suivant. 7 Dans la boîte de dialogue Opération de la signature, redéfinissez l'action de Bloquer à Autoriser ou de Autoriser à Bloquer. 8 Vous pouvez éventuellement modifier l'opération de consignation de l'une ou l'autre des manières suivantes : ¦ Redéfinissez l'option Consigner le trafic sur Ne pas consigner le trafic. ¦ Redéfinissez l'option Ne pas consigner le trafic sur Consigner le trafic. 9 Cliquez sur OK. Si vous voulez supprimer l'exception et retourner au comportement d'origine de la signature, sélectionnez la signature et cliquez sur Supprimer. 10 Cliquez sur OK. 11 Si vous voulez modifier le comportement d'autres signatures, répétez les étapes 3 à 10. 12 Une fois que vous avez terminé de configurer cette politique, cliquez sur OK. Se reporter à "Afficher et modifier la politique de contenu LiveUpdate appliquée à un groupe" à la page 115. Pour supprimer l'exception 1 Dans la console, ouvrez une politique de prévention d'intrusion. Se reporter à "A propos de la modification des politiques" à la page 380. 2 Dans la page de politique de prévention d'intrusion, cliquez sur Exceptions. 3 Dans le volet Exceptions, sélectionnez l'exception que vous voulez supprimer et cliquez sur Supprimer. 4 Quand vous êtes invité à confirmer la suppression, cliquez sur Oui. Configuration de la prévention d'intrusion Configuration de la prévention d'intrusion 518Blocage d'un ordinateur attaquant Si le client Symantec Endpoint Protection détecte une attaque réseau, il peut bloquer automatiquement la connexion pour s'assurer que l'ordinateur client est sûr. Le client active une intervention active qui bloque automatiquement toute la communication vers et depuis l'ordinateur attaquant pendant un laps de temps défini. L'adresse IP de l'ordinateur attaquant est bloquée pour un unique emplacement. L'adresse IP du pirate est consignée dans le journal de sécurité. Dans le contrôle du client, les utilisateurs peuvent débloquer une attaque en arrêtantl'intervention active dans le journal de sécurité. Si vous définissez le client pour un contrôle mixte, vous pouvez spécifier si le paramètre peut être activé ou non par l'utilisateur sur le client. S'il n'est pas activé, vous devez l'activer dans la boîte de dialogue Paramètres de contrôle mixte de l'interface utilisateur du client. Se reporter à "Configurer des paramètres de protection contre lesmenaces réseau pour la commande mélangée" à la page 529. Les signatures IPS mises à jour, les signatures de déni de service mises à jour, les analyses de port et l'usurpation d'adresse MAC déclenchent également une intervention active. Pour bloquer un ordinateur attaquant 1 Dans la console, ouvrez une politique de prévention d'intrusion. Se reporter à "A propos de la modification des politiques" à la page 380. 2 Sur la page de politique de prévention d'intrusion, cliquez sur Paramètres. 3 Sur la page de Paramètres, sélectionnez Bloquerautomatiquementl'adresse IP d'un attaquant. 4 Dans la zone de texte Nombre de secondes du blocage de l'adresse IP ... secondes, spécifiez le nombre de secondes pendant lesquelles les pirates potentiels sont bloqués. Introduisez un nombre compris entre une et 999 999 secondes. 5 Quand vous avez terminé de configurer cette politique, cliquez sur OK. Installation d'une liste des ordinateurs exclus Le client Symantec Endpoint Protection peut définir quelques activités Internet normales comme des attaques. Par exemple, certains fournisseurs d'accès à Internet analysent les ports de l'ordinateur afin de vérifier que vous respectez Configuration de la prévention d'intrusion 519 Configuration de la prévention d'intrusionleur contrat. Ou, vous pouvez avoir quelques ordinateurs dans votre réseau interne que vous voulez installer à des fins du test. Vous pouvez créer une liste des ordinateurs pour lesquels le client ignore les signatures d'attaque ou ne vérifie pas le trafic pour détecter les attaques par déni de service. Le client autorise tout le trafic entrant et sortant qui transite par ces hôtes, quels que soient les règles et les paramètres du pare-feu ou les signatures IPS. Remarque : Vous pouvez également configurer une liste d'ordinateurs qui permet tout le trafic entrant et le trafic sortant à moins qu'une signature IPS ne détecte une attaque. Dans ce cas-ci, vous créez une règle de pare-feu qui autorise tous les hôtes. Pour configurer une liste des ordinateurs exclus 1 Dans la console, ouvrez une politique de prévention d'intrusion. Se reporter à "A propos de la modification des politiques" à la page 380. 2 Sur la page de politique de prévention d'intrusion, cliquez sur Paramètres. 3 Si ce n'est déjà fait, sélectionnez Activer leshôtesexclus et cliquez sur Hôtes exclus. 4 Dans la boîte de dialogue Hôtes exclus, cliquez sur Ajouter. 5 Dans la boîte de dialogue Hôte, dans la liste déroulante, sélectionnez un des types d'hôte suivants : ¦ Domaine DNS ¦ Hôte DNS ¦ Adresse IP ¦ Intervalle IP ¦ Adresse MAC ¦ Sous-réseau 6 Entrez les informations appropriées qui sont associées au type d'hôte que vous avez sélectionné. Pour plus d'informations sur ces options, cliquez sur Aide. 7 Cliquez sur OK. 8 Répétez les étapes 4 et 7 pour ajouter des périphériques supplémentaires et des ordinateurs à la liste des ordinateurs exclus. Configuration de la prévention d'intrusion Configuration de la prévention d'intrusion 5209 Pourmodifier ou supprimer des hôtes exclus, sélectionnez une ligne et cliquez sur Edition ou sur Supprimer. 10 Cliquez sur OK. 11 Quand vous avez fini de configurer la politique, cliquez sur OK. Création de signatures IPS personnalisées Vous pouvez enregistrer vos propres signatures pour identifier une intrusion spécifique et pour réduire la possibilité de signatures qui entraînent un faux positif. Plus vous ajoutez d'informations à une signature personnalisée, plus celle-ci est efficace. Quand vous créez une bibliothèque personnalisée, vous pouvez organiser des signatures en groupes pour les gérer plus facilement.Vous devez ajouter aumoins un groupe de signatures à une bibliothèque personnalisée de signatures avant d'ajouter les signatures au groupe. Vous pouvez copier et coller des signatures entre les groupes et entre les bibliothèques. Avertissement:Vous devez être familiarisé avec les protocoles TCP, UDP ou ICMP pour développer des signatures de prévention d'intrusion. Une signature incorrectement formée peut corrompre la bibliothèque IPS personnalisée et endommager l'intégrité des clients. Pour créer des signatures IPS personnalisées, vous devez effectuer les étapes suivantes : ¦ Créez une bibliothèque IPS personnalisée. ¦ Ajoutez une signature. Pour créer une bibliothèque IPS personnalisée 1 Dans la console, cliquez sur Politiques et cliquez sur Préventiond'intrusion. 2 Sous Tâches, cliquez sur Ajouter des signatures de prévention d'intrusion personnalisée. 3 Dans la boîte de dialogue Signatures personnalisées de prévention d'intrusion, tapez un nom et description facultative pour la bibliothèque. Le groupe NetBIOS Groupe est un groupe de signatures témoin avec une signature témoin. Vous pouvez modifier le groupe existant ou ajouter un nouveau groupe. 4 Pour ajouter un nouveau groupe, dans l'onglet Signatures, sous la liste Groupes de signatures, cliquez sur Ajouter. Configuration de la prévention d'intrusion 521 Création de signatures IPS personnalisées5 Dans la boîte de dialogue Groupe de signatures de prévention d'intrusion, tapez un nom de groupe et une description facultative et cliquez sur OK. Le groupe est activé par défaut. Si le groupe de signatures est activé, toutes les signatures au sein du groupe sont activées automatiquement. Pour conserver le groupe pour référence mais le désactiver, supprimez la coche Activer ce groupe. 6 Ajoutez une signature personnalisée. Pour ajouter une signature personnalisée 1 Ajoutez une bibliothèque IPS personnalisée. 2 Dans l'onglet Signatures, sous Signatures pour ce groupe, cliquez sur Ajouter. 3 Dans la boîte de dialogue Ajouter une signature, tapez un nom et une description facultative pour la signature. 4 Dans la liste déroulante Gravité, sélectionnez un niveau de gravité. Les événements qui correspondent aux conditions de signature sont consignés avec cette gravité. 5 Dans la liste déroulante Sens, spécifiez la direction du trafic que vous voulez que la signature vérifie. 6 Dans le champ Contenu, tapez la syntaxe de la signature. Pour plus d'informations sur la syntaxe, cliquez sur Aide. 7 Si vous voulez qu'une application déclenche la signature, cliquez sur Ajouter. 8 Dans la boîte de dialogue Ajouter une application, tapez le nom de fichier et une description facultative pour l'application. Par exemple, pour ajouter l'application Microsoft Internet Explorer, tapez iexplore ou iexplore.exe en tant que nom de fichier. Si vous ne spécifiez pas de nom de fichier, n'importe quelle application peut déclencher la signature. 9 Cliquez sur OK. L'application ajoutée est activée par défaut. Si vous voulez désactiver l'application plus tard, décochez la case de la colonne Enabled (Activé). Configuration de la prévention d'intrusion Création de signatures IPS personnalisées 52210 Dans la zone de groupe Action, sélectionnez l'action que vous voulez que le client effectue quand la signature détecte l'événement : Identifie et bloque les évènements ou les attaques et les enregistre dans le Journal de Sécurité. Bloquer Identifie et autorise les évènements ou les attaques et les enregistre dans le Journal de Sécurité. Autoriser Enregistre les évènements ou les attaques dans le Journal de Paquets de données Enregistrer dans le journal des paquets 11 Cliquez sur OK. La signature ajoutée est activée par défaut. Si vous voulez désactiver la signature plus tard, décochez la case de la colonne Enabled (Activé). 12 Pour ajouter des signatures supplémentaires au groupe de signatures, répétez les étapes 2 à 11. Pour modifier ou supprimer une signature, sélectionnez-la et cliquez sur Modifier ou Supprimer. 13 Si vous avez terminé avec la configuration de cette bibliothèque, cliquez sur OK. 14 Si vous êtes invité à attribuer les signatures IPS personnalisées à un groupe, cliquez sur Oui. 15 Dans la boîte de dialogue Assigner la politique de prévention d'intrusion, sélectionnez les groupes auxquels vous voulez attribuer la politique. 16 Cliquez sur Assign (Assigner), et cliquez sur Oui. Attribution de multiples bibliothèques IPS personnalisées à un groupe Après avoir créé une bibliothèque IPS personnalisée, vous l'attribuez à un groupe plutôt qu'à un emplacement particulier. Vous pouvez ultérieurement attribuer au groupe des bibliothèques IPS personnalisées supplémentaires. Pour attribuer de multiples bibliothèques IPS personnalisées à un groupe 1 Dans la console, cliquez sur Clients. 2 Sous Afficher les clients, sélectionnez le groupe auquel vous souhaitez attribuer les signatures personnalisées. 3 Dans l'onglet Politiques, sous Politiques et paramètres indépendants de l'emplacement, cliquez sur Prévention d'intrusion personnalisée. Configuration de la prévention d'intrusion 523 Création de signatures IPS personnalisées4 Dans la boîte de dialogue Prévention d'intrusion personnalisée pour nom de groupe, vérifiez la case à cocher de la colonne Activée de chaque bibliothèque IPS à attribuer à ce groupe. 5 Cliquez sur OK. Modifier l'ordre des signatures Le moteur IPS de signatures personnalisées vérifie les signatures dans l'ordre dans lequel elles sont répertoriées dans la liste des signatures. Une seule signature est déclenchée par paquet. Quand une signature correspond à un paquet de trafic entrant ou sortant, le moteur IPS arrête de vérifier les autres signatures. Pour que lemoteur IPS exécute les signatures dans l'ordre correct, vous pouvezmodifier l'ordre des signatures dans la liste de signatures. Si plusieurs signatures correspondent, déplacez vers le haut les signatures présentant une priorité plus élevée. Par exemple, si vous ajoutez un groupe de signatures pour bloquer le trafic TCP dans les deux directions sur le port de destination 80, vous pouvez ajouter les signatures suivantes : ¦ Bloquer l'ensemble du trafic sur le port 80 ¦ Autoriser l'ensemble du trafic sur le port 80 Si la signature Bloquer l'ensemble du trafic est répertoriée en premier, la signature Autoriser l'ensemble du trafic n'est jamais exécutée. Si la signature Autoriser l'ensemble du trafic est répertoriée en premier, la signature Bloquer l'ensemble du trafic n'est jamais exécutée et l'ensemble du trafic HTTP est toujours autorisé. Pour modifier l'ordre des signatures 1 Ouvrez une bibliothèque IPS personnalisée. 2 Ajoutez ou modifiez une signature. Se reporter à "Pour ajouter une signature personnalisée" à la page 522. 3 Dans l'onglet Signatures, dans la table Signatures pour ce groupe, sélectionnez la signature que vous souhaitez déplacer, puis effectuez l'une des opérations suivantes : ¦ Pour traiter cette signature avant la signature située au-dessus d'elle, cliquez sur Vers le haut. ¦ Pour traiter cette signature après la signature située au-dessous elle, cliquez sur Vers le bas. 4 Une fois que vous avez terminé de configurer cette bibliothèque, cliquez sur OK. Configuration de la prévention d'intrusion Création de signatures IPS personnalisées 524Copier et coller des signatures Vous pouvez copier et coller des signatures au sein dumême groupe de signatures, entre des groupes de signatures ou entre des bibliothèques de signatures. Par exemple, vous pouvez vous rendre compte que vous avez ajouté une signature au mauvais groupe de signatures. Ou bien, vous pouvez vouloir avoir deux signatures presque identiques. Pour copier et coller des signatures 1 Ouvrez une bibliothèque IPS personnalisée. 2 Ajoutez ou modifiez une signature. Se reporter à "Pour ajouter une signature personnalisée" à la page 522. 3 Dans l'onglet Signatures de la boîte de dialogue Signatures de prévention d'intrusion personnalisées, dans les signatures pour ce tableau de groupe, cliquez avec le bouton droit de la souris sur la signature à copier, puis cliquez sur Copier. 4 Cliquez avec le bouton droit de la souris sur la liste de signatures, puis cliquez sur Coller. 5 Quand vous avez fini de configurer cette bibliothèque, cliquez sur OK. Définir des variables pour des signatures Quand vous ajoutez une signature IPS personnalisée, vous pouvez utiliser des variables pour représenter des données modifiables dans les signatures. Si les données changent, vous pouvez modifier la variable au lieu de modifier les signatures dans toute la bibliothèque. Pour pouvoir utiliser les variables dans la signature, vous devez les définir. Les variables que vous définissez dans la bibliothèque de signatures personnalisée peuvent être utilisées dans n'importe quelle signature de cette bibliothèque. Vous pouvez copier et coller le contenu de la variable d'échantillon existante pour démarrer en tant que base à la création de contenu. Pour définir des variables 1 Créez une bibliothèque IPS personnalisée. 2 Dans la boîte de dialogue Signatures personnalisées de prévention d'intrusion, cliquez sur l'onglet Variables. 3 Cliquez sur Ajouter. 4 Dans la boîte de dialogueAjouter une variable,tapez un nompour la variable, ainsi qu'une description si vous le souhaitez. Configuration de la prévention d'intrusion 525 Création de signatures IPS personnalisées5 Ajoutez une chaîne de contenu pour la valeur de la variable, en entrant au maximum 255 caractères. Quand vous entrez la chaîne de contenu de la variable, observez les règles de syntaxe que vous utilisez pour entrer des valeurs dans le contenu de signature. 6 Cliquez sur OK. Une fois la variable ajoutée au tableau, vous pouvez l'utiliser dans n'importe quelle signature dans la bibliothèque personnalisée. Pour utiliser des variables dans des signatures 1 Dans l'onglet Signatures, ajoutez ou modifiez une signature. Se reporter à "Pour ajouter une signature personnalisée" à la page 522. 2 Dans la boîte de dialogueAjouter une signature ouModifier la signature, dans le champ Contenu, tapez le nom de la variable avec un symbole dollar ($) devant. Par exemple, si vous créez une variable nommée HTTP pour spécifier des ports HTTP, tapez ce qui suit : $HTTP 3 Cliquez sur OK. 4 Une fois que vous avez terminé de configurer cette bibliothèque, cliquez sur OK. Configuration de la prévention d'intrusion Création de signatures IPS personnalisées 526Personnalisation de la protection contre les menaces réseau Ce chapitre traite des sujets suivants : ¦ Activer et désactiver la protection contre les menaces réseau ¦ Configurer des paramètres de protection contre les menaces réseau pour la commande mélangée ¦ Ajouter des hôtes et des groupes d'hôtes ¦ Modifier et supprimer les groupes d'hôtes ¦ Ajout d'hôtes et de groupes d'hôtes à une règle ¦ Ajout de services réseau ¦ Modifier et supprimer des services réseau personnalisés ¦ Ajout des services réseau à une règle ¦ Activation du partage des fichiers et des imprimantes du réseau ¦ Ajouter des adaptateurs réseau ¦ Ajout de cartes réseau à une règle ¦ Modifier et supprimer les adaptateurs réseau personnalisés ¦ Ajouter des applications à une règle ¦ Ajout de planifications à une règle Chapitre 34¦ Configurer des notifications pour la protection contre les menaces réseau ¦ Installation de la surveillance d'application réseau Activer et désactiverla protection contre lesmenaces réseau Par défaut, la protection contre les menaces réseau est activée. Vous pouvez désactiver la protection contre lesmenaces réseau sur des ordinateurs sélectionnés. Par exemple, il peut être nécessaire d'installer un correctif sur les ordinateurs client qui sinon obligeraient le pare-feu à bloquer l'installation. Si vous désactivez la protection contre les menaces réseau, elle est automatiquement activée quand les cas suivants se produisent : ¦ L'utilisateur arrête et redémarre l'ordinateur client. ¦ L'emplacement client passe de contrôle de serveur à contrôle de client. ¦ Vous avez configuré le client pour activer la protection au bout d'un certain laps de temps. ¦ Une nouvelle politique de sécurité qui active la protection esttéléchargée vers le client. Vous pouvez également activer manuellement la protection contre les menaces réseau via les journaux d'état d'ordinateur. Se reporter à "Exécuter des commandes et des actions à partir des journaux" à la page 221. Vous pouvez également accorder à l'utilisateur de l'ordinateur clientl'autorisation d'activer ou de désactiver la protection. Cependant, vous pouvez remplacer le paramètre du client. Ou vous pouvez désactiver la protection sur le client même si les utilisateurs l'ont activée. Vous pouvez activer la protection même si les utilisateurs l'ont désactivée. Se reporter à "Configuration des paramètres d'interface utilisateur" à la page 131. Pour activer et désactiver la protection contre les menaces réseau pour un groupe 1 Dans la console, cliquez sur Clients. 2 Sous Afficher les clients, sélectionnez un groupe pour lequel vous voulez activer ou désactiver la protection. 3 Effectuez l'une des opérations suivantes : ¦ Pour tous les ordinateurs et utilisateurs du groupe, cliquez avec le bouton droit de la souris sur le groupe, cliquez sur Exécuter la commande sur le Personnalisation de la protection contre les menaces réseau Activer et désactiver la protection contre les menaces réseau 528groupe, puis sur Activer la protection contre les menaces réseau ou Désactiver la protection contre les menaces réseau. ¦ Pour les utilisateurs ou les ordinateurs sélectionnés dans un groupe, dans l'onglet Clients, sélectionnez les utilisateurs ou les ordinateurs. Cliquez ensuite avec le bouton droit de la souris sur la sélection, puis cliquez sur Exécuter la commande sur les clients > Activer la protection contre les menaces réseau ou Désactiver la protection contre lesmenaces réseau. 4 Pour confirmer l'action, cliquez sur Oui. 5 Cliquez sur OK. Configurer des paramètres de protection contre les menaces réseau pour la commande mélangée Vous pouvez installer le client de sorte que les utilisateurs n'aient aucun contrôle, un contrôle complet ou un contrôle limité sur les paramètres de protection contre les menaces réseau qu'ils peuvent configurer. Quand vous configurez le client, utilisez les directives suivantes : ¦ Si vous définissez le client sur la commande de serveur, l'utilisateur ne peut créer aucune règles de filtrage ni activer des paramètres de pare-feu et de prévention d'intrusion. ¦ Si vous définissez le client sur la commande client, l'utilisateur peut créer des règles de filtrage et activer tous les paramètres de pare-feu et de prévention d'intrusion. ¦ Si vous définissez le client sur la commande mélangée, l'utilisateur peut créer des règles de filtrage et vous décidez quels paramètres de pare-feu et de prévention d'intrusion l'utilisateur peut activer. Se reporter à "Configuration des paramètres d'interface utilisateur" à la page 131. Pour configurer des paramètres de protection contre les menaces réseau pour la commande mélangée 1 Dans la console, cliquez sur Clients. 2 SousAfficher les clients, sélectionnez le groupe dont vous souhaitezmodifier le niveau de contrôle de l'utilisateur. 3 Dans l'onglet Politiques, sous Politiques et paramètres dépendants de l'emplacement, sous un emplacement, développez Paramètres spécifiques aux emplacements. 4 A la droite de Paramètres de contrôle d'interface utilisateur client, cliquez sur Tâches >Modifier les paramètres…. Personnalisation de la protection contre les menaces réseau 529 Configurer des paramètres de protection contre les menaces réseau pour la commande mélangée5 Dans la boîte de dialogue Paramètres demode de contrôle, cliquez surContrôle mixte et cliquez sur Personnaliser. 6 Dans l'onglet Paramètres de contrôle client/serveur, sous les catégories Politique de pare-feu et Politique de prévention d'intrusion, faites une des actions suivantes : ¦ Pour rendre un paramètre client configurable par les utilisateurs, cliquez sur Client. ¦ Pour configurer un paramètre client, cliquez sur Serveur. 7 Cliquez sur OK. 8 Pour chaque paramètre de pare-feu et de prévention d'intrusion que vous définissez sur Serveur, activez ou désactivez le paramètre dans la politique de pare-feu ou la politique de prévention d'intrusion. Se reporter à "Activation du filtrage de trafic intelligent " à la page 507. Se reporter à "Activation des paramètres de trafic et des paramètres furtifs" à la page 508. Se reporter à "Configuration de la prévention d'intrusion" à la page 515. Ajouter des hôtes et des groupes d'hôtes Un groupe d'hôtes est une collection de noms de domaine de DNS, de noms d'hôte DNS, d'adresses IP, d'intervalles IP, d'adresses MAC ou de sous-réseaux groupés sous un nom. Les groupes d'hôtes ont pour but d'éviter d'avoir à ressaisir les adresses et les noms d'hôte. Par exemple, vous pouvez ajouter des adresses IP multiples, une à la fois, en suivant une règle de filtrage. Ou alors, vous pouvez ajouter des adresses IP multiples à un groupe d'hôtes, puis ajouter le groupe à la règle de filtrage. Lorsque vous incorporez des groupes d'hôtes, vous devez décrire le lieu d'utilisation des groupes. Si vous décidez par la suite de supprimer un groupe d'hôtes, vous devez d'abord supprimer le groupe d'hôtes de toutes les règles qui font référence au groupe. Lorsque vous ajoutez un groupe d'hôtes, il apparaît au bas de la liste des hôtes. Vous pouvez accéder à la liste des hôtes du champ Hôte dans une règle de filtrage. Se reporter à "A propos des déclencheurs d'hôte" à la page 491. Personnalisation de la protection contre les menaces réseau Ajouter des hôtes et des groupes d'hôtes 530Procédure de création de groupes d'hôtes 1 Dans la Console, cliquez sur Politiques>Composantsdepolitique>Groupes d'hôtes. 2 Sous Tâches, cliquez sur Ajouter un groupe d'hôtes. 3 Dans la boîte de dialogue Groupe d'hôtes, saisissez un nom puis cliquez sur Ajouter. 4 Dans la boîte de dialogue Hôte, dans la liste déroulante Type, sélectionnez l'un des hôtes suivants : ¦ Domaine DNS ¦ Hôte DNS ¦ Adresse IP ¦ Intervalle IP ¦ Adresse MAC ¦ Sous-réseau 5 Entrez les informations appropriées pour chaque type d'hôte. 6 Cliquez sur OK. 7 Ajoutez des hôtes supplémentaires, au besoin. 8 Cliquez sur OK. Modifier et supprimer les groupes d'hôtes Vous pouvez modifier ou supprimer tous les groupes d'hôtes ajoutés. Vous ne pouvez modifier ni supprimer un groupe d'hôtes par défaut. Avant de supprimer un groupe d'hôtes personnalisé, vous devez supprimer le groupe d'hôtes de toutes les règles quifont référence au groupe. Les paramètres que vousmodifiez changent dans toutes les règles qui font référence au groupe. Pour modifier les groupes d'hôtes 1 Dans la Console, cliquez sur Politiques>Composantsdepolitique>Groupes d'hôtes. 2 Dans le volet Groupes d'hôtes, sélectionnez le groupe d'hôtes à modifier. 3 Sous Tâches, cliquez sur Modifier le groupe d'hôtes. 4 Dans la boîte de dialogue Groupe d'hôtes, modifiez optionnellement le nom de groupe, sélectionnez un hôte, puis cliquez sur Modifier. Pour supprimer l'hôte du groupe, cliquez sur Supprimer, puis sur Oui. Personnalisation de la protection contre les menaces réseau 531 Modifier et supprimer les groupes d'hôtes5 Dans la boîte de dialogue Hôte, modifiez le type d'hôte ou modifiez les paramètres d'hôte. 6 Cliquez sur OK. 7 Cliquez sur OK. Pour supprimer des groupes d'hôtes 1 Dans la Console, cliquez sur Politiques>Composantsdepolitique>Groupes d'hôtes. 2 Dans le volet Groupes d'hôtes, sélectionnez le groupe d'hôtes à supprimer. 3 Sous Tâches, cliquez sur Supprimer le groupe d'hôtes. 4 Lorsque vous êtes invité à confirmer, cliquez sur Supprimer. Ajout d'hôtes et de groupes d'hôtes à une règle Pour bloquer le trafic à ou d'un serveur spécifique, bloquez le trafic par l'adresse IP plutôt que par nom de domaine ou nom d'hôte. Autrement, il se peut que l'utilisateur puisse accéder à l'équivalent de l'adresse IP du nom d'hôte. Pour ajouter des hôtes et des groupes d'hôtes à une règle 1 Dans la console, ouvrez une politique de pare-feu. Se reporter à "A propos de la modification des politiques" à la page 380. 2 Sur la page de politique de pare-feu, cliquez sur Règles. 3 Dans l'onglet Règles, dans la liste Règles, sélectionnez la règle que vous souhaitez modifier, cliquez avec le bouton droit de la souris sur le champ Hôte et cliquez sur Edition. 4 Dans la boîte de dialogue Liste des hôtes, effectuez l'une des opérations suivantes : ¦ Cliquez sur Source/Destination. ¦ Cliquez sur Local/Distant. 5 Dans Source et Destination ou les tableaux locaux et distants, effectuez l'une des opérations suivantes : ¦ Pour activer un groupe d'hôtes que vous avez ajouté par l'intermédiaire de la liste Composants de politique, allez à l'étape 10. Se reporter à "Ajouter des hôtes et des groupes d'hôtes" à la page 530. ¦ Pour ajouter un hôte pour la règle sélectionnée seulement, cliquez sur Ajouter. Personnalisation de la protection contre les menaces réseau Ajout d'hôtes et de groupes d'hôtes à une règle 5326 Dans la boîte de dialogue Hôte, sélectionnez un type d'hôte de la liste déroulante Type et entrez les informations appropriées pour chaque type d'hôte. Pour plus de détails sur chaque option de cette boîte de dialogue, cliquez sur Aide. 7 Cliquez sur OK. 8 Ajoutez les hôtes supplémentaires, au besoin. 9 Dans la boîte de dialogue Liste des hôtes, pour chaque hôte ou groupe d'hôtes pour lequel vous voulez déclencher la règle de filtrage, assurez-vous que la case à cocher de la colonne Activée est sélectionnée. 10 Cliquez sur OK pour revenir à la liste Règles. Ajout de services réseau Les services réseau permettent aux ordinateurs en réseau d'envoyer et de recevoir des messages, des fichiers partagés et d'imprimer. Un service réseau utilise un ou plusieurs protocoles ou ports pour transmettre un type de trafic spécifique. Par exemple, le service HTTP utilise les ports 80 et 443 dans le protocole TCP. Vous pouvez créer une règle de pare-feu qui autorise ou bloque des services réseau. La liste des services réseau évite de retaper un protocole et un port pour chaque règle que vous créez. Vous pouvez sélectionner un service réseau dans une liste par défaut des services réseau utilisés couramment. Vous pouvez alors ajouter le service réseau à la règle du pare-feu. Vous pouvez également ajouter des services réseau à la liste par défaut. Remarque : IPv4 et IPv6 sont deux protocoles de couche réseau qui sont utilisés sur Internet. Le pare-feu bloque les attaques qui transitent par IPv4, mais pas par IPv6. Si vous installez le client sur les ordinateurs qui exécutent Microsoft Vista, la liste Règles inclut plusieurs règles par défaut qui bloquent le type de protocole Ethernet d'IPv6. Si vous supprimez les règles par défaut, vous devez créer une règle qui bloque IPv6. Si vous voulez autoriser ou bloquer un service réseau qui n'est pas dans la liste par défaut, vous pouvez l'ajouter. Vous devez connaître le type de protocole et les ports qu'il utilise. Pour ajouter un service réseau personnalisé qui est accessible de n'importe quelle règle de pare-feu, vous l'ajoutez par l'intermédiaire de la liste Composants de politique. Personnalisation de la protection contre les menaces réseau 533 Ajout de services réseauPour ajouter un service réseau personnalisé à la liste par défaut 1 Dans la console, cliquez sur Politiques>Composantsdepolitique>Services réseau. 2 Sous Tâches, cliquez sur Ajouter un service réseau…. 3 Cliquez sur Ajouter un service. 4 Dans la boîte de dialogue Service réseau, tapez le nom du service et cliquez sur Ajouter. 5 De la liste déroulante Protocole, sélectionnez l'un des protocoles suivants : ¦ TCP ¦ UDP ¦ ICMP ¦ IP ¦ Ethernet Les options changent selon le protocole que vous sélectionnez. Pour plus d'informations, cliquez sur Aide. 6 Remplissez les champs appropriés, puis cliquez sur OK. 7 Ajoutez un ou plusieurs protocoles supplémentaires, le cas échéant. 8 Cliquez sur OK. Vous pouvez ajouter le service à n'importe quelle règle de pare-feu. Modifier et supprimer des services réseau personnalisés Vous pouvez modifier ou supprimer tous les services réseau personnalisées que vous avez ajoutés. Vous ne pouvez modifier ni supprimer un service réseau par défaut. Avant que vous puissiez supprimer un service réseau personnalisé, vous devez le supprimer de toutes les règles qui font référence au service. Pour modifier les services réseau personnalisés 1 Dans la console, cliquez sur Politiques>Composantsdepolitique>Services réseau. 2 Dans le volet Services réseau, sélectionnez le service à modifier. 3 Sous Tâches, cliquez sur Modifier le service réseau. Personnalisation de la protection contre les menaces réseau Modifier et supprimer des services réseau personnalisés 5344 Dans la boîte de dialogue Service réseau, modifiez le nom du service ou sélectionnez le protocole et cliquez sur Modifier. 5 Modifiez les paramètres de protocole. Pour plus d'informations au sujet des options dans cette boîte de dialogue, cliquez sur Aide. 6 Cliquez sur OK. 7 Cliquez sur OK. Pour supprimer les services réseau personnalisés 1 Dans la console, cliquez sur Politiques>Composantsdepolitique>Services réseau. 2 Dans le volet Service réseau, sélectionnez le service à supprimer. 3 Sous Tâches, cliquez sur Supprimer le service réseau. 4 Lorsque vous êtes invité à confirmer, cliquez sur Oui. Ajout des services réseau à une règle Vous pouvez ajouter un service réseau personnalisé par une règle de pare-feu. Cependant, ce service réseau n'est pas ajouté à la liste par défaut. Vous ne pouvez accéder à l'adaptateur personnalisé à partir d'aucune autre règle. Pour ajouter des services réseau à une règle 1 Dans la console, ouvrez une politique de pare-feu. Se reporter à "A propos de la modification des politiques" à la page 380. 2 Sur la page de politique de pare-feu, cliquez sur Règles. 3 Dans l'ongletRègles, dans la listeRègles, sélectionnez la règle que vous voulez modifier, cliquez avec le bouton droit de la souris sur le champ Service, puis cliquez sur Edition. 4 Dans la boîte de dialogue Liste des services, cochez la case Activer pour chaque service devant déclencher la règle. 5 Pour ajouter un service supplémentaire pour la règle sélectionnée seulement, cliquez sur Ajouter. 6 Dans la boîte de dialogue Protocole, sélectionnez un protocole de la liste déroulante Protocole. 7 Complétez les champs appropriés. Pour plus d'informations en ces options, cliquez sur Aide. Personnalisation de la protection contre les menaces réseau 535 Ajout des services réseau à une règle8 Cliquez sur OK. 9 Cliquez sur OK. Activation du partage des fichiers et des imprimantes du réseau Vous pouvez permettre au client de partager ses fichiers ou d'accéder à des fichiers et des imprimantes partagés sur le réseau local. Pour empêcher des attaques basées sur le réseau, vous pouvez désactiver le partage des fichiers et des imprimantes du réseau. Vous activez le partage des fichiers et des imprimantes du réseau en ajoutant des règles de filtrage. Les règles de filtrage autorisent l'accès aux ports pour l'accès aux fichiers et aux imprimantes ainsi que leur partage. Vous créez une règle de filtrage permettant au client de partager ses fichiers. Vous créez une deuxième règle de filtrage afin que le client puisse accéder à d'autres fichiers etimprimantes. Si le client est en contrôle client ou en contrôle mixte, les utilisateurs sur le client peuvent activer ces paramètres automatiquement en les configurant dans la protection contre les menaces réseau. En contrôle mixte, une règle de filtrage de serveur qui spécifie ce type de trafic peut remplacer ces paramètres. En contrôle de serveur, ces paramètres ne sont pas disponibles sur le client. Pour plus d'informations, consultez le Guide clientde SymantecEndpointProtection et Symantec Network Access Control. Pour permettre aux clients d'accéder aux fichiers et imprimantes 1 Dans la console, ouvrez une politique de pare-feu. Se reporter à "A propos de la modification des politiques" à la page 380. 2 Dans la page Politique de pare-feu, cliquez sur Règles. 3 Ajoutez une règle vide, puis tapez son nom dans la colonne Nom. Se reporter à "Ajouter des règles vierges" à la page 499. 4 Cliquez avec le bouton droit de la souris sur le champ Service, puis cliquez sur Modifier. 5 Dans la boîte de dialogue Liste des services, cliquez sur Ajouter. 6 Dans la boîte de dialogue Protocole, dans la liste déroulante Protocole, cliquez sur TCP, puis cliquez sur Local/Distant. 7 Dans la liste déroulante Port distant, tapez 88, 135, 139, 445. 8 Cliquez sur OK. Personnalisation de la protection contre les menaces réseau Activation du partage des fichiers et des imprimantes du réseau 5369 Dans la boîte de dialogue Liste des services, cliquez sur Ajouter. 10 Dans la boîte de dialogue Protocole, dans la liste déroulante Protocole, cliquez sur UDP. 11 Dans la liste déroulante Port local, tapez 137, 138. 12 Dans la liste déroulante Port distant, tapez 88. 13 Cliquez sur OK. 14 Dans la boîte de dialogue Liste des services, assurez-vous que les deux services sont activés et cliquez sur OK. 15 Dans l'onglet Règles, vérifiez que le champ Action a pour valeur Autoriser. 16 Si vous en avez terminé avec la configuration de la politique, cliquez sur OK. 17 Si vous y êtes invité, assignez la politique à un emplacement. Se reporter à "Affectation d'une politique partagée" à la page 382. Pour permettre aux autres ordinateurs d'accéder aux fichiers sur le client 1 Dans la console, ouvrez une politique de pare-feu. Se reporter à "A propos de la modification des politiques" à la page 380. 2 Sur la page de politique de pare-feu, cliquez sur Règles. 3 Ajoutez une règle vide, puis tapez son nom dans la colonne Nom. Se reporter à "Ajouter des règles vierges" à la page 499. 4 Cliquez avec le bouton droit de la souris sur le champ Service, puis cliquez sur Modifier. 5 Dans la boîte de dialogue Liste des services, cliquez sur Ajouter. 6 Dans la liste déroulante Protocole de la boîte de dialogue Protocole, cliquez sur TCP, puis sur Local/Distant. 7 Dans la liste déroulante Port local, tapez 88, 135, 139, 445. 8 Cliquez sur OK. 9 Dans la boîte de dialogue Liste des services, cliquez sur Ajouter. 10 Dans la liste déroulante Protocole de la boîte de dialogue Protocole, cliquez sur UDP. 11 Dans la liste déroulante Port local, tapez 88, 137, 138. 12 Cliquez sur OK. 13 Dans la boîte de dialogue Liste des services, vérifiez que les deux services sont activés et cliquez sur OK. Personnalisation de la protection contre les menaces réseau 537 Activation du partage des fichiers et des imprimantes du réseau14 Dans l'onglet Règles, vérifiez que le champ Action a pour valeur Autoriser. 15 Quand vous avez terminé de configurer la politique, cliquez sur OK. 16 Le cas échéant, attribuez la règle à un emplacement. Se reporter à "Affectation d'une politique partagée" à la page 382. Ajouter des adaptateurs réseau Vous pouvez appliquer une règle de filtrage séparée à chaque adaptateur réseau. Par exemple, vous pouvez vouloir bloquer le trafic par un VPN à un emplacement de bureau, mais pas à un emplacement domestique. Vous pouvez sélectionner un adaptateur réseau à partir d'une liste par défaut partagée entre les politiques de pare-feu et les règles de filtrage. Les adaptateurs les plus communs sont inclus dans la liste par défaut dans la liste Composants de politique. Les adaptateurs communs incluent les adaptateurs VPN, Ethernet, sans-fil, Cisco, Nortel et Enterasys. Utilisez la liste par défaut afin de ne pas devoir ressaisir chaque adapteur réseau pour chaque règle que vous créez. Remarque : Le client ne filtre pas et ne détecte pas le trafic réseau des PDA (assistant numérique personnel). Pour ajouter un adaptateur réseau personnalisé à la liste par défaut 1 Dans la console, cliquez sur Politiques > Composants de politique > Adaptateurs réseau. 2 Sous Tâches, cliquez sur Ajouter un adaptateur réseau. 3 Dans la boîte de dialogue Adaptateur réseau, dans la liste déroulante Adaptateur, sélectionnez un adaptateur. 4 Dans le champ Nom de l'adaptateur, tapez une description optionnelle. 5 Dans la zone de texte Identification de l'adaptateur, tapez un nom sensible à la casse de marque pour l'adaptateur. Pour trouver la marque de l'adaptateur, ouvrez une ligne de commande sur le client, puis tapez le texte suivant : ipconfig/all 6 Cliquez sur OK. Vous pouvez alors ajouter l'adaptateur à n'importe quelle règle de filtrage. Personnalisation de la protection contre les menaces réseau Ajouter des adaptateurs réseau 538Ajout de cartes réseau à une règle Vous pouvez ajouter une carte réseau personnalisée à partir d'une règle de pare-feu. Cependant, cette carte n'est pas ajoutée à la liste partagée.Vous ne pouvez accéder à la carte personnalisée à partir d'aucune autre règle. Pour ajouter une carte réseau à une règle 1 Dans la console, ouvrez une politique de pare-feu. Se reporter à "A propos de la modification des politiques" à la page 380. 2 Sur la page de politique de pare-feu, cliquez sur Règles. 3 Dans l'onglet Règles, dans la liste Règles, sélectionnez la règle que vous souhaitez modifier, cliquez avec le bouton droit de la souris sur le champ Adaptateur, puis cliquez sur Adaptateurs supplémentaires. 4 Dans la boîte de dialogue Adaptateur réseau, effectuez l'une des opérations suivantes : ¦ Pour déclencher la règle pour n'importe quel adaptateur, même s'il n'est pas listé, cliquez sur Appliquer cette règle à tous les adaptateurs, puis passez à l'étape 8. ¦ Pour déclencher la règle pour les adaptateurs sélectionnés, cliquez sur Appliquer cette règle aux adaptateurs suivants, puis cochez la case de la colonne Activée pour chacun des adaptateurs devant déclencher la règle. 5 Pour ajouter un adaptateur personnalisé pour la règle sélectionnée seulement, cliquez sur Ajouter. 6 Dans la boîte de dialogueAdaptateur réseau, sélectionnez le type d'adaptateur et tapez la marque de l'adaptateur dans la zone de texte Identification de l'adaptateur. 7 Cliquez sur OK. 8 Cliquez sur OK. Modifier et supprimer les adaptateurs réseau personnalisés Vous pouvez modifier ou supprimer tous les adaptateurs réseau personnalisés que vous avez ajoutés.Vous ne pouvezmodifier ni supprimer un adaptateur réseau par défaut. Avant que vous puissiez supprimer un adaptateur personnalisé, vous devez le supprimer de toutes les règles qui font référence à l'adaptateur. Les Personnalisation de la protection contre les menaces réseau 539 Ajout de cartes réseau à une règleparamètres que vous modifiez changent dans toutes les règles qui qui font référence à l'adaptateur. Pour modifier un adaptateur réseau personnalisé 1 Dans la console, cliquez sur Politiques > Composants de politique > Adaptateurs réseau. 2 Dans le volet Adaptateurs réseau, sélectionnez l'adaptateur personnalisé à modifier. 3 Sous Tâches, cliquez sur Modifier l'adaptateur réseau. 4 Dans la boîte de dialogue Adaptateurs réseau, modifiez le type d'adaptateur, le nom ou le texte d'identification d'adaptateur. 5 Cliquez sur OK. Pour supprimer un adaptateur réseau personnalisé 1 Dans la console, cliquez sur Politiques > Composants de politique > Adaptateurs réseau. 2 Dans le volet Adaptateurs réseau, sélectionnez l'adaptateur personnalisé à supprimer. 3 Sous Tâches, cliquez sur Supprimer l'adaptateur réseau. 4 Lorsque vous êtes invité à confirmer, cliquez sur Oui. Ajouter des applications à une règle Vous pouvez définir des informations sur les applications que les clients exécutent et inclure ces informations dans une règle de filtrage. Par exemple, vous pourriez vouloir autoriser des versions antérieures de Microsoft Word. Vous pouvez définir des applications des manières suivantes : ¦ Vous pouvez définir les caractéristiques d'une application en entrant manuellementles informations. Si vous n'avez pas assez d'informations, vous pouvez vouloir rechercher la liste d'applications assimilées. ¦ Vous pouvez définir les caractéristiques d'une application en recherchant la liste d'applications assimilées. Les applications de la liste d'applications assimilées sont les applications exécutées par des ordinateurs client de votre réseau. Personnalisation de la protection contre les menaces réseau Ajouter des applications à une règle 540Pour définir des applications 1 Dans la console, ouvrez une politique de pare-feu. Se reporter à "A propos de la modification des politiques" à la page 380. 2 Sur la page Politique de pare-feu, cliquez sur Règles. 3 Dans l'onglet Règles, dans la liste Règles, cliquez avec le bouton droit de la souris sur le champ Application , puis cliquez sur Modifier. 4 Dans la boîte de dialogue Liste d'applications, cliquez sur Ajouter. 5 Dans la boîte de dialogue Ajouter une application, entrez l'un ou plusieurs des champs suivants : ¦ Chemin d'accès et nom de fichier ¦ Description ¦ Taille, en octets ¦ Date de dernière modification de l'application ¦ Signature du fichier 6 Cliquez sur OK. 7 Cliquez sur OK. Pour rechercher des applications dans la liste des applications assimilées 1 Sur la page Politique de pare-feu, cliquez sur Règles. 2 Dans l'onglet Règles, sélectionnez une règle, cliquez avec le bouton droit de la souris sur le champ Application puis cliquez sur Modifier. 3 Dans la boîte de dialogue Liste des applications, cliquez sur Ajouter à partir de. 4 Dans la boîte de dialogue Rechercher des applications, recherchez une application. Se reporter à "Recherche d'applications" à la page 400. 5 Sous la table Résultats de la requête, pour ajouter l'application à la liste des applications, sélectionnez l'application, cliquez sur Ajouter, puis sur OK. 6 Cliquez sur Fermer. 7 Cliquez sur OK. Ajout de planifications à une règle Vous pouvez définir une période pendant laquelle une règle est active ou non. Personnalisation de la protection contre les menaces réseau 541 Ajout de planifications à une règlePour ajouter des planifications à une règle 1 Dans la console, ouvrez une politique de pare-feu. Se reporter à "A propos de la modification des politiques" à la page 380. 2 Sur la page de politique de pare-feu, cliquez sur Règles. 3 Dans l'ongletRègles, sélectionnez la règle que vous souhaitezmodifier, cliquez avec le bouton droit de la souris sur le champ Heure, puis cliquez sur Edition. 4 Dans la liste Planification, cliquez sur Ajouter. 5 Dans la boîte de dialogue Ajouter une planification, configurez l'heure de début et l'heure de fin définissant la période d'activité ou de non activité de la règle. 6 Dans la liste déroulante Mois, sélectionnez Tous ou un mois spécifique. 7 Sélectionnez l'une des cases à cocher suivantes : ¦ Chaque jour ¦ Week-end ¦ Jours de la semaine ¦ Spécifier les jours Si vous sélectionnez Spécifier les jours, sélectionnez un ou plusieurs jours de la liste. 8 Cliquez sur OK. 9 Dans la liste Planification, effectuez l'une des opérations suivantes : ¦ Pour maintenir la règle active pendant ce temps, désactivez la case à cocher Toute heure à l'exception de. ¦ Pour rendre la règle inactive pendant ce temps, activez la case à cocher Toute heure à l'exception de. 10 Cliquez sur OK. Configurer des notifications pourla protection contre les menaces réseau Par défaut, les notifications apparaissent sur les ordinateurs client quand le client détecte divers événements de protection contre les menaces réseau. Vous pouvez activer certaines de ces notifications. Les notifications activées affichent un message standard.Vous pouvez ajouter du texte personnalisé aumessage standard. Tableau 34-1 affiche les types d'événements que vous pouvez activer et configurer. Personnalisation de la protection contre les menaces réseau Configurer des notifications pour la protection contre les menaces réseau 542Tableau 34-1 Notifications de protection contre les menaces réseau Type de Description notification Type de notification Une règle de pare-feu sur le client bloque une application.Vous pouvez activer ou désactiver cette notification et lui ajouter du texte Afficher une notification Pare-feu sur l'ordinateur quand le client bloque une application Les applications sur le client essayent d'accéder au réseau. Cette notification est toujours activée et ne peut pas être désactivée. Texte supplémentaire à Pare-feu afficher si l'action pour une règle de pare-feu est "Demander" Le client détecte une attaque de prévention d'intrusion.Vous pouvez activer ou désactiver cette notification via le contrôle de serveur ou le contrôle mixte. Prévention d'intrusion Afficher les notifications de prévention d'intrusion Pour configurer des notifications de pare-feu 1 Dans la console, ouvrez une politique de pare-feu. Se reporter à "A propos de la modification des politiques" à la page 380. 2 Dans la page de politique de pare-feu, cliquez sur Règles, puis sur Notifications. 3 Dans l'onglet Notifications, cochez Afficherunenotificationlorsqueleclient bloque une application. 4 Pour ajouter du texte personnalisé au message standard qui s'affiche quand l'action d'une règle est définie sur Demander, cochez Texte supplémentaire à afficher si l'action d'une règle de filtrage est "Demander". 5 Pour l'une ou l'autre des notifications, cliquez sur Définir le texte supplémentaire. 6 Dans la boîte de dialogue Saisissez du texte supplémentaire, tapez le texte supplémentaire à afficher par la notification, puis cliquez sur OK. 7 Quand vous avez terminé de configurer cette politique, cliquez sur OK. Pour configurer des notifications de prévention d'intrusion 1 Dans la Console, cliquez sur Clients et, sous Afficher les clients, sélectionnez un groupe. 2 Dans l'onglet Politiques, sous Politiques et paramètres dépendants de l'emplacement, sous un emplacement, développez Paramètres spécifiques aux emplacements. Personnalisation de la protection contre les menaces réseau 543 Configurer des notifications pour la protection contre les menaces réseau3 A droite de Paramètres de contrôle d'interface utilisateur client, cliquez sur Tâches >Modifier les paramètres. 4 Dans la boîte de dialogue Paramètres de contrôle de l'interface utilisateur du client pour nomdugroupe, cliquez surContrôlemixte ouContrôleduserveur. 5 A côté de Contrôle mixte ou Contrôle du serveur, cliquez sur Personnaliser. Si vous cliquez sur Contrôle mixte, dans l'onglet Paramètres de contrôle du client/serveur, à coté de Afficher/Masquer les notifications de prévention d'intrusion, cliquez sur Serveur. Cliquez ensuite sur l'onglet Paramètres de l'interface utilisateur du client. 6 Dans la boîte de dialogue ou l'onglet Paramètres de l'interface utilisateur du client, cliquez sur Afficher les notifications de prévention d'intrusion. 7 Pour activer un bip quand la notification apparaît, cliquez sur Utiliser des effets sonores pour la notification des utilisateurs. 8 Dans le champ Nombre de secondes pendant lesquelles afficher le texte de notifications, tapez le nombre de secondes pendant lesquelles la notification doit s'afficher. 9 Pour ajouter du texte à la notification standard qui apparaît, cliquez sur Texte supplémentaire. 10 Dans la boîte de dialogue Texte supplémentaire,tapez le texte supplémentaire à afficher par la notification, puis cliquez sur OK. 11 Cliquez sur OK. 12 Cliquez sur OK. Configurer les messages électroniques pour les événements de trafic Vous pouvez configurer SymantecEndpointProtectionManager pour vous envoyer unmessage électronique chaque fois que le pare-feu détecte une violation de règle, une attaque ou un événement. Par exemple, vous pouvez souhaiter savoir à quel moment un client bloque le trafic venant d'une adresse IP particulière. Pour configurer les messages électroniques pour les événements de trafic 1 Dans la console, ouvrez une politique de pare-feu. Se reporter à "A propos de la modification des politiques" à la page 380. 2 Sur la page de politique de pare-feu, cliquez sur Règles. 3 Dans l'onglet Règles, sélectionnez une règle, cliquez avec le bouton droit de la souris sur le champ de Consignation et effectuez les actions suivantes : Personnalisation de la protection contre les menaces réseau Configurer des notifications pour la protection contre les menaces réseau 544¦ Pour envoyer unmessage de courrier électronique lors du déclenchement de la règle de filtrage, cochez Envoyer une alerte par message électronique. ¦ Pour générer un événement de journal lors du déclenchement d'une règle de filtrage, cochez les cases Ecriredans lejournaldetrafic et Ecriredans le journal de paquet. 4 Quand vous avez terminé de configurer cette politique, cliquez sur OK. 5 Configurer une alerte de sécurité. Se reporter à "Création des notifications d'administrateur" à la page 231. 6 Configurer un serveur de messagerie. Se reporter à "Etablissement de la connexion entre Symantec Endpoint Protection Manager et des serveurs de messagerie" à la page 288. Installation de la surveillance d'application réseau Vous pouvez configurer le client pour détecter et contrôler n'importe quelle application qui s'exécute sur l'ordinateur client et qui est en réseau. Les applications réseau envoient et reçoivent le trafic. Le client détecte si le contenu d'une application change. Le contenu d'une application change pour les raisons suivantes : ¦ Un cheval de Troie a attaqué l'application. ¦ L'application a été mise à jour avec une nouvelle version ou une mise à jour. Si vous suspectez qu'un cheval de Troie ait attaqué une application, vous pouvez utiliser la surveillance d'application de réseau pour configurer le client afin qu'il bloque l'application. Vous pouvez également configurer le client pour demander aux utilisateurs d'autoriser ou de bloquer l'application. La surveillance d'applicationRéseau suitle comportement d'une application dans le journal de sécurité. Si le contenu d'une application est modifié trop fréquemment, il est probable qu'un cheval de Troie ait attaqué l'application et que la sécurité de l'ordinateur client n'est pas assurée. Si le contenu d'une application est modifié peu fréquemment, il est probable qu'un correctif ait été installé et que la sécurité de l'ordinateur client n'est pas en cause. Vous pouvez utiliser ces informations pour créer une règle de pare-feu qui autorise ou bloque une application. Vous pouvez ajouter des applications à une liste de sorte que le client ne les surveille pas. Vous pouvez vouloir exclure les applications que vous pensez êtes Personnalisation de la protection contre les menaces réseau 545 Installation de la surveillance d'application réseauà l'abri d'une attaque de cheval de Troie, mais qui ont des mises à jour fréquentes et automatiques de correctif. Vous pouvez vouloir désactiver la surveillance d'application de réseau si vous êtes confiant que les ordinateurs client reçoiventla protection adéquate de l'antivirus et de la protection contre les logiciels espions. Vous pouvez également vouloir réduire le nombre de notifications qui demandent aux utilisateurs d'autoriser ou de bloquer une application réseau. Pour installer la surveillance d'application réseau 1 Dans la Console, cliquez sur Clients. 2 SousAfficher les clients, sélectionnez un groupe et puis cliquez surPolitiques. 3 Dans l'onglet Politiques, sous Politiques et paramètres indépendants de l'emplacement, cliquez sur le Surveillance d'application réseau. 4 Dans la boîte de dialogue Contrôle des applications réseau pour nomde groupe, cliquez sur Activer le contrôle des applications réseau. 5 Dans la liste déroulante Lorsqu'une modification est détectée pour une application, sélectionnez la mesure que le pare-feu prend sur l'application qui s'exécute sur le client : ¦ Demander Demande à l'utilisateur d'autoriser ou de bloquer l'application. ¦ Bloquer le trafic Empêche l'application de s'exécuter. ¦ Autoriser et consigner Permet l'application de s'exécuter et enregistre les informations dans le journal de sécurité. Le pare-feu prend cette mesure sur les applications qui ont été modifiées seulement. 6 Si vous avez sélectionné Demander, cliquez sur Texte supplémentaire. 7 Dans la boîte de dialogue Texte supplémentaire,tapez le texte que vous voulez voir apparaître sous le message standard, puis cliquez sur OK. 8 Pour exclure une application de la surveillance, sous Liste des applications non contrôlées, effectuez l'une des opérations suivantes : ¦ Pour définir une applicationmanuellement, cliquez surAjouter, complétez un ou plusieurs champs et cliquez sur OK. ¦ Pour définir une application à partir d'une liste des applications apprises, cliquez sur Ajouter à partir de…. Se reporter à "Recherche d'applications" à la page 400. Personnalisation de la protection contre les menaces réseau Installation de la surveillance d'application réseau 546La fonction des applications apprises doit être activée. Se reporter à "Activation des applications apprises." à la page 398. La liste des applications apprises surveille les applications en réseau et hors réseau. Vous devez sélectionner des applications en réseau seulement de la liste des applications apprises. Après avoir ajouté des applications à la liste Applications non contrôlée, vous pouvez les activer, les désactiver, lesmodifier ou les supprimer. 9 Pour activer ou désactiver une application, sélectionnez la case à cocher dans la colonne Activée. 10 Cliquez sur OK. Personnalisation de la protection contre les menaces réseau 547 Installation de la surveillance d'application réseauPersonnalisation de la protection contre les menaces réseau Installation de la surveillance d'application réseau 548Configuration de la protection proactive contre les menaces ¦ Configuration des analyses proactives des menaces de TruScan ¦ Configuration de Contrôle des applications et des périphériques ¦ Installation d'équipements ¦ Personnalisation des politiques de contrôle des applications et des périphériques Section 6550Configuration des analyses proactives des menaces de TruScan Ce chapitre traite des sujets suivants : ¦ A propos des analyses proactives des menaces TruScan ¦ A propos de l'utilisation des paramètres par défaut de Symantec ¦ A propos des processus détectés par les analyses proactives des menaces TruScan ¦ A propos de la gestion des faux positifs détectés par les analyses proactives des menaces TruScan ¦ A propos de les processus que les analyses proactives des menaces TruScan ignorent ¦ Comment les analyses proactives des menaces TruScan fonctionnent avec la quarantaine ¦ Commentles analyses proactives des menaces TruScan fonctionnent avec des exceptions centralisées ¦ Comprendre les détections proactives des menaces TruScan ¦ Configurer la fréquence d'analyse proactive des menaces TruScan ¦ Configuration des notifications pour les analyses proactives des menaces TruScan Chapitre 35A propos des analyses proactives des menaces TruScan Les analyses proactives desmenaces TruScan représentent un degré de protection supplémentaire pour votre ordinateur. L'analyse proactive desmenaces complète vos logiciels existants de protection contre les virus et les logiciels espions, de prévention d'intrusion et de protection par pare-feu. Remarque : TruScan, le nouveau nom de l'analyse proactive des menaces, peut apparaître dans l'interface utilisateur. Sa signification reste identique. Les analyses d'antivirus et de protection contre les logiciels espions se fondent la plupart du temps sur des signatures pour détecter des menaces connues. Les analyses proactives des menaces utilisent des technologies heuristiques pour détecter desmenaces inconnues. Les analyses de processus heuristiques analysent le comportement d'une application ou d'un processus. L'analyse détermine si le processus présente les caractéristiques demenaces telles que les chevaux de Troie, les vers ou les enregistreurs de frappe. Ce type de protection est parfois désigné sous le nom de la protection contre des attaques "zero day". Remarque : Auto-Protect utilise également un type d'heuristique appelé Bloodhound pour détecter le comportement suspect dans des fichiers. Les analyses proactives des menaces détectent le comportement suspect dans des processus actifs. Les paramètres concernant les analyses proactives des menaces sont ajoutés en tant qu'élément d'une politique antivirus et antispyware. Un grand nombre de paramètres peuvent être verrouillés de sorte que les utilisateurs sur des ordinateurs client ne puissent pas les modifier. Vous pouvez configurer les paramètres suivants : ¦ Quels types de menaces analyser ¦ Combien de fois exécuter des analyses proactives des menaces ¦ Si les notifications doivent apparaître sur l'ordinateur client quand une détection proactive des menaces se produit Les analyses proactives des menaces TruScan sont activées quand les paramètres Rechercher les chevaux de Troie et les vers ou Rechercher les enregistreurs de frappe sont activés. Si l'un de ces deux paramètres est désactivé, la page Etat du client Symantec Endpoint Protection affiche la protection proactive contre les menaces comme étant désactivée. Configuration des analyses proactives des menaces de TruScan A propos des analyses proactives des menaces TruScan 552L'analyse proactive des menaces est activée par défaut. Remarque : Puisque les analyses proactives des menaces analysent les anomalies de comportement des applications et des processus, elles peuvent affecter les performances de votre ordinateur. A propos de l'utilisation des paramètres par défaut de Symantec Vous pouvez décider comment vous voulez gérer les détections des menaces proactives.Vous pouvez utiliser les paramètres par défaut de Symantec ou spécifier le niveau de sensibilité et l'action de détection. Si vous choisissez de permettre à Symantec de gérer les détections, le logiciel client détermine l'action et le niveau de sensibilité. Le moteur d'analyse qui s'exécute sur l'ordinateur client détermine les paramètres par défaut. Si vous choisissez de gérer les détections, vous pouvez définir une action de détection unique et un niveau spécifique de sensibilité. Pour réduire les détections faussement positives, Symantec recommande d'utiliser initialement les paramètres par défaut gérés par Symantec. Après un certain temps, vous pouvez observer le nombre de faux positifs que les clients détectent. Si ce nombre est faible, vous pouvez ajuster progressivement les paramètres d'analyse proactive des menaces. Par exemple, pour la détection des chevaux de Troie et des vers, vous pouvez placer le curseur de sensibilité légèrement plus haut que le paramètre par défaut.Vous pouvez observer les résultats des analyses proactives des menaces exécutées avec la nouvelle configuration. Se reporter à "Comprendre les détections proactives des menaces TruScan" à la page 561. Se reporter à "Spécification des actions et des niveaux de sensibilité pour détecter des chevaux de Troie, des vers et des enregistreurs de frappe" à la page 564. A propos des processus détectés par les analyses proactives des menaces TruScan Les analyses proactives des menaces détectent les processus qui se comportent comme les chevaux de Troie, les vers ou les enregistreurs de frappe. Les processus affichent généralement un type de comportement qu'une menace peut exploiter (par exemple, ouvrir un port sur l'ordinateur d'un utilisateur). Configuration des analyses proactives des menaces de TruScan 553 A propos de l'utilisation des paramètres par défaut de SymantecVous pouvez configurer des paramètres pour certains types de détections proactives des menaces. Vous pouvez activer ou désactiver la détection des processus qui se comportent comme des chevaux de Troie, des vers ou des enregistreurs de frappe. Par exemple, vous pouvez détecter les processus qui se comportent comme des chevaux de Troie et des vers, mais pas les processus qui se comportent comme des applications d'enregistreur de frappe. Symantecmaintient à jour une liste des applications commerciales qui pourraient être utilisées à des fins malveillantes. Cette liste inclut les applications commerciales qui enregistrent les frappes de clavier de l'utilisateur. Elle inclut également les applications qui contrôlent un ordinateur client à distance. Vous souhaiterez peut-être savoir si ces types d'applications sont installés sur des ordinateurs client. Par défaut, les analyses proactives des menaces détectent ces applications et consignentl'événement.Vous pouvez spécifier différentes actions de correction. Vous pouvez configurer le type d'action de résolution que le client effectue quand il détecte les types particuliers d'applications commerciales. La détection inclut les applications commerciales qui contrôlent ou enregistrentles frappes de clavier d'un utilisateur ou contrôlent l'ordinateur d'un utilisateur à distance. Si une analyse détecte un enregistreur de frappe commercial ou un programme commercial de téléintervention, le client utilise l'action qui est définie dans la politique.Vous pouvez également permettre à l'utilisateur de contrôler les actions. Les analyses proactives des menaces détectent également les processus qui se comportent comme des logiciels publicitaires et des logiciels espions. Vous ne pouvez pas configurer lamanière dontles analyses proactives desmenaces traitent ces types de détection. Si les analyses proactives des menaces détectent des logiciels publicitaires ou des logiciels espions que vous voulez autoriser sur vos ordinateurs client, créez une exception centralisée. Se reporter à "Configurationd'une politique d'exceptions centralisées" à la page 615. Tableau 35-1 décritles processus détectés par les analyses proactives desmenaces. Tableau 35-1 Processus détectés parles analyses proactives desmenaces TruScan Type de processus Description Processus qui affichentles caractéristiques des chevaux deTroie ou des vers. Les analyses proactives des menaces utilisent des technologies heuristiques pour rechercher les processus qui se comportent comme des chevaux deTroie ou des vers. Ces processus peuvent être ou ne pas être des menaces. Chevaux de Troie et vers Configuration des analyses proactives des menaces de TruScan A propos des processus détectés par les analyses proactives des menaces TruScan 554Type de processus Description Processus qui montrent les caractéristiques des enregistreurs de frappe. Les analyses proactives desmenaces détectentles enregistreurs de frappe commerciaux, mais elles détectent également les processus inconnus qui montrent un comportement d'enregistreur de frappe. Les enregistreurs de frappes sont des applications d'enregistrement de frappes qui capturent les frappes de l'utilisateur. Ces applications peuvent être utilisées pour recueillir des informations sur les mots de passe et autres informations essentielles. Elles peuvent être ou ne pas être des menaces. Enregistreurs de frappe Applications commerciales connues qui pourraient être utilisées à des fins malveillantes. Les analyses proactives des menaces détectent plusieurs types différents d'applications commerciales.Vous pouvez configurer des actions pour deux types : enregistreurs de frappe et programmes de contrôle à distance. Applications commerciales Processus qui affichent les caractéristiques des logiciels publicitaires et des logiciels espions Les analyses proactives des menaces utilisent des technologies heuristiques pour détecter les processus inconnus qui se comportent comme des logiciels publicitaires et des logiciels espions. Ces processus peuvent être ou ne pas être des risques. Logiciels publicitaires et logiciels espions Vous pouvez configurer le logiciel client pour qu'il envoie ou non à Symantec des informations sur les détections proactives des menaces. Incluez ce paramètre en tant qu'élément d'une politique antivirus et antispyware. Se reporter à "Transmettre des informations sur des analyses à Symantec" à la page 445. A propos de la gestion des faux positifs détectés par les analyses proactives des menaces TruScan Les analyses proactives des menaces TruScan renvoient parfois des faux positifs. Ces analyses recherchent les applications et les processus présentant un comportement suspect plutôt que les virus ou les risques de sécurité connus. De par leur nature, ces analyses signalent généralement les éléments que vous ne penseriez pas à détecter. Configuration des analyses proactives des menaces de TruScan 555 A propos de la gestion des faux positifs détectés par les analyses proactives des menaces TruScanPour la détection des chevaux de Troie, des vers ou des enregistreurs de frappe, vous pouvez choisir d'utiliser l'action et les niveaux de sensibilité par défaut que Symantec spécifie. Ou vous pouvez choisir de gérer les actions de détection et les niveaux de sensibilité vous-même. Si vous gérez les paramètres vous-même, vous risquez de détecter de nombreux faux positifs. Si vous voulez gérer les actions et les niveaux de sensibilité, soyez conscient de l'impact résultant sur votre réseau de sécurité. Remarque : Si vous changez le niveau de sensibilité, vous pouvez changer le nombre total de détections. Si vous modifiez le niveau de sensibilité, il se peut que vous réduisiez le nombre de faux positifs que les analyses proactives des menaces produisent. Si vousmodifiez les niveaux de sensibilité, Symantec vous recommande de le faire graduellement et de vérifier les résultats. Si une analyse proactive des menaces détecte un processus que vous déterminez comme ne constituant pas un problème, vous pouvez créer une exception. Grâce à une exception, les analyses futures ne signalent pas le processus. Les utilisateurs sur les ordinateurs client peut également créer des exceptions. En cas de conflit entre une exception définie par l'utilisateur et une exception définie par l'administrateur, l'exception définie par l'administrateur l'emporte. Se reporter à "Configurationd'une politique d'exceptions centralisées" à la page 615. Tableau 35-2 présente les tâches de création d'un plan de gestion des faux positifs. Configuration des analyses proactives des menaces de TruScan A propos de la gestion des faux positifs détectés par les analyses proactives des menaces TruScan 556Tableau 35-2 Plan de gestion des faux positifs Tâche Description Les politiques antivirus et antispyware incluent les paramètres gérés par Symantec. Ce paramètre est activé par défaut. Quand ce paramètre est activé, Symantec détermine les actions effectuées lors des détections de ces types de processus. Symantec détermine également le niveau de sensibilité utilisé pour les analyser. Quand Symantec gère les détections, les analyses proactives des menaces effectuent une action basée sur lamanière dontl'analyse interprète la détection. L'analyse effectue l'une des actions suivantes au niveau de la détection : ¦ Mise en quarantaine L'analyse effectue cette action pour les détections constituant probablement des menaces réelles. ¦ Journal uniquement L'analyse effectue cette action pour les détections constituant probablement des faux positifs. Remarque : Si vous choisissez de gérer l'action de détection, choisissez une action. Cette action est toujours effectuée pour ce type de détection. Si vous définissez l'action sur Quarantaine, le client met en quarantaine toutes les détections de ce type. Assurez-vous que Symantec gère les chevaux de Troie, les vers et les détections d'enregistreur de frappe. Configuration des analyses proactives des menaces de TruScan 557 A propos de la gestion des faux positifs détectés par les analyses proactives des menaces TruScanTâche Description Vérifiez que les ordinateurs qui produisent des faux positifs comportent le dernier contenu de Symantec. Le dernier contenu inclut les informations sur les processus que Symantec juge correspondre à des faux positifs connus. Ces faux positifs connus sont exclus de la détection de l'analyse proactive des menaces. Vous pouvez exécuter un rapport via la console pour savoir quels ordinateurs exécutent la dernière version du contenu. Se reporter à "A propos de l'utilisation des contrôleurs et des rapports pour la sécurisation de votre réseau" à la page 237. Vous pouvez mettre à jour le contenu par l'une des actions suivantes : ¦ Appliquez une politique LiveUpdate. Se reporter à "Configuration des politiques LiveUpdate" à la page 111. ¦ Exécutez la commande Update pour les ordinateurs sélectionnés répertoriés dans l'onglet Clients. ¦ Exécutez la commande Update sur les ordinateurs sélectionnés répertoriés dans le fichier journal d'état ou des risques de l'ordinateur. Assurez-vous que le contenu de Symantec est actuel. Les paramètres de soumission sont inclus en tant qu'élément de la politique antivirus et antispyware. Assurez-vous que les ordinateurs client sont configurés pour envoyer automatiquement à Symantec Security Response des informations sur les processus détectés par les analyses proactives des menaces. Ce paramètre est activé par défaut. Se reporter à "Transmettre des informations sur des analyses à Symantec" à la page 445. Assurez-vous que les soumissions sont activées. Vous pouvez créer une politique qui inclut des exceptions pour les faux positifs que vous découvrez. Par exemple, vous pouvez exécuter un processus ou une application spécifique sur votre réseau de sécurité. Vous savez que le processus peut s'exécuter en toute sécurité dans votre environnement. Si les analyses proactives des menaces TruScan détectent le processus, vous pouvez créer une exception de sorte que les analyses futures ne le détectent pas. Se reporter à "Configuration d'une politique d'exceptions centralisées" à la page 615. Créez des exceptions pour les faux positifs que vous découvrez. Configuration des analyses proactives des menaces de TruScan A propos de la gestion des faux positifs détectés par les analyses proactives des menaces TruScan 558A propos de les processus que les analyses proactives des menaces TruScan ignorent Les analyses proactives des menaces TruScan autorisent certains processus et dispensent ces processus des analyses. Symantec gère cette liste de processus. Symantec remplit généralement cette liste avec les applications qui sont des faux positifs connus. Les ordinateurs client de votre réseau de sécurité reçoivent périodiquement des mises à jour de cette liste quand ils téléchargent un nouveau contenu. Les ordinateurs client peuvent télécharger le contenu de différentes manières. Le serveur de gestion peut envoyer le contenu mis à jour. Vous ou vos utilisateurs peut également exécuter LiveUpdate sur les ordinateurs client. Les analyses proactives des menaces TruScan ignorent certains processus. Ces processus peuventinclure les applications pour lesquelles Symantec n'a pas assez d'informations ou les applications qui chargent d'autres modules. Vous pouvez également spécifier que les analyses demenaces proactivesTruScan ignorent certains processus.Vous spécifiez que les analyses proactives desmenaces ignorent certains processus en créant une exception centralisée. Les utilisateurs des ordinateurs client peuvent également créer des exceptions pour des analyses proactives des menaces. Si une exception définie par l'administrateur est en conflit à une exception définie par l'utilisateur, les analyses proactives des menaces appliquent seulement l'exception définie par l'administrateur. L'analyse ignore l'exception de l'utilisateur. Se reporter à "Commentles analyses proactives desmenacesTruScan fonctionnent avec des exceptions centralisées" à la page 560. Comment les analyses proactives des menaces TruScan fonctionnent avec la quarantaine Vous pouvez configurer des analyses proactives des menaces pour mettre en quarantaine des détections. Les utilisateurs des ordinateurs client peut restaurer des éléments mis en quarantaine. Le client Symantec Endpoint Protection peut également restaurer automatiquement des éléments mis en quarantaine. Quand un client reçoit de nouvelles définitions, il réanalyse les éléments mis en quarantaine. Si les éléments mis en quarantaine sont considérés comme malveillants, le client consigne l'événement. Les ordinateurs client reçoivent régulièrement des mises à jour de listes de processus et applications corrects définis par Symantec. Quand de nouvelles listes sont disponibles sur des ordinateurs client, les éléments mis en quarantaine sont Configuration des analyses proactives des menaces de TruScan 559 A propos de les processus que les analyses proactives des menaces TruScan ignorentvérifiés par rapport à ces listes. Si ces listes à jour autorisent des éléments mis en quarantaine, le client les restaure automatiquement. En outre, les administrateurs ou les utilisateurs peuvent créer des exceptions pour des détections desmenaces proactives. Quand les dernières exceptions autorisent les éléments mis en quarantaine, le client les restaure. Les utilisateurs peut afficher les éléments mis en quarantaine sur à la page d'Afficher la quarantaine dans le client. Le client ne soumet pas les éléments que les analyses proactives des menaces mettent en quarantaine à un serveur de quarantaine centralisée. Les utilisateurs peuvent soumettre automatiquement ou manuellement des éléments de la quarantaine locale à Symantec Security Response. Se reporter à "Transmettre des éléments en quarantaine à Symantec" à la page 451. Comment les analyses proactives des menaces TruScan fonctionnent avec des exceptions centralisées Vous pouvez créer vos propres listes d'exception pour que le client de Symantec Endpoint Protection vérifie quand il exécute des analyses proactives desmenaces. Vous créez ces listes en créant des exceptions. Les exceptions spécifient le processus etlamesure à prendre quand une analyse proactive desmenaces détecte un processus spécifié. Vous pouvez créer des exceptions seulement pour les processus qui ne sont pas inclus dans la liste définie par Symantec des processus et des applications connus. Par exemple, vous pourriez vouloir créer une exception pour effectuer l'une des opérations suivantes : ¦ Ignorer un certain enregistreur de frappe commercial ¦ Mettre en quarantaine une application particulière qui ne doit pas s'exécuter sur des ordinateurs client ¦ Permettre à une application spécifique de téléintervention de s'exécuter Pour éviter les conflits entre les exceptions, les analyses de menaces proactives utilisent l'ordre de priorité suivant : ¦ Exceptions définies par Symantec ¦ Exceptions définies par l'administrateur ¦ Exceptions définies par l'utilisateur Configuration des analyses proactives des menaces de TruScan Comment les analyses proactives des menaces TruScan fonctionnent avec des exceptions centralisées 560La liste définie par Symantec a toujours la priorité sur les exceptions définies par l'administrateur. Les exceptions définies par l'administrateur ont toujours la priorité sur les exceptions définies par l'utilisateur. Vous pouvez utiliser une politique d'exceptions centralisées pour spécifier que des processus détectés connu sont autorisés en définissant l'action de détection à ignorer. Vous pouvez également créer une exception centralisée pour spécifier qu'on ne permet pas certains processus en définissant l'action Mettre en quarantaine ou Terminer. Les administrateurs peuvent obliger une détection des menaces proactive en créant une exception centralisée qui spécifie un nom de fichier pour des analyses proactives desmenaces à détecter. Quand l'analyse proactive desmenaces détecte le fichier, le client consigne l'instance. Puisque les noms de fichier ne sont pas uniques, des processus multiples peuvent utiliser le même nom de fichier. Vous pouvez utiliser des détections obligatoires pour vous aider à créer des exceptions pour ignorer, mettre en quarantaine ou terminer un processus particulier. Quand une analyse proactive des menaces sur l'ordinateur client consigne la détection, celle-ci fait partie d'une liste des processus connus. Vous pouvez sélectionner dans la liste quand vous créez une exception des analyses proactives des menaces. Vous pouvez définir une action particulière pour la détection. Vous pouvez également utiliser le journal proactif de détection sous l'onglet Contrôles dans la console pour créer l'exception. Se reporter à "Configurationd'une politique d'exceptions centralisées" à la page 615. Se reporter à "Affichage des journaux" à la page 214. Les utilisateurs peuvent créer des exceptions sur l'ordinateur client par une des méthodes suivantes : ¦ La liste Afficher la quarantaine ¦ La boîte de dialogue des résultats de l'analyse ¦ Exceptions centralisées Un administrateur peut verrouiller une liste d'exceptions de sorte qu'un utilisateur ne puisse créer aucune exception. Si un utilisateur a créé des exceptions avant que l'administrateur n'ait verrouillé la liste, les exceptions créées par l'utilisateur sont désactivées. Comprendre les détections proactives des menaces TruScan Quand une analyse proactive des menaces TruScan détecte des processus qu'elle signale comme potentiellement malveillants, certains de ces processus sont Configuration des analyses proactives des menaces de TruScan 561 Comprendre les détections proactives des menaces TruScangénéralement des processus légitimes. Certaines détections ne fournissent pas assez d'informations pour pouvoir être classées commemenaces ou faux positifs ; ces processus sont considérés comme "inconnus." Une analyse proactive desmenaces examine le comportement des processus actifs pendant qu'elle s'exécute. Lemoteur d'analyse recherche des comportements tels que l'ouverture de ports ou la capture de frappes de clavier. Si un processus implique une quantité suffisante de ces types de comportements, l'analyse signale ce processus comme constituant une menace potentielle. L'analyse ne signale pas le processus s'il n'affiche aucun comportement suspect pendant l'analyse. Par défaut, les analyses proactives des menaces détectent les processus qui se comportent comme des chevaux de Troie, des vers ou des enregistreurs de frappe. Vous pouvez activer ou désactiver ces types de détection dans une politique antivirus et antispyware. Remarque : Les paramètres d'analyse proactive desmenaces n'ont aucun effet sur les analyses antivirus et antispyware, qui utilisent des signatures pour détecter les risques connus. Le client détecte d'abord les risques connus. Le client utilise les paramètres par défaut de Symantec pour déterminer quelle mesure prendre au niveau des éléments détectés. Si lemoteur d'analyse détermine que l'élément n'a besoin d'aucune correction, le client consigne la détection. Si le moteur d'analyse détermine que l'élément doit être corrigé, le client met en quarantaine l'élément. Remarque : Les options d'analyse de chevaux de Troie ou de vers et d'enregistreurs de frappe ne sont actuellement pas prises en charge sur les systèmes d'exploitation de serveurWindows. Vous pouvez modifier les options dans la politique antivirus et antispyware des clients qui s'exécutent sur des systèmes d'exploitation de serveur, mais les analyses ne s'exécutent pas. Dans l'interface utilisateur client des systèmes d'exploitation de serveur, les options d'analyse ne sont pas disponibles. Si vous activez les options d'analyse dans la politique, elles sont sélectionnées et non disponibles. Les paramètres par défaut de Symantec sont également utilisés pour déterminer la sensibilité de l'analyse proactive des menaces. Quand le niveau de sensibilité est plus élevé, plus de processus sont signalés. Quand le niveau de sensibilité est plus bas, moins de processus sont signalés. Le niveau de sensibilité n'indique pas le niveau de certitude relatif à la détection. De même, il n'affecte pas le taux de détections de faux positifs. Plus le niveau de sensibilité est élevé, plus l'analyse détecte des faux positifs et des vrais positifs. Configuration des analyses proactives des menaces de TruScan Comprendre les détections proactives des menaces TruScan 562Utilisez les paramètres par défaut de Symantec pour mieux réduire le nombre de faux positifs que vous détectez. Vous pouvez désactiver les paramètres par défaut de Symantec. Quand vous désactivez les paramètres par défaut de Symantec, vous pouvez configurer les actions et le niveau de sensibilité pour la détection des chevaux de Troie, des vers ou des enregistreurs de frappe. Dans l'interface utilisateur client, les paramètres par défaut qui apparaissent ne reflètent pas les paramètres par défaut de Symantec. Ils reflètent les paramètres par défaut utilisés quand vous gérez manuellement les détections. Pour les applications commerciales, vous pouvez spécifier la mesure que le client prend quand une analyse proactive des menaces fait une détection. Vous pouvez spécifier des actions distinctes pour la détection d'un enregistreur de frappe commercial et la détection d'une application commerciale de téléintervention. Remarque : Les utilisateurs sur des ordinateurs client peuvent modifier les paramètres d'analyse proactive des menaces si les paramètres sont déverrouillés dans la politique antivirus et antispyware. Sur l'ordinateur client, les paramètres d'analyse proactive des menaces TruScan apparaissent sous Protection proactive contre les menaces. Spécifier les types de processus que les analyses proactives des menaces détectent Par défaut, les analyses proactives des menaces TruScan détectent les chevaux deTroie, les vers etles enregistreurs de frappe.Vous pouvez désactiver la détection des chevaux de Troie et des vers ou des enregistreurs de frappe. Vous pouvez cliquer sur Aide pour plus d'informations sur les options de type de processus de l'analyse. Pour spécifier les types de processus que les analyses proactives des menaces TruScan détectent 1 Dans la page Politique antivirus et antispyware, cliquez sur Analyses proactives des menaces TruScan. 2 Dans l'onglet Détails de l'analyse, sous Analyse, cochez ou désélectionnez Rechercher les chevauxdeTroieetlesvers et Rechercher lesenregistreurs de frappe. 3 Cliquez sur OK. Configuration des analyses proactives des menaces de TruScan 563 Comprendre les détections proactives des menaces TruScanSpécification des actions et des niveaux de sensibilité pour détecter des chevaux de Troie, des vers et des enregistreurs de frappe Les analyses proactives des menaces TruScan diffèrent des analyses antivirus et antispyware. Les analyses d'antivirus et de protection contre les logiciels espions recherchent des risques connus. Les analyses proactives desmenaces recherchent des risques inconnus basés sur le comportement de certains types de processus ou d'applications. Les analyses détectent n'importe quel comportement semblable au comportement des chevaux de Troie, des vers ou des enregistreurs de frappe. Quand vous permettez à Symantec de gérer les détections, l'action de détection est Mettre en quarantaine pour les vrais positifs et Consigner suelement pour les faux positifs. Quand vous gérez les détections vous-même, vous pouvez configurer l'action de détection. Cette action est toujours utilisée quand les analyses proactives des menaces effectuent une détection. Par exemple, vous pourriez spécifier que le client de Symantec Endpoint Protection consigne la détection des processus qui se comportent comme des chevaux de Troie et des vers. Quand le client effectue une détection, il ne met pas le processus en quarantaine, il consigne seulement l'événement. Vous pouvez configurer le niveau de sensibilité. Les analyses proactives des menaces effectuent plus de détections (vrais positifs et faux positifs) quand vous définissez le niveau de sensibilité plus haut. Remarque : Si vous activez ces paramètres, vous risquez de détecter beaucoup de faux positifs. Vous devez connaître les types de processus que vous exécutez dans votre réseau de sécurité. Vous pouvez cliquer sur Aide pour plus d'informations sur les options d'action et de sensibilité de l'analyse. Pour spécifier l'action et la sensibilité des chevaux de Troie, des vers ou des enregistreurs de frappe 1 Dans la page Politique antivirus et antispyware, cliquez sur Analyses proactives des menaces TruScan. 2 Dans l'onglet Scan Details, sous Scanning, assurez-vous que vous sélectionnez Rechercher les chevauxdeTroieetlesvers et Rechercher lesenregistreurs de frappe 3 Pour l'un ou l'autre type de risque, désactivez la case Utiliser lesparamètres par défaut définis par Symantec. Configuration des analyses proactives des menaces de TruScan Comprendre les détections proactives des menaces TruScan 5644 Pour l'un ou l'autre type de risque, définissez l'action sur Journal, Supprimer ou Mise en quarantaine. Des notifications sont envoyées si une action est définie sur Mettre en quarantaine ou sur Terminer, et si vous avez activé les notifications. (Les notifications sont activées par défaut.) Utilisez l'action Terminer avec prudence. Dans certains cas, vous pouvez entraîner la perte de fonctionnalité d'une application. 5 Effectuez l'une des opérations suivantes : ¦ Déplacez la case de défilement vers la gauche ou la droite ou augmenter, respectivement la sensibilité. ¦ Cliquez sur Basse ou Elevée. 6 Cliquez sur OK. Spécifier des actions pour les détections d'application commerciale Vous pouvezmodifier l'action effectuée quand une analyse proactive desmenaces TruScan fait une détection. Si vous définissez l'action sur Ignorer, les analyses proactives des menaces ignorent les applications commerciales. Vous pouvez cliquer sur Aide pour obtenir plus d'informations sur les options utilisées dans les procédures. Pour spécifier des actions pour les détections d'application commerciale 1 Dans la page Politique antivirus et antispyware, cliquez sur Analyses proactives des menaces TruScan. 2 Dans l'onglet Détails de l'analyse, sous Application commerciale détectée, définissez l'opération à effectuer : Ignorer, Consigner, Arrêter ou Mettre en quarantaine. 3 Cliquez sur OK. Configurer la fréquence d'analyse proactive des menaces TruScan Vous pouvez configurer la fréquence d'exécution des analyses proactives des menaces TruScan en incluant le paramètre dans une politique antivirus et antispyware. Remarque : Si vous modifiez la fréquence des analyses proactives des menaces, cela peut affecter la performance des ordinateurs client. Configuration des analyses proactives des menaces de TruScan 565 Configurer la fréquence d'analyse proactive des menaces TruScanVous pouvez cliquer sur Aide pour plus d'informations sur les options de la fréquence de l'analyse. Pour configurer la fréquence d'analyse proactive des menaces 1 Dans la page Politique antivirus et antispyware, cliquez sur Analyses proactives des menaces TruScan. 2 Dans l'onglet Fréquence d'analyse, sous Fréquence d'analyse, définissez une des options suivantes : ¦ A la fréquence d'analyse par défaut Le logiciel de moteur d'analyse détermine la fréquence d'analyse. Il s'agit du paramètre par défaut. ¦ A une fréquence d'analyse personnalisée Si vous activez cette option, vous pouvez indiquer que le client analyse les nouveaux processus dès qu'il les détecte. Vous pouvez également configurer le temps de fréquence d'analyse. 3 Cliquez sur OK. Configuration des notifications pour les analyses proactives des menaces TruScan Par défaut, des notifications sont envoyées aux ordinateurs client toutes les fois qu'il y a une détection de l'analyse proactive des menaces TruScan. Vous pouvez désactiver les notifications si vous ne voulez pas que l'utilisateur soit notifié. Les notifications avertissent l'utilisateur qu'une analyse proactive des menaces a fait une détection que l'utilisateur doit résoudre. L'utilisateur peut utiliser la boîte de dialogue de notification pour résoudre la détection. Pour les détections de l'analyse proactive des menaces qui ne requièrent pas la résolution, le client de Symantec Endpoint Protection consigne la détection mais n'envoie pas de notification. Remarque : Si vous définissez l'utilisation par les détections des paramètres par défaut de Symantec, des notifications ne sont envoyées que si le client recommande une résolution pour le processus. Les utilisateurs peuvent également résoudre des détections en affichantle journal des menaces et en sélectionnant une action. Vous pouvez créer une exception centralisée pour exclure un processus de la détection ; les utilisateurs des ordinateurs client peuvent également créer des exceptions. Configuration des analyses proactives des menaces de TruScan Configuration des notifications pour les analyses proactives des menaces TruScan 566Se reporter à "A propos des politiques d'exceptions centralisées" à la page 611. Vous pouvez cliquer sur Aide pour plus d'informations sur les options de notification de l'analyse. Pour configurer des notifications pourles analyses proactives desmenaces TruScan 1 Dans la page Politique antivirus et antispyware, cliquez sur Analyses proactives des menaces TruScan. 2 Dans l'onglet Notifications, cochez ou décochez les options suivantes : ¦ Afficher un message en cas de détection ¦ Invite avant de supprimer un processus. ¦ Invite avant d'arrêter un service. 3 Cliquez sur OK. Configuration des analyses proactives des menaces de TruScan 567 Configuration des notifications pour les analyses proactives des menaces TruScanConfiguration des analyses proactives des menaces de TruScan Configuration des notifications pour les analyses proactives des menaces TruScan 568Configuration de Contrôle des applications et des périphériques Ce chapitre traite des sujets suivants : ¦ A propos du contrôle des applications et des périphériques ¦ A propos de la structure d'une politique de contrôle des applications et des périphériques ¦ A propos du contrôle des applications ¦ A propos du contrôle des périphériques ¦ A propos de l'utilisation des politiques de contrôle des applications et des périphériques ¦ Créer un ensemble de règles par défaut de contrôle des applications ¦ Création d'une politique de contrôle des applications et des périphériques ¦ Configuration du contrôle des applications pour une politique de contrôle des applications et des périphériques ¦ Configuration d'un contrôle des périphériques pour une politique de contrôle des applications et des périphériques Chapitre 36A propos du contrôle des applications et des périphériques Vous voulez utiliser le contrôle des applications et des périphériques pour les raisons suivantes : ¦ Pour empêcher un programme malveillant de pirater des applications sur les ordinateurs client. ¦ Pour éviter une suppression involontaire de données des ordinateurs client. ¦ Pour limiter les applications pouvant être exécutées sur un ordinateur client. ¦ Pour réduire la possibilité d'infection d'un ordinateur par des menaces de sécurité à partir d'un périphérique. Le contrôle des applications et des périphériques est mis en oeuvre sur les ordinateurs clients à l'aide d'une politique de contrôle des applications et des périphériques. Une politique de contrôle des applications et des périphériques offre les types de protection suivants aux ordinateurs client : ¦ Le contrôle des applications permet la surveillance des appels API Windows effectués sur les ordinateurs client et de contrôler l'accès aux fichiers, dossiers, clés de registre et processus des clients. Il protège les ressources du système des applications. ¦ Contrôle des périphériques pour gérer les dispositifs périphériques qui peuvent s'attacher aux ordinateurs Lorsque vous créez une nouvelle politique de contrôle des applications et des périphériques, vous pouvez définir chacun des deux types de protection. Vous avez également l'option d'ajouter d'abord, soit le contrôle d' application, soit le contrôle de périphérique, puis l'autre type de protection ultérieurement. Vous pouvez appliquer uniquement une politique de contrôle des applications et des périphériques à chaque emplacement au sein d'un groupe. Si vous voulez mettre en oeuvre les deux types de protection, vous devez définir le contrôle des applications et celui des périphériques dans la même politique. Remarque : L'information dans ce chapitre s'applique uniquement aux ordinateurs client 32 bits. Les Politiques de contrôle des applications et des périphériques ne fonctionnent pas sur les ordinateurs client 64 bits. Configuration de Contrôle des applications et des périphériques A propos du contrôle des applications et des périphériques 570A propos de la structure d'une politique de contrôle des applications et des périphériques La partie contrôle des applications d'une politique de contrôle des applications et des périphériques peut contenir plusieurs ensembles de règles et chaque ensemble contient une ou plusieurs règles. Vous pouvez configurer les propriétés pour un ensemble de règles, des propriétés, conditions et mesures pour chaque règle. Les règles contrôlent les tentatives d'accès aux entités informatiques, comme les fichiers, les clés de registre, que surveille Symantec Endpoint Protection. Configurez ces différents types de tentatives comme des conditions. Pour chaque condition, vous pouvez configurer des mesures à prendre lorsque les conditions sont réunies. Configurez les règles à appliquer à certaines applications seulement; vous pouvez éventuellement les configurer de façon à exclure l'application de ces mesures à d'autres applications. Se reporter à " A propos des propriétés de règle de contrôle des applications" à la page 574. Se reporter à "A propos des conditions de règle de contrôle des applications" à la page 574. Se reporter à " A propos des propriétés de condition de règle de contrôle des applications" à la page 575. Se reporter à " A propos des actions de condition de règle de contrôle des applications" à la page 576. Le contrôle des périphériques est composé d'une liste de périphériques bloqués et une liste de périphériques exclus du blocage.Vous pouvez y ajouter des éléments et gérer leur contenu. Figure 36-1 illustre les composants de contrôle des périphériques et des applications et leur correlation. Configuration de Contrôle des applications et des périphériques 571 A propos de la structure d'une politique de contrôle des applications et des périphériquesFigure 36-1 Structure de la politique de contrôle des applications et des périphériques A propos du contrôle des applications Le contrôle des application permet de surveiller et de contrôler le comportement des applications. Vous pouvez bloquer ou autoriser l'accès aux clés de registre, fichiers et dossiers spécifiés. Vous pouvez également bloquer ou autoriser des applications à lancer ou terminer d'autres processus. Vous pouvez définir les applications autorisées à être éxécutées et celles qui ne peuvent pas être terminées par des processus irréguliers.Vous pouvez définir les applications pouvant appeler des bibliothèques de liens dynamiques (DLL); Avertissement : Le contrôle des applications est une fonction de sécurité avancée que seuls les administrateurs expérimentés peuvent configurer. Le contrôle des applications est mis en oeuvre à l'aide d'ensembles de règles définissant la méthode de contrôle des applications. Le contrôle des applications est un ensemble de commandes autorisant ou bloquant une action. Vous pouvez créer autant d'ensembles de règles que nécessaires dans une politique. Vous Configuration de Contrôle des applications et des périphériques A propos du contrôle des applications 572pouvez également configurer les ensembles de règles actifs à un moment donné en utilisant l'option Activé pour chaque ensemble de règles. Vous pouvez utiliser le contrôle des applications pour protéger les ordinateurs client de la manière suivante : ¦ Protéger des clés de registre et des valeurs spécifiques. ¦ Répertoires de sauvegarde, comme le répertoire \WINDOWS\system. ¦ Empêcher les utilisateurs de modifier des fichiers de configuration. ¦ Protège les fichiers de programmes importants comme le répertoire privé de Symantec sur lequel l'ordinateur client est installé. ¦ Protège des processus spécifiques ou exclut des processus de la protection. ¦ Contrôle l'accès aux DLL. A propos du mode test Lorsque vous créez un ensemble de règles de contrôle des applications, vous le créez dans le mode par défaut, qui est le mode Test (consigner seulement). Le mode Test vous permet de tester vos règles avant de les activer. En mode Test, aucune action n'est appliquée,mais les actions configurées sont consignées comme si elles étaient appliquées. En mode Test, vous pouvez attribuer la politique aux groupes et aux emplacements et générer un journal de contrôle client. Examinez les journaux de contrôle client pour y rechercher des erreurs et apportez les corrections nécessaires à la règle. Lorsque la politique fonctionne comme prévu, vous pouvez changer le mode en mode Production pour mettre en oeuvre l'ensemble de règles de contrôle des applications. La meilleure méthode consiste à exécuter tous les ensembles de règle en mode Test pendant une période de temps avant de les passer en mode Production. Cette méthode réduitle risque de problèmes pouvant survenir lorsque vous n'anticipez pas toutes les ramifications possibles d'une règle. Se reporter à "Modification du mode d'un ensemble de règles de contrôle des applications" à la page 590. A propos des règles et des groupes de règles de contrôle des applications Les ensembles de règles se composent des règles et de leurs conditions. Une règle est un ensemble de conditions et d'actions qui s'appliquent à un ou des processus donnés. Une pratique d'excellence consiste à créer un ensemble de règles qui inclut toutes les actions qui autorisent, bloquent et surveillent une tâche donnée. Suivez ce principe pour vous aider à tenir vos règles organisées. Par exemple, Configuration de Contrôle des applications et des périphériques 573 A propos du contrôle des applicationssupposez que vous désirez bloquer les tentatives d'écriture sur tous les lecteurs amovibles et que vous souhaitez bloquer les applications contre les interventions avec une application particulière. Pour atteindre ces objectifs, vous devez créer deux ensembles de règles différents. Vous ne devez pas créer toutes les règles nécessaires à l'accomplissement de ces deux objectifs avec un ensemble de règles. Vous appliquez une règle à une ou plusieurs applications pour définir les applications que vous surveillez. Les règles contiennent des conditions. Ces conditions surveillent l'application ou les applications qui sont définies dans la règle pour les opérations spécifiées. Les conditions définissent ce que vous voulez autoriser les applications à faire ou les empêcher de faire. Les conditions contiennent également les actions à prendre lorsque l'opération qui est spécifiée dans la condition est respectée. Remarque : Souvenez-vous que les actions s'appliquenttoujours au processus qui est défini dans la règle. Elles ne s'appliquent pas aux processus qui sont définis dans la condition. A propos des propriétés de règle de contrôle des applications Vous pouvez configurer les propriétés suivantes pour une règle : ¦ Un nom ¦ Une description (facultative) ¦ Si la règle est activée ou désactivée ¦ Une liste des applications sur lesquelles la règle doit être appliquée ¦ Une liste des applications sur lesquelles la règle ne doit pas être appliquée (facultative) A propos des conditions de règle de contrôle des applications Les conditions sont des opérations pouvant être autorisées ou refusées pour les applications. Tableau 36-1 décrit les conditions de règle de contrôle des applications pouvant être configurées pour une règle. Configuration de Contrôle des applications et des périphériques A propos du contrôle des applications 574Tableau 36-1 Types de conditions de règle Condition Description Autoriser ou bloquer l'accès aux paramètres de registre d'un ordinateur client. Vous pouvez autoriser ou bloquer l'accès aux clés, valeurs et données spécifiques de registre. Tentatives d'accès au registre Autoriser ou bloquer l'accès aux fichiers ou dossiers spécifiés sur un ordinateur client. Vous pouvez limiter la seuveillance des fichiers et dossiers à des types spécifiques de disque. Tentatives d'accès au fichier et au dossier Autoriser ou bloquer la possibilité de lancement d'un processus sur un ordinateur client. Tentatives de lancement de processus Autoriser ou bloquer la possibilité de terminer un processus sur un ordinateur client Vous pouvez par exemple vouloir bloquer l'arrêt d'une application particulière. Cette condition recherche les applications essayant d'arrêter une applicaton spécifiée. Remarque : Cette condition empêche les autres applications ou procédures de terminer le processus. Elle n'empêche pas la fin de l'application à l'aide de méthodes usuelles de sortie d'une application, comme en cliquant sur Quitter dans le menu Fichier. Tentatives d'arrêt du processus Autoriser ou bloquer la possibilité de chargement d'un DLL sur un ordinateur client. Vous pouvez définir les fichiers DLL dont vous voulez bloquer ou autoriser le chargement dans une application. Vous pouvez utiliser des noms de fichiers, des caractères génériques, des listes de signature et des expressions standards spécifiques. Vous pouvez également limiter la surveillance des DLL sur les DLL lancés à partir d'un type de disque particulier. Tentatives de chargement de DLL A propos des propriétés de condition de règle de contrôle des applications Vous pouvez configurer les propriétés suivantes pour une condition de règle : ¦ Un nom ¦ Une description (facultative) Configuration de Contrôle des applications et des périphériques 575 A propos du contrôle des applications¦ Si la condition de règle est activée ou désactivée ¦ Une liste des entités informatiques qui devront être contrôlées pour la condition ¦ Une liste des entités informatiques qui devront être exclues du contrôle pour la condition (facultative) A propos des actions de condition de règle de contrôle des applications Vous pouvez configurer certaines actions à prendre lorsqu'une condition est remplie. Les actions suivantes peuvent être configurées lorsqu'une tentative d'application se produit : ¦ Continuer le traitement d'autres règles. ¦ Autoriser l'application pour accéder à l'entité. ¦ Bloquer l'accès à l'entité pour l'application. ¦ Arrêter le processus d'application. Par exemple, vous pouvez configurer un ensemble d'actions à exécuter lorsqu'un processus tente de lire une entité contrôlée. Vous pouvez configurer un ensemble différent d'actions devant se produire lorsque le même processus tente de créer, supprimer ou écrire sur une entité contrôlée. Vous pouvez configurer une action dans chaque cas pour autant de processus que vous