Guide d`installation et de migration

Transcription

Guide d'installation et de migration
Chiffrement complet de points finaux pour données entreposées
Trend Micro Incorporated se réserve le droit de modifier sans préavis ce document et le
produit qui y est décrit. Avant d'installer et d'utiliser votre produit, veuillez consulter les
fichiers Lisez-moi, les notes de mise à jour et/ou la dernière version de la
documentation applicable que vous trouverez sur le site Web de Trend Micro à l'adresse
suivante :
http://docs.trendmicro.com/fr-fr/enterprise/endpoint-encryption.aspx
Trend Micro, le logo t-ball de Trend Micro, Control Manager, OfficeScan Endpoint
Encryption, PolicyServer, Full Disk Encryption, File Encryption et KeyArmor sont des
marques commerciales ou des marques déposées de Trend Micro Incorporated. Tous les
autres noms de produit ou de société peuvent être des marques commerciales ou des
marques déposées de leurs propriétaires respectifs.
Copyright © 2014. Trend Micro Incorporated. Tous droits réservés.
Nº de référence du document : APFM56404/140410
Date de publication : décembre 2014
Protégée par le brevet américain n° : Brevets en instance.
Cette documentation présente les principales fonctionnalités du produit et/ou fournit les
instructions d'installation pour votre environnement de production. Lisez attentivement
cette documentation avant d'installer ou d'utiliser le produit.
Vous trouverez des informations détaillées sur l’utilisation des fonctionnalités
spécifiques du produit dans le fichier d’aide en ligne de Trend Micro et/ou dans la Base
de connaissances sur le site Web de Trend Micro.
Trend Micro cherche toujours à améliorer sa documentation. Si vous avez des questions,
des commentaires ou des suggestions à propos de ce document ou de tout autre
document Trend Micro, veuillez nous contacter à l'adresse [email protected].
Veuillez évaluer cette documentation sur le site Web suivant :
http://www.trendmicro.com/download/documentation/rating.asp
Table des matières
Préface
Préface ................................................................................................................. ix
Documentation ................................................................................................... x
Public cible .......................................................................................................... x
Conventions typographiques ........................................................................... xi
À propos de Trend Micro ............................................................................... xii
Chapitre 1: Introduction à Endpoint Encryption
À propos d'Endpoint Encryption ................................................................ 1-2
Fonctionnalités et avantages principaux ..................................................... 1-2
Nouveautés de la version 5.0 Patch 1 .......................................................... 1-4
À propos d'Encryption .................................................................................. 1-9
À propos de la norme FIPS .................................................................. 1-9
Composants d'Endpoint Encryption .......................................................... 1-9
À propos de PolicyServer .................................................................... 1-13
Consoles d'administration ................................................................... 1-15
Agents Endpoint Encryption ............................................................. 1-17
Périphériques Endpoint Encryption ......................................................... 1-19
Utilisateurs d'Endpoint Encryption ........................................................... 1-20
Rôles utilisateurs d'Endpoint Encryption ......................................... 1-21
Chapitre 2: Configuration système requise
Configuration minimale requise pour PolicyServer ................................... 2-2
Configuration système requise pour PolicyServer ............................. 2-2
Éléments à prendre en compte pour les bases de données ............. 2-4
Fichiers d'installation requis .................................................................. 2-5
Comptes requis ....................................................................................... 2-6
i
Trend Micro Endpoint Encryption 5.0 Patch 1 Guide d'installation et de migration
Consoles d'administration .............................................................................
Configuration système requise pour PolicyServer MMC .................
Configuration système requise pour Control Manager ....................
Configuration minimale requise d'OfficeScan ...................................
2-6
2-6
2-7
2-8
Agents ............................................................................................................... 2-9
Configuration système requise pour Full Disk Encryption ............. 2-9
Configuration système requise pour Encryption Management for
Microsoft BitLocker ............................................................................. 2-11
Configuration système requise pour Encryption Management for
Apple FileVault ..................................................................................... 2-12
Configuration système requise pour File Encryption ..................... 2-13
Chapitre 3: Aperçu du déploiement et de la mise à niveau
Planification du déploiement ........................................................................ 3-2
Liste de contrôle préalable au déploiement ................................................ 3-2
Résumé des opérations de déploiement ...................................................... 3-4
Options de gestion ......................................................................................... 3-5
Gestion d'Endpoint Encryption avec PolicyServer MMC seulement
.................................................................................................................... 3-6
Intégration de Control Manager et d'OfficeScan .............................. 3-6
Options de déploiement .............................................................................. 3-12
Déploiement simple ............................................................................. 3-12
Déploiement de Control Manager ..................................................... 3-13
Déploiement d'OfficeScan .................................................................. 3-15
Déploiement distribué complexe ....................................................... 3-16
Recommandations pour la mise à l'échelle ............................................... 3-18
Déploiement des mises à niveau ................................................................ 3-23
Éléments à prendre en compte pour la mise à niveau .................... 3-24
Chemins de mise à niveau ................................................................... 3-25
Versions de l'agent prises en charge .................................................. 3-26
Résumé des opérations de mise à niveau .......................................... 3-27
Chapitre 4: Déploiement de PolicyServer
À propos de PolicyServer .............................................................................. 4-2
ii
Table des matières
Installation et configuration de PolicyServer .............................................. 4-3
Installation de PolicyServer ................................................................... 4-3
Configuration de PolicyServer .............................................................. 4-8
Synchronisation Active Directory de PolicyServer ......................... 4-17
Proxy LDAP ......................................................................................... 4-23
Configurer les services sur plusieurs points finaux ......................... 4-25
Mise à niveau ................................................................................................. 4-28
Chemins de mise à niveau ................................................................... 4-29
Versions de l'agent prises en charge .................................................. 4-30
Mise à niveau de PolicyServer ............................................................ 4-31
Mise à niveau de plusieurs services PolicyServer connectés à la même
base de données .................................................................................... 4-34
Mise à niveau de PolicyServer MMC ................................................. 4-35
Migration vers Control Manager ................................................................ 4-35
Désinstallation ............................................................................................... 4-36
Désinstallation de PolicyServer MMC .............................................. 4-36
Désinstallation de PolicyServer .......................................................... 4-36
Chapitre 5: Intégration de Control Manager
À propos de l'intégration de Control Manager .......................................... 5-2
Migration vers Control Manager .................................................................. 5-3
Ajout de PolicyServer en tant que produit géré à Control Manager ....... 5-4
Configuration des groupes pour les stratégies de Control Manager ....... 5-7
Création d'une stratégie ................................................................................. 5-8
Spécifications des cibles de stratégie ................................................... 5-9
Modification d'un produit géré de PolicyServer dans Control Manager
.......................................................................................................................... 5-11
Suppression d'un produit géré par PolicyServer à partir de Control
Manager .......................................................................................................... 5-11
Chapitre 6: Déploiement des agents Endpoint Encryption
Agents Endpoint Encryption ....................................................................... 6-2
À propos de Full Disk Encryption .............................................................. 6-3
iii
À propos de File Encryption ........................................................................ 6-4
Installation ....................................................................................................... 6-4
Avant d'installer les agents Endpoint Encryption ............................. 6-4
Conditions requises pour les points finaux gérés .............................. 6-5
Déploiement automatique de l'agent ................................................... 6-6
Déploiement de Full Disk Encryption ................................................ 6-6
Déploiement de File Encryption ....................................................... 6-23
Déploiements automatiques ............................................................... 6-28
Mise à niveau ................................................................................................. 6-37
Mise à niveau d'Endpoint vers Windows 8 ...................................... 6-37
Mise à niveau de Full Disk Encryption ............................................. 6-38
Mise à niveau de File Encryption ...................................................... 6-40
Mise à niveau d'Encryption Management for Apple FileVault ..... 6-41
Mise à niveau d'Encryption Management for Microsoft BitLocker
.................................................................................................................. 6-41
Migration ........................................................................................................ 6-42
Remplacement d'un produit de chiffrement précédemment installé
.................................................................................................................. 6-42
Paramètres de Full Disk Encryption PolicyServer .......................... 6-43
Migration de Full Disk Encryption vers une nouvelle entreprise . 6-45
Migration de points finaux vers un nouveau serveur PolicyServer 6-47
Désinstallation ............................................................................................... 6-50
Désinstallation manuelle des agents Endpoint Encryption ........... 6-51
Utilisation d'OfficeScan pour désinstaller les agents Endpoint
Encryption ............................................................................................. 6-55
Chapitre 7: Intégration d'OfficeScan
À propos de l'intégration de Trend Micro OfficeScan ............................. 7-2
Installation d'OfficeScan ............................................................................... 7-3
À propos de Plug-in Manager ....................................................................... 7-4
Installation des outils de déploiement d'Endpoint Encryption ............... 7-5
Installation de l'outil de déploiement d'Endpoint Encryption ........ 7-5
Gestion des plug-ins ....................................................................................... 7-7
Gestion de l'outil de déploiement d'Endpoint Encryption .............. 7-7
iv
Table des matières
Utilisation des programmes plug-in ............................................................. 7-7
Gestion des plug-ins ............................................................................... 7-7
Mises à niveau de l'outil de déploiement d'Endpoint Encryption .. 7-8
Désinstallation de l'outil de déploiement d'Endpoint Encryption . 7-9
Gestion de l'arborescence des agents ........................................................
Arborescence des agents OfficeScan ................................................
Tâches spécifiques dans l'arborescence des agents .........................
Déploiement des paramètres du serveur ..........................................
7-10
7-10
7-10
7-12
Déploiement des agents Endpoint Encryption ....................................... 7-12
Déploiement de l'agent avec OfficeScan .......................................... 7-13
Confirmation du déploiement de l'agent .......................................... 7-14
État de déploiement des agents Endpoint Encryption .................. 7-16
Codes erreur d'installation des agents Endpoint Encryption ........ 7-17
Utilisation d'OfficeScan pour désinstaller les agents Endpoint
Encryption ............................................................................................. 7-21
Chapitre 8: Maintenance et support technique
Contrat de maintenance ................................................................................. 8-2
Renouvellement du contrat de maintenance ...................................... 8-2
Licence d'évaluation ............................................................................... 8-3
Activation de la nouvelle licence du produit ...................................... 8-4
Affichage de la licence du produit ....................................................... 8-4
Maintenance du produit ........................................................................ 8-6
Ressources de dépannage .............................................................................. 8-6
Communauté de Trend ......................................................................... 8-6
Utilisation du portail de l'assistance technique .................................. 8-6
Communauté du renseignement de sécurité ...................................... 8-7
Encyclopédie des menaces .................................................................... 8-7
Contacter Trend Micro .................................................................................. 8-8
Optimisation de la demande d'assistance ........................................... 8-8
Autres ressources ............................................................................................ 8-9
TrendEdge ............................................................................................... 8-9
Centre de téléchargement .................................................................... 8-10
TrendLabs ............................................................................................. 8-10
v
Annexes
Annexe A: Présentation de Trend Micro Control Manager
Control Manager Standard et Advanced .................................................... A-3
Présentation des fonctionnalités de Control Manager ............................. A-3
Architecture de Control Manager ............................................................... A-5
Enregistrement d'Endpoint Encryption sur Control Manager .............. A-8
Définition des accès utilisateur .................................................................... A-9
Définition du répertoire Produits ............................................................. A-17
Téléchargement et déploiement de nouveaux composants .................. A-41
Utilisation des journaux .............................................................................. A-69
Définition des rapports ............................................................................... A-73
Annexe B: Éléments à prendre en compte pour le
déploiement
Liste de contrôle relative au déploiement initial ........................................ B-2
Liste de contrôle de l'infrastructure de sécurité ......................................... B-4
Établissement de stratégies et de profils de sécurité ................................. B-6
Éléments à prendre en compte pour modifier la gestion ........................ B-7
Liste de contrôle préalable à l'installation de Full Disk Encryption ...... B-8
Communication à l'intention des utilisateurs finaux .............................. B-12
Annexe C: Déploiement du programme pilote d'Endpoint
Encryption
À propos d'un programme pilote ................................................................ C-2
Attribution d'une équipe de projet .............................................................. C-2
Mettre en œuvre une stratégie de déploiement progressif ....................... C-2
Liste de contrôle du programme pilote Endpoint Encryption ............... C-3
vi
Table des matières
Annexe D: Services Endpoint Encryption
Annexe E: Glossaire
Index
Index .............................................................................................................. IN-1
vii
Préface
Préface
Bienvenue dans le Guide d'installation et de migration Trend Micro™ Endpoint
Encryption™. Ce document vous encourage à être opérationnel le plus rapidement
possible en présentant les fonctions et l'architecture de sécurité d'Endpoint Encryption.
Ce guide explique les configurations minimales requises, la manière de préparer le
déploiement, comment installer PolicyServer et le logiciel agent Endpoint Encryption,
décrit la manière de présenter le déploiement aux utilisateurs finaux et comment
effectuer des mises à niveau et des migrations.
Les rubriques sont les suivantes:
•
Documentation à la page x
•
Public cible à la page x
•
Conventions typographiques à la page xi
•
À propos de Trend Micro à la page xii
ix
Documentation
L'ensemble des documents relatifs à Trend Micro Endpoint Encryption comprennent ce
qui suit :
TABLEAU 1. Documentation relative au produit
DOCUMENT
DESCRIPTION
Manuel de
l'administrateur
Décrit les concepts et fonctionnalités du produit et donne des
instructions détaillées sur la manière de configurer et gérer
PolicyServer, Full Disk Encryption et File Encryption.
Guide d'installation et de
migration
Explique la configuration système requise et contient les
informations détaillées sur la manière de déployer, d'installer,
de migrer et de mettre à niveau PolicyServer, Full Disk
Encryption et File Encryption.
Aide en ligne
Tous les produits contiennent un point d'entrée pour accéder
à l'aide en ligne. L'aide en ligne fournit un accès aux
rubriques d'aide HTML contextuelles.
Fichier Lisez-moi
Contient des informations de dernière minute sur le produit
qui ne se trouvent pas dans la documentation en ligne ou
imprimée. Il décrit notamment les nouvelles fonctionnalités,
fournit des conseils d'installation, recense les problèmes
connus et rappelle l'historique des différentes versions du
produit.
Portail de l'assistance
technique
Base de données en ligne contenant des informations sur la
résolution des problèmes et le dépannage. Elle contient les
dernières informations sur les problèmes connus des
produits. Pour accéder à la base de connaissances,
consultez le site Web suivant :
http://esupport.trendmicro.com
Public cible
Ce guide est écrit à l'intention des administrateurs IT déployant Trend Micro Endpoint
Encryption dans des entreprises moyennes à grandes et au personnel du Centre
x
Préface
d'assistance qui gère les utilisateurs, les groupes, les stratégies et les périphériques. La
documentation suppose des connaissances de base en informatique, réseautage et
sécurité, y compris :
•
Paramétrage et configuration matérielle des points finaux
•
Concepts de base pour le chiffrement des points finaux
•
Partitionnement de disque dur, formatage et entretien
•
Architecture client-serveur
Conventions typographiques
Cette documentation utilise les conventions suivantes :
TABLEAU 2. Conventions typographiques
CONVENTION
DESCRIPTION
MAJUSCULE
Acronymes, abréviations, noms de certaines commandes
et touches du clavier.
Gras
Menus et commandes de menu, boutons de commande,
onglets et options.
Italique
Références à d'autres documents
Monospace
Exemples de lignes de commande, code de programme,
URL Web, noms de fichier et sortie de programme
Chemin > de navigation
Chemin d'accès pour atteindre un écran particulier
Par exemple, Fichier > Enregistrer signifie, cliquez sur
Fichier, puis sur Enregistrer dans l'interface
Remarque
Conseil
Remarques de configuration
Recommandations ou suggestions
xi
CONVENTION
Important
AVERTISSEMENT!
DESCRIPTION
Informations relatives aux paramètres de configuration
par défaut ou requis ainsi qu'aux limitations de produits
Mesures essentielles et options de configuration
À propos de Trend Micro
En tant que leader mondial en matière de sécurité en ligne, Trend Micro développe des
solutions de sécurité de contenus sur Internet ainsi que des solutions de gestion des
menaces, créant ainsi un univers totalement sûr pour que particuliers et entreprises
puissent y partager des informations numériques. Fort de 20 ans d'expérience, Trend
Micro fournit des solutions de haut niveau client, serveur et en nuage, qui bloquent les
menaces plus rapidement et protègent les données dans les environnements physiques,
virtuels et en nuage.
À mesure que les menaces et les failles voient le jour, Trend Micro s'engage auprès de
ses clients pour les aider à sécuriser leurs données, assurer leur conformité, réduire leurs
coûts et préserver leur intégrité commerciale. Pour plus d'informations, consultez :
http://www.trendmicro.com
Trend Micro et le logo t-ball de Trend Micro sont des marques commerciales ou des
marques déposées de Trend Micro Incorporated et sont enregistrées dans certains pays.
Toutes les autres marques sont des marques commerciales ou des marques
commerciales déposées par leur propriétaire respectif.
xii
Chapitre 1
Introduction à Endpoint Encryption
Ce chapitre présente les fonctions et fonctionnalités, les périphériques et les utilisateurs
d'Endpoint Encryption.
•
À propos d'Endpoint Encryption à la page 1-2
•
Fonctionnalités et avantages principaux à la page 1-2
•
Nouveautés de la version 5.0 Patch 1 à la page 1-4
•
À propos d'Encryption à la page 1-9
•
Composants d'Endpoint Encryption à la page 1-9
•
Périphériques Endpoint Encryption à la page 1-19
•
Utilisateurs d'Endpoint Encryption à la page 1-20
1-1
À propos d'Endpoint Encryption
Trend Micro Endpoint Encryption garantit la confidentialité en chiffrant les données
stockées sur des points finaux, des fichiers et des dossiers ainsi que des supports
amovibles selon un grand nombre d'options de plate-formes. Endpoint Encryption
fournit des commandes de stratégie granulaire et s'intègre de manière flexible aux autres
outils de gestion de Trend Micro, notamment Control Manager et OfficeScan. Des
fonctionnalités de déploiement innovantes vous aident à déployer facilement le logiciel
agent en utilisant le chiffrement matériel ou logiciel FIPS 140-2 qui est entièrement
transparent pour les utilisateurs finaux, sans altérer la productivité. Une fois qu'il est
déployé, la génération automatisée de rapports, d'audits et la synchronisation des
stratégies avec Endpoint Encryption PolicyServer simplifie la gestion de la sécurité des
points finaux.
Endpoint Encryption dispose de fonctionnalités pour déployer des commandes à
distance, récupérer des données perdues et protéger l'identité des utilisateurs, tout en
maintenant une synchronisation des stratégies en temps réel. Au cas ou un point final est
perdu ou volé, lancez à distance une commande de réinitialisation ou une commande
« kill » afin de protéger immédiatement les informations de l'entreprise. Plusieurs outils
de récupération sont également disponibles afin d'aider les utilisateurs finaux à réparer
les données d'un disque dur endommagé. En s'intégrant dans les commandes existantes
d'identité de l'entreprise, Endpoint Encryption dispose d'un grand nombre de méthodes
d'authentification, notamment l'intégration d'Active Directory et des ressources pour les
utilisateurs finaux ayant perdu leurs informations d'authentification.
Fonctionnalités et avantages principaux
Le tableau suivant répertorie les fonctionnalités et avantages d'Endpoint Encryption.
1-2
TABLEAU 1-1. Fonctionnalités principales d'Endpoint Encryption
FONCTION
Chiffrement
Authentification
Gestion des
périphériques
AVANTAGES
•
Protection de l'intégralité du disque, y compris du MBR
(enregistrement de démarrage principal), du système
d'exploitation et de tous les fichiers système.
•
Chiffrement matériel et logiciel pour les environnements
mixtes.
•
Protection complète des données des fichiers, des dossiers
et des supports amovibles
•
Méthodes d'authentification flexibles, à facteur unique et
multifactorielles
•
Vérification de l'efficacité et de la régularité d'un mot de
passe lors des changements de mot de passe
•
Mises à jour des stratégies avant authentification et
démarrage du système
•
Actions configurables lorsque le nombre de tentatives de
saisie du mot de passe a été dépassé
•
Stratégies pour protéger les données sur les points finaux
et les supports amovibles
•
Possibilité de verrouiller, réinitialiser, nettoyer ou éliminer à
distance un périphérique
1-3
FONCTION
Administration
centralisée
Conservation des
informations,
génération de
rapports et d'audits.
AVANTAGES
•
Utilisation flexible de PolicyServer MMC ou Control
Manager pour gérer le serveur PolicyServer
•
Déployer les agents Endpoint Encryption sur des points
finaux déjà gérés par OfficeScan
•
Mettre en œuvre des stratégies de sécurité pour les
utilisateurs individuels et les groupes de stratégies à partir
d'un serveur à stratégie unique
•
Protéger instantanément les données des utilisateurs
finaux en envoyant des commandes de verrouillage ou
d'effacement vers les périphériques Endpoint Encryption
perdus ou volés
•
Automatiser l'application des stratégies avec actions
correctives pour remédier aux événements de sécurité.
•
Mise à jour des stratégies de sécurité en temps réel, avant
l'authentification, afin de révoquer les informations
d'identification de l'utilisateur avant le démarrage du
système d'exploitation
•
Génération avancée de rapports et d'audits en temps réel
afin d'assurer la conformité de la sécurité
•
Analyser les statistiques d'utilisation via des rapports
programmés et des notifications d'alerte
Nouveautés de la version 5.0 Patch 1
Trend Micro Endpoint Encryption 5.0 Patch 1 de nombreuses nouvelles fonctionnalités
et améliorations.
1-4
TABLEAU 1-2. Nouveautés de Endpoint Encryption 5.0 Patch 1
NOUVELLE FONCTIONNALITÉ
Gestion de la licence de Control Manager
Visibilité centrée sur les utilisateurs de
Control Manager
Prise en charge des cartes réseau NIC et
Wi-Fi
DESCRIPTION
Endpoint Encryption PolicyServer s'intègre
à la gestion de la licence de Control
Manager. Control Manager prend en
charge les fonctions suivantes avec
Endpoint Encryption :
•
Afficher les informations de la licence
Endpoint Encryption actuelle
•
Déployer une licence complète sur
PolicyServer
•
Renouveler une licence sur
PolicyServer
Endpoint Encryption s'intègre à la visibilité
centrée sur les utilisateurs de Control
Manager. Les journaux d'état envoyés à
Control Manager incluent les informations
d'utilisateur pour les agents Endpoint
Encryption suivants :
•
Full Disk Encryption
•
File Encryption
•
Encryption Management for Microsoft
BitLocker
•
Encryption Management for Apple
FileVault
Endpoint Encryption prend en charge les
groupes suivants de contrôleur réseau
(NIC) :
•
Famille Intel Ethernet Controller l217
•
Famille Intel Ethernet Controller l218
Endpoint Encryption prend également en
charge la carte Wi-Fi Intel Dual Band AC
7260.
1-5
TABLEAU 1-3. Nouveautés de Endpoint Encryption 5.0
Nouvelle interface de
communication
Intégration de Control
Manager
DESCRIPTION
Endpoint Encryption 5.0 présente une nouvelle interface
de communication (service Endpoint Encryption) que tous
les agents et consoles d'administration Endpoint
Encryption 5.0 Patch 1 utilisent pour communiquer avec
PolicyServer. Le service Endpoint Encryption utilise une
API Web RESTful (Representational State Transfer) avec
un algorithme de chiffrement AES-GCM. Le service
Endpoint Encryption possède trois fonctionnalités
principales :
•
Contrôle d'accès : Après authentification de
l'utilisateur, PolicyServer génère un jeton valable
uniquement pour cet utilisateur dans cette session.
•
Contrôle des stratégies : Avant l'authentification de
l'utilisateur, le service Endpoint Encryption Service
limite toutes les transactions de stratégie
PolicyServer MMC, Control Manager et OfficeScan
tant que l'utilisateur n'est pas identifié.
•
Mises à jour automatiques des stratégies : Une fois
que l'enregistrement sur le serveur Policy Server a
réussi, les agents Endpoint Encryption obtiennent
automatiquement les nouvelles stratégies sans
authentification de l'utilisateur.
Endpoint Encryption 5.0 s'intègre avec Control Manager
pour la gestion de PolicyServer.
Pour plus d'informations sur Control Manager, consultez
la section À propos de l'intégration de Control Manager à
la page 5-2.
Intégration d'OfficeScan
1-6
Endpoint Encryption 5.0 fournit une assistance pour les
déploiements d'OfficeScan. Utilisez le nouveau plug-in
Outil de déploiement d'Endpoint Encryption pour déployer
de manière centrale ou désinstaller les agents Endpoint
Encryption sur un point final quelconque géré
actuellement par OfficeScan.
Gestion de la licence
DESCRIPTION
Endpoint Encryption 5.0 s'intègre au portail de gestion des
licences de Trend Micro. Comme pour les versions
précédentes de produits, vous pouvez essayer
gratuitement Endpoint Encryption pendant 30 jours.
Lorsque la licence d'essai arrive à expiration, un code
d'activation est nécessaire.
Pour plus d'informations sur la gestion des licences,
consultez la section Contrat de maintenance à la page
8-2.
Prise en charge d'Apple
FileVault™ et de Microsoft
BitLocker™
Endpoint Encryption 5.0 fait progresser Full Disk
Encryption grâce à l'intégration de nouvelles solutions de
chiffrement intégrées au système d'exploitation hôte par le
biais de deux nouveaux agents Endpoint Encryption :
•
Encryption Management for Microsoft BitLocker
•
Encryption Management for Apple FileVault
PolicyServer gère de manière centrale les deux agents
avec des contrôles de stratégie pour effacer ou éliminer à
distance le périphérique Endpoint Encryption.
Modification du nom
FileArmor et déplacement
vers Common Framework
Endpoint Encryption 5.0 renomme l'agent FileArmor en
File Encryption, afin de mieux correspondre à la nouvelle
fonctionnalité de l'agent Endpoint Encryption. File
Encryption dispose des avantages de FileArmor 3.1.3,
notamment une meilleure prise en charge des supports
amovibles.
File Encryption est également à présent mieux aligné
avec Full Disk Encryption pour une meilleure gestion des
modes de passe et des stratégies.
1-7
DESCRIPTION
Amélioration de la
maintenance, des journaux
et des rapports
Endpoint Encryption 5.0 comporte plusieurs améliorations
pour la maintenance des produits, les journaux et les
rapports. Pour plus d'informations, consultez la section
Fonctionnalités d'entreprise avancées dans le Manuel de
l'administrateur Endpoint Encryption.
Améliorations pour les
cartes à puce
1-8
•
Mécanisme pour purger la base de données de
journaux : Il est à présent possible de purger la base
de donnée de journaux selon des critères
spécifiques.
•
Supprimer les utilisateurs et périphériques Endpoint
Encryption : Pour nettoyer les périphériques et les
utilisateurs de l'entreprise, il est maintenant possible
de purger les périphériques et les utilisateurs inactifs
pendant une période de temps spécifiée.
•
Rapport d'entreprise pour les utilisateurs inactifs : Le
nouveau rapport d'entreprise affiche tous les
utilisateurs d'Endpoint Encryption qui ne se sont pas
connectés sur des périphériques Endpoint Encryption
pendant une période de temps spécifiée.
•
Rapport Entreprise pour les périphériques inactifs :
Le nouveau rapport Entreprise affiche tous les
périphériques Endpoint Encryption qui n'ont fait l'objet
d'aucune connexion pendant une période de temps
spécifiée.
Endpoint Encryption 5.0 fournit les améliorations
suivantes pour les cartes à puce :
•
Amélioration du déploiement de l'agent Endpoint
Encryption dans les environnements utilisant des
cartes à puce
•
Prise en charge du partage de mots de passe pour
les cartes à puce
À propos d'Encryption
Le chiffrement est un processus qui rend des données illisibles, à moins de disposer de la
clé de chiffrement. Effectuez un chiffrement matériel ou logiciel (ou une combinaison
des deux) afin de protéger les données localement sur un disque dur de point final, sur
un support amovible, dans des fichiers et dossiers spécifiques, ainsi que lors du transfert
de données sur des réseaux ou sur Internet. Le chiffrement de point final est la manière
la plus importante d'assurer la sécurité des données mais aussi d'assurer que la protection
des données est conforme aux exigences réglementaires à ce sujet.
À propos de la norme FIPS
La norme Federal Information Processing Standard (FIPS) Publication 140-2 est une norme
gouvernementale des États-Unis, relative à la sécurité des périphériques, qui régit les
conditions de sécurité requises pour les modules de chiffrement. Le tableau suivant
explique les quatre niveaux de sécurité FIPS 140-2 :
TABLEAU 1-4. Niveaux de sécurité FIPS 140-2
NIVEAU
DESCRIPTION
1
Requiert que tous les composants de chiffrement soient capables de
fonctionner dans un environnement de production et soient exempts de
failles de sécurité évidentes.
2
Inclut les conditions de niveau 1 et ajoute des conditions de preuve de
falsification physiques et d'authentification basée sur des rôles.
3
Inclut les conditions de niveau 2 et ajoute des conditions de résistance
à la falsification physiques et d'authentification basée sur l'identité.
4
Inclut les conditions de niveau 3 et ajoute des conditions physiques de
sécurité supplémentaires.
Composants d'Endpoint Encryption
Endpoint Encryption se compose d'un serveur d'administration central (PolicyServer)
qui gère les bases de données de stratégies et de journaux, l'authentification et toute
1-9
activité client-serveur. Déployez plusieurs agents Endpoint Encryption uniques qui
effectuent chacun des tâches de chiffrement spécifiques. Tous les agents Endpoint
Encryption communiquent via un canal chiffré.
Gérez de manière flexible Endpoint Encryption en utilisant uniquement PolicyServer
MMC ou en utilisant Control Manager pour la gestion des stratégies, des utilisateurs et
des périphériques et PolicyServer MMC pour la gestion avancée des journaux et
l'établissement de rapports.
Endpoint Encryption s'intègre à OfficeScan. Utilisez le plug-in Outil de déploiement
d'Endpoint Encryption pour déployer le logiciel agent Endpoint Encryption sur un
point final géré OfficeScan.
Remarque
Pour plus d'informations sur les scénarios de déploiement, consultez la section Aperçu du
déploiement et de la mise à niveau à la page 3-1.
1-10
L'illustration suivante montre les composants et les protocoles de communication
d'Endpoint Encryption
FIGURE 1-1. Architecture d'Endpoint Encryption
Le tableau suivant décrit ces composants.
1-11
TABLEAU 1-5. Composants d'Endpoint Encryption
COMPOSANT
Services d'Endpoint
Encryption PolicyServer
DESCRIPTION
PolicyServer se compose de plusieurs services qui
contrôlent de manière centrale les stratégies,
l'authentification et l'établissement de rapports. PolicyServer
se compose des éléments suivants :
•
Service Endpoint Encryption
•
Service Web hérité
•
Service Windows PolicyServer
Pour plus d'informations sur PolicyServer, consultez la
section À propos de PolicyServer à la page 1-13.
Base de données SQL
PolicyServer :
Base de données Microsoft™ SQL Server qui stocke toutes
les informations sur les utilisateurs, les stratégies et les
journaux. Installez la base de données sur le même serveur
que PolicyServer ou séparément. Configurez PolicyServer
de manière flexible en utilisant Microsoft SQL Server ou
Microsoft SQL Express.
Pour plus d'informations sur les options de configuration de
la base de données, consultez la section Recommandations
pour la mise à l'échelle à la page 3-18.
Endpoint Encryption
PolicyServer MMC
PolicyServer MMC est l'option d'interface native pour gérer
PolicyServer à distance.
Trend Micro Control
Manager
Trend Micro Control Manager est une option pour gérer
PolicyServer à distance tout en s'intégrant également avec
d'autres produits Trend Micro gérés.
Les administrateurs peuvent utiliser la fonctionnalité de
gestion des stratégies pour configurer et déployer les
paramètres du produit dans les produits gérés et les points
finaux. La console d'administration à interface Web de
Control Manager fournit un point de surveillance unique pour
les produits et les services antivirus et de sécurité de
contenu sur tout le réseau.
1-12
COMPOSANT
Agents Endpoint
Encryption 5.0 Patch 1
DESCRIPTION
Tous les agents Endpoint Encryption 5.0 Patch 1
communiquent avec le service service Endpoint Encryption
de PolicyServer en utilisant une API Web RESTful.
Pour plus d'informations sur les agents Endpoint Encryption,
consultez :
•
À propos de Full Disk Encryption à la page 6-3
•
À propos de File Encryption à la page 6-4
Pour plus d'informations sur les communications des agents
Endpoint Encryption, consultez la section À propos de
PolicyServer à la page 1-13.
Remarque
Configurez les paramètres de port pendant
l'installation de l'agent Endpoint Encryption. Full Disk
Encryption peut utiliser la console de restauration pour
modifier le numéro de port attribué.
Autres agents d'Endpoint
Encryption
Tous les agents Endpoint Encryption hérités (3.1.3 et
versions antérieures) communiquent avec le service Web
hérité sur PolicyServer. Pour plus de détails sur les
communications des agents, consultez la section À propos
de PolicyServer à la page 1-13.
Active Directory
PolicyServer effectue la synchronisation des informations de
compte d'utilisateur en communiquant avec Active Directory
via LDAP. Les informations de compte sont mises en cache
dans la base de données Microsoft SQL.
Remarque
Active Directory est facultatif.
À propos de PolicyServer
Trend Micro PolicyServer gère les clés de chiffrement et synchronise les stratégies sur
tous les points finaux de l'organisation. PolicyServer applique également une
1-13
authentification sécurisée et fournit des outil d'audit et de génération de rapports en
temps réel afin de garantir la conformité aux réglementations. Vous pouvez gérer
PolicyServer de manière flexible avec PolicyServer MMC ou avec Trend Micro Control
Manager. D'autres fonctionnalités de gestion des données sont notamment les actions
d'auto-assistance basées sur l'utilisateur et les actions sur les périphériques permettant de
réinitialiser ou d'« éliminer » à distance un périphérique perdu ou volé.
Le tableau suivant décrit les composants de PolicyServer que vous pouvez déployer sur
un ou plusieurs serveurs, selon les besoins de votre environnement.
TABLEAU 1-6. Composants de PolicyServer
COMPOSANT
1-14
DESCRIPTION
Entreprise
L'Entreprise Endpoint Encryption est l'identifiant unique de
l'organisation dans la base de données PolicyServer configurée
lors de l'installation de PolicyServer. Une base de données
PolicyServer ne doit avoir qu'une seule configuration d'entreprise.
Base de données
La base de données Microsoft SQL PolicyServer stocke de
manière sécurisée toutes les données relatives aux utilisateurs,
aux périphériques et aux journaux. La base de données est
configurée sur un serveur dédié ou ajoutée à un cluster SQL
existant. Les bases de données des journaux et des autres
éléments peuvent se trouver dans des endroits différents.
Service Windows
PolicyServer
Le service Windows PolicyServer gère toutes les transactions de
communication entre le système d'exploitation hôte, le service
Endpoint Encryption, le service Web hérité, le proxy Web client et
les bases de données SQL.
Service Endpoint
Encryption
Tous les agents Endpoint Encryption 5.0 Patch 1 utilisent le service
Endpoint Encryption pour communiquer avec PolicyServer. Le
service Endpoint Encryption utilise une API Web RESTful
(Representational State Transfer) avec un algorithme de
chiffrement AES-GCM. Lorsqu'un utilisateur s'authentifie,
PolicyServer génère un jeton lié à la configuration de stratégie
spécifique. Tant que l'utilisateur Endpoint Encryption ne s'est pas
authentifié, le service refuse toutes les transactions de stratégie.
Pour créer une topographie de réseau sur trois niveaux, le service
peut également être déployé séparément sur un point final résidant
dans le réseau DMZ, ce qui permet à PolicyServer de résider en
toute sécurité dernière le pare-feu.
COMPOSANT
DESCRIPTION
Tous les agents Endpoint Encryption 3.1.3 et les agents plus
anciens utilisent le protocole SOAP (Simple Object Access
Protocol) pour communiquer avec PolicyServer. Dans certaines
situations, SOAP peut autoriser des transactions de stratégie non
sécurisées sans authentification de l'utilisateur. Le service Web
hérité filtre les appels SOAP en exigeant une authentification et en
limitant les commandes que SOAP peut accepter. Pour créer une
topographie de réseau sur trois niveaux, le service peut également
être déployé séparément sur un point final résidant dans le réseau
DMZ, ce qui permet à PolicyServer de résider en toute sécurité
dernière le pare-feu.
Consoles d'administration
En fonction de la sécurité des points finaux et des besoins de l'infrastructure existante,
vous pouvez gérer Endpoint Encryption en utilisant seulement une console
d'administration unique ou une combinaison de plusieurs consoles d'administration. Le
tableau suivant les consoles d'administration disponibles pour gérer Endpoint
Encryption.
1-15
TABLEAU 1-7. Consoles d'administration Endpoint Encryption
CONSOLE D'ADMINISTRATION
PolicyServer MMC
DESCRIPTION
Le plug-in PolicyServer Microsoft Management
Console (PolicyServer MMC) est la console
d'administration native pour l'administration des
stratégies, des utilisateurs et des périphériques
Utilisez PolicyServer MMC pour gérer de manière
centrale :
1-16
•
Tous les utilisateurs, périphériques et groupes
•
Toutes les stratégies, y compris le chiffrement,
la complexité des mots de passe et
l'authentification
•
Les actions à distance sur le périphérique,
notamment l'élimination d'un périphérique,
l'effacement des données ou la mise en attente
de l'authentification
•
Les journaux des événements concernant les
événements d'authentification et de gestion,
l'état du chiffrement des périphériques et les
violations de sécurité
•
Processus de réinitialisation de mot de passe
de Remote Help
•
Les options d'audit et d'établissement de
rapports
CONSOLE D'ADMINISTRATION
Control Manager
DESCRIPTION
Trend Micro Control Manager est une console
d'administration centralisée qui gère les produits et
services Trend Micro, au niveau de la passerelle, du
serveur de messagerie, du serveur de fichiers et
des postes de travail de l'entreprise. Les
administrateurs peuvent utiliser la fonctionnalité de
gestion des stratégies pour configurer et déployer
les paramètres du produit dans les produits gérés et
les points finaux. La console d'administration à
interface Web de Control Manager fournit un point
de surveillance unique pour les produits et les
services antivirus et de sécurité de contenu sur tout
le réseau.
Créez une sécurité sur plusieurs couches en
intégrant Endpoint Encryption à Control Manager en
tant que produit Trend Micro géré. Gérez de
manière flexible Endpoint Encryption en utilisant
uniquement PolicyServer MMC ou en utilisant
Control Manager pour la gestion des stratégies, des
utilisateurs et des périphériques et PolicyServer
MMC pour la gestion avancée des journaux et
OfficeScan
OfficeScan protège les réseaux d'entreprise contre
les programmes malveillants, les virus réseau, les
menaces provenant d'Internet, les spywares et les
attaques mixtes. Solution intégrée, OfficeScan est
composé d'un agent résidant au point final et d'un
programme serveur qui gère tous les agents.
Utilisez le plug-in Outil de déploiement d'Endpoint
Encryption d'OfficeScan pour déployer de manière
centrale ou désinstaller les agents Endpoint
Encryption sur un point final quelconque géré
actuellement par OfficeScan.
Agents Endpoint Encryption
Le tableau suivant décrit les agents Endpoint Encryption disponible pour des
environnements divers.
1-17
AGENT
File Encryption
DESCRIPTION
Agent Endpoint Encryption pour le File Encryptions et de
dossiers sur les disques locaux et les supports amovibles.
Utilisez File Encryption pour protéger les fichiers et les
dossiers se trouvant virtuellement sur tout périphérique
apparaissant comme disque sur le système d'exploitation
hôte.
Pour plus d'informations, consultez la section À propos de
File Encryption à la page 6-4.
Agent Endpoint Encryption pour le chiffrement matériel et
logiciel avec authentification préalable au démarrage.
Utilisez Full Disk Encryption pour sécuriser les fichiers de
données, les applications, les paramètres de Registre, les
fichiers temporaires, les fichiers d'échange, les spouleurs
d'impression et les fichiers supprimés sur un point final
Windows. Une authentification forte préalable au
démarrage limite l'accès aux vulnérabilités jusqu'à ce que
l'utilisateur soit validé.
Full Disk Encryption à la page 6-3.
Encryption Management
for Microsoft BitLocker
Agent Endpoint Encryption Full Disk Encryption pour les
environnements Microsoft Windows qui ont simplement
besoin d'activer Microsoft BitLocker sur le point final
d'hébergement.
Utilisez l'agent Encryption Management for Microsoft
BitLocker pour sécuriser les points finaux avec la protection
par chiffrement complet de disques de Trend Micro dans
une infrastructure Windows existante.
1-18
AGENT
for Apple FileVault
DESCRIPTION
environnements Mac OS qui ont simplement besoin
d'activer Apple FileVault sur le point final d'hébergement.
Utilisez l'agent Encryption Management for Apple FileVault
pour sécuriser les points finaux avec la protection par
chiffrement complet de disques de Trend Micro dans une
infrastructure Mac OS existante.
Remarque
Endpoint Encryption 5.0 ne comporte pas de périphériques KeyArmor. Toutefois, les
périphériques KeyArmor hérités sont pris en charge.
Périphériques Endpoint Encryption
Périphériques et agents Endpoint Encryption enregistrés sur PolicyServer. L'installation
d'un agent Endpoint Encryption enregistre automatiquement le point final sur
PolicyServer en tant que nouveau périphérique Endpoint Encryption. Étant donné que
plusieurs agents Endpoint Encryption peuvent protéger un point final donné, un point
final unique peut apparaître comme plusieurs périphériques Endpoint Encryption sur
PolicyServer.
Vous pouvez créer des règles de stratégie qui se déclenchent automatiquement suite à un
trop grand nombre de tentatives d'authentification infructueuses ou lorsque les stratégies
de l'agent Endpoint Encryption sont obsolètes. Les règles de stratégie suivantes sont
disponibles :
•
Temporisation
•
Authentification à distance obligatoire
•
Effacer le périphérique
1-19
PolicyServer peut agir instantanément en cas de point final perdu ou volé en initiant une
action à distance sur le périphérique Endpoint Encryption associé. Les actions à distance
suivantes sont disponibles :
•
Jeton logiciel
•
Clé de restauration
•
Éliminer le périphérique
•
Verrouiller le périphérique
•
Réinitialisation logicielle
Remarque
Pour plus d'informations sur les périphériques Endpoint Encryption, consultez la section
Périphériques et utilisateurs dans le Manuel de l'administrateur Endpoint Encryption.
Utilisateurs d'Endpoint Encryption
Les utilisateurs d'Endpoint Encryption sont tous les comptes d'utilisateurs ajoutés
manuellement à PolicyServer ou synchronisés avec Active Directory.
Endpoint Encryption dispose de plusieurs rôles de compte et méthodes d'identification
permettant une authentification et une gestion complètes basées sur l'identité. En
utilisant Control Manager ou PolicyServer MMC, vous pouvez ajouter ou importer des
comptes d'utilisateurs, contrôler l'authentification, effectuer la synchronisation avec
Active Directory et gérer l'appartenance aux groupes de stratégies, si nécessaire.
Remarque
Pour plus d'informations sur les utilisateurs Endpoint Encryption et leur authentification,
consultez la section Périphériques et utilisateurs dans le Manuel de l'administrateur Endpoint
Encryption.
1-20
Rôles utilisateurs d'Endpoint Encryption
Le tableau suivant explique les types de comptes d'utilisateur Endpoint Encryption
destinés à des rôles différents au sein de l'entreprise ou d'un groupe de stratégies.
Chaque rôle détermine les autorisations accordées lorsque l'utilisateur accède aux
consoles d'administration et aux périphériques Endpoint Encryption.
TABLEAU 1-8. Rôles du compte Endpoint Encryption
RÔLE
DESCRIPTION
Administrateur de
l'entreprise
Destiné aux administrateurs qui contrôlent l'entreprise et qui ont
besoin de droits administratifs sur tous les groupes, utilisateurs,
périphériques et stratégies, indépendamment de l'endroit où ils se
trouvent.
Administrateur de
groupe ou de
stratégie*
Destiné aux administrateurs qui contrôlent un groupe ou une
stratégie qui leur est affecté.
Remarque
Les privilèges ne s'appliquent pas aux groupes parents, aux
groupes de même niveau dans la hiérarchie ou à leurs sousgroupes.
Authentificateur
de l'entreprise
Destiné au personnel du Centre d'assistance qui fournit une
assistance à distance lorsque les utilisateurs oublient leur mot de
passe Endpoint Encryption ou sont confrontés à un problème
technique. Les authentificateurs d'entreprise disposent de privilèges
configurables pour l'entreprise.
Authentificateur
de groupe ou de
stratégie*
Destiné au personnel du Centre d'assistance avec les mêmes
privilèges que l'authentificateur d'entreprise, excepté la limitation au
groupe ou à la stratégie qui leur est affecté.
Utilisateur
Destiné aux utilisateurs finaux de base sans privilèges spéciaux. Le
rôle utilisateur ne peut pas se connecter au consoles
d'administration Endpoint Encryption.
1-21
Remarque
*En raison des différences dans l'architecture des stratégies, Control Manager fusionne la
structure des stratégies et des groupes de PolicyServer MMC. Les rôles suivants sont
identiques entre PolicyServer MMC et Control Manager :
1-22
•
Administrateur de groupe (PolicyServer MMC) et administrateur de stratégie (Control
Manager)
•
Authentificateur de groupe (PolicyServer MMC) et authentificateur de stratégie
(Control Manager)
Chapitre 2
Configuration système requise
Ce chapitre décrit la configuration système requise pour Trend Micro Endpoint
Encryption.
•
Configuration minimale requise pour PolicyServer à la page 2-2
•
Consoles d'administration à la page 2-6
•
Agents à la page 2-9
2-1
Configuration minimale requise pour
PolicyServer
Cette section couvre la configuration matérielle et logicielle requise pour PolicyServer,
les fichiers requis pour exécuter les installations ainsi que les comptes nécessaires à la
configuration de la base de données et des environnements des serveurs Windows.
Configuration système requise pour PolicyServer
TABLEAU 2-1. Configuration système requise pour PolicyServer
SPÉCIFICATION
Processeur
Mémoire RAM
CONFIGURATION REQUISE
Consultez la rubrique Éléments à prendre en compte
pour les bases de données à la page 2-4.
Espace disque
Système d'exploitation
•
Windows Server 2003 SP2 (32 bits/64 bits)
•
Windows Server 2008/2008 R2 64 bits
Remarque
Pour plus d'informations sur la configuration
requise pour Windows
Server 2008/2008 R2, consultez la section
Éléments à prendre en compte pour
Windows Server 2008 et 2008 R2 à la page
2-3.
Base de données
2-2
•
Microsoft SQL 2005 SP3 (32 bits/64 bits)/
2008/2008 R2
•
Microsoft SQL Express 2005 SP3/2008
•
Authentification en mode mixte (mot de passe SA)
installée
•
Services de rapport installés
SPÉCIFICATION
Serveur Web et autres logiciels
•
Serveur d'application
•
Microsoft IIS
Remarque
PolicyServer 5.0 Patch 1 nécessite un
seul emplacement IIS. Si vous utilisez
le service Web client sur un point final
distant, assurez-vous d'installer les
services Microsoft IIS.
Important
Dans les environnements
Windows 2003/2008 64 bits, assurezvous de régler le paramètre IIS
« Enable32BitAppOnWin64 » sur faux.
•
Autoriser les pages Active Server
•
Autoriser ASP.NET
•
Microsoft .Net Framework 2.0 SP2 (ou 3.5) et 4.0
•
Windows Installer 4.5 (SQL Express)
Éléments à prendre en compte pour Windows Server 2008 et
2008 R2
Le tableau suivant explique les exigences supplémentaires pour installer PolicyServer sur
Microsoft Windows Server 2008 ou Microsoft Windows Server 2008 R2.
2-3
SYSTÈME
RÔLES
D'EXPLOITATION
2008
•
Installer le rôle
du serveur
d'applications
2008 R2
•
Installer le rôle
du serveur Web
FONCTIONS
•
Ajouter
SMTP
•
Ajouter la
prise en
charge de
Microsoft IIS
AUTRE
•
Installer
Microsoft .Net
Framework 4.0
•
SQL 2008 SP1 doit
être installé pour
exécuter SQL 2008
•
Aucune mise à
niveau de .NET
n'est requise
Éléments à prendre en compte pour les bases de données
Lors de l'installation de PolicyServer, il est recommandé de disposer d'au moins deux
serveurs dédiés :
1.
Un serveur dédié pour la base de données (ou il faut ajouter la base de données à
un cluster SQL existant).
2.
Un serveur dédié aux services PolicyServer.
Remarque
Le matériel informatique virtuel est pris en charge par VMware Virtual Infrastructure.
TABLEAU 2-2. Configuration matérielle requise pour PolicyServer
HÔTES SÉPARÉS
Hôte PolicyServer (3 000
utilisateurs)
2-4
Hôte SQL Server (3 000
utilisateurs)
HÔTE UNIQUE
PolicyServer et SQL Server
(1 500 utilisateurs)
HÔTES SÉPARÉS
HÔTE UNIQUE
•
Processeurs 2 GHz
Dual Quad Core Core2
Intel™ Xeon™
•
Processeurs 2 GHz
Dual Quad Core Core2
Intel™ Xeon™
•
Processeurs 2 GHz
Quad Core Core2
Intel™ Xeon™
•
4 Go de RAM
•
8 Go de mémoire vive
•
•
40 Go d'espace disque
•
100 Go d'espace
disque
•
120 Go d'espace
disque
Fichiers d'installation requis
Copier tous les fichiers d'installation vers le disque local avant de procéder à
l'installation.
TABLEAU 2-3. Fichiers requis pour installer PolicyServer
FICHIER
OBJECTIF
PolicyServerInstaller.exe
Installe la base de données et les services
PolicyServer. PolicyServer MMC peut
éventuellement être installé en même temps.
PolicyServerMMCSnapinSetup.msi
Installe uniquement PolicyServer MMC.
TMEEProxyInstaller.exe
Installe le service Web client et le service de
transfert de trafic. Ces services fonctionnent
comme les proxys Web et les protocoles de
communication dans les environnements ayant
des agents PolicyServer et Endpoint Encryption
dans des réseaux locaux différents. Le service
Web client fonctionne pour les agents hérités et
le service de transmission de trafic fonctionne
pour les agents 5.0 ou version ultérieure.
Remarque
PolicyServer comprend une licence d'évaluation de 30 jours. Il n'est plus nécessaire d'avoir
un fichier de licence pour effectuer la mise à niveau vers la version complète du produit.
Pour plus d'informations, consultez la section Maintenance et support technique à la page 8-1.
2-5
Comptes requis
Le tableau suivant explique la fonction et la description des comptes requis par
PolicyServer.
TABLEAU 2-4. Comptes requis pour l'installation de PolicyServer
COMPTE
FONCTION
DESCRIPTION
SQL SA
Programme d'installation de
PolicyServer
Le compte est utilisé uniquement
pour créer des bases de données
PolicyServer
SQL MADB
Service Windows PolicyServer
Compte créé pendant l'installation
afin d'authentifier les bases de
données PolicyServer
Administrateur
local
Services Windows et IIS
PolicyServer
Compte utilisé pour l'exécution des
services Windows PolicyServer et
des pools d'applications des
services Web
Consoles d'administration
Cette section décrit les conditions requises pour les consoles d'administration.
Configuration système requise pour PolicyServer MMC
Le tableau suivant explique la configuration système requise pour PolicyServer MMC. Il
peut être installé pendant l'installation de PolicyServer ou séparément sur un point final
différent.
TABLEAU 2-5. Configuration système requise pour PolicyServer MMC
SPÉCIFICATION
2-6
Processeur
Processeur Intel™ Core™ 2 ou compatible
Mémoire RAM
512 Mo
SPÉCIFICATION
Espace disque
100 Mo au minimum
Connectivité réseau
Connexion à PolicyServer
Tout système d'exploitation Microsoft Windows pris en
charge par PolicyServer ou les agents Endpoint Encryption
Autres
•
Microsoft .NET Framework 4.0
Configuration système requise pour Control Manager
Le tableau suivant explique les conditions requises pour utiliser Control Manager pour la
gestion des serveurs.
TABLEAU 2-6. Configuration requise pour Control Manager
SPÉCIFICATION
Serveur Control Manager
Control Manager, Patch 3
Mémoire RAM
•
2 Go au minimum
•
4 Go recommandés
•
10 Go au minimum
•
20 Go recommandés
Espace disque
Autres
Pour des instructions supplémentaires sur la configuration
système requise et la configuration de Control Manager,
consultez la documentation Control Manager disponible à
l'adresse :
http://docs.trendmicro.com/fr-fr/enterprise/controlmanager.aspx
2-7
Configuration minimale requise d'OfficeScan
Les tableaux suivants expliquent la configuration système requise pour installer
OfficeScan, utiliser le plug-in Outil de déploiement d'Endpoint Encryption pour
déployer les agents Endpoint Encryption ou installer l'agent OfficeScan.
TABLEAU 2-7. Configuration requise par le serveur OfficeScan
SPÉCIFICATION
Serveur OfficeScan
L'une des versions suivantes :
•
10.6 SP2
•
10.5 Patch 5
Plug-in Manager
2.0
Mémoire RAM
•
1 Go au minimum avec au moins 500 Mo dédiés à
OfficeScan
•
2 Go recommandé
•
3,1 Go au minimum si le serveur dispose des éléments
suivants :
Espace disque pour
OfficeScan
•
Espace disque pour
l'outil de déploiement
2-8
•
Serveur OfficeScan
•
Client OfficeScan
•
Policy Server pour Cisco™ NAC
•
Smart Protection Server intégré (local)
3,5 Go au minimum si le serveur dispose des éléments
suivants :
•
Serveur OfficeScan
•
Client OfficeScan
•
Smart Protection Server intégré (distant)
1 Go au minimum
SPÉCIFICATION
Autres
•
•
Connectivité avec les points finaux d'OfficeScan
Pour des instructions supplémentaires sur la configuration
système requise et la configuration d'OfficeScan, consultez
la documentation OfficeScan disponible à l'adresse :
http://docs.trendmicro.com/fr-fr/enterprise/officescan.aspx
TABLEAU 2-8. Configuration requise par l'agent OfficeScan
SPÉCIFICATION
Mémoire RAM
•
512 Mo au minimum
Espace disque
•
1 Go au minimum
•
•
Connectivité avec les points finaux d'OfficeScan
Autres
Microsoft .NET Framework 2.0 SP1
Remarque
Bien que les agents OfficeScan puissent s'exécuter
sur une version Windows quelconque, veillez à
examiner la configuration système requise pour
chaque agent Endpoint Encryption.
Agents
Cette section décrit les conditions requises pour tous les agents Endpoint Encryption.
Configuration système requise pour Full Disk Encryption
Le tableau suivant décrit la configuration système requise minimale et recommandée
pour installer Full Disk Encryption.
2-9
TABLEAU 2-9. Configuration système requise pour Full Disk Encryption
SPÉCIFICATION
Processeur
Mémoire RAM
1 Go au minimum
Espace disque
•
30 Go au minimum
•
20 % d'espace disque disponible requis
•
256 Mo d'espace disponible contigu requis
Une communication avec PolicyServer est requise pour les
agents gérés
•
Windows™ 8.1 (32 bits/64 bits)
•
Windows™ 8 (32 bits/64 bits)
•
•
Windows™ Vista avec SP1 (32 bits/64 bits)
•
Windows™ XP avec SP3 (32 bits uniquement)
Autres logiciels
Configuration supplémentaire pour Windows 8 :
•
Microsoft .NET Framework 3.5 activé
•
Pour les dispositifs munis de UEFI, définissez la
séquence de démarrage sur Mode hérité d'abord.
Consultez la section Préparation du point final Windows
à la page 6-8.
Configuration supplémentaire pour Windows XP :
2-10
•
Microsoft .NET Framework 2.0 SP1 ou ultérieur
•
Microsoft Windows Installer 3.1
SPÉCIFICATION
Disque dur
•
Disques Seagate DriveTrust
•
Lecteurs Seagate OPAL et OPAL 2
Remarque
Autre matériel
•
•
N'installez pas Full Disk Encryption sur les points
finaux comportant plusieurs disques durs. Les
environnements à disques multiples ne sont pas
pris en charge
•
Les disques RAID et SCSI ne sont pas pris en
charge
•
Full Disk Encryption pour Windows 8 ne prend pas
en charge les lecteurs RAID, SCSI ou eDrive
Chiffrement logiciel : Contrôleur de disque dur ATA,
AHCI ou IRRT
Remarque
Les paramètres BIOS RAID et SCSI ne sont pas
pris en charge.
•
Chiffrement matériel : Contrôleur de disque dur AHCI
Remarque
Aucun autre paramètre BIOS n'est pris en charge.
Configuration système requise pour Encryption
Management for Microsoft BitLocker
Le tableau suivant explique la configuration système minimale requise et recommandée
pour Encryption Management for Microsoft BitLocker.
2-11
TABLEAU 2-10. Configuration système requise pour Encryption Management for
Microsoft BitLocker
SPÉCIFICATION
Processeur
Processeur Intel™ Core™ 2 ou compatible.
Mémoire
Les conditions requises sont basées sur la configuration
système requise pour Windows :
•
Systèmes 64 bits : 2 Go
•
Systèmes 32 bits : 1 Go
•
30 Go au minimum
•
•
100 Mo d'espace disponible contigu requis
Disque dur
•
Lecteurs standard pris en charge par Windows
•
Windows™ 8.1 (32 bits/64 bits) Entreprise ou
Professionnel
•
Windows 8™ (32 bits/64 bits) Entreprise ou
Professionnel
•
Windows 7™ (32 bits/64 bits) Entreprise ou Édition
intégrale
•
Trusted Platform Module (TPM) 1.2 ou version
supérieure
•
Full Disk Encryption n'est pas installé
•
Windows BitLocker est désactivé
•
Microsoft .NET Framework 3.5
Espace disque
Autres logiciels
Configuration système requise pour Encryption
Management for Apple FileVault
Le tableau suivant explique la configuration système minimale requise et recommandée
pour Encryption Management for Apple FileVault.
2-12
TABLEAU 2-11. Configuration système requise pour Encryption Management for
Apple FileVault
SPÉCIFICATION
Processeur
Mémoire
•
512 Mo au minimum
•
1 Go (recommandé)
Espace disque
•
400 Mo au minimum
•
Mac OS X Mavericks™
•
Mac OS X Mountain Lion™
•
Mac OS X Lion™
Remarque
Les comptes Mac OS locaux ou les comptes mobiles
peuvent lancer le chiffrement sur Mac OS X Mountain
Lion ou supérieur. Les autres comptes d'utilisateur
Mac OS ne peuvent pas lancer le chiffrement.
Pour créer un compte mobile pour Active Directory sur
votre Mac, consultez la section Création d'un compte
mobile pour Active Directory sur Mac OS à la page
6-22.
Autres logiciels
•
MRE (Mono runtime environment) 2.1
•
Apple FileVault est activé
Configuration système requise pour File Encryption
Le tableau suivant répertorie la configuration système requise pour File Encryption :
2-13
TABLEAU 2-12. Configuration système requise pour File Encryption
SPÉCIFICATION
Processeur
Mémoire RAM
•
1 Go au minimum
Espace disque
•
30 Go au minimum
•
Une communication avec PolicyServer est requise pour les
agents gérés
•
Windows™ 8.1 (32 bits/64 bits)
•
•
•
Windows™ Vista avec SP1 (32 bits/64 bits)
•
Windows™ XP avec SP3 (32 bits uniquement)
Autres logiciels
Configuration supplémentaire pour Windows 8 :
•
Microsoft .NET Framework 3.5 activé
Configuration supplémentaire pour Windows XP :
•
Microsoft .NET Framework 2.0 SP1 ou ultérieur
•
Microsoft Windows Installer 3.1
Important
L'agent Full Disk Encryption ne peut être installé que sur un point final comportant un seul
lecteur physique. Supprimez tous les autres lecteurs avant d'installer Full Disk Encryption.
2-14
Chapitre 3
Aperçu du déploiement et de la mise
à niveau
Ce chapitre résume les options de déploiement et explique la configuration technique
requise pour le déploiement initial des agents Endpoint Encryption au sein de
l'entreprise, les diverses option de mise à l'échelle et de topologie de réseau, ainsi que la
mise à niveau de l'ensemble de l'organisation à partir d'une version précédente
d'Endpoint Encryption vers Endpoint Encryption 5.0 Patch 1.
Pour plus d'informations sur la constitution d'une équipe produit ou les meilleures
pratiques pour communiquer avec les utilisateurs finaux, consultez la section Éléments à
prendre en compte pour le déploiement à la page B-1.
•
Planification du déploiement à la page 3-2
•
Liste de contrôle préalable au déploiement à la page 3-2
•
Options de gestion à la page 3-5
•
Options de déploiement à la page 3-12
•
Recommandations pour la mise à l'échelle à la page 3-18
•
Déploiement des mises à niveau à la page 3-23
3-1
Planification du déploiement
Lorsqu'il est question d'un projet de chiffrement, il est important d'identifier les objectifs
de l'implémentation. Les entreprises qui doivent satisfaire à des réglementations de
conformité explicites auront bien souvent besoin de solutions de chiffrement plus
importantes, avec un focus sur les rapports, tandis que les entreprises qui cherchent à
améliorer la sécurité des données ont des besoins plus ciblés pour protéger des actifs de
données spécifiques.
Aucun plan ne convient à chaque scénario, et comprendre ce que l'on attend d'une
solution de chiffrement diminue fortement le temps de déploiement, minimise, voire
élimine la dégradation des performances et assure le succès du projet. Une planification
rigoureuse est nécessaire pour comprendre les conditions requises pour le déploiement
et les limitations lors de la mise à l'échelle d'Endpoint Encryption au sein d'une grande
entreprise. La planification particulièrement importante lorsqu'il s'agit d'introduire cette
modification au sein de milliers de points finaux, ce qui impacte tous les utilisateurs
finaux.
Liste de contrôle préalable au déploiement
Le tableau suivant explique les systèmes d'exploitation pris en charge pour chaque agent
Endpoint Encryption ainsi que les configurations minimales requises pour le
déploiement.
TABLEAU 3-1. PolicyServer 5.0 Patch 1
PLATE-FORME
3-2
LISTE DE CONTRÔLE PRÉALABLE AU DÉPLOIEMENT
Windows Server 2003
(32/64 bits)
•
Installez Microsoft .Net Framework 2.0 SP2 (ou 3.5)
et 4.0
Windows Server 2008/2008
R2 (64 bits)
•
Utilisez un compte d'administrateur pour installer
PolicyServer MMC
•
Une connectivité avec la base de donnée de
PolicyServer est nécessaire pour se connecter à
PolicyServer MMC
Aperçu du déploiement et de la mise à niveau
TABLEAU 3-2. Full Disk Encryption
PLATE-FORME
Windows 8™ (32/64 bits)
•
Définissez d'abord la séquence de démarrage du
BIOS des points finaux compatibles avec UEFI sur
Hérité plutôt que sur UEFI.
•
Vérifiez que Microsoft .Net 3.5 est activé
•
Exécutez les commandes sfc /scannow et defrag
avant l'installation
•
Confirmez la présence d'un secteur de démarrage
normal MBR
•
Vérifiez qu'il reste 20 % espace disque disponible
•
Sauvegardez les données d'utilisateur
Remarque
Full Disk Encryption sous Windows 8 ne prend pas
en charge les disques RAID, SCSI, eDrive ou
OPAL 2.
Windows Vista™ avec SP1
(32/64 bits)
Windows XP™ avec SP3
(32 bits)
•
Vérifiez que Microsoft .NET 2.0 SP1 ou une version
ultérieure est installé
•
Vérifiez que Windows Installer version 3.1 est installé
•
Connexion à PolicyServer, si géré
•
Exécutez les commandes scandisk et defrag avant
l'installation
•
Confirmez la présence d'un secteur de démarrage
normal MBR
•
Vérifiez qu'il reste 20 % espace disque disponible
•
Sauvegardez les données d'utilisateur
Remarque
Full Disk Encryption ne prend pas en charge les
disques RAID ou SCSI.
3-3
TABLEAU 3-3. File Encryption
PLATE-FORME
Windows Vista™ avec SP1
(32/64 bits)
•
Définissez d'abord la séquence de démarrage du
BIOS des points finaux compatibles avec UEFI sur
Hérité plutôt que sur UEFI.
•
Vérifiez que Microsoft .Net 3.5 est activé
•
Vérifiez que Microsoft .NET 2.0 SP1 ou une version
ultérieure est installé
Windows XP™ avec SP3
(32 bits)
Remarque
Pour plus d'informations sur la constitution d'une équipe produit ou les meilleures
pratiques pour communiquer avec les utilisateurs finaux, consultez la section Éléments à
prendre en compte pour le déploiement à la page B-1.
Résumé des opérations de déploiement
La procédure suivante explique le résumé de haut niveau des opérations requises pour
déployer Endpoint Encryption 5.0 Patch 1 au sein de l'entreprise.
Remarque
Pour plus d'informations sur les nouvelles installations, consultez la section Options de
déploiement à la page 3-12.
Pour plus d'informations sur la mise à niveau de l'entreprise, consultez la section Déploiement
des mises à niveau à la page 3-23.
Procédure
1.
3-4
Planifiez le déploiement.
Consultez la section Éléments à prendre en compte pour le déploiement à la page B-1.
2.
Exécutez un programme pilote.
Consultez la section Déploiement du programme pilote d'Endpoint Encryption à la page
C-1.
3.
Décidez comment gérer Endpoint Encryption.
Consultez la section Options de gestion à la page 3-5.
4.
Décidez s'il faut l'intégrer avec d'autres produits Trend Micro.
Consultez la section Intégration de Control Manager à la page 5-1.
Consultez la section Intégration d'OfficeScan à la page 7-1.
5.
Vérifiez l'ensemble de la configuration système requise.
Consultez la rubrique Configuration système requise à la page 2-1.
6.
Installez ou mettez à niveau PolicyServer.
Consultez la section Déploiement de PolicyServer à la page 4-1.
7.
Décidez s'il faut configurer l'authentification Active Directory.
Consultez la section Synchronisation Active Directory de PolicyServer à la page 4-17.
8.
Installez ou mettez à niveau des agents Endpoint Encryption.
Consultez la section Déploiement des agents Endpoint Encryption à la page 6-1.
9.
Gérez l'implémentation d'Endpoint Encryption.
Consultez le Manuel de l'administrateur Endpoint Encryption.
Options de gestion
Cette section explique comment déployer la sécurité Endpoint Encryption avec la
gestion PolicyServer MMC seule, ou comment l'intégrer à Control Manager et à
OfficeScan pour bénéficier d'options de gestion supplémentaires.
3-5
Remarque
Pour les introductions aux consoles d'administration, consultez la section Consoles
d'administration à la page 1-15.
Gestion d'Endpoint Encryption avec PolicyServer MMC
seulement
La procédure suivante explique comment configurer Endpoint Encryption pour la
gestion des stratégies, des utilisateurs et des périphériques PolicyServer MMC sans
intégration de Control Manager ou d'OfficeScan.
Remarque
Pour plus d'informations, consultez la section Déploiement de PolicyServer à la page 4-1.
Procédure
1.
Installez PolicyServer.
Consultez la section Installation de PolicyServer à la page 4-3.
2.
Configurez des groupes.
3.
Ajoutez des utilisateurs à chaque groupe.
4.
Utilisez des produits tiers pour déployer les agents ou installez manuellement
l'agent sur chaque point final.
Consultez la rubrique Déploiement des agents Endpoint Encryption à la page 6-1.
Intégration de Control Manager et d'OfficeScan
Endpoint Encryption autorise les administrateurs à utiliser Trend Micro Control
Manager pour contrôler PolicyServer et gérer les stratégies des agents Endpoint
Encryption ou à utiliser Trend Micro OfficeScan pour déployer le logiciel agent
Endpoint Encryption sur des points finaux gérés.
3-6
L'implémentation d'Endpoint Encryption s'adapte à l'infrastructure de sécurité contre la
perte des données existante qui est déjà gérée par Control Manager. Il vous suffit
d'ajouter PolicyServer en tant que produit géré pour bénéficier de tous les aspects
concernant l'utilisateur, la stratégie et la gestion des périphériques qui existent dans
PolicyServer MMC. Vous pouvez toujours utiliser PolicyServer MMC pour certaines
fonctionnalités avancées de gestion de l'entreprise.
Dans les environnements comportant des points finaux gérés par OfficeScan, utilisez le
plug-in Outil de déploiement d'Endpoint Encryption pour déployer à distance le logiciel
agent Endpoint Encryption. Bien que les méthodes classiques de déploiement du logiciel
agent Endpoint Encryption soient toujours disponible (consultez la section Déploiements
automatiques à la page 6-28, OfficeScan vous permet de contrôler précisément le
déploiement, de voir l'état d'installation de l'agent Endpoint Encryption, et de contrôler
facilement le déploiement à partir d'une console Web.
Remarque
Pour plus d'informations sur les consoles d'administration disponibles pour contrôler
PolicyServer ou gérer les agents Endpoint Encryption, consultez Consoles d'administration à la
page 2-6
Pour plus d'informations sur l'intégration de Control Manager, consultez la section
Intégration de Control Manager à la page 5-1.
Pour plus d'informations sur l'intégration avec OfficeScan, consultez la section Intégration
d'OfficeScan à la page 7-1.
Présentation de Trend Micro Control Manager
Trend Micro Control Manager est une console d'administration centralisée qui gère les
produits et services Trend Micro, au niveau de la passerelle, du serveur de messagerie, du
serveur de fichiers et des postes de travail de l'entreprise. Les administrateurs peuvent
utiliser la fonctionnalité de gestion des stratégies pour configurer et déployer les
paramètres du produit dans les produits gérés et les points finaux. La console
d'administration à interface Web de Control Manager fournit un point de surveillance
unique pour les produits et les services antivirus et de sécurité de contenu sur tout le
réseau.
Control Manager permet aux administrateurs système de surveiller et de signaler des
activités telles que des infections, violations de sécurité et points d'entrée de virus/
3-7
programmes malveillants. Les administrateurs système peuvent télécharger et déployer
des composants de mise à jour sur le réseau, contribuant ainsi à garantir une protection
homogène et actualisée. Les composants de mise à jour comprennent, par exemple, les
fichiers de signatures de virus, les moteurs de scan et les règles de filtrage de courrier
indésirable. Control Manager permet de réaliser à la fois des mises à jour manuelles et
programmées. Il permet de configurer et de gérer des produits, en groupe ou
séparément, pour une flexibilité accrue.
Présentation de Trend Micro OfficeScan
OfficeScan protège les réseaux d'entreprise contre les programmes malveillants, les virus
réseau, les menaces provenant d'Internet, les spywares et les attaques mixtes. Solution
intégrée, OfficeScan est composé d'un agent résidant au point final et d'un programme
serveur qui gère tous les agents. L'agent protège le point final et communique au serveur
son état de sécurité. Le serveur, via une console d'administration à interface Web, facilite
l'application coordonnée de stratégies pour la sécurité et le déploiement des mises à jour
vers chaque agent.
Utilisez le plug-in Outil de déploiement d'OfficeScan Endpoint Encryption pour
déployer les agents Endpoint Encryption sur des points finaux gérés d'OfficeScan. Vous
pouvez sélectionner les points finaux en fonction de critères spécifiques et voir l'état du
déploiement. Une fois que plug-in Outil de déploiement d'Endpoint Encryption a
déployé le logiciel agent Endpoint Encryption, l'agent Endpoint Encryption effectue une
synchronisation avec PolicyServer en utilisant les paramètres spécifiés dans le plug-in.
OfficeScan ne gère pas les stratégies d'Endpoint Encryption. L'agent OfficeScan et
l'agent Endpoint Encryption sont indépendants sur le même point final.
À propos de l'intégration de Trend Micro OfficeScan
vers chaque agent.
3-8
Remarque
Pour plus d'informations sur OfficeScan, consultez la documentation appropriée à
l'adresse :
L'illustration suivante explique comment déployer Endpoint Encryption pour la
première fois en utilisant OfficeScan sur des points finaux gérés. Dans les déploiements
3-9
d'OfficeScan, les administrateurs peuvent utiliser Control Manager ou PolicyServer
MMC pour gérer PolicyServer.
FIGURE 3-1. Déploiement de l'intégration d'OfficeScan
Résumé des opérations
Endpoint Encryption sur des points finaux gérés. La procédure suivante fourni un
résumé de haut niveau des opérations requises pour installer les consoles
d'administration et déployer logiciel agent et les stratégies de sécurité d'Endpoint
Encryption.
3-10
Remarque
PolicyServer ou gérer les agents Endpoint Encryption, consultez Consoles d'administration à la
page 2-6
Pour plus d'informations sur l'intégration de Control Manager, consultez la section
Pour plus d'informations sur l'intégration avec OfficeScan, consultez la section Intégration
d'OfficeScan à la page 7-1.
Procédure
1.
Vérifiez toutes les configuration système requises pour les versions de produits
compatibles.
Consultez la section Configuration système requise à la page 2-1.
2.
Installez PolicyServer.
3.
Installez et configurez OfficeScan.
Consultez la documentation appropriée à l'adresse :
4.
Ajoutez PolicyServer à OfficeScan.
Consultez la section Déploiement des paramètres du serveur à la page 7-12.
5.
Préparez les points finaux pour le déploiement.
Consultez la section Avant d'installer les agents Endpoint Encryption à la page 6-4.
6.
Utilisez OfficeScan pour déployer les agents Endpoint Encryption.
Consultez la rubrique Intégration d'OfficeScan à la page 7-1.
7.
Installer et configurer Control Manager.
3-11
http://docs.trendmicro.com/fr-fr/enterprise/control-manager.aspx
8.
Ajoutez PolicyServer à Control Manager.
Consultez la rubrique Ajout de PolicyServer en tant que produit géré à Control Manager à la
page 5-4.
9.
Utilisez Control Manager pour déployer les stratégies.
Consultez la section Création d'une stratégie à la page 5-8.
Options de déploiement
Lorsque vous déployez Endpoint Encryption dans toute l'organisation, il existe plusieurs
options réseau disponibles selon l'infrastructure existante ou les besoins en matière de
sécurité. Cette section explique les options de déploiement disponibles pour le
déploiement d'Endpoint Encryption.
Déploiement simple
première fois et en utilisant seulement PolicyServer MMC pour gérer PolicyServer. Pour
3-12
plus d'informations, consultez la section Installation et configuration de PolicyServer à la page
4-3.
FIGURE 3-2. Déploiement simple d'Endpoint Encryption
Remarque
Pour plus d'informations sur le déploiement d'une mise à niveau susceptible de comporter
des agents Endpoint Encryption 3.1.3 (ou versions antérieures), consultez la section
Déploiement des mises à niveau à la page 3-23.
Déploiement de Control Manager
première fois en utilisant Control Manager pour gérer PolicyServer. Dans un
3-13
déploiement Control Manager, les administrateurs utilisent Control Manager pour tous
les contrôles des stratégies, utilisateurs et périphériques Endpoint Encryption et
n'utilisent PolicyServer MMC que pour la maintenance avancée de l'entreprise.
Pour plus d'informations, consultez la section Intégration de Control Manager à la page 5-1.
FIGURE 3-3. Déploiement de l'intégration de Control Manager
3-14
Remarque
Dans les environnements qui utilisent Control Manager, modifiez vers PolicyServer les
stratégies qui sont toujours contrôlées par Control Manager. Toutes les modifications
apportées en utilisant PolicyServer MMC sont remplacées la prochaine fois que Control
Manager synchronie les stratégies avec la base de données PolicyServer.
Déploiement d'OfficeScan
3-15
Pour plus d'informations, consultez la section Intégration d'OfficeScan à la page 7-1.
Déploiement distribué complexe
L'illustration suivante explique l'environnement réseau d'un déploiement distribué
complexe utilisant les agents hérités Endpoint Encryption 5.0 Patch 1 et Endpoint
Encryption. Vous pouvez configurer le service de transfert de trafic et le service Web
3-16
client sur le même point final séparé du serveur PolicyServer. Pour plus d'informations,
consultez la section Configurer les services sur plusieurs points finaux à la page 4-25.
FIGURE 3-5. Déploiement distribué complexe
3-17
Recommandations pour la mise à l'échelle
Vous trouverez ci-dessous des recommandations relatives à la mise à l'échelle d'un
déploiement sur site unique offrant une série d'options matérielles tenant compte de la
redondance du système et de l'absence de point de défaillance.
FIGURE 3-6. PolicyServer mis à l'échelle pour prendre en charge 40 000 utilisateurs
3-18
TABLEAU 3-4. Mise à l'échelle sans redondance
CONFIGURATION MINIMALE REQUISE
PÉRIPHÉRIQU
ES
1,500
3,000
BASE DE DONNÉES SQL
POLICYSERVER
POLICYSERVER FRONTAL
•
PolicyServer et serveur multirôles de base de données
•
Installé sur l'hôte PolicyServer
frontal
•
Processeurs 2 GHz Quad Core
Core2 Intel™ Xeon™
•
•
Espace disque dur 120 Go
RAID 5
•
1 hôte PolicyServer frontal
•
Processeurs 2 GHz Dual Quad
Core Core2 Intel™ Xeon™
1 hôte base de données SQL
PolicyServer
•
•
•
•
RAID 5
•
4 Go de RAM
•
Espace disque dur 40 Go RAID
1
TABLEAU 3-5. Mise à l'échelle avec redondance et grande disponibilité
PÉRIPHÉRIQU
ES
10,000
POLICYSERVER
•
2 hôtes PolicyServer frontaux
•
•
PolicyServer
•
•
•
RAID 5
•
4 Go de RAM
•
1
3-19
PÉRIPHÉRIQU
ES
20,000
40,000
3-20
POLICYSERVER
•
•
•
PolicyServer
•
Processeurs 2 GHz Quad
•
16 Go de RAM
•
RAID 5
•
4 Go de RAM
•
1
•
•
•
2 hôtes de cluster base de
données SQL PolicyServer
•
•
16 Go de RAM
•
RAID 5
•
4 Go de RAM
•
1
TABLEAU 3-6. Mise à l'échelle sans aucune défaillance
PÉRIPHÉRIQU
ES
10,000
POLICYSERVER
•
•
•
PolicyServer
•
•
•
5
•
RAID 5 SAN partagé
•
4 Go de RAM
•
1
Remarque
Le matériel informatique
virtuel est pris en charge par
VMware Virtual
Infrastructure.
Remarque
Microsoft Cluster Service
n'est pas pris en charge par
Microsoft ou VMware sur le
matériel informatique virtuel.
3-21
PÉRIPHÉRIQU
ES
20,000
POLICYSERVER
•
•
•
PolicyServer
•
•
•
5
•
RAID 5 SAN partagé
•
4 Go de RAM
•
1
Remarque
VMware Virtual
Infrastructure.
40,000
•
•
•
PolicyServer
•
•
16 Go de RAM
•
5
•
RAID 5 SAN partagé
•
4 Go de RAM
•
1
Remarque
VMware Virtual
Infrastructure.
3-22
Remarque
Remarque
Déploiement des mises à niveau
Pour accéder aux nouvelles fonctionnalités du produit ou mettre à niveau l'ancien
logiciel agent afin d'améliorer la sécurité des points finaux, les administrateurs peuvent
avoir besoin de mettre à niveau Endpoint Encryption PolicyServer et tous les points
finaux gérés exécutant un agent Endpoint Encryption. Pour la synchronisation des
stratégies et la sécurité des informations, assurez-vous de toujours mettre à niveau
PolicyServer avant les agents Endpoint Encryption.
Cette section explique comment mettre à niveau Endpoint Encryption en toute sécurité,
y compris PolicyServer, PolicyServer MMC et le logiciel agent Endpoint Encryption vers
la plupart des versions actuelles. Pour plus d'informations, consultez la section Résumé des
opérations de mise à niveau à la page 3-27.
3-23
Éléments à prendre en compte pour la mise à niveau
L'illustration suivante montre comment la mise à niveau initiale peut s'afficher avant que
tous les agents Endpoint Encryption soient mis à niveau vers l'agent Endpoint
Encryption 5.0 Patch 1.
FIGURE 3-7. Déploiement de la mise à niveau d'Endpoint Encryption
Remarque
Pour plus d'informations sur les communications des agents Endpoint Encryption,
consultez la section À propos de PolicyServer à la page 1-13.
Avant d'effectuer la mise à niveau de PolicyServer, notez ce qui suit :
3-24
•
Veillez à mettre à niveau PolicyServer avant d'effectuer la mise à niveau des agents
Endpoint Encryption. Pour plus d'informations sur l'ordre correct de mise à
niveau, consultez la section Résumé des opérations de mise à niveau à la page 3-27.
•
La mise à niveau d'environnements comportant plusieurs instances de PolicyServer
présente des conditions requises différentes de celle d'un environnement
PolicyServer unique. Pour plus d'informations, consultez la section Mise à niveau de
plusieurs services PolicyServer connectés à la même base de données à la page 4-34.
•
Si vous utilisez un proxy LDAP, mettez à niveau le proxy LDAP avant d'effectuer
la mise à niveau vers PolicyServer 5.0 Patch 1.
Remarque
Trend Micro ne prend actuellement pas en charge les environnement PolicyServer
hébergés.
Chemins de mise à niveau
Le tableau suivant décrit le chemin de mise à niveau à partir de chaque version
précédente du produit vers la version 5.0 Patch 1. Certaines versions plus anciennes ne
peuvent pas être mises à niveau directement vers 5.0 Patch 1 et doivent au préalable être
mises à niveau vers une version plus récente de ce produit. Pour plus d'informations sur
l'installation de versions héritées de produits Endpoint Encryption, consultez la
documentation disponible à l'adresse :
http://docs.trendmicro.com/fr-fr/enterprise/endpoint-encryption.aspx.
TABLEAU 3-7. Chemins de mise à niveau
PRODUIT/AGENT
PolicyServer
VERSION
CHEMIN DE MISE À NIVEAU
3.1.3 SP1
3.1.3 SP1 → 5.0
3.1.3
3.1.3 → 5.0
3.1.2
3.1.2 → 5.0
3.1.3 SP1
3.1.3 SP1 → 5.0
3.1.3
3.1.3 → 5.0
3-25
PRODUIT/AGENT
MobileArmor Full Disk
Encryption Product
VERSION
3.1.2
3.1.2 → Full Disk Encryption 5.0
SP7g
SP7g → 3.1.3 → Full Disk Encryption 5.0
SP7-SP7f
SP7-SP7f → SP7g → 3.1.3 → Full Disk
Encryption 5.0
DriveArmor
3.0
Non pris en charge.
FileArmor
3.1.3 SP1
FileArmor 3.1.3 SP1 → File Encryption 5.0
3.1.3
FileArmor 3.1.3 → File Encryption 5.0
3.0.14
FileArmor 3.0.14 → FileArmor 3.1.3 → File
Encryption 5.0
3.0.13
Encryption 5.0
3.0.2
Il n'y a pas de version KeyArmor 5.0.
KeyArmor
3.0.1
Versions de l'agent prises en charge
Bien que PolicyServer prenne en charge la gestion des stratégies de tous les agents, les
agents plus anciens ne peuvent pas s'enregistrer en tant que nouveau périphérique dans
PolicyServer 5.0 Patch 1 ou Control Manager. Le tableau suivant explique quelles
version héritées peuvent être ajoutées en tant que nouveau périphérique. Trend Micro
recommande d'utiliser les versions les plus récentes de tous les agents.
3-26
TABLEAU 3-8. Agents hérités pris en charge pour les nouveaux périphériques
PEUT
AGENT
VERSION
S'ENREGISTRER
COMME NOUVEAU
STRATÉGIES PRISES EN CHARGE
PÉRIPHÉRIQUE
Full Disk
Encryption
5.0
3.1.3 SP1
3.1.3
MobileArmor Full
Disk Encryption
Product
3.1.2
DriveArmor
3.0
File Encryption
5.0 Patch 1
FileArmor
3.1.3
SP7g
*
3.0.14
3.0.13
KeyArmor
Tout
*
Remarque
*Pris en charge seulement sur les mises à niveau de PolicyServer à partir d'Endpoint
Encryption 3.1.2 ou 3.1.3.
Résumé des opérations de mise à niveau
Pour réduire le risque que les points finaux perdent la connexion au serveur
PolicyServer, mettez à niveau l'environnement dans l'ordre suivant. Si l'agent ne peut pas
se connecter à PolicyServer après la mise à niveau, exécutez manuellement le
programme d'installation de la mise à niveau sur le point final.
3-27
Procédure
1.
Vérifiez la nouvelle configuration système requise.
2.
Vérifiez le chemin de mise à niveau pour les agents PolicyServer et Endpoint
Encryption installés actuellement.
3.
Assurez-vous que Endpoint Encryption 5.0 Patch 1 prend en charge la mise à
niveau.
Consultez la section Versions de l'agent prises en charge à la page 3-26.
4.
Mise à niveau de PolicyServer.
Consultez la section Éléments à prendre en compte pour la mise à niveau à la page 3-24.
Consultez la section Mise à niveau de PolicyServer à la page 4-31.
5.
Installez et configurez éventuellement Control Manager.
Consultez la section Intégration d'OfficeScan à la page 7-1.
6.
Installez et configurez éventuellement OfficeScan.
Consultez la section Intégration de Control Manager à la page 5-1.
7.
Mettez à niveau les agents Endpoint Encryption.
Consultez la section Mise à niveau à la page 6-37.
3-28
Chapitre 4
Déploiement de PolicyServer
Ce chapitre donne un aperçu des fichiers et des comptes requis pour installer
PolicyServer et présente le processus d'installation.
Remarque
Pour la configuration système requise, consultez la section Configuration minimale requise pour
•
À propos de PolicyServer à la page 1-13
•
Configuration minimale requise pour PolicyServer à la page 2-2
•
Licence d'évaluation à la page 8-3
•
Installation et configuration de PolicyServer à la page 4-3
•
Mise à niveau à la page 4-28
•
Migration vers Control Manager à la page 4-35
•
Désinstallation à la page 4-36
4-1
À propos de PolicyServer
Trend Micro PolicyServer gère les clés de chiffrement et synchronise les stratégies sur
tous les points finaux de l'organisation. PolicyServer applique également une
authentification sécurisée et fournit des outil d'audit et de génération de rapports en
temps réel afin de garantir la conformité aux réglementations. Vous pouvez gérer
PolicyServer de manière flexible avec PolicyServer MMC ou avec Trend Micro Control
Manager. D'autres fonctionnalités de gestion des données sont notamment les actions
d'auto-assistance basées sur l'utilisateur et les actions sur les périphériques permettant de
réinitialiser ou d'« éliminer » à distance un périphérique perdu ou volé.
Le tableau suivant décrit les composants de PolicyServer que vous pouvez déployer sur
un ou plusieurs serveurs, selon les besoins de votre environnement.
TABLEAU 4-1. Composants de PolicyServer
COMPOSANT
4-2
DESCRIPTION
Entreprise
l'organisation dans la base de données PolicyServer configurée
lors de l'installation de PolicyServer. Une base de données
PolicyServer ne doit avoir qu'une seule configuration d'entreprise.
Base de données
La base de données Microsoft SQL PolicyServer stocke de
manière sécurisée toutes les données relatives aux utilisateurs,
aux périphériques et aux journaux. La base de données est
configurée sur un serveur dédié ou ajoutée à un cluster SQL
existant. Les bases de données des journaux et des autres
éléments peuvent se trouver dans des endroits différents.
Service Windows
PolicyServer
Le service Windows PolicyServer gère toutes les transactions de
communication entre le système d'exploitation hôte, le service
Endpoint Encryption, le service Web hérité, le proxy Web client et
les bases de données SQL.
COMPOSANT
DESCRIPTION
Service Endpoint
Encryption
Tous les agents Endpoint Encryption 5.0 Patch 1 utilisent le service
Endpoint Encryption pour communiquer avec PolicyServer. Le
service Endpoint Encryption utilise une API Web RESTful
(Representational State Transfer) avec un algorithme de
chiffrement AES-GCM. Lorsqu'un utilisateur s'authentifie,
PolicyServer génère un jeton lié à la configuration de stratégie
spécifique. Tant que l'utilisateur Endpoint Encryption ne s'est pas
authentifié, le service refuse toutes les transactions de stratégie.
Pour créer une topographie de réseau sur trois niveaux, le service
peut également être déployé séparément sur un point final résidant
dans le réseau DMZ, ce qui permet à PolicyServer de résider en
toute sécurité dernière le pare-feu.
Tous les agents Endpoint Encryption 3.1.3 et les agents plus
anciens utilisent le protocole SOAP (Simple Object Access
Protocol) pour communiquer avec PolicyServer. Dans certaines
situations, SOAP peut autoriser des transactions de stratégie non
sécurisées sans authentification de l'utilisateur. Le service Web
hérité filtre les appels SOAP en exigeant une authentification et en
limitant les commandes que SOAP peut accepter. Pour créer une
topographie de réseau sur trois niveaux, le service peut également
être déployé séparément sur un point final résidant dans le réseau
DMZ, ce qui permet à PolicyServer de résider en toute sécurité
dernière le pare-feu.
Installation et configuration de PolicyServer
Cette section explique comment installer et configurer PolicyServer pour la première
fois, comment configurer Active Directory et comment configurer le proxy LDAP.
Installation de PolicyServer
Le processus d'installation de PolicyServer implique l'exécution d'un programme
d'installation sur le point final du serveur pour configurer les éléments suivants :
•
Licence du produit Endpoint Encryption
4-3
•
Nom d'entreprise et connexion d'administrateur
•
Services Endpoint Encryption
•
Base de données PolicyServer
•
PolicyServer MMC (facultatif)
Remarque
Pour plus d'informations sur l'architecture, consultez la section Composants d'Endpoint
Encryption à la page 1-9. PolicyServer MMC peut éventuellement être installé en même
temps.
AVERTISSEMENT!
Pour des raisons de sécurité, les agents Endpoint Encryption hérités ne peuvent pas
communiquer directement avec une instance PolicyServer résidant sur un réseau différent.
Pour plus d'informations sur la configuration d'un proxy Web, consultez la section
Configurer les services sur plusieurs points finaux à la page 4-25.
Procédure
1.
Vérifiez que toute la configuration système requise est respectée.
Consultez la section Configuration minimale requise pour PolicyServer à la page 2-2.
2.
Exécutez PolicyServerInstaller.exe.
Le programme d'installation de PolicyServer s'ouvre.
4-4
3.
Dans l'écran Services PolicyServer, cliquez sur Installer sur la droite.
4.
Dans l'écran Mentions légales du produit, lisez attentivement le contrat de
licence, puis acceptez ses termes en cliquant sur Accepter.
5.
Dans l'écran Activation du produit, effectuez les opérations suivantes :
•
Cliquez sur Enregistrement en ligne pour passer à l'enregistrement de la
licence.
•
Sélectionnez Utiliser une licence complète pour indiquer le code
d'activation et disposer de toutes les fonctionnalités.
•
Sélectionnez Utiliser une licence d'essai pour évaluer une configuration
d'Endpoint Encryption gérée pendant 30 jours.
Remarque
Pendant la période d'essai, PolicyServer fonctionne normalement avec la gestion
de tous les agents, des périphériques illimités et jusqu'à 100 utilisateurs. Après
30 jours, contactez votre revendeur Trend Micro pour plus d'informations sur
la clé d'enregistrement et le code d'activation. Pour plus d'informations sur la
conversion d'une licence d'évaluation en licence complète, consultez la section
Activation de la nouvelle licence du produit à la page 8-4.
6.
Dans l'écran Créer une connexion d'entreprise et d'administrateur, spécifiez
les informations d'identification suivantes utilisées pour gérer PolicyServer à partir
de PolicyServer MMC ou Control Manager.
OPTION
DESCRIPTION
Nom de l'entreprise
Nom de l'instance de base de données.
Administrateur
Nouveau nom d'utilisateur du compte
d'administrateur d'entreprise.
Mot de passe
Nouveau mot de passe du compte d'administrateur
d'entreprise.
Confirmer le mot de passe
Confirmez le mot de passe du compte
d'administrateur d'entreprise.
7.
Cliquez sur Continue.
8.
Dans l'écran Connexion aux services Windows, cliquez sur Continuer. Les
paramètres par défaut conviennent à la plupart des environnements.
9.
Dans l'écran Connexion de l'administrateur de base de données, effectuez les
opérations suivantes :
•
Sélectionnez Microsoft SQL Express pour créer une nouvelle instance de
base de données.
4-5
Remarque
Microsoft SQL Express est disponible uniquement dans les environnements
dans lesquels SQL Server n'est pas configuré.
•
Sélectionnez SQL Server pour spécifier une instance de Microsoft SQL
Server, puis spécifiez les paramètres suivants :
•
SQL Server : Nom d'hôte ou adresse IP du serveur SQL Server.
Remarque
Pour des environnements disposant de plusieurs instances de serveur
SQL, modifiez l'instance SQL à la fin du nom d'hôte PolicyServer ou de
l'adresse IP utilisée. Utilisez la syntaxe suivante pour spécifier une
instance :
<hostname_or_IP_address>\<database_instance>
•
•
Nom d'utilisateur : Nom d'utilisateur ayant le rôle sysadmin pour
l'instance de SQL Server spécifiée.
•
Mot de passe : Mot de passe du compte sysadmin.
Sélectionnez Utilisez un autre serveur de base de données des journaux
pour spécifier une autre instance SQL Server pour les données de journal.
10. Cliquez sur Continue.
Le programme d'installation vérifie la connexion de base de données.
11. Dans l'écran Créer une connexion à la base de données, c'est un nouveau
compte de base de données que le service Windows PolicyServer peut utiliser pour
toutes les transactions de base de données.
Remarque
Ne spécifiez pas le compte sysadmin.
12. Dans l'écran Service Endpoint Encryption, spécifiez les paramètres suivants :
4-6
OPTION
Numéro de port
DESCRIPTION
Spécifiez le numéro de port que les agents PolicyServer
MMC, Control Manager et Endpoint Encryption 5.0
Patch 1 utilisent pour communiquer avec PolicyServer
(par défaut : 8080).
Remarque
Dans les environnements comportant des agents
hérités, Trend Micro recommande d'utiliser le port 8080
pour le service Web admin et le port 80 pour le service
Web client. Le numéro de port doit être un entier positif
compris entre 1 et 65 535.
Générer
automatiquement un
nouveau certificat
auto-signé
Sélectionnez cette option si aucun certificat n'est
disponible. Le programme d'installation génère un
certificat pour la communication.
Spécifier un certificat
existant.
Sélectionnez cette option pour utiliser un certificat
spécifique. Il n'existe aucune limitation ou configuration
requise pour spécifier un certificat existant autre que le
formatage correct du certificat.
Remarque
Le service Endpoint Encryption utilise une API Web RESTful pour authentifier les
agents qui se connectent à PolicyServer.
13. Cliquez sur Continue.
14. Dans l'écran Service d'agent hérité, sélectionnez l'emplacement que les agents
Endpoint Encryption hérités (version 3.1.3 et antérieures) utilisent pour
communiquer avec PolicyServer, puis cliquez sur Continuer.
15. Pour installer immédiatement PolicyServer MMC, cliquez sur Oui. Pour installer
PolicyServer MMC ultérieurement ou sur un point final séparé, consultez la section
Installation de PolicyServer MMC à la page 4-9.
Le processus d'installation commence.
16. Lorsque vous y êtes invité, cliquez sur OK.
4-7
17. Cliquez sur Terminé.
18. Cliquez sur Quitter pour fermer le programme d'installation de PolicyServer.
19. Redémarrez le serveur.
20. Ajoutez les groupes et les utilisateurs d'Endpoint Encryption initiaux.
Consultez la section Configuration de PolicyServer à la page 4-8.
Configuration de PolicyServer
La procédure suivante comment configurer l'entreprise PolicyServer avec PolicyServer
MMC. Les connexions de l'entreprise et du compte d'administrateur d'entreprise ont été
configurées au moment de l'installation de PolicyServer.
Remarque
Pour plus d'informations sur les consoles d'administration disponibles dans Endpoint
Encryption, consultez la section Consoles d'administration à la page 1-15
Procédure
1.
Installez PolicyServer MMC si cela n'a pas été fait pendant l'installation de
PolicyServer.
Consultez la section Installation de PolicyServer MMC à la page 4-9.
2.
Connectez-vous à PolicyServer MMC.
Consultez la section Installation de PolicyServer MMC à la page 4-9.
3.
Ajoutez le premier groupe supérieur.
Consultez la section Ajouter un groupe supérieur à la page 4-12.
4.
Ajoutez des utilisateurs d'Endpoint Encryption.
Consultez la section Ajouter un nouvel utilisateur à un groupe à la page 4-14.
4-8
5.
Autorisez certains utilisateurs d'Endpoint Encryption à installer de nouveaux
périphériques Endpoint Encryption sur le groupe.
Consultez la section Autoriser un utilisateur à effectuer une installation dans un groupe à la
page 4-17.
Installation de PolicyServer MMC
PolicyServer MMC peut éventuellement être installé pendant l'installation de
PolicyServer. Pour les environnements qui ne colocalisent pas PolicyServer MMC et
PolicyServer, suivez cette procédure pour installer PolicyServer MMC.
Remarque
En raison d'une amélioration de la sécurité, il n'est pas possible d'utiliser les versions
héritées de PolicyServer MMC pour gérer PolicyServer 5.0 Patch 1.
Procédure
1.
Exécutez PolicyServerMMCSnapinSetup.msi.
L'installation démarre.
2.
Cliquez sur Suivant pour lancer l'assistant de configuration.
3.
Lisez attentivement le contrat de licence et acceptez ses termes en sélectionnant sur
J'accepte, puis en cliquant sur Suivant.
4.
Sélectionnez le dossier d'installation ou laissez l'emplacement par défaut et cliquez
sur Suivant.
5.
Cliquez sur Suivant pour confirmer l'installation
Une fois l'installation terminée, notez les éléments suivants :
•
Un nouveau raccourci PolicyServer MMC s'affiche sur le bureau :
4-9
FIGURE 4-1. Raccourci PolicyServer MMC
•
Selon le processeur, les fichiers programme sont installés à l'emplacement C:
\Program Files\Trend Micro\PolicyServer MMC\ ou C:
\Program Files (x86)\Trend Micro\PolicyServer MMC\
6.
Cliquez sur Fermer pour terminer.
7.
Cliquez sur Oui pour redémarrer le serveur.
8.
Après vous êtes reconnecté au serveur, double-cliquez sur le raccourci PolicyServer
MMC sur le bureau.
9.
Lorsque PolicyServer MMC s'ouvre, authentifiez-vous en utilisant l'entreprise et le
compte d'administrateur d'entreprise créés lors de l'installation des services et des
bases de données PolicyServer. La période d'évaluation de 30 jours autorise des
périphériques illimités et jusqu'à 100 utilisateurs.
Consultez le Manuel de l'administrateur Endpoint Encryption pour les tâches supplémentaires
postérieures à l'installation, telles que la création de périphériques et d'utilisateurs ou la
configuration de stratégies.
Conseil
Trend Micro recommande de créer une sauvegarde du compte d'administrateur d'entreprise
et de modifier le mot de passe par défaut.
Connexion à PolicyServer MMC
Configurez le nom de l'entreprise et le compte d'administrateur de l'entreprise pendant
l'installation de PolicyServer. Pour plus d'informations sur la licence d'évaluation
pendant 30 jours, consultez la section Licence d'évaluation à la page 8-3.
4-10
Procédure
1.
Pour ouvrir PolicyServer MMC, effectuez l'une des opérations suivantes :
•
•
Cliquez sur le raccourci PolicyServer MMC sur le poste de travail
Accédez au dossier spécifié pendant l'installation, puis double-cliquez sur
PolicyServerMMC.exe
L'écran d'authentification de PolicyServer MMC s'affiche.
FIGURE 4-2. Écran d'authentification de PolicyServer MMC
2.
Spécifiez les paramètres suivants :
OPTION
DESCRIPTION
Entreprise
Spécifiez l'entreprise.
Nom d'utilisateur
Spécifiez le nom d'utilisateur d'un compte d'administrateur de
l'entreprise.
4-11
OPTION
DESCRIPTION
Mot de passe
Spécifiez le mot de passe du nom d'utilisateur.
Serveur
Spécifiez l'adresse IP ou le nom d'hôte du serveur PolicyServer
et incluez le numéro de port attribué à cette configuration.
3.
Facultatif : Pour utiliser une carte à puce pour l'authentification, sélectionnez
Utiliser la carte à puce.
4.
Cliquez sur Connexion.
5.
Attendez que PolicyServer MMC se connecte à PolicyServer.
PolicyServer MMC s'ouvre.
Ajouter un groupe supérieur
Les groupes simplifient la gestion des agents, utilisateurs, stratégies, sous-groupes et
périphériques Endpoint Encryption. Un groupe supérieur est un groupe du plus haut
niveau.
Remarque
Il n'est pas possible d'ajouter les comptes d'administrateur d'entreprise ou d'authentificateur
d'entreprise à des groupes. Pour créer un administrateur de groupe, ajoutez un utilisateur et
modifiez les autorisations du compte au sein du groupe. .
Procédure
1.
4-12
Effectuez un clic droit sur l'entreprise dans le volet de gauche, puis cliquez sur
Ajouter le premier groupe.
FIGURE 4-3. Ajouter le premier groupe
L'écran Ajouter un nouveau groupe s'ouvre.
2.
Spécifiez le nom et la description du groupe.
3.
Si vous utilisez des périphériques Endpoint Encryption qui ne prennent pas en
charge le codage Unicode, sélectionnez Prise en charge des périphériques
hérités.
Remarque
Certains périphériques hérités peuvent avoir des problèmes de communication avec
PolicyServer lorsqu'ils utilisent l'unicode. Attribuez Unicode et les périphériques
Endpoint Encryption hérités à des groupes différents.
4-13
FIGURE 4-4. Écran Ajouter un nouveau groupe
4.
Cliquez sur Appliquer.
5.
Cliquez sur OK dans le message de confirmation.
Le nouveau groupe est ajouté à l'arborescence dans le volet de gauche.
Ajouter un nouvel utilisateur à un groupe
Remarque
L'ajout d'un utilisateur à l'entreprise n'affecte l'utilisateur à aucun groupe
L'ajout d'un utilisateur à un groupe ajoute l'utilisateur au groupe et à l'entreprise
4-14
Procédure
1.
Développez le groupe et ouvrez Utilisateurs.
2.
Accédez au volet de droite et effectuez un clic droit sur l'espace vide, puis
sélectionnez Ajouter un nouvel utilisateur.
L'écran Ajouter un nouvel utilisateur s'ouvre.
FIGURE 4-5. Écran Ajouter un nouvel utilisateur
3.
Spécifiez les options suivantes :
OPTION
DESCRIPTION
Nom d'utilisateur
Spécifiez le nom d'utilisateur du nouveau compte
d'utilisateur (requis).
Prénom
Spécifiez le prénom du nouveau compte d'utilisateur
(requis).
Nom
Spécifiez le nom du nouveau compte d'utilisateur (requis).
4-15
OPTION
DESCRIPTION
ID de l'employé
Spécifiez l'ID d'employé du nouveau compte d'utilisateur
(facultatif).
Geler
Spécifiez s'il faut désactiver temporairement le nouveau
compte d'utilisateur (facultatif). Dans cet état « Gelé »,
l'utilisateur ne peut plus se connecter aux périphériques.
Type de groupe
d'utilisateurs
Sélectionnez les privilèges du nouveau compte.
Remarque
Pour plus d'informations sur les rôles de compte, consultez
la section Rôles utilisateurs d'Endpoint Encryption à la page
1-21.
Les options comprennent :
•
Utilisateur
•
Authentificateur
•
Administrateur
Remarque
Il n'est pas possible d'ajouter des comptes d'administrateur
d'entreprise ou d'authentificateur d'entreprise à des
groupes.
Un groupe
Sélectionnez si le nouveau compte d'utilisateur est autorisé
à être membre de plusieurs stratégies de groupe.
Méthode
d'authentification
Sélectionnez la méthode utilisée par le nouveau compte
d'utilisateur pour se connecter aux périphériques Endpoint
Encryption.
Remarque
La méthode d'authentification par défaut de l'utilisateur est
définie sur Aucune.
4.
4-16
Cliquez sur OK.
Le nouvel utilisateur est ajouté au groupe sélectionné et à l'entreprise. L'utilisateur
peut désormais se connecter aux périphériques Endpoint Encryption.
Autoriser un utilisateur à effectuer une installation dans un
groupe
Avant d'installer les agents, autorisez au moins un utilisateur dans un groupe à installer
des agents.
Procédure
1.
Développez le groupe, ouvrez Utilisateurs.
2.
Effectuez un clic droit sur le compte d'utilisateur, puis sélectionnez Autoriser
l'utilisateur à effectuer une installation dans ce groupe.
Synchronisation Active Directory de PolicyServer
PolicyServer prend en charge la synchronisation Active Directory (AD) pour un groupe
PolicyServer configuré. La synchronisation ajoutera et supprimera automatiquement les
utilisateurs AD des groupes PolicyServer configurés.
Présentation d'Active Directory
Trois composants sont requis pour activer la synchronisation AD de PolicyServer :
1.
Un domaine AD configuré.
2.
Un groupe PolicyServer configuré pour pointer vers une Unité organisationnelle
(OU) AD.
3.
Des informations d'identification adéquates pour accéder au domaine AD
correspondant au nom unique du groupe PolicyServer.
Lorsqu'il est configuré correctement, le système de synchronisation crée
automatiquement des utilisateurs PolicyServer et les déplace vers les groupes couplés
4-17
appropriés sur PolicyServer. Pendant la synchronisation, PolicyServer est mis à jour pour
refléter les utilisateurs et les attributions de groupes actuels des groupes couplés.
Un nouvel utilisateur ajouté au domaine et placé dans l'unité organisationnelle sera
marqué afin que, lors de la prochaine synchronisation, AD le crée dans PolicyServer et le
déplace dans le groupe PolicyServer couplé approprié.
Supprimer un utilisateur d'AD entraînera la suppression automatique de cet utilisateur
du groupe PolicyServer couplé et de l'entreprise.
Pour ajouter des utilisateurs ne faisant pas partie du domaine à des groupes synchronisés
avec le domaine, vous pouvez créer des utilisateurs Endpoint Encryption uniques, puis
les ajouter aux groupes PolicyServer couplés, sans que ces utilisateurs soient modifiés
par le système de synchronisation.
Si vous supprimez l'utilisateur Endpoint Encryption d'un groupe couplé sur
PolicyServer, cet utilisateur du domaine ne sera pas ajouté de nouveau automatiquement
par le système de synchronisation. Cela empêche d'outrepasser votre action pour cet
utilisateur Endpoint Encryption. Si vous replacez manuellement un utilisateur du
domaine synchronisé dans un groupe couplé, le système de synchronisation
recommence à gérer automatiquement cet utilisateur au sein du groupe.
Configuration d'Active Directory
Cette tâche présume que le contrôleur de domaine soit configuré sur Windows Server
2003 et qu'AD soit installé.
Procédure
1.
Accédez à Démarrer > Programmes > Outils d'administration > Utilisateurs
et périphériques AD.
Les utilisateurs et périphériques Active Directory s'ouvrent.
4-18
FIGURE 4-6. Utilisateurs et ordinateurs Active Directory
2.
Effectuez un clic droit sur le nouveau domaine créé lors de l'installation d'AD, puis
sélectionnez Nouveau.
3.
Sélectionnez Unité d'organisation.
4.
Cliquez sur Suivant.
5.
A partir de l'écran Nouvel objet - Unité d'organisation, indiquez le nouveau
nom et cliquez sur OK.
Le nouveau groupe apparaît dans le volet gauche de navigation, sous le domaine.
Le nouveau groupe sera utilisé pour la synchronisation avec le groupe PolicyServer
mais les utilisateurs doivent d'abord être ajoutés au groupe.
6.
Effectuez un clic droit sur le nouveau groupe et sélectionnez Nouvel utilisateur.
7.
À partir de l'écran Nouvel objet - Utilisateur, indiquez les informations de
compte du nouvel utilisateur et cliquez sur Suivant.
4-19
8.
Indiquez et confirmez le mot de passe du domaine du nouvel utilisateur et cliquez
sur Suivant pour continuer
Remarque
Décochez l'option L'utilisateur doit modifier son mot de passe lors de la
prochaine connexion et cochez Le mot de passe n'expire jamais afin de
simplifier les tests ultérieurs
9.
Lorsque vous êtes invité à terminer l'opération, cliquez sur Terminer.
Ce contrôleur de domaine est configuré avec une nouvelle unité d'organisation et
un utilisateur dans ce groupe. Afin de synchroniser ce groupe avec PolicyServer,
installez PolicyServer et créez un groupe pour la synchronisation. Cette section
présume que PolicyServer est déjà installé.
10. Connectez-vous à PolicyServer MMC.
11. Effectuez un clic droit sur l'entreprise et sélectionnez Créer un groupe de niveau
supérieur.
12. Indiquez le nom et la description du groupe et cliquez sur Appliquer.
13. Afin de configurer la stratégie de synchronisation, ouvrez le groupe et accédez à
Commun > Authentification > Connexion au réseau.
4-20
14. Ouvrez Nom unique et indiquez le nom unique complet depuis l'organisation AD
configurée afin d'effectuer la synchronisation avec ce groupe et cliquez sur OK.
Remarque
Le format de nom unique pour une unité d'organisation intitulée Ingénierie sur un
domaine appelé test.home est le suivant : OU=Engineering,DC=TEST,DC=HOME
15. Ouvrez Nom de domaine et indiquez le nom de domaine NetBIOS utilisé pour
configurer le serveur AD.
Lorsque la stratégie PolicyServer est configurée, la configuration finale requise est
de créer la configuration de synchronisation via l'outil de configuration de la
synchronisation AD. Cet outil vous permet de créer des informations
d'identification AD pour chaque unité d'organisation synchronisée et chaque
contrôleur de domaine.
16. Pour accéder à l'outil Configuration de la synchronisation AD, accédez au
dossier d'installation de Policy Server et ouvrez ADSyncConfiguration.exe
4-21
PolicyServer - L'outil de la synchronisation AD s'ouvre
17. Cliquez sur Ajouter pour spécifier les informations d'identification de l'unité
d'organisation AD.
Remarque
Pour les serveurs nécessitant des informations d'identification supplémentaires, les
utilisateurs peuvent entrer le nom d'utilisateur et le mot de passe d'administrateur
pour se connecter au contrôleur de domaine via cet outil.
4-22
18. Sortez de l'outil Configuration de la synchronisation AD.
La synchronisation entre AD et PolicyServer est terminée. La synchronisation se fera
toutes les 45 minutes (il s'agit de l'intervalle de synchronisation par défaut utilisé par les
contrôleurs de domaine Microsoft). Vous pouvez forcer la synchronisation en arrêtant et
redémarrant les services Windows PolicyServer. La synchronisation du domaine
s'exécute peu après le démarrage des services Windows PolicyServer et toutes les 45
minutes par la suite.
Proxy LDAP
Le proxy LDAP facultatif permet l'authentification du domaine/authentification unique
(SSO) via un serveur proxy externe se trouvant dans la zone démilitarisée (DMZ) d'un
client.
Remarque
•
L'installation du proxy LDAP est requise pour les environnements hôtes utilisant
l'authentification unique (SSO)/authentification de domaine.
•
Les versions de proxy LDAP antérieures à 3.1 ne sont pas prises en charge.
•
Les clients existants utilisant le proxy LDAP doivent au préalable effectuer une mise à
niveau vers la version 3.1.
Configuration requise pour LDAP
TABLEAU 4-2. Spécifications matérielles et logicielles pour LDAP
SPÉCIFICATION
Processeur
Mémoire
•
Minimum : 2 Go
Espace disque
•
Minimum : 30 Go
•
Requis : 20 % d'espace disque disponible
4-23
SPÉCIFICATION
•
Le serveur doit se trouver sur le domaine et disposer
d'un accès à AD
•
Le serveur doit avoir une adresse accessible via Internet
•
Un proxy entrant doit être autorisé
•
PolicyServer doit avoir accès au serveur IIS de ce
serveur
•
Windows Server 2008/2008 R2 64 bits
Applications et
paramètres
•
Rôle du serveur d'application
•
•
IIS
•
Autoriser les pages Active Server
•
Autoriser ASP.NET
Microsoft .Net Framework 2.0 SP2
Liste de contrôle matériel du proxy LDAP
TABLEAU 4-3. Liste de contrôle matériel du proxy LDAP
SERVEUR PROXY LDAP
Informations sur
Windows Server
Version du système
d'exploitation
Niveau de Service Pack
Information matérielle
Marque
Mémoire RAM
Modèle
Unité centrale
4-24
COMMENTAIRES
SERVEUR PROXY LDAP
Serveur
COMMENTAIRES
IIS
Microsoft .NET SP 2.0
SP1 ou version
ultérieure
Informations sur le
réseau
Adresse IP
Masque de sousréseau
Nom de l'hôte
Nom de domaine
Informations
d'identification du
domaine disponibles
(uniquement pour SSO)
Configurer les services sur plusieurs points finaux
Pour créer une topographie de réseau sur trois niveaux, déployer séparément les services
sur un point final résidant dans le réseau DMZ et configurer PolicyServer en toute
sécurité dernière le pare-feu. Vous pouvez installer le proxy Web client sur un point final
séparé pour qu'il travaille soit comme un proxy transmettant le trafic seul, soit comme
un proxy transmettant et filtrant le trafic. Le proxy Web client gère les services suivants :
Service de transfert de trafic
Utilisez le service de transfert de trafic pour transmettre tout le trafic des
agents Endpoint Encryption 5.0 Patch 1 vers le serveur PolicyServer associé.
Il communique avec le service Endpoint Encryption sur ce serveur
PolicyServer.
Service Web client
Utilisez le service Web client pour transmettre tout le trafic des agents
Endpoint Encryption hérités (3.1.3 et versions antérieures) au serveur
PolicyServer associé. Il communique avec le service Windows PolicyServer sur
4-25
ce serveur PolicyServer. Outre le transfert de trafic, le service Web client filtre
également le trafic afin d'empêcher les menaces de sécurité.
Pour plus d'informations sur les services, consultez la section À propos de PolicyServer à la
page 1-13.
À propos du service de transfert de trafic
Utilisez le service de transfert de trafic dans les environnements qui disposent d'agents
Endpoint Encryption 5.0 Patch 1 et PolicyServer résidant dans des réseaux locaux
différents. Les agents Endpoint Encryption 5.0 Patch 1 communiquent en utilisant
l'architecture RESTful. Le service de transfert de trafic se trouve entre les agents et
PolicyServer afin d'empêcher tout accès de stratégie non sécurisé. Le programme
d'installation du service de transfert de trafic configure le service TMEEservice, qui est
identique au service RESTful installé par le programme d'installation de PolicyServer
dans les environnements qui n'utilisent pas de proxy.
Remarque
•
Il n'est pas possible d'installer le service de transfert de trafic et PolicyServer sur le
même point final.
•
Le port par défaut est 8080
À propos du service Web client
Utilisez le service Web client dans les environnements qui disposent d'agents Endpoint
Encryption hérités (3.1.3 et plus anciens) et de PolicyServer résidant dans des réseaux
locaux différents. Les agents Endpoint Encryption hérités communiquent à l'aide du
protocole SOAP. Le service Web client se trouve entre les agents Endpoint Encryption
hérités et le service Windows PolicyServer afin d'empêcher les stratégies d'accès non
sécurisées. Le programme d'installation du service Web client configure
MAWebService2 (service Web hérité), qui est identique au service Microsoft IIS installé
par le programme d'installation de PolicyServer dans les environnements qui n'utilisent
pas de proxy.
4-26
Remarque
•
Il n'est pas possible d'installer le service Web client et PolicyServer sur le même point
final.
•
Le port par défaut pour Endpoint Encryption 3.1.3 ou les agents antérieurs est 8080.
•
Dans les environnements qui s'exécutent en utilisant des instances Endpoint
Encryption nouvelles et héritées, configurez des ports différents pour chaque service
proxy communiquant avec PolicyServer.
Configuration du proxy Web client
Remarque
Veillez à installer PolicyServer sur un point final différent.
Procédure
1.
Copiez le dossier d'installation de PolicyServer sur le disque dur local.
2.
Ouvrez le dossier Outils et exécutez TMEEProxyInstaller.exe.
L'écran de bienvenue apparaît.
3.
Le programme d'installation du proxy Web client analyse le point final.
4.
Spécifiez l'adresse IP du serveur PolicyServer ou le nom d'hôte et le numéro de
port du service Endpoint Encryption du serveur PolicyServer cible.
Remarque
La valeur par défaut est localhost:8080.
5.
6.
Attendez que le proxy Web client s'installe.
4-27
7.
Cliquez sur Terminer.
8.
Vérifiez l'installation du proxy Web client.
a.
Accédez à Démarrer > Outils d'administration > Internet Information
Services (IIS) Manager.
L'écran Internet Information Services (IIS) Manager s'affiche.
9.
b.
Repérez l'emplacement du site configuré précédemment.
c.
Vérifiez que MAWebService2 est configuré.
Vérifiez l'installation du service de transfert de trafic.
a.
Accédez à Démarrer > Outils d'administration > Services.
L'écran Services s'affiche.
b.
Assurez-vous que le service TMEEForward a démarré.
Le service de transfert de trafic est installé.
Mise à niveau
la plupart des versions actuelles. Pour plus d'informations, consultez la section Résumé des
opérations de mise à niveau à la page 3-27.
4-28
AVERTISSEMENT!
Avant de mettre l'agent à niveau, veillez à mettre à niveau au préalable PolicyServer vers la
version 5.0 Patch 1. Les agents Endpoint Encryption 5.0 Patch 1 ne peuvent pas
communiquer avec PolicyServer 3.1.3 ou versions antérieures.
Chemins de mise à niveau
Le tableau suivant décrit le chemin de mise à niveau à partir de chaque version
précédente du produit vers la version 5.0 Patch 1. Certaines versions plus anciennes ne
peuvent pas être mises à niveau directement vers 5.0 Patch 1 et doivent au préalable être
mises à niveau vers une version plus récente de ce produit. Pour plus d'informations sur
l'installation de versions héritées de produits Endpoint Encryption, consultez la
http://docs.trendmicro.com/fr-fr/enterprise/endpoint-encryption.aspx.
TABLEAU 4-4. Chemins de mise à niveau
PRODUIT/AGENT
PolicyServer
MobileArmor Full Disk
Encryption Product
DriveArmor
VERSION
3.1.3 SP1
3.1.3 SP1 → 5.0
3.1.3
3.1.3 → 5.0
3.1.2
3.1.2 → 5.0
3.1.3 SP1
3.1.3 SP1 → 5.0
3.1.3
3.1.3 → 5.0
3.1.2
3.1.2 → Full Disk Encryption 5.0
SP7g
SP7g → 3.1.3 → Full Disk Encryption 5.0
SP7-SP7f
SP7-SP7f → SP7g → 3.1.3 → Full Disk
Encryption 5.0
3.0
Non pris en charge.
4-29
PRODUIT/AGENT
VERSION
FileArmor
KeyArmor
3.1.3 SP1
FileArmor 3.1.3 SP1 → File Encryption 5.0
3.1.3
FileArmor 3.1.3 → File Encryption 5.0
3.0.14
Encryption 5.0
3.0.13
Encryption 5.0
3.0.2
Il n'y a pas de version KeyArmor 5.0.
3.0.1
Versions de l'agent prises en charge
Bien que PolicyServer prenne en charge la gestion des stratégies de tous les agents, les
agents plus anciens ne peuvent pas s'enregistrer en tant que nouveau périphérique dans
PolicyServer 5.0 Patch 1 ou Control Manager. Le tableau suivant explique quelles
version héritées peuvent être ajoutées en tant que nouveau périphérique. Trend Micro
recommande d'utiliser les versions les plus récentes de tous les agents.
TABLEAU 4-5. Agents hérités pris en charge pour les nouveaux périphériques
PEUT
VERSION
AGENT
S'ENREGISTRER
COMME NOUVEAU
PÉRIPHÉRIQUE
Full Disk
Encryption
5.0
3.1.3 SP1
3.1.3
MobileArmor Full
Disk Encryption
Product
4-30
3.1.2
SP7g
PEUT
AGENT
VERSION
S'ENREGISTRER
COMME NOUVEAU
PÉRIPHÉRIQUE
DriveArmor
3.0
File Encryption
5.0 Patch 1
FileArmor
3.1.3
*
3.0.14
3.0.13
KeyArmor
Tout
*
Remarque
*Pris en charge seulement sur les mises à niveau de PolicyServer à partir d'Endpoint
Encryption 3.1.2 ou 3.1.3.
Mise à niveau de PolicyServer
Mettez à niveau PolicyServer pour accéder aux améliorations du serveur et aux nouvelles
fonctionnalités de sécurité disponibles dans la dernière version du produit. Pendant la
mise à niveau, les services PolicyServer sont arrêtés temporairement. Cependant, il n'y a
aucune interruption de l'accès aux périphériques Endpoint Encryption. Les
configurations des stratégies existantes sont conservées.
Remarque
Pour plus d'informations sur les nouvelles installations, consultez la section Installation de
Pour plus d'informations sur l'architecture, consultez la section Composants d'Endpoint
Encryption à la page 1-9. PolicyServer MMC peut éventuellement être installé en même
temps.
4-31
AVERTISSEMENT!
Pour des raisons de sécurité, les agents Endpoint Encryption hérités ne peuvent pas
communiquer directement avec une instance PolicyServer résidant sur un réseau différent.
Pour plus d'informations sur la configuration d'un proxy Web, consultez la section
Configurer les services sur plusieurs points finaux à la page 4-25.
Procédure
1.
Consultez la section Configuration minimale requise pour PolicyServer à la page 2-2.
2.
3.
4.
Vérifiez la version de PolicyServer et cliquez sur Mise à niveau.
Veillez à suivre le chemin de mise à niveau correct pour PolicyServer. Pour plus
d'informations, consultez la section Chemins de mise à niveau à la page 3-25.
5.
Dans le message Enregistrement de licence, cliquez sur OK pour continuer.
6.
Dans l'écran Connexion aux services Windows, cliquez sur Continuer. Les
paramètres par défaut conviennent à la plupart des environnements.
7.
Dans l'écran Connexion de l'administrateur de base de données, effectuez les
opérations suivantes dans la section Base de données primaire :
OPTION
Serveur
DESCRIPTION
Nom d'hôte (localhost) ou adresse IP de Microsoft SQL
Server.
Nom d'utilisateur Nom d'utilisateur ayant le rôle sysadmin pour l'instance de
Microsoft SQL Server spécifiée.
Mot de passe
4-32
Mot de passe du compte sysadmin.
Remarque
Pour des environnements disposant de plusieurs instances de serveur SQL, modifiez
l'instance SQL à la fin du nom d'hôte PolicyServer ou de l'adresse IP utilisée. Utilisez
la syntaxe suivante pour spécifier une instance :
<nom d'hôte ou adresse IP>\<instance de base de données>
Le programme d'installation vérifie la connexion de base de données.
8.
9.
Lorsque le message Question PolicyServer s'affiche, effectuez l'une des
opérations suivantes :
•
Cliquez sur Oui pour sauvegarder les données existantes
•
Cliquez sur Non pour écraser les données existantes
Dans l'écran Service Endpoint Encryption, spécifiez les paramètres suivants :
OPTION
Numéro de port
DESCRIPTION
Spécifiez le numéro de port que les agents PolicyServer
MMC, Control Manager et Endpoint Encryption 5.0
Patch 1 utilisent pour communiquer avec PolicyServer
(par défaut : 8080).
Remarque
Dans les environnements comportant des agents
hérités, Trend Micro recommande d'utiliser le port 8080
pour le service Web admin et le port 80 pour le service
Web client. Le numéro de port doit être un entier positif
compris entre 1 et 65 535.
Générer
automatiquement un
nouveau certificat
auto-signé
Sélectionnez cette option si aucun certificat n'est
disponible. Le programme d'installation génère un
certificat pour la communication.
Spécifier un certificat
existant.
Sélectionnez cette option pour utiliser un certificat
spécifique. Il n'existe aucune limitation ou configuration
requise pour spécifier un certificat existant autre que le
formatage correct du certificat.
4-33
Remarque
Le service Endpoint Encryption utilise une API Web RESTful pour authentifier les
agents qui se connectent à PolicyServer.
10. Dans l'écran Service d'agent hérité, sélectionnez l'emplacement que les agents
Endpoint Encryption hérités (version 3.1.3 et antérieures) utilisent pour
communiquer avec PolicyServer, puis cliquez sur Continuer.
11. Cliquez sur Oui pour installer PolicyServer MMC.
AVERTISSEMENT!
Le programme d'installation de PolicyServer peut installer automatiquement une
version de PolicyServer MMC qui prend en charge la gestion du produit.
PolicyServer 5.0 Patch 1 ne prend pas en charge les versions plus anciennes de
PolicyServer MMC. Cliquez seulement sur Non si un autre point final sur lequel
PolicyServer MMC 5.0 Patch 1 est installé gère PolicyServer.
Le processus d'installation commence.
12. Dans le message Installation de PolicyServer, cliquez sur OK
13. Cliquez sur Terminé.
14. Dans la fenêtre du programme d'installation de PolicyServer, cliquez surQuitter.
15. Redémarrez le serveur.
Mise à niveau de plusieurs services PolicyServer
connectés à la même base de données
Seule une instance unique de PolicyServer peut procéder à une restauration à la fois.
Procédure
1.
4-34
Arrêtez le service Windows PolicyServer sur toutes les instances de PolicyServer à
l'exception de celle à mettre à niveau.
2.
a.
Accédez à Démarrer > Outils d'administration > Services.
b.
Effectuez un clic droit sur Service Windows PolicyServer, puis sélectionnez
Arrêter.
Effectuez la mise à niveau sur le serveur actif.
Consultez la section Mise à niveau de PolicyServer à la page 4-31.
3.
Lorsque la mise à niveau est terminée et que la base de donnée se réplique,
effectuez la mise à niveau sur les instances de PolicyServer restantes.
Mise à niveau de PolicyServer MMC
Remarque
Pour améliorer les mesures de sécurité, les versions héritées de PolicyServer MMC ne
peuvent pas gérer PolicyServer 5.0 Patch 1. La mise à niveau de PolicyServer MMC est
requise.
Procédure
1.
Effectuez Désinstallation de PolicyServer MMC à la page 4-36.
2.
Effectuez Installation de PolicyServer MMC à la page 4-9.
Migration vers Control Manager
Les administrateurs peuvent gérer Endpoint Encryption en utilisant uniquement
PolicyServer MMC ou en utilisant Control Manager pour la gestion des stratégies, des
utilisateurs et des périphériques et PolicyServer MMC pour la gestion avancée des
journaux et l'établissement de rapports.Pour obtenir des informations détaillées, voir
4-35
Désinstallation
La section suivante explique comment désinstaller PolicyServer. Un cas courant
nécessitant la désinstallation de PolicyServer est que des informations incorrectes ont été
spécifiées lors de l'installation de PolicyServer.
Désinstallation de PolicyServer MMC
Utilisez Ajout/Suppression de programmes de Windows pour désinstaller l'agent.
PolicyServer MMC.
Remarque
La désinstallation de PolicyServer MMC n'affecte pas la base de données et les services de
PolicyServer.
Procédure
1.
Accédez à Démarrer > Paramètres > Panneau de configuration > Ajout/
Suppression de programmes
La fenêtre Ajout/Suppression de programmes s'affiche.
2.
Sélectionnez PolicyServer dans la liste des programmes installés.
3.
Cliquez sur Supprimer.
4.
Dans le message Ajout/Suppression de programmes, cliquez sur Oui pour
confirmer.
Le processus de désinstallation s'achève lorsque le programme est supprimé de la liste.
Désinstallation de PolicyServer
La désinstallation de PolicyServer supprime tous les services Endpoint Encryption. La
base de données Endpoint Encryption n'est pas affectée par la désinstallation de
PolicyServer.
4-36
AVERTISSEMENT!
Bien que la désinstallation de PolicyServer n'affecte pas la base de données Endpoint
Encryption, elle supprime cependant tous les services Endpoint Encryption. Les
utilisateurs d'Endpoint Encryption ne peuvent plus se connecter sur les périphériques
Endpoint Encryption tant que PolicyServer n'est pas réinstallé.
Procédure
1.
2.
3.
Dans l'écran Services PolicyServer, cliquez sur Désinstaller sur la gauche.
La désinstallation de PolicyServer démarre.
4.
Attendez que le processus de désinstallation de PolicyServer supprime tous les
paramètres des services et des bases de données.
5.
Cliquez sur Terminé.
6.
Redémarrez le serveur.
7.
Réinstallez éventuellement PolicyServer.
4-37
Chapitre 5
Intégration de Control Manager
Ce chapitre explique comment intégrer Endpoint Encryption à Trend Micro Control
Manager. Pouvez utiliser Control Manager au lieu de PolicyServer MMC pour gérer
PolicyServer.
Remarque
l'implémentation d'Endpoint Encryption, consultez la section Consoles d'administration à la
page 2-6
•
À propos de l'intégration de Control Manager à la page 5-2
•
Migration vers Control Manager à la page 5-3
•
Ajout de PolicyServer en tant que produit géré à Control Manager à la page 5-4
•
Configuration des groupes pour les stratégies de Control Manager à la page 5-7
•
Création d'une stratégie à la page 5-8
•
Modification d'un produit géré de PolicyServer dans Control Manager à la page 5-11
•
Suppression d'un produit géré par PolicyServer à partir de Control Manager à la page 5-11
5-1
À propos de l'intégration de Control Manager
Gérez de manière flexible Endpoint Encryption en utilisant uniquement PolicyServer
MMC ou en utilisant Control Manager pour la gestion des stratégies, des utilisateurs et
des périphériques et PolicyServer MMC pour la gestion avancée des journaux et
réseau.
première fois en utilisant Control Manager pour gérer PolicyServer. Dans un
déploiement Control Manager, les administrateurs utilisent Control Manager pour tous
les contrôles des stratégies, utilisateurs et périphériques Endpoint Encryption et
n'utilisent PolicyServer MMC que pour la maintenance avancée de l'entreprise.
5-2
Remarque
Dans les environnements qui utilisent Control Manager, modifiez vers PolicyServer les
stratégies qui sont toujours contrôlées par Control Manager. Toutes les modifications
apportées en utilisant PolicyServer MMC sont remplacées la prochaine fois que Control
Manager synchronie les stratégies avec la base de données PolicyServer.
Migration vers Control Manager
La migration vers Control Manager n'est pas automatisée. La procédure suivante
explique la configuration manuelle de Control Manager pour correspondre à la
configuration existante.
5-3
Procédure
1.
Mettez à niveau PolicyServer vers la version 5.0 Patch 1.
Consultez la section Éléments à prendre en compte pour la mise à niveau à la page 3-24.
2.
Consultez la documentation appropriée :
3.
Ajoutez PolicyServer à Control Manager.
Consultez la section Ajout de PolicyServer en tant que produit géré à Control Manager à la
page 5-4.
4.
Ajoutez tous les utilisateurs existants à Control Manager en utilisant le widget
Utilisateurs d'Endpoint Encryption.
5.
Pour chaque groupe actuellement existant, créez une nouvelle stratégie.
6.
Dans chaque nouvelle stratégie, spécifiez une cible de stratégie pour chaque
périphérique affecté au groupe précédent.
Consultez la section Spécifications des cibles de stratégie à la page 5-9.
7.
Utilisez Control Manager pour déployer les stratégies.
Ajout de PolicyServer en tant que produit géré
à Control Manager
Endpoint Encryption sur des points finaux gérés.
5-4
Pour utiliser Control Manager pour gérer PolicyServer, vous devez ajouter PolicyServer
en tant que produit géré.
Assurez-vous de terminer les tâches suivantes avant de poursuivre :
1.
2.
Installer et configurer PolicyServer.
Pour configurer des procédures supplémentaires pour Control Manager, consultez la
section Manuel de l'administrateur Endpoint Encryption.
Important
Endpoint Encryption ne prend en charge qu'une seule instance de PolicyServer configurée
dans Control Manager à la fois. Il n'est pas possible d'ajouter plusieurs configurations de
serveur PolicyServer. Pour configurer un serveur PolicyServer différent, retirez tout d'abord
le serveur PolicyServer configuré précédemment.
Procédure
1.
Vérifiez toutes les configuration système requises pour les versions de produits
compatibles.
2.
Connectez-vous à Control Manager.
3.
Accédez à Stratégies > Ressources de stratégies > Serveurs gérés.
L’écran Serveurs gérés apparaît.
4.
Dans la liste déroulante Type de serveur, sélectionnez Endpoint Encryption.
5.
Cliquez sur Ajouter.
5-5
L'écran Ajouter un serveur apparaît.
6.
Spécifiez les options Informations relatives au serveur
•
Serveur : Spécifiez le nom d'hôte et le numéro de port du serveur
PolicyServer. Utilisez le format suivant :
http(s)://<nom_serveur>:numéro_port
Remarque
Control Manager communique avec le service Endpoint Encryption de
PolicyServer. Le numéro de port par défaut est 8080.
•
5-6
Nom d'affichage : Spécifiez comment le serveur PolicyServer s'affiche dans
l'écran Serveurs gérés
7.
Sous Authentification, spécifiez le nom d'utilisateur et le mot de passe du compte
d'administrateur d'entreprise Endpoint Encryption.
8.
Sous Connexion, sélectionnez Utiliser un serveur proxy pour la connexion si le
serveur PolicyServer requiert une connexion proxy.
9.
Cliquez sur Enregistrer.
Remarque
La synchronisation entre Control Manager et le serveur PolicyServer peut prendre
plusieurs minutes.
Le serveur PolicyServer est ajouté en tant que nouveau produit géré à Control
Manager.
10. Pour configurer des procédures supplémentaires pour Control Manager, consultez
la section Manuel de l'administrateur Endpoint Encryption.
Configuration des groupes pour les stratégies
de Control Manager
Control Manager simplifie la gestion des stratégies et fusionnant l'architecture des
groupes et des stratégies de PolicyServer. La synchronisation de l'architecture des
groupes et des stratégies de PolicyServer avec la structure des stratégies de Control
Manager n'est pas automatisée. La procédure suivante explique les informations les plus
importantes à connaître concernant la configuration existante avant de configurer la
nouvelle configuration de Control Manager.
Procédure
1.
2.
Rassemblez les informations suivantes :
3.
•
Nombre total de groupes, leur nom et les sous-groupes
•
Tous les utilisateurs affectés à chaque groupe
•
La configuration de stratégie de chaque groupe
Connectez-vous à Control Manager.
5-7
4.
Pour chaque groupe de PolicyServer MMC, configurez une nouvelle stratégie qui
correspond à la configuration de stratégie de groupe correspondante.
Remarque
Les sous-groupes ne sont plus pris en charge. Créez une stratégie pour chaque sousgroupe ou créez une stratégie pour le groupe qui affecte les sous-groupes
5.
Ajouter tous les utilisateurs à chaque nouvelle stratégie.
6.
Déployez chaque stratégie.
Création d'une stratégie
La procédure suivante explique comment configurer une stratégie de Control Manager
qui touche les périphériques et les utilisateurs d'Endpoint Encryption.
Important
Pour ajouter un compte d'utilisateur à la stratégie, assurez-vous que le compte d'utilisateur
existe déjà.
Procédure
1.
Allez dans Stratégies > Gestion des stratégies.
2.
Dans la liste déroulante Produits, sélectionnez Endpoint Encryption.
3.
Cliquez sur Créer.
L'écran Créer une stratégie apparaît.
5-8
4.
Spécifiez un nom de stratégie.
5.
Spécifiez des options de stratégie.
Consultez la rubrique Spécifications des cibles de stratégie à la page 5-9.
Remarque
Pour plus d'informations sur les options de stratégie disponibles, consultez le Manuel
de l'administrateur Endpoint Encryption.
6.
Spécifications des cibles de stratégie
Utilisez l'écran Spécifier les cibles pour affecter des périphériques Endpoint
Encryption à la stratégie.
Remarque
L'écran Spécifier les cibles est disponible lors de la création d'une nouvelle stratégie. Pour
plus d'informations sur la création d'une stratégie, consultez la section Création d'une stratégie
à la page 5-8.
5-9
FIGURE 5-1. Spécifications des cibles de stratégie
Procédure
1.
Dans l'écran Spécifier les cibles, cliquez sur l'onglet Parcourir.
2.
Dans le volet de gauche, développez l'arborescence pour sélectionner le dossier
géré.
Exemple : CM-PI-2K8 > Dossier local > TMEE > TMEE > QA2
3.
Sélectionnez un périphérique Endpoint Encryption approprié ou cochez la case
supérieure pour sélectionner tous les périphériques Endpoint Encryption
répertoriés dans la page actuelle.
4.
Cliquez sur Ajouter les cibles sélectionnées.
Remarque
Pour sélectionner immédiatement tous les périphériques dans le dossier géré, cliquez
sur Ajouter tous les éléments du dossier sélectionné.
5-10
« Afficher la liste des actions » et « Afficher les résultats » se mettent à jour en
fonction de la sélection.
5.
Cliquez sur OK.
Modification d'un produit géré de PolicyServer
dans Control Manager
Important
Endpoint Encryption ne prend en charge qu'une seule instance de PolicyServer dans
Control Manager. Il n'est pas possible d'ajouter plusieurs instances de PolicyServer.
Procédure
1.
Supprimez PolicyServer de Control Manager.
Consultez la section Suppression d'un produit géré par PolicyServer à partir de Control
Manager à la page 5-11.
2.
Ajoutez le nouveau serveur PolicyServer à Control Manager.
Consultez la section Ajout de PolicyServer en tant que produit géré à Control Manager à la
page 5-4.
Suppression d'un produit géré par
PolicyServer à partir de Control Manager
Procédure
1.
Accédez à Stratégies > Ressources de stratégies > Serveurs gérés.
L’écran Serveurs gérés apparaît.
5-11
2.
Cliquez sur l'icône Supprimer (
) dans la colonne Actions.
3.
Lorsque le message s'affiche, cliquez sur OK pour confirmer.
L'instance de PolicyServer est supprimée de Control Manager. Utilisez PolicyServer
MMC pour gérer les stratégies.
5-12
Chapitre 6
Déploiement des agents Endpoint
Encryption
Chaque agent Endpoint Encryption dispose d'une installation et d'une configuration
minimale requise uniques. Pour obtenir des explications sur la configuration et la
gestion, consultez la section Manuel de l'administrateur Endpoint Encryption.
•
Agents Endpoint Encryption à la page 1-17
•
À propos de Full Disk Encryption à la page 6-3
•
À propos de File Encryption à la page 6-4
•
Installation à la page 6-4
•
Mise à niveau à la page 6-37
•
Migration à la page 6-42
•
Désinstallation à la page 6-50
6-1
Agents Endpoint Encryption
Le tableau suivant décrit les agents Endpoint Encryption disponible pour des
environnements divers.
AGENT
File Encryption
DESCRIPTION
hôte.
Utilisez Full Disk Encryption pour sécuriser les fichiers de
données, les applications, les paramètres de Registre, les
fichiers temporaires, les fichiers d'échange, les spouleurs
d'impression et les fichiers supprimés sur un point final
Windows. Une authentification forte préalable au
démarrage limite l'accès aux vulnérabilités jusqu'à ce que
l'utilisateur soit validé.
d'hébergement.
par chiffrement complet de disques de Trend Micro dans
une infrastructure Windows existante.
6-2
Déploiement des agents Endpoint Encryption
AGENT
for Apple FileVault
DESCRIPTION
environnements Mac OS qui ont simplement besoin
d'activer Apple FileVault sur le point final d'hébergement.
Remarque
Endpoint Encryption 5.0 ne comporte pas de périphériques KeyArmor. Toutefois, les
périphériques KeyArmor hérités sont pris en charge.
À propos de Full Disk Encryption
L'agent Trend Micro Full Disk Encryption combine un algorithme de chiffrement
AES256 robuste avec une authentification obligatoire afin de rendre les données
inaccessibles sans authentification. Full Disk Encryption empêche la perte de données
en chiffrant l'intégralité du disque, y compris le système d'exploitation, les programmes,
les fichiers temporaires et les fichiers des utilisateurs finaux.
Full Disk Encryption autorise une flexibilité permettant d'utiliser des disques durs avec
un chiffrement logiciel ou matériel, selon les besoins. Les disques à chiffrement
automatique Seagate DriveTrust™, OPAL et OPAL2 sont pris en charge. Le
chiffrement matériel est plus simple à déployer sur du matériel neuf, plus facile à gérer et
offre un haut niveau de performances. Quant au chiffrement logiciel, il ne nécessite
aucun matériel et est moins coûteux à déployer sur des points finaux existants.
Trend Micro PolicyServer contrôle les stratégies affectant Full Disk Encryption, ce qui
garantit une sécurité complète des points finaux gérée de manière centrale au sein de
l'entreprise. Full Disk Encryption tient compte du réseau et met à jour les stratégies
avant d'autoriser l'authentification. Vous pouvez également verrouiller ou nettoyer les
données à distance sur le point final avant l'accès au système d'exploitation ou à d'autres
données sensibles.
6-3
Trend Micro Endpoint Encryption 5.0 Patch 1 fait progresser Full Disk Encryption
grâce à l'intégration de nouvelles solutions de chiffrement intégrées au système
d'exploitation hôte par le biais de deux nouveaux agents Endpoint Encryption :
•
•
À propos de File Encryption
L'agent Trend Micro File Encryption utilise le chiffrement AES pour protéger les
données partagées entre des utilisateurs d'Endpoint Encryption, stockées sur des
supports amovibles ou enregistrées sur des ressources réseau. File Encryption peut
également protéger différents fichiers avec différentes clés, ce qui permet vous permet
de définir des stratégies pour l'agent File Encryption, puis de créer des stratégies
séparées pour accéder à certains fichiers, ce qui est utile dans les environnements où
plusieurs utilisateurs accèdent au même point final. Le chiffrement est effectué après
l'authentification.
Vous pouvez utiliser Trend Micro PolicyServer pour spécifier quels sont les fichiers et
dossiers chiffrés, ainsi que les stratégies concernant les supports amovibles.
Les utilsateurs finaux disposent également de la flexibilité de gérer File Encryption
localement en chiffrant les fichiers individuels, les dossiers ou les supports amovibles à
la volée, afin d'assurer la protection de leurs données indépendamment de l'endroit où ils
se trouvent.
Installation
La section suivante explique les conditions requises pour de nouvelles installations
d'agents Endpoint Encryption, comment installer les agents Endpoint Encryption et les
outils pour la préparation de scripts d'installation automatisés.
Avant d'installer les agents Endpoint Encryption
Avant d'installer les agents Endpoint Encryption, tentez compte des éléments suivants :
6-4
•
Assurez-vous que toute la configuration système requise est respectée. Pour plus
d’informations, consultez la section Configuration système requise à la page 2-1.
•
Copiez tous les fichiers d'installation de l'agent sur le disque dur local.
•
Les outils sont disponibles pour la construction de scripts d'installation
automatisée. Pour plus d'informations, consultez la section Déploiements automatiques
à la page 6-28.
•
Le compte d'installation dispose de privilèges d'administrateur local
•
Vérifier Conditions requises pour les points finaux gérés à la page 6-5
Pour les éléments supplémentaires à prendre en compte avant le déploiement, consultez
la section Liste de contrôle préalable au déploiement à la page 3-2.
Conditions requises pour les points finaux gérés
Après l'installation d'un agent Endpoint Encryption, le point final s'enregistre comme un
nouveau périphérique Endpoint Encryption sur PolicyServer. Les actions
d'authentification, de chiffrement et de périphériques distants sont contrôlées de
manière centrale par les stratégies de PolicyServer. Les éléments suivants sont requis
pour installer des points finaux gérés :
•
L'ordinateur dispose d'un accès réseau et peut communiquer avec PolicyServer
pendant l'installation
•
Pour les environnements utilisant PolicyServer MMC, il existe au moins un groupe
de haut niveau ajouté
•
Pour les environnements utilisant Control Manager, il existe au moins une stratégie
configurée
•
L'utilisateur Endpoint Encryption est autorisé à ajouter des périphériques au
groupe ou à la stratégie
Remarque
Il est maintenant possible d'utiliser les rôles d'administrateur d'entreprise et
d'authentification d'entreprise pour installer les agents Endpoint Encryption.
6-5
•
Le compte d'installation dispose de privilèges d'administrateur local.
•
Si l'authentification du domaine/l'authentification unique est activée, le nom
d'utilisateur correspond au nom d'utilisateur dans Active Directory. Le mot de
passe d'Active Directory est utilisé pour l'authentification
Déploiement automatique de l'agent
Il existe deux méthodes pour simplifier le déploiement de masse au sein d'une entreprise
avec un grand nombre de points finaux :
•
Utiliser OfficeScan : Intégration d'OfficeScan à la page 7-1
•
Créer des scripts d'installation, puis utiliser des outils d'automatisation tels que
Microsoft SCCM ou SMS : Déploiements automatiques à la page 6-28
Déploiement de Full Disk Encryption
Les sections suivantes décrivent comment installer et configurer les trois agents
Endpoint Encryption qui gèrent le chiffrement complet de disque :
•
•
•
Remarque
Aperçu du déploiement de Full Disk Encryption
La procédure suivante explique comment préparer et installer les agents Full Disk
Encryption suivants :
•
6-6
•
•
Procédure
1.
Apportez les modifications au système d'exploitation pour préparer le point final.
Consultez la section Préparation du point final à la page 6-7.
2.
Pour les environnements Windows, préparez le disque dur.
Consultez la section Préparation du disque dur à la page 6-10.
3.
Désactivez la stratégie de chiffrement pendant le développement.
Consultez la section Désactiver le déploiement d'Endpoint Encryption à la page 6-11.
4.
Déploiement de l'agent Endpoint Encryption.
Consultez l'une des rubriques suivantes :
5.
•
Installation de Full Disk Encryption à la page 6-12
•
Installation de Encryption Management for Microsoft BitLocker à la page 6-17
•
Installation de Encryption Management for Apple FileVault à la page 6-19
Suivez les instructions de la tâche d'installation pour vérifier le déploiement.
Préparation du point final
Avant d'installer les agents Full Disk Encryption, préparez le point final afin d'éviter
toute perte de données. Les rubriques suivantes expliquent comment préparer le point
final dans les environnements Windows et Mac OS.
6-7
Préparation du point final Windows
Remarque
•
N'installez pas Full Disk Encryption sur les points finaux comportant plusieurs
disques durs. Les environnements à disques multiples ne sont pas pris en charge
•
Les disques RAID et SCSI ne sont pas pris en charge
•
Full Disk Encryption pour Windows 8 ne prend pas en charge les lecteurs RAID,
SCSI ou eDrive
Procédure
1.
Déconnectez tous les périphériques de stockage USB jusqu'à l'installation de cet
agent et le redémarrage du point final.
2.
Assurez-vous que le lecteur sur lequel le système d'exploitation est installé n'est pas
déjà chiffré et que BitLocker est désactivé.
3.
4.
Pour les points finaux Windows 8 prenant en charge le BIOS UEFI, modifiez la
séquence de démarrage sur Mode hérité d'abord.
a.
À partir de Windows 8, maintenez la touche Maj. enfoncée et redémarrez le
dispositif.
Le dispositif redémarre et le BIOS UEFI se charge.
b.
Cliquez sur la mosaïque Résolution des problèmes.
L'écran Options avancées s'ouvre.
c.
Cliquez sur la mosaïque Paramètres du microprogramme UEFI.
Si la mosaïque Paramètres du microprogramme UEFI n'existe pas, le
dispositif n'utilise pas UEFI et aucune modification n'est donc requise.
d.
6-8
Définissez UEFI/Séquence de démarrage héritée sur Mode hérité
d'abord.
e.
5.
Redémarrez le point final.
Copiez les fichiers d'installation sur le lecteur système.
Préparation du point final Mac OS
Procédure
1.
Supprimez tout produit de chiffrement complet du disque existant.
2.
Assurez-vous que Encryption Management for Apple FileVault est actuellement
désactivé.
a.
Accédez à Préférences système > Sécurité & Confidentialité.
b.
Sélectionnez l'onglet FileVault.
6-9
c.
Si nécessaire, cliquez sur l'icône de verrou (
modifications.
) pour effectuer les
d.
Spécifiez le nom d'utilisateur et le mot de passe du point final.
e.
Cliquez sur Désactiver FileVault.
Préparation du disque dur
Full Disk Encryption chiffre chaque secteur du disque physique. Puisque bon nombre
d'applications, y compris le système d'exploitation, évitez d'utiliser tout l'espace sur le
disque dur physique, car les secteurs peuvent être endommagés ou le lecteur peut être
extrêmement fragmenté. Encryption Management for Microsoft BitLocker et
Encryption Management for Apple FileVault exploitent la solution de chiffrement
intégrée au système d'exploitation hôte. Il n'est pas nécessaire de préparer le disque dur
en cas d'utilisation de ces agents Endpoint Encryption.
Remarque
Trend Micro recommande d'exécuter un petit projet pilote sur les nouvelles installations et
les mises à niveau avant de déployer la compilation la plus récente de Full Disk Encryption.
Pour plus d'informations, consultez la section Déploiement du programme pilote d'Endpoint
Encryption à la page C-1.
Important
L'agent Full Disk Encryption ne peut être installé que sur un point final comportant un seul
lecteur physique. Supprimez tous les autres lecteurs avant d'installer Full Disk Encryption.
Procédure
1.
Exécutez l'utilitaire de défragmentation Windows sur le lecteur système.
Pour plus d'informations sur la défragmentation d'un disque dur Windows,
consultez l'article suivant :
http://windows.microsoft.com/fr-fr/windows-vista/improve-performance-bydefragmenting-your-hard-disk
6-10
2.
Assurez-vous que le lecteur système dispose au moins de 256 Mo d'espace
disponible.
3.
Exécutez l'utilitaire d'intégrité de disque Windows (requiert le redémarrage).
4.
a.
À l'aide d'un script ou de l'invite de commande, exécutez chkdsk/f/r et
programmez-le pour la vérification du disque après le prochain redémarrage
du système.
b.
Redémarrez le dispositif.
c.
Remplacez le disque si chkdsk signale plusieurs secteurs défectueux.
Vérifiez le lecteur pour un MBR (enregistrement de démarrage principal) et
confirmez qu'un secteur de démarrage normal est présent sur la partition de
démarrage. Par exemple, un ordinateur à double démarrage contient un secteur de
démarrage modifié.
Remarque
Les disques à tables de partition GUID (GPT) ne sont pas actuellement pris en
charge.
Désactiver le déploiement d'Endpoint Encryption
Le tableau ci-dessous comment désactiver le chiffrement de manière centrale à partir de
l'une des consoles de gestion. Désactivez temporairement le chiffrement de disque pour
minimiser l'impact sur les utilisateurs finaux et simplifier le déploiement de masse. Une
fois que la compatibilité du périphérique est confirmée, activez éventuellement de
nouveau le chiffrement.
TABLEAU 6-1. Désactiver le serveur PolicyServer de Device Encryption
CONSOLE
PolicyServer MMC
PARAMÈTRE DE STRATÉGIE
Accédez à Full Disk Encryption > PC > Chiffrement >
Chiffrer le périphérique et sélectionnez Non.
6-11
CONSOLE
Control Manager
Accédez à une stratégie nouvelle ou existante (Stratégies
> Gestion des stratégies), puis désélectionnez Chiffrer le
périphérique sous Full Disk Encryption.
Installation de Full Disk Encryption
Utilisez Full Disk Encryption pour sécuriser les fichiers de données, les applications, les
paramètres de Registre, les fichiers temporaires, les fichiers d'échange, les spouleurs
d'impression et les fichiers supprimés sur un point final Windows. Une authentification
forte préalable au démarrage limite l'accès aux vulnérabilités jusqu'à ce que l'utilisateur
soit validé.
Remarque
Avant de continuer, assurez-vous de lire les rubriques suivantes :
•
Configuration système requise à la page 2-1
•
Avant d'installer les agents Endpoint Encryption à la page 6-4
•
Conditions requises pour les points finaux gérés à la page 6-5
•
Déploiements automatiques à la page 6-28
Liste de contrôle préalable à l'installation de Full Disk Encryption
Le programme d'installation de Full Disk Encryption vérifie automatiquement le
système cible pour s'assurer que toute la configuration système requise est respectée
avant d'installer l'agent. En cas de découverte d'une incompatibilité système, le
programme d'installation se ferme et génère le fichier PreInstallCheckReport.txt
dans le même emplacement que le programme d'installation.
Utilisez la liste de contrôle de préinstallation afin de déterminer quelles sont les
exigences de configuration système qui ne sont pas remplies. Le fichier de la liste de
contrôle se trouve dans le même dossier que le programme d'installation de Full Disk
Encryption.
6-12
TABLEAU 6-2. Conditions vérifiées par le programme d'installation
SPÉCIFICATION
DESCRIPTION
SE pris en charge
Tous les systèmes
d'exploitation ne sont pas
pris en charge
Full Disk Encryption ne peut
pas être installé sur
certaines versions de
Windows.
Encryption Management for
Microsoft BitLocker est déjà
installé
Aucun autre produit de
chiffrement de disque
complet ne peut être
installé
Microsoft BitLocker ne doit
pas être installé.
Désinstallez Encryption
Management for Microsoft
BitLocker pour installer Full
Disk Encryption ou utilisez
plutôt Encryption
BitLocker.
Médias fixés
Disque dur interne
pas être installé sur des
lecteurs amovibles
fonctionnant sous Windows.
Disque dur multiples
Un seul disque dur est
autorisé.
Le point final ne doit avoir
qu'un seul disque dur. Les
environnements à disques
multiples ne sont pas pris
en charge.
Espace disponible
256 Mo au minimum
Mémoire
512 Mo au minimum
1 Go (recommandé)
Nombre de partitions
Moins de 25 partitions
Les partitions avec MBR
prolongées ne sont pas
disponibles.
6-13
SPÉCIFICATION
6-14
DESCRIPTION
Type de partitions
Seul MBR est pris en
charge
La table de partition GUID
(nécessaire pour les
disques de plus de 2 To)
n'est pas prise en charge
actuellement.
Le lecteur physique est
amorçable
Une partition amorçable est
requise
Full Disk Encryption doit
être installé sur une table
amorçable.
Disque SCSI
Contrôleur de disque ATA,
AHCI ou IRRT. SCSI n'est
pas pris en charge
•
La vérification ne
fournit qu'un
avertissement ;
Windows peut signaler
un disque dur SATA
comme étant un disque
SCSI
•
Si le disque n'est pas
un vrai SCSI, Full Disk
Encryption peut être
installé. En cas de
doute, vérifiez
physiquement le disque
Microsoft .Net Framework
.Net 2.0 SP1 ou plus récent
est requis pour
Windows XP ou version
antérieure
Ignoré pour Windows Vista
ou les systèmes
d'exploitation plus récents.
Compatibilité avec le
matériel à chiffrement
autonome
Le chiffrement matériel est
activé si présent
Full Disk Encryption prend
actuellement en charge les
lecteurs compatibles avec
Seagate™ DriveTrust™ et
OPAL.
BitLocker est activé
BitLocker doit être
désactivé
Full Disk Encryption et
BitLocker ne peuvent pas
fournir simultanément le
chiffrement complet de
disque.
Remarque
Si la vérification de préinstallation échoue pour l'une de ces raisons, contactez Trend Micro
pour obtenir de l'aide.
Installation de l'agent Full Disk Encryption
Une fois l'agent installé, le point final redémarre, dans le cas d'un chiffrement logiciel, ou
s'éteint, dans le cas d'un chiffrement matériel. Les stratégies sont synchronisées avec
PolicyServer lorsque le point final redémarre.
Remarque
•
N'installez pas Full Disk Encryption sur les points finaux comportant plusieurs
disques durs. Les environnements à disques multiples ne sont pas pris en charge
•
Les disques RAID et SCSI ne sont pas pris en charge
•
Full Disk Encryption pour Windows 8 ne prend pas en charge les lecteurs RAID,
SCSI ou eDrive
Remarque
Pour plus d'informations sur les services Endpoint Encryption utilisés par les agents
Endpoint Encryption, consultez la section Services Endpoint Encryption à la page D-1.
Procédure
1.
Copiez le pack d'installation sur le disque dur local.
2.
Exécutez TMFDEInstall.exe.
Remarque
Si la fenêtre Contrôle de compte d'utilisateur apparaît, cliquez sur Oui pour
autoriser le programme d'installation à effectuer des modifications sur le périphérique
Endpoint Encryption.
3.
Attendez le chargement du programme d'installation.
6-15
FIGURE 6-1. Installation du badge de chargement
Au bout d'un certain temps, l'écran de bienvenue dans l'installation s'affiche.
4.
Sélectionnez Installation gérée, puis cliquez sur Suivant.
L'écran Installation gérée s'affiche.
5.
Spécifiez les informations relatives à PolicyServer.
OPTION
DESCRIPTION
Nom du serveur
Spécifiez l'adresse IP ou le nom d'hôte du serveur
PolicyServer et incluez le numéro de port attribué à cette
configuration.
Entreprise
Spécifiez l'entreprise. Seule une entreprise est prise en
charge.
Nom d'utilisateur Spécifiez le nom d'utilisateur d'un compte disposant de
l'autorisation pour ajouter des périphériques à l'entreprise.
Mot de passe
6.
Sur l'écran Installation terminée, cliquez sur Fermer.
7.
Dans la boîte de dialogue, cliquez sur Oui pour redémarrer ou éteindre le point
final.
L'installation de Full Disk Encryption est terminée lorsque le pre-boot s'affiche. Le
chiffrement du disque commence après le démarrage de Windows.
6-16
Que faire ensuite
Lorsque le pre-boot de Full Disk Encryption se charge, l'utilisateur doit ouvrir une
session avant d'avoir accès à Windows. Selon la configuration de la stratégie, il peut être
demandé à l'utilisateur de modifier le mot de passe après la connexion sur le point final.
Remarque
Pour plus d'informations sur la description et la gestion de l'agent Endpoint Encryption,
consultez le Manuel de l'administrateur Endpoint Encryption.
Installation de Encryption Management for Microsoft
BitLocker
Utilisez l'agent Encryption Management for Microsoft BitLocker pour sécuriser les
points finaux avec la protection par chiffrement complet de disques de Trend Micro
dans une infrastructure Windows existante.
Remarque
•
•
•
•
Remarque
Une fois installé, l'agent Endpoint Encryption est inactif jusqu'à ce que la stratégie pour
déchiffrer le périphérique Endpoint Encryption soit activée. L'agent Endpoint Encryption
redevient inactif si le chiffrement est désactivé ultérieurement.
6-17
Installation de l'agent Encryption Management for Microsoft
BitLocker
Une fois l'agent installé, le point final redémarre, dans le cas d'un chiffrement logiciel, ou
s'éteint, dans le cas d'un chiffrement matériel.
Remarque
Procédure
1.
2.
Exécutez TMFDEInstall_BL.exe.
Remarque
3.
Attendez le chargement du programme d'installation.
FIGURE 6-2. Installation du badge de chargement
Au bout d'un certain temps, l'écran de bienvenue dans l'installation s'affiche.
4.
6-18
OPTION
DESCRIPTION
Nom du serveur
configuration.
Entreprise
charge.
Mot de passe
5.
Cliquez sur Installer.
L'installation de Encryption Management for Microsoft BitLocker commence. Au
bout d'un certain temps, l'installation se termine et le programme d'installation se
ferme.
6.
Accédez à la barre d'état système et cliquez sur l'icône
Encryption Management for Microsoft BitLocker.
pour ouvrir l'agent
Remarque
Pour plus d'informations sur la description et la gestion de l'agent Endpoint
Encryption, consultez le Manuel de l'administrateur Endpoint Encryption.
Installation de Encryption Management for Apple FileVault
Utilisez l'agent Encryption Management for Apple FileVault pour sécuriser les points
finaux avec la protection par chiffrement complet de disques de Trend Micro dans une
6-19
Remarque
•
•
•
•
Installation de l'agent Encryption Management for Apple
FileVault Agent
Encryption Management for Apple FileVault peut être installé par l'administrateur de
groupe de PolicyServer, l'authentificateur ou par les comptes d'utilisateur standards.
Remarque
Procédure
1.
Exécutez TMFDEInstall_FV.exe.
L'image disque Trend Micro Full Disk Encryption s'affiche.
2.
Double-cliquez sur Trend Micro Full Disk Encryption.pkg pour
commencer l'installation.
L'assistant d'installation de Encryption Management for Apple FileVault se lance
pour commencer le processus d'installation de File Encryption.
3.
Dans l'écran Bienvenue, cliquez sur Continuer.
Le programme d'installation vérifie que la configuration système requise est
respectée.
4.
Si la configuration système requise est respectée, cliquez sur Installer.
5.
Sélectionnez le disque dur sur lequel installer cet agent.
6-20
6.
Spécifiez le nom d'utilisateur et le mot de passe d'un compte disposant de
l'autorisation d'installer des applications sur le point final, puis cliquez sur Installer
l'agent
7.
OPTION
DESCRIPTION
Nom du serveur
configuration.
Entreprise
charge.
Mot de passe
8.
Au bout d'un certain temps, l'installation d'Encryption Management for Apple
FileVault commence.
9.
Lorsque l'installation est terminée, cliquez sur Fermer pour redémarrer le point
final.
L'agent Encryption Management for Apple FileVault se lance immédiatement après
le redémarrage du point final.
10. Accédez à la barre de menu (
Encryption Management for Apple FileVault.
) pour ouvrir l'agent
Remarque
6-21
Création d'un compte mobile pour Active Directory sur Mac OS
Les comptes Mac OS locaux ou les comptes mobiles peuvent lancer le chiffrement sur
Mac OS X Mountain Lion ou supérieur. Les autres comptes d'utilisateur Mac OS ne
peuvent pas lancer le chiffrement.
Si un compte Mac OS autre qu'un compte local ou un compte mobile tente de lancer le
chiffrement, la modification suivante s'affiche :
La tâche suivante montre comment créer un compte mobile pour votre compte Mac OS
afin de contourner ce problème.
Procédure
1.
Accédez à Préférences système... dans le menu Apple.
La fenêtre Préférences système s'affiche.
2.
Sélectionnez Groupe d'utilisateurs dans la section Système.
3.
Cliquez sur l'icône de verrou dans le coin inférieur gauche.
4.
Cliquez sur Créer... en regard de Compte mobile.
5.
Dans les écrans suivants, sélectionnez des paramètres personnels et cliquez sur
Créer pour continuer d'un écran vers le suivant.
6.
Lorsque vous y êtes invité, saisissez votre mot de passe Active Directory et cliquez
sur OK.
6-22
Votre compte mobile a été créé. Vous pouvez maintenant utiliser ce compte
mobile pour lancer le chiffrement.
Déploiement de File Encryption
Cette section décrit l'installation de l'agent File Encryption. Utilisez File Encryption pour
protéger les fichiers et les dossiers se trouvant virtuellement sur tout périphérique
apparaissant comme disque sur le système d'exploitation hôte.
Remarque
Aperçu du déploiement de File Encryption
Procédure
1.
Activez File Encryption dans PolicyServer MMC.
2.
Configurez les stratégies de File Encryption :
6-23
a.
Clé de chiffrement utilisée
b.
Dossiers à chiffrer
c.
Utiliser un média amovible
d.
Méthode d'authentification
3.
Configurer les groupes et les utilisateurs.
4.
Créez et testez le pack d'installation dans un programme pilote.
Consultez la rubrique Déploiement du programme pilote d'Endpoint Encryption à la page
C-1.
5.
Vérifier que les paramètres de stratégies sont appliqués tes que définis.
a.
Définissez le dossier chiffré.
Consultez la section Dossier chiffré par File Encryption à la page 6-24.
b.
Définissez la clé de chiffrement.
Consultez la section Clé de chiffrement de File Encryption à la page 6-25.
c.
Définissez les stratégies de périphériques de stockage.
Consultez la section Protection des périphériques de stockage File Encryption à la page
6-26.
6.
Préparer les communications avec les utilisateurs finaux.
Consultez la section Communication à l'intention des utilisateurs finaux à la page B-12.
Dossier chiffré par File Encryption
File Encryption peut créer automatiquement des dossiers chiffrés sur les points finaux
sur lesquels l'agent File Encryption est installé. Les fichiers copiés dans un dossier
sécurisé sont automatiquement chiffrés. Par défaut, un dossier chiffré par File
Encryption est créé sur le bureau.
6-24
Le tableau suivant explique les exigences des stratégies pour configurer le dossier chiffré
par File Encryption. Selon la console d'administration utilisée, la configuration de la
stratégie est légèrement différente.
TABLEAU 6-3. Configuration de la stratégie du dossier chiffré
CONSOLE
Control Manager
Accédez à une stratégie nouvelle ou existante (Stratégies >
Gestion des stratégies) et développez File Encryption. Utilisez
Dossier à chiffrer pour créer des dossiers sécurisés sur le point
final.
PolicyServer MMC
•
Utilisez File Encryption > Chiffrement > Spécifier les
dossiers à chiffrer pour créer des dossiers sécurisés sur le
point final.
•
Utilisez File Encryption > Chiffrement > Support amovible
> Dossiers à chiffrer sur le support amovible pour créer
des dossiers sécurisés sur un périphérique de stockage USB.
Clé de chiffrement de File Encryption
La clé de chiffrement de File Encryption définit le niveau d'accès au dossier chiffré par
File Encryption.
•
Clé utilisateur : Seul l'utilisateur peut accéder au contenu chiffré.
•
Clé de groupe : Seuls les utilisateurs au sein de la même stratégie (Control
Manager) ou du même groupe (PolicyServer MMC) peuvent accéder au contenu.
•
Clé de l'entreprise : Seuls les utilisateurs d'Endpoint Encryption peuvent accéder
au contenu.
TABLEAU 6-4. Configurations des stratégies de clé de chiffrement
CONSOLE
Control Manager
Gestion des stratégies) et développez File Encryption. Utilisez
Clé de chiffrement utilisée pour définir la clé.
6-25
CONSOLE
PolicyServer MMC
•
Utilisez File Encryption > Chiffrement > Méthode de
chiffrement autorisée pour définir les clés disponibles
•
Utilisez File Encryption > Chiffrement > Clé de chiffrement
utilisée pour définir la clé
Protection des périphériques de stockage File Encryption
File Encryption peut protéger les fichiers d'un support amovible. Les options suivantes
sont disponibles :
•
Support amovible : Active la protection du périphérique de stockage USB.
•
Périphériques USB autorisés : Permet l'utilisation de n'importe quel périphérique
de stockage USB ou uniquement les périphériques KeyArmor.
•
Chiffrer entièrement le périphérique : Chiffre automatiquement tous les fichiers
copiés sur le périphérique de stockage USB.
•
Désactiver lecteur USB : Défini sur Toujours, Déconnecté ou Jamais.
TABLEAU 6-5. Configuration des stratégies des périphériques de stockage
CONSOLE
Control Manager
Gestion des stratégies) et développez File Encryption.
Définissez les stratégies dans la section Périphériques de
stockage.
PolicyServer MMC
Accédez à File Encryption > Chiffrement.
Installation de File Encryption
Utilisez File Encryption pour protéger les fichiers et les dossiers se trouvant
virtuellement sur tout périphérique apparaissant comme disque sur le système
d'exploitation hôte.
6-26
Remarque
•
•
•
•
Installation de l'agent File Encryption.
Le processus d'installation de File Encryption implique l'exécution d'un programme
d'installation sur le point final et le respect des instructions pas à pas.
Remarque
Procédure
1.
Exécutez FileEncryptionIns.exe
L'assistant d'installation de File Encryption s'affiche.
2.
Remarque
Si vous êtes invité par Contrôle de compte d'utilisateur, cliquez sur OUI.
Le programme d'installation de File Encryption se lance et installe
automatiquement l'agent.
3.
Attendez que l'agent File Encryption s'installe.
4.
Lorsque l'installation est terminée, cliquez sur Fermer.
5.
Cliquez sur Oui pour redémarrer Windows.
6-27
Le point final redémarre et File Encryption est installé. Deux icônes File
Encryption s'affichent : un raccourci sur le bureau et une icône sur la barre d'état
système. Une fois que le bureau est chargé, le lancement de l'agent peut prendre un
certain temps.
6.
Dans l'écran Connexion de File Encryption, spécifiez les paramètres suivants.
OPTION
DESCRIPTION
7.
Mot de passe
Nom du serveur
configuration.
Entreprise
charge.
Cliquez sur OK.
Remarque
Déploiements automatiques
L'exécution de scripts sur les installations est une opération plus courante pour les
déploiements à grande échelle à l'aide d'outils automatisés tels que Microsoft SMS ou
Active Directory. L'Assistant d'installation de ligne de commande (voir Assistant
d'installation de ligne de commande à la page 6-31 pour plus d'informations) est un outil
utilisé pour créer des scripts. Les arguments disponibles permettent des installations
entièrement ou partiellement silencieuses.
6-28
AVERTISSEMENT!
La configuration du système insuffisante ou la préparation de disque dur peuvent entraîner
une perte de données irréversible.
Déploiement des agents Endpoint Encryption à l'aide
d'OfficeScan
Pour les environnements qui utilisent OfficeScan, la méthode de déploiement la plus
efficace consiste à utiliser le plug-in Outil de déploiement de Trend Micro Endpoint
Encryption. Pour plus d'informations sur l'utilisation du plug-in, consultez la section
Intégration d'OfficeScan à la page 7-1.
Conditions requises pour les déploiements à l'aide de
scripts
•
Utilisez l'assistant de ligne de commande ou le programme d'installation de
l'assistant de ligne de commande pour construire le script
•
Exécutez le script à partir du point final, et non à partir d'un partage réseau ou un
périphérique USB
•
Logiciel de gestion du système : Tivoli, SCCM/SMS ou LANDesk
•
Exécutez les scripts d'installation en utilisant un compte d'administrateur local
•
Recommandation : testez les scripts d'installation sur un programme pilote avant le
déploiement de masse. Pour les recommandations relatives aux programmes
pilotes, consultez la section Déploiement du programme pilote d'Endpoint Encryption à la
page C-1
Arguments de script
Le tableau ci-dessous explique les arguments disponibles pour la construction de scripts
pour installer automatiquement les agents.
6-29
TABLEAU 6-6. Arguments de script Full Disk Encryption
VALEUR
ARGUMENT
REMARQUES
ENTERPRISE
Nom de l'entreprise
Nom de l'organisation.
hôte
Nom d'hôte DNS ou adresse IP
Nom ou emplacement du serveur
PolicyServer
USERNAME
•
Administrateur de groupe
•
Authentificateur de groupe
•
Utilisateur de groupe (si
l'installation permettre
l'activation de la stratégie)
PASSWORD
Mot de passe pour le nom
d'utilisateur spécifié
Il n'est pas possible d'utiliser un
compte d'administrateur
d'entreprise ou d'authentificateur
pour installer Full Disk Encryption
Mot de passe configuré dans
PolicyServer pour l'utilisateur ou
mot de passe de domaine
Remarque
Encryption Management for Microsoft BitLocker utilise le même script que Full Disk
Encryption.
TABLEAU 6-7. Arguments de script File Encryption
VALEUR
ARGUMENT
6-30
REMARQUES
PSENTERPRISE
Nom de l'entreprise
Nom de l'organisation.
PSHOST
Nom d'hôte DNS ou adresse IP
Le nom ou l'emplacement du
serveur PolicyServer.
FAUSERNAME
•
•
Authentificateur de groupe
•
Utilisateur de groupe (si
l'installation permettre
l'activation de la stratégie)
Il n'est pas possible d'utiliser un
compte d'administrateur
d'entreprise ou d'authentificateur
pour installer File Encryption
ARGUMENT
FAPASSWORD
VALEUR
Mot de passe pour le nom
d'utilisateur spécifié
REMARQUES
Mot de passe configuré dans
PolicyServer pour l'utilisateur ou
mot de passe de domaine
Aide de l'installateur de ligne de commande
Full Disk Encryption et File Encryption sont conformes aux outils automatisés de
distribution de logiciels comme SMS, SCCM, Tivoli, GPO et LANDesk. Utilisez
l'assistant du programme d'installation de la ligne de commande pour générer des scripts
utilisés pour installer un produit Trend Micro Endpoint Encryption. Des options
permettent de chiffrer et de masquer les informations de compte d'installation et de
sélectionner différentes options d'affichage de message. Les résultats de script sont
facilement copiés dans le presse-papiers pour l'exportation.
Remarque
L'installation de ligne de commande de PolicyServer est prise en charge dans les versions
3.1.2 et ultérieures.
Lorsque vous utilisez l'Assistant d'installation de ligne de commande :
•
N'exécutez les scripts d'installation que sur un point final, pas à partir du réseau.
•
Exécutez les scripts avec un compte d'administrateur local
•
Testez les scripts d'installation sur un programme pilote avant le déploiement de
masse
•
Passez en revue tous les éléments de la liste de contrôle de préinstallation de Full
Disk Encryption et File Encryption avant d'exécuter une distribution de masse de
logiciels
Création de scripts d'installation de l'agent
Les informations suivantes sont requises pour générer un script d'installation
silencieuse : Nom d'hôte ou adresse IP de PolicyServer, nom de l'entreprise, nom
d'utilisateur, mot de passe, chemin d'accès et numéro de version du programme
6-31
d'installation du client point final. L'aide du programme d'installation de la ligne de
commande est disponible dans le dossier Outils du répertoire d'installation.
Procédure
1.
Double-cliquez sur CommandLineInstallerHelper.exe.
L'écran Création de commandes s'affiche.
FIGURE 6-3. Programme d'installation de l'assistant de ligne de commande
2.
Spécifiez le nom du serveur PolicyServer (nom d'hôte), l'entreprise et le nom
d'utilisateur et le mot de passe de l'administrateur d'entreprise requis.
OPTION
DESCRIPTION
Nom du serveur
configuration.
Entreprise
charge.
Mot de passe
3.
Sélectionnez les options de chiffrement.
•
6-32
Nom d'utilisateur
•
Mot de passe
•
Nom d'hôte
•
Entreprise
•
Domaine
4.
Sélectionnez s'il faut envoyer une invite à l'utilisateur final ou effectuer une
installation silencieuse.
5.
Spécifiez les options héritées qui n'affectent que les versions plus anciennes de
l'agent Full Disk Encryption.
•
Autoriser à annuler : L'utilisateur final peut annuler l'installation
•
Supprimer le redémarrage : Le point final ne redémarre pas après
l'installation
•
Ouverture de session automatique : L'utilisateur est connecté
automatiquement lors de la connexion pré-amorçage de Full Disk Encryption
après l'installation de l'agent Full Disk Encryption et le redémarrage du point
final
6.
Spécifiez le chemin vers les fichiers d'installation.
7.
Cliquez sur Générer la commande.
Le script se génère.
8.
Cliquez sur le bouton approprié pour copier la commande.
Le script résultant est copié dans le presse-papiers.
9.
Copiez la commande dans le script d'installation.
Aide de ligne de commande
L'outil Aide de ligne de commande est utilisé pour créer des valeurs chiffrées pouvant
être utilisées pour sécuriser des informations d'identification lorsque vous écrivez un
script d'installation à déployer ou utilisez la connexion automatique DA. L'outil Aide de
ligne de commande se trouve dans le dossier des Outils.
6-33
Remarque
L'Aide de ligne de commande ne peut être exécutée que sur des systèmes sur lesquels des
produits Trend Micro Endpoint Encryption sont installés, étant donné qu'ils utilisent le
module cryptographique Mobile Armor.
L'outil Aide de ligne de commande accepte une chaîne unique comme argument et
renvoie une valeur chiffrée à utiliser dans le script d'installation. Les signes « = » de
début et de fin font partie de la chaîne chiffrée entière et doivent être inclus dans la ligne
de commande. Si la valeur est chiffrée et ne retourne pas de signe de début =, alors un
signe Égal doit être ajouté au script.
Des options permettent de chiffrer et de masquer les informations de compte
d'installation et en sélectionnant les différentes options rapides. Les résultats de script
sont facilement copiés dans le presse-papiers pour l'exportation.
TABLEAU 6-8. Arguments pour l'Aide de ligne de commande
ARGUMENTS
FONCTION
FULL DISK
ENCRYPTION
FULL DISK
ENCRYPTION CHIFFRÉ
FILE ENCRYPTION
Entreprise
ENTERPRISE
eENTERPRISE
PolicyServer
hôte
eHOST
PSHOST
Nom d'utilisateur
USERNAME
eUSERNAME
FAUSERNAME
Mot de passe
PASSWORD
ePASSWORD
FAPASSWORD
Remarque
Le programme d'installation de File Encryption prend automatiquement en charge les
valeurs chiffrées.
Exemple de script Full Disk Encryption
Une seule valeur peut être passée à l'Assistant de ligne de commande. Totuefois, elle
peut être exécutée autant de fois que nécessaire pour réunir toutes les valeurs chiffrées.
6-34
Emplacement du logiciel = C:\Program Files\Trend Micro\Full
Disk Encryption\TMFDEInstaller.exe
ENTREPRISE = MyCompany
HÔTE = PolicyServer.mycompany.com
eUSERNAME = GroupAdministrator
ePASSWORD = 123456
Remarque
Dans cet exemple, le nom d'utilisateur et le mot de passe sont chiffrés.
Où installer Full Disk Encryption :
C:\Program Files\Trend Micro\
Full Disk Encryption\TMFDEInstaller.exe
ENTERPRISE=MyCompany HOST= PolicyServer.mycompany.com
eUSERNAME==jJUJC/Lu4C/Uj7yYwxubYhAuCrY4f7AbVFp5hKo2PR4O
ePASSWORD==5mih67uKdy7T1VaN2ISWGQQ=
Exemple de script File Encryption
Voici un exemple de script d'installation pour installer File Encryption.
Emplacement du logiciel = C:\Program Files\Trend Micro\File
Encryption\FileEncryptionIns.exe
PSEnterprise = MyCompany
PSHost = PolicyServer.mycompany.com
FAUser = GroupAdministrator
FAPassword = 123456
Remarque
Dans cet exemple, le nom d'utilisateur ainsi que le mot de passe seront chiffrés.
6-35
Où installer File Encryption :
C:\Program Files\Trend Micro\
File Encryption\FileEncryptionIns.exe
PSEnterprise=MyCompany PSHost= PolicyServer.mycompany.com
FAUser==jJUJC/Lu4C/Uj7yYwxubYhAuCrY4f7AbVFp5hKo2PR4O=
FAPassword==5mih67uKdy7T1VaN2ISWGQQ=
Utilisation de l'aide de ligne de commande
Les administrateurs peuvent utiliser les outils Aide de ligne de commande et Connexion
automatique DA pour une gestion fluide des correctifs de Full Disk Encryption. L'aide
de ligne de commande permet de transmettre des valeurs chiffrées via le script
d'installation au pré-amorçage de Full Disk Encryption. La Connexion automatique
DA vous octroie un contournement à usage unique du pré-amorçage de Full Disk
Encryption.
Procédure
1.
Copiez CommandLineHelper.exe localement vers le dispositif sur lequel Full
Disk Encryption est installé.
Exemple : Copiez CommandLineHelper.exe sur le lecteur C:\.
2.
Ouvrez l'invite de commande et tapez C:\CommandLineHelper.exe, puis
spécifiez le nom d'utilisateur ou le mot de passe.
Par exemple, utilisez la commande suivante si le nom d'utilisateur est SMSUser :
C:\CommandLineHelper.exe SMSUser
3.
Appuyez sur ENTRÉE pour afficher la valeur chiffrée.
4.
Exécutez à nouveau l'aide de ligne de commande pour la deuxième valeur chiffrée.
Si le premier chiffrement concernait le nom d'utilisateur, exécutez une nouvelle fois
la commande pour chiffrer le mot de passe.
6-36
Mise à niveau
la plupart des versions actuelles.
AVERTISSEMENT!
Avant de mettre l'agent à niveau, veillez à mettre à niveau au préalable PolicyServer vers la
version 5.0 Patch 1. Les agents Endpoint Encryption 5.0 Patch 1 ne peuvent pas
communiquer avec PolicyServer 3.1.3 ou versions antérieures.
Mise à niveau d'Endpoint vers Windows 8
Endpoint Encryption ne prend pas en charge la mise à niveau vers Windows 8. Si une
mise à niveau est requise, Trend Micro recommande de suivre cette procédure afin
d'éviter la perte de données lorsque Full Disk Encryption ou File Encryption est déjà
installé sur l'agent.
Procédure
1.
Déchiffrez le point final.
Pour plus d'informations, consultez la section appropriée à cet agent dans le Manuel
de l'administrateur Endpoint Encryption.
2.
Désinstallez l'agent.
•
Pour utiliser OfficeScan, consultez la section Utilisation d'OfficeScan pour
désinstaller les agents Endpoint Encryption à la page 6-55.
6-37
3.
•
Pour désinstaller manuellement Full Disk Encryption, consultez la section
Désinstallation de Full Disk Encryption à la page 6-51.
•
Pour désinstaller manuellement File Encryption, consultez la section
Désinstallation de File Encryption à la page 6-54.
•
Pour désinstaller manuellement Encryption Management for Microsoft
BitLocker, consultez la section Désinstallation d'Encryption Management for
Microsoft BitLocker à la page 6-53.
Installez le système d'exploitation Windows 8.
Remarque
Cette documentation n'explique pas comment installer Windows 8. Pour obtenir des
instructions, consultez la documentation utilisateur associée de Microsoft.
4.
Vérifiez que l'environnement Windows 8 est stable et que la mise à niveau a réussi.
5.
Réinstallez les applications de l'agent :
•
Pour plus d'informations sur l'installation de Full Disk Encryption, consultez
la section Déploiement de Full Disk Encryption à la page 6-6.
•
Pour plus d'informations sur l'installation de File Encryption, consultez la
section Déploiement de File Encryption à la page 6-23.
Mise à niveau de Full Disk Encryption
Avant de commencer
•
Vérifiez Configuration système requise pour Full Disk Encryption à la page 2-9
•
Vérifier Chemins de mise à niveau à la page 3-25
Utilisez le programme d'installation de Full Disk Encryption pour mettre à niveau l'agent
à partir de Full Disk Encryption 3.1.3 SP1 vers Full Disk Encryption 5.0 Patch 1. Pour
les versions précédentes de Full Disk Encryption, consultez la documentation associée
disponible à l'adresse :
http://docs.trendmicro.com/fr-fr/enterprise/endpoint-encryption.aspx
6-38
Procédure
1.
2.
Exécutez TMFDEInstall.exe.
Remarque
Le message suivant s'affiche dans la barre d'état système.
3.
Attendez que la mise à niveau se termine.
4.
Dans la boîte de dialogue de confirmation, cliquez sur Oui pour redémarrer le
point final.
Remarque importante pour MobileArmor Full Disk
Encryption Product Service Pack 7 et les éléments cidessous
Lorsque vous effectuez une mise à niveau à partir de MobileArmor-branded Full Disk
Encryption agent Service Pack 6 et des versions précédentes :
•
Dans le BIOS, vérifiez que le contrôleur de disque est réglé sur le mode ATA ou
AHCI.
6-39
•
Pour les ordinateurs portables qui utilisent une station multi-baie, installez l'agent
uniquement lorsqu'ils ne sont pas connectés à la station.
Intel™Rapid Recovery Technology (IRRT) :
•
Certains nouveaux systèmes prennent l'IRRT en charge dans le BIOS.
•
Si le contrôleur de disque BIOS est configuré pour le mode IRRT, il devra être
modifié en mode AHCI avant l'installation de Full Disk Encryption.
•
IRRT doit être prise en charge par le système d'exploitation.
Logiciel Intel™Matrix Manager :
•
Par défaut, Windows XP ne possède pas d'installation du logiciel Intel Matrix
Manager. Les paramètres doivent être faits dans le BIOS, sans une reconstruction
de système d'exploitation.
•
Windows Vista dispose d'un logiciel Intel Matrix Manager par défaut.
Remarque
Si le paramètre de fonctionnement SATA de Windows Vista est modifié et que Full
Disk Encryption est installé, Windows ne démarrera pas. Revenez à IRRT et Vista se
chargera normalement.
Mise à niveau de File Encryption
Avant de commencer
•
Vérifiez Configuration système requise pour File Encryption à la page 2-13
•
Vérifier Chemins de mise à niveau à la page 3-25
Utilisez FileEncryptionIns.exe pour mettre à niveau l'agent à partir d'une version
précédente.
Remarque
FileEncryptionIns.exe remplace la stratégie Autoriser l'utilisateur à désinstaller et
effectue les mises à niveau, que la stratégie soit définie sur Oui ou sur Non.
6-40
Procédure
1.
Exécutez FileEncryptionIns.exe.
Le programme d'installation de Windows désinstalle l'ancien agent File Encryption
(FileArmor), puis installe File Encryption 5.0 Patch 1.
2.
Attendez que le point final redémarre.
3.
Une fois Windows chargé, ouvrez une session et vérifiez le nouveau dossier File
Encryption. Les fichiers et dossiers chiffrés sont inchangés.
Mise à niveau d'Encryption Management for Apple
FileVault
Le processus de mise à niveau est identique à celui de l'installation. Assurez-vous de
disposer des informations PolicyServer disponibles.
Procédure
•
Effectuez Installation de l'agent Encryption Management for Apple FileVault Agent à la page
6-20.
Mise à niveau d'Encryption Management for Microsoft
BitLocker
Procédure
1.
Effectuez Désinstallation d'Encryption Management for Microsoft BitLocker à la page 6-53.
2.
Attendez que le déchiffrement du point final se termine. L'utilisateur peut utiliser le
point final comme d'habitude.
3.
Configurez Encryption Management for Microsoft BitLocker dans la section
Installation de l'agent Encryption Management for Microsoft BitLocker à la page 6-18.
6-41
Migration
Les administrateurs peuvent avoir besoin de migrer les périphériques Endpoint
Encryption lorsque les employés changent de département ou d'emplacement de bureau.
Une instance unique de PolicyServer peut avoir plusieurs configurations d'entreprise
représentant chacune une unité commerciale ou un département.
Un déplacement vers une nouvelle entreprise supprime le périphérique Endpoint
Encryption de l'ancienne entreprise et l'ajoute à la nouvelle entreprise au sein de la
même instance de PolicyServer.
Le déplacement vers un nouveau serveur PolicyServer ne supprime pas le périphérique
Endpoint Encryption de l'ancien serveur PolicyServer mais modifie la configuration
réseau dans l'agent Endpoint Encryption pour qu'il pointe vers la nouvelle instance de
PolicyServer.
Remplacement d'un produit de chiffrement
précédemment installé
Full Disk Encryption peut être installé sur un périphérique précédemment chiffré par un
autre produit de chiffrement de disque complet. Étant donné que la plupart des logiciels
de chiffrement affectent chaque secteur d'un disque dur, il est essentiel de tester le
processus de préparation de disque et la stratégie de déploiement. En fonction du temps
requis pour déchiffrer un périphérique et effectuer le chiffrement à l'aide de Full Disk
Encryption, cela peut être aussi simple que la sauvegarde des données utilisateur et la
nouvelle création d'une image du point final avant d'installer Full Disk Encryption.
Option n°1 : Supprimer le produit de chiffrement précédent
Procédure
1.
Déchiffrez le disque en utilisant la méthode définie par le vendeur du logiciel.
2.
Désinstallez le logiciel précédemment installé (ou vérifiez que BitLocker est
désactivé).
3.
6-42
4.
Exécutez chkdsk et défragmentez le lecteur.
5.
Vérifiez la présence, sur chaque dispositif, d'un Master Boot Record (MBR) normal
et confirmez qu'un secteur de démarrage normal est présent sur la partition de
démarrage.
Remarque
Le dispositif ne doit pas fonctionner avec un double démarrage.
6.
Sauvegardez les fichiers de l'utilisateur
7.
Installez Full Disk Encryption. Pour plus d’informations, consultez la section
Installation de Full Disk Encryption à la page 6-12.
Option n°2 : Sauvegardez le point final dans un format
d'image ISO ou similaire
Procédure
1.
Sauvegardez les fichiers de l'utilisateur.
2.
Renouvelez l'image du lecteur :
a.
À partir d'une invite de commande, exécutez DiskPart Clean All.
b.
Créez une partition.
c.
Formatez le lecteur.
d.
Créez une image du lecteur.
3.
Installez Full Disk Encryption et chiffrez le point final.
4.
Restaurez les fichiers de l'utilisateur.
Paramètres de Full Disk Encryption PolicyServer
Les paramètres du serveur PolicyServer de Full Disk Encryption peuvent être configurés
en accédant à la console de restauration à partir du pre-boot de Full Disk Encryption ou
6-43
en exécutant C:\Program Files\Trend Micro\Full Disk Encryption
\RecoveryConsole.exe.
Configuration requise pour la console de restauration
Utilisez la console de restauration de Full Disk Encryption pour modifier les paramètres
de PolicyServer.
Accès à la console de restauration à partir du pre-boot de Full
Disk Encryption
Seuls les comptes d'administrateur de l'entreprise ou du groupe et les comptes
d'authentificateur peuvent accéder à la console de restauration.
Procédure
1.
Pour autoriser les utilisateurs à accéder à la console de restauration, activez la
stratégie suivante :
Full Disk Encryption > Agent > Autoriser la restauration d'un utilisateur
2.
Redémarrez le point final.
Le pré-amorçage de Full Disk Encryption s'affiche.
3.
Cochez la case Console de restauration.
4.
Spécifiez les informations d'identification du compte d'utilisateur d'Endpoint
Encryption.
5.
Cliquez sur Connexion.
La console de restauration s'ouvre.
Accès à la Console de restauration à partir de Windows
Procédure
1.
6-44
Sous Windows, accédez au répertoire d'installation de Full Disk Encryption.
L'emplacement par défaut est C:\Program Files\Trend Micro\Full Disk
Encryption\.
2.
Ouvrez RecoveryConsole.exe.
La fenêtre Console de restauration s'affiche.
3.
Spécifiez le nom d'utilisateur et le mot de passe d'utilisateur d'Endpoint
Encryption, puis cliquez sur Connexion.
La Console de restauration s'ouvre à la page Déchiffrer le disque.
Migration de Full Disk Encryption vers une nouvelle
entreprise
Une instance unique de PolicyServer peut avoir plusieurs configurations d'entreprise
représentant chacune une unité commerciale ou un département. Un déplacement vers
une nouvelle entreprise supprime le périphérique Endpoint Encryption de l'ancienne
entreprise et l'ajoute à la nouvelle entreprise au sein de la même instance de
PolicyServer. L'agent Full Disk Encryption peut nécessiter un déplacement vers une
nouvelle entreprise lorsque les employés changent de département ou d'emplacement de
bureau.
Remarque
Pour plus d'informations sur la modification de l'instance de PolicyServer qui gère l'agent
Full Disk Encryption, consultez la section Modification du serveur PolicyServer de Full Disk
Encryption à la page 6-47.
La modification de l'entreprise nécessite un accès à la console de restauration de Full Disk
Encryption. Pour plus d'informations, consultez la section Paramètres de Full Disk Encryption
AVERTISSEMENT!
La modification de l'entreprise exige une nouvelle configuration des stratégies, la recréation
des groupes et la suppression de tous les mots de passe mis en cache, de l'historique des
mots de passe et des journaux d'audits.
6-45
Procédure
1.
Cliquez sur Configuration réseau.
2.
Sélectionnez l'onglet PolicyServer.
3.
Cliquez sur Modifier l'entreprise.
L'écran Modifier l'entreprise s'affiche.
FIGURE 6-4. Écran Modifier l'entreprise de la console de restauration.
4.
Configurez les options suivantes :
OPTION
Nouvel utilisateur
serveur
6-46
DESCRIPTION
Spécifiez un nom d'utilisateur de compte d'administrateur
de l'entreprise ou le nom d'utilisateur d'un compte disposant
de l'autorisation pour installer l'entreprise ou le groupe sur
le nouveau serveur PolicyServer.
OPTION
5.
DESCRIPTION
Nouveau mot de
passe utilisateur
Spécifiez le mot de passe du compte d'administrateur de
l'entreprise.
Nouvelle adresse
serveur
Spécifiez la nouvelle adresse IP ou le nouveau nom d'hôte
du serveur PolicyServer.
Nouvelle entreprise
Spécifiez la nouvelle entreprise du serveur PolicyServer.
Full Disk Encryption valide les nouvelles informations de PolicyServer.
6.
Cliquez sur OK dans le message de confirmation.
Migration de points finaux vers un nouveau serveur
PolicyServer
Cette section explique comment modifier le serveur PolicyServer qui contrôle les
stratégies d'un agent Endpoint Encryption. L'agent Endpoint Encryption peut avoir
besoin de migrer vers un serveur PolicyServer différent si le point final se déplace vers
un autre département géré par une instance de PolicyServer différente ou lorsqu'il existe
des facteurs réseau qui exigent que le serveur PolicyServer modifie son adresse IP ou
son nom d'hôte. Après la migration vers le nouveau serveur PolicyServer, le point final
s'enregistre en tant que nouveau périphérique Endpoint Encryption dans la nouvelle
base de données PolicyServer et le périphérique Endpoint Encryption enregistré
précédemment est supprimé de l'ancienne base de données PolicyServer.
Modification du serveur PolicyServer de Full Disk
Encryption
Pour plus d'informations sur les raisons pour lesquelles les agents Endpoint Encryption
peuvent nécessiter de modifier le serveur PolicyServer qui gère les stratégies, consultez la
section Migration de points finaux vers un nouveau serveur PolicyServer à la page 6-47.
6-47
Remarque
La modification du serveur PolicyServer nécessite un accès à la console de restauration de
Full Disk Encryption. Pour plus d'informations, consultez la section Paramètres de Full Disk
Encryption PolicyServer à la page 6-43.
Procédure
1.
Dans la console de restauration de Full Disk Encryption, cliquez sur l'onglet
PolicyServer.
2.
Cliquez sur Modifier le serveur.
3.
Lorsqu'un message d'avertissement s'affiche, cliquez sur Oui.
4.
Spécifiez la nouvelle adresse du serveur.
5.
Modification du serveur Encryption Management for Apple
FileVault
Procédure
1.
Désinstallation de l'agent Encryption Management for Apple FileVault agent.
Consultez la section Désinstallation d'Encryption Management for Apple FileVault à la
page 6-52.
2.
Attendez que le déchiffrement du disque dur se termine. L'utilisateur peut utiliser le
3.
Supprimez le périphérique de l'ancien serveur PolicyServer.
a.
6-48
b.
Effectuez un clic droit sur le périphérique Endpoint Encryption, puis
sélectionnez Supprimer un périphérique.
c.
Cliquez sur Oui pour confirmer.
Pour plus d'informations sur la suppression des périphériques Endpoint
4.
Suivez les nouvelles instructions d'installation pour réinstaller Encryption
Management for Apple FileVault dans la section Installation de l'agent Encryption
Management for Apple FileVault Agent à la page 6-20. Veillez à indiquer les nouvelles
informations d'identification du serveur PolicyServer.
5.
Pour confirmer la migration, accédez aux widgets des périphériques Endpoint
Encryption de Control Manager ou connectez-vous à la session PolicyServer MMC
qui gère le nouveau serveur PolicyServer.
Modification du serveur PolicyServer de Encryption
Management for Microsoft BitLocker
Procédure
1.
Désinstallation de l'agent Encryption Management for Microsoft BitLocker.
Consultez la section Désinstallation d'Encryption Management for Microsoft BitLocker à la
page 6-53.
2.
Attendez que le déchiffrement du disque dur se termine. L'utilisateur peut utiliser le
3.
Supprimez le périphérique de l'ancien serveur PolicyServer.
a.
b.
Effectuez un clic droit sur le périphérique Endpoint Encryption, puis
sélectionnez Supprimer un périphérique.
6-49
c.
Cliquez sur Oui pour confirmer.
Pour plus d'informations sur la suppression des périphériques Endpoint
4.
Suivez les nouvelles instructions d'installation pour réinstallerEncryption
Management for Microsoft BitLocker dans la section Installation de l'agent Encryption
Management for Microsoft BitLocker à la page 6-18.Veillez à indiquer les nouvelles
informations d'identification du serveur PolicyServer.
5.
Pour confirmer la migration, accédez aux widgets des périphériques Endpoint
Encryption de Control Manager ou connectez-vous à la session PolicyServer MMC
qui gère le nouveau serveur PolicyServer.
Modification du serveur PolicyServer de File Encryption
Procédure
1.
Effectuez un clic droit sur l'icône de File Encryption dans la barre d'état système et
sélectionnez À propos de File Encryption.
2.
Cliquez sur Modifier PolicyServer.
3.
Indiquez la nouvelle adresse IP ou le nom d'hôte du serveur PolicyServer, puis
cliquez sur OK.
Désinstallation
Pendant une mise à niveau, certains agents Endpoint Encryption nécessitent au
préalable une désinstallation manuelle de l'ancien logiciel agent Endpoint Encryption. Si
le logiciel agent Endpoint Encryption ne fonctionne pas correctement d'une manière ou
d'une autre, la désinstallation puis la réinstallation du logiciel de l'agent Endpoint
Encryption peut résoudre le problème.
6-50
La section suivante explique comment désinstaller manuellement le logiciel agent
Endpoint Encryption ou utiliser OfficeScan pour déployer la commande de
désinstallation simultanément sur plusieurs points finaux gérés.
Désinstallation manuelle des agents Endpoint Encryption
La section suivante explique comment désinstaller manuellement des agents Endpoint
Encryption à l'aide du programme d'installation. La désinstallation du logiciel agent
Endpoint Encryption peut être une étape nécessaire pour résoudre un problème ou
mettre à jour le logiciel agent Endpoint Encryption.
Désinstallation de Full Disk Encryption
Encryption peut résoudre le problème.
Remarque
Pour désinstaller les agents Endpoint Encryption, le compte d'utilisateur doit disposer des
droits de désinstallation au sein du groupe ou de la stratégie où sont enregistrés les
périphériques Endpoint Encryption ainsi que des droits d'administrateur local Windows.
Conseil
Tout utilisateur ou authentificateur de groupe peut exécuter le programme de
désinstallation sous Windows si la stratégie Full Disk Encryption > Agent > Autoriser
l'utilisateur à désinstaller est définie sur Oui.
Procédure
1.
Connectez-vous au pré-amorçage de Full Disk Encryption, puis sous Windows.
2.
Sous Windows, accédez à C:\Program Files\Trend Micro\Full Disk
Encryption et exécutez TMFDEUninstall.exe.
6-51
Remarque
Si vous êtes invité par Contrôle de compte d'utilisateur, cliquez sur OUI.
Le programme de désinstallation de Full Disk Encryption s'ouvre.
3.
La désinstallation de Full Disk Encryption démarre.
4.
Cliquez sur OK pour confirmer le déchiffrement du disque dur.
Remarque
Pour afficher l'état de déchiffrement, ouvrez Full Disk Encryption à partir de la barre
d'état système.
5.
Lorsque le déchiffrement se termine, cliquez sur OK.
6.
Exécutez TMFDEUninstall.exe à nouveau pour terminer la désinstallation.
7.
Remarque
L'enregistrement du dispositif n'est pas automatiquement supprimé et devra être
manuellement supprimé du serveur PolicyServer.
Désinstallation d'Encryption Management for Apple
FileVault
La désinstallation de l'agent Encryption Management for Apple FileVault nécessite un
accès au shell Terminal de Mac OS X.
Pour plus d'informations sur l'installation de Encryption Management for Apple
FileVault, consultez la section Installation de Encryption Management for Apple FileVault à la
page 6-19.
6-52
Remarque
Conseil
Procédure
1.
Accédez à Applications > Utilitaires et double-cliquez sur Terminal.
La fenêtre Terminal s'affiche.
2.
Tapez cd /Library/Application Support/TrendMicro/FDEMM
3.
Tapez sudo ./Uninstaller
L'agent se désinstalle en arrière-plan.
4.
Redémarrez le point final pour terminer la désinstallation.
Désinstallation d'Encryption Management for Microsoft
BitLocker
Utilisez Ajout/Suppression de programmes de Windows pour désinstaller l'agent.
Encryption Management for Microsoft BitLocker.
Remarque
6-53
Conseil
Procédure
1.
Accédez à Démarrer > Paramètres > Panneau de configuration > Ajout/
Suppression de programmes
La fenêtre Ajout/Suppression de programmes s'affiche.
2.
Sélectionnez Encryption Management for Microsoft BitLocker dans la liste des
programmes installés.
3.
4.
Dans le message Ajout/Suppression de programmes, cliquez sur Oui pour
confirmer.
Le processus de désinstallation s'achève lorsque le programme est supprimé de la liste.
Désinstallation de File Encryption
Utilisez Ajout/Suppression de programmes de Windows pour désinstaller File
Encryption.
Remarque
Conseil
6-54
Remarque
•
Définissez Stratégies > File Encryption > Ordinateur > Autoriser l'utilisateur à
désinstaller sur Oui pour permettre à tout utilisateur ou authentificateur de groupes
d'exécuter le programme de désinstallation sous Windows.
•
Enregistrez et fermez tous les documents avant de démarrer le processus de
désinstallation. Un redémarrage est requis lorsque le programme de désinstallation est
terminé.
AVERTISSEMENT!
Déchiffrez tous les fichiers chiffrés avant de désinstaller File Encryption. Si vous ne le
faites pas, les fichiers ne seront plus lisibles.
Procédure
1.
Connectez-vous à File Encryption avec un compte disposant de l'autorisation de
désinstaller File Encryption.
2.
Ouvrez le Menu Démarrer de Windows et accédez à Panneau de
configuration > Programmes > Désinstaller un programme.
3.
Sélectionnez File Encryption dans la liste, puis cliquez sur Désinstaller.
Utilisation d'OfficeScan pour désinstaller les agents
Endpoint Encryption
Encryption peut résoudre le problème. Cette procédure explique comment désinstaller
les agents Endpoint Encryption à l'aide du plug-in Outil de déploiement d'Endpoint
Encryption d'OfficeScan.
6-55
Procédure
1.
Sélectionnez le périphérique Endpoint Encryption.
Remarque
Pour sélectionner plusieurs périphériques Endpoint Encryption, maintenez enfoncée
la touche MAJ et sélectionnez les points finaux applicables.
2.
Cliquez sur Désinstaller et sélectionnez l'agent Endpoint Encryption approprié
dans la liste déroulante.
3.
Cliquez sur OK pour confirmer le déploiement.
La commande de désinstallation de l'agent Endpoint Encryption est déployée.
4.
La désinstallation de l'agent est terminée quand OfficeScan affiche le message de
confirmation.
Remarque
Toutes les commandes de déploiement ultérieures échouent si le périphérique
Endpoint Encryption n'est pas redémarré après le lancement de la commande de
désinstallation et l'achèvement de celle-ci. Si la désinstallation ne peut pas s'achever,
suivez le processus de désinstallation manuel de la section Désinstallation à la page 6-50.
Lorsque la désinstallation se termine, l'agent Endpoint Encryption est supprimé et le
dossier du produit est supprimé du point final.
6-56
Chapitre 7
Le contenu suivant explique comment utiliser l'outil de déploiement d'Endpoint
Encryption Plug-in OfficeScan pour déployer Endpoint Encryption au sein d'une
entreprise avec des points finaux gérés par OfficeScan.
•
À propos de l'intégration de Trend Micro OfficeScan à la page 3-8
•
Installation d'OfficeScan à la page 7-3
•
À propos de Plug-in Manager à la page 7-4
•
Installation des outils de déploiement d'Endpoint Encryption à la page 7-5
•
Gestion des plug-ins à la page 7-7
•
Utilisation des programmes plug-in à la page 7-7
•
Gestion de l'arborescence des agents à la page 7-10
•
Déploiement des agents Endpoint Encryption à la page 7-12
7-1
À propos de l'intégration de Trend Micro
OfficeScan
vers chaque agent.
Remarque
Pour plus d'informations sur OfficeScan, consultez la documentation appropriée à
l'adresse :
7-2
Installation d'OfficeScan
Pour plus d'informations sur l'installation et la configuration d'OfficeScan, consultez la
Pour plus d'informations sur l'installation et la configuration de l'outil de déploiement
d'OfficeScan Endpoint Encryption avant de déployer les agents Endpoint Encryption,
7-3
consultez le Guide d'installation et de migration d'Endpoint Encryption pour l'installation et les
options de configuration.
À propos de Plug-in Manager
OfficeScan comporte une structure appelée Plug-in Manager qui intègre de nouvelles
solutions dans l'environnement OfficeScan existant. Afin de faciliter la gestion de ces
solutions, Plug-in Manager permet de voir en un coup d'œil les données correspondant
aux solutions, sous forme de widgets.
Remarque
Actuellement, aucune des solutions de plug-in ne prend en charge IPv6. Le serveur peut
télécharger ces solutions mais ne peut pas les déployer sur des agents Endpoint Encryption
IPv6 purs ou des hôtes IPv6 purs.
Plug-in Manager fournit deux types de solutions :
•
Fonctions natives du produit
Certaines fonctions natives d'OfficeScan possèdent une licence séparée et sont
activées via Plug-in Manager. Dans cette version, deux fonctions entrent dans cette
catégorie, respectivement Trend Micro Virtual Desktop Support et Protection
des données OfficeScan.
•
Programmes plug-in
Les programmes de plug-in ne font pas partie du programme OfficeScan. Les
plugiciels ont des licences et des consoles d'administration séparées. Accédez aux
consoles d'administration depuis la console Web OfficeScan. Intrusion Defense
Firewall, Sécurité Trend Micro (pour Mac), et Trend Micro Mobile Security
sont des exemples de plugiciels.
Ce document fournit une présentation générale de l'installation et de la gestion des plugins et aborde les données relatives aux plug-ins disponibles dans les widgets. Reportezvous à la documentation du plugiciel spécifique pour plus d'informations sur la
configuration et la gestion du programme.
7-4
Installation des outils de déploiement
Les plugiciels s'affichent dans la console de Plug-in Manager Utilisez la console pour
télécharger, installer et gérer les programmes. Plug-In Manager télécharge le pack
d'installation du plugiciel à partir du serveur Trend Micro ActiveUpdate ou d'une source
de mise à jour personnalisée, si une source a été correctement configurée. Une
connexion Internet est nécessaire pour télécharger le pack depuis le serveur
ActiveUpdate.
Lorsque Plug-in Manager télécharge un pack d'installation ou lance une installation, les
fonctions des autres plugiciels (téléchargements, installations et mises à niveau) sont
temporairement désactivées.
Plug-in Manager ne prend pas en charge l'installation et la gestion d'un plugiciel via la
fonction d'authentification unique de Trend Micro Control Manager.
Installation de l'outil de déploiement d'Endpoint
Encryption
Procédure
1.
Ouvrez OfficeScan Web Console, puis cliquez sur Plug-in Manager dans le menu
principal.
2.
Sur l'écran Plug-in Manager, accédez à la section des plugiciels et cliquez sur
Télécharger.
La taille du pack du plugiciel s'affiche en regard du bouton Télécharger. .
Surveillez la progression ou naviguez dans une autre fenêtre pendant le
téléchargement.
7-5
Remarque
Si OfficeScan rencontre des problèmes lors du téléchargement ou de l'installation du
pack, consultez les journaux de mise à jour du serveur sur la console Web
d'OfficeScan. Dans le menu principal, cliquez sur Journaux > de mise à jour du
serveur.
3.
Cliquez sur Installer maintenant ou Installer plus tard.
•
Après avoir cliqué sur Installer maintenant, l'installation commence et un
écran de progression de l'installation s'affiche.
•
Après avoir cliqué sur Installer ultérieurement, l'écran Plug-in Manager
s'affiche.
Installez le plugiciel en cliquant sur le bouton Installer situé dans la section
des plugiciels dans l'écran Plug-in Manager.
L'écran Contrat de licence de l'utilisateur Trend Micro s'affiche.
Remarque
Les plugiciels ne nécessitent pas tous cet écran. Si cet écran ne s'affiche pas,
l'installation du plugiciel commence.
4.
Cliquez J'accepte pour installer le plugiciel.
Surveillez la progression ou naviguez dans une autre fenêtre pendant l'installation.
Remarque
serveur.
Une fois l'installation terminée, la version du actuelle du plugiciel s'affiche sur l'écran
Plug-in Manager.
7-6
Gestion des plug-ins
Configurez les paramètres et réalisez des tâches relatives à la console d'administration
des plug-ins, accessible depuis la console Web OfficeScan. Ces tâches comprennent
notamment l'activation du programme et le déploiement éventuel de l'agent du plugiciel
sur les points finaux. Consultez la documentation spécifique du plug-in pour plus
d'informations sur la configuration et la gestion du programme.
Gestion de l'outil de déploiement d'Endpoint Encryption
Procédure
1.
principal.
2.
Gestion de programme.
Utilisation des programmes plug-in
Cette section décrit comment installer et gérer le plugiciel Outil de déploiement
d'OfficeScan Endpoint Encryption.
Gestion des plug-ins
Configurez les paramètres et réalisez des tâches relatives à la console d'administration
des plug-ins, accessible depuis la console Web OfficeScan. Ces tâches comprennent
notamment l'activation du programme et le déploiement éventuel de l'agent du plugiciel
sur les points finaux. Consultez la documentation spécifique du plug-in pour plus
d'informations sur la configuration et la gestion du programme.
7-7
Gestion de l'outil de déploiement d'Endpoint Encryption
Procédure
1.
principal.
2.
Gestion de programme.
Mises à niveau de l'outil de déploiement d'Endpoint
Encryption
La nouvelle version d'un plug-in installé s'affiche dans la console de Plug-in Manager.
Téléchargez le pack et mettez à niveau le plugiciel sur la console. Plug-in Manager
télécharge les packs des plugiciels à partir du serveur ActiveUpdate de Trend Micro ou
d'une source de mise à jour personnalisée, si une source a été correctement configurée.
Une connexion Internet est nécessaire pour télécharger le pack depuis le serveur
ActiveUpdate.
Lorsque Plug-in Manager télécharge un pack d'installation ou démarre une mise à
niveau, il désactive temporairement les autres fonctions des plugiciels, telles que
téléchargements, installations et mises à niveau.
Plug-in Manager ne prend pas en charge la mise à niveau de plugiciels via la fonction
d'authentification unique de Trend Micro Control Manager.
Mise à niveau de l'outil de déploiement d'Endpoint
Encryption
Procédure
7-8
1.
principal.
2.
Télécharger.
La taille du pack de mise à niveau s'affiche en regard du bouton Télécharger.
3.
Surveillez la progression du téléchargement.
Il est possible de naviguer vers un autre écran pendant le téléchargement, sans
incidence sur la mise à niveau.
Remarque
serveur.
4.
Après que Plug-in Manager a terminé le téléchargement du pack, un nouvelle
fenêtre s'affiche.
Une fois la mise à niveau terminée, un redémarrage du service Plug-in Manager sera
peut-être nécessaire, provoquant l'indisponibilité momentanée de l'écran Plug-in
Manager. Lorsque l'écran redevient disponible, la version actuelle du plugiciel s'affiche.
Désinstallation de l'outil de déploiement d'Endpoint
Encryption
Désinstallez un plugiciel selon les méthodes suivantes :
•
Désinstallation du plug-in à partir de la console Plug-in Manager.
•
Désinstallation du serveur OfficeScan, ce qui désinstalle Plug-in Manager et tous
les plugiciels installés. Pour obtenir des instructions sur la désinstallation du serveur
OfficeScan, consultez le Guide d'installation et de mise à niveau OfficeScan.
7-9
Désinstallation de l'outil de déploiement de Trend Micro
Endpoint Encryption à partir de la console de Plug-in
Manager
Procédure
1.
principal.
2.
Sur l'écran Plug-in Manager, accédez à la section des plugiciels, puis cliquez sur
Désinstaller.
3.
Surveillez la progression de la désinstallation ou naviguez dans une autre fenêtre
pendant la désinstallation.
4.
Actualisez l'écran Plug-in Manager après la désinstallation.
Le plug-in est à nouveau prêt à être installé.
Gestion de l'arborescence des agents
Arborescence des agents OfficeScan
L'arborescence des agents OfficeScan affiche tous les agents regroupés dans les
domaines que le serveur gère actuellement. Les agents sont regroupés en domaines afin
de vous permettre de configurer, gérer et appliquer simultanément la même
configuration pour tous les membres du domaine.
Tâches spécifiques dans l'arborescence des agents
L'arborescence des agents s'affiche lorsque vous accédez à certains écrans de la console
Web. Des éléments de menu propres à l'écran auquel vous avez accédé apparaissent audessus de l'arborescence des agents. Ils vous permettent de réaliser certaines tâches, par
exemple la configuration des paramètres des agents ou l'initialisation des tâches des
7-10
agents. Pour effectuer une tâche quelconque, commencez par sélectionner la cible de la
tâche, puis sélectionnez un élément de menu.
L'arborescence des agents fournit un accès aux fonctions suivantes :
•
Rechercher des points finaux : Recherchez des points finaux en entrant les
critères de recherche dans la zone de texte.
•
Synchroniser avec OfficeScan : Synchronisez l'arborescence des agents des
plugiciels avec l'arborescence des agents du serveur OfficeScan. Pour obtenir des
informations détaillées, voir Synchronisation de l'arborescence des agents à la page 7-11.
•
Paramètres de déploiement : Affiche l'écran Paramètres de déploiement. Pour
obtenir des informations détaillées, consultez la section Déploiement des paramètres du
serveur à la page 7-12.
Les administrateurs peuvent également rechercher manuellement des points finaux ou
des domaines dans l'arborescence des agents. Des informations propres à un ordinateur
s'affichent dans le tableau à la droite de .
Synchronisation de l'arborescence des agents
Avant que le plugiciel ne puissent déployer les paramètres vers les agents, les
administrateurs doivent synchroniser l'arborescence des agents avec le serveur
OfficeScan.
Procédure
1.
Ouvrez la console des plug-ins.
2.
Dans l'écran Gestion des clients, cliquez sur Synchroniser avec OfficeScan.
Un message de confirmation apparaît.
3.
Patientez quelques instants pour que la synchronisation se termine.
4.
Cliquez sur Fermer pour revenir à l'écran Gestion des clients.
7-11
Déploiement des paramètres du serveur
Configurez et déployez les paramètres du serveur PolicyServer pour assurer la
communication entre les agents et PolicyServer.
Procédure
1.
Ouvrez la console des plugiciels.
2.
Cliquez sur l'onglet Paramètres PolicyServer.
3.
Spécifiez les détails suivants :
4.
OPTION
DESCRIPTION
Nom du serveur
Spécifiez l'adresse IP ou le nom d'hôte du serveur PolicyServer.
Port
Spécifiez le numéro de port attribué à l'instance de PolicyServer.
Entreprise
Spécifiez l'entreprise du serveur PolicyServer. Seule une
entreprise est prise en charge.
Nom d'utilisateur
Spécifiez le nom d'utilisateur de l'administrateur de l'entreprise.
Mot de passe
Spécifiez le mot de passe de l'administrateur de l'entreprise.
Un message de confirmation apparaît. Patienter jusqu'à l'établissement d'une
connexion au serveur.
Cette section décrit comment utiliser le plug-in Outil de déploiement d'Endpoint
Encryption pour lancer les commandes d'installation et de désinstallation de l'agent.
7-12
L'illustration suivante montre l'outil de déploiement d'Endpoint Encryption Écran
Gestion des clients.
FIGURE 7-2. Outils de déploiement d'Endpoint Encryption
Déploiement de l'agent avec OfficeScan
Avant de déployer des agents, assurez-vous que les points finaux satisfont à la
configuration minimale requise. Pour plus d'informations, consultez la section
Configuration système requise à la page 2-1.
Procédure
1.
Sélectionnez le point final dans l'arborescence des clients.
Remarque
Pour sélectionner plusieurs points finaux, maintenez enfoncée la touche CTRL et
sélectionnez les points finaux applicables.
7-13
2.
Cliquez sur Installer, puis sélectionnez l'une des options suivantes :
OPTION
Full Disk
Encryption
DESCRIPTION
Sélectionnez les agents Full Disk Encryption appropriés.
•
Sélectionnez l'agent Full Disk Encryption pour déployer toutes
les fonctionnalités, notamment l'authentification de préamorçage, toutes les stratégies, les notifications et les actions
sur les périphériques.
•
Sélectionnez l'agent Encryption Management for Microsoft
BitLocker pour activer le chiffrement de disque complet de
Microsoft BitLocker, en ne déployant que des stratégies et des
actions de périphérique limitées.
Remarque
Il n'est pas possible de déployer l'agent Encryption Management for
Apple FileVault en utilisant le plug-in Outil de déploiement
File
Encryption
Déployez l'agent File Encryption, qui comporte toutes les
fonctionnalités et stratégies.
3.
Cliquez sur Déployer.
4.
Lorsque le message s'affiche, cliquez sur OK pour confirmer le déploiement.
La commande de déploiement de l'agent se lance. Si cela réussit, tous les points finaux
sélectionnés sont invités à redémarrer.
Confirmation du déploiement de l'agent
Cette tâche explique comment confirmer que l'installation de l'agent Endpoint
Encryption se lance correctement sur le point final.
Procédure
1.
Effectuez Déploiement de l'agent avec OfficeScan à la page 7-13.
2.
Connectez-vous sur le périphérique Endpoint Encryption sélectionné.
7-14
3.
Effectuez l'une des actions suivantes :
•
Pour afficher l'état du déploiement, ouvrez les fichiers journaux à
l'emplacement :
Point final client
C:\TMEE_Deploy_Client.log
Point final serveur
C:\TMEE_Deploy_Server_Inst.log
•
4.
Exécutez le gestionnaire de tâches et recherchez l'un des services dans la
section Services d'agent Endpoint Encryption à la page 7-15.
Lorsque le déploiement de l'agent Endpoint Encryption est achevé, redémarrez le
point final pour terminer l'installation.
Services d'agent Endpoint Encryption
Le tableau suivant explique les services qui s'exécutent au lancement de l'agent Endpoint
Encryption sur le point final. Utilisez-le pour vérifier que l'installation de l'agent a réussi
et qu'il fonctionne correctement.
Remarque
Pour plus d'informations sur les services Endpoint Encryption, consultez la section Services
Endpoint Encryption à la page D-1.
SERVICE
ÉTAT
FEService.exe
L'agent File Encryption est en cours
d'exécution.
TMFDE.exe
L'agent Full Disk Encryption est en cours
d'exécution.
TMFDEForBitLocker.exe
L'agent Encryption Management for
Microsoft BitLocker est en cours
d'exécution.
7-15
État de déploiement des agents Endpoint Encryption
Le tableau suivant explique les états d'OfficeScan qui s'affichent dans la console du plugin Outil de déploiement d'Endpoint Encryption après le lancement d'une commande de
déploiement. Utilisez-le pour comprendre s'il y eu un problème pendant l'installation ou
la désinstallation de l'agent.
TABLEAU 7-1. États de l'installation de l'agent
ÉTAT
7-16
MESSAGE
DESCRIPTION
En cours
En cours : déploiement d'agent
OfficeScan essaye de
communiquer avec le point final
géré, d'installer l'agent Endpoint
Encryption, puis d'établir une
connexion avec PolicyServer.
Réussite
Déploiement de l'agent réussi
L'installation de l'agent Endpoint
Encryption a réussi, et il a établi
une communication avec
OfficeScan et PolicyServer.
Échec
Échec du déploiement de
l'agent
Le déploiement de l'agent Endpoint
Encryption n'a pas pu se terminer.
Examinez les journaux afin de
déterminer la raison pour laquelle le
point final géré n'a pas pu effectuer
la mise à jour avec l'agent Endpoint
Encryption sectionné.
Redémarrage
indispensable
Déploiement de l'agent réussi.
Arrêt/Redémarrage requis.
Pour l'agent Full Disk Encryption,
un redémarrage est requis pour
terminer l'installation. L'état n'est
pas mis à jour tant que l'utilisateur
ne s'est pas connecté sur le préamorçage de PolicyServer.
Expiration
Dépassement de délai :
déploiement d'agent
Le temps de dépassement de délai
est de 30 minutes. Après un
dépassement de délai, lancez une
nouvelle commande de
déploiement.
TABLEAU 7-2. États de la désinstallation de l'agent
ÉTAT
MESSAGE
DESCRIPTION
En cours
Demande en cours :
déploiement d'agent
OfficeScan essaye de communiquer
avec le point final géré et de
désinstaller le logiciel de l'agent. Le
point final géré doit répondre à la
commande de déploiement pour que
la désinstallation puisse démarrer.
Réussite
Désinstallation de l'agent
réussie
La désinstallation de l'agent Endpoint
Encryption a réussi et il a établi une
communication avec OfficeScan et
PolicyServer. Après la désinstallation,
le périphérique Endpoint Encryption
est supprimé de PolicyServer.
Échec
Échec de la désinstallation de
l'agent
La demande de désinstallation de
l'agent Endpoint Encryption n'a pas
pu établir de connexion. Examinez les
journaux afin de déterminer la raison
pour laquelle le point final géré n'a
pas pu désinstaller l'instance
Redémarrage
indispensable
Désinstallation de l'agent
réussie. Arrêt/Redémarrage
requis.
Pour certains agents Endpoint
Encryption, un redémarrage est
requis pour terminer la
désinstallation.
Expiration
Dépassement du délai de
requête : désinstallation de
l'agent
Le temps de dépassement de délai
est de 30 minutes. Après un
dépassement de délai, lancez une
nouvelle demande de désinstallation.
Codes erreur d'installation des agents Endpoint
Encryption
Le tableau suivant décrit les codes d'erreur pour les erreurs d'installation des agents
Endpoint Encryption Utilisez-le pour comprendre le problème et la résolution d'une
erreur d'installation spécifique.
7-17
Remarque
Assurez-vous que le point final satisfait à la configuration minimale requise avant de
déployer les agents Endpoint Encryption. Microsoft .Net Framework 2.0 SP1 ou version
ultérieure est requis Pour plus d'informations sur la figuration système requise, consultez le
Guide d'installation et de migration d'Endpoint Encryption..
TABLEAU 7-3. Codes d'erreur d'installation
AGENT
File Encryption
7-18
CODE D'ERREUR
1603
PROBLÈME ET RÉSOLUTION
Impossible d'installer l'agent
Endpoint Encryption. Une
ressource requise n'est
peut-être pas disponible.
Redémarrez le point final et
essayez à nouveau
d'effectuer l'installation. Si
le problème persiste,
contactez l'assistance
Trend Micro.
AGENT
CODE D'ERREUR
-3
Le nom d'utilisateur ou le
mot de passe n'est pas
valide. Vérifiez les
informations d'identification
et essayez de vous
connecter à nouveau à
PolicyServer.
-6
essayez à nouveau
Trend Micro.
-13
Le point final ne répond pas
à la configuration minimale
requise. Mettez à niveau la
RAM ou l'espace disque et
essayez à nouveau
d'installer l'agent.
7-19
AGENT
Microsoft BitLocker
7-20
CODE D'ERREUR
1603
essayez à nouveau
Trend Micro.
-13
Microsoft BitLocker requiert
Trusted Platform Module
(TPM). Le point final ne
prend en charge TPM, TPM
n'est pas activé dans le
BIOS ou TPM est verrouillé
par un autre utilisateur
connecté. Activez TPM
dans le BIOS ou contactez
l'administrateur système
pour obtenir de l'assistance.
-14
Endpoint Encryption. Le
système d'exploitation n'est
pas pris en charge. Installez
l'un des systèmes
d'exploitation pris en
charge, puis réessayez :
•
Windows 7 32 bits ou
64 bits, Édition
Intégrale ou Entreprise
•
Windows 8 32 bits ou
64 bits, Professionnel
ou Entreprise
-15
Full Disk Encryption est
déjà installé.
-16
Endpoint Encryption. Le
point final est déjà chiffré.
Utilisation d'OfficeScan pour désinstaller les agents
Endpoint Encryption
Encryption peut résoudre le problème. Cette procédure explique comment désinstaller
les agents Endpoint Encryption à l'aide du plug-in Outil de déploiement d'Endpoint
Encryption d'OfficeScan.
Procédure
1.
Sélectionnez le périphérique Endpoint Encryption.
Remarque
Pour sélectionner plusieurs périphériques Endpoint Encryption, maintenez enfoncée
la touche MAJ et sélectionnez les points finaux applicables.
2.
Cliquez sur Désinstaller et sélectionnez l'agent Endpoint Encryption approprié
dans la liste déroulante.
3.
Cliquez sur OK pour confirmer le déploiement.
La commande de désinstallation de l'agent Endpoint Encryption est déployée.
4.
La désinstallation de l'agent est terminée quand OfficeScan affiche le message de
confirmation.
Remarque
Toutes les commandes de déploiement ultérieures échouent si le périphérique
Endpoint Encryption n'est pas redémarré après le lancement de la commande de
désinstallation et l'achèvement de celle-ci. Si la désinstallation ne peut pas s'achever,
suivez le processus de désinstallation manuel de la section Désinstallation à la page 6-50.
7-21
Lorsque la désinstallation se termine, l'agent Endpoint Encryption est supprimé et le
dossier du produit est supprimé du point final.
7-22
Chapitre 8
Maintenance et support technique
Les rubriques suivantes décrivent comment comprendre le contrat de maintenance,
trouver des solutions en ligne, utiliser le portail de l'assistance technique, contacter
Trend Micro et trouver des ressources supplémentaires.
•
Contrat de maintenance à la page 8-2
•
Ressources de dépannage à la page 8-6
•
Contacter Trend Micro à la page 8-8
•
Autres ressources à la page 8-9
8-1
Contrat de maintenance
Le contrat de maintenance est un contrat entre votre organisation et Trend Micro vous
concédant le droit de bénéficier d'une assistance technique et de mises à jour de produit
moyennant le paiement des frais en vigueur. Lorsque vous achetez un produit Trend
Micro, le contrat de licence livré avec le produit décrit les termes du contrat de
maintenance relatif à ce produit.
La licence concédée avec les logiciels Trend Micro comprend généralement l'accès aux
mises à jour des produits et des fichiers de signatures ainsi qu'à l'assistance technique de
base (« maintenance ») pendant une période d'un (1) an à compter de la date d'achat
uniquement. Une fois cette période écoulée, vous devrez renouveler le contrat de
maintenance sur une base annuelle et vous acquitter des frais de maintenance alors en
vigueur chez Trend Micro.
Lorsque le contrat de maintenance expire, la fonction de scan est toujours activée, mais
il est impossible de mettre à jour le produit, même manuellement. En outre, vous ne
pourrez pas bénéficier du service d'assistance technique de Trend Micro.
En général, quatre vingt-dix (90) jours avant la date d'expiration de votre contrat de
maintenance, vous serez informé de la résiliation prochaine de ce contrat. Vous pouvez
mettre à jour votre contrat de maintenance en payant le renouvellement de la
maintenance auprès de votre revendeur Trend Micro ou en vous inscrivant en ligne à
l'adresse suivante :
Système d'enregistrement en ligne
Renouvellement du contrat de maintenance
Trend Micro ou un revendeur agréé fournit pour une période d'un (1) an aux utilisateurs
enregistrés, un service d'assistance technique, ainsi qu'un service de téléchargement et de
mises à jour de programmes, au terme de laquelle il est nécessaire d'acheter un
renouvellement de la maintenance.
Si le contrat de maintenance expire, les opérations de base sont maintenues ; toutefois,
les nouveaux utilisateurs et les nouveaux périphériques ne peuvent pas être ajoutés au
serveur PolicyServer, que ce soit par le biais de PolicyServer MMC, des installations
d'agent ou de Control Manager. Pour éviter une telle situation, renouvelez votre contrat
de maintenance dès que possible.
8-2
Pour les clients qui effectuent une mise à niveau, la licence existante est acceptée jusqu'à
l'expiration.
Procédure
1.
Pour renouveler le contrat de maintenance, effectuez l'une des actions suivantes :
•
Pour acheter un renouvellement de maintenance, contactez le distributeur
auprès duquel vous avait acheté le produit. Un contrat de maintenance,
prolongeant votre protection pour une année supplémentaire, sera envoyé par
courrier au premier contact société figurant dans votre profil d'enregistrement.
•
Pour afficher ou modifier le profil d'enregistrement de votre société,
connectez-vous sur le site Web d'enregistrement en ligne de Trend Micro :
https://olr.trendmicro.com/registration/
2.
Pour afficher le profil d'enregistrement, spécifiez l'ID de connexion et le mot de
passe créés lors de l'enregistrement initial du produit chez Trend Micro (en tant que
nouveau client), puis cliquez sur Connexion.
3.
Pour mettre à jour l'environnement avec le nouveau code d'activation, consultez la
section Activation de la nouvelle licence du produit à la page 8-4.
Licence d'évaluation
Vous pouvez installer et évaluer Endpoint Encryption pendant une période d'essai
limitée de 30 jours. Pendant l'installation de PolicyServer, la base de données d'entreprise
et le compte d'administrateur d'entreprise sont créés. PolicyServer fonctionne
normalement avec toutes les applications client, les périphériques illimités et jusqu'à
100 utilisateurs pour une période d'évaluation de 30 jours. Après 30 jours, contactez
l'assistance technique Trend Micro pour recevoir un fichier de licence. Les comptes
d'utilisateurs et les périphériques Endpoint Encryption fonctionnent normalement après
l'expiration de la période d'essai.
8-3
Activation de la nouvelle licence du produit
Une licence d'essai gratuite pendant 30 jours est disponible pour installer et évaluer
Endpoint Encryption. Si vous effectuez l'activation à partir de la licence d'essai, veillez à
effectuer la mise à niveau vers la version complète avant l'expiration de la licence.
Procédure
1.
Connectez-vous au serveur sur lequel PolicyServer est installé actuellement.
2.
Accédez au dossier contenant les fichiers programmes de PolicyServer et ouvrez le
dossier Outils.
3.
Exécutez TMEE_License_Renewal.exe.
L'outil de renouvellement de licence s'ouvre.
4.
Dans Renouveler la licence, cliquez sur Renouvellement en ligne pour accéder
au site Web d'enregistrement de Trend Micro.
Une fois l'enregistrement terminé, Trend Micro envoie un e-mail contenant le code
d'activation.
5.
Spécifiez le code d'activation du produit.
6.
Cliquez sur Activer.
7.
Dans le message de confirmation, cliquez sur OK pour continuer.
8.
Cliquez sur Quitter.
La licence du produit Endpoint Encryption mise à jour est disponible immédiatement.
Affichage de la licence du produit
Utilisez PolicyServer MMC pour afficher l'état actuel de la licence.
Procédure
1.
8-4
2.
Effectuez un clic droit sur l'entreprise et sélectionnez Activation/Licence.
L'écran Informations d'enregistrement s'affiche.
3.
Examinez les options suivantes.
OPTION
4.
DESCRIPTION
Code d'activation
Pour une licence complète, le code d'activation s'affiche.
Pour d'autres types de licence, le nom de la licence
s'affiche.
Date de début
Date à laquelle la licence a été activée.
Date d'expiration
Date à laquelle la licence doit être renouvelée.
Lorsqu'une licence expire, les utilisateurs d'Endpoint
Encryption existants peuvent encore se connecter aux
périphériques Endpoint Encryption, mais il n'est pas
possible d'ajouter de nouveau périphériques ou
utilisateurs d'Endpoint Encryption à l'entreprise.
Nombre de
périphériques
Nombre de périphériques Endpoint Encryption autorisés
par la licence.
Nombre de
périphériques
installés
Nombre de périphériques Endpoint Encryption
configurés actuellement dans l'entreprise.
Nombre d'utilisateurs
Nombre total d'utilisateurs d'Endpoint Encryption
autorisés par la licence.
Nombre d'utilisateurs
créés
Nombre d'utilisateurs d'Endpoint Encryption ajoutés
actuellement à l'entreprise.
Période d'activation
en jours
Nombre de jours restants avant l'expiration de la licence.
Cliquez sur Fermer.
8-5
Maintenance du produit
De temps en temps, Trend Micro peut publier un correctif pour un problème connu
signalé ou une mise à niveau qui s'applique au produit. Pour savoir si des correctifs sont
disponibles, visitez : http://downloadcenter.trendmicro.com/?regs=FR
Les correctifs sont datés. Si des correctifs sont disponibles, ouvrez le fichier Lisez-moi
afin de déterminer si le correctif est applicable. Si c'est le cas, suivez les instructions du
fichier Lisez-moi.
Ressources de dépannage
Avant de contacter l'assistance technique, songez à visiter les ressources en ligne Trend
Micro suivantes.
Communauté de Trend
Pour obtenir de l'aide, partager vos expériences, poser des questions et discuter de vos
préoccupations en matière de sécurité avec d'autres utilisateurs, passionnés et des experts
en sécurité, accédez à :
http://community.trendmicro.com/
Utilisation du portail de l'assistance technique
Le portail de l'assistance technique Trend Micro est une ressource en ligne disponible
24 h/24 et 7 j/7 qui contient les toutes dernières informations sur les problèmes
courants et inhabituels.
Procédure
8-6
1.
Accédez à http://esupport.trendmicro.com.
2.
Sélectionnez un produit ou un service dans la liste déroulante appropriée et
indiquez toute autre information associée.
La page Assistance technique du produit s'affiche.
3.
Utilisez la zone Recherche d'assistance pour rechercher les solutions disponibles.
4.
Si aucune solution n'est trouvée, cliquez sur Soumettre un cas à l'assistance dans
le volet de navigation de gauche et ajoutez d'éventuels détails pertinents, ou
soumettez un cas à l'assistance ici :
http://esupport.trendmicro.com/srf/SRFMain.aspx
Un ingénieur d'assistance Trend Micro étudiera le cas et donnera une réponse sous
24 heures.
Communauté du renseignement de sécurité
Les experts en cybersécurité sécurité de Trend Micro sont une équipe d'élite en matière
de renseignement de sécurité, spécialisée dans la détection et l'analyse des menaces, la
sécurité en ligne et concernant la virtualisation, ainsi que le chiffrement des données.
Accédez à http://www.trendmicro.fr/renseignements-securite/index.html pour en
savoir plus sur :
•
Blogs Trend Micro, Twitter, Facebook, YouTube et autres médias sociaux
•
Rapports de menaces, rapports de recherche, articles spécialisés
•
Solutions, podcasts et bulletins d'informations émanant des experts en sécurité du
monde entier
•
Outils, applications et widgets gratuits.
Encyclopédie des menaces
À l'heure actuelle, la plupart des programmes malveillants sont composés de « menaces
combinées » : au moins deux technologies combinées pour contourner les protocoles de
sécurité de l'ordinateur. Trend Micro combat ces produits malveillants complexes grâce
à des produits qui créent une stratégie de défense personnalisée. L'encyclopédie des
menaces fournit une liste complète de noms et de symptômes pour différentes menaces
combinées, notamment les programmes malveillants connus, les spams, les URL
malveillantes et les vulnérabilités connues.
8-7
Accédez à http://www.trendmicro.com/vinfo/fr/virusencyclo/default.asp pour en
savoir plus sur :
•
Programmes malveillants et codes mobiles malveillants actuellement actifs ou « en
circulation »
•
Pages liées aux informations sur les menaces pour former un scénario d'attaque
Web complet
•
Conseils sur les menaces Internet à propos des attaque ciblées et des menaces de
sécurité
•
Informations sur les attaques Web et les tendances en ligne
•
Rapports hebdomadaires sur les programmes malveillants.
Contacter Trend Micro
Les techniciens de Trend Micro peuvent être contactés par téléphone et e-mail :
•
Adresse
Trend Micro SA 85, avenue Albert 1er 92500 Rueil Malmaison
France
Tél.
+33 (0) 1 76 68 65 00
Internet
http://www.trendmicro.fr/
E-mail
[email protected] ;
Sites d'assistance à travers le monde :
http://www.trendmicro.fr/apropos/contact/index.html
•
Documentation des produits Trend Micro :
http://docs.trendmicro.com/fr-fr/home.aspx
Optimisation de la demande d'assistance
Pour améliorer la résolution de votre problème, préparez les informations suivantes :
8-8
•
Étapes permettant de reproduire le problème
•
Matériel ou informations sur le réseau
•
Marque de l'ordinateur, modèle et tout matériel complémentaire connecté à votre
point final
•
Mémoire et espace disque disponibles sur votre ordinateur
•
Système d'exploitation et version de Service Pack
•
Version client du point final
•
Numéro de série ou code d'activation
•
Description détaillée de l'environnement d'installation
•
Texte exact du message d'erreur reçu.
Autres ressources
Outre les solutions et l'assistance, il existe de nombreuses autres ressources disponibles
en ligne pour rester à jour, découvrir les innovations et être informé des tendances les
plus récentes en matière de sécurité.
TrendEdge
Trouvez des informations sur les techniques novatrices non prises en charge, les outils et
les bonnes pratiques liés aux produits et aux services Trend Micro. La base de données
TrendEdge contient de nombreux documents couvrant un large éventail de sujets
destinés aux employés et partenaires de Trend Micro, ainsi qu'aux autres parties
intéressées.
Consultez les dernières informations ajoutées à TrendEdge à l'adresse suivante :
http://trendedge.trendmicro.com/
8-9
Centre de téléchargement
De temps en temps, Trend Micro peut publier un correctif pour un problème connu
signalé ou une mise à niveau qui s'applique à un produit ou un service spécifique. Pour
savoir si des correctifs sont disponibles, accédez à :
http://downloadcenter.trendmicro.com/?regs=FR
Si un correctif n'a pas été appliqué (les correctifs sont datés), ouvrez le fichier Lisez-moi
afin de déterminer s'il est approprié à votre environnement. Le fichier Lisez-moi
contient également des instructions d'installation.
TrendLabs
TrendLabs℠ est un réseau mondial pour la recherche, le développement et les centres
d'action qui s'engagent, 24 h/24, 7 j/7, à surveiller les menaces, prévenir les attaques et
livrer des solutions continues en temps et en heure. En tant que pierre angulaire de
l'infrastructure des services Trend Micro, l'équipe de TrendLabs se compose de plusieurs
centaines d'ingénieurs et de membres certifiés du personnel qui proposent un large
éventail de services d'assistance technique et d'assistance produit.
TrendLabs surveille les menaces potentielles globales afin de fournir des mesures de
sécurité efficaces conçues pour détecter, prévenir et éliminer toute attaque. Le point
culminant quotidien de ces efforts est partagé avec les consommateurs via des mises à
jour de fichiers de signatures de virus fréquentes et des perfectionnements des moteurs
de scan.
Pour en savoir plus sur TrendLabs, accédez au site :
http://www.trendmicro.fr/newsroom/faces/index.html
8-10
Annexes
Annexes
Annexe A
Présentation de Trend Micro™
Control Manager™
réseau.
Ce chapitre traite les rubriques suivantes :
•
Control Manager Standard et Advanced à la page A-3
•
Présentation des fonctionnalités de Control Manager à la page A-3
A-1
A-2
•
Architecture de Control Manager à la page A-5
•
Enregistrement d'Endpoint Encryption sur Control Manager à la page A-8
•
Définition des accès utilisateur à la page A-9
•
Définition du répertoire Produits à la page A-17
•
Téléchargement et déploiement de nouveaux composants à la page A-41
•
Utilisation des journaux à la page A-69
•
Définition des rapports à la page A-73
Control Manager Standard et Advanced
Il existe deux versions de Control Manager : la version Standard et la version Advanced.
Control Manager Advanced inclut des fonctionnalités dont la version Standard ne
dispose pas. Par exemple, Control Manager Advanced prend en charge la structure de
gestion en cascade. Cela signifie que le réseau Control Manager peut être géré par un
serveur Control Manager Advanced parent avec plusieurs serveurs Control Manager
Advanced enfants soumis au serveur Control Manager Advanced parent. Le serveur
parent est le cœur de l'ensemble du réseau.
Remarque
Control Manager Advanced prend en charge les produits suivants en tant que serveurs
Control Manager enfants :
•
Control Manager 6.0 Advanced
•
•
Les serveurs Control Manager 5.0/5.5/6.0 Standard ne peuvent pas être des serveurs
enfants.
Pour une liste complète des fonctionnalités prises en charge par les serveurs Control
Manager Standard et Advanced, consultez la documentation de Trend Micro Control
Manager.
Présentation des fonctionnalités de Control
Manager
Trend Micro a conçu Control Manager pour gérer des produits et services antivirus et de
sécurité de contenu déployés sur les réseaux locaux et étendus d'une entreprise.
A-3
TABLEAU A-1. Fonctions de Control Manager
FONCTION
DESCRIPTION
Gestion des stratégies
Les administrateurs système peuvent utiliser les stratégies
pour configurer et déployer les paramètres du produit dans
les produits gérés et les points finaux à partir d'une seule
console d'administration.
Configuration centralisée
Le répertoire Produits et la structure de gestion en
cascade permettent de coordonner vos actions en matière
de protection anti-virus et de sécurité de contenu à partir
d’une seule console d'administration.
Grâce à ces fonctions, vous pouvez appliquer de façon
homogène les stratégies relatives aux virus/programmes
malveillants et à la sécurité de contenu de votre
entreprise.
Prévention proactive des
épidémies
Les services OPS (Outbreak Prevention Services)
permettent de prendre des mesures proactives pour
protéger le réseau contre toute menace d'épidémie de
virus/programmes malveillants.
Infrastructure de
communication sécurisée
Control Manager utilise une infrastructure de
communication reposant sur le protocole SSL (Secure
Socket Layer).
Selon les paramètres de sécurité utilisés, Control Manager
peut chiffrer des messages avec ou sans authentification.
Configuration et
téléchargement de
composants sécurisés
Ces fonctions permettent de configurer l'accès à la
console Web et le téléchargement de composants de
façon sécurisée.
Délégation de tâches
Les administrateurs système peuvent définir des comptes
personnalisés avec des privilèges individualisés pour les
utilisateurs de la console Web de Control Manager.
Un compte utilisateur définit les objets visibles et les
actions réalisables par un utilisateur sur un réseau Control
Manager. Vous pouvez contrôler l'utilisation faite par un
utilisateur de son compte via un journal d'utilisateur.
A-4
FONCTION
Suivi des commandes
DESCRIPTION
Cette fonction permet de contrôler toutes les commandes
exécutées à l'aide de la console Web de Control Manager.
Elle permet ainsi de vérifier si Control Manager a pu
mener à bien des opérations particulièrement longues,
telles que la mise à jour et le déploiement de fichiers de
signatures de virus.
Contrôle de produits à la
demande
Cette fonction permet de contrôler des produits gérés en
temps réel.
Control Manager envoie immédiatement aux produits
gérés les modifications de configuration effectuées sur la
console Web. Les administrateurs système peuvent
exécuter des scans manuels à partir de la console Web.
Cette commande système est indispensable en cas
d'épidémie de virus/programmes malveillants.
Contrôle centralisé des
mises à jour
Cette fonction permet de mettre à jour des fichiers de
signatures de virus, des règles anti-spam, des moteurs de
scan et d'autres composants antivirus et de sécurité de
contenu, afin que tous les produits gérés soient à jour.
Journalisation centralisée
Des journaux et des rapports complets permettent d'avoir
une vue d'ensemble sur le fonctionnement des produits
antivirus et de sécurité de contenu.
Control Manager collecte des journaux de tous les produits
gérés. Vous n'avez plus à vérifier le journal de chaque
produit.
Architecture de Control Manager
Trend Micro Control Manager permet de contrôler les produits et services Trend Micro
depuis un point central. Cette application simplifie la gestion de la stratégie d'une
entreprise en matière de lutte contre les virus/programmes malveillants et de sécurité du
contenu. Le tableau suivant fournit une liste des composants utilisés par Control
Manager.
A-5
TABLEAU A-2. Composants de Control Manager
COMPOSANT
Serveur Control Manager
DESCRIPTION
Sert de référentiel pour toutes les données collectées par
les agents. Il peut s’agir d’un serveur Standard ou
Advanced. Les fonctions d'un serveur Control Manager
sont les suivantes :
•
Une base de données SQL qui stocke les
configurations et les journaux des produits gérés.
Control Manager stocke dans la base de données
Microsoft SQL Server (db_ControlManager.mdf) les
données des journaux, la programmation des
communicateurs, les informations sur les produits
gérés et les serveurs enfants, ainsi que les paramètres
des comptes utilisateurs, de l’environnement réseau et
des notifications.
•
Un serveur Web qui héberge la console Web de
Control Manager.
•
Un serveur de messagerie qui envoie des notifications
d'événement par courrier électronique.
Control Manager peut envoyer des notifications à des
individus ou à des groupes de destinataires pour leur
signaler des événements qui se produisent sur le
réseau Control Manager. Configurez le Centre
d'événements pour envoyer des notifications par
courrier électronique, le journal des événements
Windows, MSN Messenger, SNMP, Syslog, un pageur
ou toute autre application développée en interne ou
largement répandue dans l’industrie, que votre
entreprise a adoptée pour envoyer des notifications.
•
Un serveur de rapports, présent uniquement dans la
version Advanced Edition, qui génère des rapports sur
les produits antivirus et de sécurité de contenu.
Un rapport Control Manager est un ensemble de
données chiffrées collectées sur le réseau qui sont
liées aux événements impliqués dans la protection
antivirus et la sécurité de contenu sur le réseau
Control Manager.
A-6
COMPOSANT
DESCRIPTION
Trend Micro Management
Communication Protocol
(MCP)
MCP gère les interactions entre le serveur Control Manager
et les produits gérés qui prennent en charge les agents
MCP de la dernière génération.
MCP constitue la nouvelle épine dorsale du système
Control Manager.
Les agents MCP sont installés en même temps que les
produits gérés et communiquent en mode unidirectionnel
ou bidirectionnel avec Control Manager. Les agents MCP
demandent des instructions et des mises à jour à Control
Manager.
Infrastructure
Gère les interactions du serveur Control Manager avec les
produits gérés antérieurs.
Le communicateur ou le module Message Routing
Framework correspond à la dorsale de communication de
l'ancien système Control Manager. Il s'agit d’un composant
de TMI (Trend Micro Management Infrastructure). Les
communicateurs gèrent toutes les communications entre le
serveur Control Manager et les produits gérés plus anciens.
Ils interagissent avec les agents Control Manager 2.x pour
communiquer avec les produits gérés plus anciens.
Agents Control
Manager 2.x
Un agent reçoit des commandes du serveur Control
Manager et lui renvoie des informations d’état et des
journaux.
L’agent Control Manager est une application installée sur
un serveur de produits gérés qui permet à Control Manager
de gérer le produit auquel il est associé. Les agents
interagissent avec le produit géré et le communicateur. Un
agent sert de « pont » entre un produit géré et le
communicateur. Vous devez donc installer les agents sur le
même ordinateur que les produits gérés.
A-7
COMPOSANT
Console d'administration à
interface Web
DESCRIPTION
Elle permet à un administrateur de gérer Control Manager
depuis pratiquement n'importe quel ordinateur disposant
d'une connexion Internet et du navigateur Windows™
Internet Explorer™
La console d'administration de Control Manager est une
console à interface Web publiée sur Internet via Microsoft
Internet Information Server (IIS) et hébergée par le serveur
Control Manager. Elle vous permet d'administrer le réseau
Control Manager à l'aide d'un navigateur Web compatible à
partir de n'importe quel ordinateur.
Infrastructure de widgets
Permet à l'administrateur de créer un tableau de bord
personnalisé afin de surveiller le réseau Control Manager.
Enregistrement d'Endpoint Encryption sur
Control Manager
Avant d'enregistrer le serveur Endpoint Encryption sur un serveur Control Manager,
vous devez vous assurer que ce serveur et le serveur Control Manager appartiennent au
même segment de réseau.
Procédure
1.
Cliquez sur Administration > Paramètres de Control Manager.
Remarque
Control Manager utilise le nom spécifié dans le champ Nom d'hôte pour identifier le
serveur Endpoint Encryption. Le nom d'hôte s'affiche dans le répertoire Produit de
Control Manager.
L'écran Paramètres de Control Manager s'affiche.
2.
A-8
Sous Paramètres de connexion, tapez le nom du serveur Endpoint Encryption
dans le champ Nom d'affichage de l'entité.
3.
Sous Paramètres du serveur Control Manager, spécifiez les éléments suivants :
a.
Entrez l'adresse IP du serveur Control Manager ou le nom d'hôte dans le
champ Nom de domaine complet (FQDN) du serveur ou Adresse IP.
b.
Entrez le numéro de port utilisé par l'agent MCP pour communiquer avec
Control Manager.
c.
Si la sécurité de Control Manager est réglée sur moyenne (les communications
HTTPS et HTTP sont autorisées entre Control Manager et l'agent MCP des
produits gérés), sélectionnez Connecter via HTTPS.
d.
Si votre réseau nécessite une authentification, entrez le nom d'utilisateur et le
mot de passe de votre serveur IIS dans les champs Nom d'utilisateur et Mot
de passe.
e.
Si vous utilisez un périphérique NAT, sélectionnez Autoriser la
transmission du port de la communication à double-sens et entrez
l'adresse IP et le numéro de port du périphérique NAT dans Adresse IP et
numéro de port.
Reportez-vous au Manuel de l'administrateur de Trend Micro Control Manager pour plus
d'informations sur la gestion des produits dans Control Manager.
4.
Dans la console d'administration de Control Manager, cliquez sur Produits.
L’écran Répertoire Produits apparaît.
5.
Le serveur Endpoint Encryption s'affiche dans l'arborescence du répertoire
Produits.
Définition des accès utilisateur
Le contrôle des accès de Control Manager comporte les quatre sections suivantes :
A-9
TABLEAU A-3. Options d'accès des utilisateurs de Control Manager
SECTION
Mon compte
DESCRIPTION
L'écran Mon compte contient toutes les
informations dont dispose Control Manager
sur le compte d'un utilisateur spécifique.
Les informations de l'écran Mon compte
varient selon l'utilisateur.
Comptes utilisateurs
L'écran Comptes utilisateurs affiche tous
les utilisateurs de Control Manager. Cet
écran offre également les options
permettant aux utilisateurs de créer et
gérer des comptes utilisateurs de Control
Manager.
Utilisez ces fonctions pour définir des
domaines de responsabilités clairs pour les
utilisateurs, en limitant leurs droits d'accès
à certains produits gérés ainsi que les
actions qu'ils peuvent effectuer sur les
produits gérés. Les fonctions sont les
suivantes :
Rôles utilisateurs
•
Exécuter
•
Configurer
•
Modifier le répertoire
L'écran Rôles d'utilisateurs affiche tous
les rôles d'utilisateurs de Control Manager.
Cet écran offre également les options
permettant aux utilisateurs de créer et
gérer des rôles d'utilisateurs de Control
Manager.
Les rôles d'utilisateurs définissent les
zones de la console Web de Control
Manager auxquelles un utilisateur a accès.
A-10
SECTION
Groupes d'utilisateurs
DESCRIPTION
L'écran Comptes de groupe contient les
groupes de Control Manager et permet la
création de groupes.
Control Manager utilise les groupes afin de
permettre l'envoi groupé de notifications à
plusieurs utilisateurs. Les groupes de
Control Manager ne permettent pas aux
administrateurs de créer un groupe
partageant les mêmes droits d'accès.
Remarque
Attribuez aux utilisateurs différents droits d'accès et privilèges pour déléguer certaines
tâches de gestion sans compromettre la sécurité.
Accès utilisateur à Control Manager avec accès utilisateur
à Endpoint Encryption
L'accès utilisateur à Endpoint Encryption est semblable à l'accès utilisateur à Control
Manager. Les administrateurs peuvent contrôler les parties de la console Web
d'Endpoint Encryption auxquelles les utilisateurs peuvent accéder (Utilisateur
expérimenté, Opérateur ou Administrateur).
Tous les comptes d'utilisateurs créés dans Control Manager disposent d'un accès
administrateur à tous les produits générés auxquels l'utilisateur a accès. Cela crée un
problème si un administrateur souhaite restreindre l'accès d'un utilisateur en Utilisateur
expérimenté sur le serveur Endpoint Encryption, tout en autorisant l'accès à Control
Manager.
Battement de cœur MCP
Pour surveiller l’état des produits gérés, les agents MCP interrogent Control Manager
selon une programmation définie. L’interrogation permet d’indiquer l’état du produit
géré et de vérifier si Control Manager a émis des commandes à destination du produit
géré. La console Web de Control Manager présente ensuite l'état du produit. En d’autres
A-11
termes, l’état du produit ne reflète pas l’état du réseau en temps réel. Control Manager
vérifie l’état de chaque produit géré de façon séquentielle et en arrière-plan, et définit
l'état sur «hors ligne» lorsqu’un délai fixé s’écoule sans qu’un battement de cœur ne soit
reçu du produit géré.
Outre les battements de cœur, il existe d’autres moyens pour Control Manager de
déterminer l’état des produits gérés, Les éléments suivants fournissent également à
Control Manager l'état du produit géré :
•
Control Manager reçoit les journaux des produits gérés. Le simple fait que Control
Manager reçoive ces journaux indique que les produits gérés correspondants
fonctionnent.
•
En mode de communication bidirectionnel, Control Manager envoie un message
de notification afin d’obliger le produit géré à récupérer la commande en attente. Si
le serveur parvient à se connecter au produit géré, cela indique que ce dernier
fonctionne correctement et l’événement est considéré comme un battement de
cœur.
•
En mode de communication unidirectionnel, l’agent MCP envoie régulièrement des
commandes de requête à Control Manager. Ce comportement périodique
fonctionne de la même manière qu’un battement de cœur et est considéré comme
tel par Control Manager.
Les battements de cœur MCP sont envoyés de deux manières :
•
UDP : si le produit parvient à contacter le serveur via le protocole UDP, cette
solution est la plus légère et la plus rapide. Toutefois, elle ne fonctionne pas dans
les environnements NAT ou dotés de pare-feu. De plus, le client émetteur ne peut
vérifier que le serveur reçoit bien la requête.
•
HTTP/HTTPS : dans un environnement NAT ou doté d’un pare-feu, une
connexion HTTP plus lourde peut être utilisée pour transférer le battement de
cœur.
Control Manager prend en charge les protocoles UDP et HTTP/HTTPS pour
acheminer les battements de cœur. Le serveur Control Manager détecte le mode
applicable au produit géré au cours du processus d’enregistrement. Un protocole de
transfert distinct a lieu entre les deux parties en vue de déterminer le mode adéquat.
A-12
Outre les battements de cœur indiquant l’état du produit géré, celui-ci transmet d’autres
données à Control Manager. Ces données contiennent généralement des informations
concernant l’activité du produit géré à afficher sur la console.
Utilisation de la barre de programmation
La barre de programmation qui figure dans l'écran Programmation de la
communication des agents permet d'afficher et de définir les programmations des
communicateurs. Cette barre comporte 24 intervalles, représentant les heures de la
journée.
Les intervalles comportant des icônes d'horloge indiquent un état actif ou les heures
pendant lesquelles l'agent/le communicateur envoie des informations au serveur Control
Manager. Les intervalles blancs indiquent les périodes inactives. Pour définir les heures
d’activité et d’inactivité, il vous suffit de changer les intervalles appropriés en cliquant
dessus.
Vous ne pouvez définir que trois périodes d’inactivité consécutives au maximum. La
barre de programmation ci-dessous n’indique que deux heures d’inactivité :
FIGURE A-1. Barre de programmation
Les périodes d'activité indiquées vont de minuit à 7:00, de 8:00 à 16:00:00 et de 18:00 à
minuit.
Définition d'une programmation de communication des agents
pour un produit géré
Procédure
1.
Ouvrez la console Control Manager.
2.
Accédez à Administration > Paramètres > Programmation de
communication des agents.
A-13
L'écran Programmation de la communication des agents apparaît.
3.
Sélectionnez la programmation du produit géré à modifier.
L'écran Définir la programmation d'un communicateur apparaît.
4.
Définissez la programmation. Indiquez une nouvelle heure ou choisissez le
paramètre par défaut :
•
Pour modifier ce paramètre, changez les intervalles appropriés dans la barre
de programmation, puis cliquez sur Enregistrer.
•
Pour utiliser le paramètre par défaut, revenez sur l'écran Programmation de
la communication des agents. Sélectionnez la programmation à appliquer et
cliquez sur Réinitialiser la programmation par défaut
Définition du battement de cœur approprié
Lorsque vous définissez la fréquence du battement de cœur, choisissez une valeur qui
vous permette d'afficher l'état le plus récent du produit géré tout en gérant les ressources
système dans les meilleurs délais. Les paramètres par défaut conviennent à la plupart des
situations. Toutefois, si vous devez personnaliser cette configuration, tenez compte des
points suivants :
A-14
TABLEAU A-4. Battements de cœur recommandés
FRÉQUENCE DES BATTEMENTS DE CŒUR
Battements de cœur à intervalle long
(supérieur à 60 minutes)
RECOMMANDATION
Plus l'intervalle est grand entre les
battements de cœur, plus le nombre
d'événements susceptibles de se produire
avant que Control Manager reflète l'état du
communicateur dans la console Web de
Control Manager peut être important.
Par exemple, si un problème de connexion
avec un communicateur est résolu entre
deux battements de cœur, les échanges
de données avec ce communicateur
redeviennent possibles même si la console
indique que son état est « Inactif » ou
« Anormal ».
Battements de cœur à intervalle court
(inférieur à 60 minutes)
Les intervalles courts permettent d’obtenir
un cliché plus d’actualité de l’état du
réseau au niveau du serveur Control
Manager. En revanche, cela demande une
plus forte sollicitation de la bande
passante.
Configuration du battement de cœur du communicateur/de
l'agent
L'écran Délai d'attente de communication permet de définir la fréquence et le temps
de retard maximum (en minutes) des communications entre le serveur Control Manager
et l'agent de communication.
Remarque
Ces paramètres ne s'appliquent qu'aux communicateurs des produits gérés directement
contrôlés par le serveur Control Manager. Les communicateurs des serveurs Control
Manager enfants utilisent des valeurs prédéfinies :
Fréquence : 3 minutes
Retard maximum : 5 minutes
A-15
Procédure
1.
Ouvrez la console Control Manager.
2.
Accédez à Administration > Paramètres > Paramètres du délai d'attente de
communication.
L'écran Paramètres du délai d'attente de communication apparaît.
3.
Dans la zone de travail, conservez les valeurs par défaut ou définissez-en de
nouvelles pour les paramètres suivants :
•
Notifier sur l'état du produit géré toutes les : Définit la fréquence à
laquelle le produit géré répond aux messages du serveur Control Manager. Les
valeurs valides doivent être comprises entre 5 et 480 minutes.
•
En l'absence de communication, définir l'état comme anormal après :
Indique la durée pendant laquelle Control Manager attend une réponse du
produit géré avant que la console Web ne passe à l'état « Inactif ». Les valeurs
valides doivent être comprises entre 15 et 1440 minutes.
Remarque
La valeur du champ En l'absence de communication, définir l'état comme
anormal après doit faire au moins trois fois la valeur du champ Notifier sur l’état
du produit géré toutes les.
4.
A-16
Définition du répertoire Produits
Un produit géré est un produit antivirus ou de sécurité de contenu ou un produit de
protection Web présent dans le répertoire Produits. Les produits gérés sont représentés
par des icônes (par exemple, (
) ou (
)) dans la section Répertoire Produits de la
console Web de Control Manager. Ces icônes représentent les produits antivirus, de
sécurité de contenu et de protection Web développés par Trend Micro. Control
Manager prend en charge les icônes dynamiques dont la représentation change en
fonction de l’état des produits gérés. Pour plus d'informations sur les icônes et les états
de votre produit géré, consultez la documentation correspondante.
Vous pouvez administrer indirectement les produits gérés, individuellement ou par
groupe, à partir du répertoire Produits. Le tableau suivant présente les éléments de menu
et les boutons de l'écran Répertoire Produits.
TABLEAU A-5. Options du répertoire Produits
ÉLÉMENT DE MENU
DESCRIPTION
Recherche avancée
Cliquez sur cet élément de menu pour
spécifier des critères de recherche afin
d'effectuer une recherche d'un ou plusieurs
produits gérés.
Configurer
Après avoir sélectionné un produit géré/
répertoire, déplacez le curseur sur cet
élément de menu et sélectionnez une
tâche pour vous connecter à une console
Web à l'aide de SSO ou pour configurer un
produit géré.
A-17
ÉLÉMENT DE MENU
Tâches
DESCRIPTION
Après avoir sélectionné un produit géré/
répertoire, déplacez le curseur sur cet
élément de menu et sélectionnez une
tâche pour exécuter une fonction
spécifique (telle que le déploiement des
derniers composants) sur un produit géré
ou un serveur enfant spécifique, ou sur des
groupes de produits gérés ou de serveurs
enfants.
Le lancement d'une tâche depuis un
répertoire entraîne l'envoi par Control
Manager de requêtes à tous les produits
gérés appartenant à ce répertoire.
Gestionnaire des répertoires
Cliquez sur ce bouton pour ouvrir l'écran
Gestionnaire des répertoires. Depuis
l'écran, déplacez les entités/répertoires (en
procédant à des glisser/déplacer) ou créez
de nouveaux répertoires.
Boutons
A-18
Rechercher
Cliquez sur ce bouton après avoir
sélectionné le nom d'un produit géré afin
d'effectuer une recherche du produit géré
spécifié.
État
sélectionné un produit géré/répertoire afin
d'obtenir des résumés d'état sur le produit
géré ou les produits gérés contenus dans
le répertoire.
Dossier
sélectionné un répertoire afin d'obtenir des
résumés d'état sur les produits gérés et
leurs points finaux contenus dans le
répertoire.
Remarque
Le serveur Control Manager parent ne peut pas envoyer de tâches aux produits gérés
appartenant à des serveurs Control Manager enfants.
Recommandations relatives à l'arborescence du
répertoire Produits
Trend Micro recommande les considérations suivantes pour l'élaboration de
l'arborescence du répertoire Produits pour les produits gérés et les serveurs enfants :
TABLEAU A-6. Éléments à prendre en compte pour regrouper des produits gérés ou
des serveurs enfants
STRUCTURE
DESCRIPTION
Réseau et stratégies de sécurité de
l’entreprise
Si des droits d’accès et de partage
différents s’appliquent au réseau de
l’entreprise, regroupez les produits gérés
et les serveurs enfants en fonction du
réseau et des stratégies de sécurité de
l’entreprise.
Organisation et fonction
Regroupez les produits gérés et les
serveurs enfants en fonction de la structure
organisationnelle et fonctionnelle de
l’entreprise. Par exemple, définissez deux
serveurs Control Manager pour gérer les
groupes de production et de test.
Emplacement géographique
Utilisez l’emplacement géographique
comme critère de regroupement si
l’emplacement des produits gérés et des
serveurs enfants a un impact sur la
communication entre le serveur Control
Manager et ses produits gérés ou ses
serveurs enfants.
A-19
STRUCTURE
Responsabilité administrative
DESCRIPTION
Regroupez les produits gérés et les
serveurs enfants en fonction du système
ou du personnel de sécurité qui lui est
affecté. Cela permet une configuration de
groupes.
Le répertoire Produits fournit un regroupement des produits gérés spécifié par
l'utilisateur qui vous permet d'effectuer ce qui suit pour administrer les produits gérés :
•
Configuration des produits gérés
•
Déclencher un scan immédiat sur un produit (si cette commande est prise en
charge)
•
Afficher des informations sur un produit et sur son environnement d'exploitation
(par exemple, la version du produit, les versions du fichier de signatures de virus et
du moteur de scan, des informations sur le système d'exploitation, etc.)
•
Afficher des journaux de produit
•
Déployer des mises à jour de fichier de signatures de virus, de moteur de scan, de
règles anti-pourriel et de programme
Élaborez cette structure avec soin car elle a un impact direct sur les éléments suivants :
TABLEAU A-7. Éléments à prendre en compte pour la structure
ÉLÉMENT À PRENDRE EN COMPTE
Accès des utilisateurs
A-20
EFFET
Lorsque vous créez un compte utilisateur,
Control Manager vous demande le
segment du répertoire Produits auquel
l’utilisateur a accès. Par exemple, si vous
attribuez l'accès au segment racine à un
utilisateur, ce dernier a accès à l'ensemble
du répertoire. Limitez l’accès de l’utilisateur
à un produit géré donné en lui attribuant
uniquement les droits correspondants.
ÉLÉMENT À PRENDRE EN COMPTE
EFFET
Planification du déploiement
Control Manager déploie des composants
de mise à jour (par exemple, des fichiers
de signatures de virus, des moteurs de
scan, des règles anti-pourriel, des mises à
jour de programme) sur des produits
conformément à des plans de déploiement.
Ces plans s’appliquent à des dossiers du
répertoire Produits et non séparément à
chaque produit. Un répertoire bien
structuré simplifie donc la définition des
destinataires.
Déploiement d’une stratégie de prévention
des épidémies (OPP) et d’un modèle
Damage Cleanup (DCT)
Les déploiements de la stratégie de
prévention des épidémies et du modèle
Damage Cleanup reposent sur des plans
de déploiement pour distribuer
efficacement des tâches de stratégie de
prévention des épidémies et de nettoyage.
L’écran suivant illustre un exemple de répertoire Produits :
A-21
Les produits gérés identifient le produit
antivirus ou de sécurité de contenu
enregistrés et indiquent l’état de
connexion.
Remarque
Tous les produits gérés
nouvellement enregistrés
apparaissent généralement dans
le dossier Nouvelle entité, quel
que soit le type d'agent.
TABLEAU A-8. Icônes des produits gérés
ICÔNE
DESCRIPTION
InterScan eManager
OfficeScan Corporate Edition
Serveur d'informations ServerProtect
Domaine ServerProtect
ServerProtect for Windows (serveur normal)
A-22
ICÔNE
DESCRIPTION
ServerProtect for NetWare (serveur normal)
InterScan Messaging Security Suite
InterScan Web Security Suite
InterScan VirusWall for Windows
InterScan VirusWall for UNIX
ScanMail for Microsoft Exchange
ScanMail for Lotus Notes
Network VirusWall
Pare-feu NetScreen-Global PRO
Icône d’état de la connexion des produits gérés
Organisez le répertoire Produits à l’aide du Gestionnaire de répertoires. Utilisez des
noms de dossier descriptifs et regroupez les produits gérés en fonction de leur type de
protection ou du modèle d’administration de réseau Control Manager.
Accès au répertoire Produits
Le répertoire Produits permet d’administrer les produits gérés enregistrés sur le serveur
Control Manager.
Remarque
L'affichage des dossiers et leur accès dans le répertoire Produits dépend du type de compte
et des droits d'accès du compte utilisateur.
Procédure
•
Cliquez sur Produits dans le menu principal.
A-23
Déploiement manuel des composants à l'aide du
Les déploiements manuels permettent de mettre à jour les signatures de virus, les règles
anti-pourriel et les moteurs de scan sur demande pour vos produits gérés. Utilisez cette
méthode de mise à jour des composants lors des épidémies virales.
Téléchargez les nouveaux composants avant de déployer les mises à jour sur un produit
géré précis ou sur des groupes de produits gérés.
Procédure
1.
2.
Sélectionnez un produit géré ou un répertoire depuis le répertoire Produits.
Le produit géré ou répertoire se met en surbrillance.
3.
A-24
Déplacez le curseur sur Tâches dans le menu Répertoire produits.
4.
Sélectionnez Déployer <composant> depuis le menu déroulant.
5.
Cliquez sur Déployer maintenant pour lancer le déploiement manuel des
nouveaux composants.
6.
Surveillez la progression dans l’écran Suivi des commandes.
7.
Cliquez sur le lien Détails sur la commande dans l'écran Suivi des commandes
pour afficher des informations détaillées sur la tâche Déploiement maintenant.
Affichage des résumés d’état des produits gérés
L’écran État produit affiche les résumés d’antivirus, de sécurité de contenu et de sécurité
Web pour tous les produits gérés présents dans l’arborescence du répertoire Produits.
Il existe deux façons d’afficher le résumé de l’état des produits gérés :
•
Via le Tableau de bord en utilisant le widget Résultats de la détection de menaces
(accessible dans l'onglet Résumé)
•
Via le répertoire Produits
Accès au Tableau de bord
Procédure
•
À l'ouverture de la console Web de Control Manager, l'onglet Résumé affiche le
résumé de l'ensemble du réseau Control Manager. Ce résumé est identique à celui
que fournit l’onglet État produit dans le dossier racine du répertoire Produits.
Accès via le répertoire Produits
Procédure
1.
A-25
2.
Dans l'arborescence du répertoire Produits, sélectionnez le dossier ou le produit
géré voulu.
•
Si vous cliquez sur un produit géré, l'onglet État produit affiche le résumé du
produit en question.
•
Si vous cliquez sur le dossier racine, Nouvelle entité ou sur tout dossier défini
par l'utilisateur, l'onglet État produit affiche les résumés Antivirus, Sécurité de
contenu et Sécurité Web.
Remarque
Par défaut, l’onglet Résumé de l’état affiche les informations correspondant à une
semaine, jusqu’à la date de votre requête. Vous pouvez néanmoins modifier cette
étendue en choisissant Aujourd'hui, La semaine dernière, Les deux dernières
semaines ou Le dernier mois dans la liste Afficher le résumé pour.
Configuration des produits gérés
En fonction de la version du produit et de l'agent, vous pouvez configurer le produit
géré depuis la console Web du produit géré ou via une console générée par Control
Manager.
Procédure
1.
2.
Sélectionnez le produit géré souhaité depuis l'arborescence du répertoire Produits.
L'état du produit apparaît dans la partie droite de l'écran.
3.
Déplacez le curseur sur Configurer dans le menu Répertoire Produits.
4.
Choisissez l'une des options suivantes :
•
A-26
Réplication de configuration : L'écran Paramètres de configuration
apparaît.
a.
Sélectionnez le dossier vers lequel répliquer les paramètres du produit géré
sélectionné depuis l'arborescence du répertoire Produits.
b.
Cliquez sur Répliquer.
Les paramètres du produit géré sélectionné sont répliqués vers les produits
gérés cibles.
•
<Nom Produit Géré> Signature unique : La console Web du produit géré
ou la console générée par Control Manager apparaît.
a.
Configurez le produit géré depuis la console Web.
Remarque
Pour obtenir plus d’informations sur la configuration d’un produit géré, consultez la
documentation du produit géré.
Exécution de tâches sur des produits gérés
L’élément de menu Tâches vous permet d’exécuter des actions sur un produit géré
donné. Selon le produit géré, l'une ou plusieurs des tâches suivantes sont disponibles :
•
Déployer les moteurs
•
Déployer les fichiers de signatures/modèles Damage Cleanup
•
Déployer les fichiers programme
•
Activer ou désactiver le scan en temps réel
•
Démarrer le scan immédiat
Déployez les règles anti-pourriel, les signatures ou le moteur de scan les plus récents sur
les produits gérés contenant des composants obsolètes. Pour que cette opération
réussisse, le serveur Control Manager doit posséder les derniers composants en date
issus de Trend Micro ActiveUpdate Server. Procédez manuellement au téléchargement
de façon à vous assurer que les derniers composants en date figurent déjà sur le serveur
Control Manager.
A-27
Procédure
1.
2.
Sélectionnez le produit géré ou le répertoire pour exécuter une tâche.
3.
Déplacez le curseur sur Tâches.
4.
Cliquez sur une tâche dans la liste. Contrôlez la progression via le suivi des
commandes. Cliquez sur le lien Détails sur la commande de l’écran de réponse
pour afficher les informations relatives à la commande.
Interrogation et affichage des journaux des produits
gérés
L'onglet Journaux vous permet d'interroger et d'afficher les journaux d'un groupe de
produits gérés ou d'un produit précis.
Procédure
1.
2.
Sélectionnez le produit géré ou dossier souhaité depuis le répertoire Produits.
3.
Déplacez le curseur sur Journaux dans le menu Répertoire Produits.
4.
Cliquez sur Journaux depuis le menu déroulant.
L'écran Requête ad hoc > Étape 2 : Sélection de l'affichage de données
s'affiche.
A-28
5.
Spécifiez l'affichage des données pour le journal :
a.
Sélectionnez les données objets de la requête depuis la zone Affichages de
données disponibles.
b.
L'écran Requête ad hoc > Étape 3 : Critères de recherche apparaît.
6.
Spécifiez les données devant apparaître dans le journal et l'ordre dans lequel les
données doivent apparaître. Les éléments apparaissant en haut de la liste Champs
sélectionnés apparaissent dans la colonne située à l'extrême gauche du tableau. Le
fait de supprimer un champ de la liste Champs sélectionnés supprime la colonne
correspondante du tableau renvoyé par la requête ad hoc.
A-29
a.
Cliquez sur Modifier l'affichage de colonne.
L'écran Sélectionner la séquence d'affichage apparaît.
7.
b.
Sélectionnez une colonne de requête depuis la liste Champs disponibles.
Sélectionnez plusieurs éléments à l'aide de la touche Maj ou Ctrl.
c.
Cliquez sur > pour ajouter des éléments à la liste Champs sélectionnés.
d.
Spécifiez l'ordre dans lequel les données doivent s'afficher en sélectionnant
l'élément et en cliquant sur Monter ou Descendre.
e.
Cliquez sur Précédent lorsque la séquence correspond à vos besoins.
Spécifiez les critères de filtrage pour les données :
Remarque
Lors d'une requête de données de résumé, les utilisateurs doivent spécifier les
éléments dans Critères requis.
•
Critères requis :
•
•
Critères personnalisés :
a.
A-30
Spécifiez une heure de résumé pour les données ou si vous souhaitez que
les COOKIES apparaissent dans vos rapports.
Spécifiez les règles de filtrage des critères pour les catégories de
données :
b.
•
Tous les critères : cette sélection est équivalente à une fonction
logique AND. Les données apparaissant dans le rapport doivent
correspondre à tous les critères de filtrage.
•
L'un des critères : cette sélection est équivalente à une fonction
logique OR. Les données apparaissant dans le rapport doivent
correspondre à l'un des critères de filtrage.
Spécifiez les critères de filtrage pour les données : Control Manager
prend en charge jusqu'à 20 critères pour le filtrage des données.
Conseil
Si vous ne spécifiez aucun critère de filtrage, la requête ad hoc renvoie
tous les résultats pour les colonnes concernées. Trend Micro recommande
de spécifier des critères de filtrage pour simplifier l'analyse des données
après le renvoi des informations par la requête.
8.
9.
Pour enregistrer la requête :
a.
Cliquez sur Enregistrer cette requête dans la liste des requêtes ad hoc
enregistrées.
b.
Saisissez un nom pour la requête enregistrée dans le champ Nom de la
requête.
Cliquez sur Requête.
L'écran Résultats apparaît.
10. Enregistrez le rapport dans un fichier CSV :
a.
Cliquez sur Exporter vers fichier CSV.
b.
Cliquez sur Télécharger.
c.
Spécifiez l'emplacement dans lequel enregistrer le fichier.
d.
11. Enregistrez le rapport dans un fichier XML :
a.
Cliquez sur Exporter vers fichier XML.
A-31
b.
Cliquez sur Télécharger.
c.
Spécifiez l'emplacement dans lequel enregistrer le fichier.
d.
Conseil
Pour afficher davantage de résultats sur un écran unique, sélectionnez une valeur
différente dans Rangées par page. Un écran unique peut afficher 10, 15, 30 ou 50
résultats de requête par page.
12. Enregistrez les paramètres de la requête :
a.
Cliquez sur Enregistrer les paramètres de requête.
b.
Saisissez un nom pour la requête enregistrée dans le champ Nom de la
requête.
c.
Cliquez sur OK.
La requête enregistrée apparaît dans l'écran Requêtes ad hoc enregistrées.
À propos de la restauration de produits gérés supprimés
du répertoire Produits
Les cas de figure suivants peuvent entraîner la suppression de certains produits gérés du
répertoire Produits :
•
Réinstallation du serveur Control Manager et sélection de l’option Supprimer les
enregistrements existants et créer une nouvelle base de données
Cette option entraîne la création d’une nouvelle base de données portant le nom de
la base existante.
•
Remplacement d'une base de données Control Manager endommagée par une
autre base de données du même nom
•
Suppression accidentelle du produit géré dans le Gestionnaire de répertoires
Lorsque les enregistrements des produits gérés d'un serveur Control Manager sont
perdus, les agents TMI conservent ces informations et « savent » par conséquent où elles
A-32
sont enregistrées. L’agent Control Manager se réenregistre automatiquement au bout de
8 heures ou au redémarrage du service.
Les agents MCP ne se réenregistrent pas automatiquement. Les administrateurs doivent
réenregistrer manuellement les produits utilisant des agents MCP.
Restauration de produits gérés supprimés du répertoire
Produits
Procédure
•
Redémarrez le service Trend Micro Control Manager sur le serveur des produits
gérés. Pour plus d’informations, consultez la section Arrêt et redémarrage des services
Control Manager à la page A-33.
•
Attendez que l’agent se réenregistre : Par défaut, les anciens agents
Control Manager vérifient leur connexion au serveur toutes les huit (8) heures. S’il
détecte que son enregistrement a été supprimé, il se réenregistre automatiquement.
•
Procédez à un réenregistrement manuel sur Control Manager : Les agents MCP ne
se réenregistrent pas automatiquement et doivent être réenregistrés manuellement
sur le serveur Control Manager.
Arrêt et redémarrage des services Control Manager
L’écran Services Windows permet de redémarrer n'importe lequel des services Control
Manager suivants :
•
Trend Micro Management Infrastructure
•
Trend Micro Common CGI
•
Trend Micro Control Manager
Remarque
Il s'agit des services exécutés en arrière-plan dans le système d'exploitation Windows, non
pas des services Trend Micro qui nécessitent des codes d'activation (par exemple, Outbreak
Prevention Services).
A-33
Procédure
1.
Cliquez sur Démarrer > Programmes > Outils d'administration > Services
pour ouvrir l'écran Services.
2.
Cliquez avec le bouton droit de la souris sur <Service Control Manager>, puis
cliquez sur Arrêter.
3.
Cliquez avec le bouton droit de la souris sur <Service Control Manager>, puis
cliquez sur Démarrer.
Recherche de produits gérés, de dossiers du répertoire
Produits ou d'ordinateurs
Utilisez le bouton Rechercher pour localiser rapidement un produit géré donné dans le
répertoire Produits.
Recherche d'un dossier ou d'un produit géré
Procédure
1.
Accédez au répertoire Produits.
2.
Saisissez le nom d'affichage du produit géré dans le champ Chercher entité.
3.
Cliquez sur Rechercher.
Effectuer une recherche avancée
Procédure
1.
Accédez au répertoire Produits.
2.
Cliquez sur Recherche avancée.
L’écran Recherche avancée apparaît.
A-34
3.
Spécifiez vos critères de filtrage pour le produit. Control Manager prend en charge
jusqu'à 20 critères de filtrage pour les recherches.
4.
Cliquez sur Rechercher pour lancer la recherche.
Les résultats de la recherche apparaissent dans le dossier Résultat de la recherche
du répertoire Produits.
Actualisation du répertoire Produits
Procédure
•
Dans l'écran Répertoire Produits, cliquez sur l’icône Actualiser dans le coin
supérieur droit de l'écran.
Définition de l'écran Gestionnaire des répertoires
Une fois l’enregistrement sur Control Manager effectué, le produit géré apparaît dans le
dossier par défaut du répertoire Produits.
Utilisez l'écran Gestionnaire de répertoires pour personnaliser la structure du répertoire
Produits en fonction de vos besoins d'administration. Vous pouvez ainsi regrouper les
produits par emplacement ou type de produit (sécurité de messagerie, sécurité Web,
protection du stockage des fichiers).
Le gestionnaire de répertoires permet de créer, modifier ou supprimer des dossiers, et de
déplacer des produits gérés d'un dossier vers un autre. Il est toutefois impossible de
supprimer ou de renommer le dossier Nouvelle entité.
A-35
Organisez soigneusement les produits gérés appartenant à chaque dossier. Tenez compte
des facteurs suivants lors de la planification et de l’implémentation de la structure des
dossiers et des produits gérés :
•
Répertoire Produits
•
Comptes utilisateurs
•
Plans de déploiement
•
Requête ad hoc
•
Rapports Control Manager
Regroupez des produits gérés selon des critères géographiques, administratifs ou
spécifiques de ces produits. Le tableau suivant indique les types de regroupement
recommandés avec leurs avantages et leurs inconvénients. Il présente également les
différents droits d'accès aux produits gérés ou aux dossiers dans le répertoire.
TABLEAU A-9. Comparaison des groupes de produits
TYPE DE REGROUPEMENT
AVANTAGES
INCONVÉNIENTS
Géographique ou
administratif
Structure claire
Aucune configuration de
groupe pour des produits
identiques
Type de produit
Configuration de groupe et
état disponible
Incompatibilité possible des
droits d’accès
Combinaison des deux
Configuration de groupes et
gestion des droits d’accès
Structure complexe, risque
d’être difficile à gérer
Utilisation des options de l'écran Gestionnaire de
répertoires
Ces options vous permettent de manipuler et d’organiser les produits gérés de votre
réseau Control Manager.
L'écran Gestionnaire de répertoires propose plusieurs options :
•
A-36
Ajouter des répertoires au répertoire Produits
•
Renommer des répertoires dans le répertoire Produits
•
Déplacer des produits gérés ou des répertoires dans le répertoire Produits
•
Supprimer des produits gérés ou des répertoires du répertoire Produits
Remarque
La case à cocher de maintien des autorisations permet à un dossier de conserver son
autorisation source lorsqu'il est déplacé.
Utilisation de l'écran Gestionnaire des répertoires
Procédure
•
Sélectionnez un produit géré ou un répertoire et cliquez sur Renommer pour
renommer un produit géré ou un répertoire.
•
Cliquez sur le signe + ou sur un dossier pour afficher les produits gérés
appartenant à ce dossier.
•
Utilisez la fonction de glisser-déplacer pour déplacer les produits gérés ou les
répertoires vers le répertoire Produits
•
Cliquez sur Ajouter dossier pour ajouter un répertoire au répertoire Produits
Accès à l'écran Gestionnaire des répertoires
Utilisez l'écran Gestion des répertoires pour regrouper les produits gérés.
Procédure
1.
A-37
2.
Cliquez sur Gestionnaire des répertoires depuis le menu Répertoire Produits.
L'écran Gestion des répertoires apparaît.
Création de dossiers
Vous pouvez regrouper des produits gérés dans différents dossiers, en fonction des
besoins du modèle d’administration du réseau Control Manager en vigueur dans votre
organisation.
Procédure
1.
2.
3.
Sélectionnez Dossier local.
4.
Cliquez sur Ajouter dossier.
L'écran Ajouter répertoire apparaît.
A-38
5.
Saisissez un nom pour le nouveau répertoire dans le champ Nom du répertoire.
6.
Remarque
À l’exception du dossier Nouvelle entité, Control Manager répertorie tous les dossiers par
ordre croissant, en commençant par les caractères spéciaux (!, #, $, %, (, ), *, +, -, virgule,
point, +, ?, @, [, ], ^, _, {, |, }, et ~), suivis des nombres (0 à 9), puis des caractères
alphabétiques (a/A à z/Z).
Changement du nom d'un dossier ou d'un produit géré
Vous pouvez renommer les répertoires et produits gérés depuis le gestionnaire de
répertoires.
Remarque
Le fait de renommer un produit géré ne change que le nom stocké dans la base de données
de Control Manager : cela n’a aucune incidence sur le produit géré.
Procédure
1.
2.
3.
Sélectionnez le produit géré ou le répertoire à renommer.
4.
Cliquez sur Renommer.
L'écran Renommer le répertoire apparaît.
5.
Saisissez un nom pour le produit géré ou le répertoire dans le champ Nom du
répertoire.
6.
A-39
7.
Cliquez sur OK.
Le produit géré ou le répertoire s'affiche dans le répertoire Produits avec le
nouveau nom.
Déplacement d'un dossier ou d'un produit géré
Lorsque vous déplacez des dossiers, portez une attention particulière à la case à cocher
Maintenez les permissions d'accès de l'utilisateur en cours pour déplacer les
produits gérés/dossiers. Si vous sélectionnez cette case à cocher et déplacez un
produit géré ou un dossier, le produit géré ou le dossier conserve les permissions de son
dossier source. Si vous désactivez la case à cocher de maintien des permissions, puis
déplacez un produit géré ou un dossier, le produit géré ou le dossier récupère les
permissions d'accès de son nouveau dossier parent.
Procédure
1.
2.
3.
Dans la zone de travail, sélectionnez le dossier ou le produit géré à déplacer.
4.
Glissez le dossier ou le produit géré dans le nouvel emplacement cible.
5.
Suppression d'un dossier défini par l'utilisateur
Faites preuve de prudence lors de la suppression de dossiers définis par l'utilisateur dans
l'écran Gestionnaire des répertoires. Vous risquez de supprimer accidentellement un
produit géré, ce qui entraîne l'annulation de son enregistrement sur le serveur Control
Manager.
A-40
Remarque
Il n'est pas possible de supprimer le dossier Nouvelle entité.
Procédure
1.
2.
3.
Sélectionnez le produit géré ou le répertoire à supprimer.
4.
Une fenêtre de confirmation apparaît.
5.
Cliquez sur OK.
6.
Téléchargement et déploiement de nouveaux
composants
Trend Micro recommande de mettre à jour les composants antivirus et de sécurité de
contenu pour protéger le réseau des virus et des programmes malveillants les plus
récents.
Par défaut, Control Manager permet de ne télécharger que les composants appartenant à
des produits gérés enregistrés sur le serveur Control Manager. Control Manager active le
téléchargement du fichier de signatures de virus, même si aucun produit géré n'est
enregistré sur le serveur Control Manager.
Les composants suivants doivent être mis à jour (il sont classés dans l'ordre de priorité
de mise à jour).
A-41
TABLEAU A-10. Composants disponibles
COMPOSANT
DESCRIPTION
fichiers de signatures/modèles Damage
Cleanup
Un produit géré tire sa capacité à détecter
et à éradiquer des infections malveillantes
des fichiers de signatures et des modèles
Damage Cleanup qui contiennent des
centaines de signatures de programmes
malveillants (par exemple, des virus ou des
chevaux de Troie).
Règles anti-spam
Les règles anti-spam sont des fichiers
fournis par Trend Micro pour filtrer du
courrier et des données indésirables.
Moteurs
Les moteurs désignent les moteurs de
scan antivirus/anti-programmes
malveillants, le moteur Damage Cleanup,
les moteurs VirusWall, le moteur de scan
de programmes espions/graywares, etc.
Ces composants exécutent les fonctions
de scan et de nettoyage.
Programmes plug-in OfficeScan
Les programmes plug-in OfficeScan (par
exemple, Trend Micro Security for Mac).
Remarque
La console Web OfficeScan affiche
tous les programmes plug-in
disponibles. Vous pouvez spécifier
de les télécharger depuis Control
Manager. Il se peut toutefois que
Control Manager ne dispose pas du
programme plug-in téléchargé. Dans
ce cas, OfficeScan ne peut pas
télécharger le programme plug-in
spécifié depuis Control Manager.
Avant d'indiquer un programme
plug-in à télécharger vers
OfficeScan, vérifiez que Control
Manager l'a déjà téléchargé.
A-42
COMPOSANT
Programmes du produit et pool de widgets
DESCRIPTION
Composants spécifiques au produit (les
Service Packs, par exemple) et le pool de
widgets de Control Manager
Remarque
Seuls les utilisateurs enregistrés bénéficient de la mise à jour des composants.
Pour minimiser le trafic du réseau Control Manager, désactivez le téléchargement des
composants de produits gérés qui ne sont pas installés.
L'écran Liste des composants dresse la liste complète des composants de Control
Manager disponibles pour les produits gérés. Cette liste indique également les
composants utilisés par les produits gérés. Sélectionnez Mises à jour > Liste des
composants pour ouvrir l'écran Liste des composants.
FIGURE A-2. L'écran Liste des composants
Le serveur Control Manager conserve uniquement la version la plus récente des
composants. Vous pouvez vérifier l'historique des versions d'un composant dans le
fichier racine>:\Program Files\Trend Micro\Control Manager\AU_log
\TmuDump.txt. TmuDump.txt est généré lorsque le débogage ActiveUpdate est
activé.
A-43
Conseil
Pour minimiser le trafic du réseau Control Manager, désactivez le téléchargement des
composants de produits ou de services gérés qui ne sont pas installés. Si vous enregistrez
des produits gérés ou activez des services ultérieurement, veillez à configurer le
téléchargement manuel ou programmé des composants correspondants.
Téléchargement manuel de composants
Téléchargez manuellement des mises à jour de composants lorsque vous installez
Control Manager pour la première fois, lorsque le réseau fait l’objet d’une attaque ou
lorsque vous voulez tester de nouveaux composants avant de les déployer sur le réseau.
Trend Micro recommande la méthode suivante pour configurer les téléchargements
manuels. Cette procédure comporte plusieurs étapes.
Conseil
Ignorez les étapes 1 et 2 si vous avez déjà défini un plan de déploiement et les paramètres
proxy.
•
Étape 1 : Configuration d’un plan de déploiement des composants
•
Étape 2 : Configuration des paramètres du proxy (en cas d’utilisation d’un serveur
proxy)
•
Étape 3 : Sélection des composants à mettre à jour
•
Étape 4 : Configuration des paramètres de téléchargement
•
Étape 5 : Configuration des paramètres de déploiement automatique
•
Étape 6 : Exécution du téléchargement manuel
A-44
Étape 1 : Configuration d’un plan de déploiement des
composants
Procédure
1.
Accédez à Mises à jour > Plan de déploiement.
L’écran Plan de déploiement apparaît.
2.
L'écran Ajouter un nouveau plan apparaît.
3.
Saisissez un nom de plan de déploiement dans le champ Nom.
4.
Cliquez sur Ajouter pour indiquer les détails du plan de déploiement.
L'écran Ajouter une nouvelle programmation apparaît.
A-45
5.
Dans l'écran Ajouter une nouvelle programmation, choisissez une
programmation de l’heure de déploiement en sélectionnant l’une des options
suivantes :
•
Commencer à : exécute le déploiement à l’heure indiquée
Spécifiez l’heure choisie (heures et minutes) à l’aide des listes déroulantes.
•
Retard : après avoir téléchargé les composants de mise à jour, Control
Manager retarde le déploiement de la durée que vous indiquez
Spécifiez la durée (en heures et minutes) à l’aide des listes déroulantes.
6.
Sélectionnez le dossier du répertoire Produits auquel vous souhaitez appliquer la
programmation. Control Manager applique la programmation à tous les produits
figurant dans le dossier sélectionné.
7.
8.
Cliquez sur Enregistrer pour appliquer le nouveau plan de déploiement.
Étape 2 : Configuration des paramètres proxy (en cas
d’utilisation d’un serveur proxy)
Procédure
1.
A-46
Accédez à Administration > Paramètres > Paramètres proxy.
L'écran Paramètres de connexion apparaît.
2.
Sélectionnez Utiliser un serveur proxy pour les mises à jour de fichiers de
signatures, de moteur et de licence.
3.
Sélectionnez le protocole :
•
HTTP
•
SOCKS 4
•
SOCKS 5
4.
Saisissez le nom d’hôte ou l’adresse IP du serveur dans le champ Nom de serveur
ou adresse IP.
5.
Saisissez un numéro de port dans le champ Port.
6.
Saisissez un nom et un mot de passe de connexion si votre serveur vous demande
de vous authentifier.
7.
Procédure
1.
Accédez à Mises à jour > Téléchargement manuel.
A-47
L’écran Téléchargement manuel apparaît.
2.
A-48
Dans la zone Catégorie de composant, sélectionnez les composants à télécharger.
a.
Cliquez sur l’icône + pour développer la liste des composants pour chaque
groupe de composants.
b.
Sélectionnez les composants à télécharger. Pour sélectionner tous les
composants d’un groupe, sélectionnez :
•
Fichiers de signatures/modèles Damage Cleanup
•
Règles anti-spam
•
Moteurs
•
•
Procédure
1.
Sélectionnez la source de mise à jour :
•
Internet : serveur de mise à jour Trend Micro : téléchargez les composants
à partir du Trend Micro ActiveUpdate Server officiel.
•
Autre source de mise à jour : saisissez l'URL de la source de mise à jour
dans le champ correspondant.
Après avoir coché l’option Autre source de mise à jour, vous pouvez
spécifier plusieurs sources de mise à jour. Cliquez sur l'icône + pour ajouter
une source de mise à jour. Vous pouvez sélectionner jusqu’à cinq sources de
mise à jour.
2.
Sélectionnez Fréquence de réessai et spécifiez le nombre de nouvelles tentatives
et la durée entre deux tentatives de téléchargement de composants.
Conseil
Cliquez sur Enregistrer avant de cliquer sur Modifier ou Plan de déploiement
dans cet écran. Vous perdrez vos paramètres si vous ne cliquez pas sur Enregistrer.
3.
Si vous utilisez un serveur proxy HTTP sur le réseau (si le serveur Control Manager
n'a pas d'accès Internet direct), cliquez sur Modifier pour configurer les paramètres
proxy dans l'écran Paramètres de connexion.
A-49
Étape 5 : Configuration des paramètres de déploiement
automatique
Procédure
1.
Spécifiez quand vous voulez déployer les composants téléchargés depuis la zone
Paramètres de déploiement automatique. Les options sont les suivantes :
•
Ne pas déployer : les composants sont téléchargés sur Control Manager,
mais ne sont pas déployés sur des produits gérés. Utilisez cette option dans les
conditions suivantes :
•
Déploiement sur des produits gérés de façon individuelle
•
Test des composants téléchargés avant déploiement
•
Déployer immédiatement sur tous les produits : les composants sont
téléchargés sur Control Manager, puis déployés sur des produits gérés.
•
Sur la base du plan de déploiement : les composants sont téléchargés sur
Control Manager, puis déployés sur des produits gérés selon la
programmation que vous avez sélectionnée.
•
Lors de la détection de nouvelles mises à jour : les composants sont
téléchargés sur Control Manager lorsque de nouveaux composants sont
disponibles à partir de la source de mise à jour, puis déployés sur des produits
gérés selon la programmation que vous avez sélectionnée.
Conseil
Étape 6 : Exécution du téléchargement manuel
Procédure
1.
A-50
Cliquez sur Télécharger maintenant, puis cliquez sur OK pour confirmer.
L’écran d’informations sur le téléchargement apparaît. La barre de progression
indique l’état du téléchargement.
2.
Cliquez sur Détails sur la commande pour afficher les informations de l'écran
Détails sur la commande.
3.
Cliquez sur OK pour revenir à l’écran Téléchargement manuel.
Description des exceptions de téléchargement
programmé
Les administrateurs peuvent programmer des exceptions de téléchargement pour
empêcher Control Manager de télécharger des composants de mise à jour Trend Micro
pendant certains jours ou à certaines heures de la journée.
Cette fonction est particulièrement utile pour les administrateurs préférant que Control
Manager ne télécharge pas de composants en dehors des jours ouvrés ou des heures
d'ouverture.
Remarque
Les exceptions de programmation quotidiennes s'appliquent aux jours sélectionnés, tandis
que les exceptions de programmation par heure s'appliquent à chaque jour de la semaine.
Exemple : l'administrateur souhaite que Control Manager ne télécharge pas de composants
les weekends ou après les heures de travail des jours de semaine. L'administrateur active
Exception de programmation quotidienne et sélectionne Samedi et Dimanche.
L'administrateur active ensuite Exceptions de programmation par heure et spécifie les
heures entre 00:00 et 9:00 et 18:00 et 24:00.
Configuration d'exceptions de téléchargement programmé
Procédure
1.
Accédez à Mises à jour > Exceptions de téléchargement programmé.
L’écran Exceptions de téléchargement programmé apparaît.
A-51
2.
3.
Effectuez une ou plusieurs des opérations suivantes :
•
Pour programmer une exception quotidienne, dans Exceptions de
programmation quotidienne, spécifiez le(s) jour(s) où vous ne souhaitez pas
effectuer de téléchargement, puis sélectionnez Ne pas télécharger de mises
à jour au(x) jour(s) spécifié(s). Chaque semaine, aux jours sélectionnés,
Control Manager bloque tous les téléchargements.
•
Pour programmer une exception à une heure spécifique, dans Exceptions de
programmation par heure, spécifiez les heures auxquelles vous ne souhaitez
pas de téléchargement, puis sélectionnez Ne pas télécharger de mises à
jour au(x) heure(s) spécifiée(s). Chaque jour, aux heures sélectionnées,
Control Manager bloque tous les téléchargements.
Configuration de téléchargements programmés
Vous pouvez programmer le téléchargement des composants pour les maintenir à jour
et protéger le réseau au maximum. Control Manager prend en charge le téléchargement
granulaire des composants. Vous pouvez programmer le téléchargement de composants
spécifiques ou de groupes de composants. Toutes les programmations sont
indépendantes les unes des autres. Lorsque vous programmez le téléchargement d'un
groupe de composants, vous programmez le téléchargement de tous les composants de
ce groupe.
A-52
Accédez à l’écran Téléchargement programmé pour obtenir les informations
suivantes sur les composants actuellement installés dans votre système Control
Manager :
•
Fréquence : indique la fréquence de mise à jour des composants.
•
Activé : indique si la programmation du composant est activée ou non.
•
Source de mise à jour : affiche l’URL ou le chemin d’accès à la source de mise à
jour.
La procédure de programmation du téléchargement de composants comporte les étapes
suivantes :
•
Étape 1 : Configuration d’un plan de déploiement des composants
•
Étape 2 : Configuration des paramètres du proxy (en cas d’utilisation d’un serveur
proxy)
•
•
Étape 4 : Configuration de la programmation de téléchargement
•
•
Étape 6 : Configuration des paramètres de déploiement automatique
•
Étape 7 : Activation de la programmation et enregistrement des paramètres
Étape 1 : Configuration d’un plan de déploiement des
composants
Procédure
1.
Accédez à Mises à jour > Plan de déploiement.
L’écran Plan de déploiement apparaît.
A-53
2.
3.
Saisissez un nom de plan de déploiement dans le champ Nom.
4.
Cliquez sur Ajouter pour indiquer les détails du plan de déploiement.
L'écran Ajouter une nouvelle programmation apparaît.
5.
Choisissez une heure de déploiement en sélectionnant une des options suivantes :
•
A-54
Commencer à : exécute le déploiement à l’heure indiquée
Spécifiez l’heure choisie (heures et minutes) à l’aide des listes déroulantes.
•
Retard : après avoir téléchargé les composants de mise à jour, Control
Manager retarde le déploiement de la durée que vous indiquez
Spécifiez la durée (en heures et minutes) à l’aide des listes déroulantes.
6.
Sélectionnez le dossier du répertoire Produits auquel vous souhaitez appliquer la
programmation. Control Manager applique la programmation à tous les produits
figurant dans le dossier sélectionné.
7.
8.
Cliquez sur Enregistrer pour appliquer le nouveau plan de déploiement.
Étape 2 : Configuration des paramètres proxy (en cas
d’utilisation d’un serveur proxy)
Procédure
1.
2.
A-55
3.
•
HTTP
•
SOCKS 4
•
SOCKS 5
4.
ou adresse IP.
5.
Saisissez un numéro de port pour le serveur proxy dans le champ Port.
6.
7.
Procédure
1.
Accédez à Mises à jour > Téléchargement programmé.
L’écran Téléchargement programmé apparaît.
2.
A-56
a.
b.
•
Tous les fichiers de signatures/modèles Damage Cleanup
•
Toutes les règles anti-spam
•
Tous les moteurs
•
•
L’écran <Nom du composant> apparaît. Où <Nom du composant>
correspond au nom du composant que vous avez sélectionné.
Étape 4 : Configuration de la programmation de
téléchargement
Procédure
1.
Sélectionnez la case Activer téléchargement programmé pour activer le
téléchargement programmé du composant.
A-57
2.
Définissez la programmation de téléchargement. Sélectionnez une fréquence et
spécifiez la programmation requise à partir des listes déroulantes appropriées. Vous
pouvez programmer un téléchargement toutes les minutes, toutes les heures, selon
une fréquence quotidienne ou hebdomadaire.
3.
Définissez la date et l’heure de prise en compte de la programmation à partir des
listes déroulantes Heure de début.
Procédure
1.
Sélectionnez la source de mise à jour :
•
Internet : serveur de mise à jour Trend Micro : téléchargez les composants
à partir du Trend Micro ActiveUpdate Server officiel.
•
Autre source de mise à jour : saisissez l'URL de la source de mise à jour
dans le champ correspondant.
spécifier plusieurs sources de mise à jour. Cliquez sur l'icône + pour ajouter
une source de mise à jour. Vous pouvez sélectionner jusqu’à cinq sources de
mise à jour.
2.
Sélectionnez Fréquence de réessai et spécifiez le nombre de nouvelles tentatives
et la durée entre deux tentatives de téléchargement de composants.
Remarque
3.
A-58
Si vous utilisez un serveur proxy HTTP sur le réseau (si le serveur Control Manager
n'a pas d'accès Internet direct), cliquez sur Modifier pour configurer les paramètres
proxy dans l'écran Paramètres de connexion.
Étape 6 : Configuration des paramètres de déploiement
automatique
Procédure
1.
•
•
•
•
Déployer immédiatement : les composants sont téléchargés sur Control
Manager, puis déployés sur des produits gérés.
•
•
téléchargés sur Control Manager, puis déployés vers les produits gérés lorsque
de nouveaux composants sont disponibles sur la source de mise à jour.
Remarque
2.
Sélectionnez un plan de déploiement une fois les composants téléchargés sur
Control Manager, dans l'écran Plan de déploiement.
3.
A-59
Étape 7 : Activation de la programmation et enregistrement
des paramètres
Procédure
1.
Cliquez sur le bouton État dans la colonne Activer.
2.
Configuration de la programmation et de la fréquence d'un
téléchargement programmé
Spécifiez la fréquence à laquelle Control Manager doit télécharger les mises à jour de
composants dans le groupe Programmation et fréquence.
Procédure
1.
2.
A-60
a.
b.
•
•
•
Tous les moteurs
•
•
3.
4.
Sous Programmation et fréquence :
a.
Définissez la programmation de téléchargement. Sélectionnez une fréquence
et spécifiez la programmation requise à partir des listes déroulantes
appropriées. Vous pouvez programmer un téléchargement toutes les minutes,
toutes les heures, selon une fréquence quotidienne ou hebdomadaire.
b.
Définissez la date et l’heure de prise en compte de la programmation à partir
des listes déroulantes Heure de début.
Configuration des paramètres de téléchargement
programmé
Vous définissez les composants à télécharger automatiquement et la méthode de
téléchargement dans le groupe Paramètres de téléchargement.
Procédure
1.
2.
a.
b.
•
•
•
Tous les moteurs
A-61
•
•
3.
Dans Paramètres de téléchargement, sélectionnez une des sources de mise à jour
suivantes :
•
Internet : serveur de mise à jour Trend Micro : Control Manager
télécharge les composants les plus récents à partir de Trend Micro
ActiveUpdate Server (option par défaut).
•
Autre source de mise à jour : spécifiez l'URL de la source où se trouve la
version la plus récente du composant (le serveur Intranet de votre société, par
exemple).
spécifier plusieurs sources de mise à jour. Cliquez sur l’icône + pour ajouter
une autre source de mise à jour. Vous pouvez sélectionner jusqu’à cinq
sources de mise à jour.
4.
Sélectionnez Fréquence de réessai pour que Control Manager essaye à nouveau
de télécharger les composants les plus récents. Spécifiez le nombre et la fréquence
des tentatives dans les champs correspondants.
Remarque
5.
Si vous utilisez un serveur proxy sur le réseau (si le serveur Control Manager n’a
pas d'accès Internet direct), cliquez sur Modifier pour configurer les paramètres
proxy dans l’écran Paramètres de connexion.
6.
A-62
Configuration des paramètres de déploiement
automatique de téléchargements programmés
Utilisez le groupe de paramètres de déploiement automatique pour définir comment les
mises à jour sont déployées par Control Manager.
Procédure
1.
2.
a.
b.
•
•
•
Tous les moteurs
•
•
3.
•
•
•
A-63
•
Déployer immédiatement : les composants sont téléchargés sur Control
Manager, puis déployés sur des produits gérés.
•
•
téléchargés sur Control Manager lorsque de nouveaux composants sont
disponibles à partir de la source de mise à jour, puis déployés sur des produits
gérés selon la programmation que vous avez sélectionnée.
Remarque
4.
Sélectionnez un plan de déploiement une fois les composants téléchargés sur
Control Manager, dans l'écran Plan de déploiement.
5.
Remarque
Les paramètres de déploiement automatique s’appliquent uniquement aux
composants utilisés par des produits gérés.
Définition des plans de déploiement
Un plan de déploiement permet de définir l'ordre dans lequel Control Manager met à
jour vos groupes de produits gérés. Avec Control Manager, vous pouvez appliquer
plusieurs plans de déploiement à différents produits gérés lors de différentes
programmations. Par exemple, pendant une épidémie virale impliquant un virus de
messagerie, vous pouvez donner la priorité à la mise à jour des composants de votre
logiciel de scan de messagerie, comme le dernier fichier de signatures de virus pour
ScanMail for Microsoft Exchange de Trend Micro.
L'installation de Control Manager crée deux plans de déploiement :
A-64
•
Déployer vers tous les produits gérés (par défaut) : plan par défaut utilisé durant les
mises à jour des composants
•
Déployer vers tous immédiatement (prévention des épidémies) : plan par défaut
pour les Outbreak Prevention Services, étape de prévention
Par défaut, ces plans déploient immédiatement des mises à jour sur tous les produits du
répertoire Produits.
Sélectionnez ou créez des plans dans les écrans de téléchargement manuel et
programmé. Personnalisez ces plans ou créez-en de nouveaux, selon ce qui est requis par
votre réseau. Par exemple, créez des plans de déploiement en fonction de la nature de
l'épidémie :
•
Virus de messagerie
•
Virus se propageant via le partage de fichier
Le déploiement de mises à jour vers le répertoire Produits est distinct du processus de
téléchargement.
Control Manager télécharge les composants et réalise le plan de déploiement selon les
paramètres de téléchargement manuel ou programmé.
Lors de la création ou de l'implémentation d'un plan de déploiement, soyez attentifs aux
éléments suivants :
•
Attribuez des programmations de déploiement aux dossiers et non à des produits
spécifiques.
La planification du contenu des dossiers du répertoire Produits est donc très
importante.
•
Vous ne pouvez inclure qu'un dossier pour chaque programmation de plan de
déploiement.
Toutefois, vous pouvez spécifier plus d'une programmation par plan de
déploiement.
•
Control Manager prend en compte l'heure de fin du téléchargement pour les
retards de plans de déploiement, de façon indépendante les uns des autres.
A-65
Par exemple, si vous souhaitez mettre à jour trois dossiers à 5 minutes d'intervalle,
vous pouvez attribuer au premier dossier un retard de 5 minutes, puis définir des
retards de 10 et 15 minutes pour les deux autres dossiers.
Configuration des paramètres proxy
Configurez la connexion au serveur proxy pour les téléchargements de composants et
les mises à jour de licence.
Procédure
1.
2.
3.
4.
A-66
•
HTTP
•
SOCKS 4
•
SOCKS 5
ou adresse IP.
5.
Saisissez un numéro de port dans le champ Port.
6.
7.
Configuration des paramètres de mise à jour/déploiement
Le téléchargement de composants via HTTPS à partir de Trend Micro ActiveUpdate
Server (la source de téléchargement par défaut) ou d'une autre source de mise à jour
constitue une méthode de récupération des composants plus sûre.
Si vous téléchargez des composants à partir d’un répertoire partagé sur un réseau, vous
devez définir l’authentification Windows locale et l’authentification UNC à distance.
L'authentification Windows locale renvoie au compte utilisateur Active Directory sur le
serveur Control Manager. Vérifiez les éléments suivants pour ce compte :
•
Privilège de l’administrateur
•
Définition de la stratégie Connexion en tant que travail par lots
L'authentification UNC à distance utilise un compte utilisateur du serveur source de
composants qui est autorisé à partager un dossier dans lequel Control Manager
téléchargera les mises à jour.
Activation du téléchargement HTTPS
Procédure
1.
Accédez à Mises à jour > Paramètres de Mise à jour/de déploiement.
L'écran Paramètres de mise à jour/de déploiement apparaît.
A-67
2.
Sélectionnez Activer HTTPS pour la source de téléchargement de mises à
jour par défaut.
3.
4.
Accédez à l'écran Téléchargement manuel ou Téléchargement programmé.
5.
Dans la zone de travail sous Paramètres de téléchargement, sélectionnez
Internet : serveur de mise à jour Trend Micro ou indiquez le serveur de
composants de votre entreprise dans le champ Autre source de mise à jour.
6.
Activation du téléchargement UNC
Procédure
1.
Accédez à Mises à jour > Paramètres de Mise à jour/de déploiement.
L'écran Paramètres de mise à jour/de déploiement apparaît.
2.
Saisissez les noms d'utilisateurs et mots de passe de l'Authentification Windows
locale et de l'Authentification UNC à distance.
3.
4.
Accédez à l'écran Téléchargement manuel ou Téléchargement programmé.
A-68
5.
Dans la zone de travail sous le groupe Paramètres de téléchargement,
sélectionnez Autre source de mise à jour et indiquez le dossier partagé sur le
réseau.
6.
Définition de la stratégie « Connexion en tant que tâche
par lots »
L'authentification Windows locale renvoie au compte utilisateur Active Directory sur le
serveur Control Manager. Vérifiez les éléments suivants pour ce compte :
•
Privilège de l’administrateur
•
Définition de la stratégie « Connexion en tant que tâche par lots »
Procédure
1.
Cliquez sur Démarrer > Paramètres > Panneau de configuration.
2.
Cliquez sur Outils d'administration.
3.
Ouvrez la Stratégie de sécurité locale. L’écran de configuration de la sécurité
locale apparaît.
4.
Cliquez sur Stratégies locales > Attribution de droits utilisateurs.
5.
Double-cliquez sur Connexion en tant que travail par lots.
La boîte de dialogue Propriétés de Connexion en tant que travail par lots
apparaît.
6.
Ajoutez l'utilisateur s'il n'est pas dans la liste.
Utilisation des journaux
Bien que Control Manager reçoive des données de divers types de journaux, il permet
désormais aux utilisateurs d'effectuer des recherches de données de journal directement
A-69
dans la base de données Control Manager. Les utilisateurs peuvent ainsi spécifier des
critères de filtrage pour n'obtenir que les informations qui les intéressent.
Control Manager permet également désormais le regroupement de journaux. Le
regroupement de journaux peut améliorer les performances des recherches et réduire la
bande passante réseau utilisée par les produits gérés lors de l'envoi de journaux à Control
Manager. Toutefois, de nombreuses données sont perdues en raison du regroupement.
Control Manager ne peut pas rechercher des données si celles-ci ne sont pas dans la base
de données Control Manager.
Description des journaux de produits gérés
Les journaux de produits gérés contiennent des informations sur les performances des
produits gérés. Vous pouvez y trouver des informations sur des produits spécifiques ou
des groupes de produits gérés par le serveur parent ou enfant. Grâce aux capacités de
filtrage de données et de recherche de données sur les journaux de Control Manager, les
administrateurs peuvent à présent se concentrer sur les informations dont ils ont besoin.
Remarque
Plus vous avez de journaux, plus vous disposez d'informations sur le réseau de Control
Manager. Toutefois, ces journaux occupent de l'espace disque. Il vous appartient donc de
trouver le juste équilibre entre le besoin d’informations et la disponibilité des ressources
système.
Les produits gérés génèrent différents types de journaux selon leur fonction.
TABLEAU A-11. Journaux de produits gérés
CATÉGORIE DE JOURNAL
Informations sur le produit
A-70
DESCRIPTION
Les journaux d'information sur les produits fournissent
des renseignements sur des sujets allant de l'accès des
utilisateurs et des événements sur les produits gérés
jusqu'au déploiement des composants et de l'état des
mises à jour.
•
Informations sur les produits gérés
•
Informations relatives aux composants
CATÉGORIE DE JOURNAL
Informations sur les
menaces de sécurité
Informations sur la
protection des données
DESCRIPTION
Les journaux des menaces de sécurité fournissent des
informations relatives aux menaces de sécurité connues
et potentielles détectées sur votre réseau.
•
Informations sur les virus/programmes malveillants
•
Informations sur les programmes espions/graywares
•
Informations sur les violations de contenu
•
Informations sur les violations de spam
•
Informations sur les violations de stratégies/règles
•
Informations sur les violations de sécurité/de
réputation Web
•
Informations sur les menaces suspectes
•
Informations sur l'ensemble des menaces
Les journaux de protection des données fournissent des
informations sur les incidents de prévention contre la
perte de données, les correspondances de modèles et
les sources des incidents.
•
Informations sur la prévention contre la perte de
données
Requête de données de journaux
Les requêtes ad hoc offrent une méthode simple aux administrateurs pour retrouver
directement des informations à partir de la base de données de Control Manager. La
base de données regroupe toutes les informations recueillies à partir de tous les produits
enregistrés auprès du serveur Control Manager (le regroupement des journaux peut
modifier les données disponibles à la requête). Les requêtes ad hoc constituent un outil
très performant pour les administrateurs.
En faisant une requête de données, les administrateurs peuvent filtrer les critères de
requête pour obtenir uniquement les données dont ils ont besoin. Les administrateurs
peuvent ensuite exporter ces données au format CSV ou XML pour faire une analyse
détaillée, ou encore enregistrer la requête pour une recherche ultérieure. Control
A-71
Manager prend également en charge le partage des requêtes enregistrées avec les autres
utilisateurs pour que ces derniers puissent bénéficier des requêtes utiles.
Le processus d'une requête ad hoc comporte les étapes suivantes :
•
Étape 1 : Sélectionnez le produit géré ou le serveur Control Manager actuel pour la
requête
•
Étape 2 : Sélectionnez l'affichage des données de la requête
•
Étape 3 : Spécifiez les critères de filtrage et les informations spécifiques à afficher
•
Étape 4 : Enregistrez et terminez la requête
•
Étape 5 : Exportez les données au format CSV ou XML
Remarque
Control Manager prend en charge le partage des requêtes ad hoc enregistrées avec les
autres utilisateurs. Les requêtes enregistrées et partagées apparaissent sur l'écran Requêtes
ad hoc enregistrées.
Définition des affichages de données
Un affichage de données est un tableau regroupant des clusters de cellules de données
liées. Les utilisateurs se basent sur les affichages de données pour effectuer les requêtes
ad hoc de la base de données de Control Manager.
Control Manager permet d'exécuter des requêtes directes dans la base de données
Control Manager. Les affichages de base de données sont disponibles pour les modèles
de rapport Control Manager 5 et les requêtes ad hoc.
Les affichages de base de données sont des tables contenant des informations. Chaque
en-tête d'une vue agit comme la colonne d'une table. Par exemple, l'affichage Résumé
sur l'action/le résultat de virus/programmes malveillants possède les en-têtes suivants :
•
Résultat de l'action
•
Action entreprise
•
Points finaux uniques
A-72
•
Sources uniques
•
Détections
À l'instar d'une table, un affichage de données prend la forme suivante, avec des sousen-têtes potentiels sous chaque en-tête :
TABLEAU A-12. Exemple d'affichage de données
RÉSULTAT DE
L'ACTION
ACTION
POINTS FINAUX
SOURCES
ENTREPRISE
UNIQUES
UNIQUES
DÉTECTIONS
Les informations suivantes sont particulièrement importantes lors de la spécification du
mode d'affichage des données dans un modèle de rapport.
Control Manager divise les affichages de données en deux catégories principales :
informations sur le produit et informations sur les menaces de sécurité. Pour plus
d'informations sur les affichages de données, consultez l'annexe. Ces deux catégories se
divisent ensuite en plusieurs sous-catégories, elles-mêmes séparées entre informations
résumées et informations détaillées.
Définition des rapports
Les rapports de Control Manager consistent en deux parties : les modèles de rapport et
les profils de rapport. Tandis qu'un modèle de rapport détermine l'apparence et
l'agencement du rapport, le profil de rapport spécifie la provenance des données du
rapport, la période ou la programmation ainsi que les destinataires du rapport.
Control Manager 5.0 a mis en place des changements radicaux par rapport aux versions
précédentes en introduisant les rapports personnalisés pour les administrateurs de
Control Manager. Control Manager 6.0 prend toujours en charge les modèles de rapport
des versions précédentes de Control Manager, mais Control Manager 6.0 permet aux
administrateurs de personnaliser leurs propres modèles de rapport.
Définition des modèles de rapport de Control Manager
Un modèle de rapport définit l’aspect et la présentation des rapports de Control
Manager. Control Manager classe les modèles de rapport selon les types suivants :
A-73
•
Modèles de Control Manager 5 : Modèles de rapport personnalisé définis par
l'utilisateur, qui utilisent les requêtes de bases de données directes (affichages de
base de données) et les éléments des modèles de rapport (graphiques et tableaux).
Les utilisateurs disposent d'une plus grande flexibilité pour spécifier les données
apparaissant dans leurs rapports par rapport aux modèles de rapport des versions
précédentes de Control Manager.
•
Modèles prédéfinis de Control Manager 3 : Contient des modèles prédéfinis
Définition des modèles de Control Manager 5
Les modèles de rapport de Control Manager 5 basent leurs informations sur les
affichages de base de données. Pour plus d'informations sur les affichages de données,
consultez la section Définition des affichages de données à la page A-72. L'apparence et
l'agencement des rapports générés se reportent sur les éléments du rapport. Le rapport
comporte les éléments suivants.
TABLEAU A-13. Éléments des modèles de rapport de Control Manager 5
ÉLÉMENT DU MODÈLE
A-74
DESCRIPTION
Saut de page
Insère un saut de page pour un rapport. Chaque page de
rapport peut contenir jusqu'à trois éléments de modèle de
rapport.
Texte statique
Donne une description définie par l'utilisateur ou une
explication du rapport. Le texte statique peut contenir jusqu'à 4
096 caractères.
Graphique en barres
Insère un graphique en barre dans un modèle de rapport.
Graphique en ligne
Insère un graphique en ligne dans un modèle de rapport.
Graphique circulaire
Insère un graphique circulaire dans un modèle de rapport.
Tableau dynamique
Insère un tableau dynamique/tableau croisé dynamique dans
un modèle de rapport.
Tableau en grille
Insère un tableau dans un modèle de rapport. Les informations
d'un tableau en grille seront les mêmes que celles d'une
requête ad hoc.
Chaque modèle de Control Manager 5 peut contenir jusqu'à 100 éléments de modèle de
rapport. Chaque page du modèle de rapport peut contenir jusqu'à trois éléments de
modèle de rapport. Utilisez le saut de page pour créer des pages de modèle de rapport.
Pour mieux comprendre les modèles de rapport de Control Manager 5, Trend Micro
fournit les modèles de rapport prédéfinis suivants.
Remarque
Accédez à l'écran Modèles de rapport pour consulter les modèles prédéfinis de Trend
Micro.
TABLEAU A-14. Modèles prédéfinis de Control Manager 5
MODÈLE
Résumé sur la détection
de violation de contenu
TM
DESCRIPTION
Indique les informations suivantes :
•
Détections de violations de contenu classées par jour
(graphique en ligne)
•
Stratégie en matière du décompte de violations
classées par jour (graphique en ligne)
•
Décompte de violations expéditeur/utilisateurs classées
par jour (graphique en ligne)
•
Décompte de destinataires classés par jour (graphique
en ligne)
•
25 principales violations de stratégies (graphique en
barres)
•
Résumé sur la stratégie en matière de violation de
contenu (tableau en grille)
•
25 principaux expéditeurs/utilisateurs violés (graphique
en barres)
•
Résumé sur les expéditeurs/utilisateurs de violation de
contenu (tableau en grille)
•
Résumé sur le résultat de l'action (graphique circulaire)
A-75
MODÈLE
État de connexion/
composant des produits
gérés par TM
Résumé sur l'ensemble
des menaces TM
A-76
DESCRIPTION
•
État de la connexion du serveur/de l'appliance
(graphique circulaire)
•
État de la connexion client (graphique circulaire)
•
État de la mise à jour du fichier de signatures/de la
règle de l'appliance/du serveur (graphique circulaire)
•
État de la mise à jour du fichier de signatures client/de
la règle (graphique circulaire)
•
État de la mise à jour du moteur de scan de
l'appliance/du serveur (graphique circulaire)
•
État de le mise à jour du moteur de scan client
(graphique circulaire)
•
Fichier de signature/Résumé de la règle pour serveurs/
Appliances (tableau en grille)
•
Fichier de signature/Résumé de la règle pour les clients
(tableau en grille)
•
Résumé du moteur de scan pour serveurs/appliances
(tableau en grille)
•
Résumé du moteur de scan pour clients (tableau en
grille)
•
Résumé sur l'analyse des risques de sécurité de
l'ensemble du réseau (tableau en grille)
•
Résumé sur les limites de protection du réseau (tableau
en grille)
•
Informations sur l'analyse des points d'entrée des
risques de sécurité (tableau en grille)
•
Informations sur l'analyse des destinations des risques
de sécurité (tableau en grille)
•
Informations sur l'analyse des sources des risques de
sécurité (tableau en grille)
MODÈLE
de pourriel TM
DESCRIPTION
•
Détections de pourriels classées par jour (graphique en
ligne)
•
Décompte de domaines destinataires classés par jour
•
en ligne)
•
25 principaux domaines destinataires (graphique en
barres)
•
Résumé de l'ensemble des violations de pourriels
(tableau en grille)
•
25 principaux destinataires de pourriel (graphique en
barres)
•
Résumé des destinataires de pourriels (tableau en
grille)
A-77
MODÈLE
de programmes espions/
grayware TM
A-78
DESCRIPTION
•
Détections de programmes espions/graywares classées
•
Décompte de programmes espions/graywares uniques
•
Décompte des sources de programmes espions/
graywares classées par jour (graphique en ligne)
•
Décompte des destinations de programmes espions/
graywares classées par jour (graphique en ligne)
•
25 principaux programmes espions/graywares
(graphique en barres)
•
Résumé de l'ensemble des violations de programmes
espions/graywares (tableau en grille)
•
25 principales sources de programmes espions/
graywares (graphique en barres)
•
Résumé des sources de programmes espions/
graywares (tableau en grille)
•
25 principales destinations de programmes espions/
graywares (graphique en barres)
•
Résumé des destinations de programmes espions/
graywares (tableau en grille)
•
•
Résumé de l'action/du résultat des programmes
espions/graywares (tableau en grille)
MODÈLE
des menaces suspectes
TM
DESCRIPTION
•
Détections de menaces suspectes classées par jour
•
Décompte des règles violées classées par jour
•
Décompte d'expéditeurs classés par jour (graphique en
ligne)
•
en ligne)
•
Décompte d'adresses IP source classées par jour
•
Décompte d'adresses IP de destination classées par
jour (graphique en ligne)
•
25 principaux expéditeurs (graphique en barres)
•
25 principaux destinataires (graphique en barres)
•
Résumé des expéditeurs de menaces suspectes
(tableau en grille)
•
Résumé sur le destinataire des menaces suspectes les
plus dangereuses (tableau en grille)
•
25 principales adresses IP sources (graphique en
barres)
•
25 principales adresses IP de destination (graphique en
barres)
•
Résumé sur la source de menace suspecte (tableau en
grille)
•
Résumé sur la destination la plus dangereuse de
menace suspecte (tableau en grille)
•
25 principaux noms de protocole (graphique en barres)
•
Résumé sur la détection de protocole de menace
dangereuse (tableau en grille)
•
Résumé sur l'ensemble des menaces suspectes
(tableau en grille)
A-79
MODÈLE
des virus/programmes
malveillants TM
A-80
DESCRIPTION
•
Détections de virus/programmes malveillants classées
•
Décompte de virus/programmes malveillants uniques
classés par jour (graphique en ligne)
•
Décompte de destinations d'infections classées par jour
•
25 principaux programmes malveillants/virus (graphique
en barres)
•
Résumé de l'ensemble des virus/programmes
malveillants (tableau en grille)
•
25 principales sources d'infection (graphique en barres)
•
Résumé sur les sources d'infections de virus/
programmes malveillants (tableau en grille)
•
25 principales destinations d'infection (graphique en
barres)
•
Résumé sur les destinations d'infections de virus/
programmes malveillants (tableau en grille)
•
•
Résumé de l'action/du résultat des virus/programmes
malveillants (tableau en grille)
MODÈLE
de violation de sécurité
Web TM
DESCRIPTION
•
Détections de violations Web classées par jour
•
Stratégie en matière du décompte de violations
•
Décompte de violations client classées par jour
•
Décompte de violations d'URL classées par jour
•
25 principales violations de stratégies (graphique en
barres)
•
Résumé de l'ensemble des violations Web (tableau en
grille)
•
25 principaux clients en situation de violation (graphique
en barres)
•
Résumé sur l'adresse IP du client en situation de
violation de sécurité Web (tableau en grille)
•
25 principales URL en situation de violation (graphique
en barres)
•
Résumé des URL en situation de violation de sécurité
Web (tableau en grille)
•
Résumé sur le type de filtre/blocage (graphique
circulaire)
Définition des modèles de Control Manager 3
Control Manager a ajouté 87 modèles de rapport prégénérés répartis en six catégories :
Résumé exécutif, passerelle, serveur de messagerie, serveur, poste de travail, produits
pour réseau, et prévention contre la perte de données.
A-81
Remarque
Dans Control Manager 3.5, les programmes espions/graywares ne sont plus considérés
comme des virus. Cette modification influe sur le décompte des virus effectué dans tous les
rapports d'origine relatifs aux virus.
La génération du rapport peut demander quelques secondes, selon le volume de son
contenu. Dès que Control Manager a fini de créer un rapport, l’écran se réactualise et le
lien Afficher correspondant au rapport devient disponible.
Utilisez la liste Catégorie de rapport de l'écran de Control Manager pour passer en revue
les six catégories de rapport répertoriées ci-dessous :
TABLEAU A-15. Rapports de la catégorie Résumé exécutif et types de rapports
RAPPORTS RÉSUMÉ EXÉCUTIF
Rapports de détection des programmes
espions/graywares
Rapports de détection de virus
A-82
TYPES DE RAPPORTS
•
Programmes espions/graywares
détectés
•
Programmes espions/graywares le
plus souvent détectés (10, 25, 50,
100)
•
Liste des programmes espions/
graywares détectés pour toutes les
entités
•
Virus détectés
•
Virus le plus souvent détectés (10, 25,
50, 100)
•
Liste des infections virales pour toutes
les entités
RAPPORTS RÉSUMÉ EXÉCUTIF
Rapports comparatifs
Rapports sur les failles
TYPES DE RAPPORTS
•
classés par (jour, semaine, mois)
•
Virus classés par (jour, semaine,
mois)
•
Services Damage Cleanup classés
par (jour, semaine, mois)
•
Pourriel classé par (jour, semaine,
mois)
•
Évaluation du niveau de risque pour
l'ordinateur
•
Évaluation des failles
•
Infections le plus souvent nettoyées
(10, 25, 50, 100)
•
Failles potentielles les plus
dangereuses (10, 25, 50, 100)
•
Classement des failles selon le niveau
de risque
TABLEAU A-16. Rapports de la catégorie Produits pour passerelles et types de
rapports
RAPPORTS PRODUITS POUR PASSERELLES
espions/graywares
TYPES DE RAPPORTS
•
détectés
•
100)
•
Virus détectés
•
50, 100)
A-83
RAPPORTS PRODUITS POUR PASSERELLES
Rapports sur le taux de déploiement
TYPES DE RAPPORTS
•
•
Pourriel classé par (jour, semaine,
mois)
•
mois)
•
Résumé détaillé
•
Résumé de base
•
Résumé détaillé sur le taux d'échec
•
Taux de déploiement OPS pour IMSS
TABLEAU A-17. Rapports de la catégorie Produits pour serveurs de messagerie et
types de rapports
RAPPORTS PRODUITS POUR SERVEURS DE
TYPES DE RAPPORTS
MESSAGERIE
espions/graywares
A-84
•
détectés
•
100)
•
Virus détectés
•
Principaux expéditeurs de courrier
électronique infecté (10, 25, 50, 100)
•
50, 100)
•
•
mois)
RAPPORTS PRODUITS POUR SERVEURS DE
TYPES DE RAPPORTS
MESSAGERIE
•
Résumé détaillé
•
Résumé de base
•
TABLEAU A-18. Rapports de la catégorie Produits pour réseaux et types de rapports
RAPPORTS PRODUITS BASÉS SUR SERVEUR
espions/graywares
TYPES DE RAPPORTS
•
détectés
•
100)
•
Virus détectés
•
50, 100)
•
•
mois)
•
Résumé détaillé
•
Résumé de base
•
A-85
TABLEAU A-19. Rapports de la catégorie Produits pour postes de travail et types de
rapports
RAPPORTS PRODUITS POUR POSTES DE
TYPES DE RAPPORTS
TRAVAIL
espions/graywares
Rapports d’informations d’OfficeScan
détectés
•
plus souvent détectés (10,25,50,100)
•
Virus détectés
•
Virus le plus souvent détectés
(10,25,50,100)
•
Résumé détaillé
•
Résumé de base
Rapport d’enregistrement du produit
OfficeScan
État d'enregistrement
•
•
mois)
•
Résumé détaillé
•
Résumé de base
•
Résumé détaillé sur les taux d'échec
•
Résumé détaillé
•
Infections le plus souvent nettoyées
(10, 25, 50, 100)
Rapports de déploiement d’OfficeScan
Rapports d’OfficeScan Damage Cleanup
Services
A-86
•
TABLEAU A-20. Rapports Produits pour réseaux et types de rapports
RAPPORTS PRODUITS POUR RÉSEAUX
Rapports de Network VirusWall
Rapports de Trend Micro Total Discovery
Appliance
TYPES DE RAPPORTS
•
Rapport de violations de stratégies
classées par (jour, semaine, mois)
•
Clients victimes de violation le plus
souvent détectés (10, 25, 50, 100)
•
Rapport de violations de service
classées par (jour, semaine, mois)
•
Rapport sur le résumé des incidents,
•
Clients exposés à des risques
importants (10, 25, 50, 100)
•
Rapport de résumé des risques
connus et inconnus
A-87
TABLEAU A-21. Rapports de prévention contre la perte de données et types de
rapport
RAPPORTS DE PRÉVENTION CONTRE LA PERTE
TYPES DE RAPPORTS
DE DONNÉES
Sources principales d'incidents de
prévention contre la perte de données
A-88
•
Incidents par expéditeur (10, 20, 30,
40, 50)
•
Incidents par nom d'hôte (10, 20, 30,
40, 50)
•
Incidents par destinataire (10, 20, 30,
40, 50)
•
Incidents par adresse IP source (10,
20, 30, 40, 50)
•
Incidents par URL (10, 20, 30, 40, 50)
•
Incidents par utilisateur (10, 20, 30,
40, 50)
•
Principales correspondances de
modèles (10, 20, 30, 40, 50)
•
Répartition des incidents par canal
•
Tendances des incidents, groupés par
(jour, semaine, mois)
•
Incidents par canal, classés par (jour,
semaine, mois)
RAPPORTS DE PRÉVENTION CONTRE LA PERTE
TYPES DE RAPPORTS
DE DONNÉES
Augmentation significative des incidents
•
Augmentation significative des
incidents (%) par canal (10, 20, 30, 40,
50)
•
incidents par canal (10, 20, 30, 40, 50)
•
incidents (%) par expéditeur (10, 20,
30, 40, 50)
•
incidents par expéditeur (10, 20, 30,
40, 50)
•
incidents (%) par nom d'hôte (10, 20,
30, 40, 50)
•
incidents par nom d'hôte (10, 20, 30,
40, 50)
•
incidents (%) par utilisateur (10, 20,
30, 40, 50)
•
incidents par utilisateur (10, 20, 30,
40, 50)
•
incidents (%) par adresse IP source
(10, 20, 30, 40, 50)
•
incidents par adresse IP source (10,
20, 30, 40, 50)
•
incidents (%) par modèle (10, 20, 30,
40, 50)
•
incidents par modèle (10, 20, 30, 40,
50)
A-89
Ajout de rapports à usage unique
Control Manager prend en charge la génération de rapports à usage unique depuis les
modèles de rapport de Control Manager 3 et 5. Les utilisateurs doivent créer des
modèles de rapport de Control manager 5 tandis que les modèles de rapport de Control
Manager 3 ont été créés par Trend Micro. Le processus de création d'un rapport à usage
unique est similaire pour tous les types de rapport et comprend les étapes suivantes :
1.
Accédez à l'écran Ajouter un rapport à usage unique et sélectionnez le type de
rapport.
2.
Spécifiez le ou les produits à partir desquels les données du rapport seront
générées.
3.
Spécifiez la date à laquelle le ou les produits ont généré les données.
4.
Spécifiez le destinataire du rapport.
Étape 1 : Accédez à l'écran Ajouter un rapport à usage
unique et sélectionnez le type de rapport.
Procédure
1.
Accédez à l'écran Rapport > Rapport à usage unique.
L'écran Rapports à usage unique apparaît.
2.
L'écran Ajouter un rapport à usage unique > Étape 1 : Sommaire apparaît.
A-90
3.
Tapez un nom pour le rapport dans le champ Nom, sous Détails des rapports.
4.
Tapez une description pour le rapport dans le champ Description, sous Détails
des rapports.
5.
Sélectionnez le modèle de Control Manager pour générer le rapport :
•
Modèles de rapport de Control Manager 5 :
a.
•
6.
Sélectionnez le modèle de Control Manager 5 pour générer le rapport. Si
les rapports existants ne répondent pas à vos attentes, créez-en un
nouveau à partir de l'écran Modèles de rapport.
a.
Cliquez sur Control Manager 3 sous Contenu des rapports. Les
modèles de Control Manager 3 apparaissent dans la zone de travail de
droite, sous Contenu des rapports.
b.
Sélectionnez la catégorie de rapport sur laquelle baser le rapport.
c.
Sélectionnez les données du modèle de Control Manager 3 sur lesquelles
baser le modèle.
Sélectionnez le format de génération du rapport.
•
Formats de rapport de Control Manager 5 :
A-91
•
7.
•
Format Adobe PDF (*.pdf)
•
Format HTML (*.html)
•
Format XML (*.xml)
•
Format CSV (*.csv)
•
Format RTF (*.rtf)
•
•
ActiveX
•
Format Crystal Report (*.rpt)
L'écran Ajouter un rapport à usage unique > Étape 2 : Cibles apparaît.
A-92
Étape 2 : Spécifiez le ou les produits à partir desquels les
données du rapport sont générées.
Procédure
1.
Sélectionnez le produit géré ou le répertoire à partir duquel Control Manager
recueille les informations du rapport.
2.
Si le rapport contient des données provenant d'un appareil Network VirusWall
Enforcer, spécifiez les clients à partir desquels les rapports doivent être générés :
3.
•
Tous les clients : rapports générés depuis tous les appareils Network
VirusWall Enforcer
•
Plage IP : rapports générés à partir d'une plage d'adresses IP spécifique
•
Segment : rapports générés à partir d'un segment de réseau spécifique
Étape 3 : Spécifiez la date à laquelle le ou les produits ont
généré les données :
Procédure
1.
Spécifiez la date de génération des données :
•
À partir de la liste déroulante, sélectionnez l'un des éléments suivants :
•
Toutes les dates
•
Dernières 24 heures
•
Aujourd'hui
•
7 derniers jours
•
14 derniers jours
•
30 derniers jours
A-93
•
Spécifiez une plage de date :
•
Saisissez une date dans le champ De.
•
Spécifiez une heure dans les champs hh et mm.
•
Saisissez une date dans le champ À.
•
Remarque
Cliquez sur l'icône du calendrier située près des champs De et À afin d'utiliser
un calendrier dynamique pour spécifier la plage de date.
2.
Étape 4 : Spécifiez le destinataire du rapport :
Procédure
1.
Tapez un titre pour le message électronique contenant le rapport dans le champ
Objet.
2.
Saisissez une description pour le rapport dans le champ Message.
3.
Sélectionnez Envoyer le rapport comme pièce jointe pour envoyer le rapport à
un destinataire particulier.
4.
Spécifiez les utilisateurs ou les groupes dans la liste Destinataires de rapport.
5.
Sélectionnez les utilisateurs/groupes qui recevront le rapport et cliquez sur le >>
bouton.
6.
Cliquez sur Terminer après avoir sélectionné tous les utilisateurs/groupes qui
recevront le rapport.
A-94
Ajout de rapports programmés
Control Manager prend en charge la génération de rapports programmés depuis les
modèles de rapport de Control Manager 3 et 5. Les utilisateurs doivent créer des
modèles de rapport de Control manager 5 tandis que les modèles de rapport de Control
Manager 3 ont été créés par Trend Micro. Le processus de création d'un rapport
programmé est le même pour tous les types de rapport :
1.
Accédez à l'écran Ajouter un rapport programmé et sélectionnez le type de
rapport.
2.
Spécifiez le ou les produits à partir desquels les données du rapport seront
générées.
3.
Spécifiez la date à laquelle le ou les produits ont généré les données.
4.
Spécifiez le destinataire du rapport.
Étape 1 : Accédez à l'écran Ajouter un rapport programmé
et sélectionnez le type de rapport
Procédure
1.
Accédez à Rapports > Rapports programmés.
2.
3.
Saisissez un nom pour le rapport dans le champ Nom.
4.
Saisissez une description pertinente pour le rapport dans le champ Description.
5.
Sélectionnez le modèle de Control Manager pour générer le rapport :
•
a.
•
Sélectionnez le modèle de Control Manager 5 pour générer le rapport. Si
les rapports existants ne répondent pas à vos attentes, créez-en un
nouveau à partir de l'écran Modèles de rapport.
A-95
6.
Cliquez sur Control Manager 3 sous Contenu des rapports. Les
modèles de Control Manager 3 apparaissent dans la zone de travail de
droite, sous Contenu des rapports.
b.
Sélectionnez la catégorie de rapport sur laquelle baser le rapport.
c.
Sélectionnez les données du modèle de Control Manager 3 sur lesquelles
baser le modèle.
Sélectionnez le format de génération du rapport.
•
•
7.
a.
•
•
Format HTML (*.html)
•
Format XML (*.xml)
•
Format CSV (*.csv)
•
Format RTF (*.rtf)
•
•
ActiveX
•
Format Crystal Report (*.rpt)
Étape 2 : Spécifiez le ou les produits à partir desquels les
données du rapport sont générées
Procédure
1.
A-96
Sélectionnez le produit géré ou le répertoire à partir duquel Control Manager
recueille les informations du rapport.
2.
3.
Si le rapport contient des données provenant d'un appareil Network VirusWall
Enforcer, spécifiez les clients à partir desquels les rapports doivent être générés :
•
Tous les clients : rapports générés depuis tous les appareils Network
VirusWall Enforcer
•
Plage IP : rapports générés à partir d'une plage d'adresses IP spécifique
•
Segment : rapports générés à partir d'un segment de réseau spécifique
Étape 3 : Spécifiez la date à laquelle le ou les produits ont
généré les données
Procédure
1.
2.
Spécifiez la fréquence de génération des rapports :
•
Quotidien : les rapports seront générés tous les jours.
•
Hebdomadaire : les rapports seront générés une fois par semaine au jour
spécifié.
•
Bihebdomadaire : les rapports seront générés toutes les deux semaines au
jour spécifié.
•
Mensuel : les rapports sont générés tous les mois : le 1er, le 15 ou le dernier
jour du mois.
Spécifiez la plage de date :
•
Les rapports incluent les données comprises jusqu'à l'heure Démarrer
la programmation spécifiée ci-dessous : Cela signifie qu'un rapport peut
avoir jusqu'à 23 heures de données supplémentaires contenues dans le
rapport. Si les conséquences sont moindres pour des rapports hebdomadaires
ou mensuels, il en est autrement pour un rapport quotidien qui peut contenir
près de deux jours de données en fonction de l'heure Démarrer la
programmation.
A-97
•
3.
Les rapports incluent les données comprises jusqu'à 23 h 59 min 59 s
du jour précédent : Cela signifie que la collecte de données pour le rapport
s'arrête juste avant minuit. Les rapports s'appuient sur une période exacte (par
exemple : les rapports quotidiens sont de 24 heures), mais ne contiennent pas
les données les plus récentes.
Spécifiez l'heure et la date de démarrage du rapport :
•
Immédiatement : La programmation du rapport démarre immédiatement
après avoir activé le rapport.
•
Heure de début : la programmation du rapport démarre à la date et à l'heure
spécifiées dans les champs correspondants.
a.
Saisissez une date dans le champ dd/mm/yyyy.
b.
Remarque
Cliquez sur l'icône du calendrier située près du champ dd/mm/yyyy afin d'utiliser
un calendrier dynamique pour spécifier la plage de date.
4.
Étape 4 : Spécifiez le destinataire du rapport
Procédure
1.
Tapez un titre pour le message électronique contenant le rapport dans le champ
Objet.
2.
Saisissez une description pour le rapport dans le champ Message.
3.
Sélectionnez Envoyer le rapport comme pièce jointe pour envoyer le rapport à
un destinataire particulier.
4.
Spécifiez les utilisateurs ou les groupes dans la liste Destinataires de rapport.
5.
Sélectionnez les utilisateurs/groupes qui recevront le rapport et cliquez sur le >>
bouton.
A-98
6.
Cliquez sur Terminer après avoir sélectionné tous les utilisateurs/groupes qui
recevront le rapport.
A-99
Annexe B
le déploiement
Cette annexe fournit un aperçu du planning de déploiement d'Endpoint Encryption.
Remarque
Pour plus d'informations sur l'exécution d'un programme pilote avant le déploiement de
masse, consultez la section Déploiement du programme pilote d'Endpoint Encryption à la page
C-1.
•
Liste de contrôle relative au déploiement initial à la page B-2
•
Liste de contrôle de l'infrastructure de sécurité à la page B-4
•
Établissement de stratégies et de profils de sécurité à la page B-6
•
Éléments à prendre en compte pour modifier la gestion à la page B-7
•
Communication à l'intention des utilisateurs finaux à la page B-12
B-1
Liste de contrôle relative au déploiement initial
Ce questionnaire aide à composer l'équipe de projet, à documenter l'environnement de
fonctionnement, à évaluer les conditions requises pour l'architecture, à faciliter la
vérification des profils logiciels et matériels de bureau et à définir les problèmes de
sécurité ainsi que les processus administratifs et d'assistance.
TABLEAU B-1. Liste de contrôle relative au déploiement initial
ENTITÉ OU OBJET
Utilisateurs finaux
Points finaux
B-2
QUESTIONS
1.
Quel est le nombre total d'utilisateurs concernés par le
déploiement ?
2.
Parmi tous ces utilisateurs, combien sont :
•
Administrateur de l'entreprise
•
•
Authentificateur (Personnel du service d'assistance)
•
Utilisateur final
1.
Y-a-t-il un nombre standard de partitions par ordinateur ?
2.
Les périphériques ont-il plusieurs disques durs physiques ?
3.
Un ou plusieurs de ces périphériques disposent-ils de
gestionnaires de double-démarrage ?
4.
Quel logiciel standard est installé ? Vérifiez ce qui suit :
a.
Antivirus
b.
Applications de sécurité qui bloquent l'installation de
logiciels
c.
Produits de chiffrement précédents
Éléments à prendre en compte pour le déploiement
ENTITÉ OU OBJET
Réseaux et bases
de données de
l'entreprise
QUESTIONS
1.
2.
3.
4.
Combien de d'instances de PolicyServer sont nécessaires à
la prise en charge des besoins des utilisateurs ?
a.
Estimez le nombre maximal d'utilisateurs en trois ans.
b.
En cas d'utilisation de l'authentification de domaine, un
PolicyServer est nécessaire pour chaque domaine Active
Directory.
L'équilibrage de charge est-il requis pour les serveurs ?
a.
L'équilibrage de charge est recommandé pour les
installations nécessitant la redondance et une grande
disponibilité des PolicyServers.
b.
Le clustering peut être utilisé pour fournir la redondance
et une grande disponibilité des serveurs de la base de
données.
Quelle est l'estimation de la taille de la base de données ?
a.
Estimez le nombre maximal d'utilisateurs en trois ans.
b.
Environ 1 Go d'espace est requis par an pour 1 000
utilisateurs finaux.
Les agents devront-ils communiquer avec PolicyServer via
Internet ?
a.
Discutez avec l'équipe du réseau interne/de sécurité
pour identifier les conditions requises pour rendre un
serveur Web disponible sur Internet.
b.
Les éléments suivants sont entièrement pris en charge
par un PolicyServer externe :
•
Authentification de domaine/authentification unique via
Internet
•
Mises à jour des stratégies via Internet
•
Audit du périphérique via Internet
•
Réinitialisation du mot de passe en ligne
B-3
Liste de contrôle de l'infrastructure de sécurité
Il est primordial de revoir l'infrastructure de sécurité existante avant de déployer un
nouveau service IT dans l'environnement de production. Trend Micro fournit une liste
de contrôle de l'infrastructure de sécurité contenant les éléments devant être vérifiés
pour les zones suivantes :
•
utilisateur final
•
Réponse d'incident (IR)
•
Évaluation des risques
•
Ressources humaines
•
Conformité
Pour plus d'informations, consultez la section Liste de contrôle de l'infrastructure de sécurité à
la page B-4.
Liste de contrôle de l'infrastructure de sécurité
Le tableau suivant décrit les questions à poser relatives à l'infrastructure de sécurité
existante et potentielle, afin de mieux comprendre comment le déploiement d'Endpoint
Encryption peut affecter l'organisation.
B-4
TABLEAU B-2. Liste de contrôle de l'infrastructure de sécurité
VÉRIFIEZ
Utilisateur final
Réponse d'incident
(IR)
Évaluation des
risques
QUESTIONS
1.
La formation de l'utilisateur final inclut-elle la nouvelle
fonctionnalité proposée par Endpoint Encryption ?
2.
La Règle de bon usage (AUP) inclut-elle les services de
chiffrement, plus particulièrement les pénalités appliquées
lorsque le chiffrement n'est pas utilisé ou est ignoré ?
3.
Les utilisateurs reçoivent-ils une notification lorsqu'ils se
connectent au point final s'alignant sur l'AUP ?
4.
Tous les utilisateurs sont-ils formés pour faire un rapport
concernant la perte ou le vol d'un périphérique ?
5.
Les utilisateurs sont-ils formés aux procédures relatives aux
échecs de connexion et à la récupération de mot de passe ?
6.
Existe-t-il une stratégie relative au chiffrement des documents
confidentiels envoyés à l'extérieur de l'entreprise ?
7.
Une nouvelle stratégie relative aux mots de passe a-t-elle été
ajoutée à l'AUP ?
1.
La stratégie relative aux réponses d'incidents a-t-elle été mise
à jour pour inclure les actions prises lorsqu'un dispositif est
perdu ou volé ?
2.
Un programme de révision du journal d'audit a-t-il été établi
pour les journaux PolicyServer ?
3.
Les alertes par e-mail ont-elles été ajoutées à la stratégie IR,
ainsi que les destinataires et la réponse attendue en cas de
réception d'une alerte ?
4.
Des critères spécifiques ont-ils été établis pour permettre à un
périphérique d'être supprimé ou réinitialisé, y compris un
journal d'audit lorsque l'action est terminée ?
1.
Une nouvelle évaluation des risques a-t-elle été effectuée
pour prendre en compte le changement de profil de risque
fourni par Endpoint Encryption ?
2.
Les procédures d'évaluation de risques ont-elles été mises à
jour pour inclure les données d'audit fournies par le serveur
PolicyServer ?
B-5
VÉRIFIEZ
Plan anti-sinistre
Ressources
humaines
Conformité
QUESTIONS
1.
PolicyServer a-t-il été ajouté à la liste des services critiques ?
2.
Le plan DR/BC a-t-il été mis à jour pour inclure la restauration
du service Policy Server ?
3.
Un processus a-t-il été développé pour permettre la
restauration des données utilisateur d'un dispositif ?
1.
La liste de contrôle des Nouveaux employés a-t-elle été mise
à jour pour inclure tout nouveau processus relatif à Endpoint
Encryption ?
2.
Les processus d'achèvement ont-ils été mis à jour pour inclure
tout nouveau processus relatif à Endpoint Encryption, en
particulier le nettoyage ou la réinitialisation d'un dispositif ?
1.
Le profil de conformité a-t-il été mis à jour pour inclure les
avantages fournis par Endpoint Encryption ?
2.
Une révision de conformité a-t-elle été effectuée sur tous les
aspects de l'implémentation et du déploiement d'Endpoint
Encryption ?
Établissement de stratégies et de profils de
sécurité
Trend Micro Endpoint Encryption a établi des stratégies de sécurité par défaut, qui
doivent être revues en fonction du déploiement et des objectifs de protection. Il existe,
entre autres, des paramètres de stratégies par défaut pour le nom d'utilisateur, la
complexité du mot de passe, les conditions requises pour les modifications, le contrôle
des périphériques, la synchronisation des stratégies, le verrouillage et la réinitialisation
des périphériques. Les stratégies par défaut peuvent facilement être modifiées en
fonction des objectifs de sécurité et des règles de conformité de protection des données.
Si vous utilisez Endpoint Encryption pour contrôler des supports amovibles, vous devez
déterminer quels supports USB sont autorisés, le moment et le lieu où ils peuvent être
utilisés (en réseau, hors réseau ; à tout moment) afin de vous assurer que les utilisateurs
se conforment aux stratégies et objectifs de sécurité.
B-6
Consultez le Manuel de l'administrateur Endpoint Encryption pour une description complète
des stratégies, des valeurs par défaut et des options configurables.
Remarque
Lorsque vous utilisez Endpoint Encryption pour gérer les stratégies et les supports
amovibles :
•
Testez et validez les modèles de stratégies avant de les distribuer.
•
Afin de vous assurer que les utilisateurs se conforment aux stratégies, déterminez
quels périphériques USB sont autorisés comme lecteurs USB et supports amovibles
mais également quand et où ils peuvent être utilisés (en réseau, hors réseau ou les
deux).
Éléments à prendre en compte pour modifier la
gestion
PolicyServer et les bases de données associées sont des services critiques. Les éléments à
prendre en compte pour modifier la gestion aident à assurer la disponibilité du service
aux utilisateurs finaux qui tentent de s'identifier sur le réseau. Quand la modification est
nécessaire :
•
Contrôlez activement l'utilisation de l'UC et définissez un seuil à partir duquel les
services Windows PolicyServer doivent être redémarrés.
•
Redémarrez le service de manière régulière, en suivant un programme conforme à
la fenêtre de maintenance établie par l'entreprise (quotidien, hebdomadaire ou
mensuel).
•
Redémarrez le service Windows PolicyServer lorsque la maintenance est effectuée
sur l'environnement Active Directory, le serveur, la base de données ou les
communications associées.
•
Effectuez une sauvegarde régulière des bases de données PolicyServer, comme
pour toute base de données critique d'une entreprise.
•
Outre un enregistrement de la base de données sur un autre site, une sauvegarde de
nuit est recommandée.
B-7
AVERTISSEMENT!
Tout changement dans les environnements Active Directory ou de la base de données peut
affecter la connectivité à PolicyServer.
Liste de contrôle préalable à l'installation de
Le programme d'installation de Full Disk Encryption vérifie automatiquement le
système cible pour s'assurer que toute la configuration système requise est respectée
avant d'installer l'agent. En cas de découverte d'une incompatibilité système, le
programme d'installation se ferme et génère le fichier PreInstallCheckReport.txt
dans le même emplacement que le programme d'installation.
Utilisez la liste de contrôle de préinstallation afin de déterminer quelles sont les
exigences de configuration système qui ne sont pas remplies. Le fichier de la liste de
contrôle se trouve dans le même dossier que le programme d'installation de Full Disk
Encryption.
TABLEAU B-3. Conditions vérifiées par le programme d'installation
SPÉCIFICATION
B-8
DESCRIPTION
SE pris en charge
Tous les systèmes
d'exploitation ne sont pas
pris en charge
pas être installé sur
certaines versions de
Windows.
Microsoft BitLocker est déjà
installé
Aucun autre produit de
chiffrement de disque
complet ne peut être
installé
Microsoft BitLocker ne doit
pas être installé.
Désinstallez Encryption
BitLocker pour installer Full
Disk Encryption ou utilisez
plutôt Encryption
BitLocker.
SPÉCIFICATION
DESCRIPTION
Médias fixés
Disque dur interne
pas être installé sur des
lecteurs amovibles
fonctionnant sous Windows.
Disque dur multiples
Un seul disque dur est
autorisé.
Le point final ne doit avoir
qu'un seul disque dur. Les
environnements à disques
multiples ne sont pas pris
en charge.
Espace disponible
256 Mo au minimum
Mémoire
512 Mo au minimum
1 Go (recommandé)
Moins de 25 partitions
Les partitions avec MBR
prolongées ne sont pas
disponibles.
Type de partitions
Seul MBR est pris en
charge
La table de partition GUID
(nécessaire pour les
disques de plus de 2 To)
n'est pas prise en charge
actuellement.
Le lecteur physique est
amorçable
Une partition amorçable est
requise
Full Disk Encryption doit
être installé sur une table
amorçable.
B-9
SPÉCIFICATION
Disque SCSI
Contrôleur de disque ATA,
AHCI ou IRRT. SCSI n'est
pas pris en charge
DESCRIPTION
•
La vérification ne
fournit qu'un
avertissement ;
Windows peut signaler
un disque dur SATA
comme étant un disque
SCSI
•
Si le disque n'est pas
un vrai SCSI, Full Disk
Encryption peut être
installé. En cas de
doute, vérifiez
physiquement le disque
Microsoft .Net Framework
.Net 2.0 SP1 ou plus récent
est requis pour
Windows XP ou version
antérieure
Ignoré pour Windows Vista
ou les systèmes
d'exploitation plus récents.
Compatibilité avec le
matériel à chiffrement
autonome
Le chiffrement matériel est
activé si présent
Full Disk Encryption prend
actuellement en charge les
lecteurs compatibles avec
Seagate™ DriveTrust™ et
OPAL.
BitLocker est activé
BitLocker doit être
désactivé
Full Disk Encryption et
BitLocker ne peuvent pas
fournir simultanément le
chiffrement complet de
disque.
Remarque
Si la vérification de préinstallation échoue pour l'une de ces raisons, contactez Trend Micro
pour obtenir de l'aide.
B-10
Exemple de rapport de vérification préalable à
l'installation
Contrôles de préinstallation de Trend Micro Full Disk Encryption
-----------------------------Nom :
Test du système d'exploitation pris en charge
Description :
Vérifie le système d'exploitation pris en
charge.
État :
Ignorer
-----------------------------Nom :
Médias fixés
Description :
Vérifie que le disque physique est fixé (non
amovible).
État :
Ignorer
-----------------------------Nom :
Espace disponible
Description :
Vérifie qu'il y a suffisamment d'espace
disponible sur le disque.
État :
Ignorer
-----------------------------Nom :
Mémoire
Description :
Vérifie qu'il y a suffisamment de mémoire
RAM pour exécuter Trend Micro Full Disk
Encryption.
État :
Ignorer
-----------------------------Nom :
Description :
Vérifie que le disque ne contient pas trop
de partitions.
État :
Ignorer
-----------------------------Nom :
Type de partition
Description :
Vérifie que la partition de disque a été
effectuée avec une méthode compatible.
État :
Ignorer
-----------------------------Nom :
Le lecteur physique est amorçable
Description :
Vérifie que le disque physique0 contient la
partition de démarrage.
État :
Ignorer
------------------------------
B-11
Nom :
Disque SCSI
Description :
Vérifie s'il s'agit d'un disque SCSI ou non.
État :
Avertissement
-----------------------------Nom :
Exécution de .Net Framework
Description :
Vérifie que la version d'exécution de .NET
est au minimum 2.0 (SP1).
État :
Ignorer
-----------------------------Nom :
Compatibilité avec le matériel à chiffrement autonome
Description :
Vérifie que la machine est compatible
avec le matériel à chiffrement
autonome (Self-encrypting drive)
État :
Ignorer
-----------------------------Nom :
BitLocker n'est pas installé
Description :
Vérifie que le dispositif ne dispose pas
BitLocker.
État :
Ignorer
Communication à l'intention des utilisateurs
finaux
Pour limiter l'impact sur la production et faciliter la transition vers la sécurité du
chiffrement, prévenez les utilisateurs finaux avec un plan de communication. De plus, la
communication faisant suite au déploiement joue un rôle important dans l'adaptation à
l'utilisation de Trend Micro Endpoint Encryption.
Questions des utilisateurs finaux
Un obstacle commun à l'adoption par les entreprises est le manque de communication.
Le besoin de communication claire à l'intention de l'utilisateur final qui répond à trois
questions est essentiel à une mise en œuvre réussie :
1.
Pourquoi avons-nous besoin d'Endpoint Encryption ?
2.
Comment Endpoint Encryption m'aide-t-il ainsi que la société ?
B-12
3.
Qu'est-ce qui va changer ?
Partager quoi, quand et pourquoi
Trend Micro recommande que le promoteur principal du projet de protection des
données envoie un message aux utilisateurs finaux afin de leur communiquer
l'importance du projet pour l'entreprise et les avantages pour les utilisateurs. La base de
connaissances comporte un certain nombre de modèles de communication à l'intention
des utilisateurs finaux qui peuvent être récupérés et personnalisés en fonction de vos
besoins en communication avant la distribution d'Endpoint Encryption.
Introduire le changement
1.
Un mois avant le déploiement, demandez au promoteur principal du projet
d'expliquer brièvement pourquoi le nouveau chiffrement matériel/logiciel est
introduit et en quoi adopter les nouveaux processus sera bénéfique pour les
utilisateurs finaux ainsi que pour l'entreprise.
2.
Fournissez un calendrier déploiement aux utilisateurs, ce à quoi ils peuvent
s'attendre après le 1er jour et confirmez la manière dont les utilisateurs finaux
peuvent obtenir de l'aide avec le nouveau logiciel.
Communiquer une semaine avant le déploiement
1.
Réitérez la description des changements à venir et ce à quoi s'attendre le jour où les
nouvelles procédures d'authentification seront nécessaires sur leurs points finaux.
2.
Incluez des captures d'écran et des instructions détaillées sur le nom d'utilisateur ou
les conventions de mot de passe, ainsi que d'autres services d'assistance internes.
Communiquer la veille du déploiement
1.
Renforcez la chronologie du calendrier de déploiement, ce à quoi s'attendre et où
demander de l'aide.
B-13
2.
Distribuez des aide-mémoire, des informations du service d'assistance et fournissez
les coordonnées du point de contact sur site qui sera disponible pour aider les
utilisateurs dès le lendemain.
Communiquer après le déploiement
1.
Réitérez les informations du service d'assistance et fournissez les coordonnées du
point de contact sur site qui sera disponible pour aider les utilisateurs dès le
lendemain.
2.
Fournit des outils pour le dépannage.
B-14
Annexe C
Déploiement du programme pilote
Cette annexe explique comment conduire un programme pilote avant le déploiement
d'Endpoint Encryption au sein d'une organisation complète. Trend Micro recommande
l'exécution d'un programme pilote ainsi qu'un test de déploiement vers un petit groupe
d'utilisateurs avant de déployer vers un public plus vaste.
Remarque
Pour plus d'informations sur les éléments généraux à prendre en compte pour le
déploiement, consultez la section Éléments à prendre en compte pour le déploiement à la page B-1.
•
À propos d'un programme pilote à la page C-2
•
Attribution d'une équipe de projet à la page C-2
•
Mettre en œuvre une stratégie de déploiement progressif à la page C-2
•
Liste de contrôle du programme pilote Endpoint Encryption à la page C-3
C-1
À propos d'un programme pilote
Un programme pilote permet à une organisation de finaliser la méthodologie de
déploiement à utiliser lors de l'installation d'Endpoint Encryption. Les programmes
pilotes les plus efficaces impliquent plusieurs départements, des utilisateurs et des
périphériques cibles. Par exemple, si l'entreprise prend en charge dix fabricants
d'ordinateurs portables différents, chacun de ces périphériques doit être inclus dans le
pilote. De même, si certains groupes de haut-niveau ont des questions particulières, un
ou deux membres de ce groupe doivent participer au projet pilote.
Attribution d'une équipe de projet
Une implémentation réussie inclut le maintien de la continuité ainsi que l'assurance
d'achat par les utilisateurs internes. Structurer l'équipe afin d'inclure un ou plusieurs
membres stratégiques des départements impactés par le déploiement du logiciel peut
aider à l'achat et résulter en une direction d'équipe plus forte. Il vous est recommandé
d'inclure au minimum dans votre équipe de projet un ou plusieurs membres de chacun
des groupes suivants :
•
Direction
•
Serveurs d'application d'entreprise
•
Administrateurs de base de données d'entreprise
•
Sécurité des données
•
Support des ordinateurs de bureau
•
Plan anti-sinistre
Mettre en œuvre une stratégie de déploiement
progressif
En cas de succès du programme pilote, lancez le déploiement du programme en ciblant
des lots de 25 à 50 points finaux pour démarrer la distribution de la solution. Veiller à ce
C-2
Déploiement du programme pilote d'Endpoint Encryption
que les ingénieurs de déploiement soient sur place avec le groupe de premier
déploiement au lendemain de l'installation de la nouvelle solution de façon apporter une
assistance immédiate. Lorsque le succès est au rendez-vous pour le premier lot, lancez le
déploiement vers 100 à 200 agents par nuit. Lorsque la méthodologie de déploiement est
validée dans l'environnement de production, et lorsque les équipes informatiques et
d'assistance internes sont d'accord, il est possible d'effectuer le déploiement vers des
milliers de périphériques à la fois.
Liste de contrôle du programme pilote
Endpoint Encryption
LISTE DE CONTRÔLE DU PROGRAMME
PILOTE
DATE
REMARQUES
PolicyServer est configuré selon vos
besoins
•
Stratégies définies
•
Groupes créés
•
Utilisateurs créés/importés
Logiciel client installé (Full Disk
Encryption et/ou File Encryption)
•
Logiciel copié en local sur
l'ordinateur et exécuté
correctement
C-3
PILOTE
Les comptes d'administrateur,
d'authentificateur et d'utilisateur final
peuvent accéder aux périphériques
en fonction des paramètres de la
stratégie
•
Mot de passe fixe
•
Fonction d'authentification
unique
•
Carte à puce
Tous les ordinateurs compatibles
avec le nouveau logiciel
C-4
•
Authentification préalable au
démarrage et/ou connectivité
confirmée(s)
•
Chiffrement terminé
•
L'ordinateur fonctionne
normalement
•
Fichiers/Dossiers chiffrés selon
la stratégie
•
Port USB contrôlé selon la
stratégie
•
Les alertes, journaux
d'événements et rapports
PolicyServer confirment les
activités de l'administrateur et de
l'utilisateur final
DATE
REMARQUES
Déploiement du programme pilote d'Endpoint Encryption
PILOTE
DATE
REMARQUES
Les utilisateurs finaux peuvent mener
leurs activités métier comme toutes
les autres.
•
Ils accèdent à Windows à l'aide
de la combinaison nom
d'utilisateur/mot de passe
existante ou de l'authentification
unique avant le démarrage
•
L'ordinateur fonctionne
normalement sur le réseau et en
dehors
•
L'utilisateur a accès à toutes les
données utilisateur, applications
et ressources réseau
Les administrateurs système testent
les processus d'assistance
•
Créer des comptes
d'administrateur de secours
•
Testent les rapports et les
alertes
•
Utilisent la console de
restauration de Full Disk
Encryption pour sauvegarder et
restaurer des fichiers
•
Utilisent le CD de restauration de
Full Disk Encryption pour
déchiffrer un dispositif et en
supprimer le pré-boot
•
Testent le processus
d'authentification de l'aide à
distance
•
Testent le verrouillage et la
réinitialisation des dispositifs.
C-5
Annexe D
Le tableau suivant décrit tous les services Endpoint Encryption. Utilisez-le pour
comprendre quels services contrôlent un agent ou une fonctionnalité Endpoint
Encryption donnés et pour résoudre un problème.
D-1
TABLEAU D-1. Services Endpoint Encryption
PLATE-FORME
PolicyServer
D-2
NOM DE SERVICE
NOM
OU DU DÉMON
D'AFFICHAGE
DESCRIPTION
NOM DU FICHIER
Service
Windows
PolicyServer
Service
Windows
PolicyServer
Gère les
communications
entre les bases
de données et
les services
Endpoint
Encryption.
PolicyServer
WindowServic
e.exe
Service TMEE
Service
Endpoint
Encryption
Gère les
communications
de l'agent
Endpoint
Encryption 5.0
(et versions
ultérieures)
dans un canal
chiffré
(RESTful).
TMEEService.
exe
IIS/
MAWebService
2
Service Web
hérité
Gère les
communications
de l'agent
Endpoint
Encryption 3.1.3
(et versions
antérieures)
dans un canal
chiffré (SOAP).
N/A
TMEEForward
TMEEForward
Transfère le
trafic des
agents Endpoint
Encryption 5.0
Patch 1 vers
PolicyServer.
TMEEForward.
exe
TMEEProxyWi
ndowsService
Service
Windows proxy
LDAP
PolicyServer
Fournit des
communications
sécurisées
entre Trend
Micro
PolicyServer et
les serveurs
LDAP distants
LDAProxyWind
owsServices.
exe
PLATE-FORME
NOM DE SERVICE
NOM
OU DU DÉMON
D'AFFICHAGE
DESCRIPTION
NOM DU FICHIER
Full Disk
Encryption
DrAService
Trend Micro
Full Disk
Encryption
Fournit la
sécurité de
point final de
Trend Micro et
Full Disk
Encryption.
DrAService.e
xe
Encryption
Management
for Microsoft
BitLocker
FDE_MB
Trend Micro
Full Disk
Encryption,
Encryption
Management
for Microsoft
BitLocker
Assure la
sécurité des
données des
points finaux à
l'aide de
Microsoft
BitLocker.
FDEforBitLoc
ker.exe
Encryption
Management
for Apple
FileVault
Démon :
TMFDEMM
Trend Micro
Full Disk
Encryption,
Encryption
Management
for Apple
FileVault
Fournit une
sécurité aux
points finaux
pour les points
finaux qui
utilisent Apple
FileVault.
File Encryption
FileEncryption
Service
Trend Micro
File Encryption
Fournit une
sécurité Trend
Micro aux
points finaux et
une protection
des données
pour les
fichiers,
dossiers et
supports
amovibles.
Agent : Trend
Micro Full Disk
Encryption
FEService.ex
e
D-3
Annexe E
Glossaire
Le tableau ci-dessous explique la terminologie officielle employée dans toute la
documentation Endpoint Encryption.
TABLEAU E-1. Terminologie Endpoint Encryption
TERME
DESCRIPTION
Agent
Logiciel installé sur un point final qui communique avec un
serveur de gestion.
Authentification
Processus d'identification d'un utilisateur.
ColorCode™
Méthode d'authentification nécessitant un mot de passe en
séquence de couleurs.
Aide de ligne de
commande
Outil Trend Micro pour la création de valeurs chiffrées
destinées à sécuriser les informations d'identification lors de
la création de script d'installation d'agents Endpoint
Encryption.
Aide de l'installateur de
ligne de commande
Outil Trend Micro pour la création de valeurs chiffrées
destinées à sécuriser les informations d'identification lors de
la création de script d'installation d'agents Endpoint
Encryption.
E-1
TERME
DESCRIPTION
Control Manager
Trend Micro Control Manager est une console
d'administration centralisée qui gère les produits et services
Trend Micro, au niveau de la passerelle, du serveur de
messagerie, du serveur de fichiers et des postes de travail de
l'entreprise.
Authentification de
domaine
Méthode d'authentification pour l'authentification unique
(SSO) à l'aide d'Active Directory.
DriveTrust™
Technologie de chiffrement matériel de Seagate™.
d'hébergement.
par chiffrement complet de disques de Trend Micro dans une
infrastructure Windows existante.
for Apple FileVault
environnements Mac OS qui ont simplement besoin d'activer
Apple FileVault sur le point final d'hébergement.
Périphérique Endpoint
Encryption
E-2
Tout ordinateur, ordinateur portable ou support amovible
(lecteur externe, lecteur USB) géré par Endpoint Encryption.
Glossaire
TERME
Service Endpoint
Encryption
DESCRIPTION
Service PolicyServer qui gère de façon sécurisée toutes les
communications des agents Endpoint Encryption 5.0 Patch 1.
Pour les communication des agents Endpoint
Encryption 3.1.3 et antérieurs, consultez la section Service
Web hérité.
Entreprise
l'organisation dans la base de données PolicyServer
configurée lors de l'installation de PolicyServer. Une base de
données PolicyServer peut avoir plusieurs configurations
d'entreprise. Toutefois, les configurations Endpoint
Encryption utilisant Control Manager ne peuvent avoir qu'une
seule entreprise.
File Encryption
hôte.
FIPS
Standard de traitement des informations fédérales. Norme de
sécurité pour ordinateurs établie par le gouvernement fédéral
des État-Unis.
Mot de passe fixe
Méthode d'authentification pour l'utilisation d'un mot de passe
utilisateur standard composé de lettres, de chiffres ou encore
des caractères spéciaux.
E-3
TERME
KeyArmor
DESCRIPTION
Périphérique USB chiffré et protégé par mot de passe
Remarque
Endpoint Encryption 5.0 ne comporte pas de
périphériques KeyArmor. Toutefois, les périphériques
KeyArmor hérités sont pris en charge.
Service PolicyServer qui gère de façon sécurisée toutes les
communications des agents Endpoint Encryption 3.1.3 et
antérieurs. Pour obtenir des informations détaillées,
consultez la section À propos de PolicyServer à la page 1-13.
Pour les communication des agents Encryption 5.0 Patch 1,
consultez la section Service Endpoint Encryption.
E-4
OCSP
Protocole d'état de certificat en ligne. Protocole utilisé par les
certificats numériques X.509.
OfficeScan
OfficeScan protège les réseaux d'entreprise contre les
programmes malveillants, les virus réseau, les menaces
provenant d'Internet, les spywares et les attaques mixtes.
Solution intégrée, OfficeScan est composé d'un agent
résidant au point final et d'un programme serveur qui gère
tous les agents.
OPAL
Classe des sous-systèmes de sécurité informatique de
groupe fiable pour les périphériques clients.
Mot de passe
Tout type de données d'authentification utilisé en
combinaison avec un nom d'utilisateur, tel que le mot de
passe fixe, le code confidentiel et le ColorCode.
Code confidentiel
Méthode d'authentification pour l'utilisation d'un numéro
d'identification personnel, couramment utilisé pour les
transactions de DAB.
PolicyServer
Serveur d'administration central qui déploie des stratégies de
chiffrement et d'authentification vers les agents Endpoint
Encryption.
Glossaire
TERME
DESCRIPTION
Assistance à distance
Méthode d'authentification pour aider les utilisateurs
d'Endpoint Encryption ayant oublié leurs informations
d'identification ou pour les périphériques Endpoint Encryption
sur lesquels les stratégies n'ont pas été synchronisées avant
un délai prédéterminé.
Console de restauration
Interface Full Disk Encryption permettant de restaurer des
périphériques Endpoint Encryption dans le cas d'une
défaillance primaire du système d'exploitation, d'un problème
de réseau, et de gérer les utilisateurs, les stratégies et les
journaux.
CD de réparation
CD amorçable de Full Disk Encryption pouvant déchiffrer un
lecteur avant de supprimer Full Disk Encryption en cas de
corruption du disque.
RESTful
API Web Representational State Transfer. Protocole de
communication chiffrée AES-GCM utilisé par les agents
Endpoint Encryption 5.0. Lorsqu'un utilisateur s'authentifie,
PolicyServer génère un jeton lié à la configuration de
stratégie spécifique. Sans authentification, le service refuse
toutes les transactions de stratégie.
Remarque
Pour plus d'informations sur AES-GCM, consultez :
http://tools.ietf.org/html/rfc5084#ref-GCM%3F
RSA SecurID
Mécanisme qui effectue une authentification à deux facteurs
pour qu'un utilisateur se connecte à une ressource réseau.
SED
Périphérique chiffré sécurisé. Un disque dur, ou un autre
périphérique, qui est chiffré.
Auto-assistance
Méthode d'authentification servant à aider les utilisateurs
d'Endpoint Encryption à fournir les réponses aux questions
de sécurité plutôt que de contacter l'assistance technique afin
d'obtenir une assistance pour le mot de passe.
Carte à puce
Méthode d'authentification nécessitant l'utilisation conjointe
d'une carte physique et d'un code PIN ou un mot de passe
fixe.
E-5
TERME
SOAP
E-6
DESCRIPTION
Simple Object Access Protocol. Protocole de communication
chiffrée utilisé par tous les agents Endpoint Encryption 3.1.3
et antérieurs pour communiquer avec PolicyServer. Dans
certaines situations, SOAP peut autoriser des transactions de
stratégie non sécurisées sans authentification de l'utilisateur.
Le service Web hérité filtre les appels SOAP en exigeant une
authentification et en limitant les commandes que SOAP peut
accepter.
Index
A
Active Directory, 1-9, 4-17, 6-6
configuration, 4-18
vue d'ensemble, 4-17
affichage
journaux des produits gérés, A-28
affichages des données
comprendre, A-72
agents, 1-17, 6-2
installation, 6-1
installations scriptées, 6-31
plates-formes prises en charge, 3-2
services, 7-15
agents pris en charge, 3-26, 4-30
AHCI, 6-39
Aide de l'installateur de ligne de commande,
6-28, 6-31
Aide de ligne de commande, 6-33, 6-36
pour File Encryption, 6-35
pour Full Disk Encryption, 6-34
annexes, 1
à propos de
architecture client-serveur, 1-9
Contrat de maintenance, 8-2
Endpoint Encryption, 1-2
File Encryption, 6-4
FIPS, 1-9
Apple FileVault, 6-3
Microsoft BitLocker, 6-3
Intégration de Control Manager, 5-2
OfficeScan, 3-8, 7-2
PolicyServer, 1-13, 4-2
Service Endpoint Encryption, 1-13, 4-2
Service Web hérité, 1-13, 4-2
types de compte, 1-21
arborescence agent, 7-10
à propos de, 7-10
tâches spécifiques, 7-10
architecture client-serveur, 1-9
ATA, 6-39
authentification, 1-2
types de compte, 1-21
authentification de domaine, 6-6
B
barre de programmation, A-13
BIOS, 6-39
C
Centre de téléchargement, 8-6
chiffrement, 1-9
disque complet, 6-3
fichiers et dossiers, 6-4
FIPS, 1-9
fonctions, 1-2
logiciel, 1-9, 6-3
matériel, 1-9, 6-3
planification d'un projet, 3-2
scripts d'installation, 6-29
chiffrement matériel, 2-9, 2-11, 2-12
client géré
installation, 6-15
communauté, 8-6
composants
téléchargement, A-41
IN-1
composants antivirus et de sécurité de
contenu de Control Manager
fichiers de signatures/modèles Damage
Cleanup, A-42
Moteurs, A-42
règles anti-pourriel, A-42
composants du produit, 1-9
comprendre
affichages des données, A-72
journaux, A-69
plans de déploiement, A-64
requêtes de journaux, A-71
compte
types, 1-21
conditions minimales requises pour la base
de données, 2-2
Conditions requises pour le déploiement, 3-2
configuration, A-60
comptes utilisateurs, A-9
exceptions de téléchargement
programmé, A-51
paramètres de téléchargement
programmé, A-61
produits gérés, A-26
paramètres de déploiement
automatique, A-63
configuration système requise, 2-6
agents, 2-9
Control Manager, 2-7
FileVault, 2-12
BitLocker, 2-11
Full Disk Encryption, 2-9
IN-2
OfficeScan, 2-8
PolicyServer MMC, 2-6
console de restauration
connexion, 6-44
Console de restauration
accès, 6-44
Windows, 6-44
changement d'entreprises, 6-45
connexion, 6-44
modification du serveur PolicyServer,
6-47
Contrat de maintenance
à propos de, 8-2
expiration, 8-2
renouvellement, 8-2
contrôleur de disque, 6-39
Control Manager, 1-17, 3-7, 5-2, A-1, A-6
agent, A-7
à propos de, 1-17, 3-7, 5-2, A-1
base de données SQL, A-6
composants antivirus et de sécurité de
contenu, A-41, A-43
compte, A-9
configuration de compte, A-9
configuration requise, 2-7
console d'administration à interface
Web, A-8
fonctions, A-3
fonctions de base, A-3
infrastructure de widgets, A-8
MCP, A-7
produit géré, A-17
serveur de messagerie, A-6
serveur de rapports, A-6
Serveur Web, A-6
Index
Infrastructure, A-7
création
dossiers, A-38
Cryptographie Mobile Armor, 6-33
D
DAAutoLogin, 6-36
déchiffrement, 6-51
définition
Endpoint Encryption, 1-1
définitions des produits, E-1
déploiement
avec Control Manager, 3-10
avec OfficeScan, 3-10
Déploiement par phase, C-2
Éléments, B-1, B-3
équipe de projet, C-2
infrastructure de sécurité, B-4
mise à l'échelle, 3-18
MMC seulement, 3-6
modifier la gestion, B-7
OfficeScan, 7-12–7-14
options, 3-12
planification, B-2
plates-formes prises en charge
KeyArmor, 3-2
PolicyServer, 3-2
programme pilote, C-1
stratégies, B-6
topologie réseau sur trois couches, 3-16
utilisateurs finaux, B-2
désinstallation, 4-36
agents, 6-55, 7-21
base de données, 4-36
désinstaller
applications clientes, 6-50
manuelle, 6-51
disques durs
préparation à l'installation, 6-10
Disques Seagate DriveTrust, 2-9, 2-11
dossiers
création, A-38
renommer, A-39
E
éléments à prendre en compte avant
l'installation, 6-4
Windows Server 2008, 2-2
FileVault
installation, 6-9, 6-19, 6-20
Mises à niveau, 6-41
modification, 6-48
préparation du point final, 6-9
systèmes d'exploitation pris en charge,
2-12
BitLocker
installation, 6-17, 6-18
modification, 6-49
préparation du disque dur, 6-10
service de l'agent, 7-15
2-11
Endpoint Encryption
IN-3
à propos de, 1-2
liste de contrôle du pilote, C-3
en ligne
communauté, 8-6
enregistrement
clé, 8-2
profil, 8-2
sur Control Manager, A-8
URL, 8-2
exceptions de téléchargement programmé
configuration, A-51
exigences de mise à l'échelle, 3-2
F
File Encryption
déploiement, 6-23
installation, 6-23, 6-26, 6-27
modification, 6-50
modifier PolicyServer, 6-50
stratégies, 6-25
FIPS
à propos de, 1-9
FIPS 140-2, 1-9
niveaux de sécurité, 1-9
fonction d'authentification unique, 6-6
fonctionnalités principales, 1-2
fonctions, A-3
fréquence d’un téléchargement programmé
configuration, A-60
changement d'entreprises, 6-45
chiffrement de périphérique, 6-11
IN-4
Console de restauration, 6-44
Windows, 6-44
installation, 6-12
automatisation, 6-6
scripts, 6-6
modification, 6-47
modifier PolicyServer, 6-43
préparation du point final, 6-8
remplacement d'un autre produit, 6-42
stratégies, 6-11
2-9
G
génération de rapports, 1-2
gestion centralisée, 1-2
gestion des stratégies
modification de serveurs gérés, 5-11
Gestionnaire de répertoires, A-35
GPO, 6-31
groupe supérieur, 4-12
I
infrastructure de sécurité, B-4
Infrastructure virtuelle VMware, 2-4
installation, 4-3, 6-4
bases de données PolicyServer, 4-3
configuration requise (gérée), 6-5
BitLocker, 6-18
Index
point final géré, 6-15
liste de contrôle, 6-12, B-8
liste de contrôle de l'infrastructure de
sécurité, B-4
liste de contrôle du pilote, C-3
Plugiciels, 7-5
PolicyServer, 4-1
services Web PolicyServer, 4-3
installations scriptées, 6-28
Intel Matrix Manager, 6-40
Intel Rapid Recovery Technology, 6-40
Interroger des journaux, A-71
J
journaux, A-69
exécution d'une requête, A-71
L
LANDesk, 6-31
licence d'évaluation, 4-3, 4-9, 4-31, 8-3
liste de contrôle de l'infrastructure de
sécurité, B-4
Liste de contrôle préalable à l'installation,
6-12, B-8
liste des serveurs gérés
modification de serveurs, 5-11
logiciel, 2-2
M
MCP, A-7
Microsoft .NET, 3-2
Microsoft SMS, 6-28
migration
Control Manager, 4-35, 5-3
migrations
agents, 6-47
mise à l'échelle
conditions requises relatives au serveur
et à la base de données, 3-18
Mise à niveau
agents, 3-23, 4-28, 6-37
PolicyServer, 3-23, 4-28, 6-37
services Web PolicyServer, 4-31
Mises à niveau
agents, 4-28
bases de données PolicyServer, 4-31
chemins, 3-25, 4-29
résumé, 3-27
MobileArmor-branded Full Disk Encryption
Agent SP7, 6-39
modèles de rapport, A-73
modification de serveurs gérés, 5-11
modifier la gestion, B-7
Active Directory, B-7
O
OfficeScan
Control Manager
versions prises en charge, 2-8
désinstallation des agents, 6-55, 7-21
OPAL, 2-9, 2-11
options de proxy, 3-16
options du gestionnaire des répertoires, A-36
outils
Aide de l'installateur de ligne de
commande, 6-31
IN-5
Aide de ligne de commande, 6-33
Console de restauration, 6-45, 6-50
DAAutoLogin, 6-33
P
paramètres de déploiement automatique
téléchargement programmé, A-63
paramètres de téléchargement programmé
configuration des paramètres, A-61
périphérique, 1-2
périphériques, 1-19
plans de déploiement, A-64
Plugiciels
installation, 7-5
Plug-in Manager, 7-4
point final géré
PolicyServer
., 2-5
améliorations, 1-4
Comptes SQL, 2-6
configuration logicielle requises, 2-2
., 2-5
compte, 2-6
SQL, 2-4
configuration requise pour l'installation,
4-1
Configuration requise pour SQL, 2-4
configuration système requise
matériel, 2-4
désinstallation
services Web, 4-36
installation
services Web, 4-3
IN-6
mise à l'échelle, 3-18
mise à niveau, 3-24
mise à niveau de PolicyServer MMC,
4-35
Mises à niveau
services Web, 4-31
processus d'installation, 4-1
Proxy LDAP, 4-23
service Web client, 1-9
Synchronisation AD, 4-1, 4-17
Windows Server 2008, 2-3
Windows Server 2008 R2, 2-3
ajouter un groupe supérieur, 4-12
authentification, 4-10
groupes
ajout d'utilisateurs, 4-14
autoriser l'installation, 4-17
première utilisation, 4-10
utilisateurs
ajouter à un groupe, 4-14
ajouter un utilisateur d'entreprise,
4-14
précédents mots de passe, 1-2
prise en charge
base de connaissances, 8-6
résoudre les problèmes plus
rapidement, 8-8
TrendLabs, 8-10
produits gérés
affichage des journaux, A-28
configuration, A-26
exécution d’une tâche, A-27
recherche, A-34
Index
renommer, A-39
restauration, A-32
programmation d’un téléchargement
programmé
configuration, A-60
programmation et fréquence d’un
téléchargement programmé, A-60
programme pilote, C-1
Protection des données, 1-2
Proxy LDAP, 4-23
liste de contrôle matériel, 4-24, 4-25
R
rapports
modèles, A-73
rapports à usage unique, A-90
rapports programmés, A-95
recherche
renommer
dossiers, A-39
déploiement de composants, A-24
restauration
S
SATA, 6-40
SCCM, 6-31
scripts
arguments, 6-29
chiffrement, 6-29
File Encryption, 6-29, 6-35
Full Disk Encryption, 6-29, 6-34
sécurité
protection contre les virus/
programmes malveillants, 1-2
stratégie « Connexion en tant que tâche par
lots », A-69
stratégies, 1-2
autoriser la restauration d'un utilisateur,
6-44
planification de la sécurité, B-6
synchronisation, 6-3
T
téléchargement de composants
manuel, A-44
téléchargement et déploiement de
composants, A-41
téléchargement manuel de composants, A-44
configuration
paramètres de déploiement
automatique, A-63
téléchargements programmés, A-52
terminologie, E-1
TrendLabs, 8-10
Trend Micro Control Manager
accès utilisateur aux produits gérés, A-11
enregistrement sur, A-8
Trivoli, 6-31
U
UEFI, 6-8
URL
enregistrement, 8-2
utilisateurs, 1-20
ajouter un nouvel utilisateur à un
groupe, 4-14
IN-7
V
W
Windows 8, 2-9, 6-8
mise à niveau vers, 6-37
IN-8
Trend Micro SA 85, avenue Albert 1er 92500 Rueil Malmaison France
Tél. : +33 (0) 1 76 68 65 00 [email protected]
www.trendmicro.fr
APFM56404/140410

Guide d`installation et de migration

Transcription

Documents pareils

Symantec Endpoint Protection Nouvelles fonctionnalités

EFFICOM LILLE MastèrE ManagEr du dEsIgn dE COMMunICatIOn

Ludix Trend 50

centre commercial auchan

Symantec Endpoint Encryption, optimisé par la technologie PGP™

Holocron de Odan-urr. - JDR

En savoir plus - Maike Automotive

chef de reception – front office manager

21495 $20495 - Garage Daniel Lessard

Y a un nouveau au bureau ! L`add on Guild event manager nous