Symantec Endpoint Protection Manager sur un Windows 2003

Publié le 5 mars 2008 par John LEBRUMENT

I- Introduction

Endpoint est le successeur de Norton Corporate qui de nombreux administrateurs système utilisent depuis des années.
Le guise d’administration de Symantec comprend 793 pages, le présent article n’a donc pas pour but de présenter l’ensemble des fonctionnalités mais plutôt de mettre rapidement en place le serveur et les clients. Je laisserai de côté toute la partie gestion de rapports ainsi que la gestion des comptes utilisateurs.

II- Installation du serveur et de la console

Tout d’abord, première surprise : IIS doit être installé sur le 2003 pour que le serveur antiviral puisse être déployé. Il n’est pas nécessaire d’installer les extensions FrontPage ni l’ASP. A noter que si vous installer le serveur Endpoint sur une machine qui est déjà serveur WSUS vous échouerez lamentablement car les 2 services créent tous les 2 un partage IIS qui s’appelle « Content ».

L’installation sur le disque du serveur et la console de gestion est une installation classique sous Windows, avec ses « suivant » et son « j’accepte ».

L’assistant de configuration se lance automatiquement à la fin de l’installation. Il est nécessaire de choisir s’il s’agit d’un premier site, d’un serveur supplémentaire sur un site existant ou d’un nouveau site. Dans notre cas ce sera un premier site.

Les étapes suivantes permettent de choisir les ports de communication, le nom du serveur, le mot de passe de chiffrement, le type de base de données utilisée (nous choisirons la base intégrée) et enfin le mot de passe administrateur. (A noter que le compte administrateur s’appelle admin). Lorsque le serveur est configuré, l’assistant de migration se lance, nous allons l’ignorer superbement.
Si vous voulez revenir sur vos réglages, le raccourci « Assistant de configuration de serveur de gestion » est disponible via le menu Démarrer.

Avant de passer au paramétrage du serveur nous allons configurer LiveUpdate pour s’assurer que le serveur pourra faire correctement ses mises à jours et récupérer celles des clients.
Pour cela Panneau de configuration => Symantec LiveUpdate

III- Configuration du serveur

Pour configurer le serveur nous allons lancer la console.
Elle est accessible via le menu Démarrer, il faudra indiquer le compte saisi lors de l’installation pour se connecter.

III-1 Configurer les mises à jour

Dans un premier temps, nous allons configurer les mises à jour :
Icône Administrateur => Serveurs => Site Local => Modifier les propriétés du site

Dans la fenêtre de configuration qui s’affiche l’onglet LiveUpdate est important, il permet de configurer les langues à télécharger et par défaut le Français n’est pas sélectionné.

Dans ce menu Serveurs je vous conseille de cliquer sur télécharger le contenu de LiveUpdate pour vérifier que le serveur parvient bien à récupérer les différentes mises à jour.

III-2 Configurer les politiques

Dans un second temps temps nous allons nous rendre dans politiques pour configurer les politiques par défaut des différents composants de Endpoint.
Par politique on entend la manière dont l’antivirus par exemple se comportera quand il rencontrera un virus, la planification des analyses, etc…

Icône Politiques => Sélectionner la politique => Modifier la politique

Important : dans le cadre de la configuration de la politique du composant Antivirus et Antispyware l’auto protect pour le courrier électronique doit être activé pour que sur les clients la protection Antivirus et Antisyware apparaisse comme activée.

A noter qu’il est possible de désactiver une politique, celle du Firewall par exemple, mais pour cela il faut d’abord choisir de modifier la politique. Quand je le disais que ce n’était pas intuitif…

III-3 Création et configuration d’un package d’installation à déployer

Nouveauté de SEPM, il faut maintenant créer le package qui va être déployé sur les clients.
Les packages les plus courants existent par défaut, en revanche par défaut il n’existe pas d’installation silencieuse. Pour en créer une :
Icône Administratreur => Paquets d’installation => Paramètres d’installation client => clic droit dans le volet droit => Ajouter

Une fenêtre s’affiche permettant de sélectionner les paramètres d’installation et notamment de paramétrer le redémarrage automatique, l’interaction avec l’utilisateur et l’écrasement des paramètres de config existants.

Reste maintenant a créer le package à lui assigner les paramètres d’installation que nous venons de créer. Pour cela :
Icône Administratreur => Paquets d’installation => Paquets d’installation Client => Exporter le paquet d’installation client

Pour information voici ma configuration du paquet :

  • Le dossier d’exportation sera placé sur le disque dur du serveur. Ce n’est pas une obligation mais ça me semble logique.
  • Les paramètres d’installation personnalisé : l’installation silencieuse que nous venons de créer.
  • Les fonctionnalités à installer.
  • Le client sera un client géré.
  • Cocher Exporter les paquets avec les politiques…
  • Paramètre du mode favori : Mode ordinateur

IV- Déploiement du client

Maintenant que le serveur est configuré, il nous reste à déployer le client. L’icône Clients est là qui nous tend les bras, mais génie de Symantec, ce n’est pas elle qui va nous permettre d’installer les clients. Il y a bien le menu Rechercher des ordinateurs non gérés qui peut-être utilisé mais on gardera plutôt cet outil pour ajouter les ordinateurs qui ne figurent pas dans la console, par exemple parce qu’ils étaient éteints au moment de l’installation.

Pour installer les clients nous allons utiliser l’outil ClientRemote.exe qui est situé, dans le cadre d’une installation dans C:\program files\ se trouve ici :

C:\Program Files\Symantec\Symantec Endpoint Protection Manager\tomcat\bin\

L’assistant de déploiement, puisque c’est de lui dont il s’agit, demande le chemin du package d’installation que nous avons exporté. Le réseau est browsé, il reste à ajouter les ordinateurs (un à un, toujours pas possible d’utiliser la touche Majuscule ou Control !!!) puis à fournir un compte disposant de droits d’administration sur les machines.

Quelques minutes après le déploiement, les machines sont visibles dans la console, en cliquant sur l’icône Clients.Par défaut ils apparaissent à la racine du groupe Temporary.

Interaction avec Active Directory :

La console permet de récupérer les groupes de machines depuis l’active Directory.
La première étape consistera à initier la connexion entre la console et l’AD
Icône Administrateur => Serveurs => Sélectionner le serveur => Modifier les propriétés du serveur => Serveurs d’annuaires

Maintenant que la communication avec l’Active Directory est configurée il reste à importer des OU.
Icône Clients => Onglet Clients => Importer une unité organisationnelle

A noter (c’est fou ce qu’il y a noter dans cet article) que lorsque le client est déployé sur des machines qui sont dans des OU importées elles se retrouvent automatiquement rangés dans leur OU. Je soupçonne qu’il soit possible de déployer le client sur les OU. Je n’y suis pas parvenu, l’onglet Paquets d’installation ne semble installer des paquets que lorsque le client a été préalablement déployé.

V- Remarques complémentaires

Il est possible de se connecter à la console depuis n’importe quel poste du réseau, depuis l’URL suivante :
http://nom_du_server:9090

Les clients communiquent avec le serveur via http (https???) en cas de problème de connexions pensez à vérifier la configuration des vos proxies notamment pour les structures qui ont mis en place la détection automatique du proxy et/ou qui ont des passerelles antivirales sur leurs proxies. Ces dernières ont tendance à prendre les signatures d’antivirus pour des virus.

Il existe un forum chez Symantec consacré à Endpoint. Malheureusement on y trouve beaucoup plus de questions que de réponses. Cela dit au cas où voici l’URL :
https://forums.symantec.com/syment/board?board.id=endpoint_protection11

Si vous avez perdu le mot de passe du compte administrateur de la console Symantec Endpoint Protection Manager il est possible de l’écraser grâce à un batch.

Dans son infinie clémence, Symantec l’a écrit pour vous, il s’appelle resetpass.bat est se trouve sur le serveur dans :

C:\Program Files\Symantec\Symantec Endpoint Protection Manager\Tools

Après l’avoir exécuté il existe un compte admin mot de passe admin qui permet de se connecter à la console.

Publié dans Logiciels, Windows | Marqué avec , , , , , | Laisser un commentaire

Un viewer gratuit pour les Thumbs.db

Publié le 4 mars 2008 par John LEBRUMENT

A priori on ne voit pas trop l’intérêt d’aller regarder ce qui se passe dans les fichiers thumbs.db    Si cependant, comme cela m’est arrivé vous en avez besoin ce n’est pas simple de trouver un logiciel gratuit. J’ai fini par tomber sur celui-ci :
http://www.itsamples.com/software/tdv.html

Pour le cas où l’URL viendrait à disparaitre,  vous pouvez toujours le télécharger ici :
ThumbsViewer

Publié dans Logiciels | Laisser un commentaire

Moteur de recherche de MP3

Publié le 19 février 2008 par John LEBRUMENT

Tagoo, c’est son nom recherche, scrute le web à la recherche de fichiers musicaux. Allez savoir pourquoi le dom de domaine et en Russie, au nom (emprunté?) d’un certain Sergey Yu Smagin.

Clubic, site sur lequel j’ai lu l’info, titre sa news « Tagoo : durée de vie de ce moteur de recherche de Mp3 ? » Je ne suis pas sur qu’il disparaisse si vite que cela, au dernières nouvelles The Pirat Bay, autrement plus vindicatif envers les ayants droits est toujours vivant.

Bien entendu ce n’est à utiliser que pour rechercher de la musique libre de droits.


							

	
			

									
						Publié dans Internet					
					|
													
						Marqué avec , , 					
					|
								Laisser un commentaire
							

		


		
	


			

			
Windows 2003 : quelques tips pour gagner un peu de temps


			

				Publié le 12 février 2008 par John LEBRUMENT			


				

				
Quelques tips, qui font gagner un temps certains à ceux et celles qui bossent sur des 2003 serveur. A vous de juger de la pertinence de leur mise en oeuvre.


Eteindre ou redémarrer la machine sans avoir à ouvrir une session


    

  • Outils d’administration =>  Stratégie de sécurité locale
    • 

  • Stratégies locales =>  Options de sécurité
    • 

  • Activer la stratégie  « Arrêt : permet au système d’être arrrêté sans avoir à se connecter »

    • 



Eteindre ou redémarrer sans avoir à fournir d’explication


    

  • Démarrer => Exécuter => gpedit.msc 
    • 

  • Modèles d’administration =>  Système => Afficher l’arrêt du moniteur d’événements
    • 

  •  Activer la stratégie => « Workstation seulement »
    • 








Ne pas avoir à ressaisir son mot de passe quand on revient sur une connexion en terminal server inutilisée depuis plus de 10 minutes. 


    

  • Clic droit sur le bureau => Propriétés 
    • 

  • Ecran de veille  => Désactiver « A la reprise, protéger par mot de passe ».
    • 



Autoriser le surf avec internet Explorer sur n’importe quel site


    

  • Panneau de configuration => Ajout suppression de programmes 
    • 

  • Ajouter ou supprimer des composants Windows =>  Décocher « Configuration de sécurité renforcée d’internet Explorer »
    • 


							

	
			

									
						Publié dans Windows					
					|
												Laisser un commentaire
							

		


		
	


			

			
Raid logiciel sous Windows 2003 Server (et XP?)


			

				Publié le 11 février 2008 par John LEBRUMENT			


				

				
I- Introduction 


Une remarque préalable s’impose : si vous avez le budget pour investir dans du RAID matériel ne vous privez pas, c’est à la fois plus sur et plus performant.  Cependant, pour nos amis les pauvres, voici quelques questions que je me posais sur le sujet et les réponses que j’ai trouvées en particulier grâce aux tests sous Vmware puis (hélas) sur le serveur que j’ai installé. Tout ce qui suit se passe sous Windows 2003, après avoir jeté un oeil au gestionnaire de disques de XP Pro je n’ai pas noté de différences, cependant il est possible que les procédures ne soient pas tout à fait identiques.


II- RAID 5 sur la partition système


La partition système ne supporte pas le RAID5 ou alors je n’ai pas été capable de le mettre en place.  On peut passer à la suite. (il va être vite expédié ce didacticiel)


III- RAID 1 sur la partition système 


    

  1. Lancer le gestionnaire de disques.
    2. 

  2. clic droit sur le disque système => Convertir en disque dynamique.  (A noter qu’au moment de la conversation, un message plutôt inquiétant indique qu’il ne sera plus possible de démarrer un autre système d’exploitation depuis ce disque après son passage en dynamique. Cela ne concerne pas l’OS sur lequel vous êtes en train de travailler, cela impacte le multiboot.)
    3. 

  3. Lorsque le disque est passé en dynamique un redémarrage est demandé.
    4. 

  4. Clic droit sur la partition => Ajouter un disque Miroir. A noter que ce choix n’est disponible que si un disque dans le gestionnaire de disques est en dynamique, avec un espace disque au moins égal à la partition système.
    5. 

  5. Sélectionner le disque qui servira de miroir.
    6. 

  6. Les 2 disques se synchronisent (vous avez le temps d’aller boire une café, voir même de faire un festin selon la taille du disque système).
    7. 

  7. C’est fini !
    8. 



IV- RAID1 ou RAID5 sur des partitions non système


Pour le RAID 1 la procédure est la même que décrite plus haut pour la partition système.

Pour le RAID5 la procédure est proche mais brave gars que je suis, en voici le détail. Petit rappel, le RAID5 nécessite au minimum 3 disques pour pouvoir être mis en oeuvre.


    

  1. Lancer le gestionnaire de disques.
    2. 

  2. Clic droit sur le disque système => Convertir en disque dynamique. Passer les disques à inclure dans le RAID en dynamique.
    3. 

  3. Clic droit dans l’espace d’un des disques puis « Nouveau nom« 
    4. 

  4. Choisir RAID5 comme type de volume.
    5. 

  5. Sélectionner les disques qui constitueront le RAID5 et si l’on ne souhaite pas prendre l’intégralité du disque, sélectionner la taille allouée au RAID.
    6. 

  6. Attribuer une lettre au RAID nouvellement créé.
    7. 

  7. Formater le volume et lui attribuer un nom.
    8. 



V- Restaurer le RAID après le crash d’un disque en RAID1


    

  1. Installer un nouveau disque.
    2. 

  2. Lancer le gestionnaire de disques.
    3. 

  3. clic droit sur le nouveau disque => Convertir en disque dynamique.
    4. 

  4. clic droit sur le disque survivant du RAID1 => Ajouter un disque Miroir
    5. 

  5. Choisir le nouveau disque et attendre patiemment que la resynchronisation prenne fin. 
    6. 



VI- Restaurer le RAID après le crash d’un disque en RAID5


    

  1. Installer un nouveau disque.
    2. 

  2. Lancer le gestionnaire de disques.
    3. 

  3. clic droit sur le nouveau disque => Convertir en disque dynamique.
    4. 

  4. clic droit sur l’une des partitions du RAID encore valide => Réparer le volume
    5. 

  5. Choisir le nouveau disque et attendre patiemment que la resynchronisation prenne fin.
    6. 



VII- Remarques intéressantes…ou pas!




Si je dois réinstaller le système et que j’avais du RAID pour mes données seront elles perdues puisque c’est le système qui gère le RAID ?

Non, dans ce cas la procédure est la suivante :


    

  1. Réinstaller un Windows 2003 sans toucher aux disques ou partitions qui contiennent le RAID5.
    2. 

  2. Lancer le gestionnaire de disques. A noter que, dans le gestionnaires, les disques qui composent le RAID5 sont marqués comme Etranger.
    3. 

  3. Clic droit sur l’un des disques => Importer des disques étrangers.
    4. 

  4. Après validation les données sont de nouveau accessibles et un ouf de soulagement est autorisé.
    5. 



Les disques doivent-ils être identiques ?

Non, c’est l’un des avantages du RAID logiciel. Les disques peuvent être de marque et même de taille différentes. Imaginons un disque de 30 GO pour le système et un second disque de 200 GO pour les données. Je peux faire du RAID1 entre le disque système, et le disque de données qui se verra alors amputé de 30 gigas. J’aurais donc un système en RAID et 170 GO pour les données.


Peux-t-on mixer plusieurs types de RAID sur un même système voir sur un même disque ?

Oui, il est possible d’avoir à la fois du RAID1 et du RAID5 y compris sur 2 partitions d’un même disque. Cela dit pour des raisons de performances mais aussi de fiabilité ce n’est pas conseillé.


En créant mon RAID1 j’ai le message suivant :  « le gestionnaire de disque logique n’a pas pu mettre à jour le fichier de démarrage pour les partitions de démarrage pour le disque cible. Vérifiez vos listes arcpath dans le fichier boot.ini ou via l’utilitaire bootcfg.exe » 

Pour des raisons qui m’échappent, il arrive que le système ne parvienne pas à modifier le boot.ini, il affiche alors ce message. Il faudra donc modifier à la main le fichier boot.ini et lui ajouter la ligne indiquant les infos du disque miroir dans la catégorie [operating systems]  La fin du fichier ressemblera donc à cela :


[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS= »Windows Server 2003, Standard » /noexecute=optout /fastdetect

multi(0)disk(0)rdisk(1)partition(2)\WINDOWS= »Boot Mirror C: – secondary plex » /NoExecute=OptOut


Comment est-on prévenu de la défaillance d’un disque ?

C’est la revers de la médaille : puisque le serveur continue à fonctionner même quand un disque rend l’âme, il n’est donc pas évident de se rendre compte de la panne. Heureusement Microsoft a prévu le coup…bah non ! En dehors des traditionnels journaux des évènements, rien n’a été prévu. Pour bénéficier d’une remontée d’alertes digne de ce nom il faudra se tourner vers des produits tiers comme Nagios ou bien scripter pour automatiser le traitement des journaux. Cela dit si vous disposez d’un serveur pas trop pourri, un bip très énervant doit retentir quand un des disques est HS.


Le RAID logiciel est-il fiable ?

NON !    Je ne vais pas raconter tous mes petits malheurs mais croyez moi sur parole ça n’a pas du tout eu le comportement attendu sur le serveur que j’ai configuré. Ca ne veut pas dire qu’il ne faut pas l’utiliser, mais avant de mettre le serveur en production je vous conseille vivement de faire des tests en enlevant des disques pour regarder ce qui se passe. Bonne chance !

							

	
			

									
						Publié dans Windows					
					|
													
						Marqué avec , , , , , 					
					|
								Un commentaire