5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 1/9
Forefront EndPoint Protection 2010 avec SCCM :
Présentation et Implémentation
En août 2003 alors que les administrateurs systèmes étaient d¶avantage exposés à la lumière du soleilqu¶à celle de leur écran d¶ordinateur ; MS Blaster l¶un des fléaux informatiques les plus célèbrescommençait à envahir le monde de l¶entreprise. Celui-ci allait changer radicalement la vision de lasécurité au cur des entreprises en lançant une prise de conscience générale. A l¶heure du passageen 2011, il n¶est pas envisageable qu¶une entreprise ne protège pas son parc informatique par unsystème anti-logiciel malveillant performant. Fin 2010, Microsoft annonçait la sortie de la nouvelleversion de sa solution antivirale. Forefront EndPoint Protection était attendu depuis près de 3 ansavec des attentes fortes en matière d¶administration. Cette nouvelle version change de stratégie enproposant une intégration complète à la gamme System Center au travers de System Center Configuration Manager (SCCM) 2007 et System Center Operations Manager (SCOM) 2007. Vous verrez dans cet article comment implémenter Forefront EndPoint Protection et comment l¶utiliser au quotidien. Nous verrons les différents avantages et inconvénients de cette solution et les avancéesproposées.
Notez que cet article n¶abordera pas l¶implémentation de Forefront EndPoint Protection 2010 SecurityManagement Pack. C¶est-à-dire l¶implémentation des Management Packs dans une infrastructureSystem Center Operations Manager.
1. Théorie
1.1 Historique
Microsoft s¶est lancé en 2006 dans le secteur des logiciels antivirus avec Windows OneCare Live.Ce logiciel destiné aux particuliers disposait d¶un mode de licence particulier offrant la possibilité del¶installer sur 3 ordinateurs dans un seul foyer. Au terme d¶un premier renommage pour intégrer lasuite Windows Live. Windows Live OneCare fut arrêté en novembre 2008. Microsoft n¶abandonnapas cependant l¶idée de se lancer sur ce marché jusqu¶alors principalement occupé par Symantec . Enparallèle, la stratégie de Microsoft fut ensuite différente puisque la firme de Redmond s¶est consacré
au marché des antivirus d¶entreprise en proposant Microsoft Client Protection en 2005. Cettepremière version fut ensuite renommée en 2007 :Forefront Client Security (FCS). Cet antivirusreprenant les bases de OneCare fut couronné de succès grâce à la stratégie agressive de Microsoftsur le prix des licences. Fin 2009, Microsoft se relance dans l¶aventure de l¶antivirus dédié auxparticuliers. Fort de son succès avec FCS , Microsoft lance Windows Security Essentials, unantivirus gratuit. Le monde de l¶informatique fut agréablement surpris de la qualité de l¶antivirus et deses performances générales. Aujourd¶hui, FCS se fait vieux et les attentes sont nombreuses. C¶estainsi que Microsoft annonce début 2010 la sortie d¶une nouvelle version de son antivirus d¶entreprisequi sera rebaptisée : Forefront EndPoint Protection.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 2/9
1.2 Présentation
Forefront EndPoint Protection 2010 signe un changement dans le fonctionnement de la gammed¶antivirus pour entreprise de Microsoft. Contrairement à Forefront Client Security (FCS) qui était
construit sur une version spécifique de Microsoft Operations Manager (MOM) 2005 ; FEP 2010 est luiconstruit sur la base de la gamme System Center. Ainsi, le produit est séparé en deux modules :
y Forefront EndPoint Protection 2010 : Ce module est le corps du produit. Il s¶intègre à SystemCenter Configuration Manager 2007 pour offrir les outils nécessaires à l¶administrationquotidienne des clients (déploiement de l¶agent, application des stratégies«).
y Forefront EndPoint Protection 2010 Security Management Pack anciennement connu sous lenom Forefront EndPoint Protection for Server (FEP-S) durant les phases de bêta. Ce moduleest un pack d¶administration (MP) qui s¶intègre à System Center Operations Manager 2007pour offrir une couche de supervision des services d¶alerte FEP, des jobs de l¶agent SQL quicopie les données de la base de données FEP vers le Data Warehouse FEP, ou encore lesévénements générés par les serveurs FEP.
Note : Nous n¶aborderons pas l¶implémentation de Forefront EndPoint Protection 2010 SecurityManagement Pack dans cet article.
1.3 Fonctionnement
L¶infrastructure Forefront EndPoint Protection 2010 est constituée des éléments suivants :
y La base de données Forefront EndPoint Protection 2010 : La base de données FEPstocke toutes les informations d¶état renvoyées par les clients, les collections, lesappartenances aux collections, les stratégies, etc«
y La base de données de Reporting Forefront EndPoint Protection 2010 : La base dedonnées de Reporting correspond au Data WareHouse (entrepôt de données) qui stockerales données nécessaires aux rapports).
y Le serveur de site Configuration Manager et son extension pour FEP 2010: Ce rôlecorrespond au serveur de site System Center Configuration Manager. Il ajoute simplement lescomposants nécessaires à l¶administration de FEP avec SCCM. Ceci inclut les collectionsFEP, les packages et programmes, les lignes de base FEP pour la gestion des configurationsdésirées.
y FEP 2010 Reporting and Alerts permet l¶installation des composants de supervision del¶infrastructure FEP.
y La console Configuration Manager et son extension pour FEP 2010 correspond àl¶extension de System Center Configuration Manager 2007 nécessaire à l¶ intégration de FEP.
L¶administrateur du parc informatique gère tout à partir de la console d¶administration ConfigurationManager. Les stratégies et les opérations sont appliquées au client FEP au travers du client SCCM.Le client FEP remonte son état en utilisant des lignes de base primordiales au fonctionnement duproduit. Ces données sont stockées dans la base de données FEP. En parallèle l¶administrateur peutaussi utiliser des lignes de base par défaut pour connaître l¶état de conformité du client. De manièrerégulière, une opération de stockage a lieu afin de synchroniser la base de données FEP avecl¶entrepôt de données (Data WareHouse) utilisé pour les rapports.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 3/9
1.4 La haute disponibilité
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 4/9
Comme expliqué plus tôt, Forefront EndPoint Protection 2010 est une couche supplémentaireapportée à System Center Configuration Manager. Ceci fait de Forefront EndPoint Protection 2010 unpiètre élève dans la cours des produits hautement disponible puisque celui-ci est dépendant desservices de System Center Configuration Manager. En effet, i l est difficile de rendre SCCM hautementdisponible. Vous pouvez rendre certains rôles hautement disponibles comme le Management Point, leSoftware Update Point, ou la base de données. Néanmoins, le serveur de site ne peut faire partie dece plan.
Microsoft recommande l¶utilisation :
y D¶un cluster SQL Server pour la base de données de reporting Forefront EndPoint Protectiony Des Management Packs System Center Operations Manager pour superviser les services
Forefront EndPoint Protection
Pour plus d¶informations, rendez-vous : http://technet.microsoft.com/en-us/library/gg412484.aspx
1.5 Plan de reprise d¶activité
Le plan de reprise d¶activité doit prendre en compte la sauvegarde préalable des différentscomposants comme notamment System Center Configuration Manager 2007. Celle-ci est assurée par une tâche de maintenance qui sauvegarde à la fois la base de données mais aussi l¶ensemble desfichiers de configuration nécessaires. Dans le cadre de Forefront EndPoint Protection, cette tâchesauvegarde les stratégies, les paramétrages effectués dans SCCM et les publications.Vous devez aussi sauvegarder la base de données de reporting Forefront EndPoint Protection(FEPDW_<SITECODE>) en utilisant la solution de sauvegarde SQL Server.
Microsoft propose ensuite deux procédures de restauration. La première concerne la restauration du site System Center Configuration Manager quand il estvictime d¶un Crash », il est alors nécessaire de le remplacer. Vous devez enchainer les étapessuivantes :
1. Restaurer System Center Configuration Manager 2. Restaurer la base de données de Reporting si cela est nécessaire3. Installer Forefront EndPoint Protection en utilisant l¶option reuse existing database »
La seconde procédure est à utiliser lorsque le serveur de la base de données de reporting ForefrontEndPoint Protection est devenu indisponible. Vous devez suivre les étapes :
1. Restaurer SQL Server et la base de données de rapport FEP2. Désinstaller la fonctionnalité de reporting FEP sur le serveur où elle est installée.3. Installer Forefront EndPoint Protection en utilisant l¶option
¡
reuse existing database »
Pour plus d¶informations, consultez : http://technet.microsoft.com/en-us/library/gg477037.aspx
1.6 Licensing
Forefront EndPoint Protection 2010 dispose de licences pour l¶infrastructure serveur et pour lesclients. Les clients peuvent utiliser des licences par utilisateur ou par périphérique. En parallèle, leslicences pour System Center Configuration Manager R2 ou R3 sont nécessaires pour gérer centralement les clients.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 5/9
On distingue deux suites de produit :
Standalone Products Enterprise CALSuite
Forefront ProtectionSuite
Forefront Endpoint Protection 2010
Forefront Protection 2010 for Exchange Server
Forefront Protection 2010 for SharePoint
Forefront Security for Office CommunicationsServer Forefront Online Protection for Exchange
Forefront TMG Web Protection Service
Other Server CALs and technologies
La suite Entreprise inclut les licences nécessaires pour System Center Configuration Manager et pour le système d¶exploitation.
Côté client, les prix annoncés sont les suivants :
Estimated Prices
Microsoft Forefront Endpoint Protection2010 $8.64 US par utilisateur ou par périphérique, par an
2. Implémentation : Installation duserveur
Cette partie va traiter l¶installation de la solution serveur de Forefront EndPoint Protection. Vouspourrez y retrouver les différents prérequis et la procédure d¶installation.
2.1 Prérequis
2.1.1 Prérequis Matériel
Les prérequis matériels nécessaires à l¶installation d¶un serveur Forefront EndPoint Protection sont lessuivants :
y Mémoire : 2GB de RAMy Espace disque disponible :
o Serveur FEP : 600 MBo Base de données FEP : 1.25 GBo Base de données des rapports FEP : 1.25 GB
Il est à noter que les prérequis peuvent varier en fonction de la répartition des rôles ou de la chargeimposée au serveur.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 6/9
2.1.2 Prérequis Logiciels
L¶installation de l¶infrastructure Forefront EndPoint Protection 2010 nécessite certains prérequis parmiles suivants :
y
Système d¶exploitation : Windows Server 2003 SP2 ou plusy Aucune version de FEP ne doit être installée sur le serveur y Aucune autre protection antivirus doit être installé sur le serveur y Windows Installer 3.1 ou plus doit être présenty Le .NET Framework 3.5 SP1 doit être installéy Les Prérequis SQL Server :
o Vous pouvez utiliser : SQL Server 2005 SP3 Standard ou Entreprise, SQL Server 2008 Standard ou Entreprise, SQL Server 2008 R2 Standard ou Entreprise.
o Le SPN (Service Principal Name) du compte de service exécutant SQL Server doitêtre enregistré auprès du domaine. Pour plus d¶informations, je vous renvoiesur : http://technet.microsoft.com/fr-fr/library/bb735885.aspx
o Le service de l¶agent SQL Server doit être lancé et dans un mode de démarrageautomatique.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 7/9
o Le compte utilisateur exécutant l¶installation de FEP sera propriétaire des bases dedonnées et jobs suivants :
FEPDB_XXX (database) FEPDW_XXX (database) FEP_DataWarehouseMaintenance_FEPDW_XXX (job) FEP_DB_Maintenance_FEPDB_XXX (job) FEP_GetNewData_FEPDW_XXX (job) FEP_GetNewDataOnInstall_FEPDW_XXX (job)
o SQL Server Analysis Services : Le compte utilisateur exécutant l¶installation de FEP doit faire partie du rôle
¢ server admini strat or » sur le serveur SQL Server Analysis. Ce service doit être installé sur le même serveur et sur la même instance
SQL Server qui héberge la base de données de Reporting. Ce scénario doitêtre envisagé si vous souhaitez éclater les rôles Forefront EndPointProtection.
L¶ordinateur exécutant SQL Server Analysis Services doit disposer desexceptions firewall suivantes :
SQL Server (TCP 1433) ouvert pour le traffic entrant SQL Server Analysis Services (TCP 2383) ouvert pour le traffic
entrant Pour plus d¶informations sur la configuration Firewall pour l¶accès àSQL Server, rendez-voussur : http://go.microsoft.com/fwlink/?LinkId=128365
o SQL Server Reporting Services doit être installé et correctement configuré pour assurer la fonctionnalité de rapports
o SQL Server Integration Services doit être installé
y System Center Configuration Manager 2007 Service Pack 2 doit être installé avec l¶ensembledes rôles par défaut. La fonctionnalité Reporting Services de SCCM R2/R3 doit être installéeet convenablement configurée.
y Les agents du client Configuration Manager suivants doivent être activés et configurés :o Hardware Inventoryo Advertised Programso Desired Configuration Management
Pour activer ces agents, ouvrez la console d¶administration System Center Configuration Manager sur le site où vous souhaitez installer Forefront EndPoint Protection. Déroulez l¶arborescence SiteDatabase => Site Management => <SITECODE> - <SITENAME> => Site Settings => Client Agents :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 8/95
Ouvrez les différents agents cités plus haut et assurez-vous que ceux-ci sont activés et correctementconfigurés :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 9/95
y Les machines où vous installerez les composants d¶extension de la console ConfigurationManager 2007 pour Forefront EndPoint Protection 2010 (ceci inclut la console du serveur desite, les consoles sur les postes des administrateurs«) nécessitent l¶installation dela KB2271736 afin d¶ajouter la classe WMI ManagementClass. Vous pouvez télécharger lamise à jour à partir de ce lien : http://go.microsoft.com/fwlink/?LinkId=203936
y Aucun redémarrage ne doit être en attente avant de commencer l¶installation de ForefrontEndPoint Protection.
Vous trouverez plus d¶informations sur les prérequis sur la documentationTechnet : http://technet.microsoft.com/en-us/library/ff823830.aspx
L¶installation et la configuration de ces prérequis (SQL Server«) afin d¶assurer la validité del¶installation de Forefront EndPoint Protection ne sera pas détaillée dans cet article.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 10/
Pour ce qui est de la gestion des sites Configuration Manager au travers d¶une hiérarchie avecForefront EndPoint Protection 2010, je vous renvoie vers le lien de la documentationTechnet : http://technet.microsoft.com/en-us/library/gg412503.aspx
2.2 Installation
Procurez-vous les sources de Forefront EndPoint Protection 2010 dans l¶architecture de la machineoù vous aller installer le produit. Lancez l¶exécutable £ serversetup.exe ».
Une fois l¶assistant d¶installation ouvert, renseignez les informations d¶enregistrement du produit :
Sur l¶écran suivant, acceptez les termes du contrat de licence :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 11/
La page suivante vous propose les options d¶installation. On retrouve 4 types d¶installation :
y Basic Topology : Cette topologie est la plus simple. Elle permet l¶installation de l¶ensembledes composants (base de données, extension du serveur de site SCCM, extension de laconsole et composants de reporting) sur le serveur de site SCCM. Elle permet ainsi decentraliser l¶ensemble des fonctionnalités sur une même machine et réduit ainsi les étapes deconfiguration de l¶assistant.
y Basic topology with remote reporting database permet l¶installation de l¶extension duserveur de site, de la base de données FEP, de l¶extension de la console, et des composantsde rapports sur le serveur en cours. Elle permet néanmoins le déport de la base de donnéesde Reporting (Data warehouse) sur une autre machine.
y Advanced topology autorise la personnalisation complète de l¶installation. Vous pouvez ainsichoisir de répartir les rôles comme bon vous semble.
y Install only Configuration Manager Console Extension for FEP 2010 rend possiblel¶installation seule de l¶extension Forefront EndPoint Protection 2010 pour la consoleConfiguration Manager 2007. Cette option se prête généralement au scénario permettant auxadministrateurs de la solution de mettre à jour la console sur leur poste de travail.
Dans le cadre de cet article, nous aborderons le cas le plus général : La topologie basique. Nousallons donc concentrer l¶ensemble des rôles sur une seule et unique machine : notre serveur de siteSCCM. Néanmoins, nous allons passer par l¶option d¶installation la plus personnalisable àsavoir Advanced Topology pour détailler au mieux les options offertes.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 12/
Sur l¶écran suivant, vous pouvez choisir ce que vous souhaitez installer :
y Configuration Manager Site Server FEP 2010 Extension : L¶extension FEP pour le serveur de site permet l¶ajout des collections FEP, des packages et programmes, des lignes de baseFEP pour la gestion des configurations désirées. Cette option d¶installation doit être exécutéesur le serveur de site SCCM.
y FEP 2010 Reporting and Alerts permet l¶installation des composants de supervision del¶infrastructure FEP. Si vous n¶installez pas ce composant sur le serveur de site SCCM, vousdevez configurer les permissions DCOM adéquates pour l¶accès aux consoles. Vous pouvezpour cela consulter le lien suivant : http://technet.microsoft.com/en-us/library/gg477021.aspx#BKMK_ToInstallFEP2010ReportingAndAlerts.Notez que cette option installe le client FEP 2010 sur la machine avec des paramétragespersonnalisés.
y Configuration Manager Console Extension for FEP 2010 installe les fichiers nécessaires àl¶intégration des composants d¶administration dans la console System Center ConfigurationManager 2007.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 13/
La page suivante permet la configuration des informations de la base de données FEP. Celle-ci doitêtre installée sur le même serveur/instance qui héberge la base de données Configuration Manager.Vous pouvez personnaliser le nom de la base de données FEP :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 14/
L¶écran Reporting Configuration permet de spécifier les informations nécessaires à l¶installation desfonctionnalités de Reporting. Vous pouvez ainsi y entrer le nom du serveur, l¶instance et le nom de labase de données qui hébergeront les données de Reporting (Data warehouse). Enfin vous devezspécifier les informations du compte utilisé par le serveur de rapport pour accéder à la base dedonnées de Reporting FEP 2010.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 15/
L¶étape suivante vous permet de configurer les options de mise à jour du produit et de participation auprogramme d¶amélioration :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 16/
La page suivante vous permet de joindre le programme Microsoft SpyNet. Ce programme est uneinitiative de Microsoft comme il en existe chez ses concurrents permettant de rejoindre unecommunauté afin d¶enrayer la propagation des logiciels malveillants et indésirables. Le programmepermet par exemple d¶être avisé des logiciels non analysés et de savoir si les autres membres ontpermis ou refusés les changements initiés par ceux-ci. Le programme permet notamment à Microsoftde détecter plus rapidement les menaces et ainsi de consolider les besoins d¶analyse sur lesvéritables alertes.On distingue deux types d¶abonnements :
y Basic SpyNet membership permet d¶envoyer à Microsoft des informations concernant leslogiciels malveillants détectés. Ces informations peuvent être l¶origine du logiciel, l¶actionentrepris, son échéance (succès ou échec) .
y Advanced SpyNet membership permet d'être avisé des logiciels dont les risques n'ont pas
été analysés, vous pouvez voir si d'autres membres de la communauté permettent ourefusent les logiciels ou les changements effectués par les logiciels. Ces informations peuventvous aider à prendre votre décision. De la même façon, vos choix sont ajoutés aux différentsclassements et aident les autres membres à prendre une décision. Vous pouvez être avertiface à un logiciel qui n'a pas encore été classé en fonction des risques.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 17/
L¶écran suivant permet de spécifier le répertoire d¶installation et d¶obtenir une vision des prérequisd¶espace disque :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 18/9
L¶étape suivante correspond à la vérification des prérequis. Si vous avez raté un prérequis, vousobtiendrez un écran avec des erreurs comme suit :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 19/
Vous pouvez obtenir plus de détail sur l¶erreur en cliquant sur ¤ More« ». Ceci vous permettra derésoudre le problème :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 20/
Sinon si vous avez suivi la partie 2.1.2 et correctement configuré l¶ensemble des prérequis cités vousdevez obtenir l¶écran suivant :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 21/
L¶écran qui suit correspond au résumé d¶installation. Vous pouvez rapidement revoir les différentesoptions et procéder à l¶installation :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 22/
Lorsque l¶installation est déroulée, l¶ensemble des composants doivent être installés avec succès :
Avant de fermer l¶assistant d¶installation, vous pouvez vérifier les mises à jour sur Microsoft Update.Vous devrez ensuite procéder au redémarrage de l¶ordinateur pour finaliser l¶installation :
Vous pouvez consulter les fichiers de journalisation liés à l¶installation dans : c:\Pr og ramData\Micr osof t F oref r ont\Support\Server\ServerSetup_<Date>_<Heure>.l og
2.3 Migration FCS vers FEP
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 23/
Comme expliqué plus tôt, Forefront EndPoint Protection 2010 introduit un véritable changement dansle fonctionnement de la gamme d¶antivirus pour entreprise de Microsoft. Contrairement à ForefrontClient Security (FCS) qui était construit sur une version spécifique de Microsoft Operations Manager (MOM) 2005 ; FEP 2010 est lui construit sur la base de la gamme System Center. De ce fait, ceciimplique des changements en profondeur.
Forefront EndPoint Protection 2010 ne permet pas une migration à proprement parler avec des
scénarios In-Place ou Side-by-Side.
Voici la marche à suivre :
1. Dans la console FCS, documentez l¶ensemble des paramétrages de chacune des stratégiesque vous utilisiez pour pouvoir ensuite les recréer dans FEP.
2. Dans WSUS, désactiver l¶approbation sur les packages d¶installation FCS.3. Installez Forefront Endpoint Protection avec votre infrastructure System Center Configuration
Manager 20074. Recréez les stratégies FEP avec les paramétrages que vous avez documentés en amont sur
votre serveur FCS.5. Déployez massivement le client FEP. Celui-ci procédera à la migration de vos postes de
travail en désinstallant le client FCS et en procédant à l¶installation du nouveau client FEP.6. Désinstallez ensuite l¶infrastructure FCS une fois que l¶ensemble des clients auront été migrés
sur FEP.
2.4 Migration FCS vers FEP
L¶installation de Forefront EndPoint Protection 2010 (FEP) correctement déroulée, vous pouvez ouvrir la console d¶administration de System Center Configuration Manager 2007. Nous allons détailler dans cette partie les brefs changements apportés à la console d¶administration.
Déroulez l¶arborescence Site Database => Computer Management => Collections. On retrouve ainsi une collection FEP Collections contenant différentes sous collections. Ces souscollections sont bloquées et ne peuvent être supprimées. Le contenu des requêtes dynamiques ainsique les paramétrages sont eux aussi non modifiables. Ces collections permettent ainsi de vous
donner un aperçu de l¶état des clients avec notamment des informations sur :
y L¶état des définitions (date)y L¶état du déploiement du client FPS (En échec, En attente, déployé, non ciblé«)y Une collection dédié aux opérations ; Cette collection peut être utilisé pour toutes les
opérations sur le client FEP (Lancement d¶un scan «)y L¶état de la distribution des stratégies (distribuée, en attente, en échec)y L¶état de la protection (Activé, non reportée, service désactivé)
y L¶état de la sécurité (Scan complet requis, infecté, redémarrage requis «)
Toujours dans l¶arborescence Site Database => Computer Management. Vous retrouvez lenud Forefront EndPoint Protection :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 24/
Dans la partie Software Distribution, on retrouve trois packages :
y Microsoft Corporation FEP ±Deployment 1.0 contient deux programmes permettantl¶installation et la désinstallation du client FEP.
y Microsoft Corporation FEP ± Operations 1.0 fournit trois programmes fournissantdifférentes opérations de maintenance
y Microsoft Corporation FEP ± Policies 1.0 fournit deux programmes permettant d¶appliquer les politiques par défaut.
Associé à ces packages, on retrouve deux dossiers dédiés aux publications : FEP Operations et FEP
Policies.
Nous détaillerons le nud Forefront EndPoint Protection ainsi que les packages plus loin dansl¶implémentation.
3. Implémentation : Installation duclientMaintenant que l¶infrastructure serveur est correctement installée et fonctionnelle, nous pouvonspasser à l¶installation et au déploiement à grande échelle du client.
3.1 Prérequis
Cette partie liste les différentes considérations à prendre en compte lors de l¶installation du client sur une machine.
3.1.1 Prérequis Matériel
Les prérequis matériels nécessaires à l¶installation d¶un client Forefront EndPoint Protection sont lessuivants :
y CPU :o Windows XP : 500 MHz ou pluso Windows Vista ou Windows 7 : 1.0 GHz ou plus
y Mémoire :o Windows XP : 256 MB de RAM ou pluso Windows Vista ou Windows 7 : 1 GB de RAM ou plus
y Espace disque disponible : 300 MB
3.1.2 Prérequis Logiciels
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 25/
L¶installation de l¶infrastructure Forefront EndPoint Protection 2010 nécessite certains prérequis parmiles suivantes :
y Systèmes d¶exploitation : Windows XP SP3 (x86), Windows VISTA RTM ou plus (x86 ou x64),Windows 7 RTM (x86 ou x64), Windows 7 XP mode, Windows Server 2003 SP2 (x86 ou x64),Windows Server 2008 RTM ou plus (x86 ou x64), Windows Server 2008 R2 (x64) ou plus,Windows 2008 R2 Server Core (x64) Notez que la version Server Core de Windows Server 2008 n¶est pas supportée par le clientFEP. Les versions : Windows 7 Starter, Windows Home Premium, Windows Vista Basic, WindowsVista Home Premium, Windows XP Home Edition supportent l¶installation manuelle des clientsmais ne peuvent recevoir les stratégies (policies) du serveur.
y Un client System Center Configuration Manager fonctionnel. Le site auquel appartient le clientSCCM doit avoir un serveur FEP installé.
y Windows Installer 3.1y Le package de correctifs de gestionnaire de filtre pour Windows XP SP2 (KB914882)y WFP (Windows Filtering Platform) un pilote de correctif logiciel cumulatif pour Windows Vista,
Windows Server 2008, Windows 7 et Windows Server 2008 R2 (KB981889)
y Windows Update
L¶installation du client Forefront EndPoint Protection procède à la désinstallation automatique desantivirus suivants si ceux-ci sont présents sur la machine :
y Symantec Endpoint Protection version 11y Symantec Corporate Edition version 10y McAfee VirusScan Enterprise version 8.5 and version 8.7 and its agenty Forefront Client Security version 1 and the Operations Manager agent
y TrendMicro OfficeScan version 8 and version 10
Vous trouverez plus d¶informations sur les prérequis de déploiements du client Forefront EndPointProtection sur : http://technet.microsoft.com/en-us/library/ff823900.aspx
3.2 Installation
Après avoir revu les prérequis, nous allons pouvoir commencer la procédure de déploiement demasse du client. Nous n¶aborderons pas dans cet article l¶installation manuelle du client. Pour cela, jevous renvoie vers la documentation Technet : http://technet.microsoft.com/en-us/library/ff823774.aspx ou http://technet.microsoft.com/en-us/library/gg412485.aspx
3.2.1 Distribution du package
Après avoir installé Forefront EndPoint Protection vous disposez des packages et des programmesnécessaires à l¶installation du client. Néanmoins, vous devez d¶abord rendre disponible ce package
sur les points de distribution de votre environnement. Pour cela, ouvrez la console d¶administrationSystem Center Configuration Manager 2007. Déroulez l¶arborescence : Site Database => C omputer Manag ement => S of tware Di stributi on => Packag e => M icr osof t C orporati on FEP ± Depl oyment 1.0 => Di stributi on P oint s :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 26/
Cliquez droit sur le nud Distribution Points et sélectionnez New Distribution Points. L¶assistants¶ouvre, passez l¶écran de bienvenue. A l¶étape Copy Package, sélectionnez les points de distribution sur lesquels vous souhaitez rendredisponible le package :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 27/
Après avoir fermé l¶écran de confirmation, dirigez-vous dans Package Status => Package Status =><SITECODE> - <SITENAME> et validez que le package a bien été déployé sur le point dedistribution :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 28/9
3.2.2 Création de la publication
Maintenant que le package est disponible nous allons pouvoir créer la publication nécessaire à ladistribution et l¶installation du client FEP sur les machines. Pour cela, dirigez-vous dans lenud Programs du package Micr osof t C orporati on FEP ± Depl oyment 1.0 . Cliquez droit sur leprogramme Install, sélectionnez Di stribute puis S of tware.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 29/
Passez l¶écran de bienvenue, vous pouvez ensuite choisir quelle collection sera la cible dudéploiement. Vous pouvez ainsi cibler une collection existante ou créer une nouvelle collection. FEPnous fournit des collections proposant des requêtes dynamiques. Parmi celles-ci, on retrouve descollections donnant le statut du déploiement. L¶utilisation de la collection
¥
N ot Targeted » permet decibler les clients Configuration Manager ne disposant pas déjà du client FEP.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 30/
Spécifiez ensuite le nom de la publication et le commentaire associé :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 31/
La page suivante permet de configurer le comportement de la publication vis-à-vis des souscollections. Par défaut la publication est propagée et héritée par les clients des sous collections de¦ N ot Targeted ».
L¶étape Adverti sement Schedule permet de spécifier les informations (date et heure) de publication duprogramme et si celui-ci doit expirer :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 32/
Sur l¶écran Assi g n Pr og ram, cochez § Yes, assign the program´ et spécifiez les informationsd¶assignement (date et heure) :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 33/
Validez le résumé et la confirmation pour procéder à la création de la publication.
Dans l¶état cette publication assigne et procède à l¶installation du client sur les postes de travail dèsque possible. Le programme est configuré pour s¶exécuter en silencieux sans qu¶aucune notificationne dérange l¶utilisateur.
3.2.3 Validation du déploiement
On se connecte sur le client et on rafraichie les différentes stratégies afin de récupérer les ordres depublication. Après quelques minutes, on peut confirmer que plusieurs processus sont en coursd¶exécution : cscript.exe, epplauncher.exe, FEPInstall.exe.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 34/
On retrouve aussi un dossier caché à la racine du disque local contenant l¶ensemble des binaires
nécessaires à l¶installation :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 35/
Après installation, le client FEP procède à la récupération des mises à jour auprès de son serveur :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 36/
L¶installation du client a opéré l¶installation du correctif de sécurité WPF (KB981889) :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 37/
Sur le client toujours, vous retrouvez différents fichiers de journalisation relative au client ForefrontEndPoint Protection 2010. Ceux-ci sont stockés dans :
y %ProgramData%\Microsoft \Microsoft Security Client \Support pour Windows 7, WindowsServer 2008, et Windows Server 2008 R2
y %allusersprofile%\Microsoft \Microsoft Security Client \Support pour Windows XP,Windows Vista, et Windows Server 2003
Fichier de journalisation Description
EppSetup.log Fichier de journalisation principal del¶installation.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 38/9
MSSecurityClient_Setup_epp_install.log Fichier de journalisation del¶installation de l¶extensiond¶administration et de l¶interfaceutilisateur.
MSSecurityClient_Setup_FEP_install.log Fichier de journalisation del¶installation de l¶extension
Configuration Manager.
MSSecurityClient_Setup_mp_ambits_install.log Fichier de journalisation del¶installation du service Antimalware.
MSSecurityClient_Setup_epploc_x86_Install or MSSecurityClient_Setup_epploc_x64_Install
Fichier de journalisation del¶installation des ressourceslocalisées.
MSSecurityClient_Setup_amloc-%locale% _install Fichier de journalisation del¶installation des ressourceslocalisées pour le serviceantimalware.
MSSecurityClient_Setup_KB981889 _Install.evtx Le fichier de journalisation pour l¶installation du correctif KB981889. Seulement sur Windows7 ou Windows Server 2008 R2.
MSSecurityClient_Setup_dw20shared_Install.log Le fichier de journalisation pour l¶installation de Dr. Watson(seulement sur Windows XP, etseulement s¶il n¶était pas présent).
S ource : Technet
Sur la console d¶administration Configuration Manager, vous pouvez aussi suivre les différents états
des machines lors du déploiement du client SCCM avec la collection Deployment Status et ses souscollections :
y Removed : Les ordinateurs dans cette collection sont des machines qui disposaient du clientFEP avant qu¶ils soientt désinstallés manuellement.
y Failed liste les machines où le déploiement a échouéy Pending : comporte les machines où le déploiement n¶a pas encore démarré. Ceci peut se
traduire par des machines connectées n¶ayant pas encore reçu la publication.y Out of date : donne les machines disposant d¶un client FEP d¶une ancienne versiony Deployed : liste toutes les machines où le client s¶est correctement déployé.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 39/
3.3 Présentation du client
Voici quelques informations importantes prenant part lors de l¶installation du client Forefront EndPointProtection :
y Le client s¶installe automatiquement dans le dossier %programfiles%\Microsoft Security Clienty L¶installation du client active automatiquement Windows Update et configure l¶installation
automatique des mises à jour.
Notez que pour les serveurs de fichiers, il peut être important de désactiver la protection en temps réelpour éviter des problèmes de performance. Pour cela, vous devez créer une stratégie spécifique àces machines.
Le client Forefront est constitué de plusieurs parties :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 40/
La page d¶accueil permet d¶avoir un bref aperçu de l¶état du client et des définitions antivirales. Il estpossible à partir de cet écran de lancer des opérations de scan (complet ou partiel).
La page Update permet de connaître la date de création des définitions, la date de dernièrevérification et les versions des définitions de virus et de logiciels malveillants. Il est possible d¶initier àpartir de cet écran, la procédure de mise à jour du client via Microsoft Update, WSUS et les différentscheminS UNC renseignéS comme source des définitions.
L¶écran History permet de visualiser l¶ensemble des objets détectés par Forefront EndPoint Protectioncomme potentiellement nuisibles.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 41/
La page Settings permet de configurer l¶ensemble des paramétrages du client Forefront EndPointProtection. On retrouve ainsi :
y Les programmations des scansy Les actions par défaut lorsqu¶une menace est trouvéey Les paramétrages de la protection en temps réely Les répertoires ou fichiers exclus de la recherchey Les types de fichiers exclus de la recherchey Les processus exclus de la recherchey Les paramétrages avancés (notifications, paramétrages de recherche, suppression des
fichiers«)
Par défaut, la stratégie dédiée au poste de travail n¶autorise aucune modification de paramétrage.
3.4 Test de l'antivirus
Cette partie traite du test de l¶antivirus Forefront EndPoint Protection. Nous allons soumettre celui-ciau test EICAR fournit par le groupe européen de la sécurité Informatique. Ce fichier est un faux négatif utilisé pour tester les antivirus. Il n¶a aucune incidence sur le système. Depuis sa création en 2006, ce
fichier de test a été largement utilisé et n¶a plus vraiment d¶intérêt. Il permet néanmoins de tester lafonction de protection en temps réel avec analyse du flux http et https pour détecter ce genre demenace juste après le téléchargement. Il a aussi servi à générer les alertes fournies par Forefront quevous verrez plus loin dans cet article.
Dirigez-vous sur http://www.eicar.org :
Il est possible de tester l¶antivirus en téléchargeant les fichiers zippéS ou non sur les protocoleshttp/https. Une fois le téléchargement lancé, le client Forefront EndPoint Protection lève une alerte etpropose de nettoyer la machine :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 42/
L¶action de nettoyage proposée est la suppression du fichier incriminé. Vous pouvez changer d¶actionen fonction du niveau de sévérité détecté et appliquer les actions.
Une fois l¶action terminée, Forefront vous donne le statut de l ¶action :
Vous pouvez ensuite visualiser dans l¶historique du client, l¶ensemble des éléments qui ont étédétectés et les différentes actions qui ont été appliquées :
De la même manière si on désactive la protection en temps réel et qu¶on télécharge le fichier, celui-cin¶est pas neutralisé lors du téléchargement mais lors de l¶analyse de la machine :
4. Administration
Les tâches d¶administration du produit passent par dif férentes composantes comme la gestion desstratégies s¶appliquant aux clients, la gestion des mises à jour, la gestion des opérations demaintenance, la gestion des alertes, ou la surveillance de l¶état de l¶infrastructure au travers desrapports. Cette partie vous permettra d¶aborder tous ces concepts.
4.1 Gestion des stratégies (Policies) La gestion des stratégies est la tâche la plus importante qu¶un administrateur doit opérer sur l¶infrastructure FEP. Les stratégies (Policies) sont un ensemble d¶éléments/paramétrages s¶appliquantau client Forefront EndPoint Protection. Elles permettent de régir le comportement du client. Onretrouve ainsi la gestion :
y De la programmation des scansy De la protection en temps réely Des notifications,
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 43/
y Des actions face à une menacey Des exceptions (fichiers, types de fichiers, processus«)
y Les répertoires ou fichiers exclus de la recherche
Pour visualiser les stratégies, ouvrez la console d¶administration Configuration Manager. Déroulez
l¶arborescence Site Database => Computer Management => Forefront EndPoint Protection =>Policies.
4.1.1 Les stratégies par défaut
Forefront EndPoint Protection fournit deux stratégies par défaut s¶appliquant à tous les clients :
y Default Server Policy s¶applique à toutes les machines de type serveur. Elle est appliquée autravers d¶une publication (Assign FEP policy Default Desktop Policy) sur lacollection Depl oy ed S ervers.
y Default Desktop Policy s¶applique à toutes les stations de travail. Elle est appliquée autravers d¶une publication (Assign FEP policy Default Server Policy) sur la collection Depl oy ed
Deskt o ps.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 44/
Vous ne pouvez pas supprimer les stratégies par défaut et ce afin d¶assurer le bon fonctionnement del¶infrastructure. De cette façon, une stratégie est toujours appliquée à un client FEP. Vous pouveznéanmoins facilement éditer les propriétés de la stratégie pour modifier les différents paramètres.
Il est conseillé de ne pas les modifier car celles-ci ont été construite comme un standard s¶appliquantaux deux types de profil. Si vous souhaitez appliquer des paramètres spécifiques, vous pouvez créer une nouvelle stratégie (Policy) qui prendra le dessus sur la stratégie par défaut.
Nous n¶allons pas détailler ici écran par écran les différents paramétrages. Néanmoins, vous pouveztrouver des tableaux regroupant les principales différences entre les deux stratégies.
Note : Nous détaillerons la signification de chaque paramètre lors de la création des stratégiespersonnalisées.
Voici les paramétrages pour chacune des stratégies par défaut en ce qui concerne les analysesprogrammées :
Scheduled Scans (params) Default Desktop Policy Default Server Policy Activé Oui Non
Type d¶analyse Analyse Hebdomadaire rapide Aucune
Programmation (Jour) Samedi -Programmation (heure) 03h00 -
Vérification des mises à jour avant de démarrer l¶analyse
Oui -
Analyse uniquement quandl¶ordinateur n¶est pas utilisé
Oui -
Randomiser le démarrage del¶analyse programmée(intervalle de 30 min)
Oui -
Force une analyse lors dudémarrage du poste si plusde deux analyses ont étémanquées
Non -
Limite l¶utilisation CPUdurant les analyses
Oui (50%) Oui (30%)
Autorise l¶utilisateur àconfigurer l¶usageprocesseur pour les analyses
Non Non
Contrôle de l¶utilisateur sur les analyses programmées
Aucun contrôle Aucun contrôle
Le tableau suivant récapitule les actions utilisées par défaut lors de la découverte d¶une menace :
Default Actions (params) Default Desktop Policy Default Server Policy
Sévère Utilise l¶action recommandée Utilise l¶action recommandéeHaute Utilise l¶action recommandée Utilise l¶action recommandéeMoyenne Mise en quarantaine Mise en quarantaine
Faible Autorise Autorise
Ce tableau rassemble les paramètres des deux stratégies par défaut en ce qui concerne la protectionen temps réel :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 45/
Real-time protection (params) Default Desktop Policy Default Server Policy
Activée Oui Oui
Analyse des fichiers système Analyse des fichiers entrants etsortants
Analyse des fichiers entrants etsortants
Analyse tous les fichierstéléchargés et pièces jointes
Oui Non
Utilise la supervision du
comportement
Oui Oui
Active la protection contreles exploits réseau
Oui Non
Autorise l¶utilisateur àconfigurer les paramétragesde la protection en tempsréelle
Non Oui
Vous trouvez ci-dessous trois tableaux regroupant les exclusions de répertoires, de fichiers, de typesde fichiers et de processus pour les stratégies par défaut :
Excluded files and locations Default Desktop Policy Default Server Policy %windir %\SoftwareDistribution \ Datastore
Datastore.edb Res*.log
Res*.jrs
Edb.chk
Tmp.edb
Datastore.edb Res*.log
Res*.jrs
Edb.chk
Tmp.edb%windir %\Security \Database *.edb, *.sdb, *.log
*.chk, *.jrs
*.edb, *.sdb, *.log
*.chk, *.jrs%ALLUSERSPROFILE%\NTuser.pol Oui Oui
%SystemRoot%\system32 \ GroupPolicy \registry.pol
Oui Oui
Excluded files types Default Desktop Policy Default Server Policy
Aucun Auc
Excluded processes Default Desktop Policy Default Server Policy Aucun Auc
Voici les différences entre les deux stratégies en ce qui concerne les paramétrages avancés du clientForefront EndPoint Protection :
Advanced Default Desktop Policy Default Server Policy Analyse des fichiers archivés Oui OuiAnalyse des lecteurs réseau lors desanalyses complètes
Non Non
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 46/
Analyse des périphériques de stockageamovibles (Clé USB«)
Non Non
Créer un point de restauration systèmeavant de nettoyer l¶ordinateur
Non Non
Afficher un message de notification àl¶utilisateur lorsque une opération(analyse complète, téléchargement de
définitions«) est nécessaire
Non Non
Suppression des fichiers en quarantaine Non NonAutorise l¶utilisateur à configurer lapériode de suppression automatique desfichiers en quarantaine
Non Non
Autorise l¶utilisateur à exclure desrépertoires, fichiers, type de fichiers etprocessus
Non Oui
Overrides Default Desktop Policy Default Server Policy Aucun Auc
Ce tableau résume les différences en ce qui concerne Microsoft SpyNet :
Microsoft SpyNet Default Desktop Policy Default Server Policy Activé Oui OuiAbonnement Basic BasicAutorise l¶utilisateur à changer lesparamétrages SpyNet
Non Non
Le tableau Updates regroupe les paramétrages de mises à jour du client pour les deux stratégies :
Updates Default Desktop Policy Default Server Policy Vérification des définitions (intervalle) Toutes les 8 heures Toutes les 8 heures
Force la mise à jour des définitions sicelle-ci a échoué il y a
1 jour 1 jour
Mise à jour à partir d¶un partage defichier
Non Non
Mise à jour à partir de WSUS ou SCCM Oui OuiMise à jour à partir de Microsoft Update Oui Oui
Voici un récapitulatif des paramétrages de gestion du Firewall Windows pour les deux stratégies par défaut :
Windows Firewall Default Desktop Policy Default Server Policy
Gestion de Windows Firewall Activée DesactivéeRéseau Domaine : Etat du Firewall Activé -
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 47/
Connexions entrantes Bloquées -Affichage d¶une notification Oui -Réseaux Privés : Etat du Firewall Activé -
Connexions entrantes Bloquées -Affichage d¶une notification Oui -
Réseaux Publics :
Etat du Firewall Activé -Connexions entrantes Bloquées -Affichage d¶une notification Oui -
4.1.2 Création de stratégies personnalisées
Après avoir décortiqué les stratégies par défaut fournies avec Forefront EndPoint Protection, nousallons entrer dans le vif du sujet et voir comment créer une stratégie personnalisée. Nous détailleronsdans cette partie l¶ensemble des étapes de création et d¶édition. Vous trouverez ici la définition de
chaque paramètre.
Pour créer votre stratégie (Policy) personnalisée, ouvrez la console d¶administration ConfigurationManager. Déroulez l¶arborescence Site Database => Computer Management => ForefrontEndPoint Protection => Policies. Cliquez droit sur le nud P olicies et sélectionnez N ew P olic y :
L¶assistant de création d¶une stratégie s¶ouvre. Nous allons créer une stratégie personnalisée qui
s¶appliquera à tous les ordinateurs portables (profils itinérants, commerciaux, consultants«). Entrez lenom de la stratégie et la description :
Sur l¶écran Policy Type, vous devez choisir le type de stratégie que vous souhaitez créer. Lesdifférentes options proposées sont des modèles qui vous permettront d¶adapter la stratégie au besoinémis. On retrouve ainsi 4 types principaux :
y
Standard desktop policy : fournit des paramétrages pour les postes de travail standard. Uneanalyse rapide a lieu par semaine et l¶utilisation du processeur est limitée à 50%y High-security Policy : Cette stratégie donne un niveau de sécurité maximum en incluant des
analyses rapides tous les jours et une analyse complète par semaine. L¶utilisation processeur n¶est pas limitée et la configuration du Firewall est optimisée pour éviter les intrusions.
y Performance optimized policy : Cette stratégie offre une configuration permettant uneprotection sécurité minimale tout en offrant un niveau de performance maximum. L¶usageprocesseur est limité à 30% et une analyse rapide a lieu toutes les semaines.
y Policy template : Cette option permet de sélectionner des modèles de sécurité pour des casbien particuliers comme des rôles serveurs. Les modèles incluent ainsi des paramétrages
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 48/9
spécifiques aux rôles comme des exclusions de fichiers ou de processus. Voici la l iste desmodèles offerts :
o Microsoft SQL Server 2005o Microsoft SQL Server 2008o Internet Information Services (IIS) 6 et 7o System Center Configuration Manager 2007o Microsoft Exchange Server 2007/2010o
FEP Exchange et Microsoft Forefront Protection 2010 for Exchange Server (FPE)o Microsoft SharePoint 2010o Microsoft Office SharePoint® Server 2007 et Microsoft Forefront Protection 2010 for
SharePoint (FPSP)o Domain Controller o Microsoft Hyper-V (host)o Terminal Serviceso DNS Server o DHCP Server o File Serviceso System Center Operations Manager 2007o Server (stratégie par défaut recommandée par Microsoft pour des serveurs)
Nous aborderons plus tard dans cette partie la création d¶une stratégie dédiée à un rôle serveur.
Sélectionnez le type de stratégie ̈ S tandard deskt o p polic y » puis passez à l¶écran suivant :
Sur l¶écran Scheduled Scans, vous pouvez choisir de programmer des analyses en cochant©
schedule t y pe and ti me of scan ». Vous pouvez sélectionner le type et la fréquence des analysesen choisissant :
y Une analyse rapide par semainey Une analyse complète par semainey Une analyse rapide par jour y Une analyse complète par jour
y Une analyse rapide par jour et une analyse complète par semaine.
Vous devez ensuite choisir la programmation (jour et heure) de ces analyses.
La page suivante permet d¶ajouter des exclusions à l¶analyse. Par défaut, on retrouve les exclusionshabituelles du dossier Software Distribution. Il peut être intéressant d¶exclure certains fichiers commedes bases de données afin d¶optimiser le fonctionnement de certains programmes.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 49/
A l¶étape Updates, vous pouvez spécifier les différentes méthodes utilisées pour mettre à jour le clientForefront et déployer les nouvelles définitions antivirales. Vous pouvez ainsi :
y Autoriser la mise à jour en utilisant un chemin réseau (UNC)y Autoriser la mise à jour via SCCM ou WSUS (coché par défaut)
y Autoriser la mise à jour à partir de Microsoft Updates (coché par défaut)
L¶écran Client Configuration permet de configurer les interactions entre l¶utilisateur et le client. Vouspouvez ainsi choisir de laisser l¶utilisateur configurer la protection en temps réel ou encore lesprogrammations d¶analyse. Vous pouvez aussi cocher
S how noti f icati on messages t o users on« » pour afficher des notifications à l¶utilisateur lorsque des actions sont nécessaires. Ceci peut secaractériser par le lancement d¶une analyse complète ou le téléchargement des dernières définitions
de virus et de logiciels malveillants.
Validez l¶écran de résumé pour procéder à la création de la stratégie :
Une fois créée, on retrouve notre stratégie dans la liste des stratégies disponibles :
Maintenant que la stratégie est créée, je vous propose de rentrer plus en détail dans les paramétrages
offerts par ces stratégies. Pour cela dans l¶arborescence S ite Database => C om puter M anagement => F oref r ont E nd P oint P r otecti on => P olicies, cliquez droit sur la stratégie et choisissezP r o perties
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 50/
Une fois la fenêtre des propriétés ouverte, on se retrouve dans l¶onglet General. Cet onglet présentele nom et la description de la stratégie. Vous pouvez y retrouver les collections qui se voient assigner la stratégie.
On retrouve aussi la date de création et de modification ainsi que le numéro de version de la stratégie.Le numéro de version est incrémenté à chaque fois que la stratégie est modifiée.
Ouvrez l¶onglet Antimalware. Dans la partie Scheduled scans, on retrouve les paramétragessuivants :
y S chedule t y pe and ti me of scan : Ce paramétrage permet d¶activer l¶analyse du poste detravail et configure ainsi le type d¶analyse et la programmation
y S can t y pe : permet de configurer le type d¶analyse parmi les choix suivants :o Une analyse rapide par semaineo Une analyse complète par semaineo Une analyse rapide par jour o Une analyse complète par jour o Une analyse rapide par jour et une analyse complète par semaine.
y S can Ti me offre la possibilité de configurer l¶heure à laquelle doit avoir lieu l¶analyse journalière
y W eekl y scan donne deux champs permettant de configurer le jour et l¶heure à laquelle doitavoir lieu l¶analyse hebdomadaire.
y C heck for def initi on updates before starting a scan permet de vérifier les mises à jour dedefinition avant de lancer une analyse.
y S can onl y when the c om puter is not in use : Cette option permet de lancer une analyseuniquement lorsque la machine n¶est pas utilisée par une personne. Elle utilise pour cela letemps d¶inactivité déjà utilisé pour lancer l¶économiseur d¶écran.
y R and omize scheduled scan start ti mes : Ce paramètre s¶il est activé permet de lancer
l¶analyse dans un intervalle de temps aléatoire compris entre la date de programmation et les30 prochaines minutes. Cette option permet d¶éviter que tous les postes de travail ciblés par lastratégie démarrent en même temps l¶analyse.
y F orce a scan upon restart when tw o or more scheduled scans are missed : Cette optionpermet de forcer l¶analyse au démarrage lorsque deux ou plusieurs analyses programméesont été ratées. Ceci est très pratique si le poste de travail a été hors ligne (éteint, en veille«)pendant une période plus ou moins longue.
y Li mit pr ocessor usage during scans t o the foll owing percentage : permet de limiter l¶usage processeur alloué à l¶analyse du poste de travail à un pourcentage maximum.
y All ow users on endpoint c om puters t o c onf igure pr ocessor usage li mits for scans :Cette option donne le droit à l¶utilisateur de configurer lui-même la limite d¶usage duprocesseur alloué à l ¶analyse.
y U ser¶s c ontr ol on scheduled scans : Cette option permet de régir le contrôle que peut avoir l¶utilisateur sur les analyses programmées. On retrouve les options suivantes :
o Aucun contrôleo Autorise le changement de l¶heure d¶analyse seulemento Contrôle total : Autorise l¶activation, la désactivation ou le paramétrage du type et de
la programmation de l¶analyse.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 51/
Dans la partie Default actions, on retrouve les paramétrages liés aux actions par défaut face à desniveaux de menaces détectés. Ces niveaux de menace (sévère, haute, moyenne ou faible) sontdéterminés par Microsoft en fonction de la sévérité de celle-ci :
y Action recommandée par Microsoft : Ce paramétrage peut potentiellement procéder à tous lesscénarios d¶action.
y Remove : Cette action supprime la menace.y Quarantaine : Cette action met en quarantaine la menacey Allow (Autorise) : Cette action autorise la menace.
La partie Real-time protection rassemble les options concernant le module de protection en tempsréel :
y E nable real-ti me pr otecti on permet d¶activer la protection en temps réelley S can sy stem f iles : Cette option permet de définir quels fichiers système vous souhaitez
analyser. (Par défaut l¶option analyse les fichiers entrants et sortants)y S can all d ownl oaded f iles and attachments : Cette option permet d¶analyser tous les
fichiers téléchargés ou toutes les pièces jointes reçues en temps réel.y U se behavi or monit oring : permet d¶activer la supervision des comportements. Ce
mécanisme est utilisé par Forefront pour surveiller le comportement du système pour bloquer les menaces inconnues.
y E nable pr otecti on against netw ork-based expl oits : Ce paramètre active la protectioncontre les attaques par le réseau.
y All ow users on endpoint c om puters t o c onf igure real-ti me pr otecti on settings : autorisel¶utilisateur à modifier les paramétrages de la protection en temps réel.
L¶écran E xcluded f iles and l ocati ons permet d¶ajouter des exceptions à l¶analyse faite par ForefrontEndPoint Protection pour éviter que certains fichiers ou répertoires soient analysés. Ceci peutpermettre d¶améliorer les performances de certaines applications (par exemple dans le cadre debases de données) mais augmente le risque des machines.
L¶écran E xcluded f ile t y pes permet d¶ajouter des exceptions pour certains types de fichiers.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 52/
L¶écran E xcluded pr ocesses permet d¶ajouter des exceptions pour certains processus afin d¶éviter d¶interférer avec le comportement de certaines applications et rendre l¶exécution plus performante.
La partie Advanced offre des paramétrages supplémentaires :
y S can archived f iles : Cette option permet d¶analyser les fichiers archivésy S can netw ork drives when running a f ull scan : Ce paramétrage permet d¶analyser les
lecteurs réseau lorsqu¶une analyse complète est lancée.y S can removable st orage devices : Cette option permet de procéder à l¶analyse des
périphériques de stockage amovibles (Clé USB«).y C reate a sy stem rest ore point before cleaning c om puters : Ce paramètre permet de créer
un point de restauration système avant toute tentative de nettoyage de la machine si unemenace a été détectée.
y S how noti f icati on messages t o users on endpoint c om puters when they need t o per for m the foll owing acti ons : Cette option permet d¶afficher des notifications à l¶utilisateur lorsqu¶il est nécessaire de procéder à des analyses complètes, aux téléchargements desmises à jour de définitions antivirales
y Delete quarantined f iles af ter : permet de supprimer automatiquement les fichiers mis enquarantaine après une période donnée.
y All ow users on endpoint c om puters t o c onf igure quarantined delete peri od : Cetteoption donne le droit à l¶utilisateur de modifier la période de suppression automatique desfichiers en quarantaine.
y All ow users on endpoint c om puters t o exclude f iles and l ocati ons, f ile t y pes, and pr ocesses : Ce paramètre donne le droit à l¶utilisateur de modifier les exceptions de fichiers,
répertoires, types de fichiers, et processus.
La partie Overrides permet de spécifier des exceptions permettant d¶outrepasser le comportementdes actions recommandées. Vous pouvez ainsi pour certaines menaces (vous trouverez la l istesur : http://www.microsoft.com/security/portal/Threat/Encyclopedia/Browse.aspx), spécifiez des
actions particulières qui prendront le dessus sur l¶action recommandée.
L¶écran de configuration Microsoft SpyNet permet de configurer l¶abonnement à SpyNet. Vouspouvez ainsi désactiver l¶abonnement ou choisir le type. L¶option All ow users on endpoint
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 53/
c om puters t o change S py N et settings » autorise l¶utilisateur final de modifier lui-même lesparamètres de SpyNet.
L¶onglet Updates offre différents paramétrages permettant de modifier le comportement de mis à jour du client :
y Vous pouvez ainsi choisir à quelle fréquence vous souhaitez que le client procède à lavérification des mises à jour de définition. Ceci peut avoir lieu à heure fixe ou à intervallerégulier en heure.
y F orce a def initi on update when def initi on updates have f ailed : Ce paramètre permet deforcer la mise à jour des définition si une mise à jour de définition a échoué à un intervalle de jour configuré.
y Vous pouvez ensuite choisir par quel moyen le client Forefront EndPoint Protection pourrarécupérer ses mises à jour de définition :
o En utilisant un chemin réseauo En utilisant la distribution des mises à jour par SCCM ou WSUo En utilisant Microsoft Updates
y Enfin vous pouvez spécifiez les chemins réseau si vous avez choisi cette méthode de mise à jour.
L¶onglet Windows Firewall permet de spécifier les paramètres de configuration influant sur le firewall
Windows.
y M anage W ind ows F irewall permet d¶activer la gestion du firewall par le client Forefront. Cette option déverrouille la configuration des options suivantes pour les différents types deréseau (domaine, privé, public) :
o Etat du firewall : Cette option permet d¶activer/désactiver le firewall en fonction duréseau
o I nc oming c onnecti ons : permet de spécifier le comportement du firewall face auxconnexions entrantes (bloquées«)
o Display a noti f icati on permet d¶afficher des notifications lorsqu¶une exception doitêtre enregistrée.
4.1.3 Création d¶une stratégie basée sur un modèle pour un rôle serveur
Nous avons vu comment créer une stratégie personnalisée assez standard basée sur les typesdisponibles. Ceux-ci se prêtent principalement à une utilisation pour les postes de travail. Microsoft
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 54/
propose néanmoins des modèles spécifiques aux serveurs et aux différents rôles et produits qu¶ilspeuvent héberger.
Nous allons créer une stratégie à destination des serveurs de site System Center ConfigurationManager. Celle-ci devra prendre en considération les différents mécanismes des serveurs cibles.
Procéder à la création d¶une nouvelle stratégie. Une fois l¶assistant ouvert, entrez le nom de la
stratégie et sa description.
Sur l¶écran Policy Type, cochez P olic y tem plate » et choisissez le modèle
FEP C onf igurati onM anager 2007 including Def aults » :
Validez l¶écran de résumé pour procéder à la création :
Une fois créée, nous pouvons éditer cette stratégie spécifique au produit System Center ConfigurationManager 2007. Nous pouvons remarquer dans les paramétrages Antimalware => Excluded f iles and Locati ons qu¶il y a de nombreuses exclusions associées au chemin d¶installation de System Center Configuration Manager :
Ces modèles sont un bon moyen d¶adapter facilement le comportement du client Forefront EndPointProtection au rôle et produits sur lequel il est installé.
4.1.4 Création d¶une stratégie basée sur un modèle pour un rôle serveur
Après avoir créé nos stratégies, nous allons pouvoir les assigner aux clients Forefront cibles de laconfiguration. La première étape consiste à créer les collections et l¶arborescence des collectionsnécessaires à votre infrastructure. Vous pouvez créer les collections au niveau de FEP Collections=> Deployment Status => Deployment Succeeded. Pour plus de clarté, j¶ai créé une arborescenceséparée et totalement dédiée à l¶application des stratégies personnalisées :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 55/
Ce découpage est bien entendu présenté à titre indicatif ; vous êtes libre d¶organiser celles-ci selonvos besoins.
Pour assigner une stratégie, rendez-vous dans la console d¶administration Configuration Manager etdéroulez l¶arborescence Site Database => Computer Management => Forefront EndPointProtection => Policies. Cliquez droit sur la stratégie que vous souhaitez déployer etsélectionnez « Assign P olic y « » :
Une fenêtre s¶ouvre. Celle-ci permet d¶ajouter des collections qui seront la cible de la stratégie.Cliquez sur
Add« » pour les ajouter. Vous pouvez ensuite cocher la case
I nclude
subc ollecti ons » si vous souhaitez que la publication se propage aux sous-collections :
Une fois ajoutée, nous pouvons voir que la publication est assignée à la collection que nous avonschoisie :
4.1.5 Edition de la priorité
Un client Forefront EndPoint Protection peut se voir attribuer plusieurs stratégies mais il n¶enappliquera qu¶une seule. Un client se voit toujours attribué au moins une stratégie. Les deux stratégiespar défaut ne peuvent être supprimées pour cette raison et assure ainsi un service minimum » sur
les nouveaux clients.
Afin de pouvoir au mieux gérer l¶application d¶une et une seule stratégie sur chaque client ; celles-ci sevoient attribuer une priorité. Cette priorité permet au client de s¶avoir quelle stratégie doit s¶appliquer siplusieurs lui sont proposées. Plus le numéro de priorité est faible ; moins la stratégie est prioritaire. Ainsi si un client se voit attribuer une stratégie avec un numéro de priorité 15 et la stratégie par défaut(priorité 1) ; ce sera bien la stratégie avec la priorité 15 qui sera appliquée.
Les deux stratégies par défaut ont la propriété la plus faible (respectivement 1 pour la stratégie postede travail et 2 pour les serveurs).
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 56/
Note : Lors de la création d¶une nouvelle stratégie, celle-ci se voit assigner la priorité maximale.
Il est possible d¶éditer la priorité des stratégies. Pour cela, ouvrez la console d¶administration etdéroulez l¶arborescence Site Database => Computer Management => Forefront EndPointProtection => Policies. Cliquez droit sur le nudPolicies et sélectionnez
E dit P olic y P recedence« » .
Une fenêtre s¶ouvre afin de vous permettre de déplacer vers le haut (en donnant une prioritésupérieure) ou vers le bas (en donnant une priorité inférieure) chaque stratégie.
Veuillez noter qu¶il n¶est pas possible de modifier la priorité des stratégies par défaut.
4.1.6 Edition de la priorité
Voici les paramétrages pour chacun des types de stratégie en ce qui concerne les analysesprogrammées :
Scheduled Scans(params)
Standard DesktopPolicy
High-security Policy Performance-optimized policy
Activé Oui Oui Oui
Type d¶analyse Analyse Hebdomadairerapide
Analyse journalièrerapide et
hebdomadairecomplète
AnalyseHebdomadaire
rapide
Programmation (Jour) Samedi Samedi (3h00) SamediProgrammation (heure) 03h00 02h00 03h00Vérification des mises à jour avant de démarrer l¶analyse
Oui Oui Oui
Analyse uniquement
quand l¶ordinateur n¶estpas utilisé
Oui Non Oui
Randomiser ledémarrage de l¶analyseprogrammée (intervallede 30 min)
Oui Oui Oui
Force une analyse lorsdu démarrage du postesi plus de deuxanalyses ont étémanquées
Non Oui Non
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 57/
Limite l¶utilisation CPUdurant les analyses
Oui (50%) Non Oui (30%)
Autorise l¶utilisateur àconfigurer l¶usageprocesseur pour lesanalyses
Non Non Non
Contrôle de l¶utilisateur
sur les analysesprogrammées
Aucun contrôle Aucun contrôle Aucun contrôle
Le tableau suivant récapitule les actions utilisées par défaut lors de la découverte d¶une menace :
Default Actions(params)
Standard DesktopPolicy
High-security Policy Performance-optimized policy
Sévère Utilise l¶actionrecommandée
Utilise l¶actionrecommandée
Utilise l¶actionrecommandée
Haute Utilise l¶actionrecommandée
Utilise l¶actionrecommandée
Utilise l¶actionrecommandée
Moyenne Mise en quarantaine Mise en quarantaine Mise enquarantaine
Faible Autorise Autorise Autorise
Ce tableau rassemble les paramètres des types de stratégie en ce qui concerne la protection entemps réel :
Real-time protection(params)
Standard DesktopPolicy
High-security Policy Performance-optimized policy
Activée Oui Oui Oui
Analyse des fichiers
système
Analyse des fichiers
entrants et sortants
Analyse des fichiers
entrants et sortants
Analyse des fichiers
entrants et sortantsAnalyse tous lesfichiers téléchargés etpièces jointes
Oui Oui Oui
Utilise lasupervision ducomportement
Oui Oui Oui
Active la protectioncontre les exploitsréseau
Oui Oui Oui
Autorise l¶utilisateur àconfigurer lesparamétrages de laprotection en temps
réelle
Non Non Non
Vous trouvez ci-dessous trois tableaux regroupant les exclusions de répertoires, de fichiers, de typesde fichiers et de processus pour des types de stratégie :
Excluded files and locations Standard DesktopPolicy
High-securityPolicy
Performance-optimized
policy
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 58/9
%windir %\SoftwareDistribution \ Datastore
Datastore.edb Res*.log
Res*.jrs
Edb.chk
Tmp.edb
Datastore.edb Res*.log
Res*.jrs
Edb.chk
Tmp.edb
Datastore.edb Res*.log
Res*.jrs
Edb.chk
Tmp.edb%windir %\Security \Database *.edb, *.sdb, *.log
*.chk, *.jrs
*.edb, *.sdb, *.log
*.chk, *.jrs
*.edb, *.sdb,*.log
*.chk, *.jrs%ALLUSERSPROFILE%\NTuser.pol Oui Oui Oui
%SystemRoot%\system32 \ GroupPolicy \registry.pol
Oui Oui Oui
Excluded files types Standard DesktopPolicy
High-securityPolicy
Performance-optimized policy
Aucun Aucun Aucun
Excluded processes Standard Desktop
Policy High-security
Policy Performance-
optimized policy Aucun Aucun Aucun
Voici les différences entre les types de stratégie en ce qui concerne les paramétrages avancés duclient Forefront EndPoint Protection :
Advanced Standard DesktopPolicy
High-securityPolicy
Performance-optimized policy
Analyse des fichiers archivés Oui Oui Oui
Analyse des lecteurs réseau lorsdes analyses complètes
Non Non Non
Analyse des périphériques destockage amovibles (Clé USB«)
Non Non Non
Créer un point de restaurationsystème avant de nettoyer l¶ordinateur
Non Non Non
Afficher un message denotification à l¶utilisateur lorsque une opération (analyse
complète, téléchargement dedéfinitions«) est nécessaire
Non Non Non
Suppression des fichiers en
quarantaine Non Non Non
Autorise l¶utilisateur àconfigurer la période desuppression automatique desfichiers en quarantaine
Non Non Non
Autorise l¶utilisateur à excluredes répertoires, fichiers, type de
Non Non Non
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 59/
fichiers et processus
Overrides Standard DesktopPolicy
High-securityPolicy
Performance-optimized policy
Aucun Aucun Aucun
Ce tableau résume les différences concernant Microsoft SpyNet :
Microsoft SpyNet Standard DesktopPolicy
High-securityPolicy
Performance-optimized policy
Activé Oui Oui Oui
Abonnement Basic Basic BasicAutorise l¶utilisateur à changer
les paramétrages SpyNet
Non Non Non
Le tableau Updates regroupe les paramétrages de mises à jour du client pour les types de stratégie:
Updates Standard DesktopPolicy
High-securityPolicy
Performance-optimized policy
Vérification des définitions(intervalle)
Toutes les 8 heures Toutes les 8 heures Toutes les 8heures
Force la mise à jour desdéfinitions si celle-ci a échoué ily a
1 jour 1 jour 1 jour
Mise à jour à partir d¶un partagede fichier Non Non Non
Mise à jour à partir de WSUS ouSCCM
Oui Oui Oui
Mise à jour à partir de MicrosoftUpdate
Oui Oui Oui
Voici un récapitulatif des paramétrages de gestion du Firewall Windows pour les types de stratégie :
Windows Firewall Standard DesktopPolicy
High-securityPolicy
Performance-optimized policy
Gestion deW
indows Firewall Activée Activée DesactivéeRéseau Domaine :
Etat du Firewall Activé Activé -
Connexions entrantes Bloquées Bloquées -Affichage d¶une notification Oui Oui -Réseaux Privés : Etat du Firewall Activé Activé -Connexions entrantes Bloquées Bloquées -
Affichage d¶une notification Oui Oui -Réseaux Publics :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 60/
Etat du Firewall Activé Activé -Connexions entrantes Bloquées Bloquées -Affichage d¶une notification Oui Oui -
4.1.7 Fonctionnement de l¶intégration des stratégies à System Center Configuration
Manager
Cette partie va vous permettre de comprendre comment Forefront EndPoint Protection 2010 s¶intègreaux différents mécanismes de System Center Configuration Manager 2007.
La création d¶une stratégie n¶est ni plus ni moins qu¶associée à la création d¶un nouveau programmedans le package Microsoft Corporation FEP ± Policies 1.0 :
Ce package est remis à jour automatiquement tous les jours à heure fixe afin de prendre enconsidération les différents changements :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 61/
L¶assignation d¶une stratégie correspond à la création d¶une publication (Advertisement) pour leprogramme associé à la stratégie sur une collection donnée avec les différents paramétragesnécessaires.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 62/
Ainsi, il existe deux publications par défaut qui s¶appliquent tous les jours. Dès lors que vous assignezune stratégie, celle-ci se voit créer une publication qui est appliquée dès que possible pour que leschangements de stratégies soient appliqués le plus rapidement possible.
4.2 Gestion des mises à jour
La gestion des mises à jour de définitions est une étape importante dans la gestion des clientsForefront EndPoint Protection. Microsoft publie des mises à jour de définitions plusieurs fois par jour
pour actualiser les nouvelles menaces qui se présentent. Vous pouvez mettre à jour les clients dedifférentes façons :
y Via Microsoft Updates : Le client se connecte aux serveurs de mise à jour de Microsoft.y Via un chemin réseau: Vous l¶avez vu dans la gestion des stratégies ; il est possible de créer
un répertoire faisant office de dépôt des mises à jour. Le client récupère alors manuellementles définitions à partir de ce dossier.
y Via System Center Configuration Manager ou Windows Server Updates Services :L¶administrateur déploie et approuve les mises à jour massivement.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 63/
Chacune de ces méthodes possèdent un avantage. La mise à jour via Microsoft Updates peutpermettre aux clients déconnectés du réseau de quand même bénéficier des mises à jour dedéfinitions. L¶utilisation d¶un chemin réseau permet aux clients ne disposant pas d¶un accès Internetou d¶une infrastructure de déploiement (points de distribution...) d¶accéder aux mises à jour. Enfinl¶utilisation de SCCM ou WSUS permet à l¶administrateur de mieux contrôler le déploiement desdéfinitions. Il est possible d¶utiliser l¶ensemble de ces méthodes conjointement.
Nous n¶aborderons ici que les méthodes de déploiement massives à savoir la gestion des mises à jour par System Center Configuration Manager 2007 et Windows Server Updates Services. Il faut savoir que le système de gestion des mises à jour par SCCM ne se prête pas vraiment à la gestion desmises à jour de définitions. Néanmoins, nous verrons les différentes méthodes (officielles ou non) àsavoir :
y Gestion manuelle par SCCMy Gestion automatique par WSUS (méthode officielle)y Gestion automatique par SCCM (méthode non officielle)
Notez que pour réaliser cette partie, vous devez disposer des connaissances nécessaires dans lagestion des mises à jour par WSUS et SCCM. Nous ne détaillerons pas l¶installation et la configurationde l¶infrastructure de déploiement de mises à jour.
4.2.1 Gestion manuelle des mises à jour par SCCM
Comme expliqué plus haut, le processus de gestion des mises à jour via System Center ConfigurationManager ne se prête pas à la mise à jour des définitions FEP. En effet, les mises à jour de définitionsont lieu plusieurs fois par jour. La gestion des mises à jour via SCCM nécessite des opérationsmanuelles. Ceci signifie que l¶administrateur devra procéder aux opérations suivantes au moins unefois par jour s¶il veut que son infrastructure soit à jour.
Commençons par revoir brièvement les paramétrages de l¶infrastructure System Center ConfigurationManager. Ouvrez la console d¶administration, déroulez l¶arborescence Site Database => SiteManagement => <SITECODE> - <SITENAME> => Site Settings => Client Agents . Ouvrezl¶agent « S of tware U pdates client Agent ». Vérifiez que celui-ci est activé et correctement configuréselon vos besoins :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 64/
Cliquez ensuite sur le nud Component Configuration. Ouvrez l¶onglet C lassi f icati ons » etcochez la case
Def initi on U pdates » :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 65/
Cliquez ensuite sur l¶onglet P r oducts » et cherchez le produit F oref r ont E nd P oint P r otecti on2010 ». Cochez la case pour activer la synchronisation du produit.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 66/
Dans l¶onglet ! Languages », vérifiez que les langues des clients sont cochées pour pouvoir appliquer les mises à jour en fonction des langues locales de votre parc :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 67/
Initiez ensuite une synchronisation. Pour cela, dirigez-vous dans l¶arborescence Site Database =>Computer Management => Software Updates => Update Repository. Cliquez droit et sélectionnez" R un S y nchr onizati on » :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 68/9
Validez le message pour procéder à la synchronisation :
Vous pouvez valider que la synchronisation a eu lieu avec succès en visionnant le f ichier de journalisation # wsy nc mgr.l og » :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 69/
La mise à jour de définition apparaît ensuite dans la console dans l¶arborescence : Site Database =>Computer Management => Software Updates => Update Repository => Definition Updates =>Microsoft => Forefront EndPoint Protection 2010 :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 70/
Cliquez droit sur la mise à jour et sélectionnez $ Depl oy S of tware U pdates » :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 71/
Note : Il est recommandé d¶utiliser des listes de mises à jour (Update List). Néanmoins nousn¶utiliserons pas ce processus pour simplifier l¶article.
L¶assistant s¶ouvre. Celui-ci permet de créer le déploiement qui ciblera les clients. Entrez le nom d¶undéploiement :
Sur la page Deployment Template, vous pouvez choisir d¶utiliser un modèle existant ou d¶en créer unnouveau. Je vais pour ma part utiliser un modèle déjà créé pour les besoins d¶une démonstration.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 72/
A l¶étape Deployment Package, créez un nouveau package de déploiement qui identifiera les misesà jour de définition. Vous devez pour cela entrer un nom et un chemin UNC faisant référence aurépertoire source du package :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 73/
Sélectionnez ensuite les points de distribution sur lesquels vous souhaitez déployer le package demises à jour.Sur l¶écran Download Location, vérifiez que l¶option
%
Downl oad sof tware updates f r om theI nternet ́ est cochée et passez à l¶étape suivante :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 74/
Sur la page Language Selection, cochez les langues que vous utilisez dans votre parc pour rendredisponible les mises à jour à l¶ensemble des clients :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 75/
A l¶étape Schedule, vous pouvez programmer le déploiement de la mise à jour. Ainsi vous devezchoisir la date de mise à disposition mais aussi la date de fin. Cette date de fin permet de forcer l¶installation automatique des mises à jour.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 76/
Validez l¶écran de résumé pour procéder à la création du déploiement :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 77/
Ouvrez une session sur une machine cliente ; celle-ci doit afficher une bulle de notification informantde la disponibilité d¶une mise à jour :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 78/9
Cliquez sur cette bulle pour ouvrir la fenêtre de gestion des mises à jour logiciel. Cliquezsur Install pour procéder à l¶installation. Notez que si la date de fin est égale à la date de mise àdisposition ; l¶utilisateur n¶aura pas besoin de procéder à ces étapes et se verra forcer l¶installation desmises à jour de définition.
Une fois lancé, le client procède au téléchargement des fichiers de mise à jour :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 79/
Enfin l¶installation démarre :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 80/9
Une fois terminée, la mise à jour a été correctement appliquée au client Forefront comme vous pouvezle voir dans l¶onglet Updates de son interface :
4.2.2 Gestion automatique par WSUS (méthode officielle)
Nous avons vu comment gérer les mises à jour manuellement via System Center ConfigurationManager 2007. La méthode qui suit permet de gérer automatiquement les mises à jour de définitions
via Windows Server Updates Services en utilisant les règles d¶approbation du produit. Cette méthodeest la solution officielle fournie par Microsoft pour résoudre les lacunes de System Center Configuration Manager 2007. Celle-ci a ses avantages : Elle est officielle ! Mais elle dispose aussi denombreux inconvénients :
Elle n¶utilise pas System Center Configuration Manager et le déploiement via les points distribution.Les mises à jour sont déployées via le serveur WSUS. Ainsi la gestion des sites distants est rendueplus difficile.
L¶administrateur ne dispose pas de l¶ensemble des informations de Reporting (installation avec succèsou non«) de System Center Configuration Manager.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 81/9
Ouvrez la console d¶administration WSUS et dirigez-vous dans le nud Options.
Sélectionnez & Aut omatic A ppr ovals » pour ouvrir la fenêtre de configuration des règlesd¶approbation. Cliquez sur
&
N ew R ule« » pour créer une règle :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 82/9
Sur la fenêtre Add Rule, cochez'
W hen an update is in a speci f ic classi f icati on´ et ³W hen anupdate is in a speci f ic pr oduct ́. Sélectionnez ensuite la classification Definition Updates et le
produit Forefront EndPoint Protection 2010. Appliquez cette règle à l¶ensemble des ordinateurs.
Note : Vous pouvez choisir de cibler un unique groupe de machines.
Entrez ensuite le nom de la règle et cliquez sur Ok.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 83/9
Une fois ajoutée, vérifiez que la règle est cochée dans l¶écran Automatic Approvals et cliquezsur OK
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 84/9
Toujours dans les options de la console d¶administration WSUS, sélectionnez S y nchr onizati onS chedule. Choisissez ensuite de procéder à la synchronisation automatique. Vous pouvez choisir la
première synchronisation et la fréquence. Quatre fois par jour permettent de maintenir l¶infrastructureà jour mais vous pouvez aussi accélérer la fréquence en passant à 24 fois par jour à partir de minuit.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 85/9
Une fois synchronisé, on peut observer à l¶aide de filtre que les mises à jour de définition ont étécorrectement approuvées :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 86/9
Connectez-vous sur une machine cliente et ouvrez le client Forefront EndPoint Protection. Ouvrezl¶onglet Update et procédez à la mise à jour du client. Le client consulte le serveur WSUS, téléchargeet installe les mises à jour qui lui sont proposées :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 87/9
Le client est ensuite à jour :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 88/95
Vous pouvez configurer les paramètres de mise à jour du client via stratégie pour que celui-ci se metteà jour avant les analyses ou via stratégie de groupe pour forcer la consultation des mises à jour.
4.2.3 Gestion automatique par SCCM (méthode non officielle)
Cette méthode de gestion automatique des mises à jour de définitions est proposée par KimOppalfens. Sa solution se rapproche des règles de déploiement automatique (ADR) de System Center Configuration Manager 2012.
Pour faire simple, il faut configurer le Software update Point pour procéder à une synchronisationtoutes les heures. Il faut ensuite créer une règle de filtrage d¶état qui lors de la remontée de l¶event id6702 (synchronisation du serveur WSUS avec succès), lance un exécutable créé par Kim Oppalfens.
Cette exécutable:
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 89/9
y Télécharge les mises à jour spécifiéesy Place les mises à jour dans un packagey Distribue le package sur tous les points de distributiony Déploie ces mises à jour à une collection
Avertissement : Cette solution est à implémenter à vos risques et périls mais elle a le mérited¶apporter une solution viable à un problème quotidien auquel font face les administrateurs
SCCM/FCS/FEP.
Commencez par télécharger les binaires de la solution proposée par Kim : http://www.myitforum.com/absolutenm/templates/Articles.aspx?articleid=20071&zoneid=89 Disposez-les dans un répertoire accessible par le serveur de site. Vous allez peut être devoir éditer lessources pour changer les références vers le SDK. Pour cela, lisez le README.
Créez ensuite une règle de filtrage d¶état. Ouvrez la console d¶administration et déroulezl¶arborescence Site Database => Site Management => <SITECODE> - <SITENAME> => Site Settings=> Status Filter Rules. Cliquez droit sur le nud
(
S tatus F ilter R ules » et sélectionnez)
N ew S tatus F I lter R ules ». L¶assistant s¶ouvre. Entrez le nom de la règle (par exemple :
0
Aut oDepl oy FEP U pdates ») et entrezles informations suivantes :
y Source : ConfigMgr Server y Component : SMS_WSUS_SYNC_MANAGER
y Message ID : 6702
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 90/
Sur la page Actions, cochez la case 1 R un a pr ogram » puis entrez la ligne de commande :2 "<chemin vers les sources de la solution>\SUM_E2E_Deployment.exe" <NOMDUPROVIDER><ID_DE_LA_COLLECTION_CIBLE_DU_DEPLOIEMENT>. On retrouve par exemple dans mon cas : 3 "<chemin vers les sources de la
solution>\SUM_E2E_Deployment.exe" WTVN-SCCMSS LYN00027
Passez à l¶écran suivant et validez le résumé pour procéder à la création. Fermez ensuite l¶écran de
confirmation.
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 91/
Note : Vous devez reconfigurer votre Software Update Point pour qu¶il procède à des synchronisationstoutes les heures.
Une fois la synchronisation effectuée ; le processus créé un package4
Latest F oref r ont Def initi onU pdates P ackage » déployé sur tous les points de distribution et comprenant les dernières mises à jour de définitions :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 92/
Dans le même temps, un déploiement 5 F oref r ont Aut o- A ppr oved updates » a été créé. Celui-cicible la collection LYN00027 et comporte les mises à jour de définitions :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 93/
Ce déploiement ne dispose pas de date de fin forçant le déploiement. Vous pouvez ainsi aisément lemodifier pour correspondre à votre politique de mise à jour :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 94/
Connectez-vous ensuite sur un client faisant parti de la collection cible du déploiement. Ce client doitrecevoir un déploiement optionnel de mise à jour des définitions antivirales Forefront EndPointProtection :
5/13/2018 Forefront EndPoint Protection 2010 Avec SCCM - slidepdf.com
http://slidepdf.com/reader/full/forefront-endpoint-protection-2010-avec-sccm 95/
Une fois installée, la mise à jour est correctement appliquée au client Forefront :
Vous avez vu dans cette partie, différentes méthodes de gestion des mises à jour de définitions afinde déployer massivement sur le parc informatique. Chacune dispose des avantages etdes inconvénients. Il ne fait aucun doute que la gestion manuelle des mises à jour par System Center Configuration Manager rallonge considérablement le temps quotidien passé à l¶administration duproduit. La solution officielle de Microsoft est un bon compromis. Néanmoins, elle n¶utilise pas lesavantages des points de distribution souvent utilisés pour distribuer les packages au seind¶infrastructure riche en sites distants.