▼
Scroll to page 2
of
360
ESET Security Management Center Guide d'administration Cliquez ici pour afficher la version de l'aide en ligne de ce document Copyright © 2020 par ESET, spol. s r.o. ESET Security Management Center a été développé par ESET, spol. s r.o. Pour plus d'informations, visitez www.eset.com. Tous droits réservés. Aucune partie de cette documentation ne peut être reproduite, stockée dans un système d'archivage ou transmise sous quelque forme ou par quelque moyen que ce soit, électronique, mécanique, photocopie, enregistrement, numérisation ou autre sans l'autorisation écrite de l'auteur. ESET, spol. s r.o. se réserve le droit de modifier les applications décrites sans préavis. Service client : www.eset.com/support RÉV. 10/12/2020 1 Préface ............................................................................................................................................................. 1 1.1 À propos de l'aide .................................................................................................................................... 1 1.1.1 Aide hors ligne .......................................................................................................................................... 2 1.2 Produits de sécurité ESET, navigateurs Web et langues pris en charge ....................................... 4 1.3 Légende des icônes ................................................................................................................................. 6 2 Prise en main d'ESMC Web Console 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 ............................................................................................... 7 Présentation de ESET Security Management Center ......................................................................... 8 Ouverture d'ESMC Web Console ............................................................................................................ 9 Utilisation de l'assistant de démarrage ............................................................................................. 10 ESMC Web Console ................................................................................................................................ 12 Gestion des produits Endpoint dans ESET Security Management Center .................................... 14 Après une mise à niveau à partir d'une version précédente d'ERA .............................................. 15 ESET Push Notification Service ........................................................................................................... 16 Utilisation du logiciel Safetica ............................................................................................................. 17 3 Configuration initiale d'ESMC, déploiement du produit et VDI ...................................... 18 3.1 Déploiement ........................................................................................................................................... 19 3.1.1 Ajouter un ordinateur client à la structure ESMC .............................................................................................. 19 3.1.1.1 Utilisation de la synchronisation d'Active Directory ........................................................................................ 20 3.1.1.2 Utilisation de RD Sensor ......................................................................................................................... 20 3.1.1.3 Ajouter des ordinateurs .......................................................................................................................... 22 3.1.2 Processus de déploiement de l'Agent ............................................................................................................ 24 3.1.2.1 Déploiement local ................................................................................................................................. 25 3.1.2.1.1 Création d'un programme d'installation tout-en-un de l'agent ........................................................................ 25 3.1.2.1.2 Créer le programme d'installation Agent Live ............................................................................................. 27 3.1.2.1.3 Télécharger l’agent depuis le site Web d’ESET ........................................................................................... 31 3.1.2.2 Déploiement à distance .......................................................................................................................... 31 3.1.2.2.1 Déploiement de l'Agent à l'aide de GPO et SCCM ........................................................................................ 32 3.1.2.2.2 Étapes de déploiement - SCCM ............................................................................................................... 33 3.1.2.2.3 Étapes de déploiement - GPO ................................................................................................................ 49 3.1.2.2.4 Outil de déploiement ESET .................................................................................................................... 53 3.1.2.3 Paramètres d'ESET Management Agent ...................................................................................................... 54 3.1.2.3.1 Création d'une politique pour l'intervalle de connexion d'ESET Management Agent .............................................. 55 3.1.2.3.2 Créer une politique pour qu'ESET Management Agent se connecte au nouveau serveur ESMC Server ....................... 59 3.1.2.3.3 Créer une politique pour activer la protection par mot de passe d'ESET Management Agent ................................... 62 3.1.2.4 Protection de l'agent .............................................................................................................................. 63 3.1.3 Dépannage - Connexion de l'Agent .............................................................................................................. 64 3.1.4 Dépannage - Déploiement de l'Agent ............................................................................................................ 64 3.1.5 Exemples de scénario de déploiement d'ESET Management Agent ....................................................................... 67 3.1.5.1 Exemples de scénario de déploiement d'ESET Management Agent sur des cibles n'appartenant pas à un domaine ......... 67 3.1.5.2 Exemples de scénario de déploiement d'ESET Management Agent sur des cibles appartenant à un domaine ................ 68 3.1.6 Installation du produit ............................................................................................................................... 70 3.1.6.1 Installation du produit (ligne de commande) ................................................................................................ 72 3.1.6.2 Liste des problèmes en cas d'échec de l'installation ....................................................................................... 74 3.1.7 Mise en service d'un poste de travail ............................................................................................................ 74 3.2 Configuration supplémentaire ............................................................................................................. 74 3.3 VDI, clonage et détection du matériel ............................................................................................... 75 3.3.1 Résolution des questions de clonage ............................................................................................................ 77 3.3.2 Identification du matériel .......................................................................................................................... 79 4 Interface utilisateur d'ESMC .............................................................................................................. 79 4.1 Écran de connexion ............................................................................................................................... 80 4.1.1 Dépannage - Console Web ......................................................................................................................... 82 4.2 Paramètres utilisateur .......................................................................................................................... 83 4.3 Tableau de bord ..................................................................................................................................... 84 4.3.1 Descendre dans la hiérarchie ..................................................................................................................... 86 4.4 Ordinateurs ............................................................................................................................................. 88 .............................................................................................................................. 90 4.4.2 Retirer un ordinateur de l'administration ....................................................................................................... 93 Menaces .................................................................................................................................................. 94 4.5.1 Enterprise Inspector ................................................................................................................................. 97 Rapports .................................................................................................................................................. 98 4.6.1 Créer un modèle de rapport ..................................................................................................................... 100 4.6.2 Générer un rapport ................................................................................................................................ 103 4.6.3 Planifier un rapport ................................................................................................................................ 103 4.6.4 Applications obsolètes ............................................................................................................................ 104 4.6.5 Visionneuse des journaux SysInspector ....................................................................................................... 105 4.6.6 Inventaire matériel ................................................................................................................................ 106 Tâches client ........................................................................................................................................ 108 4.7.1 Arrêter l'ordinateur ................................................................................................................................ 109 4.7.2 Diagnostics .......................................................................................................................................... 109 4.7.3 Analyse à la demande ............................................................................................................................ 110 4.7.4 Mise à jour du système d’exploitation ......................................................................................................... 112 4.7.5 Réinitialiser la base de données de Rogue Detection Sensor ............................................................................. 113 4.7.6 Gestion de la quarantaine ........................................................................................................................ 113 4.7.7 Mettre à niveau les composants de Security Management Center ...................................................................... 114 4.7.8 Redéfinir l'agent cloné ............................................................................................................................ 115 4.7.9 Exécuter une commande ......................................................................................................................... 116 4.7.10 Exécuter un script SysInspector ............................................................................................................... 117 4.7.11 Envoyer le fichier à EDTD ....................................................................................................................... 118 4.7.12 Analyse du serveur .............................................................................................................................. 118 4.7.13 Installer un logiciel ............................................................................................................................... 119 4.7.13.1 Mise à niveau d'un logiciel ESET ............................................................................................................ 121 4.7.14 Désinstaller un logiciel .......................................................................................................................... 122 4.7.15 Activation du produit ............................................................................................................................ 123 4.7.16 Demande de journal SysInspector (Windows uniquement) .............................................................................. 124 4.7.17 Charger un fichier mis en quarantaine ....................................................................................................... 124 4.7.18 Mise à jour des modules ........................................................................................................................ 125 4.7.19 Restauration de la mise à jour des modules ................................................................................................ 126 4.7.20 Afficher le message .............................................................................................................................. 126 4.7.21 Actions Antivol .................................................................................................................................... 127 4.7.22 Arrêter l'administration (désinstaller ESET Management Agent) ....................................................................... 129 4.7.23 Exporter la configuration des produits administrés ....................................................................................... 130 4.7.24 Attribuer une tâche à un groupe .............................................................................................................. 131 4.7.25 Attribuer une tâche à un ou des ordinateurs ............................................................................................... 131 4.7.26 Déclencheurs des tâches client ............................................................................................................... 133 4.7.27 Exécutions des tâches client ................................................................................................................... 134 4.7.27.1 Indicateur de progression .................................................................................................................... 137 4.7.27.2 Icône d'état ..................................................................................................................................... 138 4.7.27.3 Descendre dans la hiérarchie ............................................................................................................... 138 4.7.27.4 Déclencheur .................................................................................................................................... 140 Programmes d'installation ................................................................................................................. 141 Politiques .............................................................................................................................................. 144 4.9.1 Assistant Politiques ................................................................................................................................ 145 4.9.2 Indicateurs .......................................................................................................................................... 146 4.9.3 Gérer les politiques ................................................................................................................................ 147 4.9.4 Application des politiques aux clients ......................................................................................................... 148 4.9.4.1 Classement des groupes ....................................................................................................................... 148 4.9.4.2 Énumération des politiques ................................................................................................................... 150 4.9.4.3 Fusion des politiques ........................................................................................................................... 151 4.9.4.3.1 Exemple de fusion de politiques ........................................................................................................... 152 4.9.5 Configuration d'un produit à partir d'ESMC ................................................................................................... 155 4.9.6 Attribuer une politique à un groupe ............................................................................................................ 155 4.9.7 Attribuer une politique à un client .............................................................................................................. 157 4.9.8 Paramètres de politique d'ESET Rogue Detection Sensor ................................................................................. 158 4.4.1 Détails de l'ordinateur 4.5 4.6 4.7 4.8 4.9 ..................................................................................................... 159 4.9.10 Utilisation du mode de remplacement ....................................................................................................... 160 4.10 Utilisateurs de l'ordinateur .............................................................................................................. 161 4.10.1 Ajouter de nouveaux utilisateurs .............................................................................................................. 163 4.10.2 Modifier des utilisateurs ........................................................................................................................ 164 4.10.3 Créer un groupe d'utilisateurs ................................................................................................................. 167 4.11 Notifications ....................................................................................................................................... 167 4.11.1 Gérer les notifications ........................................................................................................................... 169 4.11.1.1 Événements sur les ordinateurs administrés ............................................................................................. 170 4.11.1.2 Mise à jour de l'état dans Security Management Center ............................................................................... 170 4.11.1.3 Modifications des groupes dynamiques ................................................................................................... 171 4.11.2 Distribution ........................................................................................................................................ 172 4.11.3 Comment configurer un service d'interruption SNMP ..................................................................................... 173 4.12 Aperçu de l’état ................................................................................................................................. 175 4.13 Autre .................................................................................................................................................... 176 4.13.1 Groupes ............................................................................................................................................ 176 4.13.1.1 Actions de groupe ............................................................................................................................. 177 4.13.1.2 Détails du groupe .............................................................................................................................. 178 4.13.1.3 Déplacer un groupe statique ou dynamique ............................................................................................. 179 4.13.1.4 Attribuer une tâche à un groupe ............................................................................................................ 181 4.13.1.5 Attribuer une politique à un groupe ........................................................................................................ 181 4.13.1.6 Groupes statiques ............................................................................................................................. 183 4.13.1.6.1 Créer un groupe statique .................................................................................................................. 184 4.13.1.6.2 Assistant Nouveau groupe statique ...................................................................................................... 185 4.13.1.6.3 Importer des clients à partir d'Active Directory ....................................................................................... 186 4.13.1.6.4 Exporter des groupes statiques .......................................................................................................... 186 4.13.1.6.5 Importer des groupes statiques .......................................................................................................... 187 4.13.1.7 Groupes dynamiques ......................................................................................................................... 188 4.13.1.7.1 Créer un groupe dynamique .............................................................................................................. 189 4.13.1.7.2 Assistant Nouveau groupe dynamique .................................................................................................. 191 4.13.1.8 Modèles de groupe dynamique ............................................................................................................. 193 4.13.1.8.1 Nouveau modèle de groupe dynamique ................................................................................................ 195 4.13.1.9 Règles pour un modèle de groupe dynamique ........................................................................................... 195 4.13.1.9.1 Opérations .................................................................................................................................... 196 4.13.1.9.2 Règles et opérateurs logiques ............................................................................................................ 196 4.13.1.9.3 Évaluation des règles de modèle ......................................................................................................... 197 4.13.1.10 Modèle de groupe dynamique : exemples .............................................................................................. 199 4.13.1.10.1 Groupe dynamique : un produit de sécurité est installé ........................................................................... 200 4.13.1.10.2 Groupe dynamique : une version de logiciel spécifique est installée ............................................................ 200 4.13.1.10.3 Groupe dynamique : une version spécifique d'un logiciel n'est pas du tout installée ........................................ 201 4.13.1.10.4 Groupe dynamique : une version spécifique d'un logiciel n'est pas installée mais une autre version existe ........... 201 4.13.1.10.5 Groupe dynamique : un ordinateur se trouve dans un sous-réseau spécifique ............................................... 202 4.13.1.10.6 Groupe dynamique : version d'un produit de sécurité serveur installée mais non activée ................................. 202 4.13.1.11 Comment automatiser ESET Security Management Center ......................................................................... 202 4.13.2 Fichiers soumis ................................................................................................................................... 203 4.13.3 Quarantaine ....................................................................................................................................... 205 4.13.4 Gestion des licences ............................................................................................................................. 206 4.13.4.1 ESET Business Account ....................................................................................................................... 210 4.13.4.2 Ajouter une licence - Clé de licence ........................................................................................................ 211 4.13.4.3 Activation hors ligne .......................................................................................................................... 212 4.13.5 Droits d’accès ..................................................................................................................................... 216 4.13.5.1 Utilisateurs ...................................................................................................................................... 217 4.13.5.1.1 Créer un utilisateur natif ................................................................................................................... 220 4.13.5.1.2 Mapper un groupe sur un groupe de sécurité de domaine .......................................................................... 222 4.13.5.1.3 Attribuer un jeu d'autorisations à un utilisateur ....................................................................................... 223 4.13.5.1.4 Authentification à 2 facteurs .............................................................................................................. 224 4.13.5.2 Jeux d’autorisations ........................................................................................................................... 225 4.13.5.2.1 Gérer les jeux d'autorisations ............................................................................................................. 227 4.9.9 Paramètres de politique d'ERA 6.x Proxy ...................................................................................................................... 228 4.13.6 Certificats .......................................................................................................................................... 232 4.13.6.1 Certificats homologues ....................................................................................................................... 233 4.13.6.1.1 Créer un nouveau certificat ............................................................................................................... 234 4.13.6.1.2 Exporter un certificat homologue ........................................................................................................ 236 4.13.6.1.3 Certificat APN/DEP ........................................................................................................................... 236 4.13.6.1.4 Afficher les certificats révoqués .......................................................................................................... 238 4.13.6.1.5 Définir un nouveau certificat ESMC Server ............................................................................................. 239 4.13.6.1.6 Certificats personnalisés avec ESET Security Management Center ............................................................... 241 4.13.6.1.7 Utiliser des certificats personnalisés avec ESMC ...................................................................................... 253 4.13.6.1.8 Certificat en cours d'expiration : signalement et remplacement .................................................................. 253 4.13.6.2 Autorités de certification ..................................................................................................................... 255 4.13.6.2.1 Créer une nouvelle autorité de certification ........................................................................................... 256 4.13.6.2.2 Exporter une clé publique ................................................................................................................. 257 4.13.6.2.3 Importer une clé publique ................................................................................................................. 258 4.13.7 Serveur ............................................................................................................................................. 258 4.13.7.1 Tâches serveur ................................................................................................................................. 258 4.13.7.2 Types de tâches serveur ..................................................................................................................... 260 4.13.7.2.1 Déploiement de l'agent .................................................................................................................... 260 4.13.7.2.2 Supprimer les ordinateurs non connectés .............................................................................................. 262 4.13.7.2.3 Générer un rapport .......................................................................................................................... 263 4.13.7.2.4 Renommer les ordinateurs ................................................................................................................ 265 4.13.7.2.5 Synchronisation des groupes statiques ................................................................................................. 266 4.13.7.2.5 Mode de synchronisation - Active Directory ............................................................................................ 266 4.13.7.2.5 Mode de synchronisation - Réseau MS Windows ...................................................................................... 268 4.13.7.2.5 Mode de synchronisation - VMware ...................................................................................................... 269 4.13.7.2.5 Synchronisation des groupes statiques - Ordinateurs Linux ........................................................................ 271 4.13.7.2.6 Synchronisation utilisateur ................................................................................................................ 271 4.13.7.3 Paramètres du serveur ....................................................................................................................... 273 4.13.7.3.1 Sécurité renforcée ........................................................................................................................... 279 4.13.7.3.2 Serveur SMTP ................................................................................................................................ 280 4.13.7.3.3 Coupler automatiquement les ordinateurs détectés ................................................................................. 281 4.13.7.3.4 Serveur Syslog ............................................................................................................................... 281 4.13.7.3.5 Exporter les journaux vers Syslog ........................................................................................................ 282 4.13.7.3.6 Événements exportés au format LEEF .................................................................................................. 282 4.13.7.3.7 Événements exportés au format JSON .................................................................................................. 283 4.14 Déclencheurs et limitation ............................................................................................................... 285 4.14.1 Intervalle d'expression CRON .................................................................................................................. 286 4.14.2 Paramètres avancés de la limitation ......................................................................................................... 289 4.14.2.1 Exemples de limitation ....................................................................................................................... 291 4.15 Importer un fichier CSV .................................................................................................................... 293 4.13.5.2.2 Liste des autorisations 5 Mobile Device Management ............................................................................................................ 294 5.1 Configuration et paramètres de MDM .............................................................................................. 5.2 Inscription de périphérique ............................................................................................................... 5.2.1 Inscription de périphérique Android ............................................................................................................ 5.2.1.1 Inscription de périphérique Android en tant que possesseur de périphérique ...................................................... 5.2.2 Inscription de périphérique iOS ................................................................................................................. 5.2.2.1 Inscription d'appareils iOS avec le Programme d'inscription d'appareils ............................................................. 5.2.3 Inscription par courrier électronique ........................................................................................................... 5.2.4 Inscription distincte via un lien ou un code QR .............................................................................................. 5.2.5 Inscription individuelle en tant que possesseur de périphérique ......................................................................... 5.2.6 Créer une politique pour MDM iOS - Compte Exchange ActiveSync ..................................................................... 5.2.7 Créer une politique pour MDC afin d'activer APNS/DEP pour l'inscription iOS ......................................................... 5.2.8 Créer une politique pour appliquer des restrictions sur iOS et ajouter une connexion Wi-Fi ....................................... 5.2.8.1 Profil de configuration MDM ................................................................................................................... 5.3 Résolution des problèmes de MDM .................................................................................................. 296 297 299 307 313 317 320 322 324 326 331 336 339 339 6 Mise à jour ESMC 7 FAQ ................................................................................................................................... 340 ................................................................................................................................................................ 342 8 À propos d'ESET Security Management Center ................................................................... 346 9 Contrat de Licence de l'Utilisateur Final (CLUF) .................................................................. 346 10 Politique de confidentialité ............................................................................................................ 351 Préface Bienvenue dans le guide d'administration ESMC. Ce document explique comment gérer les solutions ESET pour les professionnels au sein de votre infrastructure. Il présente également les principales modifications apportées dans la dernière version d'ESMC et fournit des scénarios aux administrateurs et aux utilisateurs qui utiliseront ESMC Web Console. À propos de l'aide Le but du Guide d'administration est de vous aider à vous familiariser avec ESET Security Management Center. Il contient en outre des instructions pour utiliser ce composant. Pour des questions de cohérence et afin d'éviter toute confusion, la terminologie employée dans ce guide est basée sur les noms des paramètres ESET Security Management Center. Un ensemble de symboles est également utilisé pour souligner des informations importantes. REMARQUE Les remarques peuvent fournir des informations précieuses (fonctionnalités spécifiques ou lien vers une rubrique connexe, par exemple). IMPORTANT Ces informations requièrent votre attention et ne doivent pas être ignorées. Il s'agit généralement d'informations importantes mais qui ne sont pas critiques. AVERTISSEMENT Informations critiques qui requièrent toute votre attention. Les avertissements ont pour but de vous empêcher de commettre des erreurs préjudiciables. Veuillez lire attentivement le texte des avertissements car il fait référence à des paramètres système très sensibles ou à des actions présentant des risques. EXEMPLE L'exemple de scénario a pour objectif de décrire un cas pratique en relation avec le thème abordé. Il sert notamment à expliquer des thèmes plus complexes. Convention Gras Italique Signification Noms des éléments de l'interface (boutons d'option ou boîtes de dialogue, par exemple). Espaces réservés indiquant les informations que vous devez fournir. Par exemple, nom du fichier ou chemin d'accès indique que vous devez saisir un chemin d'accès ou un nom de fichier. Courier New Exemples de code ou commandes Lien hypertexte Permet d'accéder facilement et rapidement à des références croisées ou à une adresse Internet externe. Les liens hypertexte sont mis en surbrillance en bleu et peuvent être soulignés. %ProgramFiles% Répertoire système de Windows qui contient les programmes Windows et les autres programmes installés. • L'aide en ligne est la principale source de contenu d'aide. La dernière version de l'aide en ligne s'affiche automatiquement lorsque vous disposez d'une connexion Internet. Les pages de l'aide en ligne de ESET Security Management Center contiennent quatre onglets actifs qui se trouvent dans la barre de navigation supérieure : Installation/mise à niveau, Administration, Déploiement de l'appliance virtuelle et Guide SMB. • Les rubriques de ce guide sont divisées en plusieurs chapitres et sous-chapitres. Vous trouverez des informations pertinentes en utilisant le champ Rechercher dans la partie supérieure. 1 IMPORTANT Lorsque vous ouvrez un guide de l'utilisateur à partir de la barre de navigation située dans la partie supérieure de la page, les recherches sont limitées au contenu de ce guide. Par exemple, si vous ouvrez le guide de l'administrateur, les rubriques des guides Installation/mise à niveau et Déploiement de l'appliance virtuelle ne sont pas inclus dans les résultats de recherche. • La base de connaissances ESET contient des réponses aux questions les plus fréquentes et les solutions recommandées pour résoudre divers problèmes. Régulièrement mise à jour par les spécialistes techniques d'ESET, la base de connaissances est l'outil le plus puissant pour résoudre différents types de problèmes. • Le forum ESET permet aux utilisateurs ESET d'obtenir facilement de l'aide et d'aider les autres utilisateurs. Vous pouvez publier tout problème ou toute question relative aux produits ESET. Aide hors ligne L'aide hors ligne d'ESET Security Management Center n'est pas installé par défaut. Si vous avez besoin d'une aide sur ESET Security Management Center que vous pouvez utiliser lorsque vous êtes en mode hors connexion (lorsque vous n'avez pas accès à Internet), suivez la procédure ci-après pour ajouter l'aide hors ligne. Pour télécharger l'aide hors ligne sur ESET Security Management Center dans la langue de votre choix, cliquez sur le code de langue correspondant. Vous pouvez installer l'aide hors ligne en plusieurs langues. Instructions de configuration de l'aide hors ligne pour Windows 1. Pour télécharger l'aide hors ligne sur ESET Security Management Center dans la langue de votre choix, téléchargez un fichier .zip en cliquant sur un code de langue dans le tableau ci-dessous. 2. Enregistrez le fichier .zip (sur une clé USB, par exemple). 3. Sur le serveur exécutant ESMC Web Console, créez un dossier appelé help à l'emplacement suivant : %ProgramFiles%\Apache Software Foundation\Tomcat 7.0\webapps\era\webconsole\ et copiez le fichier .zip dans le dossier help. 4. Extrayez le contenu du fichier .zip , (en-US.zip, par exemple) dans un dossier portant le même nom (en-US dans le cas présent) pour que la structure des dossiers ressemble à celle-ci :%ProgramFiles%\Apache Software Foundation\Tomcat 7.0\webapps\era\webconsole\help\en-US Vous pouvez à présent ouvrir ESMC Web Console, sélectionner la langue et vous connecter. Pour afficher la page d'aide hors ligne, cliquez sur l'icône située dans le coin supérieur droit. Pour mettre à jour l'aide hors connexion après une migration depuis une version précédente (ERA 6.5, par exemple), supprimez le dossier d'aide existant (...webapps\era\webconsole\help) et créez-en un autre au même emplacement pendant l'étape 3 de la procédure indiquée ci-dessus. Continuez normalement après le remplacement du dossier. REMARQUE Si nécessaire, vous pouvez ajouter l'aide hors ligne en plusieurs langues en suivant la même procédure que celle décrite ci-dessus. IMPORTANT Si l'ordinateur ou le périphérique mobile sur lequel vous accédez à ESMC Web Console ne dispose pas d'un accès Internet, vous devez modifier le paramètre d'ESMC Web Console pour forcer l'aide hors ligne d'ESMC (à la place de l'aide en ligne). Pour ce faire, suivez les instructions en dessous du tableau. Instructions de configuration de l'aide hors ligne pour Linux 2 1. Téléchargez un fichier .tar en cliquant sur un code de langue dans le tableau ci-dessous pour télécharger l'aide hors ligne sur ESET Security Management Center dans la langue de votre choix. 2. Enregistrez le fichier .tar (sur une clé USB, par exemple). 3. Ouvrez le terminal et accédez à /usr/share/tomcat/webapps/era/webconsole 4. Créez un dossier appelé help en exécutant la commande mkdir help. 5. Copiez le fichier .tar dans le dossier help et extrayez-le contenu à l'aide de la commande tar -xvf enUS.tar. Vous pouvez à présent ouvrir ESMC Web Console, sélectionner la langue et vous connecter. Pour afficher la page d'aide hors ligne, cliquez sur l'icône située dans le coin supérieur droit. Pour mettre à jour l'aide hors connexion après une migration depuis une version précédente (ERA 6.5, par exemple), supprimez le dossier d'aide existant (...webapps\era\webconsole\help) et créez-en un autre au même emplacement pendant l'étape 3 de la procédure indiquée ci-dessus. Continuez normalement après le remplacement du dossier. REMARQUE Si nécessaire, vous pouvez ajouter l'aide hors ligne en plusieurs langues en suivant la même procédure que celle décrite ci-dessus. IMPORTANT Si l'ordinateur ou le périphérique mobile sur lequel vous accédez à ESMC Web Console ne dispose pas d'un accès Internet, vous devez modifier le paramètre d'ESMC Web Console pour forcer l'aide hors ligne d'ESMC (à la place de l'aide en ligne). Pour ce faire, suivez les instructions en dessous du tableau. Langues prises en charge Aide HTML hors ligne .zip Anglais en-US.zip Arabe ar-EG.zip Chinois simplifié zh-CN.zip Chinois traditionnel zh-TW.zip Croate hr-HR.zip Tchèque cs-CZ.zip Français fr-FR.zip Français (Canada) fr-CA.zip Allemand de-DE.zip Grec el-GR.zip Italien it-IT.zip Japonais ja-JP.zip Coréen ko-KR.zip Polonais pl-PL.zip Portugais (Brésil) pt-BR.zip Russe ru-RU.zip Espagnol es-ES.zip Espagnol (Amérique latine) es-CL.zip Slovaque sk-SK.zip Turc tr-TR.zip Aide HTML hors ligne .tar en-US.tar ar-EG.tar zh-CN.tar zh-TW.tar hr-HR.tar cs-CZ.tar fr-FR.tar fr-CA.tar de-DE.tar el-GR.tar it-IT.tar ja-JP.tar ko-KR.tar pl-PL.tar pt-BR.tar ru-RU.tar es-ES.tar es-CL.tar sk-SK.tar tr-TR.tar Forcer l'aide hors ligne sous Windows 1. Ouvrez C:\Program Files\Apache Software Foundation\Tomcat 7.0\webapps\era\WEB- INF\classes\sk\eset\era\g2webconsole\server\modules\config\EraWebServerConfig.properties dans un éditeur de texte. 2. Recherchez la ligne help_show_online=true, remplacez la valeur de cette configuration par false, puis enregistrez les modifications. 3. Redémarrez le service Tomcat à partir des services ou via une ligne de commande. L'aide hors ligne d'ESMC s'ouvre lorsque vous cliquez sur l'icône dans le coin supérieur droit d'ESMC Web Console ou que vous cliquez sur Aide dans la partie inférieure du volet gauche. Forcer l'aide hors ligne sous Linux 3 1. Ouvrez le fichier de configuration /usr/share/tomcat/webapps/era/WEB- INF/classes/sk/eset/era/g2webconsole/server/modules/config/EraWebServerConfig.properties dans un éditeur de texte (nano, par exemple). 2. Recherchez la ligne help_show_online=true, remplacez la valeur de cette configuration par false, puis enregistrez les modifications. 3. Arrêtez le service tomcat (exécutez la commande tomcat stop). 4. Démarrez le service tomcat (exécutez la commande tomcat start). L'aide hors ligne d'ESMC s'ouvre lorsque vous cliquez sur l'icône dans le coin supérieur droit d'ESMC Web Console ou que vous cliquez sur Aide dans la partie inférieure du volet gauche. Produits de sécurité ESET, navigateurs Web et langues pris en charge Les systèmes d'exploitation, les navigateurs Web et les produits de sécurité ESET ci-dessous sont pris en charge par ESET Security Management Center. • Windows, Linux et macOS ESET Security Management Center Web Console peut être exécuté dans les navigateurs Web suivants : Navigateur Web Versions prises en charge Mozilla Firefox 57.0.2 Microsoft Internet Explorer 11.64.16299.0 Microsoft Edge 41.16299.15.0 Google Chrome 63.0.3239.132 Safari 11.0.2 Opera 51.0.2830.40 REMARQUE Pour une expérience d'utilisation optimale de la console Web d'ESMC Web Console, il est recommandé de conserver les navigateurs Web à jour. ESET Security Management Center peut déployer, activer et gérer les produits ESET suivants. Dernières versions des produits ESET pouvant être gérées dans ESET Security Management Center 7 : Produit Version du produit ESET Endpoint Security pour Windows 5.x, 6.x, 7.x, 8.x ESET Endpoint Antivirus pour Windows 5.x, 6.x, 7.x, 8.x ESET Endpoint Security pour macOS 6.x ESET Endpoint Antivirus pour macOS 6.x ESET Endpoint Security pour Android 2.x ESET File Security pour Windows Server 6.x, 7.x ESET File Security pour Microsoft Azure 6.x ESET Mail Security pour Microsoft Exchange Server 6.x, 7.x ESET Security pour Microsoft SharePoint Server 6.x, 7.x ESET Mail Security pour IBM Domino Server 6.x, 7.x ESET Security for Kerio 6.5 ESET Virtualization Security 1.x ESET Dynamic Threat Defense ESET Enterprise Inspector 1.x Anciennes versions des produits ESET pouvant être gérées dans ESET Security Management Center 7 : Produit Version du produit ESET File Security pour Microsoft Windows Server 4.5.x ESET NOD32 Antivirus 4 Business Edition pour OS X 4.x* ESET NOD32 Antivirus 4 Business Edition pour Linux Desktop 4.x ESET Mail Security pour Microsoft Exchange Server 4.5.x ESET Mail Security pour IBM Lotus Domino 4.5.x 4 Produit ESET Security pour Microsoft Windows Server Core ESET Security pour Microsoft SharePoint Server ESET Security for Kerio ESET Mail Security pour Linux/FreeBSD ESET File Security pour Linux/FreeBSD ESET Gateway Security pour Linux/FreeBSD ESET NOD32 Antivirus Business Edition ESET Smart Security Business Edition Version du produit 4.5.x 4.5.x 4.5.x 4.5.x 4.5.x 4.5.x 4.2.76 * 4.2.76 * * la compatibilité avec ESMC n'est pas garantie REMARQUE • Les versions des produits ESET Windows Server antérieures à celles indiquées dans le tableau ci-dessus ne sont pas actuellement gérables à l'aide de ESET Security Management Center 7. • Consultez également l'article Stratégie de fin de vie des produits ESET pour entreprise. Produits pouvant être activés via une licence Produit ESET ESET Endpoint Antivirus/Security pour Windows ESET Endpoint Antivirus/Security pour macOS ESET Endpoint Security pour Android ESET Mobile Device Management pour Apple iOS ESET Virtualization Security pour VMware ESET File Security pour Microsoft Windows Server ESET Security Management Center ESET Mail Security pour Microsoft Exchange ESET File Security pour Windows Server ESET Mail Security pour IBM Domino ESET Security pour Microsoft SharePoint Server Langues prises en charge Langue Code Anglais (États-Unis) en-US Arabe (Égypte) ar-EG Chinois simplifié zh-CN Chinois traditionnel zh-TW Croate (Croatie) hr-HR Tchèque (République tchèque) cs-CZ Français (France) fr-FR Français (Canada) fr-CA Allemand (Allemagne) de-DE Grec (Grèce) el-GR Hongrois (Hongrie)* hu-HU Italien (Italie) it-IT Japonais (Japon) ja-JP Coréen (Corée) ko-KR Polonais (Pologne) pl-PL Portugais (Brésil) pt-BR Russe (Russie) ru-RU Espagnol (Chili) es-CL Espagnol (Espagne) es-ES Slovaque (Slovaquie) sk-SK Turc (Turquie) tr-TR 5 par abonnement Disponible depuis la version 7.0 6.6.x 2.0.158 7.0 1.7 7.0 7.0 7.0 7.0 7.0 7.0 * Seul le produit est disponible en hongrois. L'aide en ligne ne l'est pas. Légende des icônes Cette section présente l'ensemble d'icônes utilisées dans ESMC Web Console et les décrit. Certaines icônes représentent des actions, des types d'élément ou l'état actuel. La plupart des icônes sont affichées dans une couleur (parmi trois) pour indiquer l'accessibilité d'un élément : Icône par défaut : action disponible Icône bleue : élément mis en surbrillance lorsque vous pointez dessus Icône grise : action non disponible Icône d'état Descriptions Afficher les détails : informations détaillées sur le périphérique client. Ajouter : permet d'ajouter de nouveaux périphériques. Nouvelle tâche : permet d'ajouter une nouvelle tâche. Nouvelle notification : permet d'ajouter une nouvelle notification. Nouveaux groupes dynamiques/statiques... : permet d'ajouter de nouveaux groupes. Modifier : vous pouvez modifier les tâches, les notifications, les modèles de rapport, les groupes, les politiques et d'autres éléments que vous avez créés. Dupliquer : permet de créer une nouvelle politique sur la base de la politique existante sélectionnée. Déplacer : permet de déplacer des ordinateurs, des politiques et des groupes statiques ou dynamiques. Groupe d'accès : permet de déplacer un élément vers un groupe statique différent. Supprimer : supprime entièrement le client ou groupe sélectionné. Renommer plusieurs éléments : si vous sélectionnez plusieurs éléments, vous pouvez les renommer un par un dans une liste ou utiliser une recherche Regex pour remplacer plusieurs éléments à la fois. Analyser : cette option permet d'exécuter la tâche Analyse à la demande sur le client qui a signalé la menace. Mettre à jour les modules : cette option permet d'exécuter la tâche Mise à jour des modules (déclenche manuellement une mise à jour). Exécuter la tâche : cette option est destinée aux périphériques mobiles. Réinscrire : permet d'ouvrir la fenêtre Ajouter un périphérique mobile via courrier électronique. Déverrouiller : le périphérique est déverrouillé. Verrouiller : le périphérique est verrouillé lorsqu'une activité suspecte est détectée ou que le périphérique est signalé comme manquant. Rechercher : utilisez cette option si vous souhaitez obtenir les coordonnées GPS de votre périphérique. Sirène : déclenche à distance une sirène sonore. Celle-ci est déclenchée même si le périphérique est défini sur muet. Effacer : toutes les données stockées sur votre périphérique sont effacées de manière définitive. Redémarrer : si vous sélectionnez un ordinateur et si vous cliquez sur Redémarrer, celui-ci est redémarré. Restaurer : permet de restaurer le fichier mis en quarantaine à son emplacement d'origine. Arrêter : si vous sélectionnez un ordinateur et si vous cliquez sur Redémarrer > Arrêter, celui-ci est arrêté. Désactiver les produits : permet de supprimer la licence de tous les périphériques sélectionnés via le serveur de licences ESET. Le produit est désactivé même s'il n'a pas été activé depuis ESMC ou que la licence n'a pas été gérée par ESMC. Exécuter la tâche : sélectionnez une tâche et configurez la limitation (facultatif) de cette dernière. La tâche est alors mise en file d'attente selon les paramètres de celle-ci. Cette option déclenche immédiatement une tâche existante sélectionnée dans une liste de tâches disponibles. 6 Icône d'état Descriptions Dernières tâches utilisées : permet d'afficher les dernières tâches utilisées. Vous pouvez cliquer sur une tâche pour la réexécuter. Attribuer un utilisateur : permet d'attribuer un utilisateur à un périphérique. Vous pouvez gérer les utilisateurs dans Utilisateurs d'ordinateur. Gérer les politiques : une politique peut être également attribuée directement à un client (ou plusieurs clients), et pas seulement à un groupe. Sélectionnez cette option pour attribuer la politique aux clients sélectionnés. Envoyer un appel de mise en éveil : ESMC Server exécute une réplication instantanée d'ESET Management Agent sur un ordinateur client via EPNS. Cela est utile lorsque vous ne voulez pas attendre l'intervalle habituel au cours duquel ESET Management Agent se connecte à ESMC Server. Par exemple, lorsque vous voulez qu'une Tâche client s'exécute immédiatement sur un client ou si vous voulez qu'une Politique soit appliquée immédiatement. Déployer l'Agent : à l'aide de cette option, vous pouvez créer une tâche serveur. Connexion : permet de générer et de télécharger un fichier .rdp qui vous permettra de vous connecter au périphérique cible via RDP (Remote Desktop Protocol). Désactiver : si vous sélectionnez un ordinateur et cliquez sur Désactiver, l’Agent de ce client arrête d’envoyer des rapports à ESMC. Il agrège uniquement les informations. Une icône de désactivation s'affiche en regard du nom de l'ordinateur dans la colonne Désactivé. Une fois que l'option de désactivation est désactivée en cliquant sur Désactiver, l'ordinateur désactivé renvoie des rapports et la communication entre ESMC et le client est restaurée. Désactiver : permet de désactiver un paramètre ou une sélection. Attribuer : permet d'attribuer une politique à un client ou à des groupes. Importer : sélectionnez les rapports, les politiques ou la clé publique à importer. Exporter : sélectionnez les rapports, les politiques ou le certificat homologue à exporter. Bureau Machine virtuelle (sans agent) Mobile Serveur Serveur de fichiers Serveur de messagerie Serveur de passerelle Serveur de collaboration Agent Connecteur de périphérique mobile Rogue Detection Sensor Hôte de l'agent virtuel ERA 6.x Proxy ESMC Server Cache local partagé Appliance de sécurité virtuelle Enterprise Inspector Agent Enterprise Inspector Server Prise en main d'ESMC Web Console ESET Security Management Center peut être configuré et géré par le biais d'ESMC Web Console. Après avoir installé ESET Security Management Center ou déployé l'AV ESMC, vous pourrez connecter votre ESMC Server à l'aide d' ESMC Web Console. Les sections suivantes décrivent les fonctionnalités d'ESMC Web Console et expliquent comment utiliser la console. Vous pouvez créer des programmes d'installation et déployer ESET Management Agent et le produit de sécurité ESET sur les ordinateurs clients. Après le déploiement d'ESET Management Agent, vous pourrez gérer des groupes, 7 créer et affecter des politiques et configurer des notifications et des rapports. Pour plus d'informations, sélectionnez une des rubriques suivantes : • Ouverture d'ESMC Web Console • Utilisation de l'assistant de démarrage • ESMC Web Console • Aperçu de l'état Présentation de ESET Security Management Center Bienvenue dans ESET Security Management Center (ESMC) version 7.0. ESET Security Management Center vous permet de gérer des produits ESET sur des stations de travail, des serveurs et des périphériques mobiles dans un environnement en réseau à partir d'un emplacement central. À l'aide d'ESET Security Management Center Web Console (ESMC Web Console), vous pouvez déployer des solutions ESET, gérer des tâches, appliquer des politiques de sécurité, surveiller l'état du système et résoudre rapidement les problèmes ou menaces sur les ordinateurs distants. ESMC est constitué des composants suivants : • ESMC Server : ESMC Server peut être installé sur des serveurs Windows et Linux. Ce composant est également proposé sous la forme d'une appliance virtuelle. Il gère les communications avec les Agents, collecte les données d'application et les stocke dans la base de données. • ESMC Web Console : ESMC Web Console remplace ERA Console des anciennes versions (v5) et constitue l'interface principale qui permet d'administrer les ordinateurs client de votre environnement. La console affiche une vue d'ensemble de l'état des clients sur le réseau et permet de déployer à distance les solutions ESET sur des ordinateurs non administrés. Une fois ESET Security Management Center Server (ESMC Server) installé, vous pouvez accéder à la console Web à l'aide de votre navigateur Web. Si vous décidez de rendre le serveur Web disponible via Internet, vous pouvez utiliser ESMC à partir de presque n'importe quel emplacement et/ou périphérique disposant d'une connexion Internet. • ESET Management Agent : ESET Management Agent facilite la communication entre ESMC Server et les ordinateurs client. L'Agent doit être installé sur l'ordinateur client pour établir une communication entre ce dernier et ESMC Server. Dans la mesure où ESET Management Agent est situé sur l'ordinateur client et peut stocker plusieurs scénarios de sécurité, son utilisation réduit considérablement le délai de réaction face aux nouvelles menaces. À l'aide d'ESMC Web Console, vous pouvez déployer ESET Management Agent sur des ordinateurs non administrés identifiés par Active Directory ou ESET Rogue Detection Sensor. Vous pouvez également installer manuellement ESET Management Agent sur les ordinateurs client, si nécessaire. • Rogue Detection Sensor : ESMC Rogue Detection Sensor détecte les ordinateurs non administrés qui sont présents sur votre réseau et envoie les informations sur ces derniers à ESMC Server. Vous pouvez ainsi ajouter facilement de nouveaux ordinateurs client à votre réseau sécurisé. RD Sensor mémorise les ordinateurs qui ont été détectés et n'envoie pas deux fois les mêmes informations. • Proxy HTTP Apache : service qui peut être utilisé conjointement avec ESET Security Management Center pour : oDistribuer des mises à jour aux ordinateurs client et des packages d'installation à ESET Management Agent. oTransférer les communications avec ESET Management Agents vers ESMC Server. • Connecteur de périphérique mobile : composant qui permet de gérer les périphériques mobiles avec ESET Security Management Center, ce qui vous permet de gérer les périphériques mobiles (Android et iOS) et de gérer ESET Endpoint Security pour Android. • Appliance virtuelle ESMC : l'appliance virtuelle ESMC est destinée aux utilisateurs qui souhaitent exécuter ESET Security Management Center (ESMC) dans un environnement virtualisé. • Hôte de l'agent virtuel ESET Security Management Center : composant d'ESET Security Management Center qui virtualise les entités de l'agent pour permettre la gestion des machines virtuelles sans agent. Cette solution active l'automatisation, l'utilisation des groupes dynamiques et le même niveau de gestion des tâches qu'ESET Management Agent sur les ordinateurs physiques. L'Agent virtuel collecte les informations 8 des machines virtuelles et les envoie à ESMC Server. • Outil Miroir : l'outil Miroir est nécessaire pour les mises à jour des modules hors ligne. Si vos ordinateurs clients ne disposent pas d'une connexion Internet, vous pouvez utiliser l'outil Miroir pour télécharger les fichiers de mise à jour depuis les serveurs de mise à jour ESET et les stocker localement. • Assistant de migration : l'Assistant de migration permet d'effectuer une migration depuis ERA 5 vers ESMC 7. L'Assistant est une application autonome qui utilise un assistant qui simplifie la migration des données d'ERA 5.x dans une base de données intermédiaire et leur importation dans ESMC 7. • ESET Remote Deployment Tool : cet outil sert à déployer les packages tous-en-un qui ont été créés dans ESMC Web Console. Il permet de distribuer de manière efficace ESET Management Agent avec un produit ESET sur les ordinateurs via un réseau. • ESET Business Account : le nouveau portail de licences pour les produits ESET pour les entreprises vous permet de gérer les licences. Reportez-vous à la section ESET Business Account pour obtenir des instructions sur l'activation de votre produit ou consultez le Guide de l'utilisateur ESET Business Account pour en savoir plus sur l'utilisation d'ESET Business Account. Si vous possédez déjà un nom d’utilisateur et un mot de passe fournis par ESET et que vous voulez les convertir en clé de licence, consultez la section Convertir les informations d’identification de licence héritée. • ESET Enterprise Inspector : il s'agit d'un système complet de détection et de réponse des terminaux comprenant les fonctionnalités suivantes : détection d'incidents, gestion des incidents et réponse, collecte de données, indicateurs de détection de corruptions, détection d'anomalies, détection de comportements et violations de politiques. Ouverture d'ESMC Web Console ESET Security Management Center Web Console est l'interface principale pour communiquer avec ESMC Server. Vous pouvez comparer la console à un panneau de commandes centralisé à partir duquel vous pouvez gérer toutes les solutions de sécurité ESET. Il s’agit d’une interface Web qui est accessible à partir d’un navigateur depuis n’importe quel emplacement et tout périphérique ayant accès à Internet. Il existe plusieurs méthodes pour ouvrir ESMC Web Console : • Sur le serveur local (l'ordinateur hébergeant la console Web), saisissez cette URL dans le navigateur Web : https://localhost/era/ • À partir de n'importe quel emplacement ayant un accès Internet au serveur Web, saisissez l'URL dans le format suivant : https://nomvotreserveur/era/ Remplacez « nomvotreserveur » par le nom ou l'adresse IP du serveur Web. ▪Pour vous connecter à l'appliance virtuelle ESMC, utilisez l'URL suivante : https://[Adresse IP]/ Remplacez « [Adresse IP] » par l'adresse IP de votre machine virtuelle ESMC. Si vous ne vous souvenez pas de l'adresse IP, reportez-vous à l'étape 9 des instructions pour le déploiement de l'appliance virtuelle. ▪Sur votre serveur local (la machine hébergeant votre console Web), cliquez sur Démarrer > Tous les programmes > ESET > ESET Security Management Center > ESET Security Management Center Web Console - Un écran de connexion s'ouvre dans votre navigateur Web par défaut. Cela ne s'applique pas à l'appliance virtuelle ESMC. Lorsque le serveur Web (qui exécute ESMC Web Console) est fonctionnel, l'écran suivant s'affiche. 9 REMARQUE Si vous rencontrez des problèmes lors de la connexion et que des messages d'erreur s'affichent, consultez la section Dépannage de la console Web. Utilisation de l'assistant de démarrage Lorsque vous vous connectez à la console Web pour la première fois, l'assistant de démarrage d'ESET Security Management Center s'affiche. Cet assistant donne des informations de base sur les sections importantes d'ESMC Web Console, ESET Management Agent et des produits de sécurité ESET. Vous y trouverez des sections portant sur les Ordinateurs, les Groupes, les Tâches client, les politiques et ESET Management Agent. La dernière étape de l'assistant qui est appelée Déploiement permet de créer un package d'installation tout en un (contenant ESET Management Agent et le produit de sécurité ESET). IMPORTANT Le package d'installation est un fichier .exe valide pour Windows uniquement. Si vous ne souhaitez pas utiliser l'assistant, cliquez sur Fermer l’assistant de démarrage. ESMC Web Console s'ouvre. L'assistant ne s'affichera pas à la prochaine connexion à ESMC Web Console. Pour le réafficher, cliquez sur ? > Assistant de démarrage. L'utilisation de l'assistant n'est pas obligatoire. Vous pouvez créer un programme d'installation tout-en-un de l'agent en cliquant sur Autres options de déploiement dans la section Liens rapides. IMPORTANT Si vous souhaitez créer un package d'installation, l'autorisation Déploiement de l'agent doit être attribuée à votre compte d'utilisateur. Si un compte d'utilisateur ne dispose pas de cette autorisation, l'assistant de démarrage s'affiche sans l'étape de déploiement et l'utilisateur n'a pas la possibilité de créer un package d'installation. Pour créer un package d'installation, procédez comme suit : 1. Langue : sélectionnez la langue du programme d'installation dans la liste déroulante des langues prises 10 en charge. 2. Produit : sélectionnez un fichier d'installation du produit de sécurité ESET dans la liste. Si vous sélectionnez la version 6.3 ou une version antérieure, l'activation automatique du produit ne fonctionne pas. La version 6.4 ou ultérieure du produit de sécurité ESET est activée automatiquement pendant l'installation. REMARQUE Si vous ne voyez pas de fichier d'installation pour le produit, assurez-vous que le référentiel est défini sur AUTOSELECT, dans la section Paramètres avancés des Paramètres de serveur. 3. Cochez la case J'accepte les termes du Contrat de Licence Utilisateur Final de l'application et j'ai pris connaissance de la Politique de confidentialité. Pour plus d'informations, reportez-vous à Gestion de licences ou CLUF. 4. Décochez la case Participer au programme d'amélioration du produit si vous n'acceptez pas d'envoyer les rapports de défaillance et les données de télémétrie à ESET. Si la case reste cochée, les rapports de défaillance et les données de télémétrie seront envoyés à ESET. 5. Choisir une licence : vous pouvez ajouter une licence à l'aide de l'une des méthodes décrites dans la section Gestion des licences. Si des licences figurent déjà dans Gestion de licences, sélectionnez la licence qui sera utilisée pour activer le produit de sécurité ESET pendant l'installation. L'ajout et la suppression de licences ne peuvent être effectués que par un administrateur dont le groupe parent est défini sur Tous et qui possède l'autorisation Écrire sur les licences contenues dans ce groupe Tous. 6. Si vous cochez la case Avancé, vous pouvez choisir un certificat d'agent et saisir la phrase secrète du certificat, si nécessaire. Par exemple, si vous avez précisé la phrase secrète lors de l'installation d' ESMC, ou si vous utilisez le certificat personnalisé avec une phrase secrète. Sinon, laissez le champ Phrase secrète du certificat vide. IMPORTANT La phrase secrète du certificat ne doit pas contenir les caractères suivants : " \ Ces caractères peuvent entraîner des erreurs critiques lors de l'initialisation de l'Agent. 7. Cliquez sur Créer le programme d'installation. Les fichiers du package d'installation tout-en-un sont alors générés pour les systèmes d'exploitation 32 et 64 bits. Cliquez sur la version de votre choix pour commencer à la télécharger. Une fois le téléchargement terminé, vous serez invité à spécifier l'emplacement où stocker le fichier (ESMC_Installer_x86_en_US.exe ou ESMC_Installer_x64_en_US.exe, par exemple). Cliquez sur Enregistrer le fichier. 8. Exécutez le fichier du package d'installation tout-en-un sur un ordinateur client. Pour obtenir des 11 instructions détaillées, consultez Assistant de configuration tout-en-un de l'agent. REMARQUE Après une première connexion à la console Web ESMC Web Console, il est recommandé d'exécuter la tâche client Mise à jour du système d'exploitation sur l'ordinateur sur lequel ESET Security Management Center est installé. ESMC Web Console ESMC Web Console est l'interface principale pour communiquer avec ESMC Server. Vous pouvez comparer la console à un panneau de commandes centralisé dans lequel vous pouvez gérer toutes les solutions de sécurité ESET. Il s'agit d'une interface Web qui est accessible à partir d'un navigateur (voir Navigateurs Web pris en charge) depuis n'importe quel emplacement et tout périphérique ayant accès à Internet. Dans la présentation classique d'ESMC Web Console : • L'utilisateur actuel est toujours affiché dans le coin supérieur droit, où le délai d'expiration de la session fait l'objet d'un compte à rebours. Vous pouvez cliquer sur Déconnexion à tout moment pour vous déconnecter. Si une session expire en raison de l'inactivité de l'utilisateur, celui-ci doit se reconnecter. • Pour modifier les paramètres utilisateur, cliquez sur votre nom d'utilisateur situé dans le coin supérieur droit d'ESMC Web Console. • Vous pouvez cliquer sur l'icône dans la partie supérieure de n'importe quel écran pour afficher le menu d'aide. Le premier lien de ce menu pointe toujours vers l'aide en ligne de l'écran actuel. • Le menu est accessible à tout moment à gauche, sauf lors de l'utilisation d'un assistant. Cliquez sur pour développer le menu à gauche de l'écran. Vous pouvez le réduire en cliquant sur Réduire le menu. • Le fichier signale toujours un menu contextuel. • Cliquez sur Rafraîchir pour recharger/actualiser les informations affichées. • Cliquez sur le logo ESET Security Management Center pour ouvrir l'écran Aperçu. L'aperçu de l'état vous indique comment tirer pleinement parti d'ESET Security Management Center. Il vous guide tout au long des étapes recommandées. 12 Les écrans contenant une arborescence possède des commandes spécifiques. L'arborescence est affichée à gauche et les actions apparaissent en dessous. Cliquez sur un élément de l'arborescence pour afficher des options pour celui-ci. Les tables vous permettent de gérer les unités d'une ligne ou dans un groupe (lorsque plusieurs lignes sont sélectionnées). Cliquez sur une ligne pour afficher les options des unités de celle-ci. Les données des tables peuvent être filtrées et triées. 13 Dans ESMC, les objets peuvent être modifiés à l'aide d'assistants. Tous les assistants partagent les comportements suivants : • Les étapes s'affichent verticalement, de haut en bas. • Vous pouvez revenir à une étape à tout moment. • Les données d'entrée non valides sont signalées lorsque vous placez le curseur dans un nouveau champ. L'étape de l'assistant contenant des données d'entrée non valides est indiquée également. • Le bouton Terminer n'est pas disponible tant que toutes les données d'entrée ne sont pas correctes. Gestion des produits Endpoint dans ESET Security Management Center L'administrateur peut effectuer diverses tâches dans ESMC Web Console pour installer des produits et contrôler les ordinateurs client. Cliquez sur les liens ci-après pour en savoir plus. Installation d'ESET Management Agent et des produits de sécurité Endpoint ESET Security Management Center requiert qu'ESET Management Agent soit installé sur chaque ordinateur client administré. ESET Management Agent peut être installé avec votre produit de sécurité Endpoint à ESET Remote Deployment Tool ou du programme d'installation tout-en-un. Avant de procéder à l'installation, il est recommandé d'importer votre licence dans ESET Security Management Center pour qu'elle puisse être utilisée pour les installations. Il existe deux méthodes pour installer le produit Endpoint : • Utilisez ESET Remote Deployment Tool ou le programme d'installation tout-en-un pour installer simultanément votre produit pour Endpoint terminaux et ESET Management Agent. • Installez votre produit ESET Endpoint sur les clients où vous avez déjà installé ESET Management Agent à l'aide d'une tâche client. Gestion du produit de sécurité Endpoint dans ESET Security Management Center Tous les produits de sécurité Endpoint peuvent être gérés dans ESMC Web Console. Des politiques sont utilisées 14 pour appliquer des paramètres à des ordinateurs ou des groupes. Vous pouvez par exemple créer une politique pour bloquer l'accès à certains emplacements web ou modifier tous les autres paramètres à partir du produit. Les politiques peuvent être fusionnées, comme le montre cet exemple. Les politiques qui ont été définies à l'aide d'ESMC ne peuvent pas être remplacées sur un ordinateur client par un utilisateur. L'administrateur peut toutefois utiliser la fonctionnalité de remplacement pour autoriser un utilisateur à apporter des modifications temporaires à un client. Lorsque vous avez terminé d'apporter des modifications, vous pouvez demander la configuration finale du client et l'enregistrer en tant que nouvelle politique. Des tâches client peuvent être également utilisées pour administrer les clients. Elles sont déployées à partir de la console Web et exécutées sur le client par ESET Management Agent. Les tâches les plus courantes pour les terminaux Windows sont les suivantes : • Mise à jour des modules (met également à jour la base des virus) • Exécution d'une analyse à la demande • Exécution d'une commande personnalisée • Demande de la configuration de l'ordinateur et du produit Obtention d'informations des clients et signalement de l'état de l'ordinateur à ESET Security Management Center Chaque ordinateur client est connecté à ESET Security Management Center via ESET Management Agent. L'Agent communique toutes les informations demandées sur l'ordinateur client et ses logiciels à ESMC Server. La connexion entre l'agent et le serveur est définie par défaut sur 1 minute, mais ce paramètre peut être changé dans votre politique ESET Management Agent. Tous les journaux des produits Endpoint ou d'autres produits de sécurité ESET sont envoyés à ESMC Server. Des informations sur les produits ESET installés et le système d'exploitation et l'état d'un client figurent dans Ordinateurs. Sélectionnez un client et cliquez sur Afficher les détails. Dans la section Configuration de cette fenêtre, un utilisateur peut rechercher d'anciennes configurations ou demander la configuration actuelle. Dans la section SysInspector, un utilisateur peut demander des journaux (pour les ordinateurs Windows uniquement). La console Web permet également d'accéder à la liste de toutes les menaces (accédez à Menaces) à partir des périphériques client. Les menaces d'un périphérique peuvent être affichées dans Ordinateurs. Sélectionnez un client et cliquez sur Afficher les détails > Menaces et quarantaine. Si l'ordinateur client exécute ESET Enterprise Inspector, vous pouvez afficher et gérer les menaces Enterprise Inspector. Vous pouvez générer des rapports personnalisés à la demande ou à l'aide d'une tâche planifiée pour afficher les données sur les clients du réseau. Des modèles de rapport prédéfinis permettent de rassembler rapidement des données importantes. Vous pouvez également créer vos propres modèles. Les exemples de rapport comprennent des informations agrégées sur les ordinateurs, les menaces, la mise en quarantaine et les mises à jour nécessaires. IMPORTANT Un utilisateur ne peut utiliser que des modèles de rapport pour lesquels ils disposent d'autorisations suffisantes. Par défaut, tous les modèles sont stockés dans le groupe Tous. Un rapport ne peut contenir que des informations sur des ordinateurs et des événements qui entrent dans le cadre des autorisations de l'utilisateur. Même si un modèle de rapport est partagé entre plusieurs utilisateurs, le rapport d'un utilisateur ne contient que des informations sur les périphériques pour lesquels ils disposent d'autorisations. Pour plus d'informations sur les droits d'accès, reportez-vous à la liste des autorisations. Après une mise à niveau à partir d'une version précédente d'ERA Si vous avez effectué une mise à niveau depuis ERA 6.4 ou une version antérieure, il est nécessaire de passer en revue les paramètres des utilisateurs réseau, les autorisations et les paramètres du serveur pour se conformer au modèle de sécurité renforcée d'ESET Security Management Center. Utilisateurs et jeux d'autorisations 15 L'administrateur doit passer en revue tous les utilisateurs et les jeux d'autorisations. Le nouveau modèle de sécurité repose fortement sur les groupes statiques. Il est donc recommandé de planifier la structure des groupes et de créer ensuite les jeux d'autorisations. L'administrateur peut également créer des utilisateurs natifs. IMPORTANT N'oubliez pas d'attribuer à chaque utilisateur un groupe résidentiel et un jeu d'autorisations accordant des autorisations sur ce groupe. Tous les objets créés par un utilisateur sont toujours automatiquement contenus dans le groupe résidentiel de celui-ci. Après une mise à niveau, les utilisateurs sont divisés en deux catégories : • Les utilisateurs auxquels un jeu d'autorisations pour le groupe Tous n'a pas été affecté dans la version précédente d'ERA ne disposeront pas d'un groupe résidentiel dans la nouvelle version d'ESMC. Ils ne possèderont pas d'autorisations pour Groupes et ordinateurs : ils ne pourront donc pas afficher les périphériques. • Les utilisateurs ayant reçu un ensemble d'autorisation pour le groupe Tous dans la version antérieure d'ERA garderont leurs autorisations pour le groupe Tous. De plus, ils se verront accorder une nouvelle autorisation pour la fonctionnalité Groupes et ordinateurs. Déclencheurs et tâches serveur Depuis la version ERA 6.5, un déclencheur par tâche serveur est autorisé uniquement. Le nombre de déclencheurs de tâches serveur est automatiquement ajusté après une mise à niveau afin de correspondre au nombre de tâches serveur. Dans Autre > Tâches serveur, sélectionnez une tâche pour afficher des informations détaillées sur son déclencheur. Rapports, modèles et tous les autres objets Après une mise à niveau, tous les objets figurent dans le groupe statique Tous. L'administrateur peut partager les objets avec les utilisateurs de plusieurs manières différentes : • en dupliquant les objets pour les rendre accessibles aux utilisateurs qui ne sont pas administrateurs ; • en déplaçant les objets vers des groupes partagés où d'autres utilisateurs peuvent y accéder ; • en attribuant aux utilisateurs d'autres jeux d'autorisations qui leur accorderont des droits limités sur certains objets (les politiques) sur le groupe Tous, par exemple). Groupes statiques et dynamiques Les groupes statiques sont essentiels au nouveau modèle de sécurité d'ESMC 7. Chaque objet est situé dans un groupe statique. Après une mise à niveau, la structure des groupes dynamiques et statiques reste la même. Les utilisateurs doivent se voir attribuer les autorisations adéquates pour leur groupe afin qu'ils puissent afficher les autres membres et interagir avec ces derniers. ESET Push Notification Service ESET Push Notification Service (EPNS) peut envoyer des appels de mise en éveil entre ESMC Server et la version 7 des ESET Management Agents. L'appel est déclenché par un utilisateur de la console Web. Chaque appel de mise en éveil envoie également un appel Wake On LAN. Vous pouvez configurer des adresses de multidiffusion pour Wake On LAN dans les paramètres du serveur. Ce type de solution, lorsque les appels de mise en éveil sont traités par un troisième composant en dehors du réseau local de l'utilisateur, est plus universel et standard pour les solutions cloud. Les ordinateurs exécutant Windows XP ne peuvent pas se connecter à EPNS et recevoir des appels de mise en éveil. Détails de la connexion Permet de configurer le réseau local pour autoriser les communications avec EPNS. ESET Management Agent et ESMC Server doivent être en mesure de se connecteur au serveur EPNS. Si vous ne pouvez pas établir de connexion à EPNS pour les Agents, aucune autre fonctionnalité en dehors des appels de mise en éveil n'est affectée. 16 Détails de la connexion Sécurité du transport SSL Protocole MQTT (protocole de connectivité de machine à machine) Port • principal : 8883 • basculement : 443 Adresse de l'hôte epns.eset.com Compatibilité du proxy Un proxy HTTP ne peut pas transférer le protocole MQTT. Compatibilité avec ERA 6.x ERA utilisait une connexion UDP pour envoyer des appels de mise en éveil. • ERA 6.x Agents ne peuvent recevoir des appels de mise en éveil que via UDP. • ESET Management Agents peuvent uniquement recevoir des appels de mise en éveil via EPNS. Les Agents ne sont donc pas compatibles avec les versions plus récentes ou plus anciennes d'ESET Security Management Center Server. Dépannage • Assurez-vous que votre pare-feu est configuré pour autoriser les connexions à EPNS. Voir les détails cidessus. • Vérifiez que les composants Agent et Server peuvent se connecter directement au serveur EPNS. Utilisation du logiciel Safetica Présentation de Safetica Safetica est un éditeur de logiciels tiers qui est membre de l'ESET Technology Alliance. Safetica offre une solution de sécurité informatique pour la prévention contre la perte de données et complète les solutions de sécurité ESET. Les principales fonctionnalités du logiciel Safetica sont les suivantes : • Prévention contre le perte de données : contrôle de l'ensemble des disques durs, clés USB, transferts de fichiers réseau, e-mails et imprimantes ainsi que de l'accès aux fichiers d'application. • Création de rapports et blocage des activités : pour les opérations sur les fichiers, les sites Web, les e-mails, la messagerie instantanée, l'utilisation des applications et les mots-clés recherchés. Fonctionnement de Safetica Safetica déploie un agent (Safetica Endpoint Client) sur les terminaux souhaités et maintient une connexion régulière avec ces derniers via le serveur (Safetica Management Service). Ce serveur crée une base de données de l'activité des postes de travail et distribue les nouvelles politiques et réglementations concernant la protection des données à chaque poste de travail. Vous pouvez également installer l'agent Safetica avec une tâche client - Exécuter la commande : msiexec /i safetica_agent.msi STSERVER=Server_name où « Server_name » correspond au nom d'hôte/à l'adresse IP du serveur sur lequel le service de gestion Safetica est installé. Vous pouvez utiliser le paramètre /silent à la fin de la commande pour exécuter l'installation à distance et en mode « silencieux ». Par exemple : msiexec /i safetica_agent.msi STSERVER=Server_name /silent Pour effectuer l'installation avec la méthode de la tâche client - Exécuter la commande, le package .msi doit déjà 17 se trouver sur l'appareil. Pour exécuter la tâche d'installation des packages .msi à un emplacement partagé, spécifiez-le dans la commande, comme suit : msiexec /i Z:\sharedLocation\safetica_agent.msi STSERVER=Server_name Intégration de Safetica dans ESMC ESET Management Agent détecte et signale le logiciel Safetica comme logiciel ESET dans Détails de l'ordinateur > Applications installées. ESMC Web Console met à jour l'agent Safetica lorsqu'une nouvelle version est disponible. L'agent Safetica peut être aussi mis à jour directement dans la console Web ESMC Web Console à partir du répertoire de logiciels ESET. Configuration initiale d'ESMC, déploiement du produit et VDI Avant de commencer à gérer les solutions ESET pour les professionnels, vous devez effectuer une configuration initiale. Il est recommandé d'utiliser l'aperçu de l'état, particulièrement si vous avez ignoré l'assistant de démarrage. Utilisateurs de la console Web Une fois connecté à ESMC Web Console, créez un ou plusieurs comptes d'utilisateur natif et configurez les jeux d'autorisations pour permettre différents niveaux de gestion dans ESET Security Management Center. IMPORTANT Il n'est pas recommandé d'utiliser le compte d'administrateur ESMC en tant que compte d'utilisateur normal. Ce compte sert de sauvegarde en cas de problème lié aux comptes d'utilisateur normaux ou de blocage. Vous pouvez vous connecter à l'aide du compte d'utilisateur pour résoudre ce type de problème. Que sont les certificats ? Les certificats sont un élément important de ESET Security Management Center. Ils sont essentiels aux composants ESMC pour communiquer en toute sécurité avec ESMC Server. Tous les certificats homologues doivent être valides et signés par une même autorité de certification pour que les composants ESMC puissent communiquer correctement. IMPORTANT Vous ne pouvez afficher que les certificats qui figurent dans votre groupe résidentiel (à condition que vous disposiez de l'autorisation Lire pour les certificats). Les certificats qui sont créés lors de l'installation d'ESMC se trouvent dans le groupe Tous. Seuls les administrateurs y ont accès. En ce qui concerne les certificats, vous disposez des options suivantes : • Vous pouvez utiliser les certificats automatiquement créés lors de l’installation d’ESMC. • Vous pouvez créer une nouvelle autorité de certification (CA) ou importer une clé publique que vous utiliserez pour signer le certificat homologue pour chacun des composants (ESET Management Agent, ESMC Server, ESMC MDM ou Hôte de l'agent virtuel). • Vous avez aussi la possibilité d’utiliser votre autorité de certification et vos certificats personnalisés. REMARQUE Si vous envisagez de migrer ESMC Server vers un nouveau serveur, vous devez exporter ou sauvegarder toutes les autorités de certification que vous utilisez, ainsi que le certificat ESMC Server. Dans le cas contraire, aucun composant ESMC ne sera en mesure de communiquer avec votre nouveau ESMC Server. 18 Gestion des licences ESET Security Management Center possède son propre système de gestion de licences qui est accessible à partir du menu principal dans Autre > Gestion de licences. Trois méthodes permettent d'ajouter une licence : vous pouvez saisir la clé de licence, fournir les informations d'identification du compte ESET Business Account (ou du compte Administrateur Sécurité ESET License Administrator) ou charger un fichier de licence hors ligne. IMPORTANT Seuls les administrateurs dont le groupe résidentiel est défini sur Tous et qui possèdent l'autorisation Écrire sur les licences du groupe résidentiel peuvent ajouter et supprimer des licences. Chaque licence est identifiée par un ID public et peut contenir une ou plusieurs unités. Seul un administrateur peut distribuer des licences à d'autres utilisateurs avec des autorisations suffisantes. Une licence n'est pas réductible. Méthodes de déploiement ESET Security Management Center propose plusieurs méthodes pour déployer ESET Management Agent et les produits de sécurité ESET. Pour obtenir des informations détaillées, lisez les chapitres suivants. Déploiement Après l'installation d'ESET Security Management Center, il est nécessaire de déployer ESET Management Agent sur les ordinateurs clients du réseau. Cette section décrit toutes les méthodes qui vous sont proposées pour déployer ESET Management Agent. ESET Management Agent est un composant très important, car les produits de sécurité ESET s'exécutant sur les ordinateurs clients communiquent avec ESMC Server exclusivement par le biais de l'Agent. Après l'installation d'ESET Security Management Center et la configuration initiale d'ESET Security Management Center, le déploiement consiste en les étapes suivantes : 1. Ajouter des ordinateurs clients à la structure du groupe ESMC. Il est nécessaire de déployer ESET Management Agent et le produit ESET Endpoint sur les ordinateurs du réseau. 2. Déployer l'agent : vous pouvez choisir d'effectuer un déploiement local ou un déploiement à distance. 3. Créer une politique à appliquer aux paramètres personnalisés : cette politique est appliquée par l'Agent dès que les logiciels sont installés. Pour plus d'informations, reportez-vous à l'étape 4. 4. Déployer ESET Endpoint Protection : permet d'utiliser la tâche d'installation de logiciel pour installer les produits de sécurité ESET. Si vous rencontrez des problèmes lors du déploiement à distance d'ESET Management Agent (la tâche de serveur Déploiement d’agent échoue), reportez-vous aux ressources ESET suivantes : Dépannage - Déploiement de l'Agent Dépannage - Connexion de l'Agent Exemples de scénario de déploiement d'ESET Management Agent Ajouter un ordinateur client à la structure ESMC Avant de commencer à administrer les ordinateurs clients du réseau, vous devez les ajouter à ESET Security Management Center. Pour ce faire, utilisez l'une des méthodes suivantes : • Synchronisation d'Active Directory • Utilisation du composant RD Sensor • Ajout manuel de nouveaux périphériques 19 • Installation locale d'ESET Management Agent Utilisation de la synchronisation d'Active Directory La synchronisation d'Active Directory est effectuée en exécutant la tâche de serveur Synchronisation des groupes statiques. Il s'agit d'une tâche par défaut prédéfinie que vous pouvez choisir d'exécuter automatiquement lors de l'installation d'ESET Security Management Center. Si l'ordinateur se trouve dans un domaine, la synchronisation est effectuée, et les ordinateurs d'Active Directory sont classés dans le groupe Tous par défaut. Pour démarrer le processus de synchronisation, cliquez sur la tâche et sélectionnez Exécuter maintenant. Si vous devez créer une autre tâche de synchronisation d'Active Directory, sélectionnez un groupe auquel ajouter les nouveaux ordinateurs depuis Active Directory. Sélectionnez également les objets d'Active Directory à partir desquels effectuer la synchronisation et l'action à exécuter sur les doublons. Saisissez les paramètres de connexion au serveur Active Directory, puis définissez le mode de synchronisation sur Active Directory/Open Directory/LDAP. Suivez les instructions détaillées de cet article de la base de connaissances ESET. Utilisation de RD Sensor Si vous n'utilisez pas la synchronisation d'Active Directory, la méthode la plus simple pour ajouter un ordinateur à la structure ESMC consiste à utiliser RD Sensor. Le composant RD Sensor fait partie du programme d’installation. Dans Rapports, accédez à la section Ordinateurs, sélectionnez le rapport Ordinateurs non administrés et cliquez sur Générer. 20 Le rapport Ordinateurs non administrés répertorie les ordinateurs détectés par RD Sensor. Pour ajouter un ordinateur, cliquez dessus, puis sur Ajouter. Vous pouvez également utiliser l'option Ajouter tous les éléments affichés. Si vous ajoutez un seul ordinateur, vous pouvez utiliser un nom prédéfini ou indiquer le vôtre (il s'agit d'un nom d'affichage qui sera utilisé uniquement par ESMC Web Console, et non d'un nom d'hôte réel). Vous pouvez également ajouter une description si vous le souhaitez. Si cet ordinateur existe déjà dans votre répertoire ESMC, vous en êtes averti et pouvez choisir l'action à exécuter sur le doublon. Les options disponibles sont les suivantes : 21 Déployer l'agent, Ignorer, Réessayer, Déplacer, Dupliquer et Annuler. Une fois l'ordinateur ajouté, une fenêtre indépendante s'affiche avec l'option Déployer l'agent. Si vous cliquez sur Ajouter tous les éléments affichés, la liste des ordinateurs à ajouter s'affiche. Cliquez sur en regard du nom d'un ordinateur spécifique si vous ne souhaitez pas l'inclure pour l'instant dans votre répertoire ESMC. Lorsque vous avez terminé de supprimer des ordinateurs de la liste, cliquez sur Ajouter. Après avoir cliqué sur Ajouter, sélectionnez l'action à exécuter lorsqu'un doublon est détecté (l'affichage peut prendre quelques instants en fonction du nombre d'ordinateurs dans la liste) : Ignorer, Réessayer, Déplacer, Dupliquer et Annuler. Une fois une option sélectionnée, une fenêtre indépendante s'affiche. Elle propose une option Déployer les agents pour effectuer le déploiement sur ces ordinateurs. Les résultats de l’analyse de RD Sensor sont écrits dans un fichier journal appelé detectedMachines.log. Ce fichier contient la liste des ordinateurs détectés sur votre réseau. Vous pouvez trouver le fichier detectedMachines.log ici : • Windows C:\ProgramData\ESET\Rogue Detection Sensor\Logs\detectedMachines.log • Linux /var/log/eset/RogueDetectionSensor/detectedMachines.log Ajouter des ordinateurs Cette fonctionnalité permet d'ajouter manuellement des ordinateurs ou des périphériques mobiles qui ne sont pas détectés ou ajoutés automatiquement. L'onglet Ordinateurs ou Groupe permet d'ajouter de nouveaux ordinateurs ou périphériques mobiles. 1. Pour ajouter un nouvel ordinateur, cliquez sur Ordinateurs > Ajouter nouveau et sélectionnez Ordinateurs (ou cliquez sur l'icône en forme de roue dentée à côté du groupe statique existant et ensuite sur Ajouter nouveau). 2. Saisissez l'adresse IP ou le nom d'hôte d'un ordinateur à ajouter. ESET Security Management Center le recherche sur le réseau. Vous pouvez éventuellement saisir une description des ordinateurs. 3. Groupe parent - Sélectionnez un groupe parent existant, puis cliquez surOK. 4. Utilisez le menu déroulant Résolution des conflits pour sélectionner l'action à exécuter si un ordinateur 22 que vous ajoutez existe déjà dans ESMC : • Demander en cas de détection :Lorsqu'un conflit est détecté, le programme vous demande de sélectionner une action (voir les options ci-dessous). • Ignorer les périphériques en double :Les ordinateurs en double ne seront pas ajoutés. • Créer des périphériques en double :Les nouveaux ordinateurs seront ajoutés, mais avec des noms différents. • Déplacer les appareils en double vers le groupe... :Les ordinateurs en conflit seront déplacés vers le Groupe parent. 5. Vous pouvez utiliser : a.+Ajouter un périphérique pour ajouter d'autres ordinateurs. Si vous souhaitez supprimer un ordinateur de la liste des périphériques, cliquez sur l'icône de la Corbeille ou sur Supprimer tout. b.Importer un fichier CSV pour charger un fichier .csv contenant la liste des ordinateurs à ajouter. Pour plus d'informations, consultez Importer un fichier CSV. c.Copier et coller pour copier et coller une liste personnalisée des adresses séparées par des délimiteurs personnalisés. Cette fonctionnalité s'apparente à la fonction Importer un fichier CSV. 6. Lorsque vous avez terminé vos modifications, cliquez sur Ajouter. REMARQUE L'ajout de plusieurs ordinateurs peut prendre plus de temps. Une recherche DNS inversée peut être effectuée. Une fois que vous avez cliqué sur Ajouter, une fenêtre contextuelle s'ouvre. Celle-ci contient la liste des périphériques à ajouter. Vous pouvez cliquer sur OK ou Déployer l'agent. 7. Si vous avez cliqué sur Déployer l'agent, sélectionnez le type de déploiement à effectuer : 23 Processus de déploiement de l'Agent Le déploiement d'ESET Management Agent peut être effectué de plusieurs manières différentes : Vous pouvez déployer l'Agent localement ou à distance : • Déploiement local : à l'aide d'un package d'installation tout en un (ESET Management Agent et produit de sécurité ESET), des programmes d'installation Agent Live ou du téléchargement d'ESET Management Agent à partir d'ESET. • Déploiement à distance : il est recommandé d'utiliser cette méthode pour déployer ESET Management Agent sur un grand nombre d'ordinateurs clients. 24 Déploiement local Cette méthode de déploiement est destinée aux installations sur site. Elle consiste à créer ou à télécharger un package d'installation et à autoriser l'accès à celui-ci via un dossier partagé ou à le distribuer à l'aide d'une clé USB (ou par courrier électronique). Le package d'installation doit être installé par un administrateur ou un utilisateur avec des privilèges d'administrateur. REMARQUE Il est recommandé d'utiliser un déploiement local dans le cadre d'un réseau de petite taille (50 ordinateurs au maximum). Pour les réseaux de plus grande taille, vous pouvez déployer ESET Management Agent à l'aide de GPO et SCCM. Le déploiement local peut être effectué de trois manières différentes : Créer un programme d’installation tout-en-un (Windows uniquement) Créer le programme d’installation Agent Live Télécharger l’agent depuis le site Web d’ESET (Windows, Linux, macOS) Déploiement local et autorisation Pour plus d'informations sur l'autorisation d'un utilisateur à déployer ESET Management Agent localement, suivez les instructions fournies dans cet exemple. REMARQUE Souvenez-vous que l'utilisateur peut utiliser des certificats lors de la création de programmes d'installation. Un utilisateur doit disposer de l'autorisation Utiliser pour les Certificats avec un accès au groupe statique qui contient les certificats. Si un utilisateur souhaite déployer ESET Management Agent, il doit se voir attribuer l'autorisation Utiliser pour l'autorité de certification affectée au certificat serveur actuel. Pour obtenir des informations sur la façon de répartir l'accès aux certificats et à l'autorité de certification, consultez cet exemple. Pour plus d'informations sur les droits d'accès, reportez-vous à la liste des autorisations. Création d'un programme d'installation tout-en-un de l'agent La procédure de création d'un package d'installation tout-en-un (comprenant ESET Management Agent et un produit ESET) est similaire à celle de l'assistant de démarrage. Elle offre toutefois des options de configuration supplémentaires. Ces options incluent une politique pour ESET Management Agent et le produit ESET, le nom d'hôte, le port pour l'ESMC Server ainsi que la possibilité de sélectionner un groupe parent. IMPORTANT Le package d'installation est un fichier .exe valide pour les systèmes Microsoft Windows uniquement. Cliquez sur Autres options de déploiement dans la section Liens rapides de la barre de menus. Dans la fenêtre Déployer l'agent, cliquez sur Créer le programme d'installation sous Créer un programme d’installation tout-en-un (Windows uniquement). La fenêtre Créer un programme d’installation tout-enun s'ouvre. Création du package Décochez la case Participer au programme d'amélioration du produit si vous n'acceptez pas d'envoyer les rapports de défaillance et les données de télémétrie à ESET. Si la case reste cochée, les rapports de défaillance et les données de télémétrie seront envoyés à ESET. Contenu du package : sélectionnez l'une des options suivantes : • Produit de sécurité + Agent : permet d'inclure le produit de sécurité ESET avec ESET Management Agent. Sélectionnez cette option si aucun produit de sécurité ESET n'est installé sur l'ordinateur client et que vous souhaitez l'installer avec ESET Management Agent. 25 Produit : développez cette section pour sélectionner un fichier d'installation dans la liste des produits ESET disponibles. Si vous sélectionnez la version 6.3 ou une version antérieure, l'activation automatique du produit ne fonctionne pas. La version 6.4 ou ultérieure des produits ESET est activée automatiquement pendant l'installation. Cochez la case J'accepte les termes du Contrat de Licence Utilisateur Final de l'application et j'ai pris connaissance de la Politique de confidentialité. Pour plus d'informations, reportez-vous à Gestion de licences ou CLUF. REMARQUE Si aucun fichier d'installation de produit n'est visible, vérifiez que le référentiel est défini sur SÉLECTION AUTOMATIQUE. Pour plus d'informations, reportez-vous à la section Paramètres avancés de Paramètres du serveur. Langue : sélectionnez une langue prise en charge pour le programme d'installation dans la liste déroulante. Licence (facultatif) : utilisez cette option pour ajouter une licence à l'aide de l'une des méthodes décrites dans la section Gestion des licences. Si des licences figurent déjà dans Gestion de licences, sélectionnez la licence qui sera utilisée pour activer le produit ESET pendant l'installation. Si vous ne choisissez pas de licence, vous pouvez créer un programme d'installation sans et activer le produit ultérieurement. • Agent uniquement : permet d'inclure uniquement ESET Management Agent. Sélectionnez cette option si vous souhaitez installer ultérieurement le produit de sécurité ESET sur l'ordinateur client ou si un produit de sécurité ESET est déjà installé sur l'ordinateur client. Certificat Un certificat homologue et une autorité de certification ESMC sont automatiquement choisis en fonction des certificats disponibles. Si vous souhaitez utiliser un autre certificat que celui qui a été automatiquement sélectionné, cliquez sur la description du certificat ESMC pour afficher la liste des certificats disponibles et sélectionner celui que vous souhaitez utiliser. Si vous voulez utiliser votre certificat personnalisé, cliquez sur la case d'option et chargez un fichier de certificat .pfx. Pour obtenir des instructions supplémentaires, reportez-vous à Certificats personnalisés et ESMC. Entrez la Phrase secrète du certificat au besoin. Par exemple, si vous avez indiqué une phrase secrète lors de l'installation d'ESMC ou si vous utilisez le certificat personnalisé avec une phrase secrète. Sinon, laissez le champ Phrase secrète du certificat vide. IMPORTANT La phrase secrète du certificat ne doit pas contenir les caractères suivants : " \ Ces caractères peuvent entraîner des erreurs critiques lors de l'initialisation de l'Agent. IMPORTANT Sachez qu'il est possible d'extraire la phrase secrète du certificat, car elle est incorporée dans le fichier .exe. Avancé Dans cette section, vous pouvez personnaliser le package d'installation tout-en-un : 1. Vous avez la possibilité de modifier le nom et saisir une description du package d'installation. 2. Groupe parent (facultatif) : sélectionnez le groupe parent où l'ordinateur sera placé après l'installation. Si vous souhaitez créer un groupe statique parent, cliquez sur Nouveau groupe statique et utilisez l'assistant. Le groupe nouvellement créé est automatiquement sélectionné. 3. ESET AV Remover vous aide a désinstaller ou supprimer entièrement d'autres antivirus. Cochez la case si vous souhaitez l'utiliser. 4. Configuration initiale du programme d’installation : vous pouvez effectuer ici un choix parmi deux types de configuration : oNe pas configurer : seules les politiques qui sont fusionnées dans un groupe statique parent sont 26 appliquées. oSélectionner une configuration dans la liste des politiques : utilisez cette option si vous souhaitez appliquer une politique de configuration à ESET Management Agent et/ou au produit ESET. Cliquez sur Sélectionner, puis effectuez un choix dans la liste des politiques disponibles. Si aucune des politiques prédéfinies ne convient, vous pouvez créer une politique ou personnaliser d'abord une politique existante. Lorsque vous sélectionnez de nouveau une politique, la nouvelle politique apparaît dans la liste. 5. Si nécessaire, vous pouvez spécifier le nom d'hôte de votre serveur ESMC et le numéro deport. Sinon, conservez les valeurs par défaut. 6. Cliquez sur Terminer. Les fichiers du package d'installation tout en un sont alors générés pour les systèmes d'exploitation 32 et 64 bits. Cliquez sur la version de votre choix pour la télécharger. Une fois le téléchargement terminé, vous serez invité à sélectionner l'emplacement où stocker le fichier (ESMC_Installer_x86_en_US.exe ou ESMC_Installer_x64_en_US.exe, par exemple). Cliquez sur Enregistrer le fichier. 7. Exécutez le fichier du package d'installation tout-en-un sur un ordinateur client. Pour obtenir des instructions détaillées, reportez-vous à l'assistant de configuration dans le manuel d'installation. Créer le programme d'installation Agent Live Le déploiement du Live Installer d'agent s'avère utile lorsque les options de déploiement local et à distance ne conviennent pas à votre environnement. Il permet de distribuer le Live Installer d'agent par e-mail pour que l'utilisateur puisse le déployer. Vous pouvez également l'exécuter à partir d'un support amovible (clé USB, par exemple). REMARQUE l'ordinateur client doit disposer d'une connexion Internet pour télécharger le package d'installation de l'Agent. L'ordinateur client doit être également en mesure de se connecter à ESMC Server. Cliquez sur Autres options de déploiement dans la section Liens rapides de la barre de menus. Dans la fenêtre Déployer l'agent, cliquez sur le bouton Créer un programme d'installation sous Créer un programme d'installation Agent Live. La fenêtre Programmes d'installation Agent Live s'ouvre. Création du package 27 Décochez la case Participer au programme d'amélioration du produit si vous n'acceptez pas d'envoyer les rapports de défaillance et les données de télémétrie à ESET. Si la case reste cochée, les rapports de défaillance et les données de télémétrie seront envoyés à ESET. Certificat : un certificat homologue et une autorité de certification ESMC sont automatiquement choisis en fonction des certificats disponibles. Si vous souhaitez utiliser un autre certificat que celui qui a été automatiquement sélectionné, cliquez sur la description du certificat ESMC pour effectuer un choix dans la liste des certificats disponibles. Si vous voulez utiliser un certificat personnalisé, cliquez sur la case d'option et chargez un fichier de certificat .pfx. Pour obtenir des informations supplémentaires, reportez-vous à Certificats personnalisés et ESMC. Entrez la Phrase secrète du certificat au besoin. Par exemple, si vous avez indiqué une phrase secrète lors de l'installation d'ESMC ou si vous utilisez le certificat personnalisé avec une phrase secrète. Sinon, laissez le champ Phrase secrète du certificat vide. IMPORTANT La phrase secrète du certificat ne doit pas contenir les caractères suivants : " \ Ces caractères peuvent entraîner des erreurs critiques lors de l'initialisation de l'Agent. Configuration : dans cette section, vous pouvez personnaliser les paramètres suivants du package d'installation Agent Live : 1. Vous avez la possibilité de modifier le nom et saisir une description du package d'installation. 2. Nom d'hôte du serveur - Au besoin, vous pouvez spécifier un nom d'hôte d'ESMC Server et un numéro de port. Sinon, ne modifiez pas les valeurs par défaut. Sinon, conservez les valeurs par défaut. 3. Groupe parent (facultatif) : sélectionnez le groupe parent où l'ordinateur sera placé après l'installation. Si vous souhaitez créer un groupe statique parent, cliquez sur Nouveau groupe statique et utilisez l'assistant. Le groupe nouvellement créé est automatiquement sélectionné. 4. Cliquez sur Terminer pour générer les liens pour les fichiers du programme d'installation de l'Agent Windows, Linux et macOS. 5. Cliquez sur Télécharger sous le ou les fichiers du programme d'installation à télécharger, puis enregistrez le fichier zip. Décompressez le fichier sur l'ordinateur client sur lequel vous souhaitez déployer ESET Management Agent, puis exécutez le script ESMCAgentInstaller.bat (Windows) ou ESMCAgentInstaller.sh (Linux et macOS) pour exécuter le programme d'installation. Pour obtenir des instructions afin de déployer ESET Management Agent sur un client à l'aide du programme d'installation Agent Live, consultez notre article de la base de connaissances. REMARQUE Si vous exécutez le script sous Windows XP SP2, vous devez installer Microsoft Windows Server 2003 Administration Tools Pack. Sinon, le programme d'installation Agent Live ne s'exécutera pas correctement. Une fois le pack d'administration installé, vous pouvez exécuter le script du programme d'installation Agent Live. REMARQUE Vous pouvez consulter le journal d'état de l'ordinateur client C:\ProgramData\ESET\RemoteAdministrator\Agent\Logs\status.html pour vérifier qu'ESET Management Agent fonctionne correctement. En cas de problème lié à l'Agent (s'il ne se connecte pas à ESMC Server, par exemple), reportez-vous à la section de dépannage. Déploiement depuis un emplacement distant personnalisé 28 Pour déployer l'Agent depuis un emplacement autre que le référentiel ESET, modifiez le script d'installation pour spécifier l'URL de l'emplacement du package de l'Agent. Vous pouvez également utiliser l'adresse IP du nouveau package. Recherchez les lignes suivantes et modifiez-les : Windows : set url=http://repository.eset.com/v1/com/eset/apps/business/era/agent/v7.../A gent_x64.msi set url=http://repository.eset.com/v1/com/eset/apps/business/era/agent/v7.../A gent_x86.msi Linux: eraa_installer_url=http://repository.eset.com/v1/com/eset/apps/business/er a/agent/v7.../Agent-Linux-i386.sh eraa_installer_url=http://repository.eset.com/v1/com/eset/apps/business/er a/agent/v7.../Agent-Linux-x86_64.sh macOS : eraa_installer_url=http://repository.eset.com/v1/com/eset/apps/business/er a/agent/v7.../Agent-MacOSX-x86_64.dmg Déploiement depuis un dossier partagé local 29 Pour déployer ESET Management Agent à l'aide du programme d'installation Agent Live à partir de votre dossier partagé local sans ESET Repository Download Server, procédez comme suit : Windows : 1. Modifiez le fichier ESMCAgentInstaller.bat . 2. Modifiez les lignes 30 et 33 pour pointer vers les fichiers téléchargés localement. Le fichier d'origine ressemble à celui-ci : 3. Utilisez votre propre URL (dossier partagé local), au lieu de celle indiquée ci-dessous : REMARQUE Le programme d'installation Agent Live vérifie l'intégrité des fichiers d'installation selon leur checksum (voir les lignes 31 et 34). Il s'agit d'une ligne unique générée pour chaque fichier. Si le fichier change, son checksum change aussi. IMPORTANT Vérifiez que le compte d'utilisateur sous lequel s'exécute le package d'installation possède un droit d'accès en écriture sur le dossier partagé local. Le chemin d'accès peut contenir des espaces, par exemple \\server\shared folder\Agent_x64.msi (n'utilisez pas des guillemets doubles ""). 4. Modifiez la ligne 76 pour remplacer " echo.packageLocation = DownloadUsingHTTPProxy^("!url!", "!http_proxy_hostname!", "!http_proxy_port!", "!http_proxy_username!", "!http_proxy_password!"^) " par echo.packageLocation = "!url!" 5. Enregistrez le fichier. macOS : 1. Ouvrez le script ESMCAgentInstaller.sh dans un éditeur de texte. 2. Supprimez les lignes suivantes : 52, 53 et 56 à 68. 3. Remplacez les lignes 138 à 159 par le chemin vers le programme d'installation local. Regardez la zone mise en surbrillance dans l'image. Utilisez votre propre URL (dossier partagé local), au lieu de celle indiquée cidessous. 4. Enregistrez le fichier. Linux: 1. Ouvrez le script ESMCAgentInstaller.sh dans un éditeur de texte. 2. Supprimez les lignes suivantes : 27 et 28 : 3. Insérez la ligne suivante avec les chemins vers le programme d'installation i386. 1. Remplacez les lignes 34 à 41 par le chemin vers le programme d'installation x86_64. Regardez la zone mise en surbrillance dans l'image. Utilisez votre propre URL (dossier partagé local), au lieu de celle indiquée cidessous. 5. Supprimez les lignes 53 à 65. 6. Enregistrez le fichier. 30 Utilisation du proxy HTTP Pour configurer le proxy HTTP pour l'Agent dans le script Live Installer, modifiez les lignes ci-après. Ajoutez le nom d'hôte du proxy (et la valeur du port pour Windows uniquement) entre guillemets. Remplacez l'exemple de valeur proxy.example.hostname par le nom d'hôte de votre proxy.) Windows : set http_proxy_hostname="proxy.example.hostname" set http_proxy_port="3128" Linux: eraa_http_proxy_value="proxy.example.hostname" macOS : eraa_http_proxy_value="proxy.example.hostname" Télécharger l’agent depuis le site Web d’ESET Téléchargez le package d'installation d'ESET Management Agent à partir du site Web d'ESET. Sélectionnez le package selon le système d'exploitation de l'ordinateur client : • Installation assistée du serveur et hors ligne Linux • macOS • Windows oInstallation assistée du serveur : à l’aide du package d’installation de l’Agent, cette méthode permet de télécharger automatiquement les certificats d’ESMC Server (méthode de déploiement local recommandée). REMARQUE Si vous décidez d'autoriser l'installation assistée du serveur à un autre utilisateur, vérifiez que les autorisations suivantes sont définies : • L'utilisateur doit disposer de l'autorisation Utiliser pour l'autorité de certification qui a signé le certificat homologue du serveur. Il doit également posséder l'autorisation Utiliser pour au moins un certificat homologue. Si aucun certificat de ce type n'existe, l'utilisateur devra disposer de l'autorisation Écrire pour en créer un. • L'autorisation Écrire pour le groupe statique auquel l'utilisateur souhaite ajouter l'ordinateur. oInstallation hors ligne : à l'aide du package d'installation de l'Agent. Lorsque vous utilisez cette méthode de déploiement, vous devez exporter les certificats et les appliquer manuellement. Si vous rencontrez des problèmes lors de l'installation d'ESET Management Agent, consultez le journal d'état sur l'ordinateur client pour vérifier qu'ESET Management Agent fonctionne correctement. En cas de problème lié à l'Agent (s'il ne se connecte pas à ESMC Server, par exemple), reportez-vous à la section de Dépannage Déploiement de l'Agent. REMARQUE Consultez le journal d'état d'un ordinateur client (situé dans C:\ProgramData\ESET\RemoteAdministrator\Agent\EraAgentApplicationData\Logs\status.html ou C:\Documents and Settings\All Users\Application Data\Eset\RemoteAdministrator\Agent\EraAgentApplicationData\Logs\status.hmtl)) pour vérifier qu'ESET Management Agent fonctionne correctement. En cas de problème lié à l'Agent (s'il ne se connecte pas à ESMC Server, par exemple), reportez-vous à la section Dépannage - Déploiement de l'Agent. Déploiement à distance Le déploiement à distance peut être effectué de différentes façons : • GPO et SCCM : cette méthode est recommandée pour le déploiement en masse d'ESET Management Agent 31 sur des ordinateurs clients. • Tâche serveur Déploiement de l'agent : une autre solution que la méthode GPO et SCCM. • ESET Remote Deployment Tool : cet outil sert à déployer les packages tout-en-un qui ont été créés dans ESMC Web Console. IMPORTANT Pour les déploiements à distance, vérifiez que tous les ordinateurs clients disposent d'une connexion Internet. Déploiement à distance et autorisations Si vous souhaitez autoriser un utilisateur à créer des programmes d'installation GPO ou des scripts SCCM, définissez ses autorisations pour qu'elles correspondent à cet exemple. Les autorisations suivantes sont nécessaires pour le déploiement de la tâche serveur Agent : • L'autorisation Écrire pour Groupes et ordinateurs sur lequel le déploiement est effectué. • L'autorisation Utiliser pour Certificats avec un accès au groupe statique qui contient les certificats. • L'autorisation Utiliser pour Déploiement de l'agent dans la section Déclencheurs et tâches serveur. Déploiement de l'Agent à l'aide de GPO et SCCM En dehors d'un déploiement local ou d'un déploiement à distance à l'aide d'une tâche serveur, vous pouvez également utiliser des outils d'administration tels que GPO, SCCM, Symantec Altiris ou Puppet. Pour déployer ESET Management Agent sur des clients à l'aide de GPO ou SCCM, procédez comme suit : Téléchargez le fichier .msi du programme d'installation d'ESET Management Agent à partir de la page de téléchargement ESET. Cliquez sur Autres options de déploiement dans la section Liens rapides de la barre de menus. Une fenêtre contextuelle s'ouvre à partir de laquelle vous pourrez sélectionner Utiliser GPO ou SCCM pour le déploiement. Cliquez sur le bouton Créer un script. Certificat Décochez la case Participer au programme d'amélioration du produit si vous n'acceptez pas d'envoyer les rapports de défaillance et les données de télémétrie à ESET. Si la case reste cochée, les rapports de défaillance et les données de télémétrie seront envoyés à ESET. Un certificat homologue et une autorité de certification ESMC sont automatiquement choisis en fonction des certificats disponibles. Si vous souhaitez utiliser un autre certificat que celui qui a été automatiquement sélectionné, cliquez sur la description du certificat ESMC pour afficher la liste des certificats disponibles et sélectionner celui que vous souhaitez utiliser. Si vous voulez utiliser votre certificat personnalisé, cliquez sur la case d'option et chargez un fichier de certificat .pfx. Pour obtenir des informations supplémentaires, reportezvous à Certificats personnalisés et ESMC. Entrez la Phrase secrète du certificat au besoin. Par exemple, si vous avez précisé la phrase secrète lors de l'installation d' ESMC, ou si vous utilisez le certificat personnalisé avec une phrase secrète. Sinon, laissez le champ Phrase secrète du certificat vide. IMPORTANT La phrase secrète du certificat ne doit pas contenir les caractères suivants : " \ Ces caractères peuvent entraîner des erreurs critiques lors de l'initialisation de l'Agent. Avancé Vous pouvez personnaliser le package d'installation d'ESET Management Agent : • Renseignez les champs Nom et Description (facultatif) du package d'installation. • Groupe parent (facultatif) : vous pouvez sélectionner un groupe statique existant ou en créer un. 32 Cliquez sur Sélectionner pour choisir un groupe statique parent pour l'ordinateur client sur lequel sera utilisé le programme d'installation. Si vous souhaitez créer un groupe statique parent, cliquez sur le bouton Nouveau groupe statique et utilisez l'assistant. Le groupe nouvellement créé est automatiquement sélectionné. • Configuration initiale du programme d’installation : vous pouvez effectuer un choix parmi deux types de configuration : oNe pas configurer : seules les politiques qui sont fusionnées dans un groupe statique parent sont appliquées. oSélectionner une configuration dans la liste des politiques : utilisez cette option si vous souhaitez appliquer une politique de configuration à ESET Management Agent. Cliquez sur Sélectionner sous Configuration de l'Agent (facultatif), puis effectuez un choix dans la liste des politiques disponibles. Si aucune des politiques prédéfinies ne convient, vous pouvez créer une politique ou personnaliser des politiques existantes. • Au besoin, vous pouvez spécifier un nom d'hôte (facultatif) ESMC et un numéro de port. Sinon, ne modifiez pas les valeurs par défaut. Sinon, conservez les valeurs par défaut. Sélectionnez Terminer. Lorsqu'une fenêtre contextuelle s'ouvre avec le fichier install_config.ini, cliquez sur Enregistrer le fichier. Si vous souhaitez définir une connexion entre ESET Management Agent et le proxy pour permettre le transfert des communications entre ESET Management Agent et ESMC Server, spécifiez les paramètres suivants dans le fichier install_config.ini : P_USE_PROXY=1 P_PROXY_HTTP_HOSTNAME= P_PROXY_HTTP_PORT= P_PROXY_HTTP_USERNAME= P_PROXY_HTTP_PASSWORD= Pour obtenir des instructions détaillées relatives aux deux méthodes de déploiement courantes d'ESET Management Agent, cliquez sur le lien adéquat suivant : 1. Déploiement d'ESET Management Agent à l'aide de GPO 2. Déploiement d'ESET Management Agent à l'aide de SCCM Étapes de déploiement - SCCM Pour déployer ESET Management Agent à l'aide de SCCM, procédez comme suit : 1. Déplacez les fichiers du programme d'installation d'ESET Management Agent .msi et install_config.ini dans un dossier partagé. 33 IMPORTANT Les ordinateurs clients nécessitent un accès en lecture/exécution à ce dossier partagé. 34 2. Ouvrez la console SCCM, puis cliquez sur Bibliothèque de logiciels. Dans Gestion des applications, cliquez avec le bouton droit sur Applications, puis choisissez Créer une application. Choisissez Windows Installer (fichier *.msi). 35 3. Fournissez toutes les informations obligatoires sur l'application, puis cliquez sur Suivant. 36 4. Cliquez avec le bouton droit sur l'application ESET Management Agent, cliquez sur l'onglet Types de déploiement, sélectionnez le seul type de déploiement qui est affiché, puis cliquez sur Modifier. 37 5. Cliquez sur l'onglet Spécifications, puis sur Ajouter. Sélectionnez Système d'exploitation dans le menu déroulant Condition. Sélectionnez ensuite L'un des dans le menu Opérateur, puis spécifiez les systèmes d'exploitation que vous allez installer en cochant les cases adéquates. Cliquez sur OK lorsque vous avez terminé. Pour fermer toutes les fenêtres et enregistrer vos modifications, cliquez sur OK. 38 39 6. Dans la bibliothèque de logiciels System Center Configuration Manager, cliquez avec le bouton droit sur la nouvelle application, puis sélectionnez Distribuer du contenu dans le menu contextuel. Suivez les instructions de l'Assistant Déploiement logiciel pour terminer le déploiement de l'application. 40 41 7. Cliquez avec le bouton droit sur l'application, puis sélectionnez Déployer. Suivez les instructions de l'assistant et choisissez la destination et la collection vers lesquelles déployer l'Agent. 42 43 44 45 46 47 48 Étapes de déploiement - GPO Pour déployer ESET Management Agent à l'aide de GPO, procédez comme suit : 1. Placez le fichier .msi du programme d'installation ESET Management Agent et le fichier install_config.ini créé dans un dossier partagé étant accessible par les clients cibles. 49 IMPORTANT Les ordinateurs clients nécessitent un accès en lecture/exécution à ce dossier partagé. 50 2. Utilisez un objet de politique de groupe existant ou créez-en un (cliquez avec le bouton droit sur GPO, puis cliquez sur Nouveau). Dans l'arborescence GPMC (Console de gestion des politiques de groupe), cliquez avec le bouton droit sur l'objet de politique de groupe à utiliser, puis sélectionnez Modifier. 3. Dans Configuration de l'ordinateur, accédez à Politiques > Paramètres du logiciel. 4. Cliquez avec le bouton droit sur Installer un logiciel, sélectionnez Nouveau, puis cliquez sur Package pour créer une configuration de package. 51 5. Accédez au fichier .msi d'ESET Management Agent. Dans la boîte de dialogue Ouvrir, saisissez le chemin UNC complet au package d'installation partagé que vous souhaitez utiliser. Par exemple : \\fileserver\share\filename.msi REMARQUE Veillez à utiliser le chemin UNC du package d'installation partagé. 6. Cliquez sur Ouvrir, puis choisissez la méthode de déploiement Avancé. 52 7. Confirmez la configuration du package, puis poursuivez le déploiement GPO. Outil de déploiement ESET ESET Remote Deployment Tool de manière efficace ESET Management Agent avec un produit ESET sur les ordinateurs via un réseau. Il offre la possibilité d'utiliser des programmes d'installation personnalisés qui ont été créés. Il est proposé gratuitement sur le site Web d'ESET sous la forme d'un composant ESMC autonome. L'outil de déploiement est principalement destiné à des déploiements sur des réseaux de petite taille ou de taille moyenne. Il est disponible uniquement pour les systèmes Windows. Pour plus d'informations sur les conditions préalables requises et l'utilisation de l'outil, reportez-vous au chapitre sur ESET Remote Deployment Tool du guide d'installation. 53 Paramètres d'ESET Management Agent Configurez des paramètres spécifiques pour ESET Management Agent en utilisant une politique. Il existe des politiques prédéfinies pour ESET Management Agent. Il existe des politiques prédéfinies pour ERA Agent (Connexion : se connecter toutes les (intervalle de connexion de l'Agent) ou Signalement des applications Signaler toutes les applications installées (pas seulement les applications ESET), par exemple). Pour plus d'informations sur l'application d'une politique basée sur l'emplacement, consultez cet exemple. Cliquez sur Politiques, développez Politiques intégrées > ESET Management Agent, puis modifiez une politique ou créez-en une. Connexion • Serveurs auxquels seconnecter : pour ajouter les détails de la connexion à ESMC Server (nom d'hôte/adresse IP et numéro de port), cliquez sur Modifier la liste de serveurs. Il est possible de spécifier plusieurs serveurs ESMC Server. Cela peut s'avérer utile si vous avez modifié l'adresse IP d'ESMC Server ou si vous effectuez une migration. • Limite de données : sélectionnez le nombre maximal d'octets pour l'envoi des données. • Intervalle deconnexion : sélectionnez un intervalle régulier et spécifiez une valeur pour l'intervalle de connexion. Vous pouvez également utiliser une expression CRON. • Certificat : vous pouvez gérer les certificats homologues d'ESET Management Agent. Cliquez sur Modifier le certificat et sélectionnez le certificat d'ESET Management Agent qui doit être utilisé par ESET Management Agent. Pour plus d'informations, reportez-vous à la section Certificats homologues. Mises à jour • Intervalle de mise à jour : intervalle de réception des mises à jour. Sélectionnez un intervalle régulier et configurez les paramètres (ou vous pouvez utiliser une expression CRON.) • Serveur de mise à jour : il s'agit du serveur de mise à jour à partir duquel ESMC Server reçoit les mises à jour pour les produits ESET et les composants ESMC. • Type de mise à jour : sélectionnez le type des mises à jour que vous souhaitez recevoir. Vous pouvez choisir une mise à jour régulière, de version bêta ou retardée. Il n’est pas recommandé de sélectionner les mises à jour de versions bêta pour les systèmes de production, car cela présente un risque. Paramètres avancés • Proxy HTTP : utilisez un serveur proxy pour faciliter le trafic Internet vers les clients de votre réseau et la réplication d'agent sur ESMC Server. oType de configuration du proxy ▪Proxy global : utilisez un serveur proxy pour la réplication de l'agent et pour la mise en cache des services ESET (par exemple, les mises à jour). ▪Différent proxy par service : utilisez un proxy pour la réplication de l'agent et un autre pour la mise en cache des services ESET (par exemple, les mises à jour). oProxy global : cette option n'est disponible que si vous la sélectionnez dansType de configuration du proxy. Cliquez sur Modifier et configurez les paramètres du proxy. Les deux options ci-dessous ne sont disponibles que si vous sélectionnez Différent Proxy par service. Vous pouvez également n'utiliser qu'un des paramètres de proxy, par exemple configurer uniquement Services ESET et laisser Réplication désactivé. Activez Utiliser une connexion directe si le proxy HTTP n'est pas disponible si vous souhaitez autoriser cette option de secours. oRéplication (vers ESMC Server) : paramétrez la configuration des connexions pour un proxy connectant l'agent au serveur. oServices ESET : configurez les paramètres de connexion pour un proxy qui mettra en cache les services 54 ESET. • Appel de mise en éveil : ESMC Server peut exécuter une réplication instantanée d'ESET Management Agent sur un ordinateur client via EPNS. Cela est utile lorsque vous ne voulez pas attendre l'intervalle habituel au cours duquel ESET Management Agent se connecte à ESMC Server. Par exemple, lorsque vous voulez qu'une Tâche client s'exécute immédiatement sur un client ou si vous voulez qu'une Politique soit appliquée immédiatement. • Compatibilité : pour permettre la gestion des produits ESET version 5 ou antérieure par ESET Management Agent, un port d'écoute spécifique doit être défini. Les produits ESET doivent en outre être configurés pour signaler ce port. L'adresse d'ESET Security Management Center Server doit être définie sur localhost. • Système d'exploitation : utilisez les commutateurs pour signaler certaines informations ou certains problèmes sur l'ordinateur client. • Référentiel : emplacement du référentiel dans lequel sont stockés tous les fichiers d’installation. REMARQUE Le référentiel par défaut est SÉLECTION AUTOMATIQUE. • Programme d'amélioration du produit : activez ou désactivez la transmission des rapports de défaillance et des données de télémétrie anonymes à ESET. • Journalisation : définissez le détail de journal qui détermine le niveau d’informations collectées et journalisées, de Trace (informations) à Fatal (informations critiques les plus importantes). Le dernier fichier journal d'ESET Management Agent se trouve à l'emplacement suivant sur un ordinateur client : C:\ProgramData\ESET\RemoteAdministrator\Agent\EraAgentApplicationData\Logs ou C:\Documents and Settings\All Users\Application Data\ESET\RemoteAdministrator\Agent\EraAgentApplicationData\Logs • Configuration : la fonctionnalité Configuration protégée par mot de passe est une fonctionnalité de protection d'ESET Management Agent (Windows uniquement). Définissez un mot de passe pour activer la protection par mot de passe d'ESET Management Agent. Une fois la politique appliquée, ESET Management Agent ne peut pas être désinstallé ni réparé sans la fourniture d'un mot de passe. IMPORTANT Si vous oubliez ce mot de passe, vous ne pourrez pas désinstaller ESET Management Agent de l'ordinateur cible. Affecter Spécifiez les clients auxquels sera appliquée cette politique. Cliquez sur Attribuer pour afficher tous les groupes statiques et dynamiques et leurs membres. Sélectionnez l'ordinateur auquel appliquer la politique, puis cliquez sur OK. Synthèse Passez en revue les paramètres de cette politique, puis cliquez sur Terminer. Création d'une politique pour l'intervalle de connexion d'ESET Management Agent Dans cet exemple, une politique pour l'intervalle de connexion d'ESET Management Agent est créée. Il est recommandé d'effectuer cette opération avant de tester le déploiement en masse dans votre environnement. Créez un groupe statique. Ajoutez une nouvelle politique en cliquant sur Politiques. Cliquez ensuite sur Politiques dans la partie inférieure, puis sélectionnez Nouveau. 55 Général Saisissez un nom pour la nouvelle politique (Intervalle de connexion de l'Agent, par exemple). Le champ Description est facultatif. Paramètres Sélectionnez ESET Management Agent dans le menu déroulant Produit. 56 Connexion Sélectionnez une catégorie dans l'arborescence située à gauche. Dans le volet droit, modifiez les paramètres au besoin. Chaque paramètre est une règle pour laquelle vous pouvez définir un indicateur. Cliquez sur Modifier l'intervalle. Dans le champ Intervalle régulier, remplacez la valeur par l'intervalle de votre choix (60 secondes est la valeur recommandée), puis cliquez sur Enregistrer. Attribuer Spécifiez les clients (ordinateurs/périphériques mobiles indépendants ou groupes) destinataires de cette politique. 57 Cliquez sur Attribuer pour afficher tous les groupes statiques et dynamiques et leurs membres. Sélectionnez les clients souhaités, puis cliquez sur OK. Résumé 58 Passez en revue les paramètres de cette politique, puis cliquez sur Terminer. Créer une politique pour qu'ESET Management Agent se connecte au nouveau serveur ESMC Server Cette politique permet de changer le comportement d'ESET Management Agent en modifiant ses paramètres. Les options suivantes s'avèrent particulièrement utiles lors de la migration des ordinateurs client vers un nouveau serveur ESMC Server. Créez une politique pour définir l'adresse IP du nouveau serveur ESMC Server, puis attribuez la politique à tous les ordinateurs client. Sélectionnez Politiques > Nouveau. Général Saisissez un nom pour la politique. Le champ Description est facultatif. Paramètres Sélectionnez ESET Management Agent dans le menu déroulant, développez Connexion, puis cliquez sur Modifier la liste de serveurs en regard des serveurs auxquels se connecter. Une fenêtre s'ouvre. Elle contient la liste des serveurs ESMC Server auxquels ESET Management Agent peut se connecter. Cliquez sur Ajouter, puis saisissez l'adresse IP du nouveau serveur ESMC Server dans le champ Hôte. Si vous utilisez un autre port que le port 2222 par défaut d'ESMC Server, indiquez votre numéro de port personnalisé. 59 Utilisez les boutons représentant des flèches pour modifier la priorité des serveurs ESMC Server si plusieurs entrées figurent dans la liste. Vérifiez que le nouveau serveur ESMC Server se trouve en haut de la liste en cliquant sur le bouton représentant une flèche pointant vers le haut, puis cliquez sur Enregistrer. Attribuer Spécifiez les clients (ordinateurs/périphériques mobiles indépendants ou groupes) destinataires de cette politique. 60 Cliquez sur Attribuer pour afficher tous les groupes statiques et dynamiques et leurs membres. Sélectionnez les clients souhaités, puis cliquez sur OK. Résumé 61 Passez en revue les paramètres de cette politique, puis cliquez sur Terminer. Créer une politique pour activer la protection par mot de passe d'ESET Management Agent Suivez la procédure ci-dessous pour créer une politique qui appliquera un mot de passe pour protéger ESET Management Agent. Lorsque Configuration protégée par mot de passe est utilisée, lESET Management Agent ne peut pas être désinstallé ni réparé sans la fourniture d'un mot de passe. Consultez le chapitre Protection de l'agent pour plus d'informations. Général Saisissez un nom pour cette politique. Le champ Description est facultatif. Paramètres Sélectionnez ESET Management Agent dans la liste déroulante, développez Paramètres avancés, accédez à Configuration, puis saisissez le mot de passe dans le champ Configuration protégée par mot de passe. Ce mot de passe sera nécessaire si quelqu'un tente de désinstaller ou de réparer ESET Management Agent sur un ordinateur client. IMPORTANT Prenez soin d'enregistrer ce mot de passe à un endroit sûr. Il est indispensable de saisir le mot de passe pour désinstaller ESET Management Agent de l'ordinateur client. Il n'existe pas d'autre moyen de désinstaller ESET Management Agent sans mot de passe correct lorsque la politique Configuration protégée par mot de passe est en place. Attribuer Spécifiez les clients (ordinateurs/périphériques mobiles indépendants ou groupes) destinataires de cette politique. Cliquez sur Attribuer pour afficher tous les groupes statiques et dynamiques et leurs membres. Sélectionnez les clients souhaités, puis cliquez sur OK. 62 Résumé Passez en revue les paramètres de cette politique, puis cliquez sur Terminer. Protection de l'agent ESET Management Agent est protégé par un mécanisme d'autodéfense. Rôles de cette fonctionnalité : oProtection des entrées de Registre d'ESET Management Agent contre la modification (HIPS) oProtection des fichiers d'ESET Management Agent contre la modification, le remplacement, la suppression ou l'altération (HIPS) oProtection du processus d'ESET Management Agent contre l'arrêt oProtection du service d'ESET Management Agent contre l'arrêt, la pause, la désactivation, la désinstallation ou toute autre mise en péril Une partie de la protection est assurée par la fonctionnalité HIPS du produit ESET. REMARQUE Pour garantir une totale protection d'ESET Management Agent, HIPS doit être activé sur un ordinateur client. Configuration protégée par mot de passe En plus de l'autodéfense, vous pouvez protéger par mot de passe l'accès à ESET Management Agent (disponible pour Windows uniquement). Lorsque la protection par mot de passe est configurée, ESET Management Agent ne peut pas être désinstallé ni réparé sans la fourniture du mot de passe correct. Pour définir un mot de passe pour ESET Management Agent, vous devez créer une politique pour ESET Management Agent. 63 Dépannage - Connexion de l'Agent Lorsqu'un ordinateur client ne semble pas se connecter à ESMC Server, il est recommandé d'effectuer le dépannage d'ESET Management Agent localement sur l'ordinateur client. Par défaut, ESET Management Agent effectue une synchronisation avec ESMC Server toutes les minutes. Vous pouvez modifier ce paramètre en créant une politique pour l'intervalle de connexion d'ESET Management Agent. Consultez le dernier fichier journal d'ESET Management Agent. Il figure à cet emplacement : C:\ProgramData\ESET\RemoteAdministrator\Agent\EraAgentApplicationData\Logs Windows C:\Documents and Settings\All Users\Application Data\ESET\RemoteAdministrator\Agent\EraAgentApplicationData\Logs /var/log/eset/RemoteAdministrator/Agent/ Linux /var/log/eset/RemoteAdministrator/EraAgentInstaller.log /Library/Application Support/com.eset.remoteadministrator.agent/Logs/ macOS /Users/%user%/Library/Logs/EraAgentInstaller.log REMARQUE Pour activer la journalisation complète, créez un fichier factice appelé traceAll sans extension dans le dossier d'un fichier journal trace.log, puis redémarrez le service ESET Management Agent. La journalisation complète est ainsi activée dans le fichier trace.log. • last-error.html : protocole (tableau) qui affiche la dernière erreur enregistrée pendant l'exécution d'ESET Management Agent. • software-install.log : protocole de texte de la dernière tâche d'installation à distance effectuée par ESET Management Agent. • status.html : tableau montrant l'état actuel des communications (synchronisation) d'ESET Management Agent avec ESMC Server. • trace.log : rapport détaillé de toutes les activités d'ESET Management Agent, y compris les erreurs consignées. Les problèmes les plus courants qui peuvent empêcher ESET Management Agent de se connecter à ESMC Server sont les suivants : • Votre réseau interne n'est pas configuré correctement. Vérifiez que l'ordinateur sur lequel ESMC Server est installé peut communiquer avec les ordinateurs client sur lesquels ESET Management Agent est installé. • ESMC Server n'est pas configuré pour l'écoute sur le port 2222. • DNS ne fonctionne pas correctement ou les ports sont bloqués par un pare-feu : consultez la liste des ports utilisés par ESET Security Management Center ou l'article Quels adresses et ports dois-je ouvrir sur mon parefeu tiers pour permettre un fonctionnement optimal de mon produit ESET ? de la base de connaissances. • Un certificat généré par erreur qui contient des fonctionnalités limitées ou incorrectes et qui ne correspond pas à la clé publique de l'autorité de certification ESMC Server est présent. Créez un autre certificat ESET Management Agent pour résoudre ce problème. Dépannage - Déploiement de l'Agent Il est possible que vous rencontriez des problèmes lors du déploiement d'ESET Management Agent. Un déploiement peut ne pas réussir pour plusieurs raisons. Cette section vous permet d'effectuer les opérations suivantes : odéterminer les raisons de l'échec du déploiement d'ESET Management Agent ; orechercher les causes possibles dans le tableau ci-dessous ; orésoudre le problème et réussir le déploiement. Windows 1. Pour déterminer les raisons de l'échec du déploiement de l'Agent, accédez à Rapports > Automatisation, sélectionnez Informations sur les tâches de déploiement d'agent au cours des 30 derniers jours, puis 64 cliquez sur Générer maintenant. Un tableau comportant des informations sur le déploiement s'affiche. La colonne Progression affiche les messages d'erreur associés à l'échec du déploiement de l'Agent. Si vous avez besoin d'informations plus détaillées, vous pouvez modifier le niveau de détail du journal de suivi d'ESMC Server. Accédez à Autre > Paramètres du serveur > Paramètres avancés > Journalisation, puis sélectionnez Erreur dans le menu déroulant. Réexécutez le déploiement de l'Agent et au moment de l'échec, recherchez les dernières entrées du fichier journal de suivi d'ESMC Server dans la partie inférieure du fichier. Le rapport comprend des suggestions pour la résolution du problème. Le dernier fichier figure à l'emplacement suivant : Journal ESMC Server Journal ESET Management Agent C:\ProgramData\ESET\RemoteAdministrator\Server\EraServerApplicationData\Logs\trace.log C:\ProgramData\ESET\RemoteAdministrator\Agent\EraAgentApplicationData\Logs C:\Documents and Settings\All Users\Application Data\ESET\RemoteAdministrator\Agent\EraAgentApplicationData\Logs Pour activer la journalisation complète, créez un fichier factice appelé traceAll sans extension dans le dossier d'un fichier journal trace.log. Redémarrez le service ESET Security Management Center Server pour activer la journalisation complète dans le fichier trace.log. REMARQUE Si des problèmes liés à la connexion d'ESET Management Agent se produisent, consultez Dépannage - Connexion de l'Agent pour obtenir des informations supplémentaires. REMARQUE Si l'installation échoue avec l'erreur 1603, vérifiez le fichier ra-agent-install.log. Il figure à cet emplacement : C:\Users\%user%\AppData\Local\Temp\ra-agent-install.log sur l'ordinateur cible. 2. Le tableau suivant contient plusieurs problèmes pouvant entraîner l'échec du déploiement de l'Agent : Message d'erreur Connexion impossible. Causes possibles • Le client n'est pas accessible sur le réseau. Le pare-feu bloque la communication • Les ports entrants 135, 137, 138, 139 et 445 ne sont pas ouverts dans le pare-feu sur le client ou l'option Pare-feu Windows : autoriser l’exception de partage de fichiers entrants et d’imprimantes n'est pas utilisée. • Impossible de résoudre le nom d'hôte du client. Utilisez des noms d'ordinateur FQDN valides. • Lorsque vous effectuez un déploiement d'un serveur qui a rejoint un domaine sur un Accès refusé. 65 client qui a rejoint un domaine, utilisez les informations d'identification d'un utilisateur qui appartient au groupe Administrateur de domaine au format suivant : Domaine\AdministrateurDomaine. • Lorsque vous effectuez un déploiement d'un serveur qui a rejoint un domaine sur un client qui a rejoint un domaine, vous pouvez temporairement élever le service ESMC Server du service réseau pour qu'il s'exécute sous le compte d'administrateur de domaine. • Lorsque vous effectuez un déploiement d'un serveur sur un client qui n'est pas dans un même domaine, désactivez le filtrage UAC distant sur l'ordinateur cible. • Lorsque vous effectuez un déploiement d'un serveur sur un client qui n'est pas dans un même domaine, utilisez les informations d'identification d'un utilisateur local qui appartient au groupe Administrateurs au format suivant : Admin. Le nom de l'ordinateur cible est automatiquement ajouté en préfixe à l'identifiant. • Aucun mot de passe n'est défini pour le compte administrateur. • Les droits d'accès sont insuffisants. • Le partage administratif ADMIN$ n'est pas disponible. • Le partage administratif IPC$ n'est pas disponible. • L'option Utiliser le partage de fichiers simple est activée. Message d'erreur Causes possibles • Le lien vers le référentiel est incorrect Package introuvable dans le • Le référentiel n'est pas disponible. référentiel. • Le répertoire ne contient pas le package requis. 3. Suivez la procédure de dépannage qui correspond à la cause possible : • Le client n'est pas accessible sur le réseau. - Effectuez un test ping du client à partir d'ESMC Server. Si vous obtenez une réponse, essayez de vous connecter à distance à l'ordinateur client (via le Bureau à distance, par exemple). • Le pare-feu bloque les communications. - Vérifiez les paramètres du pare-feu sur le serveur et le client, ainsi que de tout autre pare-feu existant entre ces deux ordinateurs (le cas échéant). • Impossible de résoudre le nom d'hôte du client. - Les solutions possibles aux problèmes DNS peuvent inclure, entre autres, les solutions suivantes : oL'utilisation de la commande nslookup de l'adresse IP et du nom d'hôte du serveur et/ou des clients rencontrant des problèmes liés au déploiement de l'Agent. Les résultats doivent correspondre aux informations de l'ordinateur. Par exemple, un nslookup d'un nom d'hôte doit être résolu en adresse IP affichée par une commande ipconfig sur l'hôte en question. La commande nslookup doit être exécutée sur les clients et le serveur. oRecherche manuelle de doublons dans les enregistrements DNS. • Les ports 2222 et 2223 ne sont pas ouverts dans le pare-feu. - Comme ci-dessus, vérifiez que ces ports sont ouverts sur tous les pare-feu entre les deux ordinateurs (client et serveur). • Aucun mot de passe n'est défini pour le compte administrateur. - Définissez un mot de passe correct pour le compte administrateur (n'utilisez pas de mot de passe vide). • Les droits d'accès sont insuffisants. - Essayez d'utiliser les informations d'identification de l'administrateur de domaine lors de la création d'une tâche de déploiement d'agent. Si l'ordinateur client se trouve dans un groupe de travail, utilisez le compte Administrateur local sur cet ordinateur spécifique. REMARQUE Après un déploiement réussi, les ports 2222 et 2223 ne sont pas ouverts dans le pare-feu. Vérifiez que ces ports sont ouverts sur tous les pare-feu entre les deux ordinateurs (client et serveur). • Pour activer le compte d'utilisateur Administrateur : 1. Ouvrez une invite de commandes d'administration. 2. Saisissez la commande suivante : net user administrator /active:yes • Le partage administratif ADMIN$ n'est pas disponible. - La ressource partagée ADMIN$ doit être activée sur l'ordinateur client. Vérifiez qu'elle se trouve parmi les autres partages (Démarrer > Panneau de configuration > Outils d'administration > Gestion de l'ordinateur > Dossiers partagés > Partages). • Le partage administratif IPC$ n'est pas disponible. - Vérifiez que le serveur peut accéder à IPC$ en saisissant la commande suivante dans l'invite de commandes du serveur : net use \\clientname\IPC$ où clientname représente le nom de l'ordinateur cible. • L'option Utiliser le partage de fichiers simple est activée. - Si un message d'erreur Accès refusé s'affiche et si vous disposez d'un environnement mixte (composé d'un domaine et d'un groupe de travail), désactivez la fonctionnalité Utiliser le partage de fichiers simple ou Utiliser l'Assistant Partage sur tous les ordinateurs rencontrant un problème lié au déploiement de l'Agent. Sous Windows 7, par exemple, procédez comme suit : oCliquez sur Démarrer, saisissez dossier dans la zone Rechercher, puis cliquez sur Options des dossiers. Cliquez sur l'onglet Affichage, puis, dans la zone Paramètres avancés, faites défiler la liste jusqu'à la case à cocher Utiliser l'Assistant Partage et décochez-la. • Le lien vers le référentiel est incorrect. - Dans ESMC Web Console, accédez à Autre > Paramètres du serveur, cliquez sur Paramètres avancés > Référentiel et assurez-vous que l'URL du référentiel est correcte. 66 • Package introuvable dans le référentiel - Ce message d'erreur s'affiche généralement lorsqu'il n'existe aucune connexion au référentiel ESMC. Vérifiez la connexion Internet. Linux et macOS Si le déploiement de l'Agent ne fonctionne pas sous Linux ou macOS, il s'agit généralement d'un problème lié à SSH. Vérifiez l'ordinateur client pour vous assurer que le démon SSH est en cours d'exécution. Une fois ce problème résolu, réexécutez le déploiement de l'Agent. Exemples de scénario de déploiement d'ESET Management Agent Cette section contient quatre scénarios vérifiés de déploiement d'ESMC. 1. Déploiement d'une appliance ESMC Server ou d'un serveur Linux ESMC Server sur des cibles Windows n'appartenant pas à un domaine. 2. Déploiement d'un serveur Windows ESMC Server à partir d'une source Windows n'appartenant pas à un domaine sur des cibles Windows n'appartenant pas au domaine. 3. Déploiement d'une appliance ESMC Server ou d'un serveur Linux ESMC Server sur des cibles Windows appartenant pas à un domaine. 4. Déploiement d'un serveur Windows ESMC Server à partir d'une source Windows appartenant à un domaine sur des cibles Windows appartenant au domaine. Exemples de scénario de déploiement d'ESET Management Agent sur des cibles n'appartenant pas à un domaine 1. Déploiement d'une appliance ESMC Server ou d'un serveur Linux ESMC Server sur des cibles Windows n'appartenant pas à un domaine. 2. Déploiement d'un serveur Windows ESMC Server à partir d'une source Windows n'appartenant pas à un domaine sur des cibles Windows n'appartenant pas au domaine. Conditions préalables : • Réseau local identique. • Noms FQDN de travail, par exemple : desktop-win7.test.local mappe sur 192.168.1.20, et inversement. • Nouvelle installation du système d'exploitation à partir de MSDN, avec les paramètres par défaut. Cibles : Windows 10 Entreprise Windows 8.1 Entreprise Windows 7 Entreprise 1. Créez un utilisateur avec mot de passe qui est membre du groupe Administrateurs, par ex. : « Admin ». Ouvrez Microsoft Management Console. Pour ce faire, ouvrez la console Exécuter, saisissez « mmc » dans le champ, puis cliquez sur OK. 2. Ajoutez le composant logiciel enfichable Utilisateurs et groupes locaux à partir du composant logiciel enfichable Fichier > Ajouter/Supprimer. Ajoutez un nouvel utilisateur dans le dossier Utilisateurs, puis renseignez les champs obligatoires (n'oubliez pas de renseigner le mot de passe). Dans la section Groupes, ouvrez les propriétés du groupe Administrateurs, puis ajoutez le nouvel utilisateur au groupe en cliquant sur le bouton Ajouter. Saisissez le nom d'utilisateur du nouvel utilisateur dans le champ Entrez les noms d'objets à sélectionner et vérifiez-le en cliquant sur le bouton Vérifier les noms. 3. Dans Centre Réseau et partage, remplacez le paramètre réseau Réseau public par Réseau privé en cliquant sur Réseau public à gauche de la section Afficher vos réseaux actifs. 4. Désactivez le Pare-feu Windows pour Réseau privé en cliquant sur l'option Activer ou désactiver le Pare-feu Windows et en sélectionnant Désactiver le Pare-feu Windows dans les paramètres des réseaux privés et publics. 5. Vérifiez que l'option Partage de fichiers et d'imprimantes est activée pour Réseau privé en cliquant sur Modifier les paramètres de partage avancés dans Centre Réseau et partage. 6. Ouvrez l'Éditeur du Registre en saisissant « regedit » dans la console Exécuter, puis recherchez 67 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 7. Dans le fichier System, créez une valeur DWORD portant le nom LocalAccountTokenFilterPolicy, puis ouvrez le fichier créé et définissez les données de valeur sur 1. 8. Dans ESET Security Management Center Web Console, créez une tâche serveur Déploiement d'agent affectée au nom FQDN de l'ordinateur (pour trouver le nom FQDN de l'ordinateur, cliquez avec le bouton droit sur Ordinateur, puis sélectionnez Propriétés. Le nom FQDN s'affiche en regard du nom complet de l'ordinateur). 9. Définissez le nom d'hôte facultatif du serveur qui va pointer vers le nom FQDN ou l'adresse IP du serveur ESMC. 10. Définissez le nom d'utilisateur sur « Admin » (pas de préfixe de nom d'ordinateur ou de nom de domaine) et spécifiez le mot de passe. 11. Sélectionnez le certificat de l'Agent. 12. Exécutez la tâche. Windows XP Professionnel 1. Créez un utilisateur avec mot de passe qui est membre du groupe Administrateurs, par ex. : « Admin ». Ouvrez Microsoft Management Console. Pour ce faire, ouvrez la console Exécuter, saisissez « mmc » dans le champ, puis cliquez sur OK. 2. Ajoutez le composant logiciel enfichable Utilisateurs et groupes locaux à partir du composant logiciel enfichable Fichier > Ajouter/Supprimer. Ajoutez un nouvel utilisateur dans le dossier Utilisateurs, puis renseignez les champs obligatoires (n'oubliez pas de renseigner le mot de passe). Dans la section Groupes, ouvrez les propriétés du groupe Administrateurs, puis ajoutez le nouvel utilisateur au groupe en cliquant sur le bouton Ajouter. Saisissez le nom d'utilisateur du nouvel utilisateur dans le champ Entrez les noms d'objets à sélectionner et vérifiez-le en cliquant sur le bouton Vérifier les noms. 3. Désactivez le Pare-feu Windows en sélectionnant Désactiver dans l'onglet Pare-feu Windows-> Général. 4. Vérifiez que l'option Partage de fichiers et d'imprimantes est activée dans l'onglet Pare-feu Windows -> Exceptions. 5. Ouvrez la console Exécuter, saisissez secpol.msc, puis appuyez sur OK pour ouvrir Paramètres de sécurité locaux. 6. Sélectionnez Politiques locales -> Options de sécurité ->Accès réseau : Partage et modèle de sécurité pour les comptes locaux, puis cliquez avec le bouton droit pour ouvrir Propriétés. 7. Définissez la politique sélectionnée sur Classique - les utilisateurs locaux s'authentifient euxmêmes. 8. Dans ESET Security Management Center Web Console, créez une tâche serveur Déploiement d'agent affectée au nom FQDN de l'ordinateur (pour trouver le nom FQDN de l'ordinateur, cliquez avec le bouton droit sur Ordinateur, puis sélectionnez Propriétés. Le nom FQDN s'affiche en regard du nom complet de l'ordinateur). 9. Définissez le nom d'hôte facultatif du serveur qui va pointer vers le nom FQDN ou l'adresse IP du serveur ESMC. 10. Définissez le nom d'utilisateur sur « Admin » (pas de préfixe de nom d'ordinateur ou de nom de domaine) et spécifiez le mot de passe. 11. Sélectionnez le certificat de l'Agent. 12. Exécutez la tâche. Exemples de scénario de déploiement d'ESET Management Agent sur des cibles appartenant à un domaine 1. Déploiement d'une appliance ESMC Server ou d'un serveur Linux ESMC Server sur des cibles Windows appartenant à un domaine. 2. Déploiement d'un serveur Windows ESMC Server à partir d'une source Windows appartenant à un domaine sur des cibles Windows appartenant à un domaine. Conditions préalables : • Réseau local identique. • Noms FQDN de travail, par exemple : desktop-win10.esmc.local mappe sur 10.0.0.2, et inversement. • Nouvelle installation du système d'exploitation à partir de MSDN, avec les paramètres par défaut. • Création du domaine esmc.local avec le nom netbios ESMC. • Création d'un utilisateur DomainAdmin appartenant au groupe de sécurité Domain Admins dans le 68 contrôleur de domaine. • Chaque ordinateur a été ajouté au domaine esmc.local avec l'utilisateur DomainAdmin et cet utilisateur est Administrateur (Windows 10, 8.1, 7) ou Utilisateur standard (utilisateur avec des droits sous Windows XP). • L'utilisateur DomainAdmin peut se connecter à chaque ordinateur et exécuter des tâches d'administration locale. • Le service Windows ESMC Server s'exécute temporairement avec les informations d'identification ESMC\DomainAdmin. (Aucune modification n'est nécessaire dans l'appliance ou Linux.) Cibles : Windows 10 Entreprise Windows 8.1 Entreprise Windows 7 Entreprise 1. Ouvrez Centre Réseau et partage. 2. Vérifiez que le réseau est défini sur Réseau avec domaine dans la section Afficher vos réseaux actifs. 3. Désactivez le Pare-feu Windows pour Réseau avec domaine en cliquant sur l'option Activer ou désactiver le Pare-feu Windows et en sélectionnant Désactiver le Pare-feu Windows dans les paramètres des réseaux avec domaine. 4. Vérifiez que l'option Partage de fichiers et d'imprimantes est activée pour Réseau avec domaine en cliquant sur Modifier les paramètres de partage avancés dans Centre Réseau et partage. 5. Dans ESET Security Management Center Web Console, créez une tâche serveur Déploiement d'agent affectée au nom FQDN de l'ordinateur (pour trouver le nom FQDN de l'ordinateur, cliquez avec le bouton droit sur Ordinateur, puis sélectionnez Propriétés. Le nom FQDN s'affiche en regard du nom complet de l'ordinateur). 6. Définissez le nom d'hôte facultatif du serveur qui va pointer vers le nom FQDN ou l'adresse IP du serveur ESMC. 7. Définissez le nom d'utilisateur sur ESMC\DomainAdmin (il est important d'inclure l'ensemble du domaine) et spécifiez le mot de passe. 8. Sélectionnez le certificat de l'Agent. 9. Exécutez la tâche. Windows XP Professionnel 1. Désactivez le Pare-feu Windows en sélectionnant Désactiver dans l'onglet Pare-feu Windows -> Général. 2. Vérifiez que l'option Partage de fichiers et d'imprimantes est activée dans l'onglet Pare-feu Windows -> Exceptions. 3. Dans ESET Security Management Center Web Console, créez une tâche serveur Déploiement d'agent affectée au nom FQDN de l'ordinateur (pour trouver le nom FQDN de l'ordinateur, cliquez avec le bouton droit sur Ordinateur, puis sélectionnez Propriétés. Le nom FQDN s'affiche en regard du nom complet de l'ordinateur). 4. Définissez le nom d'hôte facultatif du serveur qui va pointer vers le nom FQDN ou l'adresse IP du serveur ESMC. 5. Définissez le nom d'utilisateur sur ESMC\DomainAdmin (il est important d'inclure l'ensemble du domaine) et spécifiez le mot de passe. 6. Sélectionnez le certificat de l'Agent. 7. Exécutez la tâche. 69 Installation du produit Les produits de sécurité ESET peuvent être installés à distance en cliquant sur l'ordinateur client souhaité et en sélectionnant Nouveau, ou en créant une tâche Installer un logiciel dans Tâches client. Cliquez sur Nouveau pour commencer à configurer la nouvelle tâche. L'exécution de la tâche client vous indique l'état en cours des tâches client et comprend un indicateur de progression de la tâche sélectionnée. Général Saisissez des informations de base sur la tâche dans les champs Nom, Description (facultatif) et Type de tâche. Le type de tâche (voir la liste ci-dessus) définit les paramètres et le comportement de la tâche. Cible IMPORTANT Il n'est pas possible d'ajouter des cibles lors de la création d'une tâche client. Vous pourrez ajouter des cibles une fois la tâche créée. Configurez les paramètres de la tâche et cliquez sur Terminer pour créer la tâche, puis créez un déclencheur pour spécifier des cibles pour la tâche. 70 Paramètres Cliquez sur <Choisir une licence ESET>, puis sélectionnez la licence adéquate pour le produit installé dans la liste des licences disponibles. Cliquez sur <Sélectionner un package> pour sélectionner un package d'installation dans le référentiel ou indiquez une URL de package. Une liste de packages disponibles s'affiche dans laquelle vous pouvez sélectionner le produit ESET à installer (ESET Endpoint Security, par exemple). Sélectionnez le package d'installation souhaité, puis cliquez sur OK. Si vous souhaitez indiquer une URL vers l'emplacement du package d'installation, saisissez-la ou copiez-la et collez-la (par exemple file://\\pc22\install\ees_nt64_ENU.msi) dans le champ de texte (n'utilisez pas d'URL qui requiert une authentification). http://adresse_serveur/ees_nt64_ENU.msi : si vous effectuez une installation à partir d'un serveur Web public ou depuis votre propre serveur HTTP. file://\\pc22\install\ees_nt64_ENU.msi : si vous effectuez l'installation à partir d'un chemin d'accès réseau. file://C:\installs\ees_nt64_ENU.msi : si vous effectuez l'installation à partir d'un chemin d'accès local. REMARQUE • ESMC Server et ESET Management Agent doivent avoir accès à Internet pour accéder au référentiel et effectuer des installations. Si vous ne disposez pas d'un accès Internet, vous devez installer le logiciel client localement, car l'installation à distance ne fonctionnera pas. • Lorsque vous effectuez une tâche Installation de logiciel sur les ordinateurs d'un domaine sur lesquels s'exécute ESET Management Agent, l'utilisateur doit disposer d'une autorisation d'accès en lecture sur le dossier dans lequel sont stockés les programmes d'installation. Si besoin, suivez les étapes ci-dessous pour accorder ces autorisations. 1. Ajoutez un compte d'ordinateur Active Directory sur l'ordinateur exécutant la tâche (par exemple NewComputer$). 2. Accordez les autorisations de lecture à NewComputer$ en cliquant avec le bouton droit sur le dossier des programmes d'installation et en sélectionnant Propriétés > Partage > Partager dans le menu contextuel.Notez que le symbole $ doit figurer à la fin de la chaîne de nom d'ordinateur. Une installation à partir d'un emplacement partagé n'est possible que si l'ordinateur client se trouve dans un domaine. 71 Cochez la case J'accepte les termes du Contrat de Licence Utilisateur Final de l'application et j'ai pris connaissance de la Politique de confidentialité. Pour plus d'informations, reportez-vous à Gestion de licences ou CLUF. Si nécessaire, vous pouvez spécifier des paramètres dans le champ Paramètres d’installation. Sinon, laissez ce champ vide. Cochez la case en regard de l'option Redémarrage automatique si nécessaire pour forcer un redémarrage automatique de l'ordinateur client après l'installation. Vous pouvez également décocher cette option pour redémarrer manuellement l'ordinateur client. Résumé Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un déclencheur ultérieurement. Pour créer un déclencheur par la suite, sélectionnez l'instance de la tâche cliente, puis Exécuter le dans le menu déroulant. Installation du produit (ligne de commande) Les paramètres suivants doivent être utilisés uniquement avec les paramètres réduits, de base ou néant de l'interface utilisateur. Pour connaître les paramètres de ligne de commande appropriés, reportez-vous à la documentation de la version de msiexec utilisée. Paramètres pris en charge : APPDIR=<chemin> ochemin : chemin d'accès valide au répertoire. oRépertoire d'installation de l'application. oPar exemple : ees_nt64_ENU.msi /qn APPDIR=C:\ESET\ ADDLOCAL=DocumentProtection APPDATADIR=<chemin> ochemin : chemin d'accès valide au répertoire. oRépertoire d'installation des données de l'application. MODULEDIR=<chemin> ochemin : chemin d'accès valide au répertoire. oRépertoire d'installation du module. ADDEXCLUDE=<liste> oLa liste ADDEXCLUDE est séparée par des virgules et contient les noms de toutes les fonctionnalités à ne pas installer ; elle remplace la liste obsolète REMOVE. oLors de la sélection d'une fonctionnalité à ne pas installer, le chemin d'accès dans son intégralité (c.-à-d., toutes ses sous-fonctionnalités) et les fonctionnalités connexes invisibles doivent être explicitement inclus dans la liste. 72 oPar exemple : ees_nt64_ENU.msi /qn ADDEXCLUDE=Firewall,Network REMARQUE Le paramètre ADDEXCLUDE ne peut pas être utilisée avec ADDLOCAL. ADDLOCAL=<liste> oInstallation du composant : liste des fonctionnalités non obligatoires à installer localement. oUtilisation avec les packages .msi ESET : ees_nt64_ENU.msi /qn ADDLOCAL=<list> oPour plus d'informations sur la propriété ADDLOCAL, voir http://msdn.microsoft.com/en-us/library/aa367536%28v=vs.85%29.aspx Règles • La liste ADDLOCAL est une liste séparée par des virgules qui contient le nom de toutes les fonctionnalités à installer. • Lors de la sélection d'une fonctionnalité à installer, le chemin d'accès entier (toutes les fonctionnalité parent) doit être explicitement inclus. • Pour connaître l'utilisation correcte, reportez-vous aux règles supplémentaires. Présence de la fonctionnalité • Obligatoire : la fonctionnalité sera toujours installée. • Facultative : la fonctionnalité peut être désélectionnée pour l'installation. • Invisible : fonctionnalité logique obligatoire pour que les autres fonctionnalités fonctionnent correctement. • Espace réservé : fonctionnalité sans effet sur le produit, mais qui doit être répertoriée avec les sousfonctionnalités. L'arborescence des fonctionnalités d'Endpoint est la suivante : Arborescence des fonctionnalités Nom de la fonctionnalité Ordinateur Ordinateur/Antivirus et antispyware Ordinateur/Antivirus et antispyware > Protection en temps réel du système de fichiers Ordinateur/Antivirus et antispyware > Analyse de l'ordinateur Ordinateur/Antivirus et antispyware > Protection des documents Ordinateur/Contrôle de périphérique Réseau Réseau/Pare-feu personnel Internet et messagerie Internet et messagerie/Filtrage des protocoles Internet et messagerie/Protection de l'accès Web Internet et messagerie/Protection du client de messagerie Ordinateur Antivirus Protection en temps réel Présence de la fonctionnalité Obligatoire Obligatoire Obligatoire Analyse Obligatoire Protection des documents Facultatif Contrôle de périphérique Réseau Pare-feu Internet et messagerie Filtrage des protocoles Protection de l'accès Web Protection du client de messagerie Plugins de messagerie Facultatif Espace réservé Facultatif Espace réservé Invisible Facultatif Facultatif Antispam Facultatif Filtrage Internet Miroir de mise à jour Microsoft NAP Facultatif Facultatif Facultatif Internet et messagerie/Protection du client de messagerie/Plugins de messagerie Internet et messagerie/Protection du client de messagerie/Protection antispam Internet et messagerie/Filtrage Internet Miroir de mise à jour Prise en charge de Microsoft NAP Invisible Règles supplémentaires • Si l'une des fonctionnalités Internet et messagerie est sélectionnée en vue de son installation, la fonctionnalité Filtrage des protocoles invisible doit être explicitement incluse dans la liste. • Si l'une des sous-fonctionnalités Protection du client de messagerie est sélectionnée en vue de son installation, la fonctionnalité Plugins de messagerie invisible doit être explicitement incluse dans la liste. 73 Exemples : ees_nt64_ENU.msi /qn ADDLOCAL=WebAndEmail,WebAccessProtection,ProtocolFiltering ees_nt64_ENU.msi /qn ADDLOCAL=WebAndEmail,EmailClientProtection,Antispam,MailPlugin s Liste des propriétés CFG_ : CFG_POTENTIALLYUNWANTED_ENABLED= CFG_LIVEGRID_ENABLED= CFG_EPFW_MODE= CFG_PROXY_ENABLED= CFG_PROXY_ADDRESS= CFG_PROXY_PORT= CFG_PROXY_USERNAME= CFG_PROXY_PASSWORD= 0 : Désactivé, 1 : Activé Détection PUA 0 : Désactivé, 1 : Activé LiveGrid® 0 : Automatique Mode Pare-feu 1 : Interactif 2 : Politique 3 : Apprentissage 0 : Désactivé, 1 : Activé Paramètre du proxy <ip> Adresse IP du proxy <port> Numéro de port du proxy <user> Nom d'utilisateur pour l'authentification <pass> Mot de passe pour l'authentification Liste des problèmes en cas d'échec de l'installation • Package d'installation introuvable. • Une version plus récente du service Windows Installer est requise. • Une autre version ou un produit en conflit est déjà installé. • Une autre installation est déjà en cours. Terminez cette installation avant de démarrer l'autre. • L'installation ou la désinstallation est correctement terminée. L'ordinateur doit être toutefois redémarré. • Échec de la tâche. Une erreur s'est produite. Vous devez rechercher dans le journal de suivi de l'Agent le code de retour du programme d'installation. mise en service de postes de travail Voir Environnements de mise en service de poste de travail pris en charge pour plus de détails. Configuration supplémentaire Une fois que vous avez terminé la configuration initiale, vous pouvez envisager d'exécuter d'autres actions : Créer/modifier des groupes Il est recommandé de trier les clients en groupes statiques ou dynamiques selon divers critères. Vous pouvez ainsi gérer plus facilement les clients et avoir une vue d'ensemble du réseau. Créer une politique Les politiques servent à transmettre des configurations spécifiques aux produits ESET s’exécutant sur les ordinateurs clients. Elles vous évitent de devoir configurer manuellement les produits ESET sur chaque client. Une fois que vous avez créé une politique avec une configuration personnalisée, vous pouvez l’attribuer à un groupe (statique ou dynamique) en vue d’appliquer vos paramètres à tous les ordinateurs de ce groupe. Attribuer une politique à un groupe Comme indiqué ci-dessus, une politique doit être attribuée à un groupe pour entrer en vigueur. Les ordinateurs appartenant au groupe se verront appliquer la politique. La politique est appliquée et mise à jour à chaque connexion d'un Agent à ESMC Server. Configurer Notifications et créer Rapports 74 Nous vous recommandons d'utiliser des notifications et des rapports pour surveiller l'état des ordinateurs clients dans votre environnement. Par exemple, si vous voulez être informé de la survenue d’un événement en particulier, ou pour voir ou télécharger un rapport. VDI, clonage et détection du matériel Depuis la version 7, ESET Security Management Center prend en charge les environnements VDI, le clonage de machines et les systèmes de stockage non persistants. Cette fonctionnalité est nécessaire pour configurer un indicateur pour l'ordinateur maître ou pour résoudre une question qui apparaît après le clonage ou un changement de matériel. • Tant que la question n'est pas résolue, la machine cliente est incapable de se répliquer sur ESMC Server. Le client vérifie uniquement si la question est résolue. • La désactivation de la détection du matériel ne peut pas être annulée. Utilisez cette option avec la plus grande prudence et uniquement sur les machines physiques. • Lorsque vous résolvez plusieurs questions, utilisez la vignette Aperçu de l'état - Questions. Quels sont les systèmes d'exploitation et les hyperviseurs pris en charge ? AVERTISSEMENT Avant de commencer à utiliser VDI avec ESMC, obtenez des informations supplémentaires sur les fonctionnalités prises en charge de divers environnements VDI en lisant cet article de la base de connaissances. • Seuls les systèmes d'exploitation Windows (Windows XP SP2 x64 et versions ultérieures) sont pris en charge. • Les hôtes de l'agent virtuel ESET ne sont pas pris en charge. • Les périphériques mobiles administrés via MDM ne sont pas pris en charge. • Les clones liés dans Virtual Box ne peuvent pas être différenciés les uns des autres. • Dans de très rares cas, la détection peut être désactivée automatiquement par ESMC. Cela se produit lorsqu'ESMC n'est pas en mesure d'analyser de manière fiable le matériel. • Consultez la liste des configurations prises en charge : oCitrix PVS 7.0+ avec des machines physiques oCitrix PVS 7.0+ avec des machines virtuelles dans Citrix XenServer 7+ oCitrix PVS 7.0+ et Citrix XenDesktop avec Citrix XenServer 7+ oServices de création de machines Citrix o(sans PVS) Citrix XenDesktop avec Citrix XenServer 7+ oVMware Horizon 7+ avec VMware ESXi oMicrosoft SCCM (pour la création de nouvelles images) les environnements VDI ; Vous pouvez utiliser une machine maître avec ESET Management Agent pour un pool VDI. Aucun connecteur VDI n'est nécessaire. Toutes les communications sont gérées via ESET Management Agent. ESET Management Agent 7 doit être installé sur la machine maître avant la configuration du pool VDI (catalogue de machines). • Si vous souhaitez créer un pool VDI, marquez l'ordinateur maître dans Détails de l'ordinateur - Matériel avant la création du pool. Sélectionnez Marquer comme maître pour clonage (Faire correspondre à un ordinateur existant). • Si l'ordinateur maître est supprimé de ESMC, la récupération de son identité (clonage) est interdite. Les nouvelles machines du pool reçoivent à chaque fois une nouvelle identité (une entrée est créée dans la console Web). • Lorsqu'une machine du pool VDI se connecte pour la première fois, elle dispose d'un intervalle de connexion obligatoire de 1 minute. Après les premières réplications, l'intervalle de connexion est hérité du maître. • Ne désactivez jamais la détection du matériel lors de l'utilisation du pool VDI. • La machine maître peut s'exécuter avec les ordinateurs clonés, afin que vous puissiez la maintenir à jour. 75 Clonage de machines sur l'hyperviseur Vous pouvez créer un clone d'une machine standard. Patientez jusqu'à l'affichage de la question, puis résolvez-la en sélectionnant Créer un ordinateur cette fois uniquement. Création d'images de systèmes sur des machines physiques Vous pouvez utiliser une image maître lorsqu'ESET Management Agent 7 est installé et la déployer sur un ordinateur physique. Vous pouvez atteindre ce résultat de deux façons différentes : 1. Le système crée une machine dans ESMC après chaque déploiement d'image. • Résolvez manuellement chaque nouvel ordinateur dans Questions, puis sélectionnez Créer un ordinateur à chaque fois. • Marquez la machine maître avant le clonage. Sélectionnez Marquer comme maître pour clonage (Créer un ordinateur). 2. Le système crée une machine dans ESMC après le déploiement de l'image sur une nouvelle machine. Si l'image est redéployée sur une machine avec un historique précédent dans ESMC (ayant déjà eu ESET Management Agent v7 déployé), cette machine est connectée à sa précédente identité dans ESMC. • Résolvez manuellement chaque nouvel ordinateur dans Questions, puis sélectionnez Faire correspondre à un ordinateur existant à chaque fois. • Marquez la machine maître avant le clonage. Sélectionnez Marquer comme maître pour clonage (Faire correspondre à un ordinateur existant). 76 Réplication parallèle ESMC Server peut reconnaître et résoudre la réplication parallèle de plusieurs machines en une seule identité dans ESMC. Cet événement est signalé dans Détails de l'ordinateur - Alertes. Vous pouvez résoudre ce problème de deux manières différentes : • Utilisez l'action en un seul clic disponible sur l'alerte. Les ordinateurs sont divisés. De plus, la détection de leur matériel est définitivement désactivée. • Dans de rares cas, même les ordinateurs pour lesquels la détection du matériel est désactivée peuvent être en conflit. Dans ces cas, la tâche Redéfinir l'agent cloné est la seule option. • Exécutez la tâche Redéfinir l'agent cloné sur la machine. Cela vous évite d'avoir à désactiver la détection du matériel. Résolution des questions de clonage Une question s'affiche lorsqu'ESMC Server détecte l'une des situations suivantes : • un périphérique cloné en cours de connexion ; • un changement de matériel sur un périphérique existant sur lequel ESET Management est installé. Chaque fois qu'une machine se connecte à ESMC Server, une entrée est créée à partir de son empreinte matérielle. Cette empreinte n'est pas modifiée après la réinstallation de la machine. Elle peut donc être utilisée pour faire correspondre une machine nouvellement connectée à une machine précédemment connectée. IMPORTANT La détection de l'empreinte matérielle n'est pas prise en charge sous les systèmes suivants : • Linux, macOS, Android, iOS • gérés via des machines Hôtes de l'agent virtuel ESET (ESET Virtualization Security) • sans ESET Management Agent 7. Cliquez sur la question et sélectionnez Résoudre la question pour ouvrir un menu contenant les options suivantes : De nouveaux ordinateurs sont clonés ou créés à partir de l'image de cet ordinateur 77 Faire correspondre à Sélectionnez cette option dans les cas suivants : l'ordinateur existant à chaque • Vous utilisez l'ordinateur en tant que maître et toutes fois ses images doivent se connecter à l'entrée d'ordinateur existante dans ESMC. • Vous utilisez l'ordinateur en tant que maître pour configurer un environnement VDI. L'ordinateur est dans le pool VDI et doit récupérer son identité en fonction d'un ID d'empreinte matérielle. Créer un ordinateur à chaque Sélectionnez cette option lorsque vous utilisez cet fois. ordinateur en tant qu'image principale et que vous souhaitez qu'ESMC reconnaisse automatiquement tous les clones de cet ordinateur en tant que nouveaux ordinateurs. À ne pas utiliser avec des environnements VDI. Créer un ordinateur cette fois L'ordinateur est cloné une seule fois. Sélectionnez cette uniquement option pour créer une instance pour le périphérique cloné. Article de la base de connaissances Article de la base de connaissances Article de la base de connaissances Aucun ordinateur n'est cloné à partir de cet ordinateur, mais son matériel a changé Accepter le matériel modifié Désactivez définitivement la détection du matériel pour ce périphérique. chaque fois Utilisez uniquement cette option si des modifications de matériel n'existant pas sont signalées. Cette action ne peut pas être annulée. Accepter le matériel modifié Sélectionnez cette option pour renouveler l'empreinte matérielle du cette fois uniquement périphérique. Utilisez cette option après le changement de matériel de l'ordinateur client. Les prochaines modifications matérielles seront signalées à nouveau. Cliquez sur Résoudre pour soumettre l'option sélectionnée. Situation de double Agent Si ESET Management Agent est désinstallé (mais l'ordinateur n'est pas supprimé de la console Web) sur l'ordinateur client et réinstallé, il existe deux ordinateurs identiques dans la console Web. L'un se connecte au serveur et l'autre pas. Cette situation n'est pas gérée par la fenêtre Questions. Elle est le résultat d'une procédure 78 de suppression incorrecte de l'agent. La seule solution consiste à supprimer manuellement l'ordinateur ne se connectant pas de la console Web. L'historique et les journaux créés avant la réinstallation seront perdus par la suite. Utilisation de la tâche Supprimer les ordinateurs qui ne se connectent pas Si vous avez un pool VDI d'ordinateurs et que vous n'avez pas résolu correctement la question (voir ci-dessus), la console Web crée une nouvelle instance d'ordinateur après le rechargement de l'ordinateur à partir du pool. Les instances d'ordinateur se superposent dans la console Web et les licences peuvent être surutilisées. Nous vous déconseillons de la résoudre en configurant une tâche pour supprimer les ordinateurs qui ne se connectent pas. Une telle procédure supprime l'historique (journaux) des ordinateurs supprimés. Les licences peuvent également être surutilisées. Licences surutilisées Lorsqu'un ordinateur client sur lequel ESET Management Agent est installé et un produit de sécurité ESET est activé est cloné, chaque ordinateur cloné peut demander un autre appareil de licence. Ce processus peut entraîner bientôt une surutilisation de votre licence. Le problème ne se produit pas pour tous les environnements. En cas de surutilisation, contactez votre revendeur pour une modification de licence. Notifications pour les ordinateurs clonés L'utilisateur peut utiliser trois notifications pour des actions liées au clonage ou un changement de matériel. Il peut aussi créer une notification personnalisée à l'aide d'événements liés au clonage. Pour configurer une notification, accédez au menu Notifications dans la console Web. • Nouvel ordinateur inscrit : affiche une notification si un ordinateur est connecté pour la première fois au groupe statique sélectionné (le groupe Tous est sélectionné par défaut). Cette option fonctionne uniquement avec ESET Management Agent 7. • Identité de l'ordinateur récupérée : affiche une notification si l'ordinateur a été identifié selon son matériel. L'ordinateur a été cloné à partir d'une machine maître ou d'une autre source connue. • Potentiel clonage d'ordinateur détecté : affiche une notification concernant une modification importante du matériel ou un clonage si la machine source n'a pas été marquée comme maître auparavant. Identification du matériel ESMC rassemble des informations matérielles sur chaque périphérique et tente de les identifier. Tous les périphérique connectés à ESMC appartiennent à l'une des catégories ci-après, affichées dans la colonne Identification du matériel de la fenêtre Ordinateurs. Détection du matériel activée : la détection est activée et fonctionne correctement. Détection du matériel désactivée : la détection a été désactivée par l'utilisateur ou automatiquement par ESMC Server. Aucune information matérielle : aucune information matérielle n'est disponible. Le périphérique client exécute un système d'exploitation non pris en charge ou une ancienne version de l'Agent. Détection non fiable du matériel : la détection est signalée comme n'étant pas faible par l'utilisateur. Elle va donc être désactivée. Cet état peut s'afficher uniquement pendant l'intervalle de réplication unique avant que la détection ne soit désactivée. Interface utilisateur d'ESMC Tous les clients sont gérés par le biais d'ESMC Web Console. Cette console est accessible à l’aide d’un navigateur compatible depuis n’importe quel périphérique. ESMC Web Console est divisé en sections principales : 1. Dans la partie supérieure d'ESMC Web Console, vous pouvez utiliser l'outil Recherche rapide. Cliquez 79 sur l'icône pour sélectionner une cible de recherche : oNom de l'ordinateur, Description et Adresse IP : saisissez un nom de client ou une adresse IPv4/IPv6, puis appuyez sur Entrée. Vous êtes redirigé vers la section Ordinateurs dans laquelle les résultats sont affichés. oNom de la menace : vous êtes redirigé vers la section Menaces dans laquelle les résultats sont affichés. oNom d'utilisateur : vous pouvez rechercher des utilisateurs AD importés. Les résultats sont affichés dans la section Utilisateurs de l'ordinateur. 2. Cliquez sur le bouton Liens rapides pour afficher le menu : Liens rapides Configurer les ordinateurs • Ajouter un ordinateur • Ajouter un périphérique mobile • Autres options de déploiement • Ajouter un utilisateur d'ordinateur Gérer les ordinateurs • Créer une tâche client. • Créer une nouvelle politique • Attribuer une politique État de la révision • Générer un rapport 3. Le menu situé à gauche contient les sections principales d'ESET Security Management Center et les éléments suivants : oTableau de bord oOrdinateurs oMenaces oRapports oTâches client oProgrammes d'installation oPolitiques oUtilisateurs de l'ordinateur oNotifications oAperçu de l’état oAutre 4. Les boutons situés dans la partie inférieure de la page sont uniques à chaque section et chaque fonction. Ils sont décrits en détail dans les chapitres correspondants. Règles générales • Les paramètres requis (obligatoires) sont toujours signalés par un point d'exclamation rouge situé en regard de la section et des paramètres correspondants. • Si vous avez besoin d'aide lors de l'utilisation d'ESET Security Management Center, cliquez sur l'icône dans le coin supérieur droit, puis sur <Rubrique actuelle> - Aide. La fenêtre d'aide correspondant à la page actuelle s'affiche alors. • Pour plus d'informations, reportez-vous à la section Autre. Écran de connexion Un utilisateur doit disposer d'informations d'identification (nom d'utilisateur et mot de passe) pour se connecter à la console Web. Il est également possible de se connecter en tant qu'utilisateur de domaine en cochant la case en regard de l'option Connexion au domaine (un utilisateur de domaine n'est pas associé à un groupe de domaines 80 mappé). Le format de connexion dépend de votre type de domaine. Windows Active Directory : DOMAIN\username LINUX et appliance virtuelle LDAP ESMC : username@FULL.DOMAIN.NAME REMARQUE Si vous rencontrez des problèmes lors de la connexion et que des messages d'erreur s'affichent, consultez la section Dépannage de la console Web pour obtenir des suggestions pour résoudre le problème. Vous pouvez sélectionner votre langue en cliquant sur la liste déroulante en regard de la langue actuellement sélectionnée. Pour plus d'informations, consultez cet article de la base de connaissances. Autoriser une session dans plusieurs onglets : la console peut être ouverte dans plusieurs onglets de votre navigateur. • Si la case est cochée, chaque onglet avec une session de console Web ouverte dans un navigateur sera connecté à la même session. Si un nouvel onglet est ouvert, tous les autres onglets connectés avec le même paramètre se connecteront à cette nouvelle session. Si la session est déconnectée dans l'un des onglets, tous les autres onglets sont aussi déconnectés. • Si la case n'est pas cochée, chaque nouvel onglet ouvre une nouvelle session ESMC Web Console indépendante. Modifier le mot de passe/Utiliser un autre compte : permet de modifier le mot de passe ou de revenir à l’écran de connexion. Gestion des sessions et mesures de sécurité : Verrouillage de l'adresse IP de connexion Après 10 tentatives infructueuses de connexion à partir d’une même adresse IP, les tentatives suivantes sont bloquées pendant environ 10 minutes. Le blocage de l'adresse IP n'a aucune incidence sur les sessions existantes. Verrouillage de l'adresse d'ID de session incorrect 81 Après avoir utilisé à 15 reprises un ID de session incorrect à partir d’une même adresse IP, les connexions suivantes à partir de cette adresse sont bloquées pendant environ 15 minutes. Les ID de session ayant expiré ne sont pas comptabilisé. Un ID de session expiré dans le navigateur n'est pas considéré comme une attaque. Le blocage de 15 minutes de l’adresse IP englobe toutes les actions (y compris les demandes valides). Le blocage peut être interrompu en redémarrant la console Web (service tomcat). Dépannage - Console Web Cette section traite des messages d'erreur courants et de leur résolution à la connexion : Message d'erreur Échec de la connexion : Nom d'utilisateur ou mot de passe non valide Cause possible Assurez-vous que vous avez saisi correctement votre nom d'utilisateur et votre mot de passe. Échec de la connexion : La connexion a échoué avec l'état « non connecté » Vérifiez que le service d'ESMC Server et votre service de base de données sont en cours d'exécution. Consultez cet article de nos bases de connaissances pour obtenir des instructions détaillées. Échec de la connexion : Erreur de communication Vérifiez que le service ESMC Server est en cours d'exécution et que le service Apache Tomcat est en cours d'exécution et fonctionne correctement. Vérifiez la connexion réseau et les paramètres du pare-feu pour vous assurer qu'ESMC Web Console peut communiquer avec ESMC Server. Si ESMC Server est surchargé, essayez d'effectuer un redémarrage. Ce problème peut également se produire si vous utilisez des versions d'ESMC Server et d'ESMC Web Console différentes. L'utilisateur n'a pas de droits qui lui ont été accordés. Connectez-vous en tant qu'administrateur et modifiez le compte de l'utilisateur en attribuant au moins un ensemble d'autorisations à cet utilisateur. Échec de la connexion : Délai d'attente de connexion. Échec de la connexion : Aucun droit d'accès n'est affecté à l'utilisateur. Échec de la connexion : Erreur de l'analyse des réponses. La version de la console Web et celle d'ESMC Server ne sont pas compatibles. Ce problème peut se produire après une mise à niveau du produit. Si le problème persiste, déployez manuellement la version correcte de la console Web. Pour des raisons de sécurité, nous vous recommandons de configurer ESMC Web Console pour utiliser HTTPS. Utilisation d’une connexion non chiffrée ! Configurez le serveur Web pour utiliser le protocole HTTPS JavaScript est désactivé. Activez Activez JavaScript ou mettez à jour votre navigateur Web. JavaScript dans votre navigateur. L'écran de connexion n'est pas visible Redémarrez le service ESET Security Management Center Server. Une fois ou il semble se charger constamment. le service ESET Security Management Center Server fonctionnel et en cours d'exécution, redémarrez le service Apache Tomcat. Une fois cette opération terminée, l'écran de connexion d'ESET Security Management Center Web Console se charge correctement. « Une erreur inattendue s'est Cette erreur se produit généralement lorsque vous accédez à la console produite » ou « Une exception non Web ESMC, voir les navigateurs Web pris en charge. interceptée s'est produite ». REMARQUE Comme la console Web utilise un protocole sécurisé (HTTPS), un message relatif à un certificat de sécurité ou à une connexion non approuvée peut s'afficher dans le navigateur Web (les termes exacts du message dépendent du navigateur utilisé). Ce message s'affiche, car le navigateur demande la vérification de l'identité du site auquel vous accédez. Cliquez sur Poursuivre sur ce site Web (Internet Explorer) ou Je comprends les risques. Cliquez sur Ajouter une exception, puis sur Confirmer l'exception de sécurité (Firefox) pour autoriser l'accès à ESMC Web Console. Cela s'applique uniquement lorsque vous accédez à l'URL d'ESET Security Management Center Web Console. Pour plus d'informations, consultez cet Article de la Base de connaissances. REMARQUE Il manque le texte dans le menu contextuel et le menu Liens rapides d'ESMC Web Console. Ce problème peut être dû à une extension de navigateur qui bloque les publicités. Pour le résoudre, désactivez cette extension pour la page d'ESMC Web Console. 82 Paramètres utilisateur Dans cette section, vous pouvez personnaliser les paramètres utilisateur. Cliquez sur le compte d'utilisateur dans le coin supérieur droit de ESMC Web Console (à gauche du bouton Déconnexion) pour afficher tous lesutilisateurs actifs. Vous pouvez vous connecter à ESMC Web Console à partir de différents navigateurs Web, ordinateurs et périphériques mobiles en même temps. Toutes vos sessions s'affichent dans cette section. REMARQUE Les paramètres utilisateur s'appliquent uniquement à l'utilisateur actuellement connecté. Chaque utilisateur peut posséder ses paramètres d'heure préférés pour ESMC Web Console. Les paramètres d'heure propres à l'utilisateur sont appliqués à chaque utilisateur quel que soit l'emplacement d'accès à ESMC Web Console. Paramètres d'heure : Toutes les informations sont stockées en interne dans ESET Security Management Center à l'aide de la norme UTC (Coordinated Universal Time, temps universel coordonné). L'heure UTC est automatiquement convertie dans le fuseau horaire utilisé par ESMC Web Console (en tenant compte du changement d'heure hiver/été). ESMC Web Console affiche l'heure locale du système sur lequel la console est exécutée (et non pas l'heure UTC interne). Vous pouvez remplacer ce paramètre pour définir manuellement l'heure dans ESMC Web Console. Si vous souhaitez remplacer le paramètre par défaut Utiliser l'heure locale du navigateur, vous pouvez sélectionner l'option Sélectionner manuellement, puis spécifier manuellement le fuseau horaire de la console et choisir d'utiliser ou non l'option Heure d'été. IMPORTANT Dans certains cas, l'option permettant d'utiliser un autre fuseau horaire (l'heure locale d'un client sur lequel s'exécute ESMC, par exemple) devient disponible. Ce paramètre est important lors de la configuration de déclencheurs. Lorsque cette option est disponible, cela est indiqué dans ESMC Web Console. Vous avez alors la possibilité d'utiliser l'heure locale ou non. Cliquez sur Enregistrer les paramètres d'heure pour confirmer vos modifications. État utilisateur stocké Vous pouvez rétablir l'état par défaut de l'interface utilisateur d'un utilisateur stocké en cliquant sur Réinitialiser l’état utilisateur stocké. Cela comprend l'assistant de démarrage, les tailles des colonnes de tableau, les filtres mémorisés, menu latéral épinglé, etc. 83 Sessions actives Les informations sur toutes les sessions actives de l'utilisateur actuelle comprennent les éléments suivants : • Adresse IP de l'ordinateur client ou du périphérique mobile sur lequel un utilisateur est connecté à ESMC Web Console et via adresse IP (entre crochets) du serveur Web qui exécute ESMC Web Console. Si ESMC Web Console s'exécute sur le même ordinateur qu'ESMC Server, via 127.0.0.1 s'affiche. • Date et heure de connexion d'un utilisateur. • Langue sélectionnée pour ESMC Web Console. La session actuelle est appelée Cette session. Si vous souhaitez déconnecter une session active, cliquez sur Déconnecter. Tableau de bord Le tableau de bord est la page par défaut qui s'affiche lorsque vous vous connectez à ESMC Web Console pour la première fois. Elle affiche des rapports prédéfinis sur votre réseau. Vous pouvez passer d'un tableau de bord à un autre à l'aide des onglets situés dans la barre de menus supérieure. Chaque tableau de bord est composé de plusieurs rapports. Manipulation des tableaux de bord • Ajouter : cliquez sur le symbole situé dans la partie supérieure du titre Tableau de bord pour ajouter un tableau de bord. Saisissez le nom du nouveau tableau de bord, puis cliquez sur Ajouter le tableau de bord pour confirmer l'opération. Un tableau de bord vide est créé. • Déplacer : cliquez sur le nom d'un tableau de bord et faites-le glisser pour modifier sa position par rapport aux autres tableaux de bord. • Personnaliser : vous pouvez personnaliser les tableaux de bord en ajoutant des rapports, en modifiant ceux existants, en les redimensionnant, en les déplaçant et en les réorganisant. Cliquez sur le symbole situé en regard du titre Tableau de bord) pour que les options suivantes s'affichent dans le menu déroulant : 84 Actualiser la page Actualisez les modèles de rapport dans ce tableau de bord. Supprimer Supprimez le tableau de bord. Renommer Renommez le tableau de bord. Dupliquer Modifier la disposition Créez une copie du tableau de bord avec les mêmes paramètres dans le groupe résidentiel de l'utilisateur. Sélectionnez une nouvelle disposition pour ce tableau de bord. La modification supprime les modèles actuels du tableau de bord. REMARQUE Vous ne pouvez pas personnaliser ces tableaux de bord par défaut : Aperçu et Aperçu des incidents. ESET Security Management Center contient les tableaux de bord préconfigurés suivants : Aperçu Le tableau de bord Aperçu est l'écran par défaut qui s'affiche lorsque vous vous connectez à ESET Security Management Center. Il affiche des informations générales sur votre réseau. • Filtres de périphérique : affiche le nombre de périphériques administrés selon le dernier état signalé. Vous pouvez cliquer sur chacune des 4 vignettes pour ouvrir une liste filtrée des périphériques. • État du périphérique : affiche le nombre de périphériques administrés selon le type du produit de sécurité installé dans des onglets respectifs. Si aucun produit de sécurité de ce groupe n'est déployé, l'onglet affiche une option pour déployer le package d'installation respectif. • État de la connexion : affiche la liste des dernières connexions des périphériques administrés. • État de la version du produit : affiche le taux des versions du produit de sécurité à jour et obsolètes selon la plate-forme. • État de l'administration : affiche le nombre de périphériques administrés et protégés (périphériques clients sur lesquels ESET Agent et un produit de sécurité sont installés), administrés (périphériques clients sur lesquels est installé l'Agent uniquement), non administrés (périphériques clients du réseau détectés par ESMC mais sur lesquels l'Agent n'est pas installé) et non autorisés (périphériques clients non détectés par ESMC mais par Rogue Detection Sensor). • Flux RSS : affiche un flux RSS de WeLiveSecurity et du portail Base de connaissances ESET. Lorsque vous cliquez sur l'icône représentant un engrenage dans Flux RSS, vous pouvez choisir de désactiver la lecture automatique du flux ou de désactiver chaque source de flux. Aperçu des incidents Ce tableau de bord offre un aperçu des menaces détectées non résolues/signalées au cours des 7 derniers jours, notamment leur gravité, la méthode de détection, l'état de résolution et les 10 premiers ordinateurs/utilisateurs présentant des incidents. Ordinateurs Ce tableau de bord vous donne une vue d'ensemble des ordinateurs clients : état de la protection, systèmes d'exploitation et état de mise à jour. Security Management Center Server Ce tableau de bord affiche des informations sur ESET Security Management Center Server : charge du serveur, clients présentant des problèmes, charge CPU et connexions de base de données. Menaces virales Ce tableau de bord contient des rapports sur le module antivirus des produits de sécurité des clients : menaces actives, menaces au cours des 7/30 derniers jours, etc. Menaces liées au pare-feu Événements de pare-feu des clients connectés classés selon la gravité, l'heure de signalement, etc. 85 Applications ESET Ce tableau de bord permet de consulter des informations sur les applications ESET installées. Actions dans un rapport de tableau de bord Cliquez sur cette option pour afficher un rapport en mode plein écran. Redimensionner Actualiser Actualisez le modèle de rapport. Modifier Remplacez le modèle de rapport par un autre dans la liste des modèles. Modifier le modèle de Modifiez les paramètres du modèle. rapport Configurez un intervalle d'actualisation personnalisé pour le modèle. Définir l'intervalle d'actualisation Planifiez ce modèle de rapport en tant que rapport. Planifier Supprimer Renommer Cette cellule Supprimez le modèle de rapport du tableau de bord. Renommez le modèle de rapport. Sélectionnez une nouvelle disposition pour ce tableau de bord. La modification supprime les modèles actuels du tableau de bord. Autorisations pour les tableaux de bord Pour utiliser des tableaux de bord, un utilisateur doit disposer de l'autorisation adéquate. Seuls les modèles de rapport figurant dans un groupe pour lequel l'utilisateur possède des droits d'accès peuvent être utilisés dans un tableau de bord. Si aucun droit n'est attribué à l'utilisateur pour Rapports et tableau de bord, il ne verra pas de données dans la section Tableau de bord. L'administrateur peut afficher toutes les données par défaut. IMPORTANT Lire : l'utilisateur peut répertorier les modèles de rapport et leurs catégories. Il peut également générer des rapports à partir des modèles de rapport. L'utilisateur peut consulter son tableau de bord. Utiliser : l'utilisateur peut modifier son tableau de bord à l'aide des modèles de rapport disponibles. Écrire : permet de créer, modifier et supprimer des modèles et leurs catégories. Tous les modèles par défaut figurent dans le groupe Tous. Descendre dans la hiérarchie Vous pouvez utiliser la fonctionnalité de descente dans la hiérarchie des tableaux de bord pour examiner les données plus en détail. Elle vous permet de sélectionner de manière interactive un élément spécifique d'un résumé et d'en afficher les données détaillées. Concentrez-vous sur l'élément qui vous intéresse en allant des informations de synthèse aux informations les plus détaillées sur celui-ci. En règle générale, vous pouvez descendre de plusieurs niveaux dans la hiérarchie. Plusieurs options d'exploration sont disponibles : • Affichez des informations détaillées : nom de l'ordinateur et description, nom du groupe statique, etc. Permet d'afficher les données d'origine (non agrégées) de la ligne qui a fait l'objet d'un clic. • Afficher uniquement la 'valeur' : affiche uniquement les données présentant le niveau de gravité sélectionné : informations, informations critiques, risque de sécurité, notification de sécurité, etc. • Développer la colonne « valeur » : cette option permet d'afficher des informations agrégées (généralement pour des additions ou des comptabilisations). Par exemple, si la colonne ne contient qu'un nombre et si vous cliquez sur Développer la colonne Ordinateur, tous les détails sur les ordinateurs seront affichés. • Affichez Dans la page Ordinateurs (tous) : vous redirige vers la page Ordinateurs (affiche un résultat comprenant 100 éléments uniquement). 86 Actions en un seul clic Les rapports contenant des informations sur les problèmes détectés contiennent des options d'exploration supplémentaires lorsque vous cliquez sur l'élément dans le tableau/graphique : • 'tâche pour résoudre l'alerte sélectionnée' : vous pouvez résoudre l'alerte en sélectionnant la tâche client proposée qui s'exécutera dès que possible. Si l'alerte ne peut pas être résolue via une tâche client, mais par un paramètre de politique, les options suivantes s'affichent : o Gérer les politiques oNouvelle politique • Rechercher sur le Web : déclenche une recherche Google pour l'alerte sélectionnée. Vous pouvez utiliser cette option si aucune réponse n'est proposée (tâche client ou paramètre de politique) pour résoudre l'alerte sélectionnée. REMARQUE Les résultats que vous obtenez lorsque vous descendez dans la hiérarchie d'autres rapports affichent les 1 000 premiers éléments uniquement. Cliquez sur le bouton Générer et télécharger si vous souhaitez générer et télécharger le rapport. Vous pouvez choisir : .pdf, .ps ou .csv (uniquement des données de tableau). 87 Ordinateurs Tous les périphériques clients ayant été ajoutés à ESET Security Management Center sont affichés dans cette section. Ils sont répartis dans des groupes. Chaque périphérique est affecté à un seul groupe statique. Lorsque vous cliquez sur un groupe dans la liste (à gauche), les membres (clients) de ce dernier sont affichés dans le volet droit. Les ordinateurs non administrés (les clients sur le réseau qui n'ont pas ESET Management Agent ou un produit de sécurité ESET installé) apparaissent généralement dans le groupe Objets perdus. L'état d'un client qui est affiché dans ESMC Web Console est indépendant des paramètres des produits de sécurité ESET sur le client. Ainsi, si un certain état n'est pas affiché sur le client, il est toujours signalé à ESMC Web Console. Vous pouvez effectuer un glisser-déposer des clients pour les déplacer entre les groupes. Actions sur les ordinateurs, périphériques et groupes Vous pouvez utiliser le menu contextuel (icône de roue crantée ) en regard d'un groupe existant pour créer un groupe statique ou dynamique, une tâche ou effectuer une sélection parmi d'autres actions disponibles. Cliquez sur le bouton Ajouter et sélectionnez : • • Ordinateurs : vous pouvez ajouter des ordinateurs au groupe statique sélectionné. Périphériques mobiles : vous pouvez ajouter des périphériques mobiles au groupe statique sélectionné. • Synchroniser via le serveur d'annuaire : vous pouvez exécuter la tâche Synchronisation des groupes statiques. Cliquez sur un périphérique pour ouvrir un nouveau menu contenant des actions disponibles pour celui-ci. Vous pouvez également sélectionner la case à cocher en regard d'un périphérique et cliquer sur le bouton Actions dans la barre inférieure. Le menu Action affiche différentes options en fonction du type de périphérique. Pour plus d'informations sur les différents types d'icône et les états, reportez-vous à Légende des icônes. Cliquez sur le nombre d'alertes dans la colonne Alertes pour afficher la liste des alertes dans la section Détails de l'ordinateur . Filtrage de l'affichage 88 Vous pouvez filtrer l'affichage de plusieurs manières différentes : • Filtre standard :Pour ajouter des critères de filtre, cliquez sur Ajouter un filtre et sélectionnez un ou des éléments dans la liste. Saisissez la ou les chaînes de recherche dans le ou les champs de filtre. Les filtres actifs sont mis en surbrillance en bleu. • Vous pouvez appliquer un filtre par gravité à l'aide des icônes d'état : rouge - Erreurs, jaune - Avertissements, vert - OK et gris - Ordinateurs non administrés. L'icône de gravité représente l'état actuel du produit ESET sur un ordinateur client spécifique. Vous pouvez utiliser une combinaison de ces icônes en les activant ou les désactivant. Pour n'afficher par exemple que les ordinateurs avec des avertissements, activez uniquement l'icône jaune sélectionné désélectionnées). Pour afficher les avertissements correspondantes. (les autres icônes doivent être et les erreurs , activez uniquement les deux icônes • Cliquez sur Ajouter un filtre > Catégorie de produit et sélectionnez à l'aide du menu déroulant les types de périphériques à afficher. oTous les périphériques : sélectionnez cette option dans le menu déroulant pour réafficher tous les ordinateurs clients, sans limiter (filtrer) les clients affichés. Vous pouvez utiliser une combinaison de toutes les options de filtrage lors de la limitation de l'affichage. oProtégé par ESET : protégé par un produit ESET. oESET Security Management Center : composants ESMC distincts, tels que l'Agent, RD Sensor, le serveur, etc. oAutre : cache local partagé, appliance virtuelle, Enterprise Inspector Agent et Enterprise Inspector Server. • Case à cocher Afficher les sous-groupes : affiche les sous-groupes du groupe actuellement sélectionné. Ajout d'un filtre et de présélections de filtres Pour ajouter des critères de filtre, cliquez sur Ajouter un filtre et sélectionnez un ou des éléments dans la liste. Saisissez la ou les chaînes de recherche dans le ou les champs de filtre. Les filtres actifs sont mis en surbrillance en bleu. Les filtres peuvent être enregistrés dans votre profil utilisateur afin que vous puissiez les réutiliser ultérieurement. Sous Présélections, les options suivantes sont disponibles : Jeux de filtres : il s'agit des filtres enregistrés. Cliquez sur l'un d'entre eux pour l'appliquer. Le filtre appliqué est signalé par une coche . Sélectionnez Inclure les colonnes visibles, le tri et la pagination pour enregistrer ces paramètres dans la présélection. Enregistrer le jeu de filtres : enregistrez la configuration actuelle du filtre comme nouvelle présélection. Une fois la présélection enregistrée, vous ne pouvez pas modifier la configuration du filtre dans la présélection. Gérer les jeux de filtres : supprimez ou renommez les présélections existantes. Cliquez sur Enregistrer pour appliquer les modifications aux présélections. Effacer les valeurs de filtre : cliquez pour supprimer uniquement les valeurs actuelles des filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres : cliquez sur cette option pour supprimer les filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres inutilisés : permet de supprimer les champs de filtre sans valeur. REMARQUE Si vous ne parvenez pas à trouver un ordinateur spécifique dans la liste alors qu'il figure dans l'infrastructure ESMC, vérifiez que tous les filtres sont désactivés. 89 Détails de l'ordinateur Pour afficher les détails d'un ordinateur, sélectionnez un ordinateur client dans un groupe statique ou dynamique, puis cliquez sur Afficher les détails. Vous pouvez également exécuter des actions dans l'écran Ordinateurs en cliquant sur Ordinateur dans le coin inférieur gauche. La fenêtre d'informations est composée de sept parties différentes : Aperçu Les vignettes ci-après donnent un aperçu de la situation de l'ordinateur. Ordinateur • Cliquez sur l'icône de modification pour modifier le nom ou la description de l'ordinateur. Vous pouvez sélectionner l'option Autoriser la duplication de nom s'il existe déjà un ordinateur administré portant un même nom. • FQDN : nom de domaine complet de l'ordinateur. REMARQUE Si les ordinateurs clients et ESMC Server s'exécutent sous Active Directory, vous pouvez automatiser le renseignement des champs Nom et Description à l'aide de la tâche Synchronisation des groupes statiques. • Groupe parent : modifiez le groupe statique parent de l'ordinateur. • Adresse IP : adresse IP de la machine. • Nombre de politiques appliquées : cliquez sur le nombre pour afficher la liste des politiques appliquées à l'ordinateur. • Membre des groupes dynamiques : liste des groupes dynamiques auxquels appartenait l'ordinateur client pendant la dernière réplication. Matériel Cette vignette contient la liste des paramètres matériels essentiels, des informations sur le système d'exploitation et des identifiants uniques. Cliquez sur la vignette pour afficher l'onglet Détails - Matériel. Alertes • Alertes : lien vers la liste des problèmes liés à l'ordinateur actuel. • Nombre de menaces non résolues : nombre de menaces non résolues. Cliquez pour afficher la liste des menaces non résolues. • Heure de la dernière connexion : informations sur l'heure de la dernière connexion. • Moteur de détection : version du moteur de détection sur le périphérique cible. • Mis à jour : état de mise à jour. Produits et licences Liste des composants ESET installés sur l'ordinateur. Cliquez sur la vignette pour afficher l'onglet Détails - Produits et licences. Utilisateurs • Utilisateurs connectés : (ordinateurs uniquement) domaine et nom d'utilisateur des utilisateurs connectés sur le périphérique. • Utilisateurs affectés 90 oCliquez sur Ajouter un utilisateur ou Affecter un utilisateur pour affecter un utilisateur des utilisateurs d'ordinateurs à ce périphérique. oCliquez sur l'icône représentant une corbeille pour désaffecter l'utilisateur actuel. oCliquez sur le nom d'utilisateur de l'utilisateur affecté pour afficher les détails du compte. Emplacement (périphériques mobiles uniquement). Les appareils du Programme d'inscription des appareils iOS (DEP) peuvent être uniquement localisés lorsque le "mode perdu" est activé. Le bouton Matériel sert à configurer l'ordinateur en vue du clonage. Il est requis lorsque les ordinateurs sont clonés ou que le matériel des ordinateurs est modifié. • Marquer comme maître pour clonage > Faire correspondre à un ordinateur existant : reportezvous à l'option Faire correspondre à un ordinateur existant à chaque fois. Il est recommandé d'utiliser cette option avant la création du pool VDI. • Marquer comme maître pour clonage > Créer un ordinateur : reportez-vous à l'option Créer un ordinateur à chaque fois. Il est recommandé d'utiliser cette option avant la création du pool VDI. • Désactiver la détection du matériel : permet de désactiver définitivement la détection des modifications matérielles. Cette action ne peut pas être annulée. • Annuler la marque de maître pour clonage : supprime l'indicateur de maître. Une fois ce paramètre appliqué, chaque nouveau clonage de la machine génère une question. IMPORTANT La détection de l'empreinte matérielle n'est pas prise en charge sous les systèmes suivants : • Linux, macOS, Android, iOS • gérés via des machines Hôtes de l'agent virtuel ESET (ESET Virtualization Security) • sans ESET Management Agent 7. Configuration Onglet Configuration : contient la liste des configurations des produits ESET installés (ESET Management Agent, ESET Endpoint, etc.). Les actions disponibles sont les suivantes : • Cliquez sur Demander la configuration pour créer une tâche afin qu'ESET Management Agent collecte toutes les configurations des produits gérés. Lorsque la tâche est remise à ESET Management Agent, elle est exécutée immédiatement. Les résultats sont ensuite remis à ERA Server lors de la connexion suivante, afin que vous puissiez consulter la liste de toutes les configurations des produits gérés. • Ouvrez une configuration via le menu contextuel et convertissez-la en politique. Cliquez sur une configuration pour l'afficher dans la visionneuse. • Une fois la configuration ouverte, vous pouvez la convertir en politique. Cliquez sur Convertir en politique. La configuration actuelle sera transférée vers l'assistant de politique et vous pourrez la modifier et l'enregistrer en tant que nouvelle politique. • Téléchargez une configuration à des fins de diagnostics et d'assistance. Cliquez sur une configuration sélectionnée, puis sur Télécharger pour diagnostics dans le menu déroulant. Onglet Politiques appliquées : liste des politiques appliquées au périphérique. Pour gérer, modifier, affecter ou supprimer une politique, cliquez sur Gérer les politiques. Journaux (ordinateurs uniquement) • SysInspector : cliquez sur Demander un journal (Windows uniquement) pour exécuter la tâche 91 Demander un rapport SysInspector sur les clients sélectionnés. Une fois la tâche terminée, une nouvelle entrée est ajoutée dans la liste des configurations. Cliquez sur une configuration de la liste pour l'explorer. • Log Collector : cliquez sur Exécuter Log Collector pour exécuter la tâche Log collector. Une fois la tâche terminée, une nouvelle entrée est ajoutée dans la liste des journaux. Cliquez sur un journal de la liste pour l'explorer. • Journaux de diagnostic : cliquez sur Diagnostics > Activer pour passer en mode Diagnostics sur la machine actuelle. Le mode Diagnostics permet au client d'envoyer tous les journaux à ESMC Server. Vous pouvez parcourir tous les journaux dans un délai de 24 heures. Les journaux sont classés dans 5 catégories : Journaux Courrier indésirable, Pare-feu, HIPS, Contrôle de périphérique et Filtrage Internet. REMARQUE La taille limite de fichier pour la diffusion des journaux par appareil est de 16 Mo. Si les journaux collectés par la tâche sont plus volumineux, la tâche échoue et le message « La sortie de Log Collector a dépassé 16 Mo et ne sera pas transférée » s'affiche. Si ce problème se produit, modifiez la verbosité des journaux et relancez la tâche ou rassemblez les journaux localement sur l'appareil. Exécutions de tâche Liste des tâches exécutées. Vous pouvez filtrer la vue pour limiter les résultats, descendre dans la hiérarchie et modifier, dupliquer, supprimer et exécuter ou réexécuter une tâche. Applications installées Affiche la liste des programmes installés sur un client avec des informations telles que la version, la taille, l'état de sécurité, etc. Vous pouvez activer le signalement des applications autres qu'ESET via un paramètre de politique. Pour supprimer un programme, sélectionnez-le, puis cliquez sur Désinstaller. Vous serez invité à saisir les paramètres de désinstallation. Il s'agit de paramètres facultatifs de ligne de commande pour le programme d'installation (package d'installation). Les paramètres de désinstallation sont uniques pour chaque programme d'installation de logiciel. Vous trouverez des informations supplémentaires dans la documentation pour chaque produit. Si une mise à jour est disponible pour le produit ESET, vous pouvez le mettre à jour en cliquant sur le bouton Mettre à jour les produits ESET. REMARQUE Les appareils iOS fournissent la liste des logiciels installés à ESMC une fois par jour. Les utilisateurs ne peuvent pas forcer l'actualisation de la liste. Alertes Affiche la liste des alertes et les détails de ceux-ci : Problème, État, Produit, Survenance, Gravité, etc. Cette liste est accessible directement dans la section Ordinateurs, en cliquant sur le nombre d'alertes dans la colonne Alertes. Vous pouvez gérer les alertes par le biais d'actions en un seul clic. Questions (ordinateurs uniquement) La liste des questions relatives au clonage se trouve dans l'onglet Questions. En savoir plus sur la résolution des questions pour les ordinateurs modifiés ou clonés. 92 Menaces et quarantaine • Menaces : tous les types de menace sont affichés, mais vous pouvez filtrer les menaces par type : menaces virales, liées au pare-feu, de fichiers bloqués, Entreprise Inspector et du système HIPS. • Quarantaine : liste des menaces mises en quarantaine avec des détails tels que le nom de la menace, le type de menace, le nom de l'objet, la taille, la première survenance, le nombre, le motif utilisateur, etc. Détails • Général : informations sur le périphérique : nom du système d'exploitation, type, version, numéro de série, nom FQDN, etc. Des informations sur l'état qui indiquent notamment si l'appareil est en mode silencieux et administré, la date de la dernière mise à jour et le nombre de politiques appliquées. • Matériel : informations relatives aux composants matériels de l'ordinateur, au fabricant et au modèles, ainsi qu'au réseau (IPv4, IPV6, sous-réseau, carte réseau, etc.). • Produits et licences : version actuelle du moteur de détection, versions des produits de sécurité ESET installées et licences utilisées. Retirer un ordinateur de l'administration Pour retirer un périphérique de l'administration, cliquez sur Ordinateurs, sélectionnez un périphérique et cliquez sur Supprimer. Une boîte de dialogue affiche les étapes nécessaires pour retirer l'ordinateur sélectionné de l'administration. 93 IMPORTANT Lorsque vous passez à l'étape suivante, vérifiez que vous avez correctement effectué l'étape précédente. Cela est essentiel pour que le périphérique soit correctement retiré. 1. Réinitialiser les paramètres Endpoint : cliquez sur Gérer les politiques et supprimez toutes les politiques appliquées pour permettre l'administration des périphériques locaux. Consultez Règles de suppression de politique dans la section Politiques. Si un mot de passe est défini pour accéder à la configuration du produit Endpoint, créez une nouvelle politique pour supprimer le mot de passe (choisissez de définir un mot de passe mais n'en saisissez aucun). 2. Arrêter l'administration de l'ordinateur : exécutez une tâche Arrêter l'administration ou désinstallez ESET Management Agent ou le produit de sécurité ESET localement sur l'ordinateur. La connexion entre l'ordinateur et ESMC est ainsi suspendue. 3. Supprimer l'ordinateur de la base de données : une fois que vous avez vérifié que l'ordinateur ne se connecte plus à ESMC, vous pouvez le supprimer de la liste des périphériques administrés. Menaces La section Menaces donne une vue d'ensemble des menaces détectées sur les appareils administrés par votre compte. La structure de groupes est affichée à gauche. Vous pouvez parcourir les groupes et afficher les menaces détectées sur les membres d'un groupe. Pour afficher toutes les menaces détectées sur les clients affectés à des groupes pour votre compte, sélectionnez le groupe Tous et utilisez le filtre Tous les types de menace. Cliquez sur une menace spécifique pour afficher les options d'un menu contextuel pour l'appareil présentant cette menace. 94 IMPORTANT Pendant le nettoyage de la base de données, les éléments de la section Menaces correspondant aux journaux des incidents nettoyés sont également supprimés (quel que soit l'état de la menace). Par défaut, la période de nettoyage pour les journaux des incidents (et des menaces) est définie sur 6 mois. Vous pouvez modifier l'intervalle dans les paramètres du serveur. Types de menace Menaces actives : il s'agit des menaces qui n'ont pas encore été nettoyées. Pour nettoyer une menace, exécutez une analyse approfondie avec nettoyage sur l'ordinateur présentant la menace. La tâche d'analyse doit se terminer correctement pour supprimer la menace et éliminer la détection. Si un utilisateur ne résout pas une menace active dans les 24 heures suivant sa détection, elle perd le statut Active, mais reste non résolue. Menaces résolues : il s'agit des menaces qui ont été marquées par un utilisateur comme étant résolues. Elles n'ont toutefois pas fait encore l'objet d'une analyse en profondeur. Les périphériques présentant des menaces marquées comme étant résolues s'affichent toujours dans la vue filtrée jusqu'à l'analyse. Filtrage menaces Par défaut, tous les types de menaces des 7 derniers jours sont affichés, notamment les menaces ayant été nettoyées. Vous pouvez filtrer les menaces selon plusieurs critères. Les filtres Ordinateur en mode silencieux et Menace résolue sont visibles par défaut. Pour obtenir une vue plus spécifique, vous pouvez ajouter d'autres filtres comme Catégorie de menaces (Antivirus, Fichiers bloqués, Enterprise Inspector, Pare-feu et HIPS), Type de menace, l'adresse IP du client ayant signalé la menace ou le nom de l'analyse. Ajout d'un filtre et de présélections de filtres Pour ajouter des critères de filtre, cliquez sur Ajouter un filtre et sélectionnez un ou des éléments dans la liste. Saisissez la ou les chaînes de recherche dans le ou les champs de filtre. Les filtres actifs sont mis en surbrillance en bleu. Les filtres peuvent être enregistrés dans votre profil utilisateur afin que vous puissiez les réutiliser ultérieurement. Sous Présélections, les options suivantes sont disponibles : 95 Jeux de filtres : il s'agit des filtres enregistrés. Cliquez sur l'un d'entre eux pour l'appliquer. Le filtre appliqué est signalé par une coche . Sélectionnez Inclure les colonnes visibles, le tri et la pagination pour enregistrer ces paramètres dans la présélection. Enregistrer le jeu de filtres : enregistrez la configuration actuelle du filtre comme nouvelle présélection. Une fois la présélection enregistrée, vous ne pouvez pas modifier la configuration du filtre dans la présélection. Gérer les jeux de filtres : supprimez ou renommez les présélections existantes. Cliquez sur Enregistrer pour appliquer les modifications aux présélections. Effacer les valeurs de filtre : cliquez pour supprimer uniquement les valeurs actuelles des filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres : cliquez sur cette option pour supprimer les filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres inutilisés : permet de supprimer les champs de filtre sans valeur. REMARQUE Certains filtres sont activés par défaut. Si des menaces sont indiquées sur le bouton de menu gauche et que vous ne pouvez pas les voir dans la liste des menaces, vérifiez quels sont les filtres activés. Protection antirançongiciels Les produits ESET pour les entreprises (version 7 ou ultérieure) comprennent une protection contre les rançongiciels. Cette nouvelle fonction de sécurité fait partie de la fonctionnalité HIPS et protège les ordinateurs contre les rançongiciels. Lorsqu'un ransomware est détecté sur un ordinateur client, vous pouvez afficher les détails de la détection dans la section Menaces de la console Web ESMC Console Web. Pour plus d'informations sur la protection contre les rançongiciels, consultez l'aide en ligne d'ESET Endpoint Security. Vous pouvez configurer à distance la protection contre les rançongiciels dans la console Web ESMC Web Console, à l'aide des configurations de politique pour votre produit ESET pour les entreprises : • Activer la protection antirançongiciels : le produit ESET pour les entreprises bloque toutes les applications suspectes qui se comportent comme un rançongiciel. • Activer le mode Audit : lorsque vous activez ce mode, les menaces potentielles détectées par la protection antirançongiciels ne sont pas bloquées, mais signalées dans la console Web ESMC Web Console. L'administrateur peut décider de bloquer la menace potentielle détectée ou de l'exclure en sélectionnant Ajouter une exclusion à la politique. Cette configuration de politique n'est disponible que via ESMC Console Web. IMPORTANT Par défaut, la protection antirançongiciels bloque toutes les applications ayant un comportement potentiel de rançongiciel, y compris les applications légitimes. Il est recommandé d'activer le mode Audit pendant une courte période sur un nouvel ordinateur administré, de sorte que vous puissiez exclure les applications légitimes qui sont détectées comme des rançongiciels en fonction de leur comportement (faux positifs). Il est déconseillé d'utiliser le mode Audit de manière permanente, car les rançongiciels sur des ordinateurs administrés ne sont pas automatiquement bloqués lorsque ce mode est activé. Analyse des ordinateurs - Cette option permet d'exécuter la tâche Analyse à la demande sur le périphérique qui a signalé la menace sélectionnée. Marquer comme étant résolu(e)/Marquer comme étant non résolu(e) : les menaces peuvent maintenant être marquées comme étant résolues dans la section des menaces ou sous les détails d'un client spécifique. Développez la section Actions pour effectuer les actions actuelles : • • 96 Exécuter la tâche : exécutez une tâche existante et créez un déclencheur pour terminer la tâche. Chemin d'analyse : cette action ouvre la tâche et prédéfinit les chemins et les cibles. Elle est uniquement disponible pour les menaces avec des chemins connus. • Ajouter une exclusion à la politique : sélectionnez une politique endpoint existante à laquelle vous souhaitez ajouter une exclusion pour la menace. Elle sera exclue des prochaines analyses. Vous pouvez exclure la menace en fonction des critères suivants : oUtiliser le nom de la menace : l'exclusion est définie en fonction du nom de la menace détectée (famille de logiciels malveillants). oUtiliser l'URI : l'exclusion est définie par le chemin d'accès au fichier, par exemple file:///C:/Users/user/AppData/Local/Temp/34e1824e/ggdsfdgfd.pdf.exe oUtiliser le hachage : l'exclusion est définie par le hachage du fichier détecté. Vous pouvez trouver les détails de la menace (nom de la menace, URI et hachage) lorsque vous cliquez sur la menace et que vous sélectionnez Afficher les détails. AVERTISSEMENT Utilisez les exclusions avec prudence, car elles risquent d'infecter votre ordinateur. REMARQUE Toutes les menaces détectées sur les périphériques client ne sont pas mises en quarantaine. Les menaces qui ne sont pas mises en quarantaine comprennent : • Les menaces qui ne peuvent pas être supprimées. • Les menaces suspectes en fonction de leur comportement, mais non détectées comme étant des logiciels malveillants, par exemple, des applications potentiellement indésirables. Détails de la menace Pour en savoir plus sur une menace, cliquez sur celle-ci dans un groupe statique ou dynamique, puis sur Afficher les détails. Seules les menaces détectées lors d'une analyse s'afficheront dans les informations sur cette analyse. Cliquez sur Menaces de la même analyse pour afficher une liste filtrée des menaces détectées lors de la même analyse que celle de la menace sélectionnée. Si la menace est un fichier, cliquez sur Envoyer le fichier à EDTD dans Détails de la menace pour créer une tâche client qui envoie le fichier à ESET Dynamic Threat Defense pour analyse. Ordinateurs Cliquez sur une menace. Dans le menu déroulant, le sous-menu Ordinateurs propose une liste d'actions que vous pouvez effectuer sur l'ordinateur sur lequel la menace a été détectée. Cette liste est la même que celle de la section Ordinateurs. Colonnes de table Cliquez sur l'icône représentant un engrenage dans le coin supérieur, sélectionnez Modifier les colonnes et les colonnes à ajouter à la table. Plusieurs colonnes sont disponibles. Sélectionnez-les à l'aide des cases à cocher. Enterprise Inspector ESET Enterprise Inspector (EEI) ESET Enterprise Inspector (EEI) est un système complet de détection et de réponse des terminaux comprenant les fonctionnalités suivantes : détection d'incidents, gestion des incidents et réponse, collecte de données, indicateurs de détection de corruptions, détection d'anomalies, détection de comportements et violations de politiques. Pour plus d'informations sur ESET Enterprise Inspector, son programme s'installation et ses fonctions, consultez l'aide 97 d'ESET Enterprise Inspector. Configuration d'ESET Enterprise Inspector ESET Enterprise Inspector requiert qu'ESMC effectue les opérations suivantes : • Créer un utilisateur ESET Enterprise Inspector avec les autorisations adéquates • Créer des certificats utilisés pendant l'installation d'ESET Enterprise Inspector Server • Activer ESET Enterprise Inspector sur un périphérique connecté à ESMC REMARQUE Pour activer ESET Enterprise Inspector, vous devez disposer d'une licence ESET Enterprise Inspector. Signalement des menaces ESET Enterprise Inspector dans ESMC Si vous ajoutez un périphérique exécutant ESET Enterprise Inspector Agent (correctement configuré et connecté à ESET Enterprise Inspector Server) à ESMC, EEI signale les menaces détectées dans la section Menaces d'ESMC. Vous pouvez filtrer ces menaces en sélectionnant le type de menace Enterprise Inspector. Les fichiers bloqués sont un autre type de menace signalé par Enterprise Inspector. Il s'agit des tentatives bloquées de lancement de fichiers exécutables qui sont sur liste noire (bloqués par hachage de fichier) dans Enterprise Inspector. Gestion des menaces ESET Enterprise Inspector dans ESMC L'intégration des menaces ESET Enterprise Inspector dans ESMC Web Console permet de les gérer directement depuis ESMC Web Console, sans ouvrir ESET Enterprise Inspector Web Console. Si vous marquez des menaces comme étant résolues dans la console Web ESMC Web Console, elles sont marquées comme étant résolues dans la console Web ESET Enterprise Inspector Web Console, et inversement. Cliquez sur la menace, sélectionnez Afficher les détails, puis cliquez sur le lien en regard de Lien vers la console EEI pour consulter les détails de la menace dans la console Web EEI Web Console. La configuration requise suivante doit être respectée pour que les menaces Enterprise Inspector puissent être gérées dans ESMC Console Web : • ESMC version 7 et ultérieure • Installation d'un logiciel ESET Endpoint (ESET Endpoint Antivirus, ESET Endpoint Security) version 7 ou ultérieure sur l'ordinateur administré REMARQUE ERA 6.5 affiche les menaces signalées par ESET Enterprise Inspector, mais ne permet pas de les gérer (les marquer comme étant résolues). Rapports Les rapports permettent d'accéder de manière efficace aux données de la base de données et de les filtrer. La fenêtre des rapports est constituée de deux onglets : • Catégories et modèles : il s'agit de l'onglet par défaut de la section Rapports. Il contient une vue d'ensemble des catégories et modèles de rapport. Vous pouvez y créer des rapports et des catégories ou d'autres actions liées au rapport. • Rapports planifiés : cet onglet donne une vue d'ensemble des rapports planifiés. Vous pouvez également y planifier un rapport. Les rapports sont générés à partir de modèles qui sont classés par type de rapport. La génération d'un rapport peut être immédiate ou planifiée à une date ultérieure. Pour générer et afficher immédiatement un rapport, cliquez sur Générer maintenant en regard du modèle de rapport de votre choix. Vous pouvez utiliser des modèles de rapport prédéfinis de la liste Catégories et modèles ou créer un modèle de rapport avec des paramètres personnalisés. Cliquez sur Nouveau modèle de rapport pour ouvrir un assistant de modèle de rapport et spécifier des paramètres personnalisés pour le nouveau rapport. Vous pouvez également créer une catégorie de rapports 98 (Nouvelle catégorie) ou importer des modèles de rapport précédemment exportés (Importer des modèles de rapport). Recherche de rapports La partie supérieure de la page contient une barre de recherche. Vous pouvez effectuer une recherche sur les noms de catégorie et de modèle, mais pas sur les descriptions. Cliquez sur les flèches situées en regard de la barre de recherche pour développer ou réduire toutes les catégories de rapports. Filtre Accéder au groupe Le bouton de filtre Accéder au groupe permet aux utilisateurs de sélectionner un groupe statique et de filtrer les objets visualisés selon le groupe qui les contient. Utilisation des modèles de rapports Sélectionnez un modèle de rapport et cliquez sur la flèche de la vignette du modèle de rapport. Les options disponibles sont les suivantes : Générer maintenant Le rapport est généré et vous pouvez examiner les données de sortie. Télécharger Supprimer Sélectionnez un modèle de rapport, cliquez sur Télécharger et sélectionnez le format de fichier .pdf, .ps ou .csv (le format de fichier .csv est adapté uniquement aux données des tableaux). Le rapport est généré et téléchargé. Planifier le rapport : la fenêtre Modèle s'ouvre. Elle permet de modifier le déclencheur, la limitation et la remise du rapport. Tous les rapports planifiés figurent dans l'onglet Rapports planifiés. Modifiez un modèle de rapport existant. Les mêmes paramètres et options que ceux utilisés lors de la création d’un modèle de rapport s’appliquent. Créez un nouveau rapport selon le rapport sélectionné. Un nouveau nom est requis pour le rapport en double. Supprime entièrement le modèle de rapport sélectionné. Exporter Le modèle de rapport est exporté dans un fichier .dat. Planifier Modifier Dupliquer Utilisation des catégories de rapports Sélectionnez une catégorie de rapports et cliquez sur l'icône de roue crantée Les options disponibles sont les suivantes : Nouvelle catégorie Nouveau modèle de rapport Saisissez un nom pour créer une catégorie de modèles de rapport. Créez un modèle de rapport personnalisé. Supprimer Supprime entièrement la catégorie de modèles de rapport sélectionnée. Modifier Renommez la catégorie de modèles de rapport existante. Exporter La catégorie de modèles de rapport et tous les modèles inclus sont exportés dans un fichier .dat. Vous pouvez importer la catégorie avec tous les modèles ultérieurement en cliquant sur Importer les modèles de rapport. Cela s'avère pratique, par exemple, lorsque vous souhaitez migrer vos modèles de rapport personnalisés sur un autre serveur ESMC Server. Déplacez la catégorie de modèles de rapport vers un autre groupe statique. Elle devient ainsi accessible pour l'administrateur local du groupe cible. L'administrateur local dispose de droits d'accès complet dans son groupe. Groupe d'accès 99 dans le coin droit de la catégorie. IMPORTANT La fonctionnalité Importer / Exporter est conçue pour l'importation et l'exportation de modèles de rapport uniquement, et non d'un rapport généré contenant des données. Autorisations pour les rapports Les rapports sont des objets statiques qui figurent dans une structure d'objets de la base de données ESMC. Chaque nouveau modèle de rapport est stocké dans le groupe résidentiel de l'utilisateur qui l'a créé. Pour accéder à un rapport, vous avez besoin d'autorisations. Vous avez également besoin d'autorisations sur les objets qui sont contrôlés par le rapport. Par exemple, si vous générez un rapport Vue d'ensemble des états des ordinateurs, seules les données des ordinateurs pour lesquels vous disposez d'une autorisation de lecture seront présentes. IMPORTANT Lire : l'utilisateur peut répertorier les modèles de rapport et leurs catégories. Il peut également générer des rapports à partir des modèles de rapport. L'utilisateur peut consulter son tableau de bord. Utiliser : l'utilisateur peut modifier son tableau de bord à l'aide des modèles de rapport disponibles. Écrire : permet de créer, modifier et supprimer des modèles et leurs catégories. Tous les modèles par défaut figurent dans le groupe Tous. Créer un modèle de rapport Accédez à Rapports, puis cliquez sur Nouveau modèle de rapport. Général Modifiez les informations de base sur le modèle. Saisissez un nom, une description et une catégorie. Vous ne pouvez effectuer un choix que parmi les catégories prédéfinies. Si vous souhaitez en créer une autre, utilisez l'option Nouvelle catégorie (décrite dans le chapitre précédent). 100 Graphique Dans la section Graphique, sélectionnez le type Rapport. Choisissez un Tableau, dans lequel les informations sont classées par ligne et par colonne ou un Graphique qui représente les données en utilisant les axes X et Y. REMARQUE Le type de diagramme sélectionné s'affiche dans la section Aperçu. Vous pouvez ainsi déterminer l'aspect du rapport en temps réel. Lorsque vous sélectionnez un graphique, vous avez plusieurs options : • Graphique à barres - Un graphique avec des barres rectangulaires proportionnelles aux valeurs qu'elles représentent. • Graphique à nuage de points - Dans ce graphique, les points sont utilisés pour afficher les valeurs quantitatives (comme dans les graphiques à barres). • Graphique en secteurs - Un graphique en secteur est un graphique circulaire divisé en secteurs proportionnel, représentant les valeurs. • Graphique en anneau - Le graphique en anneau est semblable au graphique en secteurs, mais peut contenir plusieurs types de données. • Graphique linéaire - Affiche les informations sous la forme d'une série de points de données reliés par des segments. • Graphique linéaire simple - Affiche les informations sous la forme d'une ligne basée sur les valeurs sans que les points de données soient visibles. • Graphique en segments empilés - Ce type de graphique permet une analyse de données en utilisant différentes unités de mesure. • Graphique à barres empilées - Semblable à un graphique à barres simples, mais contenant plusieurs types de données avec différentes unités de mesure empilées dans les barres. Si vous le désirez, vous pouvez entrer un titre pour les axes X et Y du graphique afin d'en faciliter la lecture et permettre une reconnaissance facile des tendances. 101 Données Dans la section Données, sélectionnez les informations à afficher : a.Colonnes du tableau : les informations au sujet du tableau sont ajoutées automatiquement selon le type de rapport sélectionné. Vous pouvez personnaliser le nom, l'étiquette et le format (voir cidessous). b.Axes du graphique : Sélectionnez les données pour l'axe des X et des Y. Lorsque vous cliquez sur Ajouter un axe, une fenêtre s'affiche pour proposer des options. Les choix offerts pour l'axe des Y dépendent toujours des informations sélectionnées pour l'axe des X et vice-versa, cela parce que le graphique affiche la relation entre les deux axes et que les données doivent être compatibles. Sélectionnez les informations souhaitées, puis cliquez sur OK. Format Cliquez sur le symbole dans la section Données pour afficher des options étendues de mise en forme.Vous pouvez modifier le format dans lequel les données s'affichent. Vous pouvez ajuster la mise en forme des colonnes de tableau et des axes de graphique. Toutes les options ne sont pas disponibles pour chaque type de données. Format de colonne Choisissez une colonne à partir de laquelle la colonne actuelle sera mise en forme. Par exemple, lors de la mise en forme de la colonne Nom, choisissez la colonne Gravité pour ajouter des icônes de gravité en regard des noms. Valeur minimale Définissez la limite minimale pour les valeurs affichées. Valeur maximale Définissez la limite maximale pour les valeurs affichées. Couleur Choisissez le modèle de couleurs de la colonne. La couleur est ajustée en fonction de la valeur de la colonne sélectionnée dans Format de colonne. Icônes Ajoutez des icônes à la colonne mise en forme en fonction de la valeur de Format de colonne. Cliquez sur l'une des flèches Tri 102 pour modifier l'ordre des colonnes. Si les données sélectionnées dans la section Données contiennent un symbole de tri, cela signifie que la fonction de tri est disponible. Cliquez sur Ajouter un tri pour définir la relation entre les données sélectionnées. Sélectionnez les informations de début (valeur de tri) et la méthode de tri (Croissant ou Décroissant). Ces options définissent le résultat affiché dans le graphique. Cliquez sur Monter ou Descendre pour modifier l'ordre des éléments de tri. Cliquez sur l'icône de corbeille pour supprimer l'élément de la sélection. Filtre Définissez la méthode de filtrage. Cliquez sur Ajouter un filtre et sélectionnez l'élément de filtrage dans la liste et sa valeur. Les informations affichées dans le diagramme sont ainsi définies. Cliquez sur l'icône de corbeille supprimer l'élément de la sélection. pour Résumé Dans la section Résumé, passez en revue les options sélectionnées et les informations. Cliquez sur Terminer pour créer un modèle de rapport. Générer un rapport Il existe trois méthodes pour générer immédiatement un rapport à partir d'un modèle de rapport : • Accédez aux Liens rapides dans la barre supérieure et cliquez sur Générer un rapport. Sélectionnez un modèle de rapport existant, puis cliquez sur Générer maintenant. • Cliquez sur Rapports et sélectionnez l'onglet Catégories et modèles. Sélectionnez un modèle de rapport à partir duquel générer un rapport. Cliquez sur l'icône de roue crantée, puis sur modifier si vous souhaitez apporter des modifications au modèle. oVous pouvez utiliser Générer maintenant pour générer et afficher le rapport dans ESMC Web Console. Une fois le rapport généré, vous pouvez cliquer sur Générer et télécharger pour enregistrer le rapport dans le format de votre choix. • Cliquez sur Autre > Tâches serveur > Nouveau pour créer une nouvelle tâche Générer un rapport. oLa tâche est créée et affichée dans la liste Types de tâche. Sélectionnez la tâche et cliquez sur Exécuter maintenant dans la partie inférieure de la page. La tâche est immédiatement exécutée. oConfigurez les paramètres (comme décrit dans la tâche Générer un rapport), puis cliquez sur Terminer. REMARQUE Lorsque vous cliquez sur un élément contenu dans un rapport affiché dans ESMC Web Console, un menu de descente dans la hiérarchie s'affiche en proposant d'autres options. Planifier un rapport Il existe trois méthodes pour planifier la génération d'un rapport : • Accédez à Autre > Tâches serveur. Sélectionnez Nouveau pour créer une tâche Générer un rapport. • Accédez à Rapports, sélectionnez un modèle de rapport à partir duquel générer un rapport, cliquez sur la flèche sur la vignette du modèle et sélectionnez Planifier. Vous pouvez utiliser un modèle de rapport prédéfini et le modifier ou créer un modèle de rapport. • Cliquez sur Planifier dans le menu contextuel d'un modèle de rapport dans un tableau de bord. • Accédez à l'onglet Rapports > Rapports planifiés, puis cliquez sur Planifier. Vous disposez de plusieurs options lorsque vous planifiez un rapport, comme décrit dans la tâche Générer un rapport. • Sélectionnez plusieurs modèles de rapport pour un rapport. • Définissez éventuellement les paramètres de déclencheur et de limitation. • Définissez la remise du rapport dans un courrier électronique et/ou enregistrez-le dans un fichier. Une fois le rapport planifié, cliquez sur Terminer. La tâche est créée. Elle s'exécutera à l'intervalle (une fois ou de manière répétée) défini ici. 103 Onglet Rapports planifiés Vous pouvez examiner vos rapports planifiés dans Rapports > Rapports planifiés. Les autres actions disponibles dans cet onglet sont présentées ci-dessous : Planifier Afficher les détails Créez une nouvelle planification pour un rapport existant. Consultez des informations détaillées sur la planification sélectionnée. Exécuter maintenant Exécutez le rapport planifié maintenant. Modifiez la planification du rapport. Vous pouvez ajouter ou désélectionner des Modifier modèles de rapport, modifier des paramètres de planification ou de limitation et de remise du rapport. Créez une planification en double dans votre groupe résidentiel. Dupliquer Supprimer Supprimez la planification. Le modèle de rapport est conservé. Groupe d'accès Déplacez la planification vers un groupe statique différent. Ajout d'un filtre et de présélections de filtres Pour ajouter des critères de filtre, cliquez sur Ajouter un filtre et sélectionnez un ou des éléments dans la liste. Saisissez la ou les chaînes de recherche dans le ou les champs de filtre. Les filtres actifs sont mis en surbrillance en bleu. Les filtres peuvent être enregistrés dans votre profil utilisateur afin que vous puissiez les réutiliser ultérieurement. Sous Présélections, les options suivantes sont disponibles : Jeux de filtres : il s'agit des filtres enregistrés. Cliquez sur l'un d'entre eux pour l'appliquer. Le filtre appliqué est signalé par une coche . Sélectionnez Inclure les colonnes visibles, le tri et la pagination pour enregistrer ces paramètres dans la présélection. Enregistrer le jeu de filtres : enregistrez la configuration actuelle du filtre comme nouvelle présélection. Une fois la présélection enregistrée, vous ne pouvez pas modifier la configuration du filtre dans la présélection. Gérer les jeux de filtres : supprimez ou renommez les présélections existantes. Cliquez sur Enregistrer pour appliquer les modifications aux présélections. Effacer les valeurs de filtre : cliquez pour supprimer uniquement les valeurs actuelles des filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres : cliquez sur cette option pour supprimer les filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres inutilisés : permet de supprimer les champs de filtre sans valeur. Applications obsolètes Utilisez le rapport Applications obsolètes pour voir quels composants ESMC ne sont pas à jour. Deux méthodes permettent d'exécuter ce rapport : • Ajoutez un nouveau tableau de bord ou modifiez un volet de tableau de bord existant. • Accédez à Rapports, à la catégorie Ordinateurs, à la vignette Applications obsolètes, puis cliquez sur Générer maintenant. Si vous avez trouvé une application obsolète, vous pouvez : • utiliser la tâche client Mettre à jour les composants d'Administrator pour mettre à jour ESET Management Agent, Server et MDM. ; • utiliser la tâche client Installation du logiciel pour mettre à jour le produit de sécurité. 104 Visionneuse des journaux SysInspector La visionneuse des journaux SysInspector permet de consulter les journaux de SysInspector après son exécution sur un ordinateur client. Vous pouvez également ouvrir les journaux SysInspector directement à partir d'une tâche de demande de rapport SysInspector après la réussite de son exécution. Les fichiers journaux peuvent être téléchargés et consultés dans SysInspector sur votre ordinateur local. REMARQUE Les journaux SysInspector ne peuvent être demandés qu'à partir des clients Windows. Affichage du journal SysInspector Depuis un tableau de bord 1. Ajoutez un nouveau tableau de bord ou modifiez un rapport de tableau de bord existants. 2. Sélectionnez le modèle de rapport Automatisation > Historique des rapports SysInspector au cours des 30 derniers jours. 3. Ouvrez le rapport, sélectionnez un ordinateur, puis Ouvrir la vue du journal SysInspector dans le menu déroulant. Depuis un rapport 1. Accédez à la catégorie Rapports > Automatisation. 2. Sélectionnez le modèle Historique des rapports SysInspector au cours des 30 derniers jours dans la liste et cliquez sur Générer maintenant. 3. Ouvrez le rapport, sélectionnez un ordinateur, puis Ouvrir la vue du journal SysInspector dans le menu déroulant. Depuis le menu Ordinateurs 1. Accédez à Ordinateurs. 2. Sélectionnez un ordinateur dans un groupe statique ou dynamique, puis cliquez sur Afficher les détails. 3. Accédez à la section Journaux, sélectionnez l'onglet SysInspector, cliquez sur une entrée de liste, puis sélectionnez 105 Ouvrir la visionneuse des journaux SysInspector. Inventaire matériel La dernière édition de ESET Security Management Center contient une nouvelle fonctionnalité qui permet de récupérer des informations sur l'inventaire matériel des périphériques connectés (RAM, stockage et processeur du périphérique, par exemple). Cliquez sur Ordinateurs, sur un périphérique connecté et sélectionnez Afficher les détails. 106 Cliquez sur Détails et sélectionnez l'onglet Matériel. Vous pouvez filtrer les périphériques connectés selon leurs paramètres matériels. Vous pouvez effectuer une sélection dans les catégories d'inventaire matériel suivantes : Châssis, Informations sur le périphérique, Affichage, Carte vidéo, Périphérique d'entrée, Stockage de masse, Carte réseau, Imprimante, Processeur, RAM et Périphérique audio. Rapports d'inventaire matériel Vous pouvez créer des rapports d'inventaire matériel personnalisés. Lors de la création d'un nouveau modèle de rapport, sélectionnez sous Données une sous-catégorie à partir de l'un des filtres Inventaire matériel. Lorsque vous ajoutez la première colonne de tableau ou axe des X, seules les données compatibles pourront être sélectionnées. Groupes dynamiques reposant sur l'inventaire matériel Vous pouvez créer des groupes dynamiques personnalisés reposant sur les détails de l'inventaire matériel des périphériques connectés. Lors de la création d'un nouveau modèle de groupe dynamique, sélectionnez règle(s) dans les catégories Inventaire matériel. Par exemple, vous pouvez créer un groupe dynamique avec les périphériques filtrés par quantité de RAM afin d'obtenir un aperçu des périphériques avec une certaine quantité de RAM. Inventaire matériel sur Linux L'outil lshw doit être installé sur l'ordinateur client/serveur Linux pour qu'ESET Management Agent puisse correctement indiquer les composants matériels. Si vous avez effectué une mise à niveau de l'appliance virtuelle ERA 6.x (CentOS) vers l'appliance virtuelle ESMC 7, vous devez également installer lshw sur celle-ci. Utilisez la commande suivante (en tant que root ou avec sudo) pour installer l'outil lshw : distributions basées sur Debian (Ubuntu) apt-get install -y lshw distributions basées sur Red Hat (CentOS, Fedora, RHEL) yum install -y lshw 107 Inventaire matériel sur macOS La fonctionnalité Inventaire matériel est disponible sous macOS version 10.9 et ultérieure. Tâches client Vous pouvez utiliser des tâches client pour administrer des ordinateurs clients et leurs produits ESET. Il existe un ensemble de tâches prédéfinies qui couvrent les scénarios les plus courants. Vous pouvez également créer une tâche client personnalisée avec des paramètres spécifiques. Utilisez des tâches client pour demander une action à des ordinateurs clients. Pour exécuter correctement une tâche client, vous devez disposer des droits d'accès suffisants pour la tâche et les objets (périphériques) utilisés par la tâche. Pour plus d'informations sur les droits d'accès, reportez-vous à la liste des autorisations. Les tâches client peuvent être attribuées à des groupes ou des ordinateurs distincts. Une fois créée, une tâche est exécutée à l'aide d'un déclencheur. Les tâches client sont distribuées aux clients lorsque l'ESET Management Agent d'un client se connecte à ESMC Server. Pour cette raison, la communication des résultats de l'exécution des tâches à ESMC Server peut prendre du temps. Vous pouvez gérer l'intervalle de connexion d'ESET Management Agent pour réduire les durées d'exécution des tâches. Pour créer une tâche client, sélectionnez le type de tâche souhaité et cliquez sur Nouveau. Les tâches prédéfinies suivantes sont disponibles (chaque catégorie de tâches contient des types de tâches) : Toutes les tâches Produit de sécurité ESET Diagnostics Exporter la configuration des produits administrés Mise à jour des modules Restauration de la mise à jour des modules Analyse à la demande Activation du produit Gestion de la quarantaine Exécuter un script SysInspector Envoyer le fichier à EDTD Analyse du serveur Installer un logiciel Demande de journal SysInspector (Windows uniquement) Charger un fichier mis en quarantaine ESET Security Management Center Diagnostics Redéfinir l'agent cloné Réinitialiser la base de données de Rogue Detection Sensor Mettre à niveau les composants de Security Management Center Arrêter l'administration (désinstaller ESET Management Agent) Système d'exploitation Afficher le message Mise à jour du système d'exploitation Exécuter une commande Arrêter l'ordinateur Installer un logiciel Désinstaller un logiciel Arrêter l'administration (désinstaller ESET Management Agent) Mobile Actions Antivol Afficher le message Exporter la configuration des produits administrés Mise à jour des modules Analyse à la demande Activation du produit Installer un logiciel Arrêter l'administration (désinstaller ESET Management Agent) 108 Arrêter l'ordinateur Vous pouvez utiliser la tâche Arrêter l’ordinateur ou redémarrer les ordinateurs clients. Cliquez sur Nouveau pour commencer à configurer la nouvelle tâche. Général Saisissez des informations de base sur la tâche dans les champs Nom et Description (facultatif). La Catégorie de tâche et le Type de tâche sont présélectionnés en fonction de votre choix précédent. Le type de tâche (voir la liste de toutes les tâches client) définit les paramètres et le comportement de la tâche. Paramètres • Redémarrer le ou les ordinateurs : cochez cette case si vous voulez redémarrer l'ordinateur client après l’achèvement de la tâche. Si vous voulez arrêter le ou les ordinateurs, décochez cette case. Résumé Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un déclencheur ultérieurement. Pour créer un déclencheur par la suite, sélectionnez l'instance de la tâche cliente, puis Exécuter le dans le menu déroulant. Diagnostics Suivez ces étapes pour demander une action de diagnostic d'un produit de sécurité ESET sur un ordinateur client. Sélectionnez la tâche Diagnostics, puis cliquez sur Nouveau. Général Saisissez des informations de base sur la tâche dans les champs Nom et Description (facultatif). La Catégorie de tâche et le Type de tâche sont présélectionnés en fonction de votre choix précédent. Le type de tâche (voir la liste de toutes les tâches client) définit les paramètres et le comportement de la tâche. Paramètres Action de diagnostic • Exécuter Log Collector : collecte des données spécifiques (données de configuration et journaux, par exemple) d'un ordinateur sélectionné pour faciliter la collecte des informations de l'ordinateur d'un client pendant la résolution d'un incident. oParamètres de Log Collector : pour collecter toutes les données disponibles, laissez le champ Paramètres de Log Collector vide. Pour spécifier les paramètres de Log Collector, reportez-vous à la liste des paramètres selon les systèmes d'exploitation : Windows, MacOS ou Linux. 109 REMARQUE La taille limite de fichier pour la diffusion des journaux par appareil est de 16 Mo. Si les journaux collectés par la tâche sont plus volumineux, la tâche échoue et le message « La sortie de Log Collector a dépassé 16 Mo et ne sera pas transférée » s'affiche. Si ce problème se produit, modifiez la verbosité des journaux et relancez la tâche ou rassemblez les journaux localement sur l'appareil. • Définir le mode de diagnostic - Le mode de diagnostic est composé des catégories suivantes : journaux Courrier indésirable, Pare-feu, HIPS, Contrôle de périphérique et Filtrage Internet. Le but principal du mode de diagnostic est de collecter des journaux avec tous les niveaux de gravité lorsqu'un dépannage est nécessaire. oActiver : activez la journalisation de toutes les applications ESET. oDésactiver : vous pouvez désactiver la journalisation manuellement ou automatiquement après un redémarrage de l'ordinateur. Les conditions préalables suivantes doivent être réunies pour la création de journaux de diagnostic : • Les journaux de diagnostic peuvent être collectés à partir des ordinateurs clients exécutant les systèmes d'exploitation Windows et macOS. • Un produit de sécurité ESET doit être installé et activé sur l'ordinateur client. REMARQUE ESET Management Agent envoie uniquement les journaux collectés par un produit ESET installé sur un ordinateur client. La catégorie et la verbosité du journal dépendent du type et de la configuration du produit. Configurez chaque produit (via des politiques) pour collecter des journaux spécifiques. Les journaux de diagnostic qui datent de plus de 24 heures sont supprimés tous les jours pendant le nettoyage ayant lieu à minuit. La base de données ESMC est ainsi protégée contre toute surcharge. Résumé Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un déclencheur ultérieurement. Pour créer un déclencheur par la suite, sélectionnez l'instance de la tâche cliente, puis Exécuter le dans le menu déroulant. Vous pouvez consulter les journaux créés dans Détails de l'ordinateur. Analyse à la demande La tâche Analyse à la demande vous permet d'exécuter manuellement une analyse sur l'ordinateur client (en plus d'une analyse régulière planifiée). Général Saisissez des informations de base sur la tâche dans les champs Nom et Description (facultatif). La Catégorie de tâche et le Type de tâche sont présélectionnés en fonction de votre choix précédent. Le type de tâche (voir la liste de toutes les tâches client) définit les paramètres et le comportement de la tâche. 110 Paramètres Arrêter l'ordinateur après l'analyse - Si vous cochez cette case, l'ordinateur s'arrête à la fin de l'analyse. Profil d'analyse - Vous pouvez sélectionner le profil de votre choix dans le menu déroulant : • Analyse approfondie - Il s'agit d'un profil prédéfini sur le client. Il est configuré pour être le profil d'analyse le plus complet. Il vérifie l'intégralité du système mais prend le plus de temps et utilise le plus de ressources. • Analyse intelligente - L'analyse intelligente permet de lancer rapidement une analyse de l'ordinateur et de nettoyer les fichiers infectés sans intervention de l'utilisateur. Elle présente l'intérêt d'être facile à utiliser et de ne pas nécessiter de configuration détaillée. L'analyse intelligente vérifie tous les fichiers des disques locaux, et nettoie ou supprime automatiquement les infiltrations détectées. Le niveau de nettoyage est automatiquement réglé sur sa valeur par défaut. • Analyse à partir du menu contextuel - Analyse un client à l'aide d'un profil d'analyse prédéfini. Il est possible de personnaliser les cibles à analyser. • Profil personnalisé - L'analyse personnalisée vous permet de spécifier des paramètres d'analyse tels que les cibles et les méthodes d'analyse. Elle a l'avantage de permettre la configuration précise des paramètres. Les configurations peuvent être enregistrées dans des profils d'analyse définis par l'utilisateur, ce qui permet de répéter facilement une analyse avec les mêmes paramètres. Avant d'exécuter la tâche avec l'option de profil personnalisé, vous devez créer un profil. Lorsque vous sélectionnez un profil personnalisé dans le menu déroulant, saisissez le nom exact du profil dans le champ de texte Profil personnalisé. Nettoyage Par défaut, l'option Analyse avec nettoyage est sélectionnée. Cette configuration permet le nettoyage automatique des objets infectés détectés. Si le nettoyage est impossible, ils sont alors mis en quarantaine. Cibles à analyser Cette option est également sélectionnée par défaut. À l'aide de ce paramètre, toutes les cibles spécifiées dans le profil d'analyse sont analysées. Si vous désélectionnez cette option, vous devez manuellement spécifier les cibles à analyser dans le champ Ajouter une cible. Saisissez la cible à analyser dans ce champ, puis cliquez sur Ajouter. La cible s'affiche alors dans le champ Cibles à analyser. Une cible à analyser peut être un fichier ou un emplacement. Vous pouvez également exécuter une analyse prédéfinie en utilisant l'une des chaînes suivantes en tant que cible à analyser : Cible à analyser Emplacements analysés ${DriveRemovable} Tous les lecteurs et périphériques amovibles. ${DriveRemovableBoot} Secteurs de démarrage de tous les lecteurs amovibles. ${DriveFixed} Disques durs (HDD, SSD). ${DriveFixedBoot} Secteurs de démarrage des disques durs. ${DriveRemote} Lecteurs réseau. ${DriveAll} Tous les lecteurs disponibles. ${DriveAllBoot} Secteurs de démarrage de tous les lecteurs. ${DriveSystem} Lecteurs système. ${Share} Lecteurs partagés (uniquement pour les produits serveur). ${Boot} Secteur de démarrage principal. ${Memory} Mémoire vive. ${Registry} (ESET Endpoint 8+) ${Wmi} (ESET Endpoint 8+) 111 EXEMPLE : Cibles à analyser Vous trouverez ci-dessous quelques exemples d'utilisation des paramètres cibles Analyse à la demande : ▪Fichier : C:\Users\Data.dat ▪Dossier C:\MyFolder ▪Fichier ou chemin Unix /usr/data ▪Emplacement UNC Windows \\server1\scan_folder ▪Chaîne prédéfinie ${Memory} Résumé Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un déclencheur ultérieurement. Pour créer un déclencheur par la suite, sélectionnez l'instance de la tâche cliente, puis Exécuter le dans le menu déroulant. Mise à jour du système d’exploitation La tâche Mise à jour du système d'exploitation sert à mettre à jour le système d'exploitation sur l'ordinateur client. Elle peut déclencher la mise à jour du système d'exploitation sur les systèmes d'exploitation Windows, macOS et Linux. macOS : la tâche installe toutes les mises à jour à l'aide de la commande suivante : /usr/sbin/softwareupdate --install --all Linux : la tâche installe toutes les mises à jour. Elle vérifie différents gestionnaires de packages, afin de couvrir la plupart des distributions. Général Saisissez des informations de base sur la tâche dans les champs Nom et Description (facultatif). La Catégorie de tâche et le Type de tâche sont présélectionnés en fonction de votre choix précédent. Le type de tâche (voir la liste de toutes les tâches client) définit les paramètres et le comportement de la tâche. Paramètres Les paramètres n'ont aucune influence sur la tâche si le périphérique cible s'exécute sous Linux et macOS. • Accepter automatiquement le CLUF : sélectionnez cette case à cocher si vous souhaitez accepter automatiquement le CLUF. Aucun texte ne sera affiché à l'utilisateur. Si vous n'acceptez pas le CLUF, la tâche ignore les mises à jour nécessitant l'acceptation du CLUF. • Installer les mises à jour facultatives : cette option s'applique uniquement aux systèmes d'exploitation Windows ; les mises à jour marquées comme facultatives ne seront pas installées. • Autoriser le redémarrage : cette option s'applique uniquement aux systèmes d'exploitation Windows. Elle entraîne le redémarrage de l'ordinateur client une fois les mises à jour installées. Si cette option n'est pas 112 sélectionnée, les mises à jour qui requièrent un redémarrage ne sont pas installées. Résumé Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un déclencheur ultérieurement. Pour créer un déclencheur par la suite, sélectionnez l'instance de la tâche cliente, puis Exécuter le dans le menu déroulant. Réinitialiser la base de données de Rogue Detection Sensor La tâche Réinitialiser la base de données de Rogue Detection Sensor sert à réinitialiser le cache de recherche RD Sensor. La tâche supprime le cache pour que les résultats de recherche puissent être de nouveau stockés. Elle ne supprime pas les ordinateurs détectés. Cette tâche s'avère utile lorsque les ordinateurs détectés figurent toujours dans le cache et ne sont pas signalés au serveur. Général Saisissez des informations de base sur la tâche dans les champs Nom et Description (facultatif). La Catégorie de tâche et le Type de tâche sont présélectionnés en fonction de votre choix précédent. Le type de tâche (voir la liste de toutes les tâches client) définit les paramètres et le comportement de la tâche. REMARQUE Aucun paramètre n'est disponible pour cette tâche. Résumé Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un déclencheur ultérieurement. Pour créer un déclencheur par la suite, sélectionnez l'instance de la tâche cliente, puis Exécuter le dans le menu déroulant. Gestion de la quarantaine La tâche Gestion de la quarantaine sert à gérer les objets en quarantaine ESMC Server, à savoir les objets infectés ou suspects détectés pendant l'analyse. 113 Général Saisissez des informations de base sur la tâche dans les champs Nom et Description (facultatif). La Catégorie de tâche et le Type de tâche sont présélectionnés en fonction de votre choix précédent. Le type de tâche (voir la liste de toutes les tâches client) définit les paramètres et le comportement de la tâche. Paramètres Paramètres de gestion de la quarantaine Action : sélectionnez l'action à exécuter sur l'objet en quarantaine. • Restaurer le ou les objets (restaure l'objet à son emplacement d'origine ; l'objet sera toutefois analysé et remis en quarantaine si les raisons de sa précédente mise en quarantaine subsistent). • Restaurer le ou les objets et les exclure dans le futur (restaure l'objet à son emplacement d'origine ; il ne sera plus remis en quarantaine). • Supprimer le ou les objets : supprime définitivement l'objet. Type de filtre : permet de filtrer les objets en quarantaine selon les critères définis ci-dessous. Ces critères sont la chaîne de hachage de l'objet ou des conditions. Paramètres de filtre conditionnel: • Paramètres de filtre de hachage : ajoutez des éléments de hachage dans le champ. Seuls des objets connus (un objet ayant été déjà mis en quarantaine, par exemple) peuvent être saisis. • Effectué du/au : définissez la période à laquelle l'objet a été mis en quarantaine. • Taille minimale/maximale (octets) : définissez la plage de tailles de l'objet mis en quarantaine (en octets). • Nom de la menace : sélectionnez une menace dans la liste des éléments mis en quarantaine. • Nom de l'objet : sélectionnez un objet dans la liste des éléments mis en quarantaine. Résumé Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un déclencheur ultérieurement. Pour créer un déclencheur par la suite, sélectionnez l'instance de la tâche cliente, puis Exécuter le dans le menu déroulant. Mettre à niveau les composants de Security Management Center La tâche Mettre à jour les composants de Security Management Center sert à mettre à niveau les composants d'ESMC (ESET Management Agent, ESMC Server, Webconsole et MDM). IMPORTANT Vous pouvez utiliser cette tâche pour effectuer une mise à niveau vers ESMC 7 uniquement depuis ERA versions 6.3 et ultérieures. La tâche de mise à niveau peut être exécutée uniquement sur un ordinateur sur lequel ESET Management Agent 114 est installé. L'Agent est également obligatoire sur un serveur ESMC Serveur. AVERTISSEMENT Ne mettez pas à jour les Agents avant la mise à jour d'ESMC Server. Les ESET Management Agents version 7.x utilisent un nouveau protocole de communication et ne peuvent pas se connecter à ERA Server 6.x. Pour éviter tout échec d'installation, ESMC effectue les vérifications suivantes avant d'installer ou de mettre à niveau les produits ESET : • accès au référentiel ; • espace disque suffisant (1 Go) sur l'ordinateur client (pas disponible pour Linux). REMARQUE Pour obtenir des instructions détaillées, reportez-vous à la section Mise à niveau des composants. Voir aussi mise à jour d'ESMC. Pour obtenir une autre méthode de mise à niveau d'ESET Security Management Center vers la dernière version, consultez l'article de la base de connaissances. Général Saisissez des informations de base sur la tâche dans les champs Nom et Description (facultatif). La Catégorie de tâche et le Type de tâche sont présélectionnés en fonction de votre choix précédent. Le type de tâche (voir la liste de toutes les tâches client) définit les paramètres et le comportement de la tâche. Paramètres Cochez la case J'accepte les termes du Contrat de Licence Utilisateur Final de l'application et j'ai pris connaissance de la Politique de confidentialité. Pour plus d'informations, reportez-vous à Gestion de licences ou CLUF. • Référencer Security Management Center Server : sélectionnez une version d'ESMC Server dans la liste. Tous les composants ESMC seront mis à niveau vers les versions compatibles avec le serveur sélectionné. • Redémarrage automatique si nécessaire : vous pouvez forcer le redémarrage du système d'exploitation client si l'installation le requiert. Résumé Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un déclencheur ultérieurement. Pour créer un déclencheur par la suite, sélectionnez l'instance de la tâche cliente, puis Exécuter le dans le menu déroulant. Redéfinir l'agent cloné Vous pouvez distribuer ESET Management Agent sur votre réseau par le biais d'une image prédéfinie, comme décrit dans cet article de la base de connaissances. Les Agents clonés possèdent le même SID, ce qui peut 115 entraîner des problèmes (plusieurs agents dotés du même SID). Pour résoudre ce problème, utilisez la tâche Redéfinir l'agent cloné pour redéfinir le SID afin d'attribuer aux agents une identité unique. ESET Management Agent identifie automatiquement les ordinateurs clients clonés s'exécutant sous Windows, sans la tâche Redéfinir l'agent cloné. Seuls les ordinateurs clients dotés de Linux et macOS (et les clients Windows pour lesquels la détection du matériel a été désactivée) ont besoin de cette table pour diviser les ordinateurs clonés. Général Saisissez des informations de base sur la tâche dans les champs Nom et Description (facultatif). La Catégorie de tâche et le Type de tâche sont présélectionnés en fonction de votre choix précédent. Le type de tâche (voir la liste de toutes les tâches client) définit les paramètres et le comportement de la tâche. AVERTISSEMENT Faites attention lors de l'exécution de cette tâche. Une fois l'ESET Management Agent actuel redéfini, toutes les tâches s'exécutant sur l'Agent sont annulées. REMARQUE Aucun paramètre n'est disponible pour cette tâche. Résumé Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un déclencheur ultérieurement. Pour créer un déclencheur par la suite, sélectionnez l'instance de la tâche cliente, puis Exécuter le dans le menu déroulant. Exécuter une commande La tâche Exécuter une commande peut servir à exécuter des instructions de ligne de commande spécifiques sur le client. L'administrateur peut spécifier l'entrée de ligne de commande à exécuter. IMPORTANT Les commandes sont exécutées sans accès à l'environnement du bureau. C'est la raison pour laquelle les commandes avec des exigences de GUI de l'application peuvent échouer. Vous pouvez utiliser les commandes ecmd avec la tâche Exécuter une commande. Pour plus d'informations, consultez cet article de la base de connaissances. Système d’exploitation Windows 116 La commande s'exécute en tant qu'utilisateur Local System Répertoire de travail par défaut C:\Windows\Temp Emplacements réseau accessibles La commande sera exécutée dans Uniquement les emplacements Invite de dans le domaine actuel et commande disponibles pour l'utilisateur Local (cmd.exe) System Linux ou macOS root /tmp Uniquement si l'emplacement est Console monté et disponible pour l'utilisateur root Général Saisissez des informations de base sur la tâche dans les champs Nom et Description (facultatif). La Catégorie de tâche et le Type de tâche sont présélectionnés en fonction de votre choix précédent. Le type de tâche (voir la liste de toutes les tâches client) définit les paramètres et le comportement de la tâche. Paramètres • Ligne de commande à exécuter : saisissez la ligne de commande à exécuter sur le ou les clients. • Répertoire de travail : saisissez un répertoire dans lequel la ligne de commande ci-dessus sera exécutée. EXEMPLE : Comment exécuter un script local Pour exécuter un script local qui se trouve sur un client dans C:\Users\user\script.bat suivez les étapes ci-après : 1. Créez une tâche client et sélectionnez Exécuter une commande. 2. Dans la section Paramètres, saisissez : Ligne de commande à exécuter: script.bat Répertoire de travail : C:\Users\user 3. Cliquez sur Terminer, créez un déclencheur et sélectionnez des clients cibles. Résumé Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un déclencheur ultérieurement. Pour créer un déclencheur par la suite, sélectionnez l'instance de la tâche cliente, puis Exécuter le dans le menu déroulant. Exécuter un script SysInspector La tâche Exécuter le script SysInspector sert à supprimer les objets indésirables du système. Avant d'utiliser cette tâche, un script SysInspector doit être exporté à partir d'ESET SysInspector. Une fois le script exporté, vous pouvez marquer les objets à supprimer et exécuter le script avec les données modifiées. Les objets marqués sont alors supprimés. REMARQUE Une fois la tâche terminée, vous pouvez consulter les résultats dans un rapport. Général Saisissez des informations de base sur la tâche dans les champs Nom et Description (facultatif). La Catégorie de tâche et le Type de tâche sont présélectionnés en fonction de votre choix précédent. Le type de tâche (voir la liste de toutes les tâches client) définit les paramètres et le comportement de la tâche. Paramètres • Script SysInspector : cliquez sur Parcourir pour accéder au script de service. Le script de service doit 117 être créé avant l'exécution de la tâche. • Action : vous pouvez Charger ou Télécharger un script à partir de la console ESMC. Résumé Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un déclencheur ultérieurement. Pour créer un déclencheur par la suite, sélectionnez l'instance de la tâche cliente, puis Exécuter le dans le menu déroulant. Envoyer le fichier à EDTD Vous pouvez envoyer un fichier pour l'analyse des logiciels malveillants (ESET Dynamic Threat Defense) depuis la console Web ESMC Console Web. Accédez à Menaces, cliquez sur une menace, puis sélectionnez Détails de la menace. Dans la fenêtre Détails de la menace, exécutez la tâche Envoyer le fichier à EDTD. Analyse du serveur Vous pouvez utiliser la tâche Analyse du serveur pour analyser les clients sur lesquels la solution ESET Server est installée. Le type d'analyse exécutée dépend de la solution ESET installée : Produit ESET File Security for Microsoft Windows Server Analyse Analyse Hyper-V Description Ce type d'analyse vous permet d'analyser les disques d'un serveur Microsoft Hyper-V, qui est une machine virtuelle, sans installer ESET Management Agent sur celle-ci. ESET Security pour Analyse de la base de Cette fonctionnalité permet à ESMC d'utiliser la cible à Microsoft SharePoint Server données SharePoint, analyser adéquate lors de l'exécution de la tâche client analyse Hyper-V Analyse du serveur sur un serveur doté d'ESET Security for Microsoft SharePoint. ESET Mail Security for Analyse de base de Cette fonctionnalité permet à ESMC d'utiliser la cible à Microsoft Exchange Server données de boîtes aux analyser adéquate. Lorsque ESMC exécute une tâche lettres à la demande, client Analyse du serveur, le produit collecte la liste analyse Hyper-V des cibles. Vous serez invité à sélectionner les cibles à analyser pour l'analyse de base de données de boîtes aux lettres à la demande sur ce serveur spécifique. ESET Mail Security pour IBM Analyse de base de Cette fonctionnalité permet à ESMC d'utiliser la cible à Domino données à la demande, , analyser adéquate lors de l'exécution de la tâche client analyse Hyper-V Analyse du serveur sur un serveur doté d'ESET Mail Security for IBM Domino. Général Saisissez des informations de base sur la tâche dans les champs Nom et Description (facultatif). La Catégorie de tâche et le Type de tâche sont présélectionnés en fonction de votre choix précédent. Le type de tâche (voir la liste de toutes les tâches client) définit les paramètres et le comportement de la tâche. • Cliquez sur Sélectionner sous Serveur analysé et sélectionnez un ordinateur sur lequel est installé un produit de sécurité (version 6 ou ultérieure). Vous êtes invité à sélectionner des lecteurs, des dossiers ou des 118 fichiers spécifiques à analyser sur cet ordinateur : • Sélectionnez un déclencheur pour cette tâche. Si vous préférez, vous pouvez définir une limitation. Par défaut, la tâche est exécutée dès que possible. Cibles à analyser ESMC contient la liste des cibles disponibles sur le serveur sélectionné. Pour utiliser cette liste, l'option Générer une liste des cibles doit être activée dans la politique du produit serveur sous Outils > Cibles à analyser ERA : • Générer une liste des cibles : activez ce paramètre pour permettre à ESMC de générer des listes de cibles. • Période de mise à jour [minutes] : la première génération de liste de cibles prendra environ la moitié de cette période. Sélectionnez les cibles à analyser dans la liste. Pour plus d'informations, consultez Cibles à analyser ERA. Résumé Toutes les options configurées sont affichées dans cette section. Examinez les paramètres et s'ils sont corrects, cliquez sur Terminer. La tâche est alors créée et prête à être utilisée. Installer un logiciel La tâche Installer un logiciel sert à installer ou mettre à niveau des logiciels sur les ordinateurs clients. Bien qu'elle soit principalement destinée à installer des produits ESET, vous pouvez l'utiliser pour installer n'importe quel logiciel. Pour éviter tout échec d'installation, ESMC effectue les vérifications suivantes avant d'installer ou de mettre à niveau les produits ESET : • accès au référentiel ; • espace disque suffisant (1 Go) sur l'ordinateur client (pas disponible pour Linux). REMARQUE • ESMC Server et ESET Management Agent doivent avoir accès à Internet pour accéder au référentiel et effectuer des installations. Si vous ne disposez pas d'un accès Internet, vous devez installer le logiciel client localement, car l'installation à distance ne fonctionnera pas. • Lorsque vous effectuez une tâche Installation de logiciel sur les ordinateurs d'un domaine sur lesquels s'exécute ESET Management Agent, l'utilisateur doit disposer d'une autorisation d'accès en lecture sur le dossier dans lequel sont stockés les programmes d'installation. Si besoin, suivez les étapes ci-dessous pour accorder ces autorisations. 1. Ajoutez un compte d'ordinateur Active Directory sur l'ordinateur exécutant la tâche (par exemple NewComputer$). 2. Accordez les autorisations de lecture à NewComputer$ en cliquant avec le bouton droit sur le dossier des programmes d'installation et en sélectionnant Propriétés > Partage > Partager dans le menu contextuel.Notez que le symbole $ doit figurer à la fin de la chaîne de nom d'ordinateur. Une installation à partir d'un emplacement partagé n'est possible que si l'ordinateur client se trouve dans un domaine. Général Saisissez des informations de base sur la tâche dans les champs Nom et Description (facultatif). La Catégorie de tâche et le Type de tâche sont présélectionnés en fonction de votre choix précédent. Le type de tâche (voir la liste de toutes les tâches client) définit les paramètres et le comportement de la tâche. Paramètres • Cliquez sur <Choisir une licence ESET>, puis sélectionnez la licence adéquate pour le produit installé dans la liste des licences disponibles. Cette opération ne fonctionne que pour les produits installés à partir du 119 référentiel, et non depuis une URL personnalisée. • Cliquez sur <Sélectionner un package> pour sélectionner un package d'installation dans le référentiel ou indiquez une URL de package. Une liste de packages disponibles s'affiche dans laquelle vous pouvez sélectionner le produit ESET à installer (ESET Endpoint Security, par exemple). Sélectionnez le package d'installation souhaité, puis cliquez sur OK. Si vous souhaitez indiquer une URL vers l'emplacement du package d'installation, saisissez-la ou copiez-la et collez-la (par exemple file://\\pc22\install\ees_nt64_ENU.msi) dans le champ de texte (n'utilisez pas d'URL qui requiert une authentification). http://adresse_serveur/ees_nt64_ENU.msi : si vous effectuez une installation à partir d'un serveur Web public ou depuis votre propre serveur HTTP. file://\\pc22\install\ees_nt64_ENU.msi : si vous effectuez l'installation à partir d'un chemin d'accès réseau. file://C:\installs\ees_nt64_ENU.msi : si vous effectuez l'installation à partir d'un chemin d'accès local. Cochez la case J'accepte les termes du Contrat de Licence Utilisateur Final de l'application et j'ai pris connaissance de la Politique de confidentialité. Pour plus d'informations, reportez-vous à Gestion de licences ou CLUF. Si nécessaire, vous pouvez spécifier des paramètres dans le champ Paramètres d’installation. Sinon, laissez ce champ vide. Cochez la case en regard de l'option Redémarrage automatique si nécessaire pour forcer un redémarrage automatique de l'ordinateur client après l'installation. Vous pouvez également décocher cette option pour redémarrer manuellement l'ordinateur client. REMARQUE Lors de l'installation de ESET Endpoint Antivirus ou ESET Endpoint Security versions 6.5 et ultérieure avec le paramètre d'installation CFG_LIVEGRID_ENABLED, le comportement du produit sera le suivant : Fonctionnalité CFG_LIVEGRID_ENABLED=0 CFG_LIVEGRID_ENABLED=1 Système de réputation ESET LiveGrid® Activée Activée (recommandé) Soumettre des statistiques anonymes Désactivée Activée Soumettre un échantillon Désactivée Activée Installation d'un logiciel tiers Vous pouvez utiliser la tâche Installer un logiciel pour installer un logiciel autre qu'ESET (tiers). Système d’exploitation Windows Types de fichier d'installation pris en charge .msi Linux .deb, .rpm, .sh macOS .pkg, .dmg (contenant un fichier .pkg) Les paramètres d'installation ne sont pas pris en charge. .apk Android 120 Prise en charge des paramètres d'installation La tâche Installer un logiciel effectue toujours une installation silencieuse des packages .msi. Vous ne pouvez pas spécifier de paramètres msiexec. Vous pouvez spécifier uniquement les paramètres utilisés par le package d'installation (uniques pour chaque package d'installation de logiciel). Vous ne pouvez utiliser des paramètres qu'avec les fichiers .sh (.deb et .rpm ne prennent pas en charge les paramètres). EXEMPLE Vous souhaitez installer un logiciel sous Linux à l'aide du fichier install_script.sh comportant deux paramètres : -a est le premier paramètre, -b est le second. Installation sur le terminal (en tant qu'utilisateur root, dans le dossier où se trouve install_script.sh) : ./install_script.sh -a parameter_1 -b parameter_2Installation à l'aide de la tâche Installer un logiciel : • Saisissez le chemin d'accès au fichier dans Installation par URL de package directe, par exemple : file:///home/user/Desktop/install_script.sh • Saisissez les paramètres d'installation : -a parameter_1 -b parameter_2. Résumé Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un déclencheur ultérieurement. Pour créer un déclencheur par la suite, sélectionnez l'instance de la tâche cliente, puis Exécuter le dans le menu déroulant. Mise à niveau d'un logiciel ESET La tâche Installer le logiciel peut être utilisée pour mettre à niveau les produits de sécurité ESET. Exécutez la tâche à l'aide du dernier package d'installation pour effectuer une installation de la dernière version sur la solution existante. Général Saisissez des informations de base sur la tâche dans les champs Nom et Description (facultatif). La Catégorie de tâche et le Type de tâche sont présélectionnés en fonction de votre choix précédent. Le type de tâche (voir la liste de toutes les tâches client) définit les paramètres et le comportement de la tâche. Paramètres Licence ESET : ne sélectionnez pas de licence lorsque vous effectuez une mise à niveau vers un produit actif. Ne sélectionnez une licence que lors de l'installation ou de la mise à niveau de produits qui ne sont pas actifs, ou si vous voulez que la licence en cours d'utilisation utilise une autre licence. Package à installer : sélectionnez la dernière version disponible dans le référentiel pour effectuer une mise à niveau. Cochez la case J'accepte les termes du Contrat de Licence Utilisateur Final de l'application et j'ai pris connaissance de la Politique de confidentialité. Pour plus d'informations, reportez-vous à Gestion de licences ou CLUF. Résumé Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un déclencheur ultérieurement. Pour créer un déclencheur par la suite, sélectionnez l'instance de la tâche cliente, puis 121 Exécuter le dans le menu déroulant. Mise à niveau d'ESET Security pour Microsoft SharePoint Si vous utilisez une tâche pour effectuer une mise à niveau depuis la version 4.x (ESET Security pour Microsoft SharePoint), la tâche sera annulée et renverra une erreur d'installation générale (0x643). Pour effectuer cette mise à niveau, consultez les instructions de mise à niveau d'ESET Security pour Microsoft SharePoint. À ne pas utiliser pour mettre à niveau les composants d'ESMC N'utilisez pas de tâche Installation de logiciels pour mettre à niveau les composants d'ESMC (Agent, Server, MDM). Utilisez plutôt la tâche de mise à niveau des composants. Désinstaller un logiciel La tâche Désinstallation de logiciel sert à désinstaller un produit ESET des ordinateurs clients lorsqu'ils ne sont plus nécessaires/souhaités. Une fois que vous avez désinstallé ESET Management Agent de l'ordinateur client, le produit de sécurité ESET peut conserver certains paramètres. IMPORTANT Il est recommandé de rétablir la valeur par défaut de certains paramètres que vous ne souhaitez pas conserver (protection par mot de passe, par exemple) à l'aide d'une politique avant d'interrompre la gestion d'un périphérique. De plus, tous les tâches s'exécutant sur l'Agent sont annulées. L'état d'exécution En cours, Terminé ou Échoué de cette tâche peut ne pas être affiché précisément dans ESMC Web Console selon la réplication. Une fois l'Agent désinstallé, vous pouvez gérer votre produit de sécurité par le biais de l'EGUI intégré ou d'eShell. Général Saisissez des informations de base sur la tâche dans les champs Nom et Description (facultatif). La Catégorie de tâche et le Type de tâche sont présélectionnés en fonction de votre choix précédent. Le type de tâche (voir la liste de toutes les tâches client) définit les paramètres et le comportement de la tâche. Paramètres Paramètres de désinstaller un logiciel Désinstaller : application de la liste : • Nom du package : sélectionnez un composant ESMC, un produit de sécurité client ou une application tierce. Tous les packages qui peuvent être installés sur le ou les clients sélectionnés sont affichés dans cette liste. • Version du package : vous pouvez supprimer une version spécifique (une version spécifique peut parfois poser problème) du package ou désinstaller toutes les versions d'un package. • Paramètres de désinstallation : vous pouvez spécifier des paramètres pour la désinstallation. • Redémarrage automatique si nécessaire : vous pouvez forcer le redémarrage du système d'exploitation client si la désinstallation le requiert. 122 Désinstaller - Antivirus tiers (créé avec OPSWAT) : pour obtenir la liste des antivirus compatibles, consultez notre article de la base de connaissances. Cette suppression est différente de la désinstallation effectuée par Ajout/suppression de programmes. Elle utilise d'autres méthodes pour supprimer entièrement les antivirus tiers, y compris les entrées de registre résiduelles ou d'autres traces. Suivez les instructions détaillées de l'article Remove third-party antivirus software from client computers using ERA (6.x) (en anglais) pour envoyer une tâche afin de supprimer les antivirus tiers des ordinateurs clients. Si vous souhaitez autoriser la désinstallation des applications protégées par mot de passe, consultez cet article de la base de connaissances. Résumé Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un déclencheur ultérieurement. Pour créer un déclencheur par la suite, sélectionnez l'instance de la tâche cliente, puis Exécuter le dans le menu déroulant. REMARQUE La tâche de désinstallation du produit de sécurité ESET peut échouer en raison d'une erreur liée au mot de passe, par exemple : Produit: ESET Endpoint Security -- Erreur 5004. Entrez un mot de passe valide pour continuer la désinstallation. Cela est dû à l'activation de la protection par mot de passe dans le produit de sécurité ESET. Appliquez une politique aux ordinateurs clients pour supprimer la protection par mot de passe. Vous pouvez ensuite désinstaller le produit de sécurité ESET via la tâche de désinstallation de logiciel. Activation du produit Suivez ces étapes pour activer un produit de sécurité ESET sur un ordinateur client ou un périphérique mobile. Général Saisissez des informations de base sur la tâche dans les champs Nom et Description (facultatif). La Catégorie de tâche et le Type de tâche sont présélectionnés en fonction de votre choix précédent. Le type de tâche (voir la liste de toutes les tâches client) définit les paramètres et le comportement de la tâche. Paramètres Paramètres d'activation du produit : sélectionnez dans la liste une licence pour le client. Cette licence est appliquée aux produits déjà installés sur le client. Si vous ne voyez aucune licence, accédez à Licences - ajouter une nouvelle licence. IMPORTANT La tâche Activation du produit peut être exécutée sur les appareils mobiles (ESET Endpoint pour Android utilisant une licence hors ligne. Résumé 123 Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un déclencheur ultérieurement. Pour créer un déclencheur par la suite, sélectionnez l'instance de la tâche cliente, puis Exécuter le dans le menu déroulant. Demande de journal SysInspector (Windows uniquement) La tâche Demander un rapport SysInspector sert à demander le journal SysInspector d'un produit de sécurité client qui possède cette fonction. Général Saisissez des informations de base sur la tâche dans les champs Nom et Description (facultatif). La Catégorie de tâche et le Type de tâche sont présélectionnés en fonction de votre choix précédent. Le type de tâche (voir la liste de toutes les tâches client) définit les paramètres et le comportement de la tâche. Paramètres • Stocker le journal sur le client : sélectionnez cette option si vous souhaitez stocker le journal SysInspector sur le client et dans ESMC Server. Lorsqu'un client dispose par exemple d'ESET Endpoint Security, le journal est généralement stocké sous C:\Program Data\ESET\ESET Endpoint Antivirus\SysInspector. Résumé Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un déclencheur ultérieurement. Pour créer un déclencheur par la suite, sélectionnez l'instance de la tâche cliente, puis Exécuter le dans le menu déroulant. Charger un fichier mis en quarantaine La tâche Charger un fichier mis en quarantaine sert à gérer les fichiers mis en quarantaine sur les clients. Vous pouvez télécharger le fichier mis en quarantaine de la quarantaine vers un emplacement spécifique pour une investigation plus poussée. Général 124 Saisissez des informations de base sur la tâche dans les champs Nom et Description (facultatif). La Catégorie de tâche et le Type de tâche sont présélectionnés en fonction de votre choix précédent. Le type de tâche (voir la liste de toutes les tâches client) définit les paramètres et le comportement de la tâche. Paramètres • Objet mis en quarantaine : sélectionnez un objet spécifique mis en quarantaine. • Mot de passe de l'objet : saisissez un mot de passe pour chiffrer l'objet à des fins de sécurité. Veuillez noter que le mot de passe sera affiché dans le rapport correspondant. • Chemin de chargement : saisissez un chemin d'accès à un emplacement dans lequel charger l'objet. • Mot de passe/nom d'utilisateur de chargement : si l'emplacement requiert une authentification (partage réseau, etc.), saisissez les informations d'identification pour accéder à ce chemin. Résumé Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un déclencheur ultérieurement. Pour créer un déclencheur par la suite, sélectionnez l'instance de la tâche cliente, puis Exécuter le dans le menu déroulant. Mise à jour des modules La tâche Mise à jour des modules force la mise à jour de tous les modules du produit de sécurité installé sur un périphérique cible. Il s'agit d'une tâche générale pour tous les produits de sécurité sur tous les systèmes. La liste de tous les modules du produit de sécurité cible figure dans la section À propos de du produit de sécurité. Général Saisissez des informations de base sur la tâche dans les champs Nom et Description (facultatif). La Catégorie de tâche et le Type de tâche sont présélectionnés en fonction de votre choix précédent. Le type de tâche (voir la liste de toutes les tâches client) définit les paramètres et le comportement de la tâche. Paramètres • Effacer le cache de mise à jour : cette option supprime les fichiers de mise à jour temporaires du cache sur le client. Elle peut être souvent utilisée pour corriger les erreurs de mise à jour des modules. Résumé Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un déclencheur ultérieurement. Pour créer un déclencheur par la suite, sélectionnez l'instance de la tâche cliente, puis Exécuter le dans le menu déroulant. 125 Restauration de la mise à jour des modules Si une mise à jour de modules entraîne des problèmes ou si vous ne souhaitez pas appliquer une mise à jour à tous les clients (lors de tests ou de l'utilisation de mises à jour de version bêta), vous pouvez utiliser la tâche Restauration de la mise à jour des modules. Lorsque vous exécutez cette tâche, la version précédente des modules est rétablie. Général Saisissez des informations de base sur la tâche dans les champs Nom et Description (facultatif). La Catégorie de tâche et le Type de tâche sont présélectionnés en fonction de votre choix précédent. Le type de tâche (voir la liste de toutes les tâches client) définit les paramètres et le comportement de la tâche. Paramètres Développez cette section pour personnaliser les paramètres de restauration de la mise à jour des modules. Action • Activer les mises à jour : les mises à jour sont activées et le client recevra la prochaine mise à jour des modules. • Restaurer et désactiver les mises à jour pendant les prochaines : les mises à jour sont désactivées pendant la période spécifiée dans le menu déroulant Désactiver l’intervalle (24, 36, 48 heures ou jusqu'à révocation). IMPORTANT Utilisez l'option Jusqu'à révocation avec prudence, car elle présente un risque pour la sécurité. Résumé Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un déclencheur ultérieurement. Pour créer un déclencheur par la suite, sélectionnez l'instance de la tâche cliente, puis Exécuter le dans le menu déroulant. Afficher le message La tâche Afficher le message vous permet d'envoyer un message à n'importe quel périphérique administré 126 (ordinateur client, tablette, périphérique mobile, etc.). Le message est affiché à l'écran afin d'informer l'utilisateur. • Windows : le message s'affichage sous forme de notification. IMPORTANT Sous Windows, la tâche client Afficher le message utilise la commande msg.exe qui figure uniquement dans les éditions Windows Professionnel/Entreprise. Vous ne pouvez donc pas utiliser cette tâche pour afficher un message sur un ordinateur client exécutant Windows édition Familiale. • macOS et Linux : le message s'affiche uniquement sur un terminal. REMARQUE Pour consulter le message sous macOS ou Linux, vous devez d'abord ouvrir le terminal. Général Saisissez des informations de base sur la tâche dans les champs Nom et Description (facultatif). La Catégorie de tâche et le Type de tâche sont présélectionnés en fonction de votre choix précédent. Le type de tâche (voir la liste de toutes les tâches client) définit les paramètres et le comportement de la tâche. Paramètres Vous pouvez saisir un titre et votre message. Résumé Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un déclencheur ultérieurement. Pour créer un déclencheur par la suite, sélectionnez l'instance de la tâche cliente, puis Exécuter le dans le menu déroulant. Actions Antivol La fonction Antivol protège un périphérique mobile contre les accès non autorisés. En cas de perte ou de vol d'un périphérique mobile (inscrit et administré par ESMC), certaines actions sont automatiquement exécutées tandis que d'autres peuvent être effectuées à l'aide d'une tâche de client. Si une personne non autorisée remplace une carte SIM approuvée par une carte non approuvée, le périphérique est automatiquement verrouillé par ESET Endpoint Security pour Android. En outre, une alerte est envoyée par SMS aux numéros de téléphone définis par l'utilisateur. Ce message contient les informations suivantes : • Numéro de téléphone de la carte SIM en cours d'utilisation • Numéro IMSI (International Mobile Subscriber Identity) • Numéro IMEI (International Mobile Equipment Identity) du périphérique mobile L'utilisateur non autorisé n'est pas avisé de l'envoi de ce message, car il est automatiquement supprimé des fils des messages de l'appareil. Il est également possible de demander les coordonnées GPS du périphérique mobile 127 égaré ou d'effacer à distance toutes les données stockées sur le périphérique à l'aide d'une tâche de client. Général Saisissez des informations de base sur la tâche dans les champs Nom et Description (facultatif). La Catégorie de tâche et le Type de tâche sont présélectionnés en fonction de votre choix précédent. Le type de tâche (voir la liste de toutes les tâches client) définit les paramètres et le comportement de la tâche. Paramètres Action Recherchez le fichier Verrouiller Déverrouiller Sirène Effacer Réinitialisation améliorée des paramètres d'usine Trouver (activer le mode Perdu) Désactiver le mode Perdu 128 Comportement sur le système d'exploitation mobile Description Le périphérique répondra en envoyant un message texte contenant ses coordonnées GPS. En cas de localisation plus précise dans les 10 minutes, il renverra le message. Les informations reçues s'affichent dans les détails de l'ordinateur. Non prise en charge. Le périphérique sera verrouillé. Il pourra être déverrouillé à l'aide du mot de passe Administrateur ou de la commande de déverrouillage. Le périphérique sera verrouillé. Il pourra être déverrouillé à l'aide du code secret iOS ou de la commande de déverrouillage. Le périphérique sera déverrouillé pour pouvoir être réutilisé. La carte SIM actuelle du périphérique sera enregistrée en tant que carte SIM approuvée. Le périphérique sera déverrouillé pour pouvoir être réutilisé. Cette tâche supprime également l'ensemble des empreintes digitales et des codes secrets stockés et désactive Apple Pay, iPhone Unlock, iTunes et App Store. Le périphérique sera verrouillé et il émettra un son très fort pendant 5 minutes (ou jusqu'à ce qu'il soit déverrouillé). Non prise en charge. Toutes les données accessibles sur le périphérique seront effacées (les fichiers seront remplacés). ESET Endpoint Security sera conservé sur le périphérique. Cette opération peut prendre plusieurs heures. Toutes les données accessibles sur le périphérique seront effacées (les fichiers seront remplacés). Cette opération peut prendre plusieurs heures. Toutes les données accessibles sur le périphérique seront effacées (les en-têtes des fichiers seront détruits) et les paramètres d'usine par défaut seront rétablis. Cette opération peut prendre plusieurs minutes. Cette action n'est pas disponible dans le menu contextuel Ordinateurs > Mobile. Non prise en charge. Pris en charge sur DEP iOS uniquement. Le périphérique passera en « mode Perdu », se verrouillera et ne pourra être déverrouillé qu'en exécutant la tâche Désactiver le mode perdu depuis ESMC. Vous pouvez personnaliser le message qui sera affiché sur l'écran du périphérique perdu.. Pris en charge sur DEP iOS uniquement. Résumé Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un déclencheur ultérieurement. Pour créer un déclencheur par la suite, sélectionnez l'instance de la tâche cliente, puis Exécuter le dans le menu déroulant. Arrêter l'administration (désinstaller ESET Management Agent) Cette tâche désinstalle ESET Management Agent des périphériques cibles sélectionnés. Si un poste de travail est sélectionné, la tâche supprime ESET Management Agent. Si un périphérique mobile est sélectionné, cette tâche annule l'inscription MDM du périphérique mobile. Une fois que le périphérique n'est plus administré (l'Agent est supprimé), certains paramètres peuvent être conservés dans les produits gérés. 129 IMPORTANT Il est recommandé de rétablir la valeur par défaut de certains paramètres que vous ne souhaitez pas conserver (protection par mot de passe, par exemple) à l'aide d'une politique avant d'interrompre la gestion d'un périphérique. De plus, tous les tâches s'exécutant sur l'Agent sont annulées. L'état d'exécution En cours, Terminé ou Échoué de cette tâche peut ne pas être affiché précisément dans ESMC Web Console selon la réplication. Une fois l'Agent désinstallé, vous pouvez gérer votre produit de sécurité par le biais de l'EGUI intégré ou d'eShell. Général Saisissez des informations de base sur la tâche dans les champs Nom et Description (facultatif). La Catégorie de tâche et le Type de tâche sont présélectionnés en fonction de votre choix précédent. Le type de tâche (voir la liste de toutes les tâches client) définit les paramètres et le comportement de la tâche. REMARQUE Aucun paramètre n'est disponible pour cette tâche. Résumé Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un déclencheur ultérieurement. Pour créer un déclencheur par la suite, sélectionnez l'instance de la tâche cliente, puis Exécuter le dans le menu déroulant. Exporter la configuration des produits administrés La tâche Exporter la configuration des produits administrés sert à exporter les paramètres d'un composant ESMC ou d'un produit ESET installé sur le ou les clients. Général Saisissez des informations de base sur la tâche dans les champs Nom et Description (facultatif). La Catégorie de tâche et le Type de tâche sont présélectionnés en fonction de votre choix précédent. Le type de tâche (voir la liste de toutes les tâches client) définit les paramètres et le comportement de la tâche. Paramètres Exporter les paramètres de configuration des produits gérés • Produit : sélectionnez un composant ESMC ou un produit de sécurité client pour lequel vous souhaitez exporter la configuration. Résumé Passez en revue le résumé des paramètres configurés, puis cliquez sur Terminer. La tâche client est alors créée et une fenêtre contextuelle s'ouvre. Nous vous recommandons de cliquer sur Créer un déclencheur pour spécifier quand cette tâche client doit être exécutée et sur quelles cibles. Si vous cliquez sur Fermer, vous pouvez créer un déclencheur ultérieurement. Pour créer un déclencheur par la suite, sélectionnez l'instance de la tâche cliente, puis Exécuter le dans le menu déroulant. 130 Attribuer une tâche à un groupe Cliquez sur Autre > Groupes, sélectionnez ensuite groupe statique ou dynamique > sélectionné ou sur Groupe, puis sur en regard du groupe Nouvelle tâche. Il est possible de faire la même chose à partir de Ordinateurs, sélectionnez ensuite groupe Statique ou Dynamique et cliquez sur l'icône de roue crantée client s'ouvre. > Nouvelle tâche. La fenêtre Assistant Nouvelle tâche Attribuer une tâche à un ou des ordinateurs Trois méthodes permettent d'attribuer une tâche à un ou des ordinateurs. 1. Accédez à Tableau de bord > Ordinateurs présentant des problèmes, sélectionnez un ordinateur, cliquez sur Ordinateur, puis sélectionnez 131 Nouvelle tâche. 2. Accédez à Ordinateur, sélectionnez un ou des ordinateurs à l'aide des cases à cocher, puis Nouvelle tâche 3. Accédez à Autre > Groupes, sélectionnez un ou des ordinateurs, cliquez sur le bouton Tâches, sélectionnez Nouvelle tâche 132 La fenêtre Assistant Nouvelle tâche client s'ouvre. Déclencheurs des tâches client Les déclencheurs sont essentiellement des capteurs qui réagissent à certains événements d'une manière prédéfinie. Ils sont utilisés pour exécuter la tâche client qui leur est attribuée. Ils peuvent être activés par le planificateur (événements temporels) ou lorsqu'un événement système spécifique se produit. IMPORTANT Il n'est pas possible de réutiliser un déclencheur. Chaque tâche client doit être déclenchée par un déclencheur distinct, et chaque déclencheur ne peut exécuter qu'une seule tâche. Chaque déclencheur ne peut exécuter qu'une seule tâche client. Le déclencheur n'exécute pas immédiatement les tâches nouvellement attribuées (sauf le déclencheur Dès que possible). Celles-ci sont exécutées dès que le déclencheur est déclenché. La sensibilité d'un déclencheur face aux événements peut être réduite à l'aide d'une limitation. Types de déclencheur client : • Dès que possible : la tâche sera exécutée dès que vous aurez cliqué sur Terminer. La date d'expiration indique la date après laquelle la tâche ne sera plus exécutée. Planifié • Planifier une fois : ce déclencheur est appelé une fois aux date et heure planifiées. Il peut être retardé par un intervalle aléatoire. • Quotidiennement : ce déclencheur est appelé chaque jour sélectionné. Vous pouvez définir le début et la fin de l'intervalle. Par exemple, vous pouvez exécuter une tâche serveur pendant dix week-ends consécutifs. • Chaque semaine : ce déclencheur est appelé le jour sélectionné de la semaine. Par exemple, exécuter une tâche client tous les lundis et les vendredis entre le 1er juillet et le 31 août. • Mensuel : ce déclencheur est appelé les jours sélectionnés de la semaine définie dans le mois, pendant la période sélectionnée. La valeur de l'option Répéter définit le jour du mois (le deuxième lundi, par exemple) pendant lequel la tâche doit s'exécuter. • Annuel : ce déclencheur est appelé une fois par an (ou pendant plusieurs années, en fonction de la 133 configuration) à la date de début spécifiée. REMARQUE Un intervalle de délai aléatoire peut être défini pour les déclencheurs planifiés. Il définit le délai maximal d'exécution de la tâche. Le caractère aléatoire peut empêcher une surcharge du serveur. EXEMPLE Si John définit qu'une tâche client doit être déclenchée le lundi de chaque semaine, à partir du 10 février 2017 à 8:00:00, avec un intervalle de délai aléatoire d'une heure, et qu'elle doit se terminer le 6 avril 2017 à 00:00:00, la tâche s'exécutera avec un délai aléatoire d'une heure entre 8:00 et 9:00, tous les lundis, jusqu'à la date de fin spécifiée. REMARQUE Cochez la case Appeler dès que possible en cas d'événement manqué pour exécuter immédiatement la tâche si elle n’a pas été exécutée à l’heure définie. Cochez la case Utiliser l'heure locale pour utiliser le fuseau horaire local du périphérique cible à la place de celui de la console ESMC pour le déclencheur. Autre • Déclencheur A rejoint le groupe dynamique : ce déclencheur est appelé chaque fois qu'un périphérique rejoint le groupe dynamique. • Déclencheur du journal des événements - Ce déclencheur est invoqué lorsqu'un événement précis se produit dans les journaux. Par exemple, si une menace est détectée dans le journal d'analyse. Ce type de déclencheur propose un ensemble de paramètres spéciaux dans les paramètres de la limitation. • Expression CRON : ce déclencheur est appelé à une date et une heure spécifiques. REMARQUE Le déclencheur A rejoint le groupe dynamique n'est disponible que si un groupe dynamique est sélectionné dans la section Cible. Le déclencheur exécute la tâche uniquement sur les périphériques qui ont rejoint le groupe dynamique après la création du déclencheur. Vous devrez exécuter la tâche manuellement pour tous les périphériques se trouvant déjà dans le groupe dynamique. Un déclencheur planifié exécute la tâche selon des paramètres de date et d'heure. Les tâches peuvent être planifiées pour s'exécuter une seule fois, de manière récurrente ou selon une expression CRON. Exécutions des tâches client Il est possible de suivre l'état de chaque tâche client sous Tâches client. Pour chaque tâche, une barre d'indicateur de progression et une icône État sont affichées. Vous pouvez Descendre dans la hiérarchie pour afficher des détails supplémentaires sur une tâche client donnée et effectuer des actions supplémentaires comme Exécuter sur ou Réexécuter en cas d'échec. IMPORTANT Vous devez créer un déclencheur pour exécuter toutes les tâches client. REMARQUE de nombreuses données étant réévaluées pendant ce processus, son exécution peut donc durer plus longtemps que dans les versions précédentes (selon la tâche client, le déclencheur client et le nombre total d'ordinateurs). 134 Pour plus d'informations sur les différents types d'icône et les états, reportez-vous à Icône d'état. Actions de la tâche client (cliquez sur une tâche client pour afficher le menu contextuel) : Afficher les détails Les Détails de la tâche de client affichent des informations résumées sur la tâche. Cliquez sur l'onglet Exécutions pour faire passer la vue au résultat de chaque exécution. Vous pouvez Descendre dans la hiérarchie pour afficher plus de détails sur une tâche client donnée. Si les exécutions sont trop nombreuses, vous pouvez filtrer la vue pour limiter les résultats. REMARQUE Lors de l'installation de produits ESET plus anciens, le rapport de la tâche client indiquera : La tâche a été remise au produit géré. Cette option permet de modifier la tâche client sélectionnée. La modification de tâches existantes s'avère utile lorsque vous ne devez effectuer que quelques petits ajustements. Pour des tâches plus uniques, vous préférerez peut-être les créer. Cette option permet de créer une nouvelle tâche selon la tâche sélectionnée. Un nouveau Dupliquer nom est requis pour la tâche en double. Supprime entièrement la ou les tâches sélectionnées. Supprimer • Si la tâche est supprimée après sa création mais avant le démarrage planifié, elle sera supprimée et ne fonctionnera jamais. • Si la tâche est supprimée après son exécution, la tâche sera terminée mais les informations ne seront pas affichées dans la console Web. Ajoutez un nouveau déclencheur et sélectionnez des ordinateurs ou des groupes cibles pour Exécuter sur cette tâche. Réexécuter en Crée un déclencheur ayant pour cibles tous les ordinateurs sur lesquels l'exécution précédente de la tâche a échoué. Vous pouvez modifier les paramètres de la tâche, si vous cas d'échec préférez, ou cliquer sur Terminer pour réexécuter la tâche inchangée. Groupe d'accès Permet de déplacer la tâche client vers un groupe statique différent. Modifier 135 Actions Exécution (utilisez le signe pour développer la tâche client et afficher ses exécutions/déclencheurs ; cliquez sur le déclencheur pour afficher un menu contextuel) : Modifier Réexécuter dès que possible Cette option permet de modifier le déclencheur sélectionné. Vous pouvez réexécuter la tâche client (dès que possible) en utilisant directement le déclencheur existant aucune modification. Supprimer Supprime entièrement le déclencheur sélectionné. Dupliquer Cette option permet de créer un déclencheur sur la base de celui sélectionné. Un nouveau nom est requis pour le nouveau déclencheur. Filtre Accéder au groupe Le bouton de filtre Accéder au groupe permet aux utilisateurs de sélectionner un groupe statique et de filtrer les objets visualisés selon le groupe qui les contient. Ajout d'un filtre et de présélections de filtres Pour ajouter des critères de filtre, cliquez sur Ajouter un filtre et sélectionnez un ou des éléments dans la liste. Saisissez la ou les chaînes de recherche dans le ou les champs de filtre. Les filtres actifs sont mis en surbrillance en bleu. Les filtres peuvent être enregistrés dans votre profil utilisateur afin que vous puissiez les réutiliser ultérieurement. Sous Présélections, les options suivantes sont disponibles : Jeux de filtres : il s'agit des filtres enregistrés. Cliquez sur l'un d'entre eux pour l'appliquer. Le filtre appliqué est signalé par une coche . Sélectionnez Inclure les colonnes visibles, le tri et la pagination pour enregistrer ces paramètres dans la présélection. 136 Enregistrer le jeu de filtres : enregistrez la configuration actuelle du filtre comme nouvelle présélection. Une fois la présélection enregistrée, vous ne pouvez pas modifier la configuration du filtre dans la présélection. Gérer les jeux de filtres : supprimez ou renommez les présélections existantes. Cliquez sur Enregistrer pour appliquer les modifications aux présélections. Effacer les valeurs de filtre : cliquez pour supprimer uniquement les valeurs actuelles des filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres : cliquez sur cette option pour supprimer les filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres inutilisés : permet de supprimer les champs de filtre sans valeur. Indicateur de progression L'indicateur de progression est une barre de couleurs qui montre l'état de l'exécution d'une tâche client. Chaque tâche client possède son propre indicateur (affiché dans la ligne Progression). L'état d'exécution d'une tâche client s'affiche dans trois couleurs différentes et comprend le nombre d'ordinateurs dans cet état pour une tâche donnée : En cours (bleu) Correctement terminé (vert) Échec (orange) Tâche client nouvellement créée (blanc) : il peut falloir un peu de temps pour que l'indicateur change de couleur. ESMC Server doit recevoir une réponse d'ESET Management Agent pour afficher l'état d'exécution. L'indicateur de progression sera blanc si aucun déclencheur n'est attribué. Une combinaison de ce qui précède Lorsque vous cliquez sur la barre de couleurs, vous pouvez sélectionner des résultats d'exécution et effectuer d'autres tâches, si nécessaire. Pour plus d'informations, voir Descendre dans la hiérarchie. Pour plus d'informations sur les différents types d'icône et les états, reportez-vous à Icône d'état. 137 IMPORTANT L'indicateur de progression montre l'état d'une tâche client lors de sa dernière exécution. Ces informations sont fournies par ESET Management Agent. L'indicateur de progression montre les informations qu'ESET Management Agent signale à partir des ordinateurs client. Icône d'état L'icône en regard de l'indicateur de progression fournit des informations supplémentaires. Elle indique si des exécutions sont planifiées pour une tâche client donnée ainsi que le résultat des exécutions terminées. Ces informations sont énumérées par ESMC Server. Les états suivants sont possibles : En cours Réussite Erreur Planifiée La tâche client est en cours d'exécution sur au moins une cible ; aucune exécution n'est planifiée ou n'a échoué. Cela s'applique même si la tâche client a déjà été terminée sur certaines cibles. La tâche client s'est terminée sur toutes les cibles ; aucune exécution n'est planifiée ou en cours. La tâche client a été exécutée sur toutes les cibles, mais a échoué sur au moins une d'elles. Aucune autre exécution n'est planifiée. L'exécution de la tâche client est planifiée, mais aucune exécution n'est en cours. Planifiée/En cours La tâche client a des exécutions planifiées (du passé ou dans le futur). Aucune exécution n'a échoué et au moins une exécution est en cours. Planifiée/Réussite La tâche client a encore quelques exécutions planifiées (du passé ou dans le futur), aucune exécution n'a échoué ou n'est en cours, et au moins une exécution a réussi. La tâche client a encore quelques exécutions planifiées (du passé ou dans le futur), aucune Planifiée/Erreur exécution n'est en cours et au moins une exécution a échoué. Cela s'applique même si certaines exécutions se sont terminées avec succès. Descendre dans la hiérarchie Lorsque vous cliquez sur la barre de couleurs de l'indicateur de progression, vous pouvez sélectionner l'un des résultats suivants : • Afficher tout • Afficher les exécutions planifiées • Afficher les exécutions en cours • Afficher les réussites • Afficher les échecs Une fenêtre Exécutions affiche la liste des ordinateurs avec le résultat sélectionné (à l'aide d'un filtre). Les ordinateurs dont le résultat est différent de celui qui a été sélectionné ne sont pas affichés. Vous pouvez modifier le filtre ou le désactiver pour afficher tous les ordinateurs indépendamment de leur dernier état. 138 Vous pouvez également descendre d'un autre niveau dans la hiérarchie, en sélectionnant par exemple Historique afin d'afficher les détails sur l'exécution de la tâche client, notamment la date d'exécution, l'état actuel, la progression et le message de suivi (le cas échéant). Vous pouvez cliquer sur Nom de l'ordinateur ou Description de l'ordinateur, puis effectuer d'autres actions, si nécessaire. Vous pouvez également afficher les détails de l'ordinateur pour un client spécifique. 139 REMARQUE Si le tableau de l'historique des exécutions ne contient aucune entrée, définissez le filtre Produit sur une durée plus longue. Déclencheur Il faut attribuer un déclencheur à une tâche client pour qu'elle soit exécutée. Pour définir un déclencheur, sélectionnez les ordinateurs ou les groupes cibles sur lesquels une tâche client doit être exécutée. Lorsque la ou les cibles sont sélectionnées, définissez les conditions du déclencheur pour exécuter la tâche à un moment précisé ou lors d'un événement. Vous pouvez également utiliser Paramètres avancés de la limitation pour optimiser le déclencheur, si nécessaire. Général Saisissez des informations de base sur le Déclencheur dans le champ Description, puis cliquez sur Cible. Cible La fenêtre Cible vous permet de spécifier les clients (ordinateurs ou groupes) destinataires de cette tâche. • Cliquez sur Ajouter des ordinateurs pour afficher tous les groupes statiques et dynamiques et sélectionner des périphériques. • Cliquez sur Ajouter des groupes pour afficher tous les groupes statiques et dynamiques et leurs membres et sélectionner des périphériques. Après la sélection, cliquez sur OK, puis passez à la section Déclencheur. 140 Déclencheur Le déclencheur détermine l'événement qui déclenche la tâche. • Dès que possible : exécute la tâche dès que le client se connecte à ESET Security Management Center Server et la reçoit. Si la tâche ne peut pas être effectuée avant la date d'expiration, elle est retirée de la file d'attente. La tâche n'est pas supprimée, mais elle ne sera pas exécutée. • Planifié : exécute la tâche à une date sélectionnée. • Déclencheur lié au Journal des événements : exécute la tâche selon les événements spécifiés dans cette zone. Ce déclencheur est invoqué lorsqu'un événement d'un certain type se produit dans les journaux. Définissez le type de journal, l'opérateur logique et les critères de filtrage qui déclencheront cette tâche. • Déclencheur A rejoint le groupe dynamique : ce déclencheur exécute la tâche lorsqu'un client rejoint le groupe dynamique sélectionné dans l'option cible. Si un groupe statique ou un client a été sélectionné, cette option ne sera pas disponible. • Expression CRON : vous pouvez également définir un intervalle pour le déclencheur à l'aide d'une expression CRON. REMARQUE Pour plus d'informations sur les déclencheurs, reportez-vous au chapitre Déclencheurs. Paramètres avancés de la limitation Une limitation sert à limiter l'exécution d'une tâche si cette dernière est déclenchée par un événement qui se produit fréquemment, comme dans les cas Déclencheur lié au Journal des événements et Déclencheur A rejoint le groupe dynamique (voir ci-dessus). Pour plus d'informations, reportez-vous au chapitre Limitation. Lorsque vous avez défini les destinataires et les déclencheurs de cette tâche, cliquez sur Terminer. Programmes d'installation Cette section permet de créer des packages d'installation de l'Agent pour déployer ESET Management Agent sur les ordinateurs clients. Les packages d'installation sont enregistrés dans ESMC Web Console. Vous pouvez les modifier et les télécharger de nouveau en cas de besoin. 1. Cliquez sur Programmes d'installation > Créer un programme d'installation. 2. Sélectionnez le type de programme d'installation que vous souhaitez créer. Les options sont les suivantes : • Package d'installation tout-en-un Suivez les étapes de la création de progiciel pour configurer le programme d'installation tout-en-un, ce qui permet des options de configuration avancées. Ces options incluent une politique pour ESET Management Agent et le produit ESET, le nom d'hôte, le port pour le ESMC Server ainsi que la possibilité de sélectionner un groupe parent. REMARQUE Une fois le package d'installation tout-en-un créé et téléchargé, vous pouvez déployer ESET Management Agent de deux manière différentes : • Localement, sur un ordinateur client • À l'aide de l'outil de déploiement ESET Remote Deployment Tool afin de déployer simultanément les ESET Management Agents sur plusieurs ordinateurs client. • Programme d'installation Agent Live Suivez les étapes décrites dans la section Création du package pour configurer le programme d'installation. Ce type de déploiement d'agent s'avère utile lorsque les options de déploiement local et à distance ne vous conviennent pas. Dans ce cas, vous pouvez distribuer le programme d'installation Agent Live par courrier électronique et laisser l'utilisateur le déployer. Vous pouvez également l'exécuter à partir d'un support amovible (clé USB, par exemple). • GPO ou SCCM Filtre Accéder au groupe 141 Le bouton de filtre Accéder au groupe permet aux utilisateurs de sélectionner un groupe statique et de filtrer les objets visualisés selon le groupe qui les contient. Ajout d'un filtre et de présélections de filtres Pour ajouter des critères de filtre, cliquez sur Ajouter un filtre et sélectionnez un ou des éléments dans la liste. Saisissez la ou les chaînes de recherche dans le ou les champs de filtre. Les filtres actifs sont mis en surbrillance en bleu. Les filtres peuvent être enregistrés dans votre profil utilisateur afin que vous puissiez les réutiliser ultérieurement. Sous Présélections, les options suivantes sont disponibles : Jeux de filtres : il s'agit des filtres enregistrés. Cliquez sur l'un d'entre eux pour l'appliquer. Le filtre appliqué est signalé par une coche . Sélectionnez Inclure les colonnes visibles, le tri et la pagination pour enregistrer ces paramètres dans la présélection. Enregistrer le jeu de filtres : enregistrez la configuration actuelle du filtre comme nouvelle présélection. Une fois la présélection enregistrée, vous ne pouvez pas modifier la configuration du filtre dans la présélection. Gérer les jeux de filtres : supprimez ou renommez les présélections existantes. Cliquez sur Enregistrer pour appliquer les modifications aux présélections. Effacer les valeurs de filtre : cliquez pour supprimer uniquement les valeurs actuelles des filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres : cliquez sur cette option pour supprimer les filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres inutilisés : permet de supprimer les champs de filtre sans valeur. Programmes d'installation et autorisations Un utilisateur peut créer ou modifier des programmes d'installation qui figurent dans des groupes pour lesquels il dispose de l'autorisation Écrire pour les programmes d'installation stockés. REMARQUE • Souvenez-vous que l'utilisateur peut utiliser des certificats lors de la création de programmes d'installation. Un utilisateur doit se voir affecter l'autorisation Utiliser pour les Certificats avec un accès au groupe statique qui contient les certificats. Si un utilisateur souhaite déployer ESET Management Agent, il doit disposer de l'autorisation Utiliser pour l'autorité de certification qui a signé le certificat serveur actuel. Pour obtenir des informations sur la façon de répartir l'accès aux certificats et à l'autorité de certification, consultez cet exemple. • Un utilisateur doit se voir attribuer l'autorisation Utiliser pour les politiques qui sont sélectionnées dans Avancé > Configuration initiale du programme d’installation > Type de configuration lors de la création d'un programme d'installation tout-en-un, d'un programme d'installation GPO ou d'un script SCCM. • Un utilisateur doit se voir attribuer l'autorisation Utiliser pour les licences, si la licence du groupe statique est spécifiée. 142 EXEMPLE : Comment autoriser un utilisateur à créer des programmes d'installation L'administrateur souhaite autoriser l'utilisateur John à créer ou modifier des programmes d'installation dans Groupe de John. L'administrateur doit procéder comme suit : 1. Il doit créer un groupe statique appelé Groupe de John. 2. Il doit créer un jeu d'autorisations. a.Il doit l'appeler Autorisations de John - Créer des programmes d'installation. b.Il doit ajouter le groupe Groupe de John à la section Groupes statiques. c.Dans la section Fonctionnalités, il doit sélectionner • l'autorisation Écrire pour Programmes d'installation stockés • l'autorisation Utiliser pour Certificats • l'autorisation Écrire pour Groupes et ordinateurs d.Il doit cliquer sur Terminer pour enregistrer le jeu d'autorisations. 3. Il doit créer un jeu d'autorisations. a.Il doit l'appeler Autorisations de John - Certificats. b.Il doit ajouter le groupe Tous à la section Groupes statiques. c.Dans la section Fonctionnalités, il doit sélectionner l'autorisation Utiliser pour Certificats. d.Il doit cliquer sur Terminer pour enregistrer le jeu d'autorisations. Ces autorisations sont requises pour utiliser (créer et modifier) les programmes d'installation. 4. Il doit créer un nouvel utilisateur. a.Il doit l'appeler John. b.Dans la section Général, il doit sélectionner Groupe de John en tant que groupe résidentiel. c.Il doit définir le mot de passe sur l'utilisateur John. d.Dans la section Jeux d'autorisations, il doit sélectionner Autorisations de John - Certificats et Autorisations de John - Créer des programmes d'installation. e.Il doit cliquer sur Terminer pour enregistrer l'utilisateur. Téléchargement des programmes d'installation à partir du menu Programmes d'installation 1. Cliquez sur Programmes d'installation. 2. Cochez la case située en regard du programme d'installation à télécharger. 3. Cliquez sur Télécharger et sélectionnez la version adéquate du package d'installation. 143 Modification des programmes d'installation à partir du menu Programmes d'installation 1. Cliquez sur Programmes d'installation. 2. Cochez la case située en regard du programme d'installation à modifier. 3. Cliquez sur Actions > Modifier pour modifier le package d'installation. Politiques Les politiques servent à transmettre des configurations spécifiques aux produits ESET s'exécutant sur les ordinateurs clients. Vous pouvez ainsi appliquer la configuration sans avoir à configurer manuellement le produit ESET de chaque client. Une politique peut être appliquée directement à des ordinateurs distincts et à des groupes (statiques et dynamiques). Vous pouvez également attribuer plusieurs politiques à un ordinateur ou à un groupe, contrairement aux versions ESET Security Management Center 5 et antérieures dans lesquelles une seule politique pouvait être appliquée à un produit ou composant. Politiques et autorisations L'utilisateur doit disposer d'autorisations suffisantes pour créer et attribuer des politiques. Vous trouverez cidessous les autorisations nécessaires pour effectuer certaines actions liées aux politiques : • Pour lire la liste des politiques et leur configuration, un utilisateur doit disposer de l'autorisation Lire. • Pour attribuer des politiques aux cibles, un utilisateur doit disposer de l'autorisation Utiliser. • Pour créer ou modifier des politiques, un utilisateur doit disposer de l'autorisation Écrire. Pour plus d'informations sur les droits d'accès, reportez-vous à la liste des autorisations. EXEMPLE • Si l'utilisateur John doit uniquement lire les politiques qu'il a créées, l'autorisation Lire est nécessaire pour Politiques. • Si l'utilisateur John doit attribuer certaines politiques aux ordinateurs, il doit disposer de l'autorisation Utiliser pour Politiques et de l'autorisation Utiliser pour Groupes et ordinateurs. • Pour accorder à John un accès complet aux politiques, l'administrateur doit définir l'autorisation Écrire sur Politiques. Application des politiques Les politiques sont appliquées dans l'ordre dans lequel les groupes statiques sont disposés. Cela n'est pas le cas pour les groupes dynamiques, où les groupes dynamiques enfants sont d'abord parcourus. Vous pouvez ainsi appliquer des politiques avec un plus grand impact au niveau supérieur de l'arborescence des groupes et des politiques plus spécifiques pour les sous-groupes. À l'aide des indicateurs, un utilisateur ESMC ayant accès aux groupes situés à un niveau supérieur de l'arborescence peut remplacer les politiques des groupes de niveau inférieur. L’algorithme est expliqué en détail dans la section Application des politiques aux clients. Règles de suppression de politique Lorsqu'une politique est en place et que vous souhaitez la supprimer, la configuration obtenue des ordinateurs clients dépend de la version du produit de sécurité ESET installé sur les ordinateurs administrés. • Produits de sécurité ESET versions 6 et antérieures : La configuration des ordinateurs clients n'est pas automatiquement rétablie une fois la politique supprimée. La configuration conservée est celle de la dernière politique appliquée aux clients. Il en est de même lorsqu'un ordinateur devient membre d'un groupe dynamique auquel une politique qui modifie les paramètres de l'ordinateur est appliquée. Ces paramètres sont conservés même si l'ordinateur ne figure plus dans le groupe dynamique. Pour cette raison, il est recommandé de créer une politique avec des paramètres par défaut et de l'appliquer au groupe racine (Tous) pour que les valeurs par défaut de ces paramètres soient rétablis dans une situation de ce type. Ainsi, lorsqu'un ordinateur ne figure plus dans un groupe dynamique qui a modifié ses paramètres, les paramètres par défaut sont rétablis sur l'ordinateur. 144 • Produits de sécurité ESET version 7 :Lorsqu'une politique est supprimée, la configuration de la dernière politique appliquée aux ordinateurs clients est automatiquement rétablie.Lorsqu'un ordinateur n'appartient plus à un groupe dynamique où une configuration de politique particulière était en place, celle-ci est supprimée de l'ordinateur.L'indicateur politique sur les ordinateurs clients. Fusion des politiques Ne pas appliquer restaure l'état par défaut des configurations de Une politique appliquée à un client est généralement le résultat de plusieurs politiques fusionnées en une seule politique finale. REMARQUE Il est recommandé d'attribuer des politiques plus génériques (mise à jour du serveur, par exemple) aux groupes dont le niveau est supérieur dans l'arborescence des groupes. Des politiques plus spécifiques (la politique des paramètres de contrôle des appareils, par exemple) doivent être appliquées aux groupes de niveau inférieur. La politique de niveau inférieur remplace généralement les paramètres des politiques de niveau supérieur lors de la fusion (à moins que des indicateurs de politique n'aient été définis). Assistant Politiques Les politiques sont regroupées/classées par produit ESET. Cliquez sur pour développer une catégorie et afficher les politiques disponibles. Les politiques intégrées contiennent des politiques prédéfinies. Les politiques personnalisées répertorient les catégories de toutes les politiques créées manuellement. Utilisez des politiques pour configurer votre produit ESET comme vous le feriez dans la fenêtre Configuration avancée de l'interface utilisateur graphique du produit. Contrairement aux politiques d'Active Directory, les politiques d'ESMC ne peuvent pas comporter de scripts ou de séries de commandes. Saisissez un élément à rechercher dans Configuration avancée (HIPS, par exemple). Tous les paramètres HIPS s'affichent. Lorsque vous cliquez sur l'icône s'affiche. située dans le coin supérieur droit, une page d'aide en ligne sur le paramètre spécifique Filtre Accéder au groupe Le bouton de filtre Accéder au groupe permet aux utilisateurs de sélectionner un groupe statique et de filtrer les 145 objets visualisés selon le groupe qui les contient. Créer une politique 1. Cliquez sur Politiques >Nouvelle politique. 2. Saisissez des informations de base sur la politique, telles que le Nom et la Description (facultatif). 3. Sélectionnez le bon produit dans la section Paramètres. 4. Utilisez des indicateurs pour ajouter des paramètres qui seront gérés par la politique. 5. Spécifiez les clients auxquels sera appliquée cette politique. Cliquez sur Attribuer pour afficher tous les groupes statiques et dynamiques et leurs membres. Sélectionnez l'ordinateur auquel appliquer la politique, puis cliquez sur OK. 6. Passez en revue les paramètres de cette politique, puis cliquez sur Terminer. Indicateurs Lors de la fusion de politiques, vous pouvez modifier le comportement à l'aide d'indicateurs de politique. Les indicateurs définissent la façon dont un paramètre est géré par la politique. Pour chaque paramètre, vous pouvez sélectionner l'un des indicateurs suivants : Ne pas appliquer : un paramètre associé à cet indicateur n'est pas défini par la politique. Comme l'application de ce paramètre n'est pas forcée, il peut être modifié ultérieurement par d'autres politiques. Appliquer : les paramètres associés à cet indicateur seront envoyés au client. Toutefois, en cas de fusion des politiques, les paramètres peuvent être remplacés par une politique ultérieure. Lorsqu'une politique est appliquée à un ordinateur client et qu'un paramètre spécifique est associé à cet indicateur, ce dernier est modifié indépendamment de ce qui est configuré localement sur le client. Comme l'application de ce paramètre n'est pas forcée, il peut être modifié ultérieurement par d'autres politiques. Forcer : les paramètres associés à l'indicateur Forcer sont prioritaires et ne peuvent pas être remplacés par une politique ultérieure (même si cette politique ultérieure est associée à un indicateur Forcer). Il garantit que ces paramètres ne seront pas modifiés par des politiques ultérieures lors de la fusion. Pour faciliter la navigation, toutes les règles sont comptabilisées. Le nombre de règles que vous avez définies dans une section spécifique s'affiche automatiquement. Un nombre apparaît également en regard du nom d'une catégorie dans l'arborescence de gauche. Il indique la somme des règles dans toutes ses sections. Vous pouvez ainsi rapidement déterminer l'emplacement et le nombre de paramètres/règles définis. Pour faciliter la modification des politiques, vous pouvez également suivre ces suggestions : • utiliser • Utiliser pour définir l'indicateur Appliquer sur tous les éléments d'une section ; pour supprimer les règles appliquées aux éléments de la section actuelle. IMPORTANT - Produits de sécurité ESET version 7 L'indicateur Ne pas appliquer restaure l'état par défaut des configurations de politique sur les ordinateurs clients. 146 EXEMPLE : Comment l'administrateur peut permettre aux utilisateurs de voir toutes les politiques L'administrateur veut autoriser John à créer et modifier des politiques dans son groupe résidentiel et à afficher les politiques créées par l'administrateur. Les politiques créées par l'administrateur comprennent l'indicateur Forcer. L'utilisateur John peut afficher toutes les politiques, mais il ne peut pas modifier celles créées par l'administrateur, car une autorisation Lire est définie pour Politiques avec un accès au groupe statique Tous. L'utilisateur John peut créer ou modifier des politiques dans son groupe résidentiel San Diego. L'administrateur doit procéder comme suit : Créer l'environnement 1. Il doit créer un groupe statique appelé San Diego. 2. Il doit créer un jeu d'autorisations appelé Politique - Tous John avec un accès au groupe statique Tous et une autorisation Lecture pour Politiques. 3. Il doit créer un jeu d'autorisations appelé Politique John avec un accès au groupe statique San Diego et une autorisation Écrire pour Groupe et ordinateurs et Politiques. Ce jeu d'autorisations permet à John de créer ou modifier des politiques dans son groupe résidentiel San Diego. 4. Il doit créer l'utilisateur John et sélectionner dans la section Jeux d'autorisations Politique - Tous John et Politique John. Créer les politiques 5. Il doit créer la politique Tous - Activer le pare-feu, développer la section Paramètres, sélectionner ESET Endpoint pour Windows, accéder à Protection du réseau > Pare-feu > Général et appliquer tous les paramètres par l'indicateur Forcer. Il doit développer la section Attribuer et sélectionner le groupe statique Tous. 6. Il doit créer la politique Groupe de John- Activer le pare-feu, développer la section Paramètre, sélectionner ESET Endpoint pour Windows, accéder à Pare-feu personnel > Général et appliquer tous les paramètres par l'indicateur Appliquer. Il doit développer la section Attribuer et sélectionner le groupe statique San Diego. Résultat Les politiques créées par l'administrateur seront appliquées en premier en raison de l'utilisation de l'indicateur Forcer. Les paramètres associés à l'indicateur Forcer ont la priorité et ne peuvent pas être remplacés par une politique ultérieure. Les politiques créées par l'utilisateur John seront ensuite appliquées. Accédez à Autre > Groupes > San Diego, cliquez sur l'ordinateur et sélectionnez Afficher les détails. Dans Configuration > Politiques appliquées, vous pouvez voir l'ordre final de l'application des politiques. La première politique est créée par l'administrateur et la seconde par John. Gérer les politiques Les politiques sont regroupées/classées par produit ESET. Cliquez sur pour développer une catégorie et afficher les politiques disponibles. Les politiques intégrées contiennent des politiques prédéfinies. Les politiques personnalisées répertorient les catégories de toutes les politiques créées manuellement ou modifiées. Actions disponibles pour les politiques : Nouveau Créer une politique. Modifier Permet de modifier une politique existante. Dupliquer Affecter Permet de créer une politique à partir d'une politique existante que vous avez sélectionnée. La politique en double requiert un nouveau nom. Permet d'attribuer une politique à un groupe ou un client. Supprimer Permet de supprimer une politique. Voir aussi les règles de suppression des politiques. Importer Cliquez sur Politiques > Importer, sur Sélectionner un fichier et recherchez le fichier à importer. Pour sélectionner plusieurs politiques, voir les modes ci-dessous. Vous pouvez importer uniquement un fichier .dat contenant les politiques exportées depuis ESMC Web Console. Vous ne pouvez pas importer de fichier .xml contenant les politiques exportées depuis un produit de sécurité ESET. 147 Sélectionnez une politique à exporter dans la liste et cliquez sur Politiques > Exporter. La politique est exportée sous forme de fichier .dat. Pour exporter plusieurs politiques, modifiez le mode de sélection (voir les modes ci-dessous). Groupe d'accès Permet de déplacer une politique vers un autre groupe. Exporter Vous pouvez utiliser l'option Modes pour modifier le mode de sélection (unique ou multiple). Cliquez sur la flèche dans le coin supérieur droit et sélectionnez l'une des options suivantes dans le menu contextuel : Mode de sélection unique : vous pouvez sélectionner un élément. Mode de sélection multiple : permet d'utiliser les cases à cocher pour sélectionner plusieurs éléments. Rafraîchir : recharge/actualise les informations affichées. Développer tout : permet d'afficher toutes les informations. Réduire tout : permet de masquer toutes les informations. Application des politiques aux clients Plusieurs politiques peuvent être attribuées aux groupes et aux ordinateurs. En outre, un ordinateur peut figurer dans un groupe imbriqué profondément dont les parents disposent de leurs propres politiques. L'ordre des politiques est l'élément le plus important lors de leur application. Il est dérivé de l'ordre des groupes et de celui des politiques appliquées à un groupe. Pour déterminer la politique active d'un client, suivez les étapes suivantes : 1. Déterminer l'ordre des groupes dans lesquels se trouve le client 2. Remplacer les groupes par les politiques attribuées 3. Fusionner les politiques pour obtenir des paramètres finaux Classement des groupes Les politiques peuvent être attribuées à des groupes et appliquées dans un ordre spécifique. Les règles énoncées ci-dessous déterminent dans quel ordre les politiques sont appliquées aux clients. 1. Règle 1 : Les groupes statiques sont traversés depuis le groupe statique racine (Tous). 2. Règle 2 : Sur tous les niveaux, les groupes statiques appartenant à ce niveau sont d'abord traversés dans l'ordre dans lequel ils apparaissent dans l'arborescence (cette option est aussi appelée recherche en largeur). 3. Règle 3 : Une fois que tous les groupes statiques appartenant à un certain niveau sont comptabilisés, les groupes dynamiques sont traversés. 4. Règle 4 : Dans chaque groupe dynamique, tous ses enfants sont traversés dans l'ordre dans lequel ils apparaissent dans la liste. 5. Règle 5 : À n'importe quel niveau d'un groupe dynamique, tout enfant sera répertorié et ses enfants seront recherchés. Lorsqu'il n'y a plus d'enfant, les prochains groupes dynamiques qui se trouvent au niveau des parents sont listés - (cette option est aussi appelée recherche en profondeur). 6. Règle 6 : Le parcours se termine au niveau Ordinateur. IMPORTANT La politique est appliquée à l'ordinateur. Cela signifie que la traversée se termine à l'ordinateur sur lequel vous souhaitez appliquer la politique. 148 À l'aide des règles écrites ci-dessus, l'ordre d'application des politiques aux ordinateurs seraient le suivant : PC1: PC2: PC3: PC4: 1. ALL 1. ALL 1. ALL 1. ALL 2. SG1 2. SG2 2. SG2 2. SG2 3. PC1 3. DG1 3. SG3 3. SG3 4. DG3 4. PC3 4. DG4 5. PC2 5. DG5 6. DG6 7. PC4 149 Énumération des politiques Une fois que l'ordre des groupes est connu, l'étape suivante consiste à remplacer chaque groupe par les politiques qui lui sont attribuées. Les politiques sont répertoriées dans le même ordre que celui de leur attribution à un groupe. Il est possible de modifier la priorité des politiques d'un groupe auquel plusieurs politiques sont attribuées. Chaque politique configure un seul produit (ESET Management Agent, EES, etc.). REMARQUE Un groupe sans politique est supprimé de la liste. 3 politiques sont appliquées à des groupes statiques et dynamiques (voir l'illustration ci-dessous) : Ordre dans lequel les politiques sont appliquées sur l'ordinateur. La liste suivante affiche les groupes et les politiques qui leur sont appliquées : 1. Tous -> supprimé, aucune politique 150 2. GS 2 -> Politique 1, Politique 2 3. GS 3 -> supprimé, car sans politique 4. GD 1 -> Politique 1, Politique 2 5. GD 3 -> supprimé, car sans politique 6. GD 2 -> Politique 3 7. GD 4 -> supprimé, car sans politique 8. GD 5 -> supprimé, car sans politique 9. GD 6 -> supprimé, car sans politique 10. Ordinateur -> supprimé, car sans politique La liste finale des politiques est la suivante : 1. Politique 1 2. Politique 2 3. Politique 1 4. Politique 2 5. Politique 3 Fusion des politiques Les politiques sont fusionnées une par une. Lors de la fusion des politiques, la dernière politique remplace toujours les paramètres définis par la précédente. Pour modifier ce comportement, vous pouvez utiliser des indicateurs de politique (disponibles pour chaque paramètre). Certains paramètres possèdent une autre règle (remplacer / ajouter / ajouter au début) que vous pouvez configurer. Gardez à l'esprit que la structure des groupes (leur hiérarchie) et la séquence des politiques déterminent la façon dont celles-ci sont fusionnées. La fusion de deux politiques peut donner des résultats différents en fonction de leur ordre. Lors de la création des politiques, vous pourrez constater que certains paramètres possèdent des règles supplémentaires que vous pouvez configurer. Ces règles permettent d'organiser les mêmes paramètres dans diverses politiques. • Remplacer : règle par défaut utilisée lors de la fusion des politiques. Elle remplace l'ensemble des paramètres par la politique précédente. Elle remplace les paramètres définis par la politique précédente. • Ajouter à la fin : Lorsque vous appliquez le même paramètre dans plusieurs politiques, vous pouvez ajouter au début des paramètres à cette règle. Le paramètre sera placé à la fin de la liste créée en fusionnant les politiques. • Ajouter au début : Lorsque vous appliquez le même paramètre dans plusieurs politiques, vous pouvez ajouter au début des paramètres à cette règle. Le paramètre sera placé au début de la liste créée en fusionnant les politiques. Fusion des listes locales et distantes Les produits de sécurité ESET récents (voir les versions prises en charge dans le tableau ci-dessous) prennent en charge d'une nouvelle manière la fusion des paramètres locaux avec les politiques distantes. Si le paramètre est une liste (par exemple, une liste de sites Web) et qu'une politique distante est en conflit avec un paramètre local existant, la politique le remplace. Vous pouvez choisir comment combiner des listes locales et distantes. Vous pouvez sélectionner différentes règles de fusion pour : • • Fusionner des paramètres pour les politiques distantes Fusionner des politiques distantes et locales : paramètres locaux avec la politique distante obtenue Les options disponibles sont identiques à celles mentionnées ci-dessous. Remplacer, Ajouter à la fin, Ajouter au début. Liste des produits prenant en charge les listes locales et distantes : Produit de sécurité ESET ESET Endpoint pour Windows. 151 Version 7+ ESET Mail Security pour Microsoft Exchange 6+ ESET File Security pour Windows Server 6+ ESET Mail Security pour IBM Domino 6+ ESET Security for Kerio 6+ ESET Security pour Microsoft SharePoint Server 6+ IMPORTANT - Suppression de politique dans la version 7 des produits de sécurité ESET Lorsqu'une politique est supprimée, la configuration de la dernière politique appliquée aux ordinateurs clients est automatiquement rétablie. L'indicateur Ne pas appliquer restaure l'état par défaut des configurations de politique sur les ordinateurs clients. Exemple de fusion de politiques Cet exemple de scénario fournit les informations suivantes : • instructions pour appliquer des configurations de politique aux produits de sécurité ESET Endpoint ; • application des indicateurs et des règles lors de la fusion de politiques. Dans les cas où l'administrateur souhaite effectuer les opérations suivantes : • Refuser l'accès à certains sites Web pour un bureau régional, Bureau San Diego dans cet exemple. Dans l'exemple, l'accès aux sites suivants a été refusé : www.forbidden.uk, www.deny-access.com, www.forbidden-websites.uk and www.forbidden-website.com • Autoriser l'accès à certains sites Web pour un service spécifique du bureau régional, Service marketing dans l'exemple. Dans l'exemple, l'accès aux sites suivants a été refusé : www.forbidden.uk, www.deny-access.com 152 Pour obtenir les niveaux d'accès au site Web décrits ci-dessus, l'administrateur doit procéder comme suit : 1. Il doit créer un nouveau groupe statique appelé Bureau San Diego, puis le sous-groupe Service marketing du groupe statique Bureau San Diego. 2. Il doit accéder à Politiques et créer une politique de la manière suivante : i.Il doit appeler la politique Bureau San Diego. ii.`Il doit développer Paramètres et sélectionner ESET Endpoint pour Windows. iii.Il doit accéder à Internet et messagerie > Protection de l'accès Web > Gestion des adresses URL. iv.Il doit cliquer sur l'icône Appliquer la politique et modifier la liste d'adresses en cliquant sur Modifier. v.Il doit cliquer sur Liste des adresses bloquées et sélectionner Modifier. vi.Il doit ajouter les adresses Web suivantes : www.forbidden.uk, www.deny-access.com, www.forbidden-websites.uk et www.forbidden-website.com. Il doit ensuite enregistrer la liste des adresses bloquées et la liste des adresses. vii.Il doit développer Attribuer et attribuer la politique à Bureau San Diego et au sous-groupe Service Marketing viii.Il doit cliquer sur Terminer pour enregistrer la politique. Cette politique sera appliquée à Bureau San Diego et Service Marketing et bloquera les sites Web, comme illustré ci-dessous. 153 3. Il doit accéder à Politiques et créer une politique : i.Il doit nommer la politique Service marketing. ii.Il doit développer Paramètres et sélectionner ESET Endpoint pour Windows. iii.Il doit accéder à Internet et messagerie > Protection de l'accès Web > Gestion des adresses URL. iv.Il doit cliquer sur le bouton Appliquer la politique, sélectionner Ajouter la règle et modifier la liste d'adresses en cliquant sur Modifier L'option Ajouter la règle place la liste d'adresses à la fin lors de la fusion des politiques. v.Il doit cliquer sur Liste des adresses autorisées > Modifier. vi.Il doit ajouter les adresses Web suivantes : www.forbidden.uk et www.deny-access.com. Il doit ensuite enregistrer la liste des adresses autorisées et la liste des adresses. vii.Il doit développer Attribuer et attribuer la politique à Service Marketing. viii. Cliquez sur Terminer pour enregistrer la politique. Cette politique sera appliquée à Service Marketing et autorisera l'accès aux sites Web, comme illustrés ci-dessous. 4. La politique finale comprendra les deux politiques appliquées à Bureau San Diego et Service Marketing. L'administrateur doit ouvrir le produit Endpoint Security, accéder à Configuration > Internet et messagerie > Configuration avancée, sélectionner l'onglet Internet et messagerie > Protection de l'accès Web et développer Gestion des adresses URL. La configuration finale du produit Endpoint sera affichée. 154 La configuration finale comprend les éléments suivants : 1. Liste des adresses de la politique Bureau San Diego 2. Liste des adresses de la politique Service Marketing Configuration d'un produit à partir d'ESMC Vous pouvez utiliser des politiques pour configurer votre produit ESET comme vous le feriez dans la fenêtre Configuration avancée de l'interface utilisateur graphique du produit. Contrairement aux politiques d'Active Directory, les politiques d'ESMC ne peuvent pas comporter de scripts ou de séries de commandes. Pour la version 6 et les nouveaux produits ESET, vous pouvez définir certains états à signaler sur le client ou dans la console Web. Pour la version 6, cette option peut être définie dans une politique sous Interface utilisateur > Éléments de l'interface utilisateur > États : • Afficher : l'état est signalé sur l'interface utilisateur client. • Envoyer : l'état est signalé à ESMC. Voici des exemples d'utilisation de politique pour configurer les produits ESET : • Paramètres de politique d'ESET Management Agent • Paramètres de politique ESET Rogue Detection Sensor • Créer une politique pour MDM iOS - Compte Exchange ActiveSync • Créer une politique pour MDC pour activer APNS pour l'inscription iOS Attribuer une politique à un groupe Une fois une politique créée, vous pouvez l'attribuer à un groupe statique ou dynamique. Il existe deux méthodes pour attribuer une politique : Méthode I. 155 Sous Politiques, sélectionnez une politique, puis cliquez sur Affecter un ou des groupes. Sélectionnez un groupe statique ou dynamique dans la liste (vous pouvez sélectionner des groupes supplémentaires), puis cliquez sur OK. Méthode II. 1. Cliquez sur Autre > Groupes > Groupe ou sur l'icône de roue crantée groupe, puis sélectionnez Gérer les politiques. 156 située en regard du nom du 2. Dans la fenêtre Ordre d'application de la politique, cliquez sur Ajouter une politique. 3. Cochez la case située en regard des politiques à attribuer à ce groupe, puis cliquez sur OK. 4. Cliquez sur Fermer. Pour afficher la liste des politiques attribuées à un groupe spécifique, sélectionnez le groupe, puis cliquez sur l'onglet Politiques. Pour déterminer à quels groupes est attribuée une politique spécifique, sélectionnez la politique et consultez le second onglet Appliquée à. REMARQUE Pour plus d'informations sur les politiques, reportez-vous au chapitre Politiques. Attribuer une politique à un client Pour attribuer une politique à un poste de travail client, cliquez sur Politiques, sélectionnez une politique, puis cliquez sur Affecter un ou des clients. Sélectionnez le ou les ordinateurs clients cibles, puis cliquez sur OK. La politique est attribuée à tous les ordinateurs sélectionnés. 157 Pour déterminer à quels clients est attribuée une politique spécifique, sélectionnez la politique et consultez le premier onglet Attribuée à. Paramètres de politique d'ESET Rogue Detection Sensor Il est possible de modifier le comportement d'ESET RD Sensor à l'aide d'une politique. Celle-ci est principalement utilisée pour modifier le filtrage des adresses. Vous pouvez par exemple inclure certaines adresses dans la liste noire pour qu'elles ne soient pas détectées. Cliquez sur Politiques et développez Politiques personnalisées pour modifier une politique existante ou créezen une. Filtres IPv4 Filtre Activer le filtrage des adresses IPv4 : si le filtrage est activé, seuls les ordinateurs dont les adresses IP figurent dans la liste blanche de la liste de filtres IPv4 ou qui ne figurent pas dans la liste noire seront détectés. Filtres : indiquez si la liste est une liste blanche ou une liste noire. Liste des adresses IPv4 : cliquez sur Modifier la liste d'adresses IPv4 pour ajouter ou supprimer des adresses de la liste. Filtre de préfixes des adresses MAC Activer le filtrage du préfixe des adresses MAC : si le filtrage est activé, seuls les ordinateurs dont le préfixe (xx:xx:xx) des adresses MAC figure dans la liste blanche des préfixes d'adresse MAC ou qui ne figure pas dans la liste noire seront détectés. Mode de filtrage : indiquez si la liste est une liste blanche ou une liste noire. Liste de préfixes des adresses MAC : cliquez sur Modifier la liste des préfixes MAC pour ajouter ou 158 supprimer un préfixe de la liste. Détection Détection active : si cette option est activée, RD Sensor recherche activement des ordinateurs sur le réseau local. Bien que cette option permette d'améliorer les résultats de la recherche, elle peut aussi déclencher des avertissements sur certains ordinateurs. Ports de détection de SE : RD Sensor utilise une liste de ports préconfigurés pour rechercher des ordinateurs sur le réseau local. Vous pouvez modifier la liste des ports. Paramètres avancés Diagnostics : active ou désactive l'envoi des statistiques des rapports de défaillance anonymes à ESET pour l'amélioration de l'expérience client. Affecter Spécifiez les clients auxquels sera appliquée cette politique. Cliquez sur Attribuer pour afficher tous les groupes statiques et dynamiques et leurs membres. Sélectionnez l'ordinateur auquel appliquer la politique, puis cliquez sur OK. Synthèse Passez en revue les paramètres de cette politique, puis cliquez sur Terminer. Paramètres de politique d'ERA 6.x Proxy IMPORTANT Les nouveaux ESET Management Agents de la version 7 ne peuvent pas se connecter ERA en raison du nouveau protocole de réplication. Les agents de la version 6.x peuvent se connecter à la version 7 du serveur via ERA Proxy. Pour la migration, suivez les instructions de migration de proxy. Il est possible de modifier le comportement des ordinateurs dotés du composant ERA Proxy via une politique. Cette politique sert principalement à modifier des paramètres tels que l'intervalle de connexion ou le serveur auquel le proxy est connecté. Cliquez sur Politiques et développez Politiques personnalisées pour modifier une politique existante ou créez-en une. Connexion Port Remote Administrator : il s'agit du port pour la connexion entre ESET Security Management Center Server et Proxy. Si vous modifiez cette option, le service ERA Server doit être redémarré pour que la modification soit prise en compte. Serveurs auxquels seconnecter : pour ajouter les détails de la connexion à ERA Server (nom d'hôte/adresse IP et numéro de port), cliquez sur Modifier la liste de serveurs. Il est possible de spécifier plusieurs serveurs ERA Server. Cela peut s'avérer utile si vous avez modifié l'adresse IP d'ERA/ESMC Server ou si vous effectuez une migration. Limite de données : indiquez le nombre maximal d'octets pour l'envoi des données. Intervalle de connexion : sélectionnez Intervalle régulier et indiquez une valeur de temps pour l'intervalle de connexion (vous pouvez également utiliser une expression CRON). Certificat : vous pouvez gérer les certificats homologues d'ERA Proxy. Cliquez sur Modifier le certificat et sélectionnez le certificat ERA Proxy qu'ERA Proxy doit utiliser. Pour plus d'informations, reportez-vous à la section Certificats homologues. 159 Paramètres avancés Diagnostics : active ou désactive l'envoi des statistiques des rapports de défaillance anonymes à ESET pour l'amélioration de l'expérience client. Journalisation : définissez le détail de journal qui détermine le niveau d’informations collectées et journalisées, de Trace (informations) à Fatal (informations critiques les plus importantes). Affecter Spécifiez les clients auxquels sera appliquée cette politique. Cliquez sur Attribuer pour afficher tous les groupes statiques et dynamiques et leurs membres. Sélectionnez l'ordinateur auquel appliquer la politique, puis cliquez sur OK. Synthèse Passez en revue les paramètres de cette politique, puis cliquez sur Terminer. Utilisation du mode de remplacement Les utilisateurs qui disposent des produits ESET Endpoint (version 6.5 et ultérieure) pour Windows peuvent utiliser la fonctionnalité de remplacement. Le mode de remplacement permet aux utilisateurs au niveau des ordinateurs client de modifier les paramètres du produit ESET installé, même si une politique est appliquée sur ces derniers. Il peut être activé pour les utilisateurs d'Active Directory ou être protégé par mot de passe. Cette fonction ne peut pas être activée pendant plus de quatre heures d'affilée. AVERTISSEMENT • Il n'est pas possible d'interrompre le mode de remplacement à partir d'ESMC Web Console. Il est désactivé uniquement après expiration ou s'il est désactivé sur le client. • Le mode de remplacement ne peut pas être affecté à un groupe Active Directory. Pour définir le mode de remplacement : 1. Accédez à Politiques > Nouvelle politique. 2. Dans la section Général , saisissez un nom et une description pour cette politique. 3. Dans la section Paramètres, sélectionnez ESET Endpoint pour Windows. 4. Cliquez sur Mode de remplacement, puis configurez les règles du mode de remplacement. 5. Dans la section Attribuer , sélectionnez l'ordinateur ou le groupe d'ordinateurs auquel celle politique doit être appliquée. 6. Passez en revue les paramètres dans la section Synthèse et cliquez sur Terminer pour appliquer la politique. 160 EXEMPLE Si John rencontre un problème parce que ses paramètres Endpoint bloquent une fonctionnalité importante ou l'accès à Internet sur son ordinateur, l'administrateur peut autoriser John à remplacer sa politique Endpoint existante et modifier manuellement les paramètres sur cet ordinateur. Ces nouveaux paramètres peuvent être ensuite demandés par ESMC pour que l'administrateur puisse créer une politique à partir de ces derniers. Pour ce faire, procédez comme suit : 1. Accédez à Politiques > Nouvelle politique. 2. Renseignez les champs Nom et Description. Dans la section Paramètres, sélectionnez ESET Endpoint pour Windows. 3. Cliquez sur Mode de remplacement, activez le mode pour une heure et sélectionnez John en tant qu'utilisateur Active Directory. 4. Attribuez la politique à l'ordinateur de John, puis cliquez sur Terminer pour enregistrer la politique. 5. John doit activer le mode de remplacement dans ESET Endpoint et modifier manuellement les paramètres sur son ordinateur. 6. Dans ESMC Web Console, accédez à Ordinateurs, sélectionnez l'ordinateur de John, puis cliquez sur Afficher les détails. 7. Dans la section Configuration, cliquez sur Demander la configuration pour planifier une tâche client afin d'obtenir dès que possible la configuration du client. 8. Peu de temps après, la nouvelle configuration apparaît. Cliquez sur le produit pour lequel vous souhaitez enregistrer les paramètres, puis cliquez sur Ouvrir la configuration. 9. Vous pouvez passer en revue les paramètres et cliquer sur Convertir en politique. 10. Renseignez les champs Nom et Description. 11. Dans la section Paramètres, vous pouvez modifier les paramètres en cas de besoin. 12. Dans la section Attribuer, vous pouvez attribuer la politique à l'ordinateur de John (ou à d'autres). 13. Cliquez sur Terminer pour enregistrer les paramètres. 14. N'oubliez pas de supprimer la politique de remplacement lorsqu'elle n'est plus utile. Utilisateurs de l'ordinateur Cette section vous permet de gérer les utilisateurs et les groupes d'utilisateurs pour la gestion des périphériques mobiles iOS. La gestion des périphériques mobiles s'effectue en utilisant des politiques attribuées à des périphériques iOS. Nous vous recommandons toutefois de synchroniser les utilisateurs avec Active Directory au préalable. Vous pourrez ensuite modifier des utilisateurs ou ajouter des attributs personnalisés. 161 IMPORTANT Les utilisateurs des ordinateurs sont différents des utilisateurs d'ESMC Web Console. La section Utilisateurs des ordinateurs vous permet d'associer un utilisateur à un périphérique afin de synchroniser certains paramètres spécifiques à l'utilisateur. Pour gérer les jeux d'autorisations et les utilisateurs d'ESMC Web Console, accédez à Autres > Utilisateurs. • Un utilisateur surligné en orange n'a aucun périphérique attribué. Cliquez sur l'utilisateur, sélectionnez Modifier et cliquez sur Ordinateurs affectés pour afficher les détails de cet utilisateur. Cliquez sur Ajouter des ordinateurs pour attribuer des ordinateurs ou un ou des périphériques à cet utilisateur. • Vous pouvez également ajouter ou supprimer des utilisateurs attribuésdepuis Détails de l’ordinateur. Lorsque vous êtes dans Ordinateurs ou Groupes, sélectionnez un ordinateur ou un périphérique mobile, puis cliquez sur Afficher lesdétails. L'utilisateur peut être attribué à plusieurs ordinateurs/périphériques mobiles. Vous pouvez également utiliser l'option Attribuer un utilisateur pour attribuer directement un utilisateur aux périphériques sélectionnés. Si un périphérique est attribué à un utilisateur, vous pouvez cliquer sur le nom du périphérique pour en afficher les détails. • Vous pouvez effectuer un glisser-déposer des utilisateurs et des groupes d'utilisateurs. Sélectionnez l'utilisateur (ou le groupe), maintenez le bouton de la souris enfoncé et déplacez-le vers l'autre groupe. Actions de gestion des utilisateurs Afficher les détails Le menu des détails de l'utilisateur présent des informations telles que l'adresse électronique, le bureau, l'emplacement, des attributs personnalisés et les ordinateurs attribués. L'utilisateur peut avoir plusieurs ordinateurs/périphériques mobiles attribués. Vous pouvez modifier le nom, la description et le groupe parent de l'utilisateur. Les attributs personnalisés affichés ici sont ceux qui peuvent être utilisés lors de la création de politiques. Sélectionnez un utilisateur pour ouvrir un menu déroulant à partir duquel vous pouvez exécuter des actions. Pour obtenir des informations sur les actions, reportez-vous aux légendes des icônes. Ajout d'un filtre et de présélections de filtres Pour ajouter des critères de filtre, cliquez sur Ajouter un filtre et sélectionnez un ou des éléments dans la liste. Saisissez la ou les chaînes de recherche dans le ou les champs de filtre. Les filtres actifs sont mis en surbrillance en bleu. Les filtres peuvent être enregistrés dans votre profil utilisateur afin que vous puissiez les réutiliser ultérieurement. Sous Présélections, les options suivantes sont disponibles : Jeux de filtres : il s'agit des filtres enregistrés. Cliquez sur l'un d'entre eux pour l'appliquer. Le filtre appliqué est signalé par une coche . Sélectionnez Inclure les colonnes visibles, le tri et la pagination pour enregistrer ces paramètres dans la présélection. Enregistrer le jeu de filtres : enregistrez la configuration actuelle du filtre comme nouvelle présélection. Une fois la présélection enregistrée, vous ne pouvez pas modifier la configuration du filtre dans la présélection. Gérer les jeux de filtres : supprimez ou renommez les présélections existantes. Cliquez sur Enregistrer pour appliquer les modifications aux présélections. Effacer les valeurs de filtre : cliquez pour supprimer uniquement les valeurs actuelles des filtres sélectionnés. 162 Les présélections restent inchangées. Supprimer les filtres : cliquez sur cette option pour supprimer les filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres inutilisés : permet de supprimer les champs de filtre sans valeur. Ajouter de nouveaux utilisateurs Cliquez sur Utilisateurs d'ordinateur > Ajouter des utilisateurs pour ajouter des utilisateurs qui n'ont pas été trouvés ou ajoutés automatiquement pendant la synchronisation des utilisateurs. Saisissez le nom de l'utilisateur à ajouter dans le champ Nom d'utilisateur. Utilisez le menu déroulant Résolution des conflits pour sélectionner l'action à exécuter si un utilisateur que vous ajoutez existe déjà dans ESMC : • Demander en cas de détection de conflits : Lorsqu'un conflit est détecté, le programme vous demande de sélectionner une action (voir les options ci-dessous). • Ignorer les ordinateurs conflictuels :Les utilisateurs qui ont le même nom ne seront pas ajoutés. Cela permet aussi de s'assurer que les attributs personnalisés d'un utilisateur existant dans ESMC sont conservés (ils ne sont pas remplacés par les données d'Active Directory). • Remplacer les utilisateurs en conflit : Les utilisateurs existant dans ESMC sont remplacés par ceux d'Active Directory. Si deux utilisateurs disposent du même SID, l'utilisateur existant dans ESMC est supprimé de son précédent emplacement (même si l'utilisateur était dans un autre groupe). 163 Cliquez sur + Ajouter pour ajouter d'autres utilisateurs. Si vous souhaitez ajouter simultanément plusieurs utilisateurs, cliquez sur Importer un fichier CSVpour charger un fichier .csv qui contient la liste des utilisateurs à ajouter. Cliquez sur Copier et coller pour importer une liste personnalisée des adresses séparées par des délimiteurs personnalisés (cette fonctionnalité fonctionne de la même manière que l'importation d'un fichier CSV). Vous pouvez éventuellement saisir une description des utilisateurs pour simplifier leur identification. Lorsque vous avez terminé vos modifications, cliquez sur Ajouter. Les utilisateurs apparaissent dans le groupe parent que vous avez spécifié. Modifier des utilisateurs Vous pouvez modifier les détails d'un utilisateur, tels que les informations de base, les attributs personnalisés et les ordinateurs attribués. REMARQUE Lorsque vous exécutez une tâche Synchronisation utilisateur pour les utilisateurs qui disposent d'attributs personnalisés, définissez le paramètre Gestion des collisions de création d'utilisateur sur Ignorer. Si vous ne le faites pas, les données utilisateur seront écrasées par celles provenant d'Active Directory. Général Si vous avez utilisé une tâche Synchronisation utilisateur pour créer l'utilisateur et si certains champs sont vides, vous pouvez, au besoin, les spécifier manuellement. 164 Attributs personnalisés Vous pouvez modifier des attributs personnalisés existants ou en ajouter de nouveaux. Pour en ajouter de nouveau, cliquez sur Ajouter et sélectionnez dans les catégories : • Comptes Wi-Fi : Il est possible d'utiliser des profils pour pousser les paramètres Wi-Fi de l'entreprise directement vers des périphériques gérés. • Comptes VPN : Vous pouvez configurer un VPN avec les informations d'identification, les certificats et autres informations requises pour que le VPN soit immédiatement accessible aux utilisateurs. • Comptes de messagerie : Cette catégorie est destinée à tout compte de messagerie qui utilise les spécifications IMAP ou POP3. Si vous utilisez un serveur Exchange, choisissez les paramètres Exchange ActiveSync ci-dessous. • Comptes Exchange : Si votre entreprise utilise Microsoft Exchange, vous pouvez définir tous les paramètres ici pour réduire le temps de configuration de l'accès des utilisateurs à la messagerie, au calendrier et aux contacts. • LDAP (alias d'attribut) : Cela s'avère tout particulièrement pratique si votre entreprise utilise LDAP pour les contacts. Vous pouvez associer les champs des contacts aux champs iOS correspondants. • CalDAV : Cette élément contient les paramètres pour tout calendrier qui utilise les spécifications CalDAV. • CardDAV : Les informations peuvent être définies ici pour tous les contacts synchronisés au moyen de la spécification CardDAV. • Calendrier avec abonnement: Si des calendriers CalDAV sont configurés, il est possible de configurer ici l'accès en lecture seule aux calendriers d'autres utilisateurs. Certains des champs deviendront un attribut ensuite utilisable lors de la création d'une politique pour périphérique mobile iOS sous la forme d'une variable (espace réservé). Par exemple, nom de connexion ${exchange_login/exchange} ou adresse électronique ${exchange_email/exchange}. 165 Ordinateurs affectés Vous pouvez sélectionner ici des ordinateurs/périphériques mobiles individuels. Pour ce faire, cliquez sur Ajouter des ordinateurs - tous les groupes statiques et dynamiques avec leurs membres seront affichés. Utilisez les cases à cocher pour effectuer votre sélection, puis cliquez sur OK. 166 Créer un groupe d'utilisateurs Cliquez sur Utilisateurs de l'ordinateur > , puis sélectionnez Nouveau groupe d'utilisateurs Général Saisissez un nom et une description (facultatif) pour le nouveau groupe d'utilisateurs. Par défaut, le groupe parent correspond au groupe que vous avez sélectionné lorsque vous avez commencé à créer le groupe d'utilisateurs. Si vous souhaitez modifier le groupe parent, cliquez sur Modifier le groupe parent, puis sélectionnez-en un autre dans l'arborescence. Cliquez sur Terminer pour créer le groupe d'utilisateurs. Vous pouvez attribuer des autorisations spécifiques à ce groupe d'utilisateurs dans Droits d'accès en utilisant des jeux d'autorisations (voir la section Groupes d'utilisateurs). De cette manière, vous pouvez spécifier quels utilisateurs spécifiques de la console ESMC peuvent gérer quels groupes d'utilisateurs spécifiques. Vous pouvez même limiter l'accès de ces utilisateurs à d'autres fonctions ESMC à l'aide de politiques, si vous le souhaitez. Ces utilisateurs ne gèrent alors que des groupes d'utilisateurs. Notifications Les notifications sont essentielles pour effectuer le suivi de l'état global de votre réseau. Lorsqu'un nouvel événement se produit (selon votre configuration), vous êtes averti à l'aide d'une méthode définie (interception SNMP, message électronique ou envoi de ce dernier au serveur syslog) afin que vous puissiez réagir en conséquence. • Pour ajouter des critères de filtre, cliquez sur Ajouter un filtre et sélectionnez un ou des éléments dans la liste. Saisissez la ou les chaînes de recherche dans le ou les champs de filtre. Les filtres actifs sont mis en surbrillance en bleu. oNom de la notification oDescription de la notification oNom d'utilisateur : utilisateur qui a modifié la notification en dernier. • Pour créer une notification, cliquez sur Nouvelle notification dans la partie inférieure de la page. • Sélectionnez une notification existante et cliquez sur Actions pour effectuer les actions suivantes : 167 oModifier : changez la configuration et la distribution de la notification. oSupprimer : supprimez la notification. oDupliquer : créez une notification en double avec les mêmes paramètres dans votre groupe résidentiel. oActiver/désactiver : définissez l'état de la notification. Une notification désactivée n'est pas évaluée. Notifications, utilisateurs et autorisations À l'instar des tâches serveur, l'utilisation des notifications est limitée par les autorisations de l'utilisateur actuel. Chaque fois que la notification est exécutée, les autorisations de l'utilisateur exécutant sont prises en compte. L'utilisateur exécutant est toujours l'utilisateur qui a modifié la notification en dernier. Un utilisateur peut afficher uniquement les notifications qui sont contenues dans un groupe pour lequel il dispose de l'autorisation Lire. IMPORTANT Pour qu'une notification fonctionne correctement, il est nécessaire que l'utilisateur exécutant dispose d'autorisations suffisantes pour tous les objets référencés (périphériques, groupes et modèles). En règle générale, les autorisations Lire et Utiliser sont requises. Si l'utilisateur ne dispose pas de ces autorisations ou s'il les perd, la notification ne s'exécutera pas. Les notifications ayant échoué sont affichées en orange et déclenchent l'envoi d'un message électronique pour avertir l'utilisateur. Créer une notification : pour créer une notification, l'utilisateur doit disposer de l'autorisation Écrire pour les notifications sur son groupe résidentiel. Une notification est créée dans le groupe résidentiel de l'utilisateur. Modifier une notification : pour être en mesure de modifier une notification, l'utilisateur doit disposer de l'autorisation Écrire pour les notifications sur un groupe dans lequel se trouve la notification. Supprimer une notification : pour être en mesure de supprimer une notification, l'utilisateur doit disposer de l'autorisation Écrire pour les notifications sur un groupe dans lequel se trouve la notification. Clonage et VDI Il existe trois notifications préparées pour informer l'utilisateur d'événements liés au clonage. L'utilisateur peut également créer une notification personnalisée. Filtre Accéder au groupe Le bouton de filtre Accéder au groupe permet aux utilisateurs de sélectionner un groupe statique et de filtrer les objets visualisés selon le groupe qui les contient. Ajout d'un filtre et de présélections de filtres Pour ajouter des critères de filtre, cliquez sur Ajouter un filtre et sélectionnez un ou des éléments dans la liste. Saisissez la ou les chaînes de recherche dans le ou les champs de filtre. Les filtres actifs sont mis en surbrillance en bleu. Les filtres peuvent être enregistrés dans votre profil utilisateur afin que vous puissiez les réutiliser ultérieurement. Sous Présélections, les options suivantes sont disponibles : Jeux de filtres : il s'agit des filtres enregistrés. Cliquez sur l'un d'entre eux pour l'appliquer. Le filtre appliqué est signalé par une coche . Sélectionnez Inclure les colonnes visibles, le tri et la pagination pour enregistrer ces paramètres dans la présélection. Enregistrer le jeu de filtres : enregistrez la configuration actuelle du filtre comme nouvelle présélection. Une fois la présélection enregistrée, vous ne pouvez pas modifier la configuration du filtre dans la présélection. Gérer les jeux de filtres : supprimez ou renommez les présélections existantes. Cliquez sur Enregistrer pour appliquer les modifications aux présélections. Effacer les valeurs de filtre : cliquez pour supprimer uniquement les valeurs actuelles des filtres sélectionnés. 168 Les présélections restent inchangées. Supprimer les filtres : cliquez sur cette option pour supprimer les filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres inutilisés : permet de supprimer les champs de filtre sans valeur. EXEMPLE John, dont le groupe résidentiel est Groupe de John, veut supprimer (ou modifier) la notification 1. Cette notification ayant été créée à l'origine par Larry, elle se trouve dans son groupe résidentiel appelé Groupe de Larry. Pour que John puisse supprimer (ou modifier) la notification 1, les conditions suivantes doivent être remplies : • John doit se voir attribuer un jeu d'autorisations comportant l'autorisation Écrire pour les notifications • Le jeu d'autorisations doit contenir Groupe de Larry dans Groupes statiques. Gérer les notifications Les notifications sont gérées dans la section Notifications. Vous pouvez effectuer les actions suivantes : • Pour créer une notification, cliquez sur Nouvelle notification. • Cliquez sur une notification existante et sélectionnez une action dans le menu déroulant : Activer / Désactiver Modifiez l'état d'une notification. Modifier Modifiez les paramètres d'une notification. Dupliquer Créez une notification en double dans votre groupe résidentiel. Supprimer Supprimez la notification. Groupe d'accès > Déplacer Déplacez une notification vers un groupe d'accès différent. Nouvelle notification Configurez le serveur SMTP, si vous souhaitez envoyer les notifications par courrier électronique. Général Saisissez le nom et la description de votre notification pour filtrer plus aisément les différentes notifications. Toutes les nouvelles notifications sont activées par défaut. Si vous modifiez une notification existante et souhaitez la désactiver, cliquez sur le curseur pour changer son état en Désactivé . Les notifications peuvent être activées ou désactivées à tout moment. Configuration • Événement Trois types d'événement de base peuvent déclencher une notification. Chaque type d'événement propose différentes options dans la section Paramètres. Sélectionnez l'un des types d'événement suivants : • Événements sur les ordinateurs administrés • Mise à jour de l'état dans Security Management Center • Modifications des groupes dynamiques Paramètres avancés de la limitation La fonctionnalité de limitation permet de configurer des règles 169 avancées pour déterminer à quel moment une notification est déclenchée. Pour plus d'informations, reportez-vous à limitation. Distribution Configurez les paramètres de distribution des notifications. Événements sur les ordinateurs administrés Cette option est utilisée pour les notifications qui ne sont pas associées à un groupe dynamique, mais basées sur les événements système exclus du journal des événements. Sélectionnez une catégorie de journaux sur laquelle sera basée la notification et un opérateur logique pour les filtres. Catégorie : effectuez un choix parmi les catégories d'événements suivantes : • Menace liée au pare-feu • Menace virale • Analyse • HIPS • Alertes Enterprise Inspector • Fichiers bloqués • Ordinateur premièrement connecté • Identité de l'ordinateur récupérée • Question de clonage de l'ordinateur créée Selon la catégorie, il existe une liste des événements disponibles dans Paramètres > Filtrer par. Les valeurs des filtres sont comparées directement avec les événements envoyés par les clients. Il n'existe pas de liste précise des valeurs disponibles. Groupe statique surveillé : sélectionnez un groupe statique avec des périphériques à surveiller. Paramètres Sous Paramètres, sélectionnez un Opérateur et des valeurs pour le filtre (Filtrer par). Seul un opérateur peut être sélectionné. De plus, toutes les valeurs sont évaluées ensemble avec cet opérateur. Cliquez sur Ajouter un filtre pour ajouter une nouvelle valeur pour le filtre. Mise à jour de l'état dans Security Management Center Cette option vous avertit en cas de modifications de l'état de l'objet en fonction de vos filtres définis par l'utilisateur. Vous pouvez sélectionner l'un des paramètres existants ou définir vos propres paramètres. Charger les paramètres prédéfinis : cliquez sur Sélectionner pour sélectionner un des paramètres existants ou laissez le champ vide. Cliquez sur Effacer pour effacer la section Paramètres. Catégorie : sélectionnez une catégorie d'objets. Selon la catégorie sélectionnée, les objets sont affichés dans la section Paramètres en dessous. Groupe statique surveillé : vous pouvez sélectionner un groupe statique à surveiller pour les catégories où la notification fait référence à un client (Clients administrés, Logiciel installé). Si aucun élément n'est sélectionné, tous les objets pour lesquels l'utilisateur exécutant dispose d'autorisations suffisantes seront surveillés. Paramètres Sélectionnez un Opérateur et des valeurs pour le filtre (Filtrer par). Seul un opérateur peut être sélectionné. De 170 plus, toutes les valeurs sont évaluées ensemble avec cet opérateur. Cliquez sur Ajouter un filtre pour ajouter une nouvelle valeur pour le filtre. Si d'autres filtres sont sélectionnés, l'exécution d'une notification est évaluée avec un opérateur ET (la notification n'est envoyée que si tous les champs de filtre sont évalués comme étant vrais). REMARQUE Certains filtres peuvent entraîner une notification trop fréquente. Il est recommandé d'utiliser une limitation pour agréger les notifications. Liste des valeurs de filtre disponibles Catégorie Valeur Certificats de Intervalle de temps relatif l'autorité de certification Certificat homologue Clients Pourcentage administrés d'ordinateurs ne se connectant pas Licences Intervalle de temps relatif Commentaire Sélectionnez un intervalle pour l'événement surveillé. Valeur comprise entre 0 et 100. Il ne peut être utilisé qu'avec le filtre Intervalle de temps relatif. Sélectionnez un intervalle de temps à surveiller pour l'expiration d'une licence. Pourcentage d'utilisation Valeur comprise entre 0 et 100. de la licence Tâches client Tâche Sélectionnez des tâches pour le filtre de validité. Si aucune notification n'est sélectionnée, elles sont toutes prises en compte. La tâche est valide Sélectionnez Oui/Non. Si Non est sélectionné, la notification se déclenche lorsqu'au moins une tâche de la sélection (filtre Tâche) n'est pas valide. Tâches serveur Nombre (échec) Nombre d'échecs des tâches sélectionnées. Dernier état Dernier état signalé de la tâche sélectionnée. Tâche Sélectionnez des tâches pour ce filtre. Si aucune notification n'est sélectionnée, elles sont toutes prises en compte. La tâche est valide Sélectionnez Oui/Non. Si Non est sélectionné, la notification se déclenche lorsqu'au moins une tâche de la sélection (filtre Tâche) n'est pas valide. Intervalle de temps relatif Sélectionnez un intervalle de temps à surveiller. Logiciels installés Nom de l'application Nom complet de l'application. Si d'autres applications sont surveillées, utilisez l'opérateur dans et ajoutez d'autres champs. Fournisseur de Nom complet du fournisseur. Si d'autres fournisseurs sont surveillés, l'application utilisez l'opérateur dans et ajoutez d'autres champs. État de la vérification de Si Version obsolète est sélectionnée, la notification se déclenche version lorsqu'au moins une application est obsolète. Homologues Homologue réseau État du serveur Si ESMC Server est surchargé en écrivant des journaux, il change d'état : • Normal : réponse immédiate du serveur • Limité : le serveur répond à l'agent une fois par heure • Surchargé : le serveur ne répond pas aux agents Notifications Notification Sélectionnez une notification pour ce filtre. Si aucune notification n'est sélectionnée, elles sont toutes prises en compte. La notification est Sélectionnez Oui/Non. Si Non est sélectionné, la notification se activée. déclenche lorsqu'au moins une notification de la sélection (filtre Notification) est désactivée. La notification est valide. Sélectionnez Oui/Non. Si Non est sélectionné, la notification se déclenche lorsqu'au moins une notification de la sélection (filtre Notification) n'est pas valide. Modifications des groupes dynamiques La notification sera envoyée lorsque la condition sera remplie. Vous ne pouvez sélectionner qu'une seule condition 171 à surveiller pour un groupe dynamique donné. Groupe dynamique : sélectionnez un groupe dynamique à évaluer. Paramètres - Conditions Sélectionnez le type de condition qui déclenchera une notification. • Envoyer une notification à chaque modification du contenu des groupes dynamiques Activez cette option pour être averti lorsque des membres du groupe sélectionné sont ajoutés, supprimés ou modifiés. ESMC vérifie le groupe dynamique toutes les 20 minutes. IMPORTANT ESMC vérifie l'état du groupe dynamique toutes les 20 minutes. Par exemple, si la première vérification a lieu à 10h00, les autres vérifications sont effectuées à 10h20, 10h40 et 11h00. Si le contenu du groupe dynamique change à 10h05, puis change de nouveau à 10:13, lors de la prochaine vérification effectuée à 10h20, ESMC ne reconnaît pas la modification précédente et n'en informe pas. • Envoyer une notification lorsque la taille du groupe dépasse un nombre spécifique Sélectionnez l'opérateur Taille du groupe et le seuil pour la notification : ▪Supérieure à : permet d'envoyer une notification lorsque la taille du groupe est supérieure au seuil. ▪Inférieure à : permet d'envoyer une notification lorsque la taille du groupe est inférieure au seuil. • Envoyer une notification lorsque la croissance du groupe dépasse un taux spécifique Définissez un seuil et une période qui déclencheront une notification. Vous pouvez définir un nombre ou un pourcentage de clients (membres du groupe dynamique). Définissez la durée (en minutes, heures ou jours) de la comparaison au nouvel état. Par exemple, il y a sept jours, le nombre de clients avec des produits de sécurité obsolètes était de 10 et le seuil était défini à 20. Si le nombre de clients avec des produits de sécurité obsolètes atteint 30, vous êtes averti. • Envoyer une notification lorsque le nombre de clients du groupe dynamique change par rapport à un autre groupe Si le nombre de clients d'un groupe dynamique change par rapport à un groupe de comparaison (statique ou dynamique), une notification est envoyée. Seuil : définissez un seuil qui déclenchera l'envoi d'une notification. REMARQUE Vous ne pouvez affecter une notification qu'à un groupe dynamique pour lequel vous disposez d'autorisations suffisantes. Pour afficher un groupe dynamique, vous devez disposer de l'autorisation Lire pour son groupe statique parent. Distribution Vous devez choisir au moins une méthode de distribution. Envoyer l'interruption SNMP Envoie une interception SNMP. Elle avertit le serveur à l'aide d'un message SNMP non sollicité. Pour plus d'informations, reportez-vous à Comment configurer un service d'interruption SNMP. Envoyer un message électronique Envoie un message électronique selon les paramètres de votre messagerie. Par défaut, le message électronique de notification est au format HTML et contient un logo dans le pied de page. Selon vos paramètres de personnalisation (Personnalisation > Logo à arrière-plan clair), vous pouvez définir différentes positions pour le logo : • aucune personnalisation : le logo d'ESET Security Management Center figure à gauche dans le pied de page. • Association de marques : le logo d'ESET Security Management Center figure à gauche dans le pied de page. Le vôtre se trouve à droite. • Marque blanche : pas de logo d'ESET Security Management Center. Seul votre logo figure à gauche dans 172 le pied de page. Si l'option Envoyer un message électronique est sélectionnée, insérez au moins un destinataire du courrier. • Adresse électronique : saisissez l'adresse électronique des destinataires des messages de notification. • Ajouter une adresse électronique : ajoutez un nouveau champ d'adresse. • Ajouter un utilisateur : ajoutez l'adresse de l'utilisateur depuis Utilisateurs de l'ordinateur. • Importer un fichier CSV : importez une liste personnalisée des adresses depuis un fichier CSV structuré avec des délimiteurs. • Copier et coller : importez une liste personnalisée des adresses séparées par des délimiteurs personnalisés. Cette fonctionnalité s'apparente à la fonction Importer un fichier CSV. Envoyer à Syslog Vous pouvez utiliser ESMC pour envoyer les notifications et les messages d'événement à votre serveur Syslog. Il est également possible d'exporter les journaux à partir du produit ESET d'un client et de les envoyer au serveur Syslog. Gravité Syslog : choisissez un niveau de gravité dans le menu déroulant. Les notifications apparaîtront alors avec la gravité sélectionnée sur le serveur Syslog. Champs de base de la distribution • Aperçu du message généré : aperçu du message qui apparaît dans la notification. L'aperçu contient des paramètres configurés sous la forme de texte. Vous pouvez personnaliser le contenu et l'objet du message et utiliser des variables qui seront converties en valeurs lors de la génération de la notification. Cette action est facultative, mais elle est recommandée pour un meilleur filtrage des notifications et un meilleur aperçu. Vous pouvez utiliser des variables pour personnaliser l'objet et le contenu des messages. oObjet : objet du message de notification. Cliquez sur l'icône pour modifier le contenu. Un objet précis peut améliorer le tri et le filtrage des messages. oContenu : cliquez sur l'icône pour modifier le contenu. • Général oLangue : langue du message par défaut. Un message personnalisé n'est pas traduit. oFuseau horaire : définissez le fuseau horaire pour la variable ${timestamp} de l'heure de l'occurrence, qui peut être utilisée dans le message personnalisé. EXEMPLE Si l'événement se produit à 3:00 heure locale, que l'heure locale est UTC+2 et que le fuseau horaire sélectionné est UTC+4, l'heure signalée dans la notification est 5:00. Cliquez sur Terminer pour créer un nouveau modèle selon le modèle que vous êtes en train de modifier. Vous serez invité à donner un nom au nouveau modèle. Comment configurer un service d'interruption SNMP Pour recevoir des messages SNMP, le service d'interruption SNMP doit être configuré. Suivez la procédure de configuration ci-dessous selon votre système d'exploitation : WINDOWS Conditions préalables requises • Le service SNMP (Simple Network Management Protocol) doit être installé sur l'ordinateur sur lequel est installé ESMC Server et sur celui sur lequel sera installé le logiciel d'interruption SNMP. • Les deux ordinateurs (ci-dessus) doivent se trouver dans le même sous-réseau. • Le service SNMP doit être configuré sur l'ordinateur ESMC Server. Configuration du service SNMP (ESMC Server) 1. Appuyez sur la touche Windows + R pour ouvrir la boîte de dialogue Exécuter, saisissez Services.msc dans 173 le champ Ouvrir, puis appuyez sur Entrée. Recherchez SNMP Service. 2. Cliquez sur l'onglet Interruptions, saisissez public dans le champ Nom de la communauté, puis cliquez sur Ajouter à la liste. 3. Cliquez sur Ajouter, saisissez le nom d'hôte, l'adresse IP ou l'adresse IPX de l'ordinateur sur lequel le logiciel d'interception SNMP est installé dans le champ correspondant, puis cliquez sur Ajouter. 4. Cliquez sur l'onglet Sécurité. Cliquez sur Ajouter pour afficher la fenêtre Configuration du service SNMP. Saisissez public dans le champ Nom de la communauté, puis cliquez sur Ajouter. Les droits sont définis sur LECTURE SEULE, ce qui est parfait. 5. Vérifiez que l'option Accepter les paquets SNMP provenant de ces hôtes est sélectionnée, puis cliquez sur OK. Le service SNMP n'est pas configuré. Configuration du logiciel d'interception SNMP (client) 1. Vérifiez que le service SNMP est installé sur l'ordinateur client. 2. Installez un récepteur d'interruption. 3. Configurez le récepteur d'interruption pour recevoir des interruptions SNMP d'ESMC Server (paramètres de port et adresse IP d'ESMC Server). 4. Vérifiez que le pare-feu sur les ordinateurs clients autorise les communications réseau pour la communication SNMP définie à l'étape précédente. 5. Le récepteur d'interruption permet maintenant de recevoir des messages d'ESMC Server. REMARQUE L'interruption SNMP n'est pas prise en charge dans l'appliance virtuelle ESMC. LINUX 1. Installez le package snmpd en exécutant l'une des commandes suivantes : apt-get install snmpd snmp (distributions Debian, Ubuntu) yum install net-snmp (Distributions Red Hat, Fedora) 2. Ouvrez le fichier /etc/default/snmpd, puis apportez les modifications d'attribut suivantes : #SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -g snmp -I -smux -p /var/run/snmpd.pid' L'ajout d'un # désactive complètement cette ligne. SNMPDOPTS='-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid c /etc/snmp/snmpd.conf' Ajoutez cette ligne au fichier. TRAPDRUN=yes Changez l'attribut trapdrun en yes. 3. Créez une copie de sauvegarde du fichier snmpd.conf d'origine. Ce fichier sera modifié ultérieurement. mv /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.original 4. Créez un fichier snmpd.conf et ajoutez les lignes suivantes : rocommunity public syslocation "Testing ESMC6" syscontact admin@ERA6.com 5. Ouvrez le fichier /etc/snmp/snmptrapd.conf, puis ajoutez la ligne suivante à la fin du fichier : authCommunity log,execute,net public 6. Saisissez la commande suivante pour démarrer les services de gestionnaire SNMP et consigner les interceptions entrantes : /etc/init.d/snmpd restart ou 174 service snmpd restart 7. Pour vérifier que l'intercepteur fonctionne et qu'il intercepte les messages, exécutez la commande suivantes : tail -f /var/log/syslog | grep -i TRAP Aperçu de l’état ESMC Server effectue des contrôles de diagnostic réguliers. Utilisez l'option Aperçu de l'état pour consulter les statistiques d'utilisation et l'état général d'ESET Security Management Center. Cette option peut également vous aider pour la configuration initiale d'ESET Security Management Center. Cliquez sur Aperçu de l'état pour afficher des informations d'état détaillées sur ESET Security Management Center. Cliquez sur une vignette de section pour afficher à droite une barre des tâches comprenant des actions. Chaque vignette de section peut avoir une couleur, selon l'état des éléments inclus (l'état de l'élément ayant la gravité la plus élevée est utilisé) : • Vert ( OK) : tous les éléments de la section ne présent aucun problème. • Jaune ( avertissement) : au moins un élément de la section est marqué avec un avertissement. • Rouge ( erreur) : au moins un élément de la section est marqué avec une erreur. • Gris ( contenu non disponible) : le contenu n'est pas disponible en raison des droits d'accès insuffisants de l'utilisateur de la console ESMC. L'administrateur doit définir desautorisations supplémentaires pour l'utilisateur ou vous devez vous connecter en tant qu'utilisateur disposant des droits d'accès adéquats. • Bleu ( informations) : une question est associée aux ordinateurs connectés (voir la description de la section Questions ci-dessous). L'Aperçu de l'état contient les sections suivantes : Utilisateurs Certificats Licences Ordinateurs Créez différents utilisateurs et configurez leurs autorisations pour permettre différents niveaux de gestion dans ESET Security Management Center. Le compte d'administrateur ESMC par défaut a été créé pendant l'installation. Il n'est pas recommandé d'utiliser le compte d'administrateur ESMC en tant que compte d'utilisateur normal. Cliquez sur Ajouter un utilisateur natif pour créer un compte d'utilisateur natif et utilisez-le en tant que compte par défaut dans ESET Security Management Center. Si vous voulez utiliser d'autres certificats que ceux fournis par défaut par ESMC, vous pouvez créer des autorités de certification et des certificats homologues pour les composants individuels de ESET Security Management Center afin de permettre la communication avec ESMC Server. ESET Security Management Center 7 utilise le système de licences ESET. Sélectionnez la méthode de votre choix pour ajouter des licences qui seront utilisées lors de l'activation des composants ESMC et des produits de sécurité ESET sur les ordinateurs clients. • Ajouter un ordinateur : ajoutez des ordinateurs clients, des serveurs et des périphériques mobiles du réseau à la structure ESMC. Vous pouvez ajouter des ordinateurs et des périphériques mobiles manuellement ou importer une liste de périphériques. • Ajouter des ordinateurs non autorisés : importez automatiquement les ordinateurs détectés à l'aide d'ESET RD Sensor. • Tâche Nouvelle synchronisation : exécutez une synchronisation des groupes statiques avec Active Directory, LDAP, VMware, etc. Agents • Nouvelle politique : créez une nouvelle politique pour ESET Management Agent afin de modifier l'intervalle de connexion. • Déployer l'Agent : il existe plusieurs méthodes pour déployer ESET Management Agent sur les ordinateurs clients de votre réseau. Produits • Configurer le référentiel modifiez les paramètres du serveur. • Installer des logiciels : ESET Management Agent étant déployé, vous pouvez installer des logiciels directement depuis le référentiel ESET ou spécifier l'emplacement du package d'installation (URL ou dossier partagé). • Nouvelle politique : créez une politique pour modifier la configuration du produit de sécurité ESET installé sur les ordinateurs clients. 175 Objets non valides Services externes Questions Contient la liste des tâches client et serveur, des déclencheurs ou des notifications comportant des références aux objets non valides ou inaccessibles. Cliquez sur l'un des champs de résultat pour afficher un menu avec la liste sélectionnée des objets. ESET Security Management Center peut être configuré pour se connecter à des services externes afin d'être entièrement fonctionnel. • Configurer le référentiel : le référentiel contient les fichiers de programme d'installation pour d'autres produits de sécurité ESET que vous pouvez installer pendant une tâche d'installation. Le référentiel est configuré dans les paramètres du serveur. En cas de besoin, vous pouvez créer un référentiel hors ligne. • Configurer les mises à jour : les mises à jour sont nécessaires pour qu'ESET Security Management Center soit à jour. Les mises à jour sont uniquement disponibles lorsqu'ESET Security Management Center a importé une licence d'un produit pour les entreprises n'ayant pas expiré. Vous pouvez modifier les paramètres de mise à jour dans les paramètres du serveur. • Configurer SMTP : configurez ESET Security Management Center afin d'utiliser le serveur SMTP existant pour envoyer des messages par courrier électronique, comme par exemple des notifications, des messages électroniques d'inscription pour appareils mobiles, des rapports, etc. Lorsqu'un périphérique cloné ou un changement de matériel est détecté sur un périphérique client, une question est répertoriée. En savoir plus sur la résolution des ordinateurs clonés. Autre La section Autres est le composant de configuration avancée d'ESET Security Management Center. Elle contient des outils qu'un administrateur peut utiliser pour gérer les solutions de sécurité des clients et les paramètres d'ESMC Server. Vous pouvez utiliser ces outils pour configurer votre environnement réseau de sorte qu'il nécessite peu de maintenance. Contenu de cette section • Groupes • Modèles de groupe dynamique • Fichiers soumis • Quarantaine • Gestion des licences • Droits d’accès • Certificats • Tâches serveur • Paramètres du serveur Groupes Les groupes peuvent être considérés comme des dossiers dans lesquels les ordinateurs et d'autres objets sont classés. Depuis ERA version 6.5, le modèle de sécurité utilise des groupes pour stocker des objets et attribuer des autorisations. Les objets ne sont pas seulement des ordinateurs. Il peuvent être aussi des tâches, des notifications, politiques, des certificats, des programmes d'installation et des jeux d'autorisations. Pour plus d'informations sur les droits d'accès, reportez-vous à la liste des autorisations. Pour les ordinateurs et les périphériques, vous pouvez utiliser des modèles de groupe et des groupes prédéfinis ou en créer de nouveaux. Les ordinateurs clients peuvent être ajoutés à des groupes. Vous pouvez ainsi les classer et les structurer selon vos préférences. Vous pouvez ajouter un ordinateur à un groupe statique. Les groupes statiques sont manuellement gérés. Les groupes dynamiques sont automatiquement organisés selon les critères spécifiques d'un modèle. Une fois que les ordinateurs se trouvent dans des groupes, vous pouvez attribuer des politiques, des tâches ou des paramètres à ces derniers. Les politiques, tâches ou paramètres sont ensuite appliqués à tous les membres du groupe. Il existe deux types de groupes de clients : 176 Groupes statiques Les groupes statiques sont des groupes d'ordinateurs clients sélectionnés et d'autres objets. Les membres de ces groupes sont statiques et ne peuvent être ajoutés/supprimés que manuellement, et non selon des critères dynamiques. Un objet ne peut figurer que dans un seul groupe statique. Un groupe statique ne peut être supprimé que s'il ne contient aucun objet. Groupes dynamiques Les groupes dynamiques sont des groupes de périphériques (et non d'autres objets comme des tâches ou des politiques) clients dont l'appartenance est déterminée par des critères spécifiques. Si un périphérique client ne répond pas à ces critères, il est supprimé du groupe. Les ordinateurs qui en revanche répondent aux critères sont automatiquement ajoutés au groupe (raison pour laquelle il s'appelle dynamique). La fenêtre Groupes est divisée en trois sections : 1. Une liste de tous les groupes et leurs sous-groupes est affichée à gauche. Vous pouvez sélectionner un groupe et une action pour celui-ci dans le menu contextuel ( situé en regard du nom du groupe). Les options disponibles sont identiques à celles décrites ci-dessous (actions du bouton Groupe). 2. Les informations détaillées suivantes sur le groupe sélectionné sont affichées dans le volet droit (vous pouvez passer d'un onglet à un autre) : • Ordinateurs membres du groupe • Politiques attribuées à ce groupe • Tâches attribuées à ce groupe • Résumé de la description de base du groupe. 3. Les boutons Groupe et Ordinateurs (situés dans la partie inférieure de l'écran) vous permettent d'effectuer diverses actions de groupe. Actions de groupe Accédez à Autre > Groupes, puis sélectionnez le groupe à gérer. Cliquez sur le bouton Groupe ou sur l'icône de roue crantée en regard du nom du groupe. Un menu comportant les options suivantes s'affiche : S'applique à Groupes statiques Groupes dynamiques ✔ ✔ ✔ x ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ Importez une liste (généralement un fichier texte) d'ordinateurs en tant que membres du groupe sélectionné. ✔ Si les ordinateurs existent déjà en tant que membres de ce groupe, le conflit est résolu selon l'action sélectionnée. ✔ Action de groupe Description de l'action de groupe Afficher les détails Donne une vue d'ensemble du groupe sélectionné. Nouveau groupe Le groupe sélectionné devient le groupe parent par défaut, mais vous pouvez modifier ce dernier lorsque vous créez un statique groupe statique. Nouveau groupe Le groupe sélectionné devient le groupe parent par défaut, mais vous pouvez modifier ce dernier lorsque vous créez un dynamique groupe dynamique. Modifiez le groupe sélectionné. Les paramètres sont Modifier identiques à ceux de la création d'un groupe (statique or dynamique). Sélectionnez un groupe et déplacez-le comme sous-groupe Déplacer d'un autre groupe. Supprimez le groupe sélectionné. Supprimer Importer 177 Action de groupe Exporter Ajouter Description de l'action de groupe S'applique à Groupes statiques Exportez les membres du groupe (et des sous-groupes, s'ils sont sélectionnés) dans une liste (fichier .txt). Cette liste ✔ peut être révisée ou importée ultérieurement. Ajoutez un nouveau périphérique. ✔ Exécutez la tâche Analyse à la demande sur le client qui a signalé la menace. Mettre à jour les Exécutez la tâche Mise à jour des modules (déclenche manuellement une mise à jour). modules Consultez les actions Antivol pour plus d'informations. Mobile • Réinscrire : Créez une tâche client. • Rechercher : obtenez les coordonnées GPS de votre périphérique. • Verrouiller : le périphérique est verrouillé lorsqu'une activité suspecte est détectée ou que le périphérique est signalé comme manquant. • Déverrouiller : le périphérique est déverrouillé. • Sirène : déclenche à distance une sirène sonore. Celle-ci est déclenchée même si le périphérique est défini sur muet. • Effacer : toutes les données stockées sur votre périphérique sont effacées de manière définitive. Sélectionnez les tâches client à exécuter sur les Exécuter la périphériques de ce groupe. tâche Nouvelle tâche Créez une tâche client. Sélectionnez une tâche et configurez la limitation (facultatif) de cette dernière. La tâche est alors mise en file d'attente selon les paramètres de celle-ci. Cette option déclenche immédiatement une tâche existante sélectionnée dans une liste de tâches disponibles. Comme cette tâche est exécutée immédiatement, elle n'est associée à aucun déclencheur. Dernières tâches Liste des dernières tâches client utilisées pour tous les groupes et les ordinateurs. utilisées Attribuez une politique au groupe sélectionné. Gérer les politiques Créez une notification. Nouvelle notification Modifiez le niveau de priorité d'un groupe dynamique. Appliquer plus tôt Appliquer plus tard Analyse Groupes dynamiques x x ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ x ✔ x ✔ Détails du groupe Lorsque vous sélectionnez l'action de groupe sélectionné : Afficher les détails, vous obtenez une vue d'ensemble du groupe Détails Dans Détails, vous pouvez modifier les configurations du groupe en cliquant sur ou sur Ajouter une description. Des informations s'affichent sur le placement du groupe, le groupe parent et les groupes enfants. Si le groupe sélectionné est un groupe dynamique, vous pouvez également voir l'opération et les règles selon les ordinateurs évalués et affectés au groupe. 178 Tâches Vous pouvez afficher et modifier les tâches client affectées au groupe. Stratégies Vous pouvez afficher et modifier les politiques affectées au groupe. REMARQUE Dans les détails du groupe, vous ne pouvez afficher que les tâches et les politiques affectées au groupe sélectionné. Vous ne pouvez pas voir les tâches et les politiques appliquées à chaque ordinateur du groupe. Alertes Liste des alertes des ordinateurs du groupe. Déplacer un groupe statique ou dynamique Un groupe dynamique peut être membre de n'importe quel autre groupe, y compris de groupes statiques. Un groupe statique ne peut pas être déplacé vers un groupe dynamique. De même, vous ne pouvez pas déplacer des groupes statiques prédéfinis (comme le groupe statique Perdu et trouvé) vers un autre groupe. Tous les autres groupes peuvent être déplacés librement. Cliquez sur l'icône de roue crantée située en regard du nom du groupe, puis sélectionnez Déplacer. Une fenêtre contextuelle s'affiche. Elle contient l'arborescence du groupe. Sélectionnez le groupe (statique ou dynamique) cible vers lequel vous souhaitez déplacer le groupe sélectionné. Le groupe cible devient un groupe parent. Vous pouvez également déplacer des groupes en les faisant glisser et en les déposant dans le groupe cible de votre choix. REMARQUE Un groupe dynamique dans un nouvel emplacement commence à filtrer les ordinateurs (selon le modèle) sans tenir compte de son emplacement précédent. Trois méthodes permettent de déplacer un groupe : • Glisser-déposer : cliquez sur le groupe à déplacer, faites le glisser jusqu'au nouveau groupe parent en maintenant le bouton de la souris enfoncé, puis relâchez le bouton de la souris. • Cliquez sur l'icône de roue crantée puis cliquez sur OK. 179 > Déplacer, sélectionnez un nouveau groupe parent dans la liste, • Cliquez sur l'icône de roue crantée > Modifier, puis sélectionnez Modifier le groupe parent. Sélectionnez un nouveau groupe parent dans la liste, puis cliquez sur OK. 180 Attribuer une tâche à un groupe Cliquez sur Autre > Groupes, sélectionnez ensuite groupe statique ou dynamique > sélectionné ou sur Groupe, puis sur en regard du groupe Nouvelle tâche. Il est possible de faire la même chose à partir de Ordinateurs, sélectionnez ensuite groupe Statique ou Dynamique et cliquez sur l'icône de roue crantée client s'ouvre. > Nouvelle tâche. La fenêtre Assistant Nouvelle tâche Attribuer une politique à un groupe Une fois une politique créée, vous pouvez l'attribuer à un groupe statique ou dynamique. Il existe deux méthodes pour attribuer une politique : Méthode I. Sous Politiques, sélectionnez une politique, puis cliquez sur Affecter un ou des groupes. Sélectionnez un groupe statique ou dynamique dans la liste (vous pouvez sélectionner des groupes supplémentaires), puis cliquez sur OK. 181 Méthode II. 1. Cliquez sur Autre > Groupes > Groupe ou sur l'icône de roue crantée située en regard du nom du groupe, puis sélectionnez Gérer les politiques. 2. Dans la fenêtre Ordre d'application de la politique, cliquez sur Ajouter une politique. 3. Cochez la case située en regard des politiques à attribuer à ce groupe, puis cliquez sur OK. 4. Cliquez sur Fermer. 182 Pour afficher la liste des politiques attribuées à un groupe spécifique, sélectionnez le groupe, puis cliquez sur l'onglet Politiques. Pour déterminer à quels groupes est attribuée une politique spécifique, sélectionnez la politique et consultez le second onglet Appliquée à. REMARQUE Pour plus d'informations sur les politiques, reportez-vous au chapitre Politiques. Groupes statiques Les groupes statiques sont utilisés pour : • organiser les périphériques et créer une hiérarchie de groupes et de sous-groupes ; • organiser les objets ; • servir de groupes résidentiels pour les utilisateurs. Les groupes statiques peuvent être uniquement créés manuellement. Les périphériques peuvent être déplacés manuellement vers les groupes. Un ordinateur ou un périphérique mobile ne peut appartenir qu'à un seul groupe statique. La gestion des groupes statiques s'effectue via des actions de groupe. Il existe deux groupes statiques par défaut : • Tous : il s'agit d'un groupe principal pour tous les périphériques d'un réseau ESMC Server. Tous les objets créés par l'administrateur sont contenus (par défaut) dans ce groupe. Il est toujours affiché et il n'est pas possible de le renommer. L'accès à ce groupe permet aux utilisateurs d'accéder à tous les sous-groupes, c'est pourquoi il doit être accordé avec soin. • Perdu et trouvé : il s'agit d'un groupe enfant du groupe Tous. Chaque nouvel ordinateur qui se connecte à ESMC Server pour la première fois est automatiquement affiché dans ce groupe. Ce groupe peut être renommé et copié, mais il ne peut pas être supprimé ni déplacé. IMPORTANT Un groupe statique ne peut être supprimé que dans les cas suivants : • L'utilisateur dispose d'un accès en écriture sur le groupe. • Le groupe est vide. Si le groupe statique contient encore quelques objets, l'opération de suppression échoue. Un bouton de filtre Groupe d'accès est situé dans chaque menu (Programmes d'installation, par exemple) avec des objets. Cliquez sur Sélectionner pour choisir un groupe statique. Seuls les objets contenus dans ce groupe sont répertoriés dans la vue. Grâce à cette vue filtrée, l'utilisateur peut facilement manipuler les objets dans un groupe. Ajout d'un filtre et de présélections de filtres Pour ajouter des critères de filtre, cliquez sur Ajouter un filtre et sélectionnez un ou des éléments dans la liste. Saisissez la ou les chaînes de recherche dans le ou les champs de filtre. Les filtres actifs sont mis en surbrillance en bleu. Les filtres peuvent être enregistrés dans votre profil utilisateur afin que vous puissiez les réutiliser ultérieurement. Sous Présélections, les options suivantes sont disponibles : Jeux de filtres : il s'agit des filtres enregistrés. Cliquez sur l'un d'entre eux pour l'appliquer. Le filtre appliqué est signalé par une coche . Sélectionnez Inclure les colonnes visibles, le tri et la pagination pour enregistrer ces paramètres dans la présélection. Enregistrer le jeu de filtres : enregistrez la configuration actuelle du filtre comme nouvelle présélection. Une fois la présélection enregistrée, vous ne pouvez pas modifier la configuration du filtre dans la présélection. 183 Gérer les jeux de filtres : supprimez ou renommez les présélections existantes. Cliquez sur Enregistrer pour appliquer les modifications aux présélections. Effacer les valeurs de filtre : cliquez pour supprimer uniquement les valeurs actuelles des filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres : cliquez sur cette option pour supprimer les filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres inutilisés : permet de supprimer les champs de filtre sans valeur. Créer un groupe statique Trois méthodes permettent de créer un groupe statique : 1. Cliquez sur Ordinateurs > Groupes, sélectionnez l'icône de roue crantée puis cliquez sur Nouveau groupe statique.... 2. Cliquez sur Autre > Groupes, sélectionnez l'icône de roue crantée cliquez sur Nouveau groupe statique.... 184 en regard d'un groupe statique, en regard d'un groupe statique, puis 3. Cliquez sur Autre > Groupes, sélectionnez un groupe statique, puis cliquez sur Groupe. Continuez la création du groupe statique dans l'Assistant Nouveau groupe statique. Assistant Nouveau groupe statique Pour créer un groupe dynamique, procédez comme suit : 185 Général Saisissez un nom et une description pour le nouveau groupe. Vous pouvez éventuellement modifier le groupe parent. Par défaut, le groupe parent correspond au groupe que vous avez sélectionné lorsque vous avez commencé à créer le groupe statique. Si vous souhaitez modifier le groupe parent, cliquez sur Modifier le groupe parent, puis sélectionnez-en un autre dans l'arborescence. Le groupe parent du nouveau groupe statique doit être un groupe statique. Un groupe statique ne peut pas être inclus dans un groupe dynamique. Cliquez sur Terminer pour créer le groupe statique. Importer des clients à partir d'Active Directory Pour importer des clients à partir d'AD, créez une tâche serveur : Synchronisation des groupes statiques. Sélectionnez un groupe auquel vous souhaitez ajouter de nouveaux ordinateurs à partir d'AD. Sélectionnez également les objets d'Active Directory à partir desquels effectuer la synchronisation et l'action à exécuter sur les doublons. Saisissez les paramètres de connexion au serveur Active Directory, puis définissez le mode de synchronisation sur Active Directory/Open Directory/LDAP. Exporter des groupes statiques Exporter une liste d'ordinateurs de la structure ESMC est une opération simple. Vous pouvez exporter la liste et la stocker en tant que sauvegarde afin de l'importer ultérieurement (si vous souhaitez restaurer la structure de groupe, par exemple). REMARQUE Les groupes statiques doivent contenir au moins un ordinateur. Il est impossible d'exporter des groupes vides. 1. Accédez à Autre > Groupes et sélectionnez le groupe statique que vous voulez exporter. 2. Cliquez sur le bouton Groupe situé dans la partie inférieure. 3. Sélectionnez Exporter. 4. Le fichier est enregistré au format .txt. 186 REMARQUE Il n'est pas possible d'exporter les groupes dynamiques, car ce ne sont que des liens vers les ordinateurs qui sont conformes aux critères définis dans les modèles de groupe dynamique. Importer des groupes statiques Les fichiers exportés à partir des groupes statiques peuvent être réimportés dans ESMC Web Console et inclus dans votre structure de groupe existante. 187 1. Cliquez sur Groupe. 2. Sélectionnez Importer. 3. Cliquez sur Parcourir et naviguez jusqu'au fichier .txt. 4. Sélectionnez le fichier de groupe, puis cliquez sur Ouvrir. Le nom du fichier est affiché dans la zone de texte. 5. Sélectionnez l'une des options suivantes pour résoudre les conflits : • Ignorer les périphériques en double Si le groupe statique existe et contient des ordinateurs figurant dans le fichier .txt, ces ordinateurs sont ignorés et ne sont pas importés. Des informations à ce propos sont affichées. • Déplacer les périphériques en double vers le groupe « Tous » Si le groupe statique existe et si des ordinateurs figurant dans le fichier .txt existent déjà dans ce groupe, il est nécessaire de déplacer ces derniers vers d'autres groupes avant de procéder à l'importation. Après l'importation, ces ordinateurs sont redéplacés vers leurs groupes d'origine à partir desquels ils ont été déplacés. • Créer des appareils en double Si le groupe statique existe et comprend des ordinateurs figurant dans le fichier .txt, des doublons de ces ordinateurs sont créés dans les mêmes groupes statiques. L'ordinateur d'origine est affiché avec des informations complètes, tandis que le doublon n'est affiché qu'avec son nom d'ordinateur. 6. Cliquez sur Importer ; le groupe statique et les ordinateurs qui s'y trouvent seront importés. Groupes dynamiques Les groupes dynamiques peuvent être comparés à des filtres basés sur l'état de l'ordinateur. Un ordinateur peut correspondre à plusieurs filtres et être donc attribué à plusieurs groupes dynamiques. C’est ce qui distingue les groupes dynamiques des groupes statiques, puisqu’un même client ne peut pas appartenir à plusieurs groupes statiques. Les règles des groupes dynamiques sont définies dans le modèle de groupe dynamique. Pour qu'un ordinateur devienne membre d'un groupe dynamique spécifique, il doit satisfaire à certaines conditions. Celles-ci sont définies dans un modèle de groupe dynamique. Chaque modèle est composé d'une ou de plusieurs règles. Vous pouvez spécifier ces règles lors de la création d'un modèle. 188 Les périphériques sont évalués en vue de leur inclusion à des groupes dynamiques chaque fois qu’ils entrent dans ESET Security Management Center. Si le périphérique satisfait aux valeurs spécifiées dans le modèle de groupe dynamique, il est automatiquement assigné à ce groupe. Étant donné que les ordinateurs sont filtrés du côté de l'Agent, aucune information supplémentaire ne doit être transférée au serveur. L'Agent décide à quels groupes dynamiques appartient un client et n'envoie une notification au serveur que pour lui faire part de cette décision. REMARQUE Si le périphérique client n'est pas connecté (s'il est hors tension, par exemple), son appartenance aux groupes dynamiques n'est pas mise à jour. Une fois qu'il est connecté de nouveau, son appartenance est mise à jour. Certains groupes dynamiques prédéfinis sont proposés après l'installation d'ESET Security Management Center. Vous pouvez également créer des groupes dynamiques personnalisés. Pour cela, il existe deux méthodes : • Commencez par créer un modèle, puis créez un groupe dynamique. • Créez un modèle lors de la création d'un nouveau groupe dynamique. Un utilisateur peut avoir recours aux groupes dynamiques dans d'autres composants d'ESMC. Il est possible de leur attribuer des politiques (l'application des politiques est décrite ici) ou de préparer une tâche pour tous les ordinateurs qu'ils contiennent. Un groupe dynamique peut se trouver à l'intérieur (en dessous) d'un groupe statique ou de groupes dynamiques. En revanche, un groupe statique ne peut pas se trouver à l'intérieur d'un groupe dynamique. Tous les groupes dynamiques situés en dessous d'un groupe statique donné filtrent uniquement les périphériques de ce dernier. Si un groupe dynamique se trouve à l'intérieur d'un autre groupe dynamique, il filtre les résultats du groupe supérieur. Une fois créé, le groupe peut être déplacé librement dans l'arborescence. La gestion des groupes dynamiques s'effectue via des actions de groupe. Créer un groupe dynamique Les groupes dynamiques sont des groupes de clients sélectionnés selon des critères spécifiques. Si un ordinateur client ne répond pas aux critères, il est supprimé du groupe. S'il satisfait aux conditions définies, il sera ajouté au groupe. La sélection du groupe s'effectue automatiquement selon les paramètres configurés, sauf dans le cas d'un groupe statique. Trois méthodes permettent de créer un groupe dynamique : 1. Cliquez sur Ordinateurs > Groupes > 189 , puis sélectionnez Nouveau groupe dynamique. 2. Cliquez sur Autre > Groupes > > Nouveau groupe dynamique. 3. Cliquez sur Autre > Groupes, sur le bouton Groupe, puis sur Nouveau groupe dynamique.... 190 L'Assistant Nouveau groupe dynamique s'affiche. Pour obtenir d'autres cas pratiques relatifs à la création d'un groupe dynamique, reportez-vous aux exemples. La section Modèles de groupe dynamique contient des modèles prédéfinis et personnalisés selon des critères différents. Tous les modèles sont affichés dans une liste. Lorsque vous cliquez sur un modèle existant, vous pouvez le modifier. Pour créer un modèle de groupe dynamique, cliquez sur Nouveau modèle. Assistant Nouveau groupe dynamique Pour créer un groupe dynamique, cliquez sur à côté du nom du groupe dynamique, puis sur Nouveau groupe dynamique. La commande Nouveau groupe dynamique est également accessible depuis Autre > Groupes. Sélectionnez un groupe (dans le volet Groupes), puis cliquez sur Groupe dans la partie inférieure. Suivez ensuite les instructions de l'Assistant Groupe dynamique. 191 Assistant Nouveau groupe dynamique 1. Saisissez un nom et une description pour le nouveau modèle. 2. Vous pouvez également modifier le groupe parent en cliquant sur Modifier le groupe parent. 3. Cliquez sur Modèle. • Si vous voulez créer le groupe à partir d'un modèle prédéfini ou d'un modèle que vous avez déjà créé, 192 cliquez sur Choisir, puis sélectionnez le modèle adéquat dans la liste. • Si vous n'avez pas encore créé de modèle et si aucun des modèles prédéfinis de la liste ne vous convient, cliquez sur Nouveau et suivez la procédure permettant de créer un modèle. Chaque groupe dynamique est créé à partir d'un modèle qui définit la façon dont un groupe filtre les ordinateurs client. Il est possible de créer un nombre illimité de groupes dynamiques à partir d'un seul modèle. REMARQUE Un modèle est un objet statique qui est stocké dans un groupe statique. Pour accéder aux modèles, les utilisateurs doivent disposer des autorisations adéquates. Un utilisateur a besoin d'autorisations d'accès pour être en mesure d'utiliser des modèles de groupe dynamique. Tous les modèles prédéfinis sont situés dans le groupe statique Tous et ne sont accessibles par défaut que par l'administrateur. Les autres utilisateurs doivent se voir attribuer d'autres autorisations. Pour cette raison, les utilisateurs peuvent ne pas afficher ou utiliser les modèles par défaut. Les modèles peuvent être déplacés vers un groupe pour lequel les utilisateurs disposent d'autorisations. Pour dupliquer un modèle, l'utilisateur doit se voir attribuer l'autorisation Écrire (pour la fonctionnalité Modèles de groupe dynamique) pour le groupe dans lequel se trouve le modèle source et le groupe résidentiel de l'utilisateur (dans lequel sera stocké le doublon). Découvrez des suggestions d'amélioration dans l'exemple. 4. Cliquez sur Synthèse. Le nouveau groupe apparaît sous le groupe parent. Modèles de groupe dynamique Les modèles de groupe dynamique définissent les critères que les ordinateurs doivent respecter pour être placés dans un groupe dynamique. Lorsque ces critères sont respectés par un client, il est automatiquement déplacé vers le groupe dynamique approprié. 193 REMARQUE Un modèle est un objet statique qui est stocké dans un groupe statique. Pour accéder aux modèles, les utilisateurs doivent disposer des autorisations adéquates. Un utilisateur a besoin d'autorisations d'accès pour être en mesure d'utiliser des modèles de groupe dynamique. Tous les modèles prédéfinis sont situés dans le groupe statique Tous et ne sont accessibles par défaut que par l'administrateur. Les autres utilisateurs doivent se voir attribuer d'autres autorisations. Pour cette raison, les utilisateurs peuvent ne pas afficher ou utiliser les modèles par défaut. Les modèles peuvent être déplacés vers un groupe pour lequel les utilisateurs disposent d'autorisations. Pour dupliquer un modèle, l'utilisateur doit se voir attribuer l'autorisation Écrire (pour la fonctionnalité Modèles de groupe dynamique) pour le groupe dans lequel se trouve le modèle source et le groupe résidentiel de l'utilisateur (dans lequel sera stocké le doublon). Découvrez des suggestions d'amélioration dans l'exemple. • Créer un modèle de groupe dynamique • Règles pour un modèle de groupe dynamique • Modèle de groupe dynamique : exemples Gérer les modèles de groupe dynamique Les modèles peuvent être gérés dans Autre > Modèles de groupe dynamique. Nouveau modèle Afficher les détails Modifier/Modifier le modèle Dupliquer Supprimer Groupe d'accès Pour créer un modèle de groupe dynamique, cliquez sur Nouveau modèle dans votre group résidentiel. Reportez-vous au résumé des informations sur le modèle sélectionné. Modifiez le modèle sélectionné. Cliquez sur Enregistrer sous pour conserver votre modèle existant et en créer un nouveau selon le modèle en cours de modification. Lorsque vous y êtes invité(e), donnez un nom à votre nouveau modèle. Créez des modèles de groupe dynamique à partir du modèle sélectionné. Un nouveau nom est requis pour la tâche dupliquée. Le modèle dupliqué sera stocké dans votre groupe résidentiel. Supprimez définitivement le modèle. Déplacez le modèle sélectionné vers un autre groupe statique. Cette opération peut s'avérer utile lors de la résolution des problèmes d'accès avec d'autres utilisateurs. Ajout d'un filtre et de présélections de filtres Pour ajouter des critères de filtre, cliquez sur Ajouter un filtre et sélectionnez un ou des éléments dans la liste. Saisissez la ou les chaînes de recherche dans le ou les champs de filtre. Les filtres actifs sont mis en surbrillance en bleu. Les filtres peuvent être enregistrés dans votre profil utilisateur afin que vous puissiez les réutiliser ultérieurement. Sous Présélections, les options suivantes sont disponibles : Jeux de filtres : il s'agit des filtres enregistrés. Cliquez sur l'un d'entre eux pour l'appliquer. Le filtre appliqué est signalé par une coche . Sélectionnez Inclure les colonnes visibles, le tri et la pagination pour enregistrer ces paramètres dans la présélection. Enregistrer le jeu de filtres : enregistrez la configuration actuelle du filtre comme nouvelle présélection. Une fois la présélection enregistrée, vous ne pouvez pas modifier la configuration du filtre dans la présélection. Gérer les jeux de filtres : supprimez ou renommez les présélections existantes. Cliquez sur Enregistrer pour appliquer les modifications aux présélections. Effacer les valeurs de filtre : cliquez pour supprimer uniquement les valeurs actuelles des filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres : cliquez sur cette option pour supprimer les filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres inutilisés : permet de supprimer les champs de filtre sans valeur. 194 Nouveau modèle de groupe dynamique Cliquez sur Nouveau modèle sous Autre > Modèles de groupe dynamique. Général Saisissez un nom et une description pour le nouveau modèle de groupe dynamique. Expression Pour découvrir comment utiliser des groupes dynamiques sur votre réseau, consultez nos exemples avec des instructions détaillées illustrées. Résumé Passez en revue les paramètres configurés, puis cliquez sur Terminer pour créer le modèle. Le nouveau modèle est ajouté à la liste de tous les modèles et peut être utilisé ultérieurement pour créer un groupe dynamique. Règles pour un modèle de groupe dynamique Lorsque vous définissez des règles pour un modèle de groupe dynamique, vous pouvez utiliser des opérateurs différents pour différentes conditions afin d'obtenir le résultat escompté. Les chapitres suivants expliquent les règles et les opérations utilisées dans les modèles de groupe dynamique : • Opérations • Règles et connecteurs logiques • Évaluation des règles de modèle • Automatisation dans ESET Security Management Center • Modèles de groupe dynamique • Cas d'utilisation : créer un modèle de groupe dynamique spécifique 195 Opérations Si vous spécifiez plusieurs règles (conditions), vous devez sélectionner l'opération qui doit être utilisée pour les associer. Selon le résultat, un ordinateur client est ou n'est pas ajouté à un groupe dynamique qui utilise le modèle donné. REMARQUE L'opération sélectionnée ne fonctionne pas uniquement lors de la combinaison de plusieurs règles. Une seule règle est aussi possible. AND (Toutes les conditions doivent être vraies) OR (Au moins une des conditions doit être vraie) NAND (Au moins une des conditions doit être fausse) NOR (Toutes les conditions doivent être fausses) Vérifie si toutes les conditions sont évaluées de manière positive. L'ordinateur doit satisfaire tous les paramètres requis. Vérifie si au moins l'une des conditions est évaluée de manière positive. L'ordinateur doit satisfaire au moins l'un des paramètres requis. Vérifie si au moins une des conditions ne peut pas être évaluée de manière positive. L'ordinateur ne doit pas satisfaire au moins un paramètre. Vérifie si toutes les conditions ne peuvent pas être évaluées de manière positive. L'ordinateur ne satisfait pas un des paramètres requis. REMARQUE Il n'est pas possible de combiner des opérations. Une seule opération est utilisée par modèle de groupe dynamique et s'applique à toutes ses règles. Règles et opérateurs logiques Une règle est composée d'un élément, d'un opérateur logique et d'une valeur définie. Lorsque vous cliquez sur + Ajouter une règle, une fenêtre indépendante s'ouvre. Elle contient une liste d'éléments divisés en catégorie. Par exemple : Logiciel installé > Nom de l'application Cartes réseau > Adresse MAC Édition du SE > Nom du SE Vous pouvez consulter la liste de toutes les règles disponibles dans cet article de la base de connaissances ESET. Pour créer une règle, sélectionnez un élément, choisissez un opérateur logique et spécifiez une valeur. La règle est évaluée selon la valeur spécifiée et l'opérateur logique utilisé. Les types de valeurs acceptées sont les suivants : nombre(s), chaîne(s), énumération(s), adresse(s) IP, masques de produit et ID d'ordinateur. Chaque type de valeur est associé à des opérateurs logiques différents. ESMC Web Console n'affiche automatiquement que les opérateurs pris en charge. • = (égal) : les valeurs du symbole et du modèle doivent correspondre. Les chaînes sont comparées sans tenir compte de la casse. • > (supérieur à) : la valeur du symbole doit être supérieure à celle du modèle. Cet opérateur peut être également utilisé pour créer une comparaison de plages pour les symboles d'adresse IP. • ≥ (supérieur ou égal à) : la valeur du symbole doit être supérieure ou égale à celle du modèle. Cet opérateur peut être également utilisé pour créer une comparaison de plages pour les symboles d'adresse IP. • < (inférieur à) : la valeur du symbole doit être inférieure à celle du modèle. Cet opérateur peut être également utilisé pour créer une comparaison de plages pour les symboles d'adresse IP. • ≤ (inférieur ou égal à) : la valeur du symbole doit être inférieure ou égale à celle du modèle. Cet opérateur peut être également utilisé pour créer une comparaison de plages pour les symboles d'adresse IP. • contient : la valeur du symbole contient celle du modèle. Dans le cas de chaînes, cet opérateur permet de rechercher une sous-chaîne.La recherche ne respecte pas la casse. • contient un préfixe : la valeur du symbole contient le même préfixe de texte que la valeur du modèle. Les chaînes sont comparées sans tenir compte de la casse. Définit les premiers caractères de la chaîne de 196 recherche ; par exemple, pour "Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319", le préfixe est "Micros", "Micr", "Microsof", etc. • contient un suffixe : la valeur du symbole contient le même suffixe de texte que la valeur du modèle. Les chaînes sont comparées sans tenir compte de la casse. Définit les premiers caractères de la chaîne de recherche ; par exemple, pour "Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319", le suffixe est "319" ou "0.30319", etc. • contient un masque : la valeur du symbole doit correspondre à un masque défini dans un modèle. La mise en forme du masque autorise n'importe quel caractère, les symboles spéciaux « * » (zéro, un ou plusieurs caractères) et « ? » (un caractère uniquement, par exemple : "6.2.*" ou "6.2.2033.?". • "regex" : la valeur du symbole doit correspondre à l'expression régulière (regex) d'un modèle. L'expression régulière doit être écrite au format Perl. REMARQUE Une expression régulière, une regex ou une regexp est une séquence de caractères qui définit un modèle de recherche. Par exemple, gray|grey et gr(a|e)y sont des modèles équivalents qui correspondent tous les deux à ces deux mots : "gray", "grey". • appartient à : la valeur du symbole doit correspondre à n'importe quelle valeur d'une liste d'un modèle. Cliquez sur + Ajouter pour ajouter un élément. Chaque ligne est un nouvel élément dans la liste. Les chaînes sont comparées sans tenir compte de la casse. • appartient (masque de chaîne) : la valeur du symbole doit correspondre à n'importe quel masque d'une liste d'un modèle. • a la valeur Opérateurs de négation : IMPORTANT Les opérateurs de négation doivent être utilisés avec précaution, car en cas de journaux à plusieurs lignes, comme « application installée », toutes les lignes sont testées par rapport à ces conditions. Examinez les exemples inclus (Évaluation des règles de modèle et Modèle de groupe dynamique - exemples) pour déterminer comment les opérateurs et les opérations de négation doivent être utilisés pour obtenir les résultats escomptés. • ≠ (différent de) : les valeurs du symbole et du modèle ne doivent pas correspondre. Les chaînes sont comparées sans tenir compte de la casse. • ne contient pas : la valeur du symbole ne contient pas la valeur du modèle. La recherche ne respecte pas la casse. • n'a pas de préfixe : la valeur du symbole ne contient pas le même préfixe de texte comme la valeur du modèle. Les chaînes sont comparées sans tenir compte de la casse. • n'a pas de suffixe : la valeur du symbole ne contient pas de suffixe de texte comme la valeur du modèle. Les chaînes sont comparées sans tenir compte de la casse. • n'a pas de masque : la valeur du symbole ne doit pas correspondre à un masque défini dans un modèle. • n'est pas une expression regex : la valeur du symbole ne doit pas correspondre à une expression régulière (regex) d'un modèle. L'expression régulière doit être écrite au format Perl. L'opération de négation est fournie à titre d'exemple pour éviter toute réécriture. • n'appartient pas à : la valeur du symbole ne doit pas correspondre à n'importe quelle valeur de la liste d'un modèle. Les chaînes sont comparées sans tenir compte de la casse. • n'appartient pas à (masque de chaîne) : la valeur du symbole ne doit pas correspondre à n'importe quel masque d'une liste d'un modèle. • n'a pas la valeur Évaluation des règles de modèle L'évaluation des règles du modèle est gérée par ESET Management Agent, et non pas ESMC Server (seulement les résultats sont envoyés à ESMC Server). Le processus d'évaluation s'effectue selon les règles configurées dans un modèle. Vous trouverez ci-dessous quelques exemples d'évaluation de règles de modèle. 197 EXEMPLE Vous devez faire la différence entre un test pour existence (rien n'existe avec cette valeur) et un test pour différence (un élément existe mais avec une valeur différente). Voici quelques règles de base pour faire cette distinction : • Pour vérifier l'existence : Opération sans négation (ET, OU) et opérateur sans négation (=, >, <, contient,...). • Pour vérifier l'existence d'une valeur différente : Opération ET et opérateurs incluant au moins une négation (=, >, <, contient, ne contient pas,...). • Pour vérifier la non-existence d'une valeur : Opérations avec négation (NON ET, NON OU) et opérateurs avec négation (=, >, <, contient,...). Pour vérifier la présence d'une liste d'éléments (par exemple, une liste spécifique d'applications installées sur un ordinateur), vous devez créer un modèle de groupe dynamique distinct pour chaque élément de la liste et affecter le modèle à un groupe dynamique séparé, chaque groupe dynamique étant un sous-groupe d'un autre. Les ordinateurs avec la liste des éléments se trouvent dans le dernier sous-groupe. L'état est un ensemble d'informations diverses. Certaines sources fournissent plusieurs états dimensionnels par ordinateur (système d'exploitation, taille de la RAM, etc.). D'autres sources donnent des informations d'état multidimensionnelles (adresse IP, application installée, etc.). Vous trouverez ci-dessous une représentation visuelle de l'état d'un client : Cartes réseau : adresse IP Cartes réseau : adresse MAC Nom du SE Version du SE 192.168.1.2 4A-64-3F-10-FC-75 Windows 7 Entreprise 6.1.7601 10.1.1.11 124.256.25.25 2B-E8-73-BE-81-C7 52-FB-E5-74-35-73 Matériel : taille de la RAM en Mo 2048 Application installée ESET Endpoint Security Lecteur de fichiers PDF Suite Office Prévisions météorologiques L'état est composé de groupes d'informations. Un groupe de données fournit toujours des informations cohérentes organisées en lignes. Le nombre de lignes par groupe peut varier. Les conditions sont évaluées par groupe et par ligne. S'il existe plus de conditions concernant les colonnes d'un groupe, seules les valeurs de la même ligne sont prises en compte. Exemple 1 : Pour cet exemple, prenez en compte la condition suivante : Cartes réseau.Adresse IP = 10.1.1.11 ET Cartes réseau.Adresse MAC = 4A-64-3F-10FC-75 Cette règle ne correspond à aucun ordinateur, car il n'existe aucune ligne dans laquelle les deux conditions sont vraies. Cartes réseau : adresse IP Cartes réseau : adresse MAC Nom du SE Version du SE 192.168.1.2 4A-64-3F-10-FC-75 Windows 7 Entreprise 6.1.7601 10.1.1.11 124.256.25.25 2B-E8-73-BE-81-C7 52-FB-E5-74-35-73 198 Matériel : taille de la RAM en Mo 2048 Application installée ESET Endpoint Security Lecteur de fichiers PDF Suite Office Prévisions météorologiques Exemple 2 : Pour cet exemple, prenez en compte la condition suivante : Cartes réseau.Adresse IP = 192.168.1.2 ET Cartes réseau.Adresse MAC = 4A-64-3F-10FC-75 Cette fois, les deux conditions correspondent à des cellules d'une même ligne. La règle dans son ensemble est donc évaluée comme VRAIE. L'ordinateur est sélectionné. Cartes réseau : adresse IP Cartes réseau : adresse MAC Nom du SE Version du SE 192.168.1.2 4A-64-3F-10-FC-75 Windows 7 Entreprise 6.1.7601 10.1.1.11 124.256.25.25 2B-E8-73-BE-81-C7 52-FB-E5-74-35-73 Matériel : taille de la RAM en Mo 2048 Application installée ESET Endpoint Security Lecteur de fichiers PDF Suite Office Prévisions météorologiques Exemple 3 : Pour les conditions avec l'opérateur OU (au moins une condition doit être VRAIE), telles que : Cartes réseau.Adresse IP = 10.1.1.11 OU Cartes réseau.Adresse MAC = 4A-64-3F-10FC-75 La règle est VRAIE pour deux lignes, dans la mesure ou une condition sur les deux doit être remplie. L'ordinateur est sélectionné. Cartes réseau : adresse IP Cartes réseau : adresse MAC Nom du SE Version du SE 192.168.1.2 4A-64-3F-10-FC-75 Windows 7 Entreprise 6.1.7601 10.1.1.11 124.256.25.25 2B-E8-73-BE-81-C7 52-FB-E5-74-35-73 Matériel : taille de la RAM en Mo 2048 Application installée ESET Endpoint Security Lecteur de fichiers PDF Suite Office Prévisions météorologiques Modèle de groupe dynamique : exemples Les exemples de modèles de groupe dynamique et de leur utilisation de ce guide montrent comment vous pouvez utiliser des groupes dynamiques pour gérer votre réseau : Groupe dynamique qui détecte si un produit de sécurité est installé Groupe dynamique qui détecte si une version spécifique d'un logiciel est installée Groupe dynamique qui détecte si une version spécifique d'un logiciel n'est pas installée Groupe dynamique qui détecte si une version spécifique d'un logiciel n'est pas installée et si une autre version existe Groupe dynamique qui détecte si un ordinateur se trouve dans un sous-réseau spécifique Groupe dynamique qui détecte des versions de produits de sécurité serveur installées mais non activées Déploiement des produits ESET sur les postes de travail Windows nouvellement connectés Appliquer une politique basée sur l'emplacement 199 Consultez également ces articles de la base de connaissances comportant des exemples de modèles de groupe dynamique et de leur utilisation : Exemples utiles de modèle de groupe dynamique dans ESET Security Management Center 7 : exemples d'utilisation des détails de l'inventaire matériel afin de créer des règles pour un groupe dynamique contenant les appareils répondant aux critères matériels sélectionnés. Groupe dynamique qui détecte les ordinateurs sans produit de sécurité ESET sur lesquels ESET Management Agent est installé Configurer ESET Security Management Center pour déployer automatiquement les produits endpoint ESET sur des ordinateurs non protégés (7.x) Configurer les endpoints pour qu'ils utilisent différentes configurations de mise à jour en fonction du réseau auquel ils sont connectés à l'aide d'ESET Security Management Center (7.x) Créer un certificat pour que les nouveaux postes de travail rejoignent automatiquement un groupe dynamique dans ESET Security Management Center (7.x) REMARQUE Les articles de la base de connaissances peuvent ne pas être disponibles dans votre langue. De nombreux autres objectifs peuvent être bien sûr atteints à l'aide de modèles de groupe dynamique avec une combinaison de règles. Les possibilités sont pratiquement infinies. Groupe dynamique : un produit de sécurité est installé Ce groupe dynamique peut être utilisé pour exécuter une tâche immédiatement après l'installation d'un produit de sécurité ESET sur un ordinateur : Activation, Analyse personnalisée, etc. Vous pouvez créer un Nouveau modèle sous Autre > Modèles de groupe dynamique et créer un nouveau Groupe dynamique avec un modèle ou créer un nouveau Groupe dynamique à l'aide d'un modèle existant ou d'un nouveau modèle. Général Saisissez un nom et une description pour le nouveau modèle de groupe dynamique. Expression 1. Sélectionnez un opérateur logique dans le menu Opération : ET (Toutes les conditions doivent être vraies). 2. Cliquez sur + Ajouter une règle, puis sélectionnez une condition. Sélectionnez Ordinateur > Masque des produits administrés > est l'un de > Protégé par ESET : Bureau. Vous pouvez choisir des produits ESET différents. Résumé Passez en revue les paramètres configurés, puis cliquez sur Terminer pour créer le modèle. Le nouveau modèle est ajouté à la liste de tous les modèles et peut être utilisé ultérieurement pour créer un groupe dynamique. Groupe dynamique : une version de logiciel spécifique est installée Ce groupe dynamique peut être utilisé pour détecter un logiciel de sécurité ESET sur un ordinateur. Vous pouvez ensuite exécuter une tâche de mise à niveau ou une commande personnalisée sur ces ordinateurs. Des opérateurs différents, tels que contient ou contient un préfixe, peuvent être utilisés. Cliquez sur Nouveau modèle sous Autre > Modèles de groupe dynamique. Général Saisissez un nom et une description pour le nouveau modèle de groupe dynamique. Expression 1. Sélectionnez un opérateur logique dans le menu Opération : ET (Toutes les conditions doivent être vraies). 200 2. Cliquez sur + Ajouter une règle, puis sélectionnez une condition : • Logiciel installé > Nom de l'application > = (égal) > ESET Endpoint Security • Logiciel installé > Version de l'application > = (égal) > 6.2.2033.0 Résumé Passez en revue les paramètres configurés, puis cliquez sur Terminer pour créer le modèle. Le nouveau modèle est ajouté à la liste de tous les modèles et peut être utilisé ultérieurement pour créer un groupe dynamique. Groupe dynamique : une version spécifique d'un logiciel n'est pas du tout installée Ce groupe dynamique peut être utilisé pour détecter un logiciel de sécurité ESET absent d'un ordinateur. Les paramètres de cet exemple incluront des ordinateurs qui ne contiennent pas du tout le logiciel ou des ordinateurs avec des versions autres que celle spécifiée. Ce groupe est utile car vous pouvez ensuite exécuter une tâche d'installation de logiciel sur ces ordinateurs pour effectuer une installation ou une mise à niveau. Des opérateurs différents, tels que contient ou contient un préfixe, peuvent être utilisés. Cliquez sur Nouveau modèle sous Autre > Modèles de groupe dynamique. Général Saisissez un nom et une description pour le nouveau modèle de groupe dynamique. Expression 1. Sélectionnez un opérateur logique dans le menu Opération : NON ET (Au moins une des conditions doit être fausse). 2. Cliquez sur + Ajouter une règle, puis sélectionnez une condition : • Logiciel installé > Nom de l'application > = (égal) > ESET Endpoint Security • Logiciel installé > Version de l'application > = (égal) > 6.2.2033.0 Résumé Passez en revue les paramètres configurés, puis cliquez sur Terminer pour créer le modèle. Le nouveau modèle est ajouté à la liste de tous les modèles et peut être utilisé ultérieurement pour créer un groupe dynamique. Groupe dynamique : une version spécifique d'un logiciel n'est pas installée mais une autre version existe Ce groupe dynamique peut être utilisé pour détecter un logiciel installé mais dont la version est différente de celle demandée. Ce groupe est utile car vous pouvez ensuite exécuter des tâches de mise à niveau sur les ordinateurs sur lesquels la version demandée est absente. Des opérateurs différents peuvent être utilisés. Vérifiez toutefois que le test de la version est effectuée avec un opérateur de négation. Cliquez sur Nouveau modèle sous Autre > Modèles de groupe dynamique. Général Saisissez un nom et une description pour le nouveau modèle de groupe dynamique. Expression 1. Sélectionnez un opérateur logique dans le menu Opération : ET (Toutes les conditions doivent être vraies). 2. Cliquez sur + Ajouter une règle, puis sélectionnez une condition : • Logiciel installé > Nom de l'application > = (égal) > ESET Endpoint Security • Logiciel installé > Version de l'application > ≠ (différent de) > 6.2.2033.0 Résumé Passez en revue les paramètres configurés, puis cliquez sur Terminer pour créer le modèle. Le nouveau modèle est ajouté à la liste de tous les modèles et peut être utilisé ultérieurement pour créer un groupe dynamique. 201 Groupe dynamique : un ordinateur se trouve dans un sous-réseau spécifique Ce groupe dynamique peut être utilisé pour détecter un sous-réseau spécifique. Il peut ensuite servir à appliquer une politique personnalisée pour une mise à jour ou le filtrage Internet. Vous pouvez spécifier différentes plages. Cliquez sur Nouveau modèle sous Autre > Modèles de groupe dynamique. Général Saisissez un nom et une description pour le nouveau modèle de groupe dynamique. Expression 1. Sélectionnez un opérateur logique dans le menu Opération : ET (Toutes les conditions doivent être vraies). 2. Cliquez sur + Ajouter une règle, puis sélectionnez une condition : • Adresses IP réseau > Adresse IP de la carte > ≥ (supérieur ou égal) > 10.1.100.1 • Adresses IP réseau > Adresse IP de la carte > ≤ (inférieur ou égal) > 10.1.100.254 • Adresses IP réseau > Adresse IP de la carte > = (égal) > 255.255.255.0 Résumé Passez en revue les paramètres configurés, puis cliquez sur Terminer pour créer le modèle. Le nouveau modèle est ajouté à la liste de tous les modèles et peut être utilisé ultérieurement pour créer un groupe dynamique. Groupe dynamique : version d'un produit de sécurité serveur installée mais non activée Ce groupe dynamique peut être utilisé pour détecter des produits serveur inactifs. Une fois ces produits détectés, vous pouvez attribuer une tâche client à ce groupe pour activer les ordinateurs client avec la licence adéquate. Dans cet exemple, seul ESET Mail Security for Microsoft Exchange Server est spécifié, mais vous pouvez spécifier plusieurs produits. Cliquez sur Nouveau modèle sous Autre > Modèles de groupe dynamique. Général Saisissez un nom et une description pour le nouveau modèle de groupe dynamique. Expression 1. Sélectionnez un opérateur logique dans le menu Opération : ET (Toutes les conditions doivent être vraies). 2. Cliquez sur + Ajouter une règle, puis sélectionnez une condition : • Ordinateur > Masque des produits administrés > est l'un de > Protégé par ESET : Serveur de messagerie • Problèmes de fonctionnalité/de protection > Source > = (égale) > « Produit de sécurité » • Problèmes de fonctionnalité/protection > Problème > = (égal) > « Produit non activé » Résumé Passez en revue les paramètres configurés, puis cliquez sur Terminer pour créer le modèle. Le nouveau modèle est ajouté à la liste de tous les modèles et peut être utilisé ultérieurement pour créer un groupe dynamique. Comment automatiser ESET Security Management Center À l'aide de techniques comme celles illustrées dans l'exemple ci-après, vous pouvez automatiser de nombreuses actions, depuis les mises à jour de produit et de système d'exploitation et les activations automatiques des produits ajoutés avec des licences présélectionnées, jusqu'à la résolution d'incidents complexes. 202 AVERTISSEMENT N'appliquez les techniques présentées ci-dessous qu'aux ordinateurs clients sur lesquels aucun logiciel de sécurité tiers ni logiciel de sécurité ESET pour particuliers (ESET Smart Security, par exemple) n'est installé. L'installation de produits ESET sur des ordinateurs clients sur lesquels des logiciels de sécurité tiers sont installés n'est pas recommandée. Vous pouvez utiliser ESET AV Remover pour supprimer les autres antivirus de votre ordinateur. EXEMPLE : déploiement automatique des produits ESET sur les postes de travail Windows nouvellement connectés 1. Créez un groupe dynamique et attribuez-lui le nom Sans produit de sécurité. a.Faites-en un groupe enfant du groupe prédéfini Ordinateurs Windows > Windows (postes de travail). b.Cliquez sur Nouveau modèle. c.Ajoutez la règle suivante : Ordinateur > Masque des produits administrés. d.Sélectionnez différent de comme opérateur. e.Sélectionnez le masque Protégé par ESET: Bureau f.Cliquez sur Terminer pour enregistrer le groupe. 2. Accédez à Tâches client > Produit de sécurité ESET > Installation du logiciel. a.Cliquez sur Nouveau et attribuez un nom à la tâche. b.Sélectionnez le package dans la section Paramètres et définissez d'autres paramètres, si nécessaire. c.Cliquez sur Terminer > Créer un déclencheur. d.Dans la section Cible, cliquez sur Ajouter des groupes et sélectionnez Sans produit de sécurité. e.Dans la section Déclencheur, sélectionnez Déclencheur A rejoint le groupe dynamique. f.Cliquez sur Terminer pour enregistrer la tâche et le déclencheur. Cette tâche sera exécutée sur les clients figurant dans le groupe dynamique à cet instant. Vous devrez exécuter manuellement tâche sur les clients qui se trouvaient dans le groupe dynamique avant qu'elle ne soit créée. EXEMPLE : cette application d'une politique basée sur l'emplacement 1. Créez un groupe dynamique appelé Sous-réseau 120. a.Faites-en un groupe enfant du groupe Tous. b.Cliquez sur Nouveau modèle. c.Ajouter la règle : Adresses IP réseau > Sous-réseau IP. d.Sélectionnez égal à comme opérateur. e.Saisissez le sous-réseau à filtrer, par exemple 10.1.120.0 (le dernier chiffre doit être 0 pour filtrer toutes les adresses IP du sous-réseau 10.1.120.). f.Cliquez sur Terminer pour enregistrer le groupe. 2. Accédez à Politiques. a.Cliquez sur Nouvelle politique et attribuez un nom à la politique. b.Dans la section Paramètres, sélectionnez ESET Management Agent. c.Apportez une modification à la politique. Définissez par exemple Intervalle de connexion sur 5 minutes. d.Dans la section Attribuer, cliquez sur Attribuer, cochez la case située en regard du groupe Sousréseau 120 et cliquez sur OK. e.Cliquez sur Terminer pour enregistrer la politique. Cette politique sera appliquée immédiatement sur les clients figurant déjà dans le groupe dynamique. AVERTISSEMENT Lorsqu'un ordinateur client est déplacé du groupe dynamique (les conditions liées à l'appartenance au groupe dynamique ne sont plus valides), les paramètres sont toujours appliqués, à moins qu'une autre politique ne soit appliquée au même jeu de paramètres. Consultez d'autres exemples répertoriés ici. Fichiers soumis ESET Dynamic Threat Defense est un service qui offre une protection avancée contre les nouvelles menaces. Un utilisateur peut soumettre des fichiers en vue d'une analyse de logiciels malveillants dans l'environnement cloud et recevoir un rapport sur le comportement de l'échantillon. Pour obtenir des instructions détaillées, consultez le Guide de l'utilisateur d'ESET Dynamic Threat Defense. Vous pouvez soumettre à distance un fichier directement dans ESMC Web Console, via Menaces > Afficher les détails > Envoyer le fichier à EDTD. La fenêtre Fichiers soumis contient la liste de tous les fichiers envoyés aux serveurs ESET. 203 Fenêtre Fichiers soumis Vous pouvez afficher la liste des fichiers soumis et des informations relatives à ces derniers (utilisateur ayant soumis le fichier et date de soumission, par exemple). Cliquez sur le fichier soumis et sélectionnez une action dans le menu déroulant. Afficher les détails Cliquez sur cette option pour afficher l'onglet dernière soumission. Afficher le comportement Consultez le rapport de l'analyse comportementale d'un échantillon donné. Ajouter une exclusion à la Sélectionnez un ou plusieurs fichiers, puis cliquez sur Ajouter une exclusion à la politique pour ajouter une exclusion de détection pour les fichiers politique sélectionnés à une politique existante. Sélectionnez une politique dans la fenêtre contextuelle et cliquez sur Ajouter. Fenêtre Détails du fichier La fenêtre Détails du fichier contient une liste des détails du fichier sélectionné. Si un fichier est soumis plusieurs fois, les détails de la dernière soumission sont affichés. État État Dernier traitement le Envoyé le Comportements Ordinateur Utilisateur Motif Envoyé à Hachage Taille Catégorie Résultat de la recherche de logiciels malveillants. Inconnu : le fichier n'a pas été analysé. Non infecté : aucun des moteurs de détection n'a évalué ce fichier comme étant un logiciel malveillant. Suspect, Très suspect : le fichier a un comportement suspect, mais peut ne pas être un logiciel malveillant. Malveillant : le fichier a un comportement dangereux. État de l'analyse. L'état Nouvelle analyse signifie que le résultat est disponible, mais qu'il peut changer après une analyse plus approfondie. Un fichier peut être soumis pour analyse plusieurs fois, à partir d'autres ordinateurs. Il s'agit de l'heure de la dernière analyse. Heure de la soumission Cliquez sur Afficher le comportement pour afficher l'analyse d'ESET Dynamic Threat Defense. Ceci n'est valable que si l'ordinateur qui a soumis le fichier possède une licence ESET Dynamic Threat Defense active. Nom de l'ordinateur à partir duquel le fichier a été soumis. Utilisateur d'ordinateur ayant soumis le fichier. Motif pour lequel le fichier a été soumis. Partie du cloud ESET ayant reçu le fichier. Tous les fichiers soumis ne sont pas analysés pour rechercher des logiciels malveillants. Hachage SHA1 du fichier soumis. Taille du fichier soumis. Catégorie du fichier. La catégorie peut ne pas suivre l'extension de file. Pour plus d'informations sur rapports comportementaux ESET Dynamic Threat Defense, reportez-vous à la documentation. Ajout d'un filtre et de présélections de filtres Pour ajouter des critères de filtre, cliquez sur Ajouter un filtre et sélectionnez un ou des éléments dans la liste. Saisissez la ou les chaînes de recherche dans le ou les champs de filtre. Les filtres actifs sont mis en surbrillance en bleu. Les filtres peuvent être enregistrés dans votre profil utilisateur afin que vous puissiez les réutiliser ultérieurement. Sous Présélections, les options suivantes sont disponibles : Jeux de filtres : il s'agit des filtres enregistrés. Cliquez sur l'un d'entre eux pour l'appliquer. Le filtre appliqué est signalé par une coche . Sélectionnez Inclure les colonnes visibles, le tri et la pagination pour enregistrer ces paramètres dans la présélection. 204 Enregistrer le jeu de filtres : enregistrez la configuration actuelle du filtre comme nouvelle présélection. Une fois la présélection enregistrée, vous ne pouvez pas modifier la configuration du filtre dans la présélection. Gérer les jeux de filtres : supprimez ou renommez les présélections existantes. Cliquez sur Enregistrer pour appliquer les modifications aux présélections. Effacer les valeurs de filtre : cliquez pour supprimer uniquement les valeurs actuelles des filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres : cliquez sur cette option pour supprimer les filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres inutilisés : permet de supprimer les champs de filtre sans valeur. Quarantaine Cette section affiche tous les fichiers mis en quarantaine sur les appareils client. Les fichiers doivent être placés en quarantaine s'ils ne peuvent pas être nettoyés, s'il est risqué ou déconseillé de les supprimer ou s'ils sont détectés erronément par un produit ESET. Vous pouvez supprimer un fichier mis en quarantaine ou le restaurer à son emplacement précédent. Vous pouvez utiliser la commande Restaurer avec exclusion pour empêcher un nouveau signalement du fichier par le produit ESET. Vous pouvez utiliser plusieurs filtres différents pour filtrer la liste des fichiers en quarantaine. Vous pouvez accéder à la section Quarantaine de deux manières différentes : 1. Autre > Quarantaine. 2. Détails de l'ordinateur > Menaces et quarantaine > onglet Quarantaine. Si vous cliquez sur un élément dans la section Quarantaine, le menu Gestion de la quarantaine s'affiche. Afficher les détails : permet d'afficher le périphérique source, le nom et le type de la menace, le nom de 205 l'objet avec le chemin d'accès complet au fichier, le hachage, la taille, etc. Ordinateurs : permet d'ouvrir la section Ordinateurs avec les périphériques filtrés associés au fichier mis en quarantaine. Supprimer : permet de supprimer le fichier de la quarantaine et le périphérique concerné. Restaurer : permet de restaurer le fichier à son emplacement d'origine. Restaurer et exclure : permet de restaurer le fichier à son emplacement d'origine et de l'exclure de l'analyse. Charger : permet d'ouvrir la tâche Charger un fichier mis en quarantaine. IMPORTANT L'utilisation de la fonction Charger est recommandée uniquement aux utilisateurs expérimentés. Si vous souhaitez examiner davantage le fichier mis en quarantaine, vous pouvez le charger dans un répertoire partagé. Ajout d'un filtre et de présélections de filtres Pour ajouter des critères de filtre, cliquez sur Ajouter un filtre et sélectionnez un ou des éléments dans la liste. Saisissez la ou les chaînes de recherche dans le ou les champs de filtre. Les filtres actifs sont mis en surbrillance en bleu. Les filtres peuvent être enregistrés dans votre profil utilisateur afin que vous puissiez les réutiliser ultérieurement. Sous Présélections, les options suivantes sont disponibles : Jeux de filtres : il s'agit des filtres enregistrés. Cliquez sur l'un d'entre eux pour l'appliquer. Le filtre appliqué est signalé par une coche . Sélectionnez Inclure les colonnes visibles, le tri et la pagination pour enregistrer ces paramètres dans la présélection. Enregistrer le jeu de filtres : enregistrez la configuration actuelle du filtre comme nouvelle présélection. Une fois la présélection enregistrée, vous ne pouvez pas modifier la configuration du filtre dans la présélection. Gérer les jeux de filtres : supprimez ou renommez les présélections existantes. Cliquez sur Enregistrer pour appliquer les modifications aux présélections. Effacer les valeurs de filtre : cliquez pour supprimer uniquement les valeurs actuelles des filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres : cliquez sur cette option pour supprimer les filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres inutilisés : permet de supprimer les champs de filtre sans valeur. Gestion des licences Vous pouvez facilement gérer vos licences à l’aide de ESET Security Management Center. Tout achat d’une licence pour un produit ESET vous donne automatiquement accès à ESET Security Management Center. REMARQUE Vous pouvez activer votre produit professionnel ESET à l'aide de ESET Security Management Center. Cela s'applique également aux versions antérieures. Si vous possédez déjà un nom d’utilisateur et un mot de passe fournis par ESET et que vous voulez les convertir en clé de licence, consultez la section Convertir les informations d’identification de licence héritée. Les nom d'utilisateur et mot de passe ont été remplacés par une clé de licence/ID public. • La clé de licence est une chaîne unique utilisée pour identifier le propriétaire de la licence et l'activation. Les licences peuvent être gérées dans cette section, en ligne en cliquant sur Ouvrir > Business Account (ESET Business Account) ou en utilisant l'interface web ESET Business Account. 206 Autorisations pour la gestion des licences Chaque utilisateur peut se voir attribuer une autorisation pour les licences. Les autorisations sont valides uniquement pour les licences contenues dans le groupe statique auquel ce jeu d'autorisations est attribué. Chaque type d'autorisation permet à un utilisateur d'effectuer des actions différentes. IMPORTANT Seuls les administrateurs dont le groupe résidentiel est défini sur Tous et qui possèdent l'autorisation Écrire sur les licences du groupe résidentiel peuvent ajouter et supprimer des licences. Chaque licence est identifiée par un ID public et peut contenir une ou plusieurs unités. Seul un administrateur peut distribuer des licences à d'autres utilisateurs avec des autorisations suffisantes. Une licence n'est pas réductible. Utilisation de la console Web Dans ESET Security Management Center, la section Gestion de licences est accessible à partir du menu principal sous Autres > Gestion de licences. Il est possible d'idenitifier les licences par leur ID public. Dans ESET Business Account et ESMC, chaque licence est identifiée par ID public, Type de licence et Indicateurs : • Type de licence peut être Full_Paid (licence payante), Trial (licence d'essai) et NFR (licence non destinée à la revente). • Indicateurs comprend MSP, Business et Consumer. La liste des licences est regroupée dans les catégories (activées par) Clé de licence, Licence hors ligne ou Business Account. Sélectionnez une licence dans la fenêtre principale et cliquez sur exécuter la tâche Activation à l'aide de cette licence. Utiliser la licence pour l'activation pour Vous pouvez utiliser l'option Modes pour modifier le mode de sélection (unique ou multiple). Cliquez sur la flèche dans le coin supérieur droit et sélectionnez l'une des options suivantes dans le menu contextuel : Mode de sélection unique : vous pouvez sélectionner un élément. Mode de sélection multiple : permet d'utiliser les cases à cocher pour sélectionner plusieurs éléments. Rafraîchir : recharge/actualise les informations affichées. Développer tout : permet d'afficher toutes les informations. Réduire tout : permet de masquer toutes les informations. 207 • Le Nom du produit de sécurité pour lequel sa licence est destinée. • L'État global de la licence (si la licence est arrivée à expiration, arrive bientôt à expiration ou est surutilisée, un message d'avertissement s'affiche ici). • Le nombre d'unités pouvant être activées à l'aide de cette licence et le nombre d'unités hors ligne. • Le nombre de Sous-unités de produits serveur ESET (boîtes aux lettres, protection de passerelle, connexions). • La date d’expiration de la licence. oLes licences par abonnement peuvent ne pas avoir de date d'expiration. • Le Nom du propriétaire et le Contact de la licence. État de la licence : affiché pour l’élément de menu actif. Vert : la licence est activée. Rouge : la licence n'est pas enregistrée ou elle est arrivée à expiration. Orange : votre licence est épuisée ou proche de la date d’expiration (expiration dans moins de 30 jours). Synchroniser les licences ESET Business Account est automatiquement synchronisé une fois par jour. Cliquez sur Synchroniser les licences pour rafraîchir immédiatement les informations des licences dans ESMC. Ouvrez Cliquez sur Ouvrir pour afficher des raccourcis vers ESET Business Account ou le portail ESET MSP Administrator. Ajouter une licence ou une clé de licence Cliquez sur Ajouter des licences, puis sélectionnez la méthode à utiliser pour ajouter la ou les nouvelles licences : 208 1. ESET Business Account : associe un compte EBA et toutes ses licences à la section Gestion de licences. ESMC est également à compatibilité descendante avec ESET License Administrator, EMA et EMA2 afin que vous puissiez utiliser vos informations d'identification Administrateur Sécurité au lieu d'EBA. 2. Clé de licence : saisissez une clé de licence pour une licence valide, puis cliquez sur Ajouter des licences. La clé de licence est vérifiée auprès du serveur d'activation puis ajoutée à la liste. 3. Fichier de licence hors ligne : ajoutez un fichier de licence (.lf), puis cliquez sur Ajouter une licence. Le fichier de licence est vérifié, et la licence est ajoutée à la liste. Licences par abonnement ESMC 7 prend en charge la gestion des licences par abonnement. Vous pouvez ajouter des licences par abonnement à l'aide d'EBA ou d'une clé de licence. Vous pouvez vérifier la validité de votre abonnement dans Gestion des licences, dans la colonne Validité ou la section Ordinateurs > Détails de l'ordinateur. Il est impossible de créer un fichier de licence hors ligne à partir d'une licence par abonnement. ESET Business Account – Comptes de site Les comptes de site ne sont pas pris en charge dans ESMC. Si un utilisateur utilisateur EBA possède une autorisation Lire ou Écrire pour l'accès à la société dans le compte EBA, toutes les licences sont importées lorsque le compte est synchronisé. Si un utilisateur n'a aucun accès défini dans Accès à la société, aucune licence n'est importée. Supprimer les licences Sélectionnez une licence dans la liste ci-dessus, puis cliquez sur Supprimer les licences pour la supprimer entièrement. Il vous sera demandé de confirmer cette action. La suppression de la licence ne déclenche pas la désactivation du produit. Votre produit ESET restera activé même après la suppression de la licence dans ESMC License Management. Les licences peuvent être distribuées aux produits ESET depuis ESMC à l'aide de deux tâches : • Tâche Installer un logiciel • Tâche Activation du produit Filtre Accéder au groupe Le bouton de filtre Accéder au groupe permet aux utilisateurs de sélectionner un groupe statique et de filtrer les objets visualisés selon le groupe qui les contient. Ajout d'un filtre et de présélections de filtres Pour ajouter des critères de filtre, cliquez sur Ajouter un filtre et sélectionnez un ou des éléments dans la liste. Saisissez la ou les chaînes de recherche dans le ou les champs de filtre. Les filtres actifs sont mis en surbrillance en bleu. Les filtres peuvent être enregistrés dans votre profil utilisateur afin que vous puissiez les réutiliser ultérieurement. Sous Présélections, les options suivantes sont disponibles : Jeux de filtres : il s'agit des filtres enregistrés. Cliquez sur l'un d'entre eux pour l'appliquer. Le filtre appliqué est signalé par une coche . Sélectionnez Inclure les colonnes visibles, le tri et la pagination pour enregistrer ces paramètres dans la présélection. Enregistrer le jeu de filtres : enregistrez la configuration actuelle du filtre comme nouvelle présélection. Une fois la présélection enregistrée, vous ne pouvez pas modifier la configuration du filtre dans la présélection. 209 Gérer les jeux de filtres : supprimez ou renommez les présélections existantes. Cliquez sur Enregistrer pour appliquer les modifications aux présélections. Effacer les valeurs de filtre : cliquez pour supprimer uniquement les valeurs actuelles des filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres : cliquez sur cette option pour supprimer les filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres inutilisés : permet de supprimer les champs de filtre sans valeur. EXEMPLE : Partage de licences entre les administrateurs de filiale Cet exemple comporte trois utilisateurs et un administrateur. Chaque utilisateur possède son propre groupe résidentiel : • John, San Diego • Larry, Sydney • Makio, Tokyo L'administrateur importe deux licences. Elles sont contenues dans le groupe statique Tous et ne peuvent pas être utilisées par d'autres utilisateurs. Pour attribuer une licence à un autre utilisateur, l'administrateur peut cliquer sur l'icône représentant un engrenage en regard de la licence à attribuer à un autre utilisateur, cliquer sur Groupe d'accès > Déplacer, puis sélectionner le groupe sur lequel l'utilisateur dispose d'une autorisation. Pour l'utilisateur John, sélectionnez le groupe San Diego. John doit disposer de l'autorisation Utiliser pour les licences dans le groupe San Diego afin d'utiliser la licence. Lorsque l'utilisateur John se connecte, il ne peut afficher et utiliser que la licence qui a été déplacée dans son groupe. L'administrateur doit répéter le processus pour Larry et Makio. Ensuite, les utilisateurs peuvent uniquement visualiser leur licence, tandis que l'administrateur peut toutes les voir. ESET Business Account IMPORTANT Seuls les administrateurs dont le groupe résidentiel est défini sur Tous et qui possèdent l'autorisation Écrire sur les licences du groupe résidentiel peuvent ajouter et supprimer des licences. Chaque licence est identifiée par un ID public et peut contenir une ou plusieurs unités. Seul un administrateur peut distribuer des licences à d'autres utilisateurs avec des autorisations suffisantes. Une licence n'est pas réductible. ESET Business Account informations d'identification Saisissez les informations d'identification ESET Business Account (ESMC affiche toutes les licences déléguées dans ESMC License Management) et cliquez sur Ajouter des licences. 210 ELA, Administrateur Sécurité ESMC est à compatibilité descendante avec ESET License Administrator et EMA. Vous pouvez saisir vos informations d'identification Administrateur Sécurité (tout comme dans ERA 6.x) au lieu de votre identifiant EBA. Les licences importées à l'aide du compte Administrateur Sécurité dans ERA 6.x fonctionnent correctement après la migration/mise à niveau vers ESMC 7. Ajouter une licence - Clé de licence IMPORTANT Seuls les administrateurs dont le groupe résidentiel est défini sur Tous et qui possèdent l'autorisation Écrire sur les licences du groupe résidentiel peuvent ajouter et supprimer des licences. Chaque licence est identifiée par un ID public et peut contenir une ou plusieurs unités. Seul un administrateur peut distribuer des licences à d'autres utilisateurs avec des autorisations suffisantes. Une licence n'est pas réductible. Clé de licence Dans le champ Clé de licence, saisissez ou copiez et collez la clé de licence que vous avez reçue lors de l'achat de votre solution de sécurité ESET, puis cliquez sur Ajouter des licences. Si vous utilisez des informations d'identification de licence héritée (nom d'utilisateur et mot de passe), convertissez-les en clé de licence. Si la licence n'est pas enregistrée, le processus d'enregistrement est déclenché. Celui-ci a lieu sur le portail EBA (ESMC fournit l'URL valide pour l'enregistrement en fonction de l'origine de la 211 licence). Activation hors ligne Vous pouvez utiliser un fichier de licence depuis le portail ESET Business Account pour activer ESMC et d'autres produits de sécurité ESET. Un fichier de licence hors ligne n'est généré que pour un seul produit (ESET Endpoint Security, par exemple). Une licence hors ligne ne doit être utilisée que pour les clients qui n'auront jamais accès aux serveurs de licences ESET (même si un client est connecté à Internet via un proxy avec un accès limité aux services ESET, n'utilisez pas de licence hors ligne). Il est impossible de créer un fichier de licence hors ligne à partir d'une licence par abonnement. Pour remplacer une licence hors ligne existante, vous devez 1. supprimer l'ancienne licence dans ESMC et le fichier de licence dans ESET Business Account. 2. Créez une licence hors ligne dans ESET Business Account. 3. Importez la nouvelle licence dans ESMC. 4. Réactivez les produits avec la nouvelle licence. 212 IMPORTANT Seuls les administrateurs dont le groupe résidentiel est défini sur Tous et qui possèdent l'autorisation Écrire sur les licences du groupe résidentiel peuvent ajouter et supprimer des licences. Chaque licence est identifiée par un ID public et peut contenir une ou plusieurs unités. Seul un administrateur peut distribuer des licences à d'autres utilisateurs avec des autorisations suffisantes. Une licence n'est pas réductible. Fichier de licence en mode hors connexion Pour créer et importer un fichier de licence hors ligne, procédez comme suit : 1. Copiez un jeton de fichier de licence spécifique. 2. Connectez-vous à votre compte ESET Business Account dans lequel vous avez importé votre licence. 3. Sélectionnez la licence à exporter, puis Créer les fichiers hors ligne. 4. Sélectionnez un produit pour ce fichier de licence, saisissez le nom du fichier et le nombre d'unités (nombre de sièges exportés dans le fichier de licence). 5. Cochez la case en regard de l'option Autoriser la gestion à l'aide de la Console de gestion ESET, puis ajoutez le jeton de la Console de gestion ESET (jeton de fichier de licence d'ESMC). 213 6. Cliquez sur Générer. Pour télécharger le fichier, procédez comme suit : 1. Sélectionnez la licence et cliquez sur Afficher les détails. 2. Sélectionnez l'onglet Fichiers hors ligne. 3. Cliquez sur le fichier de licence que vous avez créé (vous pouvez le retrouver par son nom), puis sélectionnez Télécharger. Retournez dans Gestion de licences ESMC, cliquez sur Parcourir pour accéder au fichier de licence hors ligne que vous avez exporté dans EBA, cliquez sur Charger, puis sur le bouton Ajouter des licences. 214 La liste des licences sera affichée par catégorie (activée par) suivante : ou 215 EBA. Clé de licence, Licence hors ligne Les licences peuvent être distribuées aux produits de sécurité ESET depuis ESMC à l'aide de deux tâches : • Tâche Installer un logiciel • Tâche Activation du produit Droits d'accès Les droits d’accès vous permettent de gérer les utilisateurs d'ESMC Web Console et leurs autorisations. On distingue deux types : • Utilisateurs natifs : comptes d'utilisateurs créés et gérés depuis ESMC Web Console. • Groupes de sécurité du domaine mappé : comptes d'utilisateurs gérés et authentifiés par Active Directory. Vous pouvez également configurer l'authentification à 2 facteurs pour les utilisateurs natifs et les groupes de sécurité du domaine mappé. Cela renforcera la sécurité lors de la connexion et de l'accès à ESMC Web Console. L'accès aux éléments des deux catégories doit être octroyé (à l'aide des jeux d'autorisations) à chaque utilisateur d'ESMC Web Console. IMPORTANT L'utilisateur natif Administrateur dont le groupe résidentiel est Tous a un accès total. Il n'est pas conseillé d'utiliser ce compte de façon régulière. Nous vous recommandons vivement de créer un autre compte 'admin' ou d'utiliser les administrateurs des groupes de sécurité du domaine mappé en leur attribuant le jeu d'autorisations de l'administrateur. Vous disposerez ainsi d'une solution de secours en cas de problème avec le compte de l'administrateur. Vous pouvez également créer d'autres comptes avec des droits d'accès restreints selon les compétences souhaitées. Utilisez uniquement le compte Administrateur par défaut comme option de secours. Les utilisateurs sont gérés dans la zone utilisateurs de la section Autre. Les jeux d'autorisations définissent les niveaux d'accès des différents utilisateurs à différents éléments. Voir la liste de tous les droits d'accès et de leurs fonctions pour plus de détails. Exemples liés à la liste des droits d'accès Le Guide d'administration contient divers exemples liés aux droits d'accès. En voici la liste : 216 • Comment dupliquer des politiques • Différence entre les droits Utiliser et Écrire • Comment créer une solution pour les administrateurs de filiale • Comment partager des objets via la duplication • Comment répartir l'accès aux certificats et aux autorités • Comment autoriser un utilisateur à créer des programmes d'installation • Comment supprimer les notifications • Comment créer des politiques • Autoriser les utilisateurs à afficher toutes les politiques • Partager des licences entre les administrateurs de filiale Utilisateurs La gestion des utilisateurs s'effectue dans la section Autre d'ESMC Web Console. Modèle de sécurité Voici les termes essentiels utilisés dans le nouveau modèle : Terme Définition Groupe d'accueil Un groupe résidentiel est un groupe dans lequel sont stockés automatiquement tous les objets (périphériques, tâches, modèles, etc.) créés par un utilisateur. Chaque utilisateur ne doit disposer que d'un seul groupe résidentiel. Objet Les objets figurent dans les groupes statiques. L'accès aux objets s'effectue par le biais des groupes et non des utilisateurs (l'accès par le biais des groupes s'adapte à plusieurs utilisateurs, lorsqu'un utilisateur est en congé, par exemple). Les tâches serveur et les notifications constituent des exceptions, car elles nécessitent un utilisateur « exécutant ». Groupe d'accès Un groupe d'accès fonctionne comme un groupe statique qui permet aux utilisateurs de filtrer l'emplacement d'un objet selon les droits d'accès. Administrateur Un utilisateur qui dispose d'un groupe résidentiel Tous et d'un jeu d'autorisations complet sur ce groupe est un administrateur. Droit d'accès Le droit d'accéder à un objet ou d'effectuer une tâche est attribué avec un jeu d'autorisations. Jeu d'autorisations Un jeu d'autorisations représente les autorisations des utilisateurs qui ont accès à ESMC Web Console. Il définit les tâches que l'utilisateur peut effectuer ou les informations qu'il peut afficher dans ESMC Web Console. Un utilisateur peut se voir attribuer plusieurs jeux d'autorisations. Les jeux d'autorisations sont uniquement appliqués aux objets de groupes définis. Ces groupes statiques sont définis dans la section Groupes statiques lors de la création ou de la modification d'un jeu d'autorisations. Fonctionnalité Une fonctionnalité est un type d'objet ou d'action. En règle générale, les fonctionnalités sont associées à ces valeurs : Lire, Écrire et Utiliser. La combinaison des fonctionnalités appliquées à un groupe d'accès est appelée jeu d'autorisations. Filtre Accéder au groupe Le bouton de filtre Accéder au groupe permet aux utilisateurs de sélectionner un groupe statique et de filtrer les objets visualisés selon le groupe qui les contient. Ajout d'un filtre et de présélections de filtres Pour ajouter des critères de filtre, cliquez sur Ajouter un filtre et sélectionnez un ou des éléments dans la liste. 217 Saisissez la ou les chaînes de recherche dans le ou les champs de filtre. Les filtres actifs sont mis en surbrillance en bleu. Les filtres peuvent être enregistrés dans votre profil utilisateur afin que vous puissiez les réutiliser ultérieurement. Sous Présélections, les options suivantes sont disponibles : Jeux de filtres : il s'agit des filtres enregistrés. Cliquez sur l'un d'entre eux pour l'appliquer. Le filtre appliqué est signalé par une coche . Sélectionnez Inclure les colonnes visibles, le tri et la pagination pour enregistrer ces paramètres dans la présélection. Enregistrer le jeu de filtres : enregistrez la configuration actuelle du filtre comme nouvelle présélection. Une fois la présélection enregistrée, vous ne pouvez pas modifier la configuration du filtre dans la présélection. Gérer les jeux de filtres : supprimez ou renommez les présélections existantes. Cliquez sur Enregistrer pour appliquer les modifications aux présélections. Effacer les valeurs de filtre : cliquez pour supprimer uniquement les valeurs actuelles des filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres : cliquez sur cette option pour supprimer les filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres inutilisés : permet de supprimer les champs de filtre sans valeur. EXEMPLE : Solution des administrateurs de succursale Si une entreprise possède deux bureaux et des administrateurs locaux par bureau, ceux-ci doivent se voir attribuer des jeux d'autorisations supplémentaires pour différents groupes. Supposons qu'il existe des administrateurs Jean à San Diego et Larry àSydney. Les deux administrateurs doivent administrer uniquement les ordinateurs de leur bureau et utiliser les fonctionnalités Tableau de bord, Politiques, Rapports et Modèles de groupe dynamique sur les ordinateurs. L'administrateur principal doit procéder comme suit : 1. Il doit créer des groupes statiques : Bureau de San Diego et Bureau de Sydney. 2. Il doit créer des jeux d'autorisations : a.Jeu d'autorisations appelé Jeu d'autorisations Sydney, avec le groupe statique Bureau de Sydney, et des autorisations d'accès complet (à l'exclusion des paramètres du serveur). b.Jeu d'autorisations appelé Jeu d'autorisations San Diego, avec le groupe statique Bureau de San Diego, et des autorisations d'accès complet (à l'exclusion des paramètres du serveur). c.Jeu d'autorisations appelé Groupe Tous/Tableau de bord, avec le groupe statique Tous, et les autorisations suivantes : • Lire pour Tâches client • Utiliser pour Modèles de groupe dynamique • Utiliser pour Rapports et tableau de bord • Utiliser pour Politiques • Utiliser pour Envoyer l'email • Utiliser pour Envoyer l'interruption SNMP • Utiliser pour Exporter le rapport dans un fichier • Utiliser pour Licences • Écrire pour Notifications 3. Il doit créer l'utilisateur John et attribuer au groupe résidentiel Bureau de San Diego les jeux d'autorisations Jeu d'autorisations San Diego et Groupe Tous/Tableau de bord. 4. Il doit créer l'utilisateur Larry et attribuer au groupe résidentiel Bureau de Sydney les jeux d'autorisations Jeu d'autorisations Sydney et Groupe Tous/Tableau de bord. Si les autorisations sont définies de cette manière, John et Larry peuvent utiliser les mêmes tâches et politiques, rapports et tableau de bord. Ils peuvent également utiliser des modèles de groupe dynamique sans restrictions. Ils ne peuvent toutefois utiliser que les modèles des ordinateurs contenus dans leur groupe résidentiel. Groupes de sécurité de domaine Pour faciliter l'utilisation d'Active Directory, les utilisateurs des groupes de sécurité du domaine peuvent être autorisés à se connecter à ESMC. De tels utilisateurs peuvent exister à côté des utilisateurs natifs d'ESMC, mais les ensembles d'autorisations sont définis pour le groupe de sécurité Active Directory (et non pour les utilisateurs individuels, comme dans le cas des utilisateurs natifs). 218 Partage d'objets Si un administrateur veut partager des objets tels que des modèles de groupe dynamique, des modèles de rapport ou des politiques, les possibilités suivantes s'offrent à lui : • Il peut déplacer les objets vers des groupes partagés. • Il peut créer des objets en double et les déplacer vers des groupes statiques accessibles par d'autres utilisateurs (voir l'exemple ci-après). EXEMPLE : Partage par duplication Pour pouvoir dupliquer un objet, l'utilisateur doit disposer de l'autorisation Lire sur l'objet d'origine et de l'autorisation Écrire sur son groupe résidentiel pour ce type d'action. L'administrateur, dont le groupe résidentiel est Tous, veut partager Modèle spécial avec l'utilisateur John. Le modèle a été créé à l'origine par l'administrateur. Il est donc automatiquement contenu dans le groupe Tous. L'administrateur doit procéder comme suit : 1. Il doit accéder à Autre > Modèles de groupe dynamique. 2. Sélectionner Modèle spécial et cliquer sur Dupliquer, si nécessaire, définir le nom et la description et cliquer sur Terminer. 3. Le modèle en double sera placé dans le groupe résidentiel de l'administrateur, dans le groupe Tous. 4. Il doit accéder à Autre > Modèles de groupe dynamique, sélectionner le modèle en double, cliquer sur Accéder au groupe > Déplacer et sélectionner le groupe statique de destination (sur lequel John a une autorisation). Il doit cliquer sur OK. Partage d'objets avec d'autres utilisateurs via un groupe partagé Pour mieux comprendre le fonctionnement du nouveau modèle de sécurité, reportez-vous au schéma ci-après. Il existe un cas dans lequel deux utilisateurs sont créés par l'administrateur. Chaque utilisateur dispose d'un groupe résidentiel contenant les objets qu'il a créés. Le Jeu d'autorisations San Diego donne le droit à John de manipuler les objets contenus dans son groupe résidentiel. La situation est identique pour Larry. Si ces utilisateurs doivent partager certains objets (des ordinateurs, par exemple), ces derniers doivent être déplacés vers le Groupe partagé (groupe statique). Les deux utilisateurs doivent se voir attribuer le Jeu d'autorisations partagé pour lequel le Groupe partagé est répertorié dans la section Groupes statiques. 219 San Diego office San Diego permission set Objects I. John Shared Group Shared permission set Objects III. Larry Sydney office Sydney permission set Objects II. REMARQUE Lors d'une nouvelle installation ESMC, le seul compte est celui de l'administrateur (utilisateur natif avec comme groupe résidentiel Tous). Créer un utilisateur natif Pour créer un utilisateur natif, accédez à l'onglet Autre, cliquez sur Utilisateurs, puis sur Nouveau dans la partie inférieure de la page. REMARQUE Pour créer correctement un utilisateur, il est recommandé de procéder de la manière suivante : 1. Décidez quel groupe statique sera le groupe résidentiel de l'utilisateur. Créez le groupe en cas de besoin. 2. Décidez quel jeu d'autorisations sera adapté à l'utilisateur. Créez un jeu d'autorisations, si nécessaire. 3. Lisez ce chapitre et créez l'utilisateur. 220 Général Saisissez un nom d'utilisateur et une description facultative pour le nouvel utilisateur. Sélectionnez Groupe résidentiel. Il s'agit d'un groupe statique qui contiendra automatiquement tous les objets créés par cet utilisateur. Définir le mot de passe Le mot de passe de l'utilisateur doit contenir au moins 8 caractères. Il ne doit pas comporter le nom d'utilisateur. Compte Activé : sélectionnez cette option, sauf si vous souhaitez que le compte soit inactif (en vue de l'utiliser ultérieurement). Modification obligatoire du mot de passe : sélectionnez cette option pour forcer l'utilisateur à modifier son mot de passe lors de sa première connexion à ESMC Web Console. Expiration du mot de passe : cette option définit le nombre de jours de validité du mot de passe. Lorsque ce nombre de jours est atteint, le mot de passe doit être modifié. Déconnexion automatique (min) : cette option définit la durée d'inactivité (en minutes) après laquelle l'utilisateur est déconnecté de la console Web. Les options Nom complet, Adresse électronique de contact et Numéro de téléphone du contact peuvent être définies pour identifier l'utilisateur. Jeux d'autorisations Un utilisateur peut se voir attribuer plusieurs jeux d'autorisations. Vous pouvez sélectionner une compétence prédéfinie : Jeu d'autorisations du réviseur (droits d'accès en lecture seule pour le groupe Tous), Jeu d'autorisations de l'administrateur (accès complet au groupe Tous), Jeu d'autorisations d'installation assistée du serveur (droits d'accès minimum pour l'installation assistée du serveur) ou vous pouvez utiliser un jeu d'autorisations personnalisé. Chaque jeu d'autorisations fournit uniquement des autorisations pour les objets contenus dans les groupes statiques sélectionnés dans le jeu d'autorisations. Les utilisateurs sans jeu 221 d'autorisations ne seront pas en mesure de se connecter à la console Web. AVERTISSEMENT Tous les jeux d'autorisations prédéfinis possèdent le groupe Tous dans la section Groupes statiques. Sachez-le lorsque vous les attribuez à un utilisateur. L'utilisateur disposera de ces autorisations sur tous les objets d'ESMC. Résumé Passez en revue les paramètres configurés pour cet utilisateur, puis cliquez sur Terminer pour le créer. Mapper un groupe sur un groupe de sécurité de domaine Vous pouvez mapper un groupe de sécurité de domaine sur ESMC Server et autoriser les utilisateurs existants (membres de ces groupes de sécurité de domaine) à devenir utilisateurs d'ESMC Web Console. REMARQUE Cette fonctionnalité est uniquement disponibles pour les systèmes avec Active Directory. Elle ne peut pas être utilisée avec LDAP. Pour accéder à l'Assistant pour groupe de sécurité de domaine mappé, accédez à Autre > Utilisateurs > Groupes de sécurité de domaine mappé > Nouveau ou cliquez simplement sur Nouveau lorsque le groupe de sécurité de domaine mappé est sélectionné dans l'arborescence. Général Groupe de domaines Saisissez un nom pour ce groupe. Vous pouvez également saisir une description du groupe. Sélectionnez Groupe résidentiel. Il s'agit d'un groupe statique qui contiendra automatiquement tous les objets créés par les utilisateurs de ce groupe de domaines. Ce groupe de domaines est défini par un SID de groupe (identifiant de sécurité). Cliquez sur Sélectionner pour sélectionner un groupe dans la liste, puis sur OK pour confirmer la sélection. ESMC Server doit rejoindre le domaine; Sinon, la liste ne contiendra aucun groupe. (Si vous utilisez l'appliance virtuelle, reportez-vous au 222 chapitre associé.) REMARQUE Si un message d'erreur continue à s'afficher après que vous ayez cliqué sur Sélectionner et qu'Active Directory est correctement configuré, le processus en arrière-plan peut expirer. Vous pouvez saisir le SID manuellement pour contourner ce problème. Compte Activé : sélectionnez cette option, sauf si vous souhaitez que le compte soit inactif (en vue de l'utiliser ultérieurement). Déconnexion automatique (min) : cette option définit la durée d'inactivité (en minutes) après laquelle l'utilisateur est déconnecté de la console Web. Les options Adresse électronique de contact et Numéro de téléphone du contact peuvent être définies pour identifier le groupe. Jeux d'autorisations Attribuez des compétences (droits) aux utilisateurs de ce groupe. Il est possible d'attribuer un ou plusieurs jeux d'autorisations. Vous pouvez utiliser une compétence prédéfinie : • Jeu d'autorisations du réviseur (droits d'accès en lecture seule pour le groupe Tous) • Jeu d'autorisations de l'administrateur (accès complet au groupe Tous) • Jeu d'autorisations d'installation assistée du serveur (droits d'accès minimum requis pour l'installation assistée du serveur) • Jeu d'autorisationspersonnalisé Chaque jeu d'autorisations fournit uniquement des autorisations pour les objets contenus dans les groupes statiques sélectionnés dans le jeu d'autorisations. Un utilisateur sans jeu d'autorisations ne sera pas en mesure de se connecter à la console Web. AVERTISSEMENT Tous les jeux d'autorisations prédéfinis possèdent le groupe Tous dans la section Groupes statiques. Sachez-le lorsque vous les attribuez à un utilisateur. L'utilisateur disposera de ces autorisations sur tous les objets d'ESMC. Résumé Passez en revue les paramètres configurés pour cet utilisateur, puis cliquez sur Terminer pour créer le groupe. Les utilisateurs apparaissent dans l'onglet Utilisateurs du domaine une fois qu'ils se sont connectés pour la première fois. Attribuer un jeu d'autorisations à un utilisateur Pour attribuer un jeu d'autorisations spécifique à un utilisateur, cliquez sur Autre > Jeux d'autorisations, puis sur Modifier. Pour plus d'informations, reportez-vous à la section Gérer les jeux d'autorisations. 223 Dans la section Utilisateurs, modifiez un utilisateur spécifique en cliquant sur Modifier, puis cochez une case en regard d'un jeu d'autorisations spécifique dans la section Jeux d’autorisations non attribués (disponibles). Authentification à 2 facteurs • L'authentification à 2 facteurs offre un moyen sécurisé de se connecter à ESMC Web Console et d'y accéder. • L'authentification à 2 facteurs est fournie par ESET à l'aide de la technologie ESET Secure Authentication. Il 224 n'est pas nécessaire de déployer ou d'installer ESET Secure Authentication dans votre environnement. ESMC se connecte automatiquement aux serveurs ESET afin d'authentifier les utilisateurs qui se connectent à ESMC Web Console. • Les utilisateurs pour lesquels l'authentification à 2 facteurs est activée devront se connecter à ESET Security Management Center à l'aide d'ESET Secure Authentication. • Pour plus d'informations sur les fonctionnalités et les avantages du produit, consultez la page sur le produit ESET Secure Authentication. • Le nombre d'utilisateurs pouvant se connecter à ESMC via l'authentification à 2 facteurs ESA n'est pas limité. Conditions préalables requises : • Pour activer l'authentification à 2 facteurs pour le compte d'un autre utilisateur, des autorisations d'accès en écriture sont nécessaires sur cet utilisateur. Une fois l'authentification à 2 facteurs activée, un utilisateur doit la configurer par lui-même avant de se connecter. Les utilisateurs reçoivent un lien dans un message texte (SMS) qu'ils peuvent ouvrir dans le navigateur Web de leur téléphone pour lire les instructions relatives à la configuration de l'authentification à 2 facteurs. • L'authentification à 2 facteurs ne fonctionne pas sans accès direct aux serveurs d'authentification à 2 facteurs ESET. Il est nécessaire d'autoriser au moins deux serveurs d'authentification à 2 facteurs spécifiques dans le pare-feu. Si le proxy est configuré dans la section Autre > Paramètres du serveur > Paramètres avancés > Proxy HTTP, il ne s'applique pas à l'authentification à 2 facteurs. REMARQUE Vous ne pouvez pas utiliser des utilisateurs employant l'authentification à 2 facteurs pour l'installation assistée du serveur. Comment activer l'authentification à 2 facteurs pour un utilisateur de la console Web ? 1. Créez un utilisateur ou utilisez un utilisateur existant. 2. Accédez à Autres > Utilisateurs dans ESMC Web Console. 3. Cliquez sur l'icône représentant un engrenage en regard de l'utilisateur. 4. Cliquez sur Authentification à 2 facteurs - Activer. 5. Lors de la prochaine connexion, saisissez le numéro de téléphone de l'utilisateur lorsque vous y êtes invité. 6. Installez l'application mobile ESET Secure Authentication sur le téléphone mobile de l'utilisateur à l'aide du lien contenu dans le SMS ou du code QR. 7. Lorsque l'application est installée à l'aide du jeton, l'instance d'ESMC est ajoutée à l'application. 8. Procédez à la connexion. Lorsque vous y êtes invité, saisissez le mot de passe à usage unique de l'application mobile dans la console Web. Un nouveau mot de passe est généré dans l'application mobile pour chaque connexion. Jeux d'autorisations Un jeu d'autorisations représente les autorisations des utilisateurs qui ont accès à ESMC Web Console. Il définit les tâches que l'utilisateur peut effectuer ou les informations qu'il peut afficher dans la console Web. Les utilisateurs natifs possèdent leurs propres autorisations, tandis que les utilisateurs du domaine disposent des autorisations de leur groupe de sécurité mappé. Chaque jeu d'autorisations possède son domaine d'application (groupes statiques). Les autorisations sélectionnées dans la section Fonctionnalités s'appliquent aux objets dans les groupes définis dans la section Groupes statiques de chaque utilisateur auquel est attribué un jeu d'autorisations donné. L'accès à un groupe statique donné donne automatiquement accès à tous ses sous-groupes. Lorsque les groupes statiques sont bien définis, il est possible de créer des filiales distinctes pour les administrateurs locaux (voir l'exemple). Un utilisateur peut se voir attribuer un jeu d'autorisations sans qu'il soit en mesure de l'afficher. Un jeu d'autorisations est également un objet qui est automatiquement stocké dans le groupe résidentiel de l'utilisateur qui l'a créé. Lorsqu'un compte d'utilisateur est créé, l'utilisateur est stocké en tant qu'objet dans le groupe résidentiel de l'utilisateur créateur. En règle générale, comme l'administrateur crée les utilisateurs, ces derniers sont stockés dans le groupe Tous. Les jeux d'autorisations s'ajoutent. Si vous affectez des jeux d'autorisations supplémentaires à un seul utilisateur, la somme de tous les jeux d'autorisations donne pour résultat l'accès dont il dispose. 225 Combinaison d'autres jeux d'autorisations L'accès final à un objet dont dispose un utilisateur est le résultat de la combinaison de tous les jeux d'autorisations qui lui sont attribués. Par exemple, un utilisateur dispose de deux jeux d'autorisations, un pour le groupe résidentiel avec des autorisations complètes et un autre pour un groupe avec des ordinateurs, avec seulement les autorisations de lecture et d'utilisation pour Ordinateurs et groupes. Cet utilisateur peut exécuter toutes les tâches du groupe résidentiel sur les ordinateurs de l'autre groupe. En règle générale, un utilisateur peut exécuter des objets d'un groupe statique sur des objets d'un autre groupe statique, s'il dispose des autorisations nécessaires pour certains types d'objets appartenant à certains groupes. Filtre Accéder au groupe Le bouton de filtre Accéder au groupe permet aux utilisateurs de sélectionner un groupe statique et de filtrer les objets visualisés selon le groupe qui les contient. IMPORTANT Bonne pratique relative à l'utilisation des autorisations : • N'autorisez jamais les utilisateurs inexpérimentés à accéder aux paramètres du serveur. Seul un administrateur peut être autorisé à y accéder. • Envisagez de limiter l'accès à Tâches client > Exécuter une commande. Il s'agit d'une tâche très puissante qui peut être utilisée à mauvais escient. • Les utilisateurs qui ne sont pas administrateurs ne doivent pas disposer d'autorisations pour Jeux d'autorisations, Utilisateurs natifs et Paramètres du serveur. • Si un modèle plus complexe d'autorisations est nécessaire, n'hésitez pas à créer d'autres jeux d'autorisations et à les attribuer en conséquence. Après avoir défini les autorisations sur la fonctionnalité ESMC, vous pouvez également accorder les accès en 226 Lecture, en Utilisation, en Écriture aux groupes d'utilisateurs. EXEMPLE : Duplication Pour pouvoir dupliquer un objet, l'utilisateur doit disposer de l'autorisation Lire sur l'objet d'origine et de l'autorisation Écrire sur son groupe résidentiel pour ce type d'action. John, dont le groupe résidentiel est Groupe de John, souhaite dupliquer la Politique 1 qui a été créée à l'origine par Larry et qui est automatiquement contenue dans le groupe résidentiel de Larry, appelé Groupe de Larry. 1. Créez un groupe statique. Appelez-le Politiques partagées, par exemple. 2. Attribuez à John et à Larry l'autorisation Lire pour Politiques dans le groupe Politiques partagées. 3. Larry doit déplacer Politique 1 vers le groupe Politiques partagées. 4. Attribuez à John l'autorisation Écrire pour Politiques dans son groupe résidentiel. 5. John peut à présent dupliquer la Politique 1. Le doublon apparaîtra dans son groupe résidentiel. EXEMPLE : Différence entre les droits Utiliser et Écrire Si l'administrateur ne souhaite pas autoriser John à modifier les politiques dans le groupe Politiques partagées, il peut créer un jeu d'autorisations avec la configuration suivante : • Fonctionnalités Politiques : Autorisations de lecture et d'utilisation sélectionnées • Groupes statiques : Politiques partagées Avec ces autorisations, John peut exécuter ces politiques mais ne peut pas les modifier, en créer de nouvelles ou les supprimer. Si un administrateur ajoute l'autorisation Écrire, John peut créer, dupliquer, modifier et supprimer les politiques au sein du groupe statique sélectionné (Politiques partagées). Gérer les jeux d'autorisations Pour apporter des modifications à un jeu d'autorisations spécifique, cliquez dessus, puis sur Modifier. Cliquez sur Dupliquer pour créer un jeu d'autorisations en double que vous pouvez modifier et attribuer à un utilisateur spécifique. Le doublon est stocké dans le groupe résidentiel de l'utilisateur qui l'a dupliqué. AVERTISSEMENT Tous les jeux d'autorisations prédéfinis possèdent le groupe Tous dans la section Groupes statiques. Sachez-le lorsque vous les attribuez à un utilisateur. L'utilisateur disposera de ces autorisations sur tous les objets d'ESMC. Général Saisissez un nom pour le jeu (paramètre obligatoire). Vous pouvez également saisir une description dans le champ Description. Groupes statiques Vous pouvez ajouter un groupe statique (ou plusieurs groupes statiques) qui hérite de cette compétence. Les autorisations qui sont cochées dans la section Fonctionnalités s'appliquent aux objets contenus dans les groupes sélectionnés dans cette section. Fonctionnalités Sélectionnez les modules auxquels vous souhaitez donner accès. L'utilisateur doté de cette compétence a accès à ces tâches spécifiques. Il est également possible de définir des autorisations différentes pour chaque type de tâche serveur et de tâche client. Quatre ensembles de fonctionnalités prédéfinis sont disponibles. Sélectionnez un de ces quatre ensembles ou cochez manuellement les cases des fonctionnalités. L'octroi de l'autorisation Écrire accorde automatiquement les droits Utiliser et Lire, tandis que l'octroi du droit Utiliser accorde automatiquement le droit Lire. Groupe d'utilisateurs Vous pouvez ajouter un groupe d'utilisateurs (ou plusieurs groupes d'utilisateurs) dont les paramètres de l'utilisateur peuvent être utilisés dans une politique (par exemple, ESET Mobile Device Management pour iOS ou Mode de remplacement). Utilisateurs 227 Sélectionnez un utilisateur auquel attribuer ce jeu d'autorisations. Tous les utilisateurs disponibles sont répertoriés à gauche. Sélectionnez des utilisateurs spécifiques ou choisissez tous les utilisateurs à l'aide du bouton Ajouter tout. Les utilisateurs attribués sont répertoriés à droite. Il n'est pas obligatoire d'attribuer un utilisateur et vous pouvez le faire ultérieurement. Résumé Passez en revue les paramètres configurés pour cette compétence, puis cliquez sur Terminer. Le jeu d'autorisations est stocké dans le groupe résidentiel de l'utilisateur qui l'a créé. Cliquez sur Enregistrer sous pour créer un nouveau modèle selon le modèle que vous êtes en train de modifier. Vous serez invité à donner un nom au nouveau modèle. Liste des autorisations Types d'autorisation Lorsque vous créez ou modifiez un jeu d'autorisations dans Autre > Jeux d'autorisations > Nouveau / Modifier > Fonctionnalités, vous pouvez voir la liste de toutes les autorisations disponibles. Les autorisations d'ESMC Web Console sont classées dans des catégories telles que Groupes et ordinateurs, Utilisateurs natifs, Certificats, Politiques, etc. Un jeu d'autorisations donné peut autoriser un accès en lecture, utilisation ou écriture. En règle générale : Les autorisations Lire sont destinées aux utilisateurs effectuant des audits. Ils peuvent afficher les données mais ne sont pas autorisés à apporter des modifications. Les autorisations Utiliser permettent aux utilisateurs d'utiliser des objets et d'exécuter des tâches. Ils ne peuvent toutefois pas apporter de modifications ni effectuer de suppressions. Les autorisations Écrire permettent aux utilisateurs de modifier des objets respectifs et/ou de les dupliquer. Certains types d'autorisations (répertoriés ci-dessous) contrôlent un processus et non un objet. C'est la raison pour laquelle les autorisations fonctionnent à un niveau global. Peu importe donc le groupe statique auquel est appliquée une autorisation. Si un processus est autorisé pour un utilisateur, il ne peut l'utiliser que sur les objets pour lesquels ils disposent d'autorisations suffisantes. Par exemple, l'autorisation Exporter le rapport dans un fichier autorise la fonctionnalité d'exportation. Toutefois, les données contenues dans le rapport sont déterminées par d'autres autorisations. EXEMPLE Consultez cet article de la base de connaissances avec des exemples de tâches et de jeux d'autorisations pour vous aider à effectuer les tâches. Les utilisateurs peuvent se voir attribuer des autorisations pour les processus suivants : • Enterprise Inspector Administrator • Utilisateur Enterprise Inspector • Déploiement de l'agent • Rapports et tableau de bord (seule la fonctionnalité du tableau de bord est disponible ; les modèles de rapport utilisables sont toujours dépendants des groupes statiques accessibles) • Envoyer un email • Envoyer l'interruption SNMP • Exporter le rapport dans un fichier • Paramètres du serveur Types de fonctionnalité : Groupes et ordinateurs 228 Lire : permet de répertorier les ordinateurs et les groupes et les ordinateurs au sein d'un groupe. Utiliser : permet d'utiliser un ordinateur/groupe en tant que cible pour une politique ou une tâche. Écrire : permet de créer, modifier et supprimer des ordinateurs. Il est également possible de renommer un ordinateur ou un groupe. Enterprise Inspector Administrator Écrire : permet d'effectuer des tâches administratives dans Enterprise Inspector. Utilisateur Enterprise Inspector Lire : accorde un accès en lecture seule à Enterprise Inspector. Écrire : accorde un accès en lecture et écriture à Enterprise Inspector. Jeux d'autorisations Lire : permet de lire la liste des jeux d'autorisations et la liste des droits d'accès au sein de ceux-ci. Utiliser : permet d'attribuer/de supprimer des jeux d'autorisations existants pour les utilisateurs. Écrire : permet de créer, modifier et supprimer des jeux d'autorisations. IMPORTANT Lorsque vous attribuez (ou annulez l'attribution) un jeu d'autorisations à un utilisateur, l'autorisation Utiliser est requise pour les options Jeux d'autorisations et Utilisateurs natifs. Groupes de domaines Lire : permet de répertorier les groupes de domaines. Utiliser : permet d'accorder/de révoquer des jeux d'autorisations. Écrire : permet de créer, modifier et supprimer des groupes de domaines. Utilisateurs natifs Lire : permet de répertorier les utilisateurs natifs. Utiliser : permet d'accorder et de révoquer des jeux d'autorisations. Écrire : permet de créer, modifier et supprimer des utilisateurs natifs. Déploiement de l'agent Utiliser : permet de déployer l'Agent via les liens rapides ou d'ajouter manuellement des ordinateurs clients dans ESMC Web Console. 229 Programmes d'installation stockés Lire : permet de répertorier les programmes d'installation. Utiliser : permet d'exporter un programme d'installation stocké. Écrire : permet de créer, modifier et supprimer des programmes d'installation stockés. Certificats Lire : permet de lire la liste des certificats homologues et des autorités de certification. Utiliser : permet d'exporter les certificats homologues et les autorités de certification et de les utiliser dans des programmes d'installation ou des tâches. Écrire : permet de créer des certificats homologues ou des autorités de certification et de les révoquer. Déclencheurs et tâches serveur Lire : permet de lire la liste des tâches et leurs paramètres (à l'exception des champs sensibles comme ceux des mots de passe). Utiliser : permet d'exécuter une tâche existante avec la commande Exécuter maintenant (en tant qu'utilisateur actuellement connecté à la console Web). Écrire : permet de créer, modifier et supprimer des tâches serveur. Il est possible de développer les catégories en cliquant sur le signe serveur peuvent être sélectionnés. . De plus, un ou plusieurs types de tâche Tâches client Lire : permet de lire la liste des tâches et leurs paramètres (à l'exception des champs sensibles comme ceux des mots de passe). Utiliser : permet de planifier l'exécution de tâches client existantes ou d'annuler leur exécution. Pour l'attribution des tâches (ou l'annulation de l'attribution) aux cibles (ordinateurs ou groupes), un droit d'accès en utilisation supplémentaire est requis pour les cibles concernées. Écrire : permet de créer, modifier et supprimer des tâches client existantes. Pour l'attribution des tâches (ou l'annulation de l'attribution) aux cibles (ordinateurs ou groupes), un droit d'accès en utilisation supplémentaire est requis pour les objets cibles concernés. Il est possible de développer les catégories en cliquant sur le signe client peuvent être sélectionnés. . De plus, un ou plusieurs types de tâche Modèles des groupes dynamiques Lire : permet de lire la liste des modèles des groupes dynamiques. Utiliser : permet d'utiliser des modèles existants pour les groupes dynamiques. Écrire : permet de créer, modifier et supprimer des modèles de groupe dynamique. 230 Rapports et tableau de bord Lire : permet de répertorier les modèles de rapport et leurs catégories. Générez des rapports à partir des modèles de rapport. Consultez vos propres tableaux de bord reposant sur des tableaux de bord par défaut. Utiliser : permet de modifier vos tableaux de bord à l'aide des modèles de rapport disponibles. Écrire : permet de créer, modifier et supprimer des modèles de rapport existants et leurs catégories. Cette autorisation permet de modifier également les tableaux de bord par défaut. Politiques Lire : permet de lire la liste des politiques et leur configuration. Utiliser : permet d'attribuer des politiques existantes aux cibles (ou d'annuler leur attribution). Pour les cibles concernées, un droit d'accès supplémentaire en utilisation est nécessaire. Écrire : permet de créer, modifier et supprimer des politiques. Envoyer un email Utiliser : permet d'envoyer des emails. (Cette autorisation s'avère utile pour les notifications et les tâches serveur de génération de rapport.) Envoyer l'interruption SNMP Utiliser : autorise l'envoi d'une interruption SNMP (utile pour les notifications). Exporter le rapport dans un fichier Utiliser : permet de stocker des rapports dans le système de fichiers de l'ordinateur ESMC Server. Cette autorisation s'avère utile avec les tâches serveur de génération de rapport. Licences Lire : permet de lire la liste des licences et les statistiques d'utilisation. Utiliser : permet d'utiliser la licence pour l'activation. Écrire : permet d'ajouter et de supprimer des licences. (Le groupe résidentiel de l'utilisateur doit être défini sur Tous. Par défaut, seul l'administrateur peut le faire.) Notifications Lire : permet de lire la liste des notifications et leurs paramètres. Écrire : permet de créer, modifier et supprimer des notifications. Pour une gestion correcte des notifications, des droits d'accès supplémentaires en utilisation peuvent être nécessaire pour les options Envoyer l'interruption 231 SNMP ou Envoyer l'email, selon la configuration des notifications. Paramètres du serveur Lire : permet de lire les paramètres du serveur. Écrire : permet de modifier les paramètres du serveur. Certificats Les certificats sont un élément important de ESET Security Management Center. Ils sont essentiels aux composants ESMC pour communiquer avec ESMC Server. Pour s'assurer que tous les composants communiquent correctement, tous les certificats homologues doivent être valides et signés par la même autorité de certification. Consultez cet article de la base de connaissances pour obtenir des informations supplémentaires sur les certificats dans ESMC. Vous pouvez créer une autorité de certification et des certificats homologues dans ESMC Web Console. Suivez les instructions de ce guide en vue de : • Créer une nouvelle autorité de certification oImporter une clé publique oExporter une clé publique oExporter une clé publique au format BASE64 • Créer un nouveau certificat homologue oCréer un certificat oExporter un certificat oCréer un certificat APN oRévoquer un certificat oUtilisation du certificat oDéfinir un nouveau certificat ESMC Server oCertificats personnalisés et ESET Security Management Center oCertificat en cours d'expiration : signalement et remplacement IMPORTANT macOS/OS X ne prend pas en charge les certificats dont la date d'expiration correspond au 19 janvier 2038 ou à une date ultérieure. ESET Management Agent s'exécutant sous macOS/OS X ne sera pas en mesure de se connecter à ESMC Server. REMARQUE Pour l'ensemble des certificats et des autorités de certification créés pendant l'installation des composants ESMC, la valeur Valide du est définie sur 2 jours avant la création du certificat. Pour l'ensemble des certificats et des autorités de certification créés dans ESMC Web Console, la valeur Valide du est définie sur 1 jour avant la création du certificat. C'est pour couvrir tous les écarts de temps possibles entre les systèmes affectés. Par exemple, une autorité de certification et un certificat créés le 12 janvier 2017 pendant l'installation auront une valeur Valide du prédéfinie sur le 10 jan 2017, à 00:00:00, tandis qu'une autorité de certification et un certificat créés le 12 janvier 2017 dans ESMC Web Console auront une valeur Valide du prédéfinie sur le 11 jan 2017, à 00:00:00 . 232 Certificats homologues Si une autorité de certification se trouve sur votre système, vous devez créer un certificat homologue pour les différents composants ESET Security Management Center. Chaque composant (ESET Management Agent et ESMC Server) nécessite un certificat spécifique. Nouveau Cette option permet de créer un nouveau certificat. Ces certificats sont utilisés par ESET Management Agent et ESMC Server. Certificat APN/DEP Cette option permet de créer un certificat APN/DEP. Ce certificat est utilisé par MDM. Cette action nécessite une licence valide. Utilisation du certificat Vous pouvez également vérifier quels clients utilisent ce certificat ESMC. Modifier Sélectionnez cette option pour modifier un certificat existant de la liste. Les options sont identiques à celles qui s'appliquent lors de la création d'un certificat. Exporter Cette option permet d’exporter un certificat sous la forme d’un fichier. Ce fichier est nécessaire si vous installez ESET Management Agent localement sur un ordinateur ou lors de l'installation de MDM. Exporter en Base64 Cette option permet d'exporter un certificat sous la forme d'un fichier .txt. Révoquer Si vous ne souhaitez plus utiliser de certificat, sélectionnez Révoquer. Cette option rend le certificat non valide de façon permanente. Il est mis en liste noire. Ces informations seront envoyées aux ESET Management Agents lors de la prochaine connexion. Les certificats révoqués ne sont pas acceptés par ESET Security Management Center. IMPORTANT Vérifiez qu'il ne reste pas d'ESET Management Agents (ou d'autres composants) utilisant ce certificat avant de le révoquer. Une fois le certificat révoqué, les composants ne seront pas en mesure de se connecter à ESMC Server. Réinstallez les composants en utilisant un certificat valide afin de rétablir le bon fonctionnement de l'application. Groupe d'accès Il est possible de déplacer un certificat ou une autorité vers un autre groupe. Cet élément devient alors disponible pour les utilisateurs qui disposent de suffisamment de droits pour ce groupe. Pour trouver facilement le groupe résidentiel d'un certificat, sélectionnez ce dernier, puis cliquez sur Accéder au groupe dans le menu déroulant. Le groupe résidentiel du certificat apparaît dans la première ligne du menu contextuel (/Tous/San Diego, par exemple. Reportez-vous à notre exemple de scénario pour en savoir plus sur le partage de certificats). IMPORTANT Vous ne pouvez afficher que les certificats qui figurent dans votre groupe résidentiel (à condition que vous disposiez de l'autorisation Lire pour les certificats). Les certificats qui sont créés lors de l'installation d'ESMC se trouvent dans le groupe Tous. Seuls les administrateurs y ont accès. Afficher les certificats révoqués : vous montre tous les certificats révoqués. 233 Certificat d'agent pour l'installation assistée du serveur : ce certificat est généré pendant l'installation du serveur si vous avez sélectionné l'option Générer les certificats. Filtre Accéder au groupe Le bouton de filtre Accéder au groupe permet aux utilisateurs de sélectionner un groupe statique et de filtrer les objets visualisés selon le groupe qui les contient. Ajout d'un filtre et de présélections de filtres Pour ajouter des critères de filtre, cliquez sur Ajouter un filtre et sélectionnez un ou des éléments dans la liste. Saisissez la ou les chaînes de recherche dans le ou les champs de filtre. Les filtres actifs sont mis en surbrillance en bleu. Les filtres peuvent être enregistrés dans votre profil utilisateur afin que vous puissiez les réutiliser ultérieurement. Sous Présélections, les options suivantes sont disponibles : Jeux de filtres : il s'agit des filtres enregistrés. Cliquez sur l'un d'entre eux pour l'appliquer. Le filtre appliqué est signalé par une coche . Sélectionnez Inclure les colonnes visibles, le tri et la pagination pour enregistrer ces paramètres dans la présélection. Enregistrer le jeu de filtres : enregistrez la configuration actuelle du filtre comme nouvelle présélection. Une fois la présélection enregistrée, vous ne pouvez pas modifier la configuration du filtre dans la présélection. Gérer les jeux de filtres : supprimez ou renommez les présélections existantes. Cliquez sur Enregistrer pour appliquer les modifications aux présélections. Effacer les valeurs de filtre : cliquez pour supprimer uniquement les valeurs actuelles des filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres : cliquez sur cette option pour supprimer les filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres inutilisés : permet de supprimer les champs de filtre sans valeur. Créer un nouveau certificat Dans le cadre du processus d'installation, ESET Security Management Center requiert la création d'un certificat homologue pour les Agents. Ces certificats servent à authentifier les produits distribués sous votre licence. REMARQUE Il existe une exception, le certificat d'agent pour l'installation assistée du serveur ne peut pas être créé manuellement. Ce certificat est généré pendant l'installation du serveur, pour autant que l'option Générer les certificats soit sélectionnée. Pour créer un certificat dans ESMC Web Console, accédez à Autre > Certificats homologues, puis cliquez sur Actions > Nouveau. Général Description : saisissez une description du certificat. Produit : sélectionnez dans le menu déroulant le type de certificat que vous souhaitez créer. Hôte : conservez la valeur par défaut (astérisque) dans le champ Hôte afin de permettre la distribution de ce certificat sans l’associer à un nom DNS ou une adresse IP spécifique. 234 IMPORTANT Lorsque vous créez le certificat MDM, remplissez l'adresse IP ou le nom d'hôte du périphérique hôte MDM. La valeur par défaut (astérisque) n'est pas valide pour ce type de certificat. Phrase secrète : il est recommandé de laisser ce champ vide, mais vous pouvez définir une phrase secrète pour le certificat qui sera nécessaire lors d’une tentative d’activation par les clients. IMPORTANT La phrase secrète du certificat ne doit pas contenir les caractères suivants : " \ Ces caractères peuvent entraîner des erreurs critiques lors de l'initialisation de l'Agent. Attributs (objet) Ces champs ne sont pas obligatoires, mais vous pouvez les utiliser afin d’y faire figurer des informations détaillées sur le certificat. Nom commun : cette valeur doit contenir la chaîne « Agent » ou « Serveur » selon le produit sélectionné. Si vous le souhaitez, vous pouvez saisir des informations descriptives sur le certificat. Saisissez des valeurs dans les champs Valide du et Valide jusqu'au pour garantir la validité du certificat. REMARQUE Pour l'ensemble des certificats et des autorités de certification créés pendant l'installation des composants ESMC, la valeur Valide du est définie sur 2 jours avant la création du certificat. Pour l'ensemble des certificats et des autorités de certification créés dans ESMC Web Console, la valeur Valide du est définie sur 1 jour avant la création du certificat. C'est pour couvrir tous les écarts de temps possibles entre les systèmes affectés. Par exemple, une autorité de certification et un certificat créés le 12 janvier 2017 pendant l'installation auront une valeur Valide du prédéfinie sur le 10 jan 2017, à 00:00:00, tandis qu'une autorité de certification et un certificat créés le 12 janvier 2017 dans ESMC Web Console auront une valeur Valide du prédéfinie sur le 11 jan 2017, à 00:00:00 . Signer Effectuez un choix parmi deux méthodes de signature : • Autorité de certification : si vous souhaitez signer à l'aide de l'autorité de certification ESMC (autorité de certification créée pendant l'installation d'ESMC). oSélectionnez l'autorité de certification ESMC dans la liste des autorités de certification. oCréez une autorité de certification. • Fichier pfx personnalisé : pour utiliser un fichier .pfx personnalisé, cliquez sur Parcourir, accédez au fichier .pfx personnalisé et cliquez sur OK. Cliquez sur Charger pour charger ce certificat sur le serveur. Vous ne pouvez pas utiliser le certificat personnalisé. REMARQUE Si vous souhaitez signer un nouveau certificat à l'aide de l'autorité de certification ESMC (créée pendant l'installation d'ESMC) dans l'appliance virtuelle ESMC, il est nécessaire de saisir une Phrase secrète de l'autorité de certification. Il s'agit du mot de passe que vous avez spécifié pendant la configuration de l'appliance virtuelle ESMC. Résumé Passez en revue les informations de certificat saisies, puis cliquez sur Terminer. Le certificat est créé. Il est désormais disponible dans la liste Certificats en vue de son utilisation lors de l'installation de l'Agent. Le certificat sera créé dans votre groupe résidentiel. 235 REMARQUE Au lieu de créer un certificat, vous pouvez importer une clé publique, exporter une clé publique ou exporter un certificat homologue. Exporter un certificat homologue Exporter des certificats homologues 1. Dans la liste, sélectionnez le certificat homologue que vous souhaitez utiliser, puis cochez la case en regard de celui-ci. 2. Dans le menu contextuel, sélectionnez Exporter. Le certificat (y compris la clé privée) est exporté sous forme de fichier .pfx. Saisissez un nom pour votre clé publique, puis cliquez sur Enregistrer. Exporter en Base64 à partir des certificats homologues Les certificats pour les composants ESMC sont disponibles dans la console Web. Pour copier le contenu d'un certificat au format Base64, cliquez sur Autre > Certificats homologues, sélectionnez un certificat et sélectionnez ensuite Exporter au format Base64. Vous pouvez également télécharger le certificat codé au format Base64 en tant que fichier. Répétez cette étape pour les certificats des autres composants ainsi que pour votre autorité de certification. REMARQUE Pour exporter un certificat, un utilisateur doit disposer du droit Utiliser sur les certificats. Pour plus d'informations, reportez-vous à la liste complète des droits d'accès. Certificat APN/DEP Un certificat APN (Apple Push Notification) / DEP (Device Enrollment Program, Programme d'inscription des appareils) est utilisé par ESMC MDM pour l'inscription d'appareils iOS. Vous devez d'abord créer un certificat Push fourni par Apple et le faire signer par Apple pour pouvoir inscrire des appareils iOS dans ESMC. Vous devez également vous assurer que la licence d'ESMC est valide. Cliquez sur l'onglet Autre > Certificats homologues, cliquez sur Nouveau , puis sélectionnez Certificat APN/DEP. REMARQUE Pour obtenir un certificat APN, vous avez besoin d'un identifiant Apple. Cet identifiant est requis par Apple pour signer le certificat. La durée de validité d'un certificat APN est de 1 an. Si votre certificat arrive bientôt à expiration, suivez les étapes ci-dessous et dans l'étape 2 liée au certificat, sélectionnez Renouveler. Pour obtenir un jeton d'inscription DEP, vous avez besoin d'un compte Apple DEP. Créer une demande Spécifiez les attributs du certificat (code de pays, nom d'organisation, etc.), puis cliquez sur Envoyer la demande. 236 Télécharger Téléchargez votre demande de signature de certificat (CSR) et une clé privée. Certificat 1. Ouvrez le portail de certificats push Apple et connectez-vous à l'aide de votre identifiant Apple. 2. Cliquez sur Créer un certificat. 3. Remplissez la note (facultatif). Cliquez sur Sélectionner le fichier, chargez le fichier CSR que vous avez téléchargé à l'étape précédente, puis cliquez sur Charger. 4. Un écran de confirmation s'affiche au bout de quelques instants pour vous informer que le certificat APNS du serveur ESET Mobile Device Management a été créé. 5. Cliquez sur Télécharger et enregistrez le fichier .pem sur votre ordinateur. 6. Fermez le portail Apple Push Certificate et passez à la section Charger ci-dessous. 237 IMPORTANT Un certificat APNS est requis pour les politiques Connecteur de périphérique mobile DEP et autre que DEP. Si vous créez un certificat d'inscription DEP, continuez ici. Charger Une fois toutes les étapes ci-dessus terminées, vous pouvez créer une politique pour MDC pour activer APNS pour l'inscription iOS. Vous pouvez ensuite inscrire n'importe quel appareil iOS en accédant à la page https://<mdmcore>:<enrollmentport>/unique_enrollment_token à partir du navigateur de l'appareil. Afficher les certificats révoqués Cette liste contient tous les certificats qui ont été créés et rendus non valides par ESMC Server. Les certificats révoqués sont automatiquement supprimés de l'écran principal Certificat homologue. Cliquez sur Afficher les certificats révoqués pour afficher les certificats qui ont été révoqués dans la fenêtre principale. Pour révoquer un certificat, procédez comme suit : 1. Accédez à Autre > Certificats homologues, sélectionnez un certificat, puis cliquez sur Révoquer. 238 2. Indiquez le motif de la révocation, puis cliquez sur Révoquer. 3. Cliquez sur OK. Le certificat disparaît alors de la liste des certificats homologues. Pour afficher les certificats précédemment révoqués, cliquez sur le bouton Afficher les certificats révoqués. Définir un nouveau certificat ESMC Server Votre certificat ESMC Server est créé lors de l'installation et distribué aux ESET Management Agents et à d'autres composants pour autoriser la communication avec ESMC Server. Si nécessaire, vous pouvez configurer ESMC Server afin d'utiliser un autre certificat homologue. Vous pouvez utiliser le certificat ESMC Server (automatiquement généré pendant l'installation) ou un certificat personnalisé. Le certificat ESMC Server est requis pour l'authentification et une connexion TSL sécurisée. Le certificat du serveur sert à s'assurer que les ESET Management Agents et ESMC Proxys ne se connectent pas à un serveur illégitime. Cliquez sur Outils > Paramètres du serveur pour modifier les paramètres du certificat. 1. Cliquez sur Autre > Paramètres du serveur, développez la section Connexion, et sélectionnez Modifier le certificat. 239 2. Effectuez un choix parmi les deux types de certificat homologue : • Certificat Security Management Center : cliquez sur Ouvrir la liste des certificats, puis sélectionnez le certificat à utiliser. • Certificat personnalisé : accédez au certificat personnalisé. Si vous effectuez une migration, sélectionnez le certificat exporté depuis votre ancien serveur ESMC Server. 3. Sélectionnez Certificat personnalisé, le fichier .pfx de certificat ESMC Server que vous avez exporté à partir de l'ancien serveur, cliquez sur OK, puis sur Enregistrer. 4. Redémarrez le service ESMC Server (consultez notre article de la base de connaissances). 240 Certificats personnalisés avec ESMC Si vous avez votre propre PKI (infrastructure de clé publique) et souhaitez qu'ESET Security Management Center utilise vos certificats personnalisés pour la communication entre ses composants, reportez-vous à l'exemple cidessous. Cet exemple a été réalisé sous Windows Server 2012 R2. Certains écrans peuvent être différents sous d'autres versions de Windows, mais la procédure générale reste la même. REMARQUE Pour créer rapidement et facilement de nouveaux certificats, utilisez l'outil keytool, inclus dans Java. Pour plus d'informations, consultez cet article de la base de connaissances. Rôles de serveur requis : • Services de domaine Active Directory. • Services de certificats Active Directory avec l'autorité de certification racine autonome installée. 1. Ouvrez la console de gestion et ajoutez les snap-ins de certificat : a)Connectez-vous au serveur en tant que membre du groupe administrateur local. b)Exécutez mmc.exe pour ouvrir la console de gestion. c)Cliquez sur Fichier et sélectionnez Ajouter/Supprimer un snap-in... (ou appuyez sur CTRL+M). d)Sélectionnez Certificats dans le volet de gauche et cliquez sur Ajouter. e)Sélectionnez Compte d'ordinateur et cliquez sur Suivant. f)Vérifiez que l'option Ordinateur local est sélectionnée (par défaut) et cliquez sur Terminer. g)Cliquez sur OK. 2. Créez une demande de certificat personnalisé : 241 a)Double-cliquez sur Certificats (Ordinateur local) pour l'ouvrir. b)Double-cliquez sur Personnel pour l'ouvrir. Cliquez avec le bouton droit sur Certificats et sélectionnez Toutes les tâches > Opérations avancées et choisissez Créer une demande personnalisée c)La fenêtre de l'assistant d'inscription du certificat s'ouvre, cliquez sur Suivant. d)Sélectionnez l'option Continuer sans politique d’inscription et cliquez sur Suivant pour continuer. 242 e)Choisissez Clé existante (Aucun modèle) dans la liste déroulante et vérifiez que le format de demande PKCS #10 est sélectionné. Cliquez sur Suivant. 243 f)Cliquez sur la flèche pour développer la section Détails, puis cliquez sur Propriétés. g)Dans l'onglet Général, saisissez le Nom convivial du certificat ; vous pouvez également saisir une description (facultatif). h)Dans l'onglet Sujet, effectuez les opérations suivantes : Dans la section Nom du sujet sélectionnez un nom commun dans la liste déroulante sous Type, entrez era server dans le champ Valeur, puis cliquez sur le bouton Ajouter. CN=era server apparaîtra dans la boite d'information sur la droite. Si vous créez une demande de certificat pour ESET Management Agent, saisissez era agent dans le champ de valeur du nom commun. REMARQUE Le nom commun doit contenir l'une de ces chaînes : « serveur » ou « agent », selon la demande de certificat que vous souhaitez créer. 244 i)Dans la section Autre nom, choisissez DNS à partir de la liste déroulante sous Type et entrez * (astérisque) dans le champ Valeur, puis cliquez sur le bouton Ajouter. j)Dans l'onglet Extensions, développez la section Utilisation de clé en cliquant sur la flèche.Ajoutez les informations suivantes des Options disponibles : Signature numérique, Accord de clé, Chiffrement de clé. Désélectionnez Rendre ces utilisations de clé critiques. 245 k)Dans l'onglet Clé privée, effectuez les opérations suivantes : Développez la section Fournisseur de service cryptographique en cliquant sur la flèche. La liste de tous les fournisseurs de services cryptographiques s'affiche. Vérifiez que seule l'option Fournisseur de service cryptographique Microsoft RSA SChannel (cryptage) est sélectionnée. REMARQUE Désélectionnez tous les fournisseurs de services cryptographiques autres que Fournisseur de service cryptographique Microsoft RSA SChannel (cryptage). 246 l)Développez la section Options de clé. Dans le menu Taille de clé, définissez une valeur d'au moins 2048. Sélectionnez Rendre la clé privée exportable. m)Développez la section Type de clé et sélectionnez Échanger. Cliquez sur Appliquer et vérifiez les paramètres. n)Cliquez sur OK. Les informations de certificat s'affichent. Cliquez sur le bouton Suivant pour continuer. Cliquez sur Parcourir pour sélectionner l'emplacement dans lequel la demande de signature de certificat sera enregistrée. Saisissez le nom du fichier et vérifiez que l'option Base 64 est sélectionnée. 247 o)Cliquez sur Terminer pour générer la demande de signature de certificat. 3. Pour importer la demande de certificat personnalisé, procédez comme suit : a)Ouvrez le gestionnaire de serveurs, puis cliquez sur Outils > Autorité de certification. b)Dans l'arborescence Autorité de certification (locale), sélectionnez votre serveur (généralement FQDN) > Propriétés, puis sélectionnez l'onglet Module de politique. Cliquez sur Propriétés et sélectionnez Définir le statut de demande de certificat sur En attente. L’administrateur doit explicitement émettre le certificat. Sinon, cette opération ne fonctionnera pas correctement. Vous devez redémarrer les services de certificat Active Directory si vous devez modifier ce paramètre. 248 c)Dans l'arborescence Autorité de certification (locale), sélectionnez votre serveur (généralement FQDN) > Toutes les tâches > Envoyer une nouvelle demande et accédez au fichier CSR généré à l'étape 2. d)Le certificat est ajouté aux demandes en attente. Sélectionnez le fichier CSR dans le panneau de navigation de droite. Dans le menu Action, sélectionnez Toutes les tâches > Émettre. 249 4. Exportez le certificat personnalisé émis dans le fichier .tmp. a)Sélectionnez les certificats émis dans le volet de gauche. Cliquez avec le bouton droit sur le certificat que vous souhaitez exporter, cliquez sur Toutes les tâches > Exporter les données binaires. b)Dans la boîte de dialogue Exporter les données binaires, choisissez Certificat binaire dans la liste déroulante. Dans Options d'exportation, cliquez sur Enregistrer les données binaires dans un fichier et cliquez sur OK. c)Dans la boîte de dialogue Enregistrer les données binaires, indiquez l'emplacement d'enregistrement du certificat, puis cliquez sur Enregistrer. 5. Importez le fichier .tmp. a)Accédez à Certificat (ordinateur local) > cliquez avec le bouton droit sur Personnel et sélectionnez Toutes les tâches > Importer. b)Cliquez sur Suivant. c)Localisez le fichier binaire .tmp enregistré en utilisant Parcourir... et cliquez sur Ouvrir. Sélectionnez Placer tous les certificats dans le magasin suivant > Personnel. Cliquez sur Suivant. d)Cliquez sur Terminer pour importer le certificat. 6. Exportez le certificat, y compris la clé privée, dans le fichier .pfx. a)Dans Certificats (ordinateur local) développez Personnel et cliquez sur Certificats, sélectionnez le nouveau certificat que vous souhaitez exporter. Dans le menu Action, pointez Toutes les tâches > Exporter. b)Dans l'assistant d'exportation du certificat, cliquez sur Oui, exporter la clé privée. (Cette option n'apparaît que si la clé privée est marquée comme étant exportable et si vous avez accès à la clé privée.) c)Dans Format du fichier exporté, sélectionnez Échange d'informations personnelles -PKCS #12 (.PFX), cochez la case en regard de l'option Inclure tous les certificats dans le chemin de certification si possible et cliquez sur Suivant. 250 d)Mot de passe, saisissez un mot de passe pour chiffrer la clé privée que vous exportez. Dans le champ Confirmer le mot de passe, saisissez de nouveau le même mot de passe, puis cliquez sur Suivant. IMPORTANT La phrase secrète du certificat ne doit pas contenir les caractères suivants : " \ Ces caractères peuvent entraîner des erreurs critiques lors de l'initialisation de l'Agent. 251 e)Nom de fichier, saisissez un nom de fichier et le chemin du fichier .pfx dans lequel seront stockés le certificat et la clé privée exportés. Cliquez sur Suivant, puis sur Terminer. REMARQUE L'exemple ci-dessus indiquent comment créer le certificat ESET Management Agent. Répétez les mêmes étapes pour les certificats ESMC Server. Vous ne pouvez pas utiliser ce certificat pour signer un autre nouveau certificat dans la console Web. 7. Exporter l'autorité de certification : a)Ouvrez le gestionnaire de serveurs, puis cliquez sur Outils > Autorité de certification. b)Dans l'arborescence Autorité de certification (locale), sélectionnez votre serveur (généralement FQDN) > Propriétés > onglet Général et cliquez sur Afficher le certificat. c)Dans l'onglet Détails, cliquez sur Copier dans le fichier. L'assistant d'exportation de certificat s'ouvre. d)Dans la fenêtre Format du fichier exporté, sélectionnez Binaire codé DER X.509 (.cer) et cliquez sur Suivant. e)Cliquez sur Parcourir pour sélectionner l'emplacement dans lequel le fichier .cer sera enregistrée. Cliquez ensuite sur Suivant. f)Cliquez sur Terminer pour exporter l'autorité de certification. Pour obtenir des instructions détaillées afin d'utiliser des certificats personnalisés dans ESMC, reportez-vous au chapitre suivant. 252 Utiliser des certificats personnalisés avec ESMC Pour poursuivre le chapitre précédent : 1. Importez l'autorité de certification tierce dans ESMC Web Console. 2. Définissez un nouveau certificat de serveur personnalisé dans ESMC Console Web. IMPORTANT Si des ESET Management Agents se connectent déjà à ESMC Server, appliquez une politique pour modifier le certificat personnalisé pour les ESET Management Agents : 1. Ouvrez ESMC Web Console. 2. Cliquez sur Politiques >Nouveau. Saisissez un nom pour la politique. 3. Développez Paramètres et sélectionnez ESET Management Agent dans le menu déroulant. 4. Développez Connexion et cliquez sur Modifier le certificat en regard de Certificat. 5. Cliquez sur Certificat personnalisé et sélectionnez le certificat personnalisé pour ESET Management Agent. 6. Saisissez un mot de passe de certificat et cliquez sur OK. 7. Attribuez cette politique à tous les clients. 3. Accédez au menu Démarrer > Programmes et fonctionnalités, cliquez avec le bouton droit sur ESET Management Agent et sélectionnez Modifier. 4. Cliquez sur le bouton Suivant et exécutez Réparer. 5. Conservez les paramètres de l'hôte serveur et du port serveur, puis cliquez sur Suivant. 6. Cliquez sur Parcourir en regard de Certificat homologue et localisez le fichier de certificat .pfx personnalisé. 7. Saisissez le mot de passe du certificat que vous avez indiqué à l'étape 6. 8. Cliquez sur Parcourir en regard de Autorité de certification et sélectionnez le fichier .der (clé publique) exporté depuis la console Web. Il doit s'agit d'une clé publique avec laquelle est signé le certificat personnalisé. 9. Cliquez sur Suivant et terminez la réparation. 10. ESET Management Agent utilise désormais un certificat .pfx. Certificat en cours d'expiration : signalement et remplacement ESMC peut vous avertir lorsqu'un certificat ou une autorité de certification arrive à expiration. L'onglet Notifications contient des notifications prédéfinies pour le certificat ESMC et l'autorité de certification ESMC. 253 Pour activer cette fonctionnalité, cliquez sur Modifier la notification et spécifiez des informations détaillées dans la section Distribution, comme l'adresse électronique ou l'interception SNMP. Chaque utilisateur ne peut afficher que les notifications pour les certificats qui figurent dans son groupe résidentiel (à condition qu'il dispose de l'autorisation Lire pour Certificats). REMARQUE Vérifiez que vous avez au préalable configuré les paramètres de connexion SMTP dans Serveur. Une fois ces paramètres configurés, vous pouvez modifier une notification pour ajouter une adresse électronique de distribution. Si le certificat d'un ordinateur arrive à expiration, les informations d'état changent automatiquement. L'état est signalé dans les onglets Tableau de bord, Liste des ordinateurs, Aperçu de l'état et Certificat : Pour remplacer une autorité de certification ou un certificat en cours d'expiration, suivez les étapes suivantes : 1. Créez une autorité de certification, avec une nouvelle période de validité (si l'ancienne va bientôt arriver à expiration), qui soit idéalement valide immédiatement. 2. Créez des certificats homologues pour ESMC Server et d'autres composants (Agent/MDM) pendant la période de validité de la nouvelle autorité de certification. 3. Créez des politiques pour définir les nouveaux certificats homologues. Appliquez les politiques aux composants ESMC, MDM et ESET Management Agent sur tous les ordinateurs clients du réseau. 4. Patientez jusqu'à ce que les nouveaux certificats homologues et la nouvelle autorité de certification soient appliqués et que les clients soient répliqués. REMARQUE Dans l'idéal, patientez 24 heures ou vérifiez si tous les composants ESMC (Agents) ont été répliqués au moins deux fois. 5. Remplacez le certificat du serveur dans les paramètres d'ESMC Server pour que les clients puissent s'authentifier à l'aide des nouveaux certificats homologues. 6. Une fois que vous avez terminé toutes les étapes décrites ci-dessus, que chaque client se connecte à ESMC et que tout fonctionne comme prévu, révoquez les anciens certificats homologues et supprimez 254 l'ancienne autorité de certification. Autorités de certification Les autorités de certification sont répertoriées dans la section Autorités de certification dans laquelle vous pouvez les gérer. Si vous possédez plusieurs autorités de certification, vous pouvez appliquer un filtre pour les trier. REMARQUE Les autorités de certification et les certificats sont accessibles à l'aide des mêmes autorisations que celles de la fonction Certificats. Les certificats et les autorités créés pendant l'installation, ainsi que ceux créés par la suite par l'administrateur, figurent dans le groupe statique Tous. Pour plus d'informations sur les droits d'accès, reportez-vous à la liste des autorisations. Actions > Nouveau : permet de créer une autorité de certification. Actions > Supprimer : permet de supprimer l'autorité de certification sélectionnée. Actions > Importer la clé publique Actions > Exporter la clé publique Actions > Accéder au groupe : une autorité de certification peut être déplacée vers un autre groupe pour devenir accessible par les utilisateurs qui disposent de droits suffisants pour ce groupe. Filtre Accéder au groupe Le bouton de filtre Accéder au groupe permet aux utilisateurs de sélectionner un groupe statique et de filtrer les objets visualisés selon le groupe qui les contient. Ajout d'un filtre et de présélections de filtres Pour ajouter des critères de filtre, cliquez sur Ajouter un filtre et sélectionnez un ou des éléments dans la liste. Saisissez la ou les chaînes de recherche dans le ou les champs de filtre. Les filtres actifs sont mis en surbrillance en bleu. Les filtres peuvent être enregistrés dans votre profil utilisateur afin que vous puissiez les réutiliser ultérieurement. Sous Présélections, les options suivantes sont disponibles : Jeux de filtres : il s'agit des filtres enregistrés. Cliquez sur l'un d'entre eux pour l'appliquer. Le filtre appliqué est signalé par une coche . Sélectionnez Inclure les colonnes visibles, le tri et la pagination pour enregistrer ces paramètres dans la présélection. Enregistrer le jeu de filtres : enregistrez la configuration actuelle du filtre comme nouvelle présélection. Une fois la présélection enregistrée, vous ne pouvez pas modifier la configuration du filtre dans la présélection. Gérer les jeux de filtres : supprimez ou renommez les présélections existantes. Cliquez sur Enregistrer pour appliquer les modifications aux présélections. Effacer les valeurs de filtre : cliquez pour supprimer uniquement les valeurs actuelles des filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres : cliquez sur cette option pour supprimer les filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres inutilisés : permet de supprimer les champs de filtre sans valeur. 255 EXEMPLE : Comment répartir l'accès aux certificats et aux autorités Si l'administrateur ne veut pas autoriser John à accéder aux autorités de certification ESMC et s'il souhaite qu'il puisse utiliser des certificats, il doit procéder comme suit : 1. Il doit créer un nouveaugroupe statique appelé Certificats. 2. Il doit créer un jeu d'autorisations. a.Il doit appeler ce jeu d'autorisations Autorisations pour les certificats. b.Il doit ajouter un groupe appelé Certificats à la section Groupes statiques. c.Dans la section Fonctionnalités, il doit sélectionner l'autorisation Écrire pour Certificats. d.Dans la section Utilisateurs, il doit cliquer sur Utilisateurs natifs et sélectionner John. e.Il doit cliquer sur Terminer pour enregistrer le jeu d'autorisations. 3. Il doit déplacer les certificats du groupe Tous vers le nouveau groupe Certificats : a.Il doit accéder à Autre > Certificats homologues. b.Il doit cocher les cases situées en regard des certificats à déplacer. c.Il doit cliquer sur Actions > Accéder au groupe, sélectionner le groupe Certificats et cliquer sur OK. John est à présent en mesure de modifier et utiliser les certificats déplacés. Les autorités de certification ne sont toutefois pas accessibles par cet utilisateur. John ne pourra pas non plus utiliser les autorités existantes (du groupe Tous) pour signer les certificats. Créer une nouvelle autorité de certification Pour créer une autorité, accédez à Autre > Autorité de certification, puis cliquez sur Action > dans la partie inférieure de la page. Nouveau Autorité de certification Saisissez une description de l'autorité de certification et sélectionnez une phrase secrète. Cette phrase secrète doit contenir au moins 12 caractères. Attributs (objet) 1. Saisissez un nom commun (nom) pour l'autorité de certification. Sélectionnez un nom unique afin de faire la distinction entre plusieurs autorités de certification. Vous pouvez éventuellement saisir des informations descriptives sur l'autorité de certification. 2. Saisissez des valeurs dans les champs Valide du et Valide jusqu'au pour garantir la validité du certificat. REMARQUE Pour l'ensemble des certificats et des autorités de certification créés pendant l'installation des composants ESMC, la valeur Valide du est définie sur 2 jours avant la création du certificat. Pour l'ensemble des certificats et des autorités de certification créés dans ESMC Web Console, la valeur Valide du est définie sur 1 jour avant la création du certificat. C'est pour couvrir tous les écarts de temps possibles entre les systèmes affectés. Par exemple, une autorité de certification et un certificat créés le 12 janvier 2017 pendant l'installation auront une valeur Valide du prédéfinie sur le 10 jan 2017, à 00:00:00, tandis qu'une autorité de certification et un certificat créés le 12 janvier 2017 dans ESMC Web Console auront une valeur Valide du prédéfinie sur le 11 jan 2017, à 00:00:00 . 3. Cliquez sur Enregistrer pour enregistrer la nouvelle autorité de certification. Elle est désormais répertoriée dans la liste des autorités de certification située sous Autre > Autorités de certification, et prête à être utilisée. L'autorité de certification est créée dans le groupe résidentiel de l'utilisateur qui l'a créée. 256 Pour gérer l’autorité de certification, cochez la case en regard de celle-ci dans la liste et utilisez le menu contextuel (cliquez avec le bouton gauche sur l’autorité de certification) ou le bouton Action situé dans la partie inférieure de la page. Les options disponibles sont les suivantes :Importer une clé publique et Exporter une clé publique ou Modifier l'autorité de certification. Exporter une clé publique Exporter une clé publique à partir d’une autorité de certification : 1. Dans la liste, sélectionnez l’autorité de certification que vous souhaitez utiliser, puis cochez la case en regard de celle-ci. 2. Sélectionnez Actions > Exporter la clé publique. La clé publique est exportée sous forme de fichier .der. Saisissez un nom pour la clé publique, puis cliquez sur Enregistrer. REMARQUE Si vous supprimez l’autorité de certification ESMC par défaut et en créez une autre, celle-ci ne fonctionnera pas. Vous devez également changer le certificat du serveur dans Paramètres du serveur, puis redémarrez le service ESMC Server. Exporter une clé publique en Base64 à partir d’une autorité de certification : 1. Dans la liste, sélectionnez l’autorité de certification que vous souhaitez utiliser, puis cochez la case en regard de celle-ci. 2. Sélectionnez Actions > Exporter la clé publique en Base64. Vous pouvez également télécharger le certificat codé au format Base64 en tant que fichier. Répétez cette étape pour les certificats des autres composants ainsi que pour votre autorité de certification. 257 REMARQUE Pour exporter une clé publique, un utilisateur doit disposer du droit Utiliser sur les certificats. Pour plus d'informations, reportez-vous à la liste complète des droits d'accès. Importer une clé publique Pour importer une autorité de certification tierce, cliquez sur Autre > Autorités de certification. 1. Cliquez sur le bouton Actions, puis sélectionnez Importer la clé publique. 2. Sélectionnez le fichier à charger : cliquez sur Parcourir pour accéder au fichier que vous souhaitez importer. 3. Entrez une description du certificat, puis cliquez sur Importer. L'autorité de certification est importée. Serveur Dans la section Serveur, vous pouvez configurer les éléments suivants : • Tâches serveur : tâches exécutées par ESMC Server sur cette application ou d'autres périphériques. • Paramètres du serveur : paramètres de ESMC Server. Ces paramètres sont similaires aux politiques mais ils sont appliqués directement à ESMC Server. Tâches serveur Les tâches serveur peuvent automatiser les tâches de routine. Un déclencheur peut être configuré pour chaque tâche serveur. Si la tâche doit être exécutée à l'aide de divers événements, chaque déclencheur doit être associé à une tâche serveur distincte. ESMC contient six types de tâches serveur prédéfinis. REMARQUE Des tâches serveur ne peuvent pas être attribuées à un client ou à un groupe de clients spécifique. Tâches serveur et autorisations Un utilisateur exécutant doit être associé à la tâche et au déclencheur. Il s'agit de l'utilisateur qui modifie la tâche (et le déclencheur). Il doit disposer d'autorisations suffisantes pour exécuter l'action choisie. Pendant l'exécution, la tâche prend toujours l'utilisateur exécutant du déclencheur. Si la tâche est exécutée avec le paramètre Exécuter immédiatement la tâche après la fin, l'utilisateur exécutant correspond à l'utilisateur connecté à ESMC Web Console. Un utilisateur dispose d'autorisations (Lire, Utiliser et Écrire) pour l'instance de la tâche serveur sélectionnée si ces autorisations sont sélectionnées dans son jeu d'autorisations (Autre > Jeux d'autorisations) et s'il dispose de ce jeu d'autorisations pour le groupe statique dans lequel se trouve la tâche serveur. Pour plus d'informations sur les droits d'accès, reportez-vous à la liste des autorisations. 258 EXEMPLE John, dont le groupe résidentiel est Groupe de John, souhaite supprimer la Tâche serveur 1 : Générer un rapport. Cette tâche ayant été créée à l'origine par Larry, elle se trouve dans son groupe résidentiel appelé Groupe de Larry. Pour que John puisse supprimer la tâche, les conditions suivantes doivent être remplies : • John doit se voir attribuer un jeu d'autorisations comprenant l'autorisation Écrire pour Déclencheurs et tâches serveur - Générer un rapport. • Le jeu d'autorisations doit contenir Groupe de Larry dans Groupes statiques. Autorisations nécessaires pour effectuer certaines actions liées aux tâches serveur : • Pour créer une tâche serveur, l'utilisateur doit disposer de l'autorisation Écrire pour le type de tâche sélectionné et des droits d'accès adéquats pour les objets référencés (ordinateurs, licences et groupes). • Pour modifier une tâche serveur, l'utilisateur doit disposer de l'autorisation Écrire pour l'instance de la tâche serveur sélectionnée et des droits d'accès adéquats pour les objets référencés (ordinateurs, licences et groupes). • Pour supprimer une tâche serveur, l'utilisateur doit disposer de l'autorisation Écrire pour l'instance de la tâche serveur sélectionnée. • Pour exécuter une tâche serveur, l'utilisateur doit disposer de l'autorisation Utiliser pour l'instance de la tâche serveur sélectionnée. Créer une tâche serveur 1. Cliquez sur Autre > Tâches serveur > Nouveau. 2. Saisissez des informations de base sur la tâche telles qu'un nom, une description (facultatif) et un type de tâche. Le type de tâche définit les paramètres et le comportement de la tâche. 3. Vous pouvez choisir les options suivantes : • Exécuter immédiatement la tâche après la fin : cochez cette case pour que la tâche s'exécute automatiquement après que vous ayez cliqué sur Terminer. • Configurer un déclencheur : cochez cette case et développez la section Déclencheur pour configurer les paramètres du déclencheur. • Définissez le déclencheur ultérieurement (ne cochez aucune case). 4. Configurez les paramètres de la tâche dans la section Paramètres. 5. Définissez le déclencheur dans la section Déclencheur, le cas échéant. 6. Vérifiez tous les paramètres de cette tâche dans la section Synthèse, puis cliquez sur Terminer. Filtre Accéder au groupe Le bouton de filtre Accéder au groupe permet aux utilisateurs de sélectionner un groupe statique et de filtrer les objets visualisés selon le groupe qui les contient. Ajout d'un filtre et de présélections de filtres Pour ajouter des critères de filtre, cliquez sur Ajouter un filtre et sélectionnez un ou des éléments dans la liste. Saisissez la ou les chaînes de recherche dans le ou les champs de filtre. Les filtres actifs sont mis en surbrillance en bleu. Les filtres peuvent être enregistrés dans votre profil utilisateur afin que vous puissiez les réutiliser ultérieurement. Sous Présélections, les options suivantes sont disponibles : Jeux de filtres : il s'agit des filtres enregistrés. Cliquez sur l'un d'entre eux pour l'appliquer. Le filtre appliqué est signalé par une coche . Sélectionnez Inclure les colonnes visibles, le tri et la pagination pour enregistrer ces paramètres dans la présélection. Enregistrer le jeu de filtres : enregistrez la configuration actuelle du filtre comme nouvelle présélection. Une fois la présélection enregistrée, vous ne pouvez pas modifier la configuration du filtre dans la présélection. Gérer les jeux de filtres : supprimez ou renommez les présélections existantes. Cliquez sur Enregistrer pour appliquer les modifications aux présélections. 259 Effacer les valeurs de filtre : cliquez pour supprimer uniquement les valeurs actuelles des filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres : cliquez sur cette option pour supprimer les filtres sélectionnés. Les présélections restent inchangées. Supprimer les filtres inutilisés : permet de supprimer les champs de filtre sans valeur. REMARQUE Il est recommandé aux utilisateurs qui utilisent régulièrement des tâches serveur de créer leurs propres tâches plutôt que de partager des tâches avec d'autres utilisateurs. Chaque fois qu'une tâche est exécutée, elle utilise les autorisations de l'utilisateur exécutant. Ce comportement peut dérouter certains utilisateurs. Types de tâches serveur Les tâches serveur suivantes sont prédéfinies : • Déploiement d’agent : distribue l’Agent aux ordinateurs clients. • Supprimer les ordinateurs qui ne se connectent pas : supprime les clients qui ne se connectent plus à ESET Security Management Center depuis la console Web. • Générer un rapport : permet de générer les rapports dont vous avez besoin. • Renommer les ordinateurs : cette tâche renomme de manière périodique les ordinateurs situés dans des groupes au format FQDN. • Synchronisation des groupes statiques : met à jour les informations des groupes pour afficher des données actuelles. • Synchronisation des utilisateurs : met à jour un utilisateur ou un groupe d'utilisateurs. Déploiement de l'agent Le déploiement à distance d'ESET Management Agent est effectué dans la section Autre. Cliquez sur Tâches serveur > Déploiement d'agent > Nouveau pour configurer une nouvelle tâche. REMARQUE La tâche déploiement de l'agent exécute l'installation d'ESET Management Agent sur les ordinateurs cibles de façon séquentielle (un ordinateur après l'autre). Par conséquent, lorsque vous exécutez la tâche déploiement de l'agent sur plusieurs ordinateurs clients, son exécution peut être longue. Il est donc recommandé d'utiliser plutôt ESET Remote Deployment Tool. Il exécute l'installation d'ESET Management Agent sur tous les ordinateurs cibles en même temps (en parallèle) et économise la bande passante du réseau en utilisant des fichiers d'installation stockés localement, sans accéder au répertoire en ligne. Si vous décidez d'utiliser la tâche déploiement de l'agent, veillez à modifier l'intervalle de connexion de l'Agent pour améliorer l'exécution de la tâche. AVERTISSEMENT La tâche déploiement de l'agent utilise SSH qui n'est pas pris en charge sous Windows Server 2003. La tâche en parviendra pas à installer ESET Management Agent sous les systèmes Windows Server 2003. Général Cette section permet de saisir des informations de base sur une tâche telles qu'un nom et, une description (facultatif). Vous pouvez également sélectionner les paramètres de déclencheur de tâche suivants : • Exécuter immédiatement la tâche après la fin : sélectionnez cette option pour que la tâche s'exécute automatiquement après que vous ayez cliqué sur Terminer. • Configurer un déclencheur : sélectionnez cette option pour activer la section Déclencheur dans laquelle vous pouvez configurer des paramètres de déclencheur. • Pour définir le déclencheur ultérieurement, laissez cette coche décochée. 260 Paramètres de déploiement de l'Agent Résolution automatique de l'Agent adéquat : si vous disposez de plusieurs systèmes d'exploitation (Windows, Linux, macOS) dans votre réseau, sélectionnez cette option. La tâche recherche automatiquement le package d'installation de l'Agent adéquat compatible avec le serveur pour chaque système. Cibles : cliquez sur cette option pour sélectionner les clients destinataires de cette tâche. REMARQUE Si des ordinateurs cibles ont été ajoutés à ESMC à l'aide de la tâche Synchronisation des groupes statiques, vérifiez que le nom des ordinateurs correspond à leur nom de domaine complet. Ces noms sont utilisés en tant qu'adresses des clients pendant le déploiement. S'ils ne sont pas corrects, le déploiement échoue. Utilisez l'attribut dNSHostName comme attribut du nom d'hôte de l'ordinateur pendant la synchronisation pour les besoins du déploiement de l'Agent. Nom d’hôte du serveur (facultatif) : vous pouvez saisir un nom d'hôte du serveur s'il est différent du côté client et serveur. Informations d'identification des ordinateurs cibles Nom d'utilisateur/Mot de passe : il s'agit du nom d'utilisateur et du mot de passe de l'utilisateur disposant de droits suffisants pour effectuer une installation à distance de l'Agent. Paramètres des certificats Certificat homologue : • Certificat ESMC : il s’agit du certificat de sécurité et de l’autorité de certification pour l’installation de l’Agent. Vous pouvez utiliser le certificat et l’autorité de certification par défaut ou des certificats personnalisés. • Certificat personnalisé : si vous utilisez un certificat personnalisé pour l'authentification, accédez à celui-ci et sélectionnez-le lors de l'installation de l'Agent. Pour plus d'informations, reportez-vous au chapitre Certificats. Phrase secrète du certificat : il s’agit du mot de passe du certificat que vous avez saisi lors de l’installation d'ESMC Server (à l’étape de création d’une autorité de certification) ou du mot de passe de votre certificat personnalisé. IMPORTANT La phrase secrète du certificat ne doit pas contenir les caractères suivants : " \ Ces caractères peuvent entraîner des erreurs critiques lors de l'initialisation de l'Agent. REMARQUE • ESMC Server peut automatiquement sélectionner le package d'installation de l'Agent adéquat pour les systèmes d'exploitation. Pour sélectionner manuellement un package, décochez l'option Résolution automatique de l'Agent adéquat, puis choisissez le package à utiliser parmi la liste des Agents disponibles dans le référentiel ESMC. • Dans le cas d'une installation sur un ordinateur Linux ou Mac, vérifiez que le démon SSH est activé et en cours d'exécution sur le port 22 et que le pare-feu ne bloque pas cette connexion sur l'ordinateur cible. Utilisez la commande suivante (remplacez l'adresse IP par celle d'ESMC Server) pour ajouter une exception au pare-feu Linux : iptables -A INPUT -s 10.0.0.1 -p tcp --dport 22 -m state --state NEW -j ACCEPT• Pour une installation sur Linux, sélectionnez un utilisateur autorisé à utiliser la commande sudo ou l'utilisateur root. Si root est utilisé, le service ssh doit vous autoriser à vous connecter en tant que root. • Pour redéployer un agent, ne supprimez jamais l'agent actuel. Exécutez plutôt la tâche de déploiement sur l'agent actuel. Lorsque vous supprimez l'agent, il peut commencer à exécuter d'anciennes tâches après le nouveau déploiement. Autres paramètres Décochez la case Participer au programme d'amélioration du produit si vous n'acceptez pas d'envoyer les rapports de défaillance et les données de télémétrie à ESET. Si la case reste cochée, les rapports de défaillance et les données de télémétrie seront envoyés à ESET. 261 Déclencheur La section Déclencheur contient des informations sur le ou les déclencheurs qui doivent exécuter une tâche. Chaque tâche serveur peut être associée à un déclencheur. Chaque déclencheur ne peut exécuter qu'une seule tâche serveur. Si l'option Configurer un déclencheur n'est pas sélectionnée dans la section Général, un déclencheur n'est pas créé. Une tâche peut être créée sans déclencheur. Dans ce cas, elle est déclenchée manuellement (un déclencheur peut être ajouté par la suite). Paramètres avancés de la limitation En définissant une limitation, vous pouvez définir des règles avancées pour le déclencheur créé. La définition d'une limitation est facultative. Résumé Toutes les options configurées sont affichées dans cette section. Examinez les paramètres et s'ils sont corrects, cliquez sur Terminer. La tâche est alors créée et prête à être utilisée. Supprimer les ordinateurs non connectés La tâche Supprimer les ordinateurs qui ne se connectent pas permet de supprimer des ordinateurs selon des critères spécifiés. Par exemple, si l'ESET Management Agent sur un ordinateur client ne s'est pas connecté depuis 30 jours, il peut être supprimé d'ESMC Web Console. Général Cette section permet de saisir des informations de base sur une tâche telles qu'un nom et, une description (facultatif). Vous pouvez également sélectionner les paramètres de déclencheur de tâche suivants : • Exécuter immédiatement la tâche après la fin : sélectionnez cette option pour que la tâche s'exécute automatiquement après que vous ayez cliqué sur Terminer. • Configurer un déclencheur : sélectionnez cette option pour activer la section Déclencheur dans laquelle vous pouvez configurer des paramètres de déclencheur. • Pour définir le déclencheur ultérieurement, laissez cette coche décochée. Paramètres Nom du groupe : sélectionnez un groupe statique ou créez un nouveau groupe statique dans lequel les ordinateurs seront renommés. Nombre de jours pendant lesquels l’ordinateur n’a pas été connecté : saisissez le nombre de jours au-delà duquel les ordinateurs seront supprimés. Désactiver la licence : utilisez cette option si vous souhaitez également désactiver les licences des ordinateurs supprimés. Supprimer les ordinateurs non gérés : si vous cochez cette case, les ordinateurs non gérés seront également supprimés. Déclencheur 262 La section Déclencheur contient des informations sur le ou les déclencheurs qui doivent exécuter une tâche. Chaque tâche serveur peut être associée à un déclencheur. Chaque déclencheur ne peut exécuter qu'une seule tâche serveur. Si l'option Configurer un déclencheur n'est pas sélectionnée dans la section Général, un déclencheur n'est pas créé. Une tâche peut être créée sans déclencheur. Dans ce cas, elle est déclenchée manuellement (un déclencheur peut être ajouté par la suite). Paramètres avancés de la limitation En définissant une limitation, vous pouvez définir des règles avancées pour le déclencheur créé. La définition d'une limitation est facultative. Résumé Toutes les options configurées sont affichées dans cette section. Examinez les paramètres et s'ils sont corrects, cliquez sur Terminer. La tâche est alors créée et prête à être utilisée. Générer un rapport La tâche Générer un rapport sert à générer des rapports à partir de modèles de rapport prédéfinis ou précédemment créés. Général Cette section permet de saisir des informations de base sur une tâche telles qu'un nom et, une description (facultatif). Vous pouvez également sélectionner les paramètres de déclencheur de tâche suivants : • Exécuter immédiatement la tâche après la fin : sélectionnez cette option pour que la tâche s'exécute automatiquement après que vous ayez cliqué sur Terminer. • Configurer un déclencheur : sélectionnez cette option pour activer la section Déclencheur dans laquelle vous pouvez configurer des paramètres de déclencheur. • Pour définir le déclencheur ultérieurement, laissez cette coche décochée. Paramètres Modèles de rapport : cliquez sur Ajouter un modèle de rapport pour sélectionner un modèle de rapport dans la liste. L'utilisateur qui crée la tâche ne pourra afficher et sélectionner que les modèles de rapport qui sont disponibles dans son groupe. Vous pouvez sélectionner plusieurs modèles de rapport pour un rapport. Sélectionnez Envoyer un courrier électronique ou Enregistrer dans un fichier pour obtenir le rapport généré. Remise du rapport Envoyer un courrier électronique Pour envoyer/recevoir des messages électroniques, vous devez configurer les paramètres SMTP sous Paramètres du serveur > Paramètres avancés. Envoyer à : saisissez les adresses électroniques des destinataires des messages électroniques de rapport. Séparez plusieurs adresses par une virgule (,). Il est également possible d'ajouter des champs Cc et Cci. Ces derniers fonctionnent comme dans tous les clients de messagerie. Objet : objet du message de rapport. Saisissez un objet distinctif pour que les messages entrants puissent être triés. Il s'agit d'un paramètre facultatif. Il est toutefois conseillé de ne pas laisser ce champ vide. Contenu du message : définissez le corps du message de rapport. Envoyer un courrier électronique si le rapport est vide : utilisez cette option si vous souhaitez envoyer le rapport même s'il ne contient pas de données. 263 Options d'impression Cliquez sur Afficher les options d’impression pour afficher les paramètres suivants : • Format de sortie : sélectionnez le format de fichier adéquat. • Langue de sortie : sélectionnez la langue du message. La langue par défaut repose sur celle sélectionnée pour ESMC Web Console. • Taille de la page/Résolution/Orientation du papier/Format de couleur/Unités des marges/Marges : ces options sont pertinentes si vous souhaitez imprimer le rapport. Sélectionnez les options qui répondent à vos besoins. Ces options s'appliquent uniquement aux formats PDF et PS, et non au format CSV. REMARQUE La tâche Générer un rapport vous permet d'effectuer un choix parmi plusieurs formats de fichier de sortie. Si vous sélectionnez le format CSV, les valeurs de date et d'heure du rapport sont stockées au format UTC. Lorsque vous sélectionnez l'une des deux options de sortie restantes (PDF, PS), le serveur utilise l'heure du serveur local. Enregistrer dans un fichier Options de fichier Chemin d'accès au fichier relatif : le rapport est généré dans un répertoire spécifique, par exemple : Dans le cadre de Windows, le rapport est généralement placé dans C:\ProgramData\ESET\RemoteAdministrator\Server\EraServerApplicationData\Data\GeneratedReports\ Sous les anciens systèmes Windows, le chemin d'accès peut être C:\Users\All Users\ESET\RemoteAdministrator\Server\EraServerApplicationData\Data\GeneratedReports\ Dans le cadre de Linux, le rapport est généralement placé dans /var/opt/eset/RemoteAdministrator/Server/GeneratedReports/ Enregistrer le fichier si le rapport est vide : utilisez cette option si vous souhaitez enregistrer le rapport même s'il ne contient pas de données. Options d'impression Cliquez sur Afficher les options d’impression pour afficher les paramètres suivants : • Format de sortie : sélectionnez le format de fichier adéquat. • Langue de sortie : sélectionnez la langue du message. La langue par défaut repose sur celle sélectionnée pour ESMC Web Console. • Taille de la page/Résolution/Orientation du papier/Format de couleur/Unités des marges/Marges : ces options sont pertinentes si vous souhaitez imprimer le rapport. Sélectionnez les options qui répondent à vos besoins. Ces options s'appliquent uniquement aux formats PDF et PS, et non au format CSV. REMARQUE La tâche Générer un rapport vous permet d'effectuer un choix parmi plusieurs formats de fichier de sortie. Si vous sélectionnez le format CSV, les valeurs de date et d'heure du rapport sont stockées au format UTC. Lorsque vous sélectionnez l'une des deux options de sortie restantes (PDF, PS), le serveur utilise l'heure du serveur local. Déclencheur La section Déclencheur contient des informations sur le ou les déclencheurs qui doivent exécuter une tâche. Chaque tâche serveur peut être associée à un déclencheur. Chaque déclencheur ne peut exécuter qu'une seule tâche serveur. Si l'option Configurer un déclencheur n'est pas sélectionnée dans la section Général, un déclencheur n'est pas créé. Une tâche peut être créée sans déclencheur. Dans ce cas, elle est déclenchée manuellement (un déclencheur peut être ajouté par la suite). Paramètres avancés de la limitation 264 En définissant une limitation, vous pouvez définir des règles avancées pour le déclencheur créé. La définition d'une limitation est facultative. Résumé Toutes les options configurées sont affichées dans cette section. Examinez les paramètres et s'ils sont corrects, cliquez sur Terminer. La tâche est alors créée et prête à être utilisée. REMARQUE Ubuntu Server Edition requiert l'installation de X Server et xinit pour que l'impression des rapports (rapports PDF) fonctionne. sudo apt-get install server-xorg sudo apt-get install xinit startx Renommer les ordinateurs Vous pouvez utiliser la tâche Renommer les ordinateurs pour leur attribuer un nouveau nom au format FQDN dans ESMC. Vous pouvez utiliser la tâche serveur existante fournie par défaut avec l'installation d'ESMC. Si un nom de périphérique client est différent de celui indiqué dans les détails du périphérique, l'exécution de cette tâche peut restaurer le bon nom. Cette tâche renomme automatiquement toutes les heures les ordinateurs synchronisés situés dans le groupe Perdu et trouvé. Pour créer une tâche, cliquez sur Tâches serveur > Renommer les ordinateurs > Nouveau. Général Cette section permet de saisir des informations de base sur une tâche telles qu'un nom et, une description (facultatif). Vous pouvez également sélectionner les paramètres de déclencheur de tâche suivants : • Exécuter immédiatement la tâche après la fin : sélectionnez cette option pour que la tâche s'exécute automatiquement après que vous ayez cliqué sur Terminer. • Configurer un déclencheur : sélectionnez cette option pour activer la section Déclencheur dans laquelle vous pouvez configurer des paramètres de déclencheur. • Pour définir le déclencheur ultérieurement, laissez cette coche décochée. Paramètres Nom du groupe : sélectionnez un groupe statique ou dynamique ou créez-en un pour les ordinateurs renommés. Renommer selon : • Nom de l'ordinateur : chaque ordinateur est identifié sur le réseau local par son nom unique. • FQDN (nom de domaine complet) de l'ordinateur : cela commence par le nom d'hôte puis les noms de domaine jusqu'au nom de domaine de niveau supérieur. Une résolution des conflits de nom sera effectuée pour les ordinateurs déjà présents dans ESMC (le nom de l’ordinateur doit être unique) et ceux ajoutés lors de la synchronisation. Les vérifications s’appliquent uniquement aux noms des ordinateurs situés en dehors de la sous-arborescence en cours de synchronisation. Déclencheur La section Déclencheur contient des informations sur le ou les déclencheurs qui doivent exécuter une tâche. Chaque tâche serveur peut être associée à un déclencheur. Chaque déclencheur ne peut exécuter qu'une seule tâche serveur. Si l'option Configurer un déclencheur n'est pas sélectionnée dans la section Général, un 265 déclencheur n'est pas créé. Une tâche peut être créée sans déclencheur. Dans ce cas, elle est déclenchée manuellement (un déclencheur peut être ajouté par la suite). Paramètres avancés de la limitation En définissant une limitation, vous pouvez définir des règles avancées pour le déclencheur créé. La définition d'une limitation est facultative. Résumé Toutes les options configurées sont affichées dans cette section. Examinez les paramètres et s'ils sont corrects, cliquez sur Terminer. La tâche est alors créée et prête à être utilisée. Synchronisation des groupes statiques La tâche Synchronisation des groupes statiques permet de rechercher des ordinateurs sur le réseau (Active Directory, Open Directory, LDAP, réseau local ou VMware) et de les placer dans un groupe statique. Si vous sélectionnez Synchroniser avec Active Directory pendant l’installation du serveur, les ordinateurs détectés sont ajoutés au groupe Tous. Pour synchroniser les ordinateurs Linux qui ont rejoint un domaine Windows, suivez ces instructions détaillées. Il existe trois modes de synchronisation : • Active Directory/Open Directory/LDAP : saisissez les informations de base de connexion au serveur. Pour obtenir des instructions détaillées, cliquez ici • Réseau MS Windows : entrez le groupe de travail à utiliser et les informations d’identification utilisateur appropriées. Pour obtenir des instructions détaillées, cliquez ici • VMware : saisissez les informations de connexion à VMware vCenter Server. Pour obtenir des instructions détaillées, cliquez ici. Mode de synchronisation - Active Directory/Open Directory/LDAP Cliquez sur Autre > Tâches serveur > Synchronisation des groupes statiques > Nouveau. Général Cette section permet de saisir des informations de base sur une tâche telles qu'un nom et, une description (facultatif). Vous pouvez également sélectionner les paramètres de déclencheur de tâche suivants : • Exécuter immédiatement la tâche après la fin : sélectionnez cette option pour que la tâche s'exécute automatiquement après que vous ayez cliqué sur Terminer. • Configurer un déclencheur : sélectionnez cette option pour activer la section Déclencheur dans laquelle vous pouvez configurer des paramètres de déclencheur. • Pour définir le déclencheur ultérieurement, laissez cette coche décochée. Paramètres Paramètres communs Cliquez sur Sélectionner sous Nom du groupe statique. Par défaut, le groupe résidentiel de l'utilisateur exécutant est utilisé pour les ordinateurs synchronisés. Vous pouvez également créer un groupe statique. • Objets à synchroniser : ordinateurs et groupes ou ordinateurs uniquement. • Gestion des collisions de création d’ordinateur : si la synchronisation ajoute des ordinateurs qui sont déjà membres du groupe statique, vous pouvez choisir une méthode de résolution des conflits : oIgnorer (les ordinateurs synchronisés ne sont pas ajoutés) oDéplacer (les nouveaux ordinateurs seront déplacés vers un sous-groupe) oDupliquer (un nouvel ordinateur est créé avec un autre nom) 266 • Gestion des extinctions d’ordinateur : si un ordinateur n’existe plus, vous pouvez le supprimer ou l’ignorer. • Gestion des extinctions de groupe : si un groupe n’existe plus, vous pouvez le supprimer ou l'ignorer. • Mode de synchronisation - Active Directory/Open Directory/LDAP Consultez également cet article de la base de connaissances sur l'administration des ordinateurs à l'aide de la synchronisation Active Directory dans ESMC 7. Paramètres de connexion au serveur • Serveur : saisissez le nom du serveur ou l’adresse IP du contrôleur de domaine. • Nom d'utilisateur : Saisissez le nom d'utilisateur pour votre contrôleur de domaine au format suivant : oDOMAIN\username (ESMC Server s'exécutant sous Windows) ousername@FULL.DOMAIN.NAME ou username (ESMC Server s'exécutant sous Linux) IMPORTANT Veillez à saisir le domaine en majuscules ; cette mise en forme est nécessaire pour authentifier correctement les requêtes sur un serveur Active Directory. • Mot de passe : saisissez le mot de passe utilisé pour se connecter au contrôleur de domaine. • Utiliser les paramètres LDAP : si vous souhaitez utiliser le protocole LDAP, cochez la case Utiliser le protocole LDAP au lieu d'Active Directory, puis saisissez des attributs spécifiques qui correspondent à votre serveur. Vous pouvez également sélectionner une valeur prédéfinie en cliquant sur Personnaliser. Les attributs suivants seront remplis automatiquement : oActive Directory : cliquez surParcourir en regard de Nom unique. Votre arborescence Active Directory va s'afficher. Sélectionnez l'entrée supérieure pour synchroniser tous les groupes avec ESMC ou ne sélectionnez que des groupes spécifiques à ajouter. Seuls les ordinateurs et les unités organisationnelles sont synchronisés. Cliquez sur OK lorsque vous avez terminé. oOpen Directory de Mac OS X Server (noms d’hôte des ordinateurs) oOpen Directory de Mac OS X Server (adresses IP d’ordinateur) oOpenLDAP avec les enregistrements d’ordinateur Samba : pour la configuration des paramètres de nom DNS dans Active Directory. oLors de l'utilisation de la présélection LDAP et Active Directory, vous pouvez renseigner les détails de l'ordinateur avec des attributs de la structure Active Directory. Seuls les attributs du type DirectoryString peuvent être utilisés. Vous pouvez utiliser un outil (par exemple ADExplorer) pour inspecter les attributs sur le contrôleur de domaine. Consultez les champs correspondant dans le tableau suivant : Champs des détails de l'ordinateur Champs des tâches de synchronisation Nom Attribut de nom d'hôte de l'ordinateur Description Attribut de description de l'ordinateur Paramètres de synchronisation • Nom unique : chemin d’accès (nom unique) au nœud dans l’arborescence d’Active Directory. Si ce champ est laissé vide, l’arborescence entière d’Active Directory est synchronisée. • Nom(s) unique(s) exclu(s) : vous pouvez choisir d’exclure (ignorer) des nœuds spécifiques dans l’arborescence d’Active Directory. • Ignorer les ordinateurs désactivés (uniquement dans Active Directory) : vous pouvez choisir d’ignorer les ordinateurs désactivés dans Active Directory. IMPORTANT Si l'erreur suivante s'affiche : Server not find in Kerberos database après avoir cliqué sur Parcourir, utilisez le FQDN plutôt que l'adresse IP AD du serveur. Synchronisation depuis le serveur Linux 267 ESMC Server s'exécutant sous Linux effectue la synchronisation différemment des ordinateurs Windows. Le processus est le suivant : 1. Le nom d'hôte et les informations d'identification du contrôleur de domaine doivent être renseignés. 2. Le serveur vérifie les informations d'identification et les convertit en ticket Kerberos. 3. Le serveur détecte le nom distinctif du domaine s'il n'est pas présent. 4. a.Si l'option Utiliser le protocole LDAP au lieu d'Active Directory n'est pas cochée : Plusieurs appels à ldapsearch énumèrent l'arborescence. Voici un exemple simplifié pour obtenir des enregistrements informatiques : kinit <nom d'utilisateur> ldapsearch -LLL -Y GSSAPI -h ad.domain.com -b 'DC=domain,DC=com' '(&(objectCategory=computer))' 'distinguishedName' 'dNSHostName' b.Si l'option Utiliser le protocole LDAP au lieu d'Active Directory est cochée : le même processus est appelé comme dans l'option 4a, mais l'utilisateur est capable de configurer les paramètres. 5. Kerberos utilise un mécanisme d'établissement de liaison pour authentifier l'utilisateur et générer un ticket qui peut être utilisé ultérieurement avec d'autres services pour autorisation, sans envoyer de mot de passe en texte clair (contrairement à l'authentification simple). 6. L'utilitaire ldapsearch utilise ensuite GSSAPI pour effectuer une authentification auprès de Active Directory avec le ticket Kerberos obtenu. 7. Les résultats de la recherche sont renvoyés via un canal non chiffré. Déclencheur La section Déclencheur contient des informations sur le ou les déclencheurs qui doivent exécuter une tâche. Chaque tâche serveur peut être associée à un déclencheur. Chaque déclencheur ne peut exécuter qu'une seule tâche serveur. Si l'option Configurer un déclencheur n'est pas sélectionnée dans la section Général, un déclencheur n'est pas créé. Une tâche peut être créée sans déclencheur. Dans ce cas, elle est déclenchée manuellement (un déclencheur peut être ajouté par la suite). Paramètres avancés de la limitation En définissant une limitation, vous pouvez définir des règles avancées pour le déclencheur créé. La définition d'une limitation est facultative. Résumé Toutes les options configurées sont affichées dans cette section. Examinez les paramètres et s'ils sont corrects, cliquez sur Terminer. La tâche est alors créée et prête à être utilisée. Mode de synchronisation - Réseau MS Windows Cliquez sur Autre > Tâches serveur > Synchronisation des groupes statiques > Nouveau. Général Cette section permet de saisir des informations de base sur une tâche telles qu'un nom et, une description (facultatif). Vous pouvez également sélectionner les paramètres de déclencheur de tâche suivants : • Exécuter immédiatement la tâche après la fin : sélectionnez cette option pour que la tâche s'exécute automatiquement après que vous ayez cliqué sur Terminer. • Configurer un déclencheur : sélectionnez cette option pour activer la section Déclencheur dans laquelle vous pouvez configurer des paramètres de déclencheur. • Pour définir le déclencheur ultérieurement, laissez cette coche décochée. Paramètres Paramètres communs Cliquez sur Sélectionner sous Nom du groupe statique. Par défaut, le groupe résidentiel de l'utilisateur exécutant est utilisé pour les ordinateurs synchronisés. Vous pouvez également créer un groupe statique. • Objets à synchroniser : ordinateurs et groupes ou ordinateurs uniquement. • Gestion des collisions de création d’ordinateur : si la synchronisation ajoute des ordinateurs qui sont déjà membres du groupe statique, vous pouvez choisir une méthode de résolution des conflits : 268 oIgnorer (les ordinateurs synchronisés ne sont pas ajoutés) oDéplacer (les nouveaux ordinateurs seront déplacés vers un sous-groupe) oDupliquer (un nouvel ordinateur est créé avec un autre nom) • Gestion des extinctions d’ordinateur : si un ordinateur n’existe plus, vous pouvez le supprimer ou l’ignorer. • Gestion des extinctions de groupe : si un groupe n’existe plus, vous pouvez le supprimer ou l'ignorer. • Mode de synchronisation - Réseau MS Windows Dans la section Paramètres de synchronisation du réseau Microsoft Windows, entrez les informations suivantes : • Groupe de travail : entrez le domaine ou le groupe de travail qui contient les ordinateurs à synchroniser. Si vous ne spécifiez aucun groupe de travail, tous les ordinateurs visibles seront synchronisés. • Connexion :entrez les informations d’authentification utilisées pour la synchronisation dans votre réseau Windows. • Mot de passe : saisissez le mot de passe utilisé pour se connecter au contrôleur de domaine. REMARQUE ESMC Server s'exécute avec des privilèges Service réseau qui peuvent ne pas être suffisants pour lire tous les ordinateurs à proximité. Si aucune information d'identification d'utilisateur n'est présente, le serveur lit tous les ordinateurs à proximité à partir des dossiers Réseau disponibles dans Windows et renseignés automatiquement par le système d'exploitation. S'il existe des informations d'identification, le serveur les utilise pour une synchronisation directe. Déclencheur La section Déclencheur contient des informations sur le ou les déclencheurs qui doivent exécuter une tâche. Chaque tâche serveur peut être associée à un déclencheur. Chaque déclencheur ne peut exécuter qu'une seule tâche serveur. Si l'option Configurer un déclencheur n'est pas sélectionnée dans la section Général, un déclencheur n'est pas créé. Une tâche peut être créée sans déclencheur. Dans ce cas, elle est déclenchée manuellement (un déclencheur peut être ajouté par la suite). Paramètres avancés de la limitation En définissant une limitation, vous pouvez définir des règles avancées pour le déclencheur créé. La définition d'une limitation est facultative. Résumé Toutes les options configurées sont affichées dans cette section. Examinez les paramètres et s'ils sont corrects, cliquez sur Terminer. La tâche est alors créée et prête à être utilisée. Mode de synchronisation - VMware Il est possible de synchroniser des machines virtuelles s’exécutant sur VMware vCenter Server. REMARQUE Pour exécuter cette tâche, vous devez importer l'autorité de certification vCenter CA dans ESMC Server. Vous pouvez l'exporter par le biais de votre navigateur Web. Par exemple, pour exporter le certificat à l'aide de Firefox, cliquez sur l'icône de la connexion sécurisée dans la barre d'adresses , puis cliquez sur Afficher les détails de la connexion > Informations supplémentaires > Afficher le certificat > Détails > Exporter > Enregistrer. Cliquez sur Autre > Tâches serveur > Synchronisation des groupes statiques > Nouveau. Général Cette section permet de saisir des informations de base sur une tâche telles qu'un nom et, une description (facultatif). Vous pouvez également sélectionner les paramètres de déclencheur de tâche suivants : 269 • Exécuter immédiatement la tâche après la fin : sélectionnez cette option pour que la tâche s'exécute automatiquement après que vous ayez cliqué sur Terminer. • Configurer un déclencheur : sélectionnez cette option pour activer la section Déclencheur dans laquelle vous pouvez configurer des paramètres de déclencheur. • Pour définir le déclencheur ultérieurement, laissez cette coche décochée. Paramètres Paramètres communs Cliquez sur Sélectionner sous Nom du groupe statique. Par défaut, le groupe résidentiel de l'utilisateur exécutant est utilisé pour les ordinateurs synchronisés. Vous pouvez également créer un groupe statique. • Objets à synchroniser : ordinateurs et groupes ou ordinateurs uniquement. • Gestion des collisions de création d’ordinateur : si la synchronisation ajoute des ordinateurs qui sont déjà membres du groupe statique, vous pouvez choisir une méthode de résolution des conflits : oIgnorer (les ordinateurs synchronisés ne sont pas ajoutés) oDéplacer (les nouveaux ordinateurs seront déplacés vers un sous-groupe) oDupliquer (un nouvel ordinateur est créé avec un autre nom) • Gestion des extinctions d’ordinateur : si un ordinateur n’existe plus, vous pouvez le supprimer ou l’ignorer. • Gestion des extinctions de groupe : si un groupe n’existe plus, vous pouvez le supprimer ou l'ignorer. • Mode de synchonisation - VMWare Paramètres de connexion au serveur • Serveur : saisissez le nom DNS ou l’adresse IP de VMware vCenter Server. L'adresse doit être la même que la valeur CN de l'autorité de certification vCenter importée. Cette valeur se trouve dans la colonne Objet de la fenêtre Autre > Autorités de certification. • Connexion : saisissez les informations d’identification de VMware vCenter Server. • Mot de passe : saisissez le mot de passe utilisé pour vous connecter à VMware vCenter Server. Paramètres de synchronisation • Vue Structure : sélectionnez le type de vue Structure, Dossiers ou Pool de ressources. • Chemin d’accès à la structure : cliquez sur Parcourir et accédez au dossier que vous souhaitez synchroniser. Si le champ n’est pas renseigné, la structure entière sera synchronisée. • Vue Ordinateur : indiquez si vous souhaitez afficher les ordinateurs par nom, nom d’hôte ou adresse IP après la synchronisation. IMPORTANT Si l'erreur suivante s'affiche : Server not find in Kerberos database après avoir cliqué sur Parcourir, utilisez le FQDN plutôt que l'adresse IP AD du serveur. Déclencheur La section Déclencheur contient des informations sur le ou les déclencheurs qui doivent exécuter une tâche. Chaque tâche serveur peut être associée à un déclencheur. Chaque déclencheur ne peut exécuter qu'une seule tâche serveur. Si l'option Configurer un déclencheur n'est pas sélectionnée dans la section Général, un déclencheur n'est pas créé. Une tâche peut être créée sans déclencheur. Dans ce cas, elle est déclenchée manuellement (un déclencheur peut être ajouté par la suite). Paramètres avancés de la limitation En définissant une limitation, vous pouvez définir des règles avancées pour le déclencheur créé. La définition d'une limitation est facultative. Résumé 270 Toutes les options configurées sont affichées dans cette section. Examinez les paramètres et s'ils sont corrects, cliquez sur Terminer. La tâche est alors créée et prête à être utilisée. Synchronisation des groupes statiques - Ordinateurs Linux Un ordinateur Linux qui a rejoint un domaine Windows n'affiche aucun texte dans les propriétés d'ordinateur Utilisateurs et ordinateurs Active Directory. Vérifiez les conditions préalables requises pour le serveur et celles-ci : • Les ordinateurs Linux figurent dans Active Directory. • Un serveur DNS est installé sur le contrôleur de domaine. • ADSI Edit est installé. 1. Ouvrez une invite de commande, puis exécutez adsiedit.msc. 2. Accédez à Action > Connexion. La fenêtre des paramètres de connexion s'affiche. 3. Cliquez sur Sélectionnez un contexte d'attribution de noms connu. 4. Dans la zone de liste déroulante, sélectionnez le contexte d'attribution de noms Par défaut. 5. Cliquez sur OK. La valeur ADSI à gauche doit correspondre au nom de votre contrôleur de domaine, Contexte d’attribution de noms par défaut (votre contrôleur de domaine). 6. Cliquez sur la valeur ADSI et développez le sous-groupe. 7. Cliquez sur le sous-groupe, puis accédez au CN (nom commun) ou au OU (unité d'organisation) dans lequel sont affichés les ordinateurs Linux. 8. Cliquez sur le nom d'hôte de l'ordinateur Linux, puis sélectionnez Propriétés dans le menu contextuel. Accédez au paramètre dNSHostName, puis cliquez sur Modifier. 9. Remplacez la valeur <non défini> par du texte valide (ubuntu.TEST, par exemple). 10. Cliquez sur OK > OK. Ouvrez Utilisateurs et ordinateurs Active Directory, puis sélectionnez les propriétés de l'ordinateur Linux. Le nouveau texte doit s'afficher. Synchronisation utilisateur Cette tâche serveur synchronise les informations des utilisateurs et du groupe d'utilisateurs à partir d'une source comme Active Directory, les paramètres LDAP, etc. Pour exécuter cette tâche, cliquez sur Autre > Tâches serveur >Synchronisation utilisateur> Nouveau. Général Cette section permet de saisir des informations de base sur une tâche telles qu'un nom et, une description (facultatif). Vous pouvez également sélectionner les paramètres de déclencheur de tâche suivants : • Exécuter immédiatement la tâche après la fin : sélectionnez cette option pour que la tâche s'exécute automatiquement après que vous ayez cliqué sur Terminer. • Configurer un déclencheur : sélectionnez cette option pour activer la section Déclencheur dans laquelle vous pouvez configurer des paramètres de déclencheur. • Pour définir le déclencheur ultérieurement, laissez cette coche décochée. Paramètres Paramètres communs Nom du groupe d'utilisateurs : par défaut, la racine des utilisateurs synchronisés est utilisée (il s'agit du groupe Tous par défaut). Vous pouvez également créer un groupe d'utilisateurs. 271 Gestion des collisions de création d'utilisateur : deux types de conflit peuvent se produire : • Un même groupe contient deux utilisateurs portant le même nom. • Un utilisateur existant possède le même SID (n'importe où dans le système). Vous pouvez définir la gestion des collisions sur les options suivantes : • Ignorer : l'utilisateur n'est pas ajouté à ESMC pendant la synchronisation avec Active Directory. • Remplacer : l'utilisateur existant dans ESMC est remplacé par l'utilisateur d'Active Directory. Dans le cas d'un conflit SID, l'utilisateur dans ESMC est supprimé de son emplacement précédent (même si l'utilisateur était dans un groupe différent). Gestion des extinctions d'utilisateur : si un utilisateur n'existe plus, vous pouvez le supprimer ou l'ignorer. Gestion des extinctions de groupe d'utilisateurs : si un groupe d'utilisateurs n'existe plus, vous pouvez le supprimer ou l'ignorer. REMARQUE Si vous utilisez des attributs personnalisés pour un utilisateur, définissez Gestion des collisions de création d'utilisateur sur Ignorer. Sinon, l'utilisateur (et tous les détails) est remplacé par les données d'Active Directory et perd les attributs personnalisés. Si vous voulez remplacer l'utilisateur, choisissez Ignorer pour Gestion des extinctions d'utilisateur. Paramètres de connexion au serveur Serveur : saisissez le nom du serveur ou l’adresse IP du contrôleur de domaine. Connexion : saisissez les informations d'identification de connexion du contrôleur de domaine sous la forme DOMAINE\nom_utilisateur (Windows) ou nom_utilisateur@FULL.DOMAIN.NAME (Linux). Mot de passe : saisissez le mot de passe utilisé pour se connecter au contrôleur de domaine. Utiliser les paramètres LDAP : si vous souhaitez utiliser le protocole LDAP, cochez la case Utiliser le protocole LDAP au lieu d'Active Directory, puis saisissez des attributs spécifiques qui correspondent à votre serveur. Vous pouvez également sélectionner une valeur prédéfinie en cliquant sur Personnaliser... pour que les paramètres soient renseignés automatiquement : • Active Directory • Open Directory de Mac OS X Server (noms d’hôte d’ordinateur) • Open Directory de Mac OS X Server (adresses IP d’ordinateur) • OpenLDAP avec les enregistrements d’ordinateur Samba : configuration des paramètres de nom DNS dans Active Directory. Paramètres de synchronisation Nom unique : chemin d’accès (nom unique) au nœud dans l’arborescence d’Active Directory. Si ce champ est laissé vide, l’arborescence entière d’Active Directory est synchronisée. Attributs d'utilisateur et de groupe d'utilisateurs : les attributs par défaut d'un utilisateur sont spécifiques à l'annuaire auquel l'utilisateur appartient. Si vous souhaitez synchroniser les attributs Active Directory, sélectionnez le paramètre AD dans le menu déroulant des champs adéquats ou saisissez un nom personnalisé pour l'attribut. Un espace réservé ESMC se trouve en regard de chaque champ synchronisé (par exemple : ${display_name}). Il représente cet attribut dans certaines configurations de politique ESMC. Attributs d’utilisateur avancés : si vous souhaitez utiliser des attributs personnalisés avancés, sélectionnez Ajouter. Ces champs héritent des informations de l'utilisateur et peuvent être utilisés dans un éditeur de politique MDM iOS en tant qu'espace réservé. 272 IMPORTANT Si l'erreur suivante s'affiche : Server not find in Kerberos database après avoir cliqué sur Parcourir, utilisez le FQDN plutôt que l'adresse IP AD du serveur. Déclencheur La section Déclencheur contient des informations sur le ou les déclencheurs qui doivent exécuter une tâche. Chaque tâche serveur peut être associée à un déclencheur. Chaque déclencheur ne peut exécuter qu'une seule tâche serveur. Si l'option Configurer un déclencheur n'est pas sélectionnée dans la section Général, un déclencheur n'est pas créé. Une tâche peut être créée sans déclencheur. Dans ce cas, elle est déclenchée manuellement (un déclencheur peut être ajouté par la suite). Paramètres avancés de la limitation En définissant une limitation, vous pouvez définir des règles avancées pour le déclencheur créé. La définition d'une limitation est facultative. Résumé Toutes les options configurées sont affichées dans cette section. Examinez les paramètres et s'ils sont corrects, cliquez sur Terminer. La tâche est alors créée et prête à être utilisée. Paramètres du serveur Dans cette section, vous pouvez configurer des paramètres spécifiques pour ESET Security Management Center Server. Connexion Port Remote Administrator (nécessite un redémarrage de l’ordinateur) : il s’agit du port de connexion entre ESET Security Management Center Server et le ou les agents. Si vous modifiez cette option, le service ESMC Server doit être redémarré pour que la modification soit prise en compte. La modification du port peut nécessiter des modifications des configurations du pare-feu. Port de console Web (nécessite un redémarrage de l'ordinateur) : port pour la connexion entre ESMC Web Console et ESMC Server. La modification du port peut nécessiter des modifications des configurations du pare-feu. Sécurité avancée (nécessite un redémarrage de l'ordinateur) : ce paramètre active la sécurité avancée des communications réseau des composants ESMC. Certificat (nécessite un redémarrage de l'ordinateur) : vous pouvez gérer ici les certificats ESMC Server. Cliquez sur Modifier le certificat et sélectionnez le certificat ESMC Server qu'ESMC Server doit utiliser. Pour plus d'informations, reportez-vous à la section Certificats homologues. IMPORTANT Ces modifications requièrent le redémarrage du service ESET Security Management Center Server. Pour obtenir des instructions, consultez cet article de base de connaissances. Mises à jour Intervalle de mise à jour : intervalle de réception des mises à jour. Vous pouvez sélectionner un intervalle régulier et configurer les paramètres ou utiliser une expression CRON. Serveur de mise à jour : il s'agit du serveur de mise à jour à partir duquel ESMC Server reçoit les mises à jour pour les produits ESET et les composants ESMC. Type de mise à jour : sélectionnez le type des mises à jour des modules ESMC Server que vous souhaitez recevoir. La version actuelle des modules ESMC Server installés figure dans ? > À propos de. 273 Mise à jour régulière Mise à jour de version bêta Mise à jour retardée Les mises à jour des modules ESMC Server sont téléchargées automatiquement à partir du serveur ESET avec le trafic réseau le moins élevé. Paramètre par défaut. Ces mises à jour ont été testées de manière approfondie en interne et seront bientôt disponibles pour le public. Lorsque vous activez les mises à jour de version bêta, vous bénéficiez des mises à jour les plus récentes des modules ESMC Server. Les mises à jour de version bêta peuvent permettre de résoudre dans certains cas un problème lié à ESMC Server. Elles peuvent toutefois ne pas être suffisamment stables à tout moment. Elles ne doivent donc pas être utilisées sur les serveurs de production qui demandent une disponibilité et une stabilité maximales. Les mises à jour de version bêta ne sont disponibles que lorsque SÉLECTION AUTOMATIQUE est définie dans le paramètre Serveur de mise à jour. Cette option permet la mise à jour depuis des serveurs de mise à jour spéciaux qui fournissent des mises à jour avec un délai de plusieurs heures (par ex., bases de données testées dans un environnement réel et considérées comme stables). Ces serveurs sont à l'opposé des serveurs de version bêta. Les mises à jour retardées limitent le risque des problèmes rencontrés pendant les mises à jour. Elles peuvent toutefois avoir un impact négatif lorsque des mises à jour critiques des composants ESMC Server doivent être rapidement distribuées via le mécanisme de mise à jour. Les mises à jour retardées des modules ESMC Server ne sont disponibles que lorsque SÉLECTION AUTOMATIQUE est définie dans le paramètre Serveur de mise à jour. Paramètres avancés Proxy HTTP : utilisez un serveur proxy pour faciliter le trafic Internet vers les clients de votre réseau. Si vous installez ESMC à l'aide du programme d'installation tout-en-un, le proxy HTTP est activé par défaut. Les paramètres du proxy HTTP ne sont pas appliqués pour les communications avec les serveurs d'authentification sécurisée (authentification à 2 facteurs). Appel de mise en éveil : ESMC Server peut exécuter une réplication instantanée d'ESET Management Agent sur un ordinateur client via EPNS. Cela est utile lorsque vous ne voulez pas attendre l'intervalle habituel au cours duquel ESET Management Agent se connecte à ESMC Server. Par exemple, lorsque vous voulez qu'une Tâche client s'exécute immédiatement sur un client ou si vous voulez qu'une Politique soit appliquée immédiatement. Wake on LAN : configurez des adresses de multidiffusion si vous souhaitez envoyer des appels Wake on LAN vers un ou plusieurs adresses IP. Serveur SMTP : utilisez un serveur SMTP pour permettre à ESMC Server d'envoyer des messages électroniques (des notifications ou des rapports, par exemple). Indiquez les détails du serveur SMTP. Active Directory : vous pouvez prédéfinir les configurations Active Directory. ESMC utilise vos informations d'identification par défaut dans les tâches de synchronisation Active Directory (synchronisation des utilisateurs, synchronisation des groupes statiques, synchronisation des groupes de sécurité de domaine). Lorsque les champs associés sont laissés vides dans la configuration de la tâche, ESMC utilise les informations d'identification prédéfinies. • Hôte : adresse du contrôleur de domaine. • Nom d'utilisateur : Saisissez le nom d'utilisateur pour votre contrôleur de domaine au format suivant : oDOMAIN\username (ESMC Server s'exécutant sous Windows) ousername@FULL.DOMAIN.NAME ou username (ESMC Server s'exécutant sous Linux) IMPORTANT Veillez à saisir le domaine en majuscules ; cette mise en forme est nécessaire pour authentifier correctement les requêtes sur un serveur Active Directory. • Mot de passe : phrase secrète pour votre nom d'utilisateur. • Conteneur racine : saisissez l'identifiant complet d'un conteneur AD, par exemple : CN=John,CN=Users,DC=Corp. Il sert de Nom unique prédéfini. Il est recommandé de copier et coller cette valeur à partir d'une tâche serveur pour vous assurer que vous avez la valeur correcte (copiez la valeur à partir du champ Nom unique après sélection). 274 Serveur Syslog : vous pouvez utiliser ESMC pour envoyer les notifications et les messages d'événement à votre serveur Syslog. Il est également possible d'exporter les journaux à partir du produit ESET d'un client et de les envoyer au serveur Syslog. Groupes statiques : permet le couplage automatique des ordinateurs détectés avec les ordinateurs déjà présents dans les groupes statiques. Le couplage fonctionne à partir du nom d'hôte signalé par ESET Management Agent et doit être désactivé s'il n'est pas approuvé. Si le couplage échoue, l'ordinateur est placé dans le groupe Perdu et trouvé. Référentiel : emplacement du référentiel dans lequel sont stockés tous les fichiers d’installation. IMPORTANT • Le répertoire ESET par défaut est défini sur SÉLECTION AUTOMATIQUE (il pointe vers : http://repository.eset.com/v1). Il détermine automatiquement le serveur de répertoire avec la meilleure connexion en fonction de l'emplacement géographique (adresse IP) d'ESMC Server (à l'aide du réseau de distribution du contenu). Par conséquent, il n'est pas nécessaire de modifier les configurations du répertoire. • Vous pouvez éventuellement définir un répertoire utilisant uniquement les serveurs ESET : http://repositorynocdn.eset.com/v1 • N'utilisez jamais d'adresse IP pour accéder au répertoire ESET. • Il est possible de créer et d'utiliser un référentiel hors ligne. Diagnostics : active ou désactive l'envoi des statistiques des rapports de défaillance anonymes à ESET pour l'amélioration de l'expérience client. Journalisation : définissez le détail de journal qui détermine le niveau d’informations collectées et journalisées, de Trace (informations) à Fatal (informations critiques les plus importantes). Les derniers fichiers journaux d'ESMC Server se trouvent à cet emplacement : • Windows : C:\ProgramData\ESET\RemoteAdministrator\Server\EraServerApplicationData\Logs • Linux : /var/log/eset/RemoteAdministrator/Server/ Vous pouvez configurer l'exportation des journaux vers Syslog ici. Nettoyage de base de données : pour éviter toute surcharge d'une base de données, vous pouvez utiliser cette option pour nettoyer régulièrement les journaux. Le nettoyage de base de données supprime les types de journaux suivants : Journaux SysInspector, journaux des diagnostics, journaux n'étant plus collectés (journaux des appareils supprimés et des modèles de rapport supprimés). Par défaut, le nettoyage de base de données s'effectue toutes les nuits, à minuit. Les modifications apportées à ce paramètre sont prises en compte après le prochain nettoyage. Vous pouvez définir l'intervalle de nettoyage pour les types de journaux suivants : Type de journal 275 Exemple de type de journal Journaux des incidents Journaux des menaces dont le niveau de gravité est élevé. Consultez la liste des journaux. Journaux des incidents ActiveThreats BlockedFiles EESEvent_ EnterpriseInspectorAlert Firewall_ FirewallAgregated Functionality_Computer Functionality_ProblemsDetails Functionality_Product Functionality_Products Hips_ Quarantine_UploadedFile Scan Spam_ SubmittedFiles SysInspector_SysInspector Threat ThreatsFlag ThreatsMute ThreatsMute2 WebControl_Link 276 Journaux d'administration Données sur la qualité de service. Consultez la liste des journaux. Journaux d'administration AppliedPoliciesList Apps_Installed Computer_Connected Computer_Lost ComputerCloningTicketCreated ComputerIdentityRecovered DeviceLocation_GPS DynamicGroups_Content DynamicGroupsMembership EnrollmentTokenGenerated EnrollmentTokenRevoked ExportedConfiguration Identifiers_List LocalUserEnrolled LocalUserEnrollmentFailed Managed_Products_Partial Network_IpAddresses Network_IpDnsServers Network_IpGateways Network_IpWinsServers NewComputerEnrolled OSInformation_Edition Performance_Server PowerSupply_Indicator Qos_Database Qos_Network Repository_Agent Repository_Epi Repository_Server Repository_Software ServerSeatChanged Storage_Capacity Storage_List Task_Client Task_Client_Trigger_Notification ThreatsMuteEIToERA ThreatsMuteERAToEI Journaux d'audit Rapports sur les journaux d'audit. Consultez la liste des journaux. Journaux d'audit Audit 277 Journaux de supervision Journaux du filtrage Web, Journaux du contrôle des appareils, Journaux HIPS avec un faible niveau de gravité. Consultez la liste des journaux. Journaux de supervision DeviceControl_Device FilteredWebsites HipsAgregated LoggedUsers_List WebControlAgregated Les journaux de diagnostic sont nettoyés tous les jours. L'utilisateur ne peut pas changer l'intervalle de nettoyage. Consultez la liste des journaux. Journaux de diagnostic Diagnostics_DeviceControl_Device Diagnostics_DiagnosticZip Diagnostics_Firewall Diagnostics_Hips Diagnostics_Spam Diagnostics_WebControl_Link Performance_DiskIO Performance_Machine Performance_Memory Performance_NetworkIO Performance_Processor Performance_User IMPORTANT Pendant le nettoyage de la base de données, les éléments de la section Menaces correspondant aux journaux des incidents nettoyés sont également supprimés (quel que soit l'état de la menace). Par défaut, la période de nettoyage pour les journaux des incidents (et des menaces) est définie sur 6 mois. Vous pouvez modifier l'intervalle dans les paramètres du serveur. Personnalisation Personnaliser l'IU : il est possible d'ajouter un logo personnalisé à ESMC Web Console et les rapports générés via une tâche serveur. • Aucun : conception de base, aucun logo personnalisé. • Co-marketing : permet d'ajouter un logo personnalisé à la console Web et dans le pied de page des rapports. • Marque blanche : permet d'ajouter un logo personnalisé à la console Web et dans le pied de page ou l'entête des rapports. Logo de l'entreprise • Logo sur un arrière-plan foncé (en-tête de la console Web) : ce logo est affiché dans le coin supérieur gauche de la console Web. • Logo sur un arrière-plan clair : ce logo est affiché dans l'en-tête (pour les titulaires de licence MSP) ou dans le pied de page (paramètre de co-marketing) des rapports générés par le biais d'une tâche serveur. 278 Cliquez sur pour sélectionner un logo. Cliquez sur pour supprimer le logo actuel. pour télécharger le logo actuel. Cliquez sur Rapports : si cette option est activée, vous pouvez ajouter du texte dans le champ Texte de pied de page de rapport. Ce texte sera ajouté dans le coin inférieur droit des rapports générés au format PDF. IMPORTANT Il n'est pas possible d'utiliser un logo personnalisé avec du texte de pied de page personnalisé. Le logo a la même position que le texte du pied de page. Si un logo et un pied de page sont utilisés ensemble, seul le logo sera visible. Lorsque le paramètre Marque blanche est utilisé, le logo personnalisé apparaît dans le coin supérieur gauche du rapport. Un logo ESET plus petit est placé dans le coin inférieur droit à la place du texte du pied de page. Sécurité renforcée Activez la sécurité renforcée pour activer ce paramètre pour les communications réseau des composants de ESMC. La sécurité renforcée comprend ces fonctionnalités : • Les certificats nouvellement créés et les autorités de certification utilisent SHA-256 (au lieu de SHA-1). Pour appliquer la sécurité avancée dans l'infrastructure ESMC existante, vous devez remplacer les certificats existants. • ESMC Server utilise le dernier protocole TLS (TLS 1.2) pour les communications avec les Agents. • La sécurité renforcée requiert l'utilisation de TLS 1.2 pour les communications SMTP et Syslog. IMPORTANT • Lorsque vous activez la sécurité renforcée, vous devez redémarrer ESMC Server pour commencer à utiliser cette fonctionnalité. • La sécurité renforcée ne s'applique pas aux autorités de certification et aux certificats déjà existants. Elle s'applique uniquement à ces derniers lorsqu'elle est activée. Exigences minimales en matière de compatibilité : • Windows : Windows XP et versions ultérieures et Windows Server 2003 et versions ultérieures. REMARQUE ESET Management Agent 7 contient son propre module SSL qui permet l'utilisation de TLS 1.2 même avec des systèmes d'exploitation plus anciens (Windows XP et Windows Server 2003). • Linux: Ubuntu 12.04 et versions ultérieures, RHEL/CentOS 6 et versions ultérieures, Debian 7.0 et versions ultérieures. IMPORTANT La version minimale d'openSSL prise en charge pour Linux est openssl-1.0.1e-30. OpenSSL 1.1.* et les versions ultérieures ne sont pas prises en charge. Vous pouvez vérifier si le client Linux est compatible à l'aide de la commande suivante : openssl s_client -connect google.com:443 -tls1_2 • OS X 10.9 et versions ultérieures. Comment activer et appliquer la sécurité renforcée sur le réseau Avant d'activer cette fonctionnalité, vérifiez que tous vos ordinateurs clients peuvent communiquer via TLS 1.2 (voir la remarque ci-dessus). La procédure implique deux redémarrages du service ESMC Server. Suivez cette procédure pour activer et appliquer la sécurité renforcée : 1. Accédez à Autres > Paramètres du serveur, puis cliquez sur le curseur en regard de l'option Sécurité renforcée r (nécessite un redémarrage de l’ordinateur). 279 2. Cliquez sur Enregistrer pour appliquer le paramètre. 3. Fermez la console et redémarrez le service ESMC Server. 4. Patientez quelques minutes après le démarrage du service et connectez-vous à la console Web. 5. Vérifiez que tous les ordinateurs peuvent toujours se connecter et qu'aucun autre problème ne s'est produit. 6. Accédez à Autres > Autorités de certification > Nouveau et créez une autorité de certification. La nouvelle autorité de certification sera automatiquement envoyée à tous les ordinateurs clients lors de la prochaine connexion Agent/serveur. 7. Créez des certificats homologues signés par cette nouvelle autorité de certification. Créez un certificat pour l'agent et pour le serveur (vous pouvez le sélectionner dans le menu déroulant Produit de l'assistant). 8. Remplacez votre certificat ESMC Server actuel par le nouveau. 9. Créez une politique ESET Management Agent pour configurer les Agents afin qu'ils utilisent le nouveau certificat d'Agent. a.Dans la section Connexion, cliquez sur Certificat > Ouvrir la liste des certificats et sélectionnez le nouveau certificat homologue. b.Attribuez la politique aux ordinateurs sur lesquels vous souhaitez utiliser la sécurité renforcée. c.Cliquez sur Terminer. 10. Lorsque tous les périphériques se connectent avec le nouveau certificat, vous pouvez supprimer votre ancienne autorité de certification et révoquer les anciens certificats. IMPORTANT Ne supprimez pas votre ancienne autorité de certification ou ne révoquez pas les anciens certificats si vous n'avez appliqué la sécurité renforcée que sur certains ordinateurs clients connectés (et pas tous). Sécurité renforcée sur les systèmes sur lesquels MDM est installé Cette configuration a uniquement une incidence sur les communications entre ESMC Server and MDM Server. Il n'y aura aucun impact sur les communications entre MDM Server et les périphériques mobiles. Pour appliquer la sécurité renforcée au composant MDM, créez des certificats MDM et de proxy signés par la nouvelle autorité de certification et attribuez-les via une politique au serveur MDM comme suit : • Politique du Connecteur de périphérique mobile ESET > Général > Certificat HTTPS. Importez le nouveau certificat MDM. . • Politique d'ESET Mobile Device Connector > Connexion > Certificat = Certificat du proxy. Serveur SMTP ESET Security Management Center peut envoyer automatiquement des rapports et des notifications par courrier électronique. Activez Utiliser un serveur SMTP, accédez à Autre > Paramètres du serveur > Paramètres avancés > Serveur SMTP, puis indiquez les informations suivantes : • Hôte : nom d'hôte ou adresse IP du serveur SMTP. • Port : SMTP utilise le port 25 par défaut. Vous pouvez toutefois le modifier si le serveur SMTP utilise un autre port. • Nom d'utilisateur : si le serveur SMTP requiert une authentification, indiquez le nom du compte d'utilisateur SMTP (n'incluez pas le domaine). • Mot de passe : mot de passe associé au compte d'utilisateur SMTP. • Type de sécurité de connexion : Spécifiez le type de connexion. La valeur par défaut est Non sécurisé. Si le serveur SMTP autorise des connexions sécurisées, sélectionnez TLS ou STARTTLS. Si vous souhaitez renforcer la sécurité de vos connexions, utilisez une extension STARTTLS ou SSL/TLS qui a recours à un port distinct pour les communications chiffrées. 280 • Type d'authentification : la valeur par défaut est Aucune authentification. Vous pouvez toutefois sélectionner un type d'authentification adéquat dans la liste déroulante (par exemple Connexion, CRAM-MD5, CRAM-SHA1, SCRAM-SHA1, NTLM ou Automatique). • Adresse de l'expéditeur : spécifiez l'adresse de l'expéditeur qui apparaît dans l'en-tête des notifications (De :). • Serveur SMTP de test : permet de s'assurer que les paramètres SMTP sont corrects. Cliquez sur le bouton Envoyer un courrier de test. Une fenêtre contextuelle s'ouvre. Le message électronique de test est envoyé à cette adresse via le serveur SMTP. Vérifiez la présence du message de test dans la boîte aux lettres du destinataire. Coupler automatiquement les ordinateurs détectés S'il existe plusieurs instances d'un même ordinateur dans ESMC (si ESET Management Agent a été réinstallé sur un ordinateur client déjà administré, par exemple), la fonctionnalité Coupler automatiquement les ordinateurs détectés gère cette situation et couple ces instances en une seule instance. Ainsi, une vérification manuelle et le tri des ordinateurs détectés ne sont plus nécessaires. Le couplage fonctionne sur le nom d'hôte signalé par ESET Management Agent. Si celui-ci n'est pas approuvé, il est recommandé de désactiver l'option Coupler automatiquement les ordinateurs détectés. Si le couplage échoue, un ordinateur est placé dans le groupe Perdu et trouvé. L'idée est que dès qu'ESET Management Agent est réinstallé sur un ordinateur déjà administré, celui-ci est automatiquement couplé et placé correctement dans ESMC sans votre intervention. Le nouvel ESET Management Agent obtient aussi immédiatement ses politiques et tâches. • Lorsque l'option est désactivée, les ordinateurs qui doivent être placés dans le groupe Perdu et trouvé sont couplés avec le premier ordinateur non administré détecté (espace réservé, icône en forme de cercle) qui se trouve n'importe où dans l'arborescence ESMC. S'il n'existe aucun espace réservé doté du même nom, l'ordinateur est placé dans le groupe Perdu et trouvé. • Lorsque l'option est activée (par défaut), les ordinateurs qui doivent être placés dans le groupe Perdu et trouvé sont couplés avec le premier ordinateur non administré détecté (espace réservé, icône en forme de cercle) qui se trouve n'importe où dans l'arborescence ESMC. S'il n'existe aucun espace réservé doté du même nom, l'ordinateur est couplé avec le premier ordinateur administré détecté (alerte ou icône en forme de coche) qui se trouve n'importe où dans l'arborescence ESMC. Si ce couplage échoue, l'ordinateur est placé dans le groupe Perdu et trouvé. REMARQUE Si vous ne souhaitez pas utiliser le couplage automatique, désactivez-le. Vous pouvez toujours vérifier et trier les ordinateurs manuellement. Serveur Syslog Si votre réseau comprend un serveur Syslog, vous pouvez configurer ESMC Server pour envoyer des Notifications à votre serveur Syslog. Vous pouvez également activer Exporter les journaux vers Syslog pour recevoir certains événements (événement de menace, événement agrégé de pare-feu, événement agrégé HIPS, etc.) des ordinateurs clients exécutant ESET Endpoint Security, par exemple. Pour activer le serveur Syslog : 1. Accédez à Autres > Paramètres du serveur > Paramètres avancés. > Serveur Syslog, puis utilisez le curseur en regard de l'option Utiliser le serveur Syslog. 2. Spécifiez les paramètres obligatoires suivants : a.Hôte (adresse IP ou nom d'hôte de la destination des messages Syslog) b.Numéro de port (la valeur par défaut est 514). c.Format du journal : BSD (spécifications), Syslog (spécifications) d.Protocole de transport pour l'envoi des messages à Syslog (UDP, TCP ou TLS) Une fois les modifications apportées, cliquez sur Enregistrer. 281 REMARQUE Des écritures sont effectuées en permanence dans le fichier journal d'application standard. Syslog ne sert que de support pour l'exportation de certains événements asynchrones, tels que des notifications ou divers événements d'ordinateur client. Exporter les journaux vers Syslog ESET Security Management Center peut exporter certains journaux/événements et les envoyer ensuite à votre serveur Syslog. Les événements des catégories de journaux suivantes sont exportés vers le serveur Syslog : Menace, Pare-feu, HIPS, Audit et Entreprise Inspector. Des événements sont générés sur un ordinateur client administré exécutant un produit ESET (par exemple ESET Endpoint Security). Ces événements peuvent être traités par toute solution SIEM (Security Information and Event Management) capable d'importer des événements à partir d'un serveur Syslog. Les événements sont écrits sur le serveur Syslog par ESET Security Management Center. 1. Pour activer le serveur Syslog, accédez à Autres > Paramètres du serveur > Paramètres avancés > Serveur Syslog > Utiliser le serveur Syslog. 2. Pour activer l'exportation, accédez à Autres > Paramètres du serveur > Paramètres avancés > Journalisation > Exporter les journaux vers Syslog. 3. Choisissez l'un des formats suivants pour les messages d'événement : a.JSON (JavaScript Object Notation) b.LEEF (Log Event Extended Format) : format utilisé par l'application QRadar d'IBM Événements exportés au format LEEF Le format LEEF est un format d'événement personnalisé pour IBM® Security QRadar®. Les événements comportent des attributs standard et personnalisés. ESMC utilise certains des attributs standard décrits dans la documentation officielle d'IBM. Les attributs personnalisés sont les mêmes que dans le format JSON. Il existe cinq catégories d'événements : • Menace • Pare-feu • HIPS • Audit 282 • Alertes Enterprise Inspector REMARQUE Vous trouverez des informations supplémentaires sur le format Log Event Extended Format (LEEF) sur le site Web officiel d'IBM. Événements exportés au format JSON JSON est un format léger pour l'échange de données. Il repose sur un groupe de paires nom/valeur et une liste classée de valeurs. Événements exportés Cette section contient des détails sur le format et la signification des attributs de tous les événements exportés. Le message d'événement prend la forme d'un objet JSON avec quelques clés obligatoires et facultatives. Chaque événement exporté contiendra la clé suivante : event_type string Type d'événements exportés : Threat_Event, FirewallAggregated_Event, HipsAggregated_Event. ipv4 string facultatif Adresse IPv4 de l'ordinateur générant l'événement. ipv6 string facultatif Adresse IPv6 de l'ordinateur générant l'événement. source_uuid string UUID de l'ordinateur générant l'événement. occurred string Heure UTC d'occurrence de l'événement. Le format est %d-%b-%Y %H:%M:%S severity string Gravité de l'événement. Les valeurs possibles (du moins grave au plus grave) sont les suivantes : Information Notice Warning Error CriticalFatal Clés personnalisées selon event_type : 1. ThreatEvent Tous les événements de menace générés par des points de terminaison gérés seront transférés à Syslog. Clé spécifique à un événement de menace : threat_type string facultatif Type de menace threat_name string facultatif Nom de la menace threat_flags string facultatif Indicateurs liés à des menaces scanner_id string facultatif ID d'analyseur scan_id string facultatif ID d'analyse engine_version string facultatif Version du moteur d'analyse object_type string facultatif Type d'objet lié à cet événement object_uri string facultatif URI de l'objet action_taken string facultatif Action prise par le point de terminaison action_error string facultatif Message d'erreur en cas d'échec de « l'action » threat_handled bool facultatif Indique si la menace a été gérée ou non need_restart bool facultatif Indique si un redémarrage est nécessaire ou non username string facultatif Nom du compte utilisateur associé à l'événement processname string facultatif Nom du processus associé à l'événement circumstances string facultatif Brève description de la cause de l'événement hash string facultatif Hachage SHA1 du flux de données (menace). 283 threat_type firstseen string facultatif Type de menace string facultatif Date et heure auxquelles la menace a été détectée pour la première fois sur cette machine. ESMC utilise des formats date-heure différents pour l'attribut firstseen (et tout autre attribut date-heure) selon le format de sortie du journal (JSON ou LEEF) : • JSON format: "%d-%b-%Y %H:%M:%S" • LEEF format: "%b %d %Y %H:%M:%S" 2. FirewallAggregated_Event Les journaux d'événements générés par le pare-feu personnel d'ESET sont agrégés par le gestionnaire ESET Management Agent pour éviter le gaspillage de bande passante pendant la réplication d'ESET Management Agent/ESMC Server. Clé spécifique à un événement de pare-feu : event string facultatif Nom de l'événement source_address string facultatif Adresse de la source de l'événement source_address_type string facultatif Type d'adresse de la source de l'événement source_port number facultatif Port de la source de l'événement target_address string facultatif Adresse de la destination de l'événement target_address_type string facultatif Type d'adresse de la destination de l'événement target_port number facultatif Port de la destination de l'événement protocol string facultatif Protocole account string facultatif Nom du compte utilisateur associé à l'événement process_name string facultatif Nom du processus associé à l'événement rule_name string facultatif Nom de la règle rule_id string facultatif ID de règle inbound bool facultatif Indique si la connexion était entrante ou non threat_name string facultatif Nom de la menace aggregate_count number facultatif Le nombre de messages identiques qui ont été générés par le terminal entre deux reproductions consécutives entre ESMC Server et le gestionnaire ESET Management Agent. 3. HIPSAggregated_Event Les événements du système HIPS (Host-based Intrusion Prevention System) sont filtrés sur la gravité avant d'être transmis plus avant en tant que messages Syslog. Seuls les événements dont les niveau de gravité sont Error, Critical et Fatal sont envoyés à Syslog. Les attributs spécifiques à HIPS sont les suivants : application string facultatif Nom de l'application operation string facultatif Opération target string facultatif Cible action string facultatif Action rule_name string facultatif Nom de la règle rule_id string facultatif ID de règle aggregate_count number facultatif Le nombre de messages identiques qui ont été générés par le terminal entre deux reproductions consécutives entre ESMC Server et le gestionnaire ESET Management Agent. 4. Événement d'audit ESMC transfère les messages du journal d'audit interne du serveur à Syslog. Les attributs spécifiques sont les suivants : domain string facultatif Domaine du journal d'audit action string facultatif Action exécutée target string facultatif L'action cible est effectuée sur detail string facultatif Description détaillée de l'action 284 domain string facultatif Domaine du journal d'audit user string facultatif Utilisateur de sécurité impliqué result string facultatif Résultat de l'action 5. Événement d'alerte Enterprise Inspector ESMC transfère les alertes d'ESET Enterprise Inspector à Syslog. Les attributs spécifiques sont les suivants : processname string facultatif Nom du processus entraînant cette alerte username string facultatif Détenteur du processus rulename string facultatif Nom de la règle Enterprise Inspector déclenchant cette alerte count number facultatif Nombre d'alertes de ce type générées depuis la dernière alerte Déclencheurs et limitation Les déclencheurs sont essentiellement des capteurs qui réagissent à certains événements d'une manière prédéfinie. Ils sont utilisés pour exécuter la tâche serveur qui leur est attribuée. Ils peuvent être activés par le planificateur (événements temporels) ou lorsqu'un événement système spécifique se produit. IMPORTANT Il n'est pas possible de réutiliser un déclencheur. Chaque tâche serveur doit être déclenchée par un déclencheur distinct, et chaque déclencheur ne peut exécuter qu'une seule tâche serveur. Chaque déclencheur ne peut exécuter qu'une seule tâche serveur. Le déclencheur n'exécute pas de nouvelles tâches assignées immédiatement. Les tâches sont exécutées aussitôt que le déclencheur est activé. La sensibilité d'un déclencheur face aux événements peut être réduite à l'aide d'une limitation. Types de déclencheurs serveur : Planifié • Planifié une fois : ce déclencheur est appelé une fois aux date et heure planifiées. Il peut être retardé par un intervalle aléatoire. • Quotidiennement : ce déclencheur est appelé chaque jour sélectionné. Vous pouvez définir le début et la fin de l'intervalle. Par exemple, vous pouvez exécuter une tâche serveur pendant dix week-ends consécutifs. • Chaque semaine : ce déclencheur est appelé le jour sélectionné de la semaine. Par exemple, exécuter la tâche Serveur tous les lundi et vendredi entre le 1er juillet et le 31 août. • Mensuel : ce déclencheur est appelé les jours sélectionnés de la semaine définie dans le mois, pendant la période sélectionnée. La valeur de l'option Répéter définit le jour du mois (le deuxième lundi, par exemple) pendant lequel la tâche doit s'exécuter. • Annuel : ce déclencheur est appelé une fois par an (ou pendant plusieurs années, en fonction de la configuration) à la date de début spécifiée. REMARQUE Un intervalle de délai aléatoire peut être défini pour les déclencheurs planifiés. Il définit le délai maximal d'exécution de la tâche. Le caractère aléatoire peut empêcher une surcharge du serveur. EXEMPLE Si John définit qu'une tâche serveur doit être déclenchée le lundi de chaque semaine, à partir du 10 février 2017 à 8:00:00, avec un intervalle de délai aléatoire d'une heure, et qu'elle doit se terminer le 6 avril 2017 à 00:00:00, la tâche s'exécutera avec un délai aléatoire d'une heure entre 8:00 et 9:00, tous les lundis, jusqu'à la date de fin spécifiée. Groupe dynamique • Membres du groupe dynamique modifiés : ce déclencheur est appelé lorsque le contenu d'un groupe dynamique change, lorsque des clients rejoignent ou quittent un groupe dynamique spécifique, par exemple. Par exemple, si des clients joignent ou quittent un groupe dynamique spécifié. • Modification de la taille d'un groupe dynamique selon un seuil - Ce déclencheur est invoqué lorsque 285 le nombre de clients dans un groupe dynamique devient plus élevé ou plus bas que le seuil spécifié. Par exemple, si plus de 100 ordinateurs se trouvent dansun groupe donné. • Taille du groupe dynamique modifiée pendant la période : ce déclencheur est appelé lorsque le nombre de clients d'un groupe dynamique change pendant une période définie, par exemple, si le nombre d'ordinateurs d'un groupe donné augmente de 10 % en une heure. Par exemple, si le nombre d'ordinateurs dans un groupe donné augmente de 10 % dans un délai d'une heure. • Modification de la taille d'un groupe dynamique selon un groupe comparé - Ce déclencheur est invoqué lorsque le nombre de clients dans un groupe dynamique observé est modifié selon un groupe comparé (statique ou dynamique). Par exemple, si plus de 10 % de tous les ordinateurs sont infectés (le groupe Tous comparativement au groupe Infecté). Autre • Serveur démarré : ce déclencheur est appelé lorsque le serveur démarre. Il est par exemple utilisé pour la tâche Synchronisation des groupes statiques. • Déclencheur du journal des événements - Ce déclencheur est invoqué lorsqu'un événement précis se produit dans les journaux. Par exemple, si une menace est détectée dans le journal d'analyse. Ce type de déclencheur propose un ensemble de paramètres spéciaux dans les paramètres de la limitation. • Expression CRON : ce déclencheur est appelé à une date et une heure spécifiques. Un déclencheur planifié exécute la tâche selon des paramètres de date et d'heure. Les tâches peuvent être planifiées pour s'exécuter une seule fois, de manière récurrente ou selon une expression CRON. Intervalle d'expression CRON Une expression CRON sert à configurer des instances spécifiques d'un déclencheur. Elle est principalement utilisée pour des déclenchements répétitifs planifiés. Il s'agit d'une chaîne composée de 6 ou 7 champs qui représentent les valeurs distinctes de la planification. Ces champs sont séparés par un espace. Ils contiennent les valeurs autorisées dans des combinaisons variées. Une expression CRON peut être aussi simple que celle-ci : * * * * ? * ou plus complexe, comme celle-ci : 0/5 14,18,3-39,52 * ? JAN,MAR,SEP MON-FRI 2012-2020 Voici la liste des valeurs que vous pouvez utiliser dans une expression CRON : Nom Requis Valeur Caractères spéciaux autorisés Secondes Oui 0-59 ,-*/R Minutes Oui 0-59 ,-*/R Heures Oui 0-23 ,-*/R Jour du mois Oui 1-31 ,-*/?LW Mois Oui 1 à 12 ou JAN-DEC , - */ Jour de la semaine Oui 0 à 6 ou SUN-SAT , - / ? L # Année Oui 1970-2099 ,-*/ La syntaxe d'une expression CRON est la suivante : 286 ┌────────── Secondes (0 à 59)│ ┌────────── Minutes (0 à 59)│ │ ┌────────── Heures (0 à 23)│ │ │ ┌────────── Jour du mois (1 à 31)│ │ │ │ ┌────────── Mois (1 à 12 ou JAN-DEC)│ │ │ │ │ ┌────────── Jour de la semaine (0 à 6 ou SUN-SAT)(par exemple, 0 est identique à SUN)│ │ │ │ │ │ ┌────────── Année│ │ │ │ │ │ │* * * * * ? * • 0 0 0 signifie minuit (secondes, minutes, heures). • Utilisez le caractère ? lorsqu'une valeur ne peut pas être définie car elle a été définie dans un autre champ (jour du mois ou jours de la semaine). • Le caractère * signifie toutes les/tous les (secondes, minutes, heures, jour du mois, mois, jour de la semaine, année). • SUN signifie le dimanche. REMARQUE Le nom des mois et des jours de la semaine ne respecte pas la casse. Par exemple, MON équivaut à mon ou JAN équivaut à jan. Caractères spéciaux : Virgule (,) Les virgules servent à séparer des éléments dans une liste. Par exemple, l'utilisation de MON,WED,FRI dans le sixième champ (jour de la semaine) signifie les lundis, mercredis et vendredis. Tiret (-) Définit des plages. Par exemple, 2012-2020 signifie chaque année entre 2012 et 2020, inclusif. Caractère générique (*) Utilisé pour sélectionner toutes les valeurs possibles dans un champ. Par exemple, le caractère générique * dans le champ des minutes signifie toutes les minutes. Le caractère générique * ne peut pas être utilisé dans le champ des jours de la semaine. Point d'interrogation (?) Lorsque vous sélectionnez un jour spécifique, vous pouvez indiquer un jour du mois ou un jour de la semaine. Vous ne pouvez pas spécifier les deux. Si vous indiquez un jour du mois, vous devez utiliser le caractère ? pour le jour de la semaine, et inversement. Par exemple, si vous souhaitez que le déclencheur soit déclenché un jour du mois spécifique (le 10, par exemple) et si le jour de la semaine vous importe peu, indiquez 10 dans le champ des jours du mois et placez le caractère ? dans le champ des jours de la semaine. Dièse (#) Utilisé pour spécifier le énième jour du mois. Par exemple, la valeur 4#3 dans le champ des jours de la semaine signifie le troisième jeudi du mois (jour 4 = jeudi et #3 = le troisième jeudi du mois). Si vous spécifiez #5 et s'il n'existe pas de 5ème jour donné de la semaine dans le mois, le déclencheur ne se déclenche pas ce mois. 287 Barre oblique (/) Décrit les incréments d'une plage. Par exemple, la valeur 3-59/15 dans le deuxième champ (minutes) indique la troisième minute de l'heure et toutes les 15 minutes par la suite. Dernier (Last) (L) Lorsque le caractère L est utilisé dans le champ des jours de la semaine, il permet de spécifier des constructions comme le dernier vendredi (5L) d'un mois donné. Dans le champ Jour du mois, il indique le dernier jour du mois. Par exemple, le 31 pour janvier, le 28 pour février pour les années non bissextiles. Jour de la semaine (Weekday) (W) Le caractère W est autorisé dans le champ des jours du mois. Ce caractère sert à spécifier le jour (lundi à vendredi) le plus proche de la date donnée. Par exemple, si vous indiquez 15W comme valeur dans le champ des jours du mois, vous spécifiez le jour le plus proche du 15 du mois. Si le 15 du mois correspond à un samedi, le déclencheur se déclenche le vendredi 14. Si le 15 correspond à un dimanche, le déclencheur se déclenche le lundi 16. Toutefois, si vous spécifiez 1W comme valeur du champ des jours du mois et si le 1er jour du mois correspond à un samedi, le déclencheur se déclenche le lundi 3, car il ne dépasse pas la limite des jours d'un mois. REMARQUE Les caractères L et W peuvent être également combinés dans le champ des jours du mois pour donner LW, c'està-dire le dernier jour de la semaine du mois. Aléatoire (Random) (R) Le caractère R est un caractère d'expression CRON ERA spécial qui permet de spécifier des moments aléatoires. Par exemple, le déclencheur R 0 0 * * ? * se déclenche tous les jours à 00:00 et des secondes aléatoires (0 à 59). IMPORTANT Il est recommandé d'utiliser des moments aléatoires pour empêcher la connexion simultanée de tous les ESET Management Agent à ESMC Server. Voici des exemples réels qui illustrent quelques variantes des expressions CRON : Expression CRON 0 0 12 * * ? * R00**?* R R R 15W * ? * Signification Déclenchement à 12:00 (midi) tous les jours. Déclenchement à 00:00 et des secondes aléatoires (0 à 59) tous les jours. Déclenchement le 15 de chaque mois à une heure aléatoire (secondes, minutes, heures). Si le 15 d'un mois correspond à un samedi, le déclencheur se déclenche le vendredi 14. Si le 15 correspond à un dimanche, le déclencheur se déclenche le lundi 16. 0 15 10 * * ? 2016 Déclenchement à 10:15 tous les jours pendant l'année 2016. 0 * 14 * * ? * Déclenchement toutes les minutes à partir de 14:00 et jusqu'à 14:59 tous les jours. 0 0/5 14 * * ? * Déclenchement toutes les 5 minutes à partir de 14:00 et jusqu'à 14:55 tous les jours. 0 0/5 14,18 * * ? * Déclenchement toutes les 5 minutes à partir de 14:00 jusqu'à 14:55 et déclenchement toutes les 5 minutes à partir de 18:00 et jusqu'à 18:55 tous les jours. 0 0-5 14 * * ? * Déclenchement toutes les minutes à partir de 14:00 et jusqu'à 14:59 tous les jours. 0 10,44 14 ? 3 WED * Déclenchement à 14:10 et 14:44 tous les mercredis du mois de mars. 0 15 10 ? * MON-FRI * Déclenchement à 10:15 tous les jours de la semaine (lundi, mardi, mercredi, jeudi et vendredi). 0 15 10 15 * ? * Déclenchement à 10:15 le 15ème jour de tous les mois. 0 15 10 ? * 5L * Déclenchement à 10:15 le dernier vendredi de tous les mois. 0 15 10 ? * 5L 2016-2020 Déclenchement à 10:15 tous les derniers vendredis de chaque mois de l'année 2016 à l'année 2020, inclusif. 0 15 10 ? * 5#3 * Déclenchement à 10:15 le 3ème vendredi de tous les mois. 00***?* Déclenchement toutes les heures, tous les jours. 288 Paramètres avancés — Limitation La limitation est utilisée pour limiter l'exécution d'une tâche. En règle générale, elle est employée lorsqu'une tâche est déclenchée par un événement se produisant fréquemment. Dans certains cas, une limitation peut empêcher le déclenchement d'un déclencheur. Chaque fois qu'un déclencheur est déclenché, il est évalué selon le schéma ciaprès. Seuls les déclencheurs qui remplissent les conditions spécifiées peuvent exécuter la tâche. Si aucune condition de limitation n'est définie, tous les événements de déclencheur exécutent la tâche. Time based criteria Condition 1 Condition 2 Trigger Throttling Task execution Statistical criteria Condition 1 Condition 2 Il existe trois types de conditions de limitation : 1. Critères temporels 2. Critères statistiques 3. Critères du journal des événements Pour qu'une tâche soit exécutée : • Elle doit remplir tous les types de conditions. • Les conditions doivent être définies. Si une condition est vide, elle est omise. • Toutes les conditions temporelles doivent être remplies, car elles sont évaluées avec l'opérateur ET. • Toutes les conditions statistiques évaluées avec l'opérateur ET doivent être remplies. Lorsque l'opérateur OU est utilisé, au moins une condition statistique doit être remplie. • Les conditions statistiques et temporelles définies ensemble doivent être remplies, car elles sont évaluées avec l'opérateur ET uniquement. La tâche est ensuite exécutée. Si aucune des conditions définies n'est remplie, les informations empilées sont réinitialisées pour tous les observateurs (le décompte redémarre de 0). Cela s'applique aux conditions temporelles et statistiques. Ces informations sont également réinitialisées si l'Agent ou ESMC Server est redémarré. Toutes les modifications 289 apportées à un déclencheur réinitialisent son état. Il est recommandé d'utiliser une seule condition statistique et plusieurs conditions temporelles. Plusieurs conditions statistiques peuvent représenter une complication inutile et modifier les résultats des déclencheurs. Présélection Trois présélections sont disponibles. Lorsque vous sélectionnez une présélection, les paramètres de limitation actuels sont effacés et remplacés par les valeurs de la présélection. Ces valeurs peuvent être modifiées et utilisées. Il n'est toutefois pas possible de créer une présélection. Critères temporels Période (T2) : permet un déclenchement pendant la période spécifiée. Si cette option est définie par exemple sur dix secondes et si dix appels ont lieu pendant cette période, seul le premier appel déclenche l'événement. Planning (T1) : permet le déclenchement uniquement pendant la période définie. Cliquez sur Ajouter une période pour afficher une fenêtre contextuelle. Définissez une durée de plage dans l'unité sélectionnée. Sélectionnez une option dans la liste Récurrence et renseignez les champs (qui changent selon la récurrence sélectionnée). Vous pouvez également définir la récurrence à l'aide d'une expression CRON. Cliquez sur OK pour enregistrer la plage. Vous pouvez ajouter plusieurs périodes à la liste. Elles seront triées par ordre chronologique. Toutes les conditions configurées doivent être remplies pour déclencher la tâche. Critères statistiques Condition : les conditions statistiques peuvent être combinées à l'aide de : • Envoyer une notification lorsque tous les critères statistiques sont remplis - ET l'opérateur logique est utilisé pour l'évaluation • Envoyer une notification lorsqu'au moins un critère statistique est rempli - OU l'opérateur logique est utilisé pour l'évaluation Nombre d'occurrences (S1) : permet d'autoriser uniquement chaque x cycle (accès). Si vous saisissez par exemple la valeur 10, seul chaque dixième cycle est comptabilisé. Nombre d’occurrences pendant une période donnée Nombre d’occurrences (S2) : permet le déclenchement uniquement pendant la période définie. Cela définira la fréquence minimale des événements pour déclencher la tâche. Par exemple, vous pouvez utiliser ce paramètre pour permettre l'exécution de la tâche si l'événement est détecté 10x en une heure. Le déclenchement du déclencheur entraîne une réinitialisation du compteur. Période : permet de définir la période pour l'option décrite ci-dessus. Une troisième condition statistique n'est disponible que pour certains types de déclencheurs. Voir : Déclencheur > Type de déclencheur > Déclencheur lié au Journal des événements. Critère du journal des événements Ce critère est évalué par ESMC en tant que troisième critère statistique (S3). L'opérateur Application des critères statistiques (ET / OU) est appliqué afin d'évaluer les trois conditions statistiques ensemble. Il est recommandé d'utiliser le critère du journal des événements avec la tâche Générer un rapport. Les trois champs sont obligatoires pour que le critère fonctionne. Le tampon des symboles est réinitialisé si le déclencheur est déclenché et si un symbole se trouve déjà dans le tampon. 290 Condition : définit les événements ou les ensembles d'événements qui déclencheront la condition. Les options disponibles sont les suivantes : • Reçues dans une ligne : le nombre spécifié d'événements doit se produire consécutivement. Ces événements doivent être uniques. • Reçues depuis la dernière exécution du déclencheur : la condition est déclenchée lorsque le nombre sélectionné d'événements uniques est atteint depuis la dernière exécution de la tâche. Nombre d'occurrences : saisissez le nombre d'événements uniques avec les symboles sélectionnés pour exécuter la tâche. Symbole : selon le type de journal qui est défini dans le menu Déclencheur, vous pouvez sélectionner un symbole dans le journal que vous pourrez ensuite rechercher. Cliquez sur Sélectionner pour afficher le menu. Vous pouvez supprimer le symbole sélectionné en cliquant sur Supprimer. REMARQUE Lorsqu'ils sont utilisés avec une tâche serveur, tous les ordinateurs clients sont pris en compte. Il est peu probable de recevoir un nombre plus élevé de symboles distincts de manière consécutive. Utilisez le paramètre Reçues dans une ligne uniquement dans des cas raisonnables. Une valeur manquante (N/D) est considérée comme non unique. Le tampon est donc réinitialisé à ce stade. Propriétés supplémentaires Comme indiqué ci-dessus, tous les événements n'entraînent pas le déclenchement d'un déclencheur. Les actions exécutées pour les événements non-déclencheurs peuvent être les suivantes : • Si plusieurs événements sont ignorés, les derniers N événements sont regroupés en un (stockage des données des cycles supprimés) [N <= 100] • Lorsque N == 0, seul le dernier événement est traité (N indique la durée de l'historique ; le dernier événement est toujours traité). • Tous les événements non déclencheurs sont fusionnés (fusion du dernier cycle avec N cycles historiques). Si le déclencheur se déclenche trop souvent ou si vous souhaitez être averti moins souvent, tenez compte des suggestions suivantes : • Si l'utilisateur souhaite réagir lorsque les événements sont plus nombreux (et pas en cas d'un seul événement), reportez-vous à la condition statistique S1. • Si le déclencheur doit se déclencher uniquement lorsqu'un groupe d'événements se produisent, reportezvous à la condition statistique S2. • Lorsque des événements avec des valeurs non souhaitées sont supposés être ignorés, reportez-vous à la condition statistique S3. • Lorsque des événements hors des heures pertinentes (les heures de travail, par exemple) doivent être ignorés, reportez-vous à la condition temporelle T1. • Pour définir une durée minimale entre deux déclenchements de déclencheur, utilisez la condition temporelle T2. REMARQUE Les conditions peuvent être également associées pour créer des scénarios de limitation plus complexes. Consultez les exemples de limitation pour plus d'informations. Exemples de limitation Les exemples de limitation expliquent comment les conditions de limitation (T1, T2, S1, S2, S3) sont combinées et évaluées. 291 REMARQUE « Cycle » signifie une impulsion du déclencheur. « T » représente les critères basés sur le temps et « S » désigne les critères statistiques. « S3 » désigne des critères du journal des événements. S1 : Critère pour les occurrences (autoriser toutes les 3 impulsions) Heure 00 01 02 03 04 05 06 Le déclencheur est modifié 07 08 09 10 11 12 13 14 15 Cycles x x x x x x x x x x x x x S1 1 1 1 1 S2 : Le critère pour les occurrences à l'intérieur du temps (autoriser si 3 impulsions surviennent en moins de 4 secondes) Heure 00 01 02 03 04 05 06 Le déclencheur est modifié 07 08 09 10 11 12 13 Cycles x x x x x x x x x x S2 1 1 S3 : Le critère pour les valeurs avec un symbole unique (autoriser si 3 valeurs uniques se retrouvent dans une ligne) Heure 00 01 02 03 04 05 06 Le déclencheur est modifié 07 08 09 10 11 12 13 Valeur A B B C D G H J K n.a. L M N N S3 1 1 S3 : Le critère pour des valeurs avec un symbole unique (autoriser s'il existe 3 valeurs uniques depuis la dernière impulsion) Heure 00 01 02 03 04 05 06 07 Le déclencheur est modifié 08 09 10 11 12 13 14 Valeur A B B C D G H I J K n.a. L M N N S3 1 1 1 T1 : Autoriser un cycle pendant certaines périodes (autoriser tous les jours à partir de 8:10, durée de 60 secondes) Heure 8:09:50 8:09:59 8:10:00 8:10:01 Le déclencheur est modifié 8:10:59 8:11:00 8:11:01 Cycles x x x x x x x T1 1 1 1 Ce critère n'a pas d'état; par conséquent, les modifications du déclencheur n'ont aucun effet sur les résultats. T2 : Autoriser un cycle unique dans un intervalle de temps (autoriser une fois toutes les cinq secondes au maximum) Heure 00 01 02 03 04 05 06 Le déclencheur est modifié 07 08 09 10 11 12 13 Cycles x x x x x x x x x x T2 1 1 1 1 Combinaison S1+S2 • S1 : tous les cinq cycles • S2 : trois cycles en quatre secondes Heure 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 Cycles x x x x x x x x x x x S1 1 S2 1 1 1 Résultat 1 1 1 292 Le résultat est énuméré en tant que : S1 (opérateur logique ou) S2 Combinaison S1+T1 • S1 : Autoriser toutes les 3 impulsions • 1 T1 : autoriser tous les jours à partir de 8:08, durée de 60 secondes Heure 8:07:50 8:07:51 8:07:52 8:07:53 8:08:10 8:08:11 8:08:19 8:08:54 8:08:55 8:09:01 Cycles x x x x x x x x x x S1 1 1 1 T1 1 1 1 1 1 Résultat 1 1 Le résultat est énuméré en tant que : S1 (opérateur logique et) T1 Combinaison S2+T1 • S2 : trois cycles en dix secondes • 1 T1 : autoriser tous les jours à partir de 8:08, pour une durée de 60 secondes Heure 8:07:50 8:07:51 8:07:52 8:07:53 8:08:10 8:08:11 8:08:19 8:08:54 8:08:55 8:09:01 Cycles x x x x x x x x x x S2 1 1 1 1 T1 1 1 1 1 1 Résultat 1 Le résultat est énuméré en tant que : S2 (opérateur logique et) T1. Notez que l'état de S2 est réinitialisé uniquement lorsque le résultat global est égal à 1. Combinaison S2+T2 • S2 : trois cycles en dix secondes • T2 : Autoriser, tout au plus, toutes les 20 secondes Heure 00 01 Cycles x x S2 T2 1 1 Résultat 02 03 04 05 06 07 … 16 17 18 19 20 21 22 23 24 x x x x x x x x x x x x x x x 1 1 1 1 1 1 1 1 1 1 1 1 1 Le résultat est énuméré en tant que : S2 (opérateur logique et) T2. Notez que l'état de S2 est réinitialisé uniquement lorsque le résultat global est égal à 1. Importer un fichier CSV Il est possible d'importer une liste à l'aide d'un fichier .csv personnalisé avec une structure adéquate. Cette fonction est utilisée dans divers menus au sein de l'interface utilisateur d'ESET Security Management Center. Selon les éléments à importer, les colonnes changent. 1. Cliquez sur Importer un fichier CSV. 2. Charger : cliquez sur Sélectionner un fichier, puis accédez au fichier .csv que vous souhaitez charger Cliquez ensuite sur Charger. 3. Délimiteur : caractère qui sert à séparer des chaînes de texte. Sélectionnez le délimiteur approprié (point-virgule, virgule, espace, tabulation, point, barre verticale) qui correspond au délimiteur qu'utilise votre fichier .csv. Si le fichier .csv utilise un autre caractère en tant que délimiteur, cochez la case en regard de l'option Autre, puis saisissez-le. Aperçu des données : affiche le contenu du fichier .csv, ce qui permet de déterminer le type de délimiteur utilisé pour séparer les chaînes. 293 4. Mappage des colonnes : une fois que le fichier .csv a été chargé et analysé, vous pouvez mapper chaque colonne de votre choix du fichier .csv importé sur une colonne ESMC affichée dans le tableau. Utilisez les listes déroulantes pour sélectionner la colonne CSV à associer à une colonne ESMC spécifique. Si le fichier .csv ne contient pas de ligne d'en-tête, désélectionnez La première ligne du fichier CSV contient des en-têtes. 5. Consultez l'aperçu du tableau pour vous assurer que le mappage des colonnes est configuré correctement et que l'opération d'importation fonctionnera comme vous le voulez. 6. Une fois que chaque colonne a été mappée et que l'aperçu du tableau semble correct, cliquez sur Importer pour commencer l'opération. Mobile Device Management Le diagramme suivant illustre la communication entre les composants ESET Security Management Center et un périphérique mobile : 294 Cliquez ici pour agrandir l'image REMARQUE Conseils de sécurité pour MDM : Le périphérique hôte de MDM requiert un accès à Internet. Il est recommandé le périphérique hôte de MDM soit derrière un pare-feu et que seuls les ports requis pour MDM soient ouverts. Vous pouvez également déployer un IDS/IPS pour surveiller le réseau à la recherche d'anomalies. Le Connecteur de périphérique mobile (MDC) est un composant ESMC qui permet d'administrer les périphériques mobiles avec ESET Security Management Center, ce qui vous permet d'administrer les périphériques mobiles Android et iOS et de gérer le sécurité mobile. Le Connecteur de périphérique mobile offre une solution sans agent, dans laquelle les agents ne s'exécutent pas directement sur les périphériques mobiles (pour économiser la batterie et optimiser les performances du périphérique mobile). Le Connecteur de périphérique mobile sert d'hôte à ces agents virtuels. Il stocke les données pour/depuis les périphériques mobiles dans sa base de données SQL dédiée. Un certificat HTTPS est requis pour authentifier les communications entre le périphérique mobile et le Connecteur de périphérique mobile. Pour authentifier les communications entre ESMC Server et le Connecteur de périphérique mobile, un certificat de proxy est utilisé. L'administration des appareils Apple présente des exigences supplémentaires. L'utilisation du Connecteur de périphérique mobile ESMC pour administrer les appareils iOS requiert un certificat du service de notification Push Apple. Le service APN permet au Connecteur de périphérique mobile ESET de communiquer en toute sécurité avec les périphériques mobiles Apple. Ce certificat doit être signé directement par Apple (à l'aide du portail Apple Push Certificates) et transmis au Connecteur de périphérique mobile via une politique. Ensuite, les appareils iOS peuvent être inscrits dans le Connecteur de périphérique mobile ESMC. Dans certains pays, le Programme d'inscription des appareils Apple (DEP) est disponible. Il s'agit d'une nouvelle méthode pour inscrire les appareils iOS d'entreprise. Avec ce programme, vous pouvez inscrire des appareils automatiquement dans le Contrôleur de périphérique mobile, sans contact direct avec ceux-ci et avec une 295 intervention minimale de l'utilisateur. Le Programme d'inscription des appareils Apple (DEP) étend considérablement les capacités de MDM iOS et permet une personnalisation complète de la configuration de l'appareil. Une fois l'installation et la configuration du Connecteur de périphérique mobile terminées, les périphériques mobiles peuvent être inscrits. Une fois l'inscription effectuée, le périphérique mobile peut être administré depuis ESMC Web Console. Configuration et paramètres de MDM Pour tirer parti du composant Mobile Device Management d'ESET Security Management Center, effectuez les étapes suivantes après l'installation de MDM pour être en mesure d'inscrire et d'administrer des périphériques mobiles. 1. Installez le Connecteur de périphérique mobile (MDC) à l'aide du programme d'installation tout-en-un ou effectuez une installation de composants pour Windows ou Linux. Veillez à remplir les conditions préalables requises avant l'installation. REMARQUE Si vous installez le Connecteur de périphérique mobile à l'aide du programme d'installation tout-en-un, des certificats HTTPS signés par l'autorité de certification ESMC sont créés pendant l'installation. (Ces certificats ne sont pas visibles dans Autres > Certificats homologues.) Pour installer ESMC avec le programme d'installation tout-en-un et utiliser un certificat HTTPS tiers, installez ESET Security Management Center d'abord, puis remplacez votre certificat HTTPS à l'aide de Politique (dans Politique du Connecteur de périphérique mobile > Général > Modifier le certificat > Certificat personnalisé). Si vous installez le composant Connecteur de périphérique mobile, vous pouvez utiliser les éléments suivants : a) certificat signé par l'autorité de certification ESMC (Général > Produit : Connecteur de périphérique mobile ; Hôte : Nom d'hôte/adresse IP du Connecteur de périphérique mobile ; Signer > Méthode de signature : Autorité de certification ; Autorité de certification : ESMC Autorité de certification b) chaîne de certificats HTTPS tiers signés par une autorité de certification approuvée par Apple (liste des autorités de certification approuvées par Apple). 2. Activez ESMC MDC à l'aide d'une tâche client Activation de produit. La procédure est la même que lors de l'activation d'un produit de sécurité ESET sur un ordinateur client (aucune unité de licence ne sera utilisée). 3. Exécutez une tâche serveur Synchronisation utilisateur (recommandé). Cela vous permet de synchroniser automatiquement des utilisateurs avec Active Directory ou LDAP pour les utilisateurs d'ordinateurs. REMARQUE Si vous ne comptez gérer que des périphériques Android (aucun périphérique iOS), vous pouvez passer à l'étape 7. 4. Créez un certificat APN/DEP. Ce certificat est utilisé par ESMC MDM pour l'inscription de périphériques iOS. Les certificats qui sont ajoutés à votre profil d'inscription doivent l'être également à votre profil DEP. 5. Créez une politique pour le Connecteur de périphérique mobile ESET afin d'activer APNS. REMARQUE Si vous effectuez une inscription d'appareil iOS à l'aide du Programme d'inscription des appareils Apple (DEP), poursuivez ici. 6. Inscrivez les périphériques mobiles à l'aide d'une tâche d'inscription de périphérique. Configurez la tâche pour inscrire des périphériques pour Android et/ou iOS. Vous pouvez également effectuer cette opération en procédant de la manière suivante : accédez à l'onglet Ordinateurs ou Groupe, cliquez sur Ajouter > Périphériques mobiles tout en ayant sélectionné un groupe statique (la commande Ajouter ne peut pas être utilisée dans les groupes dynamiques). 7. Si vous n'avez pas indiqué de licence pendant l'inscription des périphériques, activez les périphériques mobiles à l'aide d'une tâche client Activation du produit. Sélectionnez une licence ESET Endpoint Security. Une unité de licence sera utilisée pour chaque périphérique mobile. 296 IMPORTANT La tâche Activation du produit peut être exécutée sur les appareils mobiles (ESET Endpoint pour Android utilisant une licence hors ligne. 8. Vous pouvez modifier les utilisateurs pour configurer des attributs personnalisés et affecter des périphériques mobiles si vous n'avez pas attribué d'utilisateurs pendant l'inscription des périphériques. 9. Vous pouvez alors commencer à appliquer des politiques et à gérer des périphériques mobiles. Par exemple, vous pouvez créer une politique pour MDM iOS - Compte Exchange ActiveSync qui configurera automatiquement un compte Mail, les Contacts et le Calendrier sur les appareils iOS. Vous pouvez également appliquer des restrictions sur un périphérique iOS et/ou ajouter une connexion Wi-Fi. 10. Vous pouvez utiliser la commande Réinscrire pour un périphérique mobile qui était endommagé ou dont les données étaient effacées. Le lien de réinscription est envoyé par courrier électronique. 11. La tâche Arrêter l'administration (désinstaller ESET Management Agent) annule l'inscription MDM d'un périphérique mobile et le supprime d'ESMC. Inscription de périphérique Les périphériques mobiles peuvent être administrés via ESMC et le produit de sécurité ESET s'exécutant sur ces derniers. Pour commencer à administrer les périphériques mobiles, vous devez les inscrire dans ESMC (il n'est plus nécessaire de saisir l'IMEI ou tout autre numéro d'identification du périphérique mobile). Le diagramme suivant montre la communication d'un périphérique mobile avec le Connecteur de périphérique mobile (MDC) pendant le processus d'inscription : Il montre à quel moment l'inscription, la réinscription et la désinscription peuvent être utilisées et explique la 297 différence entre un périphérique administré et non administré. • Inscription : l'inscription peut être utilisée uniquement lorsque le périphérique n'est pas administré par MDM. Dans ce cas, le périphérique ne figure pas dans la section Ordinateurs. Lorsqu'un périphérique est supprimé de la console web, il ne devient pas non administré. Celui-ci s'affiche dans la console Web après une réplication. Seul le processus de désinscription peut retirer l'état administré d'un périphérique. Chaque jeton d'inscription est unique et à usage unique. Une fois qu'il a été utilisé, il ne peut pas être réutilisé. • Réinscription : la réinscription ne peut être utilisée que lorsque le périphérique est administré. Le jeton de réinscription est toujours différent du jeton d'inscription. Il ne peut aussi être utilisé qu'une seule fois. Pour réinscrire un périphérique, ouvrez la section Ordinateurs et sélectionnez le périphérique mobile à réinscrire. Ouvrez le menu Actions et sélectionnez Mobile > Réinscrire. • Désinscription : la désinscription est la méthode à utiliser pour interrompre l'administration d'un périphérique. Elle est effectuée à l'aide d'une tâche Arrêter l'administration. Si le périphérique ne répond pas, sa suppression peut prendre jusqu'à 3 jours. Si vous souhaitez supprimer le périphérique pour le réinscrire, utilisez plutôt la réinscription. REMARQUE Si vous effectuez une inscription d'appareil iOS à l'aide du Programme d'inscription des appareils Apple (DEP), poursuivez ici. Vous pouvez inscrire des périphériques mobiles dans la section Ordinateurs ou Autres > Groupes. Sélectionnez le groupe statique auquel vous souhaitez ajouter les périphériques mobiles, cliquez sur Ajouter > Périphériques mobiles, puis sélectionnez l'une des méthodes d'inscription suivantes : • Inscription par courrier électronique : inscription en masse des périphériques mobiles par courrier électronique. Cette option est adaptée à l'inscription d'un grand nombre de périphériques mobiles ou lorsque vous n'avez pas un accès physique à des périphériques mobiles existants. L'utilisation de cette option demande la participation active de l'utilisateur/du possesseur du périphérique mobile. • Inscription distincte via un lien ou un code QR : inscription d'un seul périphérique mobile. Vous serez en 298 mesure d'inscrire un périphérique mobile à la fois et vous devrez répéter le même processus pour chaque périphérique. Il est recommandé d'utiliser cette option uniquement lorsque le nombre de périphériques à inscrire est peu élevé. Cette option est adaptée si vous souhaitez que les utilisateurs/possesseurs des périphériques mobiles n'aient rien à faire. Vous devrez effectuer toutes les tâches d'inscription par vous-même. Vous pouvez également utiliser cette option lorsque vous disposez de nouveaux périphériques mobiles qui seront remis aux utilisateurs une fois configurés. • Inscription distincte en tant que possesseur d'un périphérique (Android 7 et versions ultérieures uniquement) : inscription de périphérique mobile unique pour les périphériques Android uniquement. Vous serez en mesure d'inscrire un périphérique mobile à la fois et vous devrez répéter le même processus pour chaque périphérique mobile. Cette procédure d'inscription est possible uniquement sur les nouveaux périphériques mobiles ou après une réinitialisation des paramètres d'usine ou un effacement des données. Elle fournit des droits d'administration élevés à l'administrateur par rapport à ceux de l'utilisateur du périphérique mobile. Inscription de périphérique Android Quand ESET Endpoint Security pour Android (EESA) est activé sur le périphérique mobile, il existe deux scénarios d'inscription. Vous pouvez activer ESET Endpoint Security pour Android sur le périphérique mobile à l'aide de la tâche de client Activation du produit ERA (recommandé). L'autre scénario correspond aux périphériques mobiles dont l'application ESET Endpoint Security pour Android est déjà activée. EESA déjà activé : pour inscrire le périphérique, procédez comme suit : 1. Appuyez sur l'URL d'inscription reçue par courrier électronique ou saisissez-la manuellement dans le navigateur, en incluant le numéro de port (https://eramdm:9980/<jeton>, par exemple). Le système peut vous demander d'accepter un certificat SSL. Cliquez sur le bouton Accepter si vous êtes d'accord, puis sur Connexion. IMPORTANT si l'application ESET Endpoint Security n'est pas installée sur le périphérique mobile, vous êtes automatiquement redirigé vers la boutique Google Play à partir de laquelle vous pouvez la télécharger. REMARQUE si la notification Impossible de trouver une application pour ouvrir ce lien s'affiche, essayez d'ouvrir le lien d'inscription dans le navigateur Web par défaut d'Android. 2. Vérifiez les informations de connexion (port et adresse du serveur Connecteur de périphérique mobile), puis cliquez sur Connexion. 299 3. Saisissez le mot de passe du mode administrateur ESET Endpoint Security dans le champ vide, puis appuyez sur Entrée. 300 4. Ce périphérique mobile est désormais administré par ESMC. Appuyez sur Terminer. EESA pas encore activé : pour activer le produit et inscrire le périphérique, procédez comme suit : 1. Appuyez sur l'URL d'inscription (comportant le numéro de port) et saisissez-le manuellement dans le navigateur (https://esmcmdm:9980/<jeton>, par exemple). Vous pouvez également utiliser le code QR fourni. Cliquez sur le bouton Accepter si vous êtes d'accord, puis sur Connexion. IMPORTANT si l'application ESET Endpoint Security n'est pas installée sur le périphérique mobile, vous êtes automatiquement redirigé vers la boutique Google Play à partir de laquelle vous pouvez la télécharger. REMARQUE si la notification Impossible de trouver une application pour ouvrir ce lien s'affiche, essayez d'ouvrir le lien d'inscription dans le navigateur Web par défaut d'Android. 301 2. Saisissez le nom du périphérique mobile. (Ce nom n'est pas visible dans ESMC. Il est seulement utile pour la fonctionnalité Antivol et les journaux de diagnostic). 302 3. Appuyez sur Activer pour activer la protection contre les désinstallations. 303 4. Appuyez sur Activer pour activer l'administrateur de périphérique. 304 5. À ce stade, vous pouvez quitter l'application ESET Endpoint Security pour Android et ouvrir ESMC Web Console. 305 6. Dans ESMC Web Console, accédez à Tâches client > Mobile > Activation du produit, puis cliquez sur Nouveau. L'exécution de la tâche de client Activation du produit peut prendre du temps sur le périphérique mobile. Une fois la tâche exécutée, l'application ESET Endpoint Security pour Android est activée. Le périphérique mobile est alors administré par ESMC. L'utilisateur est désormais en mesure d'utiliser l'application ESET Endpoint Security pour Android. Lorsque l'application ESET Endpoint Security pour Android est ouverte, le menu principal s'affiche : 306 Inscription de périphérique Android en tant que possesseur de périphérique REMARQUE Ce type d'inscription est disponible uniquement pour les périphériques Android dotés d'Android v7 ou version ultérieure. Le périphérique Android doit être réinitialisé ou disposer des paramètres d'usine pour pouvoir effectuer les étapes d'inscription suivantes. Désactivez la protection FRP avant l'enregistrement de l'effacement/réinitialisation des paramètres d'usine d'un appareil. 1. Mettez le périphérique mobile sous tension. 2. Saisissez le code PIN de la carte SIM. 3. Dans l'écran d'accueil, sélectionnez la langue de votre choix et appuyez sur l'écran six (6) fois près du texte « Bienvenue » pour démarrer la configuration du code QR. 307 4. Si vous avez correctement effectué l'étape précédente, un écran Configuration du code QR s'affiche. Appuyez sur SUIVANTpour continuer. 308 REMARQUE Certains périphériques peuvent nécessiter un chiffrement du système de stockage (parfois, il est également nécessaire de connecter le chargeur). Sélectionnez le type de chiffrement souhaité et procédez à celui-ci en suivant les instructions à l'écran. 5. Sélectionnez une connexion Internet. Celle-ci sera utilisée pour télécharger le lecteur de code QR requis pour l'étape suivante. 309 6. Le lecteur de code QR est maintenant installé. Une fois l'installation terminée, scannez le code QR qui a été généré dans ESMC Console Web. 7. Vous devez confirmer que vous comprenez que vous accordez des droits de possesseur de périphérique élevés à l'administrateur. Appuyez sur OK pour continuer. 310 8. L'application ESET Endpoint Security pour Android est maintenant installée et les autorisations requises sont appliquées. 311 9. Appuyez sur Accepter tout pour accepter les termes du CLUF, la politique de confidentialité et le transfert des données commerciales et de diagnostic. 312 10. Le périphérique est maintenant inscrit dans le mode Possesseur de périphérique. Inscription de périphérique iOS REMARQUE Si vous effectuez une inscription d'appareils iOS à l'aide du Programme d'inscription d'appareils Apple (DEP), poursuivez ici. 1. Appuyez sur l'URL d'inscription (comportant le numéro de port) et saisissez-le manuellement dans le navigateur (https://eramdm:9980/<jeton>, par exemple). Vous pouvez également utiliser le code QR fourni. 2. Appuyez sur Installer pour passer à l'écran Installer le profil de l'inscription MDM. 313 3. Appuyez sur Faire confiance pour autoriser l'installation du nouveau profil. 314 4. Après l'installation du nouveau profil, le champ Signé par indiquera que le profil est Non signé. Il en est ainsi parce qu'iOS ne reconnaît pas le certificat. Pour avoir un profil d'inscription signé, utilisez le certificat HTTPS signé par une autorité de certification approuvée par Apple. Vous pouvez également utiliser votre propre certificat d'inscription HTTPS pour signer l'inscription. 315 5. Ce profil d'inscription vous permet de configurer des périphériques et de définir des politiques de sécurité pour des utilisateurs ou des groupes. IMPORTANT La suppression de ce profil d'inscription supprime tous les paramètres de l'entreprise (Mail, Calendrier, Contacts, etc.) et le périphérique mobile iOS n'est pas géré. Si un utilisateur supprime le profil d'inscription, ESMC n'aura pas l'information et l'état du périphérique deviendra et ensuite au bout de 14 jours, car le périphérique ne se connecte pas. Aucune autre indication que le profil d'inscription a été supprimé ne sera fournie. 316 Inscription d'appareils iOS avec le Programme d'inscription d'appareils Le Programme d'inscription d'appareils Apple (DEP) est la nouvelle méthode utilisée par Apple pour inscrire des appareils iOS d'entreprise. Avec ce programme, vous pouvez inscrire des appareils iOS sans contact direct avec ceux-ci et avec une intervention minimale de l'utilisateur. Le Programme d'inscription d'appareils Apple permet aux administrateurs de personnaliser la configuration des appareils. Il permet également d'empêcher les utilisateurs de supprimer le profil MDM de l'appareil. Vous pouvez inscrire les appareils iOS que vous possédez déjà (s'ils répondent aux exigences) et ceux que vous achèterez ultérieurement. Pour plus d'informations sur le Programme d'inscription d'appareils Apple, reportez-vous au guide du Programme d'inscription d'appareils Apple et à la documentation. Connectez ESMC MDM Server au serveur du Programme d'inscription d'appareils Apple : 1. Vérifiez que toutes les exigences du Programme d'inscription d'appareils Apple sont satisfaites en ce qui concerne le compte et les appareils. • Compte Programme d'inscription d'appareils : oLe programme n'est disponible que dans certains pays. Consultez la page Web Programme d'inscription d'appareils Apple pour déterminer s'il est disponible dans votre pays. oLes exigences en matière de compte Programme d'inscription d'appareils Apple sont consultables sur ces sites Web : Exigences du programme de déploiement Apple et Exigences du Programme d'inscription d'appareils Apple. 317 oVous trouverez ici les exigences détaillées des appareils du Programme d'inscription d'appareils. 2. Connectez-vous à votre compte Programme d'inscription d'appareils Apple. Si vous ne disposez pas de compte, vous pouvez en créer un ici. 3. Dans la section Programme d'inscription d'appareils à gauche, sélectionnez Gérer les serveurs. 4. Cliquez sur Ajouter un serveur MDM pour ouvrir la fenêtre Ajouter un serveur MDM. 5. Saisissez le nom du serveur MDM, par exemple : « MDM Server, », puis cliquez sur Suivant. 318 6. Chargez votre clé publique sur le portail Programme d'inscription d'appareils. Cliquez sur Sélectionner le fichier, sélectionnez le fichier de clé publique (il s'agit du certificat APNS que vous avez téléchargé à partir du portail Apple Push Certificate), puis cliquez sur Suivant. 7. Vous pouvez à présent télécharger votre jeton Programme d'inscription d'appareils Apple. Ce fichier sera chargé dans la politique du Connecteur de périphérique mobile ESMC sous Programme d'inscription des appareils Apple (DEP) -> Charger le jeton d'autorisation. 319 Ajoutez l'appareil iOS au Programme d'inscription d'appareils Apple : L'étape suivante consiste à attribuer les appareils iOS à votre serveur MDM virtuel sur le portail Programme d'inscription d'appareils Apple. Vous pouvez attribuer les appareils iOS par numéro de série, numéro de commande ou en chargeant une liste de numéros de série au format CSV. Quelle que soit la méthode utilisée, vous devrez attribuer l'appareil iOS au serveur MDM virtuel (que vous avez créé au cours des étapes précédentes). AVERTISSEMENT Lorsqu'un appareil est supprimé sur le portail Programme d'inscription d'appareils, il l'est définitivement. Vous ne pouvez plus l'ajouter. Vous pouvez ensuite quitter le portail Programme d'inscription d'appareils Apple et poursuivre dans ESMC Web Console. AVERTISSEMENT Si vous inscrivez des appareils iOS qui sont actuellement utilisés (et qui répondent aux exigences), de nouveaux paramètres de politique leur sont appliqués après un rétablissement des paramètres d'usine. Pour terminer l'inscription, vous devez charger le certificat APNS dans la politique du Connecteur de périphérique mobile qui sera attribuée au serveur MDM. (Cette politique jouera le rôle des paramètres du serveur MDM.) REMARQUE Si l'appareil iOS affiche un message indiquant qu'il est impossible de télécharger le profil d'ESET pendant l'inscription, vérifiez que le serveur MDM est correctement configuré dans le Programme d'inscription d'appareils (il possède les certificats corrects). Assurez-vous également que vous avez affecté le bon appareil iOS au serveur ESMC MDM Server sélectionné dans le Programme d'inscription d'appareils. Inscription par courrier électronique Cette méthode est adaptée à l'inscription en masse des périphériques mobiles. Vous pouvez envoyer un lien d'inscription par courrier électronique à un nombre quelconque de périphériques. Chaque périphérique mobile reçoit un jeton à usage unique selon son adresse électronique. 320 IMPORTANT Vous devez obligatoirement configurer un serveur SMTP pour l'inscription en masse par courrier électronique. Accédez à Paramètres du serveur, développez la section Paramètres avancés et indiquez les détails du serveur SMTP. 1. Pour ajouter de nouveaux périphériques mobiles, accédez à la section Ordinateurs ou Autres > Groupes. Sélectionnez le groupe statique auquel vous souhaitez ajouter les périphériques mobiles, puis cliquez sur Ajouter > Périphériques mobiles > Inscription par courrier électronique. 2. Connecteur de périphérique mobile : cette option est automatiquement sélectionnée. Si vous disposez de plusieurs Connecteurs de périphérique mobile, sélectionnez le nom de domaine complet (FQDN) de celui que vous voulez utiliser. Si vous n’avez pas encore installé le Connecteur de périphérique mobile, reportez-vous aux chapitres Installation du Connecteur de périphérique mobile - Windows ou Linux pour obtenir des instructions d’installation. 3. Licence (facultatif) : cliquez sur Sélectionner, puis choisissez la licence utilisée pour l'activation. Une tâche client Activation du produit est créée pour le périphérique mobile. Une unité de licence est utilisée (une pour chaque périphérique mobile). 4. Groupe parent : si vous ne disposez pas d'un groupe statique spécifique pour les périphériques mobiles, il est recommandé d'en créer un (appelé Périphériques mobiles, par exemple). Si un groupe existe déjà, cliquez sur /Tous/ pour ouvrir une fenêtre contextuelle dans laquelle vous pouvez le sélectionner. 5. Liste des périphériques : indiquez les périphériques mobiles à inscrire. • Pour ajouter des périphériques - Vous devez saisir manuellement l'adresse électronique associée au périphérique mobile auquel le courrier électronique d'inscription sera envoyé. Si vous affectez également un utilisateur au périphérique mobile en cliquant sur Coupler et en sélectionnant l'utilisateur, l'adresse électronique est remplacée par celle spécifiée dans Gestion des utilisateurs. Si vous souhaitez ajouter un autre périphérique mobile, cliquez de nouveau sur Ajouter un périphérique et fournissez les informations obligatoires. • Ajouter un utilisateur : vous pouvez ajouter des périphériques en cochant les cases à cocher d'utilisateur dans Utilisateurs des ordinateurs. Pour faire des corrections à la liste des périphériques mobiles à inscrire, cliquez sur Découpler. Une fois que vous avez découplé un utilisateur affecté, celui-ci 321 est indiqué comme n'étant pas couplé. Cliquez sur Coupler pour sélectionner l'utilisateur de votre choix pour un périphérique non couplé. Cliquez sur l'icône représentant une corbeille pour supprimer une entrée. • Importer un fichier CSV : méthode qui facilite l'ajout d'un grand nombre de périphériques mobiles. Chargez un fichier .csv contenant une liste de périphériques à ajouter. (pour plus d'informations, voir Importer un fichier CSV). • Copier et coller : importez une liste personnalisée des adresses séparées par des délimiteurs personnalisés (cette fonctionnalité fonctionne de la même manière que l'importation d'un fichier CSV). 6. Cochez la case J'accepte les termes du Contrat de Licence Utilisateur Final de l'application et j'ai pris connaissance de la Politique de confidentialité. Pour plus d'informations, reportez-vous à Gestion de licences ou CLUF. REMARQUE Lorsque vous utilisez la méthode d'importation de fichier CSV, il est recommandé de spécifier un nom de périphérique dans chaque entrée. Il s'agit du nom de périphérique affiché dans la section Ordinateurs. Si vous laissez le champ Nom du périphérique vide, l'adresse électronique est utilisée et s'affiche en tant que nom du périphérique dans les sections Ordinateurs et Groupes. Cela peut toutefois prêter à confusion, tout particulièrement si vous utilisez la même adresse électronique pour inscrire plusieurs périphériques. Cette adresse électronique apparaît plusieurs fois et vous empêche de faire la différence entre les périphériques. IMPORTANT Il est recommandé d'affecter au moins un utilisateur à un périphérique mobile. Si vous souhaitez utiliser des politiques personnalisées sur iOS, un utilisateur doit être affecté à un périphérique. 6. Message électronique d’inscription : modèle de message prédéfini qui contient des informations qui sont généralement suffisantes. Vous pouvez toutefois personnaliser l'objet et le contenu en ajoutant d'autres informations destinées à vos utilisateurs. Dans le message électronique d'inscription, les instructions figurent sous le contenu et contiennent un nom de périphérique (ou une adresse électronique) avec un lien d'inscription (URL). De plus, chaque périphérique est associé à un lien d'inscription (URL) qui lui est propre. Le message électronique contient également des instructions qui doivent être suivies par les utilisateurs de périphérique mobile (iOS et Android) afin d'effectuer l'inscription. 6. Lorsque vous cliquez sur Inscrire, un message est envoyé à chaque adresse électronique. Il contient les liens d'inscription adéquats et des instructions. 7. Pour effectuer l'inscription des périphériques mobiles, suivez ces procédures ou laissez les utilisateurs/possesseurs des périphériques mobiles les suivre : • Inscription de périphérique Android • Inscription de périphérique iOS Inscription distincte via un lien ou un code QR Lorsque vous inscrivez un périphérique mobile à l'aide d'un lien d'inscription ou d'un code QR, vous avez besoin d'un accès physique au périphérique. De plus, pour pouvoir utiliser le code QR, un lecteur ou un scanner de code QR doit être installé sur le périphérique mobile. REMARQUE Si vous disposez d'un grand nombre de périphériques mobiles, il est recommandé d'utiliser la méthode d'inscription par courrier électronique. 1. Pour ajouter un nouveau périphérique mobile, accédez à la section Ordinateurs ou Autres > Groupes. Sélectionnez le groupe statique auquel vous souhaitez ajouter le périphérique mobile, puis cliquez sur Ajouter > Périphériques mobiles > Inscription distincte via un lien ou un code QR. 322 2. Nom du périphérique : saisissez le nom du périphérique mobile (ce nom sera affiché dans la liste des ordinateurs) et éventuellement une description. 3. Utilisateur (facultatif) : il est recommandé d'affecter un utilisateur au périphérique mobile. Cette opération est requise pour les périphériques iOS, mais facultative pour Android. 4. Connecteur de périphérique mobile : cette option est automatiquement sélectionnée. Si vous disposez de plusieurs Connecteurs de périphérique mobile, sélectionnez-en un dans la liste en cliquant sur le nom de domaine complet (FQDN). Si vous n’avez pas encore installé le Connecteur de périphérique mobile, reportez-vous aux chapitres Installation du Connecteur de périphérique mobile - Windows ou Linux pour obtenir des instructions d’installation. 5. Licence (facultatif) : cliquez sur Sélectionner, puis choisissez la licence utilisée pour l'activation. Une tâche client Activation du produit est créée pour le périphérique mobile. Une unité de licence est utilisée (une pour chaque périphérique mobile). 6. Groupe parent : si vous ne disposez pas d'un groupe statique spécifique pour les périphériques mobiles, il est recommandé d'en créer un (appelé Périphériques mobiles, par exemple). Si un groupe existe déjà, cliquez sur /Tous pour ouvrir une fenêtre contextuelle dans laquelle vous pouvez le sélectionner. 7. Cochez la case J'accepte les termes du Contrat de Licence Utilisateur Final de l'application et j'ai pris connaissance de la Politique de confidentialité. Pour plus d'informations, reportez-vous à Gestion de licences ou CLUF. 8. Une fois que vous avez cliqué sur Suivant, le lien d'inscription (URL) et le code QR s'affichent. Saisissez manuellement l'URL complète dans le navigateur Web du périphérique mobile (https://eramdm:9980/token, par exemple ; le jeton sera différent pour chaque périphérique mobile) ou envoyez cette URL par d'autres moyens au périphérique mobile. Vous pouvez également utiliser le code QR fourni, ce qui peut être plus pratique que de saisir l'URL. Sachez toutefois que l'utilisation d'un code QR nécessite l'installation d'un lecteur ou d'un scanner de code QR sur le périphérique mobile. 323 9. Pour ajouter un autre périphérique mobile, cliquez sur Inscrire un autre périphérique. La page Ajouter un nouveau périphérique mobile s'affiche. Elle présente les précédentes sélections dans la sélection Général de sorte que vous n'ayez qu'à saisir le nom du périphérique et affecter un utilisateur. Cliquez ensuite sur Suivant et suivez les instructions de l'étape 7. Une fois les URL d'inscription et les codes QR générés, cliquez sur Fermer pour retourner dans la fenêtre précédente. 10. Pour effectuer l'inscription des périphériques mobiles, suivez les instructions détaillées suivantes : oInscription de périphérique Android oInscription de périphérique iOS Inscription individuelle en tant que possesseur de périphérique Lorsque vous inscrivez un périphérique mobile Android à l'aide d'un code QR d'inscription, vous avez besoin d'un accès physique au périphérique. En outre, cette inscription n'est possible que sur un périphérique réinitialisé ou avec les paramètres d'usine. REMARQUE Il n'est pas possible d'utiliser une inscription par courrier électronique pour une inscription en masse des périphériques Android en tant que possesseur de périphérique. 1. Pour ajouter un nouveau périphérique mobile, accédez à la section Ordinateurs ou Autres > Groupes. Sélectionnez le groupe statique auquel vous souhaitez ajouter le périphérique mobile, puis cliquez sur Ajouter > Périphériques mobiles > Inscription individuelle en tant que possesseur de périphérique (Android 7 et version ultérieure uniquement). 324 2. Nom du périphérique : saisissez le nom du périphérique mobile (ce nom sera affiché dans la liste des ordinateurs). 3. Utilisateur (facultatif) : il est recommandé d'affecter un utilisateur au périphérique mobile. Cette opération est requise pour les périphériques iOS, mais facultative pour Android. 4. Connecteur de périphérique mobile : cette option est automatiquement sélectionnée. Si vous disposez de plusieurs Connecteurs de périphérique mobile, sélectionnez-en un dans la liste en cliquant sur le nom de domaine complet (FQDN). Si vous n’avez pas encore installé le Connecteur de périphérique mobile, reportez-vous aux chapitres Installation du Connecteur de périphérique mobile - Windows ou Linux pour obtenir des instructions d’installation. 5. Licence (facultatif) : cliquez sur Sélectionner, puis choisissez la licence utilisée pour l'activation. Une tâche client Activation du produit est créée pour le périphérique mobile. Une unité de licence est utilisée (une pour chaque périphérique mobile). 6. Groupe parent : si vous ne disposez pas d'un groupe statique spécifique pour les périphériques mobiles, il est recommandé d'en créer un (appelé Périphériques mobiles, par exemple). Si un groupe existe déjà, cliquez sur /Tous pour ouvrir une fenêtre contextuelle dans laquelle vous pouvez le sélectionner. 7. Cochez la case J'accepte les termes du Contrat de Licence Utilisateur Final de l'application et j'ai pris connaissance de la Politique de confidentialité. Pour plus d'informations, reportez-vous à Gestion de licences ou CLUF. 8. Une fois que vous avez cliqué sur Suivant, le code QR d'inscription s'affiche. 325 9. Suivez ces étapes sur le périphérique Android pour effectuer l'inscription. 10. Pour ajouter un autre périphérique mobile, cliquez sur Inscrire un autre périphérique. La page Ajouter un nouveau périphérique mobile s'affiche. Elle présente les précédentes sélections dans la sélection Général de sorte que vous n'ayez qu'à saisir le nom du périphérique et affecter un utilisateur. Cliquez ensuite sur Suivant et suivez les instructions de l'étape 7. Une fois les les codes QR d'inscription générés, cliquez sur Fermer pour retourner dans la fenêtre précédente. Créer une politique pour MDM iOS - Compte Exchange ActiveSync Cette politique régit tous les paramètres de l'appareil iOS. Ces paramètres s'appliquent aux appareils iOS DEP et autres que DEP. • Les paramètres uniquement DEP sont signalés par une icône DEP . Ils s'appliquent uniquement aux appareils iOS qui ont été inscrits sur le portail Programme d'inscription des appareils Apple (DEP). Il est recommandé de ne pas personnaliser ces paramètres DEP uniquement lors de la création d'une politique pour des appareils iOS autres que DEP. • Certains paramètres ne peuvent être appliqués que sur un appareil iOS équipé d'une version spécifique d'iOS. Ces paramètres sont signalés par une icône représentant la version d'iOS. o iOS version 9.0 et versions ultérieures o iOS version 9.3 et versions ultérieures o iOS version 8.1.3 et versions ultérieures oiOS version 11.0 et versions ultérieures • Si les deux icônes (icône DEP et icône de version d'iOS) figurent en regard d'un paramètre spécifique, le périphérique doit répondre aux deux exigences (sinon, il ne sera pas possible de gérer correctement le paramètre). 326 Reportez-vous à l'exemple de scénario ci-dessous qui explique comment utiliser la politique MDM iOS lorsque vous souhaitez configurer un compte Mail Microsoft Exchange : Vous pouvez utiliser cette politique pour configurer des Contacts, un Calendrier et un compte Mail Microsoft Exchange sur les périphériques mobiles iOS des utilisateurs. L'avantage d'une telle politique est qu'il vous suffit de la créer une seule fois pour l'appliquer ensuite à de nombreux périphériques mobiles iOS sans devoir les configurer un à un séparément. C'est possible à l'aide des attributs des utilisateurs d'Active Directory. Vous devez spécifier une variable, comme ${exchange_login/exchange}. Celle-ci sera remplacée par une valeur d'Active Directory pour un utilisateur en particulier. Si vous n'utilisez pas Microsoft Exchange ni Exchange ActiveSync, vous pouvez configurer manuellement chaque service (Comptes de messagerie, Comptes de contacts, Comptes LDAP, Comptes de calendrier et Comptes de calendrier avec abonnement). L'exemple qui suit illustre la création et l'application d'une nouvelle politique pour configurer automatiquement Mail, Contacts et Calendrier pour chaque utilisateur d'un périphérique mobile iOS en utilisant le protocole Exchange ActiveSync (EAS) pour synchroniser ces services. REMARQUE Avant de définir cette politique, veillez à avoir effectué les étapes décrites dans Mobile Device Management. Général Saisissez un nom pour cette politique. Le champ Description est facultatif. Paramètres Sélectionnez ESET Mobile Device Management pour iOS dans la liste déroulante, cliquez sur Autres pour développer les catégories, puis cliquez sur Modifier en regard de l'option Comptes Exchange ActiveSync. Cliquez sur Ajouter et spécifiez les détails de votre compte Exchange ActiveSync. Vous pouvez utiliser des variables pour certains champs (sélectionnez-les dans la liste déroulante), par exemple Utilisateur ou Adresse électronique. Elles seront remplacées par des valeurs réelles venant de Utilisateurs des ordinateurs lors de l'application d'une politique. 327 • Nom du compte : saisissez le nom du compte Exchange. • Hôte Exchange ActiveSync : spécifiez le nom d'hôte du serveur Exchange ou son adresse IP. • Utiliser SSL : cette option est activée par défaut. Elle indique si le serveur Exchange utilise le protocole SSL (Secure Sockets Layer) pour l'authentification. • Domaine : ce champ est facultatif. Vous pouvez saisir le domaine auquel ce compte appartient. • Utilisateur : nom de connexion Exchange. Sélectionnez la variable appropriée dans la liste déroulante pour utiliser un attribut à partir de votre Active Directory pour chaque utilisateur. • Adresse de courriel - Sélectionnez la variable appropriée dans la liste déroulante pour utiliser un attribut à partir de votre Active Directory pour chaque utilisateur. • Mot de passe : facultatif. Nous recommandons de laisser ce champ vide. S'il est vide, les utilisateurs seront invités à créer leurs propres mots de passe. • Jours antérieurs de courrier à synchroniser : sélectionnez dans la liste déroulante le nombre de jours à synchroniser dans le passé. • Certificat d'identité : informations d'identification pour la connexion à ActiveSync. • Autoriser le déplacement des messages : si cette option est activée, les messages peuvent être déplacés d'un compte à un autre. • Autoriser la synchronisation des adresses récentes : si cette option est activée, l'utilisateur est autorisé à synchroniser des adresses utilisées récemment entre périphériques. • Utiliser uniquement dans Mail : activez cette option si vous ne souhaitez autoriser que l'application Mail à envoyer des messages électroniques sortants à partir de ce compte. • Utiliser S/MIME : activez cette option pour utiliser le chiffrement S/MIME pour les messages électroniques sortants. • Certificat de signature : informations d'identification pour la signature des données MIME. • Certificat de chiffrement : informations d'identification pour le chiffrement des données MIME. • Activer le changement de chiffrement par message : autoriser l'utilisateur à choisir de chiffrer ou non chaque message. REMARQUE Si vous ne spécifiez pas de valeur et laissez le champ vide, les utilisateurs de périphériques mobiles seront invités à entrer cette valeur. Par exemple, un Mot de passe. 328 • Ajouter un certificat : vous pouvez ajouter des certificats Exchange spécifiques (identité utilisateur, signature numérique ou certificat de chiffrement) si nécessaire. REMARQUE En respectant la procédure qui précède, vous pouvez, si vous le souhaitez, ajouter plusieurs comptes Exchange ActiveSync. De cette manière, plus de comptes seront configurés sur un périphérique mobile. Au besoin, vous pouvez également modifier des comptes existants. Attribuer Spécifiez les clients (ordinateurs/périphériques mobiles indépendants ou groupes) destinataires de cette politique. 329 Cliquez sur Attribuer pour afficher tous les groupes statiques et dynamiques et leurs membres. Sélectionnez les clients souhaités, puis cliquez sur OK. Résumé 330 Passez en revue les paramètres de cette politique, puis cliquez sur Terminer. Créer une politique pour MDC pour activer APNS/DEP pour l'inscription iOS IMPORTANT Lorsque vous modifiez le certificat HTTPS utilisé dans votre politique pour MDC, procédez comme suit pour éviter de déconnecter les périphériques mobiles de MDM : 1. Créez et appliquez la politique qui utilise le nouveau certificat HTTPS. 2. Autorisez les périphériques à se connecter au serveur MDM et à recevoir la nouvelle politique. 3. Vérifiez que les périphériques utilisent le nouveau certificat HTTPS (l'échange de certificats HTTPS est terminé). 4. Les périphériques recevront la nouvelle politique dans au moins 72 heures. Une fois que tous les périphériques ont reçu la nouvelle stratégie (l'alerte MDM Core : « Le changement du certificat HTTPS est toujours en cours. L'ancien certificat est toujours utilisé » n'est plus affiché dans l'onglet Alertes), vous pouvez supprimer l'ancienne politique. Voici un exemple de création d'une politique pour le Connecteur de périphérique mobile ESET destinée à activer le service APNS (Apple Push Notification Services) et la fonctionnalité du programme d'inscription de périphériques iOS. Elle est nécessaire pour l'inscription de périphériques iOS. Avant de configurer cette politique, créez un certificat APN et faites-le signer par Apple sur le portail de certificats push Apple pour qu'il devienne un certificat signé ou Certificat APNS. Pour obtenir des instructions pas à pas sur ce processus, consultez la section Certificat APN. Général Saisissez un nom pour cette politique. Le champ Description est facultatif. Paramètres Sélectionnez Connecteur de périphérique mobile ESET dans la liste déroulante. IMPORTANT Si vous avez installé le serveur MDM à l'aide du programme d'installation tout-en-un (et non pas en tant que composant ou composant autonome), le certificat HTTPS a été généré automatiquement pendant l'installation. Cela ne s'applique qu'au programme d'installation d'ERA 6.5 et version ultérieure. Pour tous les autres cas, vous devez appliquer un certificat HTTPS personnalisé. Vous trouverez des informations supplémentaires à la suite de la première étape de la rubrique Mobile Device Management. Vous pouvez utiliser le certificat ESMC (signé par l'autorité de certification ESMC) ou un certificat personnalisé. Vous pouvez également définir la date pour Forcer le changement du certificat. Pour plus d'informations, cliquez l'info-bulle en regard de ce paramètre. REMARQUE Remplacez la chaîne Organization par le nom réel de votre organisation. Ce champ est utilisé par le générateur de profil d'inscription pour inclure cette information dans le profil. 331 Sous Général, vous pouvez éventuellement télécharger votre certificat HTTPS pour l'inscription dans le certificat de signature du profil d'inscription (cela a uniquement une incidence sur l'inscription autre que DEP). Ainsi, la page d'inscription des périphériques iOS visitée pendant l'inscription sera signée et les périphériques seront visibles dans le fichier Signé par selon le certificat. 332 Télécharger les certificats Apple pour l'inscription iOS : accédez à Service de notification Push Apple et téléchargez le Certificat APNS et une Clé privée APNS. 333 Certificat APNS (signé par Apple) : cliquez sur l'icône du dossier et recherchez le certificat APNS pour le télécharger. Il s'agit du fichier que vous avez téléchargé à partir du portail Apple Push Certificates Portal. Clé privée APNS : cliquez sur l'icône du dossier et recherchez la clé privée APNS pour la télécharger. Il s'agit du fichier que vous avez téléchargé pendant la création du certificat APN/DEP. Programme d'amélioration du produit : activez ou désactivez la transmission des rapports de défaillance et des données de télémétrie anonymes à ESET. Journalisation : définissez le détail de journal qui détermine le niveau d’informations collectées et journalisées, de Trace (informations) à Fatal (informations critiques les plus importantes). Si vous créez cette politique pour l'inscription iOS avec le Programme d'inscription des appareils Apple, accédez à Programme d'inscription des appareils Apple (DEP). Programme d'inscription des appareils Apple (DEP) : ces paramètres sont des paramètres DEP uniquement. 334 AVERTISSEMENT Après la configuration initiale, si ces paramètres seront modifiés, vous devrez réinitialiser les paramètres d'usine et réinscrire tous les appareils iOS concernés afin d'appliquer les modifications. Charger le jeton d'autorisation : cliquez sur l'icône du dossier et recherchez le jeton du serveur DEP. Il s'agit du fichier que vous avez téléchargé lors de la création du serveur MDM virtuel à partir du portail Programme d'inscription des appareils Apple (DEP). Installation obligatoire : l'utilisateur ne sera pas en mesure d'utiliser le périphérique sans l'installation du profil MDM. Autoriser l'utilisateur à supprimer le profil MDM : le périphérique doit être en mode Supervisé pour empêcher l'utilisateur de supprimer le profil MDM. Exiger une connexion au domaine : l'utilisateur devra saisir des informations d'identification du domaine dans l'assistant de configuration du périphérique Ignorer les éléments de configuration : ce paramètre permet de choisir quelles étapes de configuration initiale seront ignorées pendant la configuration iOS. Vous trouverez des informations supplémentaires sur chacune de ces étapes dans l'article de la base de connaissances Apple. Affecter Sélectionnez le périphérique qui héberge le serveur MDM ciblé par la politique. Cliquez sur Attribuer pour afficher tous les groupes statiques et dynamiques et leurs membres. Sélectionnez l'instance du Connecteur de périphérique mobile à laquelle vous souhaitez appliquer la politique et cliquez sur OK. Résumé Passez en revue les paramètres de cette politique, puis cliquez sur Terminer. 335 Créer une politique pour appliquer des restrictions sur iOS et ajouter une connexion Wi-Fi Vous pouvez créer une politique pour périphériques mobiles iOS afin d'appliquer certaines restrictions. Il vous est également possible de définir plusieurs connexions Wi-Fi de sorte que, par exemple, les utilisateurs soient automatiquement connectés au réseau Wi-Fi de l'entreprise sur différents sites. Cela s'applique également aux connexions VPN. Les restrictions que vous pouvez appliquer à un périphérique mobile iOS sont classées en catégories. Ainsi, il est possible de désactiver FaceTime et l'utilisation de la caméra, de désactiver certaines fonctionnalités d'iCloud, d'optimiser les options de sécurité et de confidentialité ou de désactiver des applications spécifiques. REMARQUE les restrictions qu'il est possible ou non d'appliquer dépendent de la version d'iOS utilisée par les périphériques clients. iOS 8.x et les versions plus récentes sont prises en charge. L'exemple suivante illustre la désactivation de la caméra et des apps FaceTime et l'ajout de détails de connexion Wi-Fi à la liste afin que le périphérique mobile iOS se connecte à un réseau Wi-Fi chaque fois qu'il est détecté. Si vous utilisez l'option Rejoindre automatiquement les périphériques mobiles iOS se connecteront à ce réseau par défaut. Le paramètre de la politique prendra le pas sur la sélection manuelle d'un réseau Wi-Fi par l'utilisateur. Général Saisissez un nom pour cette politique. Le champ Description est facultatif. Paramètres Sélectionnez ESET Mobile Device Management pour iOS, cliquez sur Restrictions pour afficher les catégories. Utilisez le bouton bascule en regard de Autoriser l'utilisation de la caméra pour la désactiver. La caméra étant désactivée, FaceTime le sera automatiquement aussi. Si vous ne souhaitez désactiver que FaceTime, laissez la caméra activée et utilisez le bouton bascule en regard de Autoriser FaceTime pour désactiver l'application. Après avoir configuré Restrictions, cliquez sur Autres, puis sur Modifier en regard de Liste des connexions Wi-Fi. Une fenêtre s'ouvre avec la liste des connexions Wi-Fi. Cliquez sur Ajouter et spécifiez les détails de 336 connexion du réseau Wi-Fi que vous souhaitez ajouter. Cliquez sur Enregistrer. • Identificateur SSID (Service Set Identifier) : identificateur SSID du réseau Wi-FI à utiliser. • Rejoindre automatiquement : facultatif (activé par défaut), le périphérique rejoint automatiquement ce réseau. Paramètres de sécurité : • Type de chiffrement : sélectionnez le chiffrement approprié dans la liste déroulante. Veillez à ce que cette valeur corresponde bien aux possibilités du réseau Wi-Fi. • Mot de passe : saisissez le mot de passe qui sera utilisé pour l'authentification lors de la connexion au réseau Wi-Fi. Paramètres du proxy : facultatif. Si votre réseau utilise un proxy, spécifiez les valeurs en conséquence. Attribuer Spécifiez les clients (ordinateurs/périphériques mobiles indépendants ou groupes) destinataires de cette politique. 337 Cliquez sur Attribuer pour afficher tous les groupes statiques et dynamiques et leurs membres. Sélectionnez les clients souhaités, puis cliquez sur OK. Résumé 338 Passez en revue les paramètres de cette politique, puis cliquez sur Terminer. Profil de configuration MDM Vous pouvez configurer le profil pour imposer des politiques et des restrictions sur le périphérique mobile géré. Nom du profil Code secret Restrictions Liste des connexions Wi-Fi Liste des connexions VPN Brève description Impose aux utilisateurs finaux de protéger leurs périphériques à l'aide de codes secrets chaque fois qu'ils quittent l'état inactif. Cela garantit le maintien de la protection des informations confidentielles de l'entreprise sur les périphériques gérés. Si plusieurs profils définissent des codes secrets sur un même périphérique, c'est la politique la plus restrictive qui est appliquée. Les profils de restriction limitent les fonctionnalités disponibles pour les utilisateurs de périphériques gérés en restreignant l'utilisation d'autorisations spécifiques liées aux fonctionnalités et aux applications du périphérique, à iCloud, à la sécurité et la confidentialité. Les profils Wi-Fi pousse des paramètres Wi-Fi de l'entreprise directement vers des périphériques gérés pour accès instantané. Les profile VPN poussent des paramètres de réseau privé virtuel de l'entreprise directement vers des périphériques gérés pour que les utilisateurs puissent accéder en toute sécurité à l'infrastructure de l'entreprise à partir de sites distants.Nom de la connexion : consultez le nom de la connexion affiché sur le périphérique. Type de connexion : choisissez le type de connexion activé par ce profil. Chaque type de connexion active différentes fonctionnalités. Serveur : saisissez le nom d'hôte ou l'adresse IP du serveur avec lequel la connexion est établie. Permet à l'administrateur de configurer des comptes de messagerie IMAP/POP3. Comptes de messagerie Comptes Exchange Les profils Exchange ActiveSync permettent aux utilisateurs finaux d'accéder à ActiveSync l'infrastructure de messagerie push de l'entreprise. Il convient de noter que quelques champs sont préremplis et des options qui ne s'appliquent qu'à iOS 5+ . CalDAV - Comptes CalDAV offre des options de configuration permettant aux utilisateurs finaux d'effectuer de calendrier une synchronisation sans fil avec le serveur CalDAV de l'entreprise. CardDAV - Comptes Cette section permet la configuration spécifique de services CardDAV. de contacts Comptes de Les calendriers avec abonnement permettent la configuration des calendriers. calendrier avec abonnement Résolutions des problèmes de MDM 1. Que dois-je faire si le message d'erreur suivant s'affiche : « Le jeton d'inscription est déjà en cours d'utilisation ou n'est pas valide. » ? Il est probable que vous effectuiez une réinscription avec un ancien jeton d'inscription. Créez un jeton de réinscription dans la console Web et utilisez-le. Il est également possible que vous effectuiez une seconde inscription trop rapidement après la première. Vérifiez que le jeton de réinscription est différent du premier. Si ce n'est pas le cas, patientez quelques minutes, puis réessayez de générer un jeton de réinscription. 2. Que dois-je faire si le message d'erreur suivant s'affiche : « échec de la validation du certificat du service » ? Ce message d'erreur indique qu'un problème est lié au certificat du service APNS ou FCM. Il est signalé dans ESMC Web Console comme l'un des avertissements suivants sous les alertes de Système MDM : • Échec de la validation du certificat du service FCM (0x0000000100001002) • Échec de la validation du certificat du service APNS (0x0000000100001000) • La validation du certificat du service de commentaires APNS a échoué (0x0000000100001004) Vérifiez que l'autorité de certification correcte est disponible sur votre système : 339 • Autorité de certification APNS : Autorité de certification Entrust : doit valider le certificat depuis gateway.push.apple.com:2195 ; • Autorité de certification APNS Feedback : Autorité de certification Entrust : doit valider le certificat depuis feedback.push.apple.com:2196 ; • Autorité de certification FCM : Autorité de certification GeoTrust Global : doit valider le certificat depuis android.googleapis.com:443. L'autorité de certification souhaitée doit être incluse dans le magasin de certificats sur l'ordinateur hôte MDM. Sous un système Windows, vous pouvez rechercher « Gérer les certificats racines approuvés ». Sous un système Linux, l'emplacement du certificat dépend de la distribution utilisée. Voici quelques exemples de destinations de magasins de certificats : • sous Debian, CentOS : /usr/lib/ssl/cert.pem, /usr/lib/ssl/certs ; • sous Red Hat : /usr/share/ssl/cert.pem, /usr/share/ssl/certs ; • la commande openssl version -d renvoie généralement le chemin souhaité. Si l'autorité de certification souhaitée n'est pas installée sur le système sur lequel Système MDM est exécuté, installez-la. Après l'installation, redémarrez le service MDC ESMC. AVERTISSEMENT La validation de certificat est une fonctionnalité de sécurité. Si un avertissement s'affiche dans la console web, cela peut également indiquer une menace de sécurité. Mise à jour ESMC ESET Security Management Center Server vérifie régulièrement la disponibilité de mises à jour de l'infrastructure ESMC. Lorsqu'une mise à jour est disponible, une fenêtre contextuelle s'affiche : 340 Vous pouvez consulter les modifications apportées dans la mise à jour disponible d'ESMC en cliquant sur lire un journal des modifications. Si vous n'avez pas sélectionné l'option de mise à jour, vous pouvez afficher la fenêtre contextuelle de mise à jour en cliquant sur ? > Mettre à jour le produit : 341 REMARQUE Seuls les utilisateurs pouvant exécuter la tâche client Mettre à jour les composants Security Management Center peuvent voir la notification de mise à jour. 1. Cliquez sur le bouton Ouvrir les autorités de certification et sauvegardez toutes vos autorités de certification. 2. Cliquez sur le bouton Ouvrir les certificats homologues et sauvegardez tous vos certificats. 3. Cliquez sur le bouton Ouvrir la documentation et sauvegardez la base de données d'ESMC. 4. Cliquez sur le bouton Mettre à jour. Une mise à jour d'ESMC Server est planifiée : dans les tâches client, une nouvelle tâche client permet de mettre à niveau les composants d'ESMC sur l'ordinateur sur lequel ESMC Server est installé. Pour effectuer une mise à jour vers la dernière version des autres composants ESMC sur les périphériques connectés à ESMC Server, vous pouvez déclencher la tâche Mettre à jour les composants Security Management Center directement depuis la fenêtre contextuelle de mise à jour. REMARQUE Pour obtenir des instructions détaillées, reportez-vous à la section Mise à niveau des composants. FAQ Liste des questions 1. Comment résoudre l'erreur « Échec de la connexion, état "non connecté" » ? 2. À quoi sert le groupe « Perdu et trouvé » ? 3. Comment créer un profil de mise à jour double ? 4. Comment actualiser les informations d’une page ou d’une section de la page sans actualiser l’ensemble de la fenêtre du navigateur ? 5. Comment effectuer une installation silencieuse d'ESET Management Agent ? 6. Rogue Detection Sensor ne détecte pas tous les clients sur le réseau. 7. Comment réinitialiser le nombre de menaces actives affichées dans ESMC après le nettoyage des menaces ? 8. Comment configurer une expression CRON pour l'intervalle de connexion d'ESET Management Agent ? 9. Comment créer un nouveau groupe dynamique pour un déploiement automatique ? 10. Lorsque j'importe un fichier contenant la liste des ordinateurs à ajouter à ESMC, quel format de fichier dois-je utiliser ? 11. Quels certificats de tiers peuvent être utilisés pour signer les certificats ESMC ? 342 12. Comment puis-je réinitialiser le mot de passe de l’administrateur pour la console Web (il s’agit du mot de passe saisi pendant la configuration sur les systèmes d’exploitation Windows) ? 13. Comment puis-je réinitialiser le mot de passe de l’administrateur pour la console Web (Linux, saisi pendant la configuration) ? 14. Comment résoudre les problèmes si RD Sensor ne détecte rien ? 15. Je ne vois aucun élément dans la fenêtre des modèles des groupes dynamiques. Pourquoi ? 16. Je ne vois aucune information dans la fenêtre du tableau de bord. Pourquoi ? 17. Comment mettre à niveau mon produit de sécurité ESET ? 18. Comment changer le suffixe de l'adresse de la console Web ? Q : Comment résoudre l'erreur « Échec de la connexion, état "non connecté" » ? R : Vérifiez si le service ESMC Server ou MS SQL Server est en cours d'exécution. Si ce n'est pas le cas, démarrezle. S’il fonctionne, relancez le service, actualisez la console Web puis essayez à nouveau de vous connecter. Pour plus d'informations, reportez-vous à la section Résolution des problèmes liés à la connexion. Q : À quoi sert le groupe « Perdu et trouvé » ? R : Chaque ordinateur qui se connecte au serveur ESMC et qui n'est membre d'aucun groupe statique apparaît automatiquement dans ce groupe. Vous pouvez travailler avec le groupe et les ordinateurs qui le composent de la même manière qu’avec les ordinateurs appartenant à n’importe quel autre groupe statique. Ce groupe peut être renommé ou déplacé dans un autre groupe, mais il ne peut pas être supprimé. Q : Comment créer un profil de mise à jour double ? R : Pour obtenir des instructions détaillées, reportez-vous à cet article de la base de connaissances ESET. Q : Comment actualiser les informations d’une page ou d’une section de la page sans actualiser l’ensemble de la fenêtre du navigateur ? R : Cliquez sur Rafraîchir dans le menu contextuel situé dans la partie supérieure droite d’une section de la page. Q : Comment effectuer une installation silencieuse d'ESET Management Agent ? R : Les méthodes suivantes vous permettent d'effectuer une installation silencieuse : • Script de démarrage GPO • Tâche Déploiement de l'agent • ESET Remote Deployment Tool Q : Rogue Detection Sensor ne détecte pas tous les clients sur le réseau. R : RD Sensor écoute passivement les communications réseau sur le réseau. Si les PC ne sont pas en communication, ils ne sont pas répertoriés par RD Sensor. Vérifiez vos paramètres DNS pour vous assurer que la communication n’est pas bloquée en raison de problèmes liés à la recherche DNS. Q : Comment réinitialiser le nombre de menaces actives affichées dans ESMC après le nettoyage des menaces ? 343 R : Pour réinitialiser le nombre de menaces actives, une analyse complète (analyse En profondeur) doit être effectuée par l'entremise d'ESMC sur les ordinateurs cibles. Si vous avez nettoyé une menace manuellement, vous pouvez mettre l’alerte correspondante en mode silence. Q : Comment configurer une expression CRON pour l'intervalle de connexion d'ESET Management Agent ? R : P_REPLICATION_INTERVAL accepte une expression CRON. La valeur par défaut est « R R/20 * * * ? * » correspondant à des connexions à des secondes aléatoires (R=0-60) chaque 20e minute aléatoire (par exemple 3, 23, 43 ou 17,37,57). Les valeurs aléatoires doivent être utilisées pour l’équilibrage de la charge dans le temps. Ainsi, chaque ESET Management Agent se connecte à une heure aléatoire différente. Si un CRON précis est utilisé, par exemple « 0 * * * * ? * », tous les agents ainsi paramétrés se connecteront en même temps (chaque minute à :00 seconde), et il y aura des pics de charge sur le serveur à ce moment. Pour plus d'informations, reportez-vous à la section Intervalle d'expression CRON. Q : Comment créer un nouveau groupe dynamique pour un déploiement automatique ? R : Pour obtenir des instructions détaillées, reportez-vous à cet article de la base de connaissances ESET. Q : Lorsque j'importe un fichier contenant la liste des ordinateurs à ajouter à ESMC, quel format de fichier dois-je utiliser ? R : Vous devez utiliser un fichier comportant les lignes suivantes : Tous\Groupe1\GroupeN\Ordinateur1 Tous\Groupe1\GroupeM\OrdinateurX Tous est le nom requis pour le groupe racine. Q : Quels certificats de tiers peuvent être utilisés pour signer les certificats ESMC ? R :Le certificat doit être un certificat AC (ou AC intermédiaire) muni de l’indicateur 'keyCertSign' de la contrainte 'keyUsage'. Cela signifie que ce certificat peut être utilisé pour signer d’autres certificats. Q : Comment puis-je réinitialiser le mot de passe de l’administrateur pour la console Web (il s’agit du mot de passe saisi pendant la configuration sur les systèmes d’exploitation Windows) ? R : Il est possible de réinitialiser le mot de passe en exécutant le programme d'installation du serveur et en choisissant Réparer. Il est possible que vous ayez besoin du mot de passe de la base de données ESMC si vous n'avez pas utilisé l'authentification Windows lors de la création de la base de données. Consultez l'article de la base de connaissances sur ce thème. REMARQUE vous devez faire attention, car certaines des opérations de réparation peuvent éventuellement entraîner la suppression des données stockées. Q : Comment puis-je réinitialiser le mot de passe de l’administrateur pour la console Web (Linux, saisi pendant la configuration) ? R : S'il existe un autre utilisateur dans ESMC disposant des droits suffisants, vous devriez pouvoir réinitialiser le 344 mot de passe du compte administrateur. Mais si l'administrateur est le seul compte dans le système (il est créé lors de l’installation), vous ne pouvez pas réinitialiser ce mot de passe. • Réinstallez ESMC, recherchez l'entrée de la base de données correspondant au compte Administrateur, et mettez l’ancienne base de données à jour selon cette entrée. Généralement, la meilleure solution consiste à sauvegarder les informations d’identification du compte Administrateur dans un endroit sûr et de créer de nouveaux utilisateurs avec le jeu de privilèges souhaité. Dans l'idéal, le compte Administrateur ne doit pas être utilisé à d’autres fins que pour la création d’autres utilisateurs ou la réinitialisation de leurs comptes. • Consultez l'article de la base de connaissances sur ce thème. Q : Comment résoudre les problèmes si RD Sensor ne détecte rien ? R : Si votre système d'exploitation est détecté en tant que périphérique réseau, il ne sera pas communiqué à ESMC en tant qu'ordinateur. Les périphériques réseau (imprimantes, routeurs) sont exclus. RD Sensor a été compilé avec libpcap version 1.3.0, vérifiez que cette version est bien installée sur votre système. La seconde exigence concerne l’existence d’un réseau ponté depuis la machine virtuelle sur laquelle est installé RD Sensor. Si ces exigences sont satisfaites, exécutez nmap avec détection du système d’exploitation (http://nmap.org/book/osdetect-usage.html) pour vérifier si l’OS de votre ordinateur peut être détecté. Q : Je ne vois aucun élément dans la fenêtre des modèles des groupes dynamiques. Pourquoi ? R : Il est plus que probable que vos utilisateurs ne disposent pas d'autorisations suffisantes. Les utilisateurs peuvent voir les modèles uniquement s'ils sont contenus dans un groupe statique pour lequel les utilisateurs se sont vus attribuer une autorisation Lire pour les modèles de groupe dynamique. Q : Je ne vois aucune information dans la fenêtre du tableau de bord. Pourquoi ? R : Il est plus que probable que vos utilisateurs ne disposent pas d'autorisations suffisantes. Pour que les données soient affichées, les utilisateurs doivent disposer d'autorisations sur les ordinateurs et le tableau de bord. Reportez-vous à l'exemple de jeu d'autorisations. Q : Comment mettre à niveau mon produit de sécurité ESET ? R : Utilisez la tâche Installation de logiciels et sélectionnez le produit à mettre à niveau. Q : Comment changer le suffixe de l'adresse de la console Web ? R : Si l'adresse de la console Web est 10.1.0.5/era, par exemple, et que vous souhaitez modifier le suffixe era, ne renommez jamais le dossier. Il n'est pas recommandé de changer l'adresse. Si vous devez toutefois le faire, créez un lien dans le dossier webapps avec un autre nom. Par exemple, sous Linux ou dans l'appliance virtuelle, vous pouvez utiliser la commande suivante : ln -sf /var/lib/tomcat/webapps/era/ /var/lib/tomcat/webapps/esmc Après avoir exécuté cette commande dans le terminal, votre console Web est accessible également à l'adresse 10.1.0.5/esmc (remplacez l'adresse IP par la vôtre). 345 À propos d'ESET Security Management Center Pour ouvrir la fenêtre À propos de, accédez au menu Aide > À propos de. Cette fenêtre comporte des informations détaillées sur la version d'ESET Security Management Center installée, et répertorie les modules du programme installés. La partie supérieure de la fenêtre comporte des informations sur le système d'exploitation et les ressources du système. Vous verrez aussi une licence utilisée par ESMC pour télécharger les mises à jour des modules (la même que pour activer ESMC). Des informations sur la base de données, telles que le nom, la version, la taille, le nom d'hôte et l'utilisateur, figurent également dans cette fenêtre. REMARQUE Pour obtenir des instructions afin de déterminer la version d'un composant ESMC, reportez-vous à notre article de la base de connaissances. Contrat de Licence de l'Utilisateur Final (CLUF) IMPORTANT : veuillez lire attentivement les termes et conditions d’application du produit stipulés ci-dessous avant de télécharger, d’installer, de copier ou d’utiliser le produit. EN TÉLÉCHARGEANT, INSTALLANT, COPIANT OU UTILISANT LE LOGICIEL, VOUS ACCEPTEZ CES TERMES ET CONDITIONS. Contrat de Licence pour l’Utilisateur Final du Logiciel. Selon les termes du présent Contrat de Licence pour l'Utilisateur Final du Logiciel (« Contrat ») signé par et entre ESET, spol s.r.o., dont le siège social se situe au Einsteinova 24, 851 01 Bratislava, République slovaque, inscrite au Registre du Commerce du tribunal de Bratislava I. Section Sro, Insertion No 3586/B, numéro d'inscription des entreprises : 31 333 535 (« ESET » ou « Fournisseur ») et vous, personne physique ou morale, (« vous » ou « Utilisateur Final »), vous êtes autorisé à utiliser le Logiciel défini à l'article 1 du présent Contrat. Dans le cadre des modalités indiquées ci-dessous, le Logiciel défini à l’article 1 du présent Contrat peut être enregistré sur un support de données, envoyé par courrier électronique, téléchargé sur Internet, téléchargé à partir de serveurs du Fournisseur ou obtenu à partir d’autres sources. CE DOCUMENT N’EST PAS UN CONTRAT D’ACHAT, MAIS UN ACCORD LIÉ AUX DROITS DE L’UTILISATEUR FINAL. Le Fournisseur reste le propriétaire de la copie du Logiciel et du support physique fourni dans l’emballage commercial, et de toutes les copies du Logiciel que l’Utilisateur Final est autorisé à faire dans le cadre du présent Contrat. En cliquant sur « J’accepte » ou « J’accepte ...» lorsque vous téléchargez, installez, copiez ou utilisez le Logiciel, vous acceptez les termes et conditions du présent Contrat. Si vous n’êtes pas d’accord avec tous les termes et conditions du présent Contrat, cliquez immédiatement sur l'option d'annulation, annulez le téléchargement ou l'installation, détruisez ou renvoyez le Logiciel, le support d'installation, la documentation connexe et une facture au Fournisseur ou à l'endroit où vous avez obtenu le Logiciel. VOUS RECONNAISSEZ QUE VOTRE UTILISATION DU LOGICIEL INDIQUE QUE VOUS AVEZ LU ET COMPRIS LE PRÉSENT CONTRAT ET ACCEPTÉ D'EN RESPECTER LES TERMES ET CONDITIONS. 1. Logiciel. Dans le cadre du présent Contrat, le terme « Logiciel » désigne : (i) le programme informatique et tous ses composants ; (ii) le contenu des disques, des CD-ROM, des DVD, des courriers électroniques et de leurs pièces jointes, ou de tout autre support auquel le présent Contrat est attaché, dont le formulaire de code objet fourni sur un support de données, par courrier électronique ou téléchargé par le biais d’Internet ; (iii) tous documents explicatifs écrits et toute documentation relative au Logiciel, en particulier, toute description du Logiciel, ses caractéristiques, description des propriétés, description de l’utilisation, description de l’interface du système d’exploitation sur lequel le Logiciel est utilisé, guide d’installation ou d’utilisation du Logiciel ou description de l’utilisation correcte du Logiciel (« Documentation ») ; (iv) les copies du Logiciel, les correctifs d’erreurs du Logiciel, les ajouts au Logiciel, ses extensions, ses versions modifiées et les mises à jour des parties du Logiciel, si elles sont fournies, au titre desquels le Fournisseur vous octroie la Licence conformément à l’article 3 du présent Contrat. Le Logiciel ne sera fourni que sous la forme d’un code objet exécutable. 2. Installation, Ordinateur et Clé de licence. Le Logiciel fourni sur un support de données, envoyé par courrier 346 électronique, téléchargé à partir d’Internet ou de serveurs du Fournisseur ou obtenu à partir d’autres sources nécessite une installation. Vous devez installer le Logiciel sur un Ordinateur correctement configuré, qui doit au moins satisfaire les exigences spécifiées dans la Documentation. La méthode d'installation est décrite dans la Documentation. L'Ordinateur sur lequel le Logiciel sera installé doit être exempt de tout programme ou matériel susceptible de nuire au bon fonctionnement du Logiciel. Le terme Ordinateur désigne le matériel, notamment les ordinateurs personnels, ordinateurs portables, postes de travail, ordinateurs de poche, smartphones, appareils électroniques portatifs ou autres appareils électroniques, pour lequel le Logiciel a été conçu et sur lequel il sera installé et/ou utilisé. Le terme Clé de licence désigne la séquence unique de symboles, lettres, chiffres ou signes spéciaux fournie à l'Utilisateur Final afin d'autoriser l'utilisation légale du Logiciel, de sa version spécifique ou de l'extension de la durée de la Licence conformément au présent Contrat. 3. Licence. Sous réserve que vous ayez accepté les termes du présent Contrat et que vous respectiez tous les termes et conditions stipulés dans le présent Contrat, le Fournisseur vous accorde les droits suivants (« Licence ») : a) Installation et utilisation. Vous détenez un droit non exclusif et non transférable d’installer le Logiciel sur le disque dur d’un ordinateur ou sur un support similaire de stockage permanent de données, d’installer et de stocker le Logiciel dans la mémoire d’un système informatique et d’exécuter, de stocker et d’afficher le Logiciel. b) Précision du nombre de licences. Le droit d’utiliser le Logiciel est lié au nombre d’Utilisateurs Finaux. On entend par « Utilisateur Final » : (i) l’installation du Logiciel sur un seul système informatique, ou (ii) si l’étendue de la Licence est liée au nombre de boîtes aux lettres, un Utilisateur Final désigne un utilisateur d’ordinateur qui reçoit un courrier électronique par le biais d’un client de messagerie. Si le client de messagerie accepte du courrier électronique et le distribue automatiquement par la suite à plusieurs utilisateurs, le nombre d’Utilisateurs Finaux doit être déterminé en fonction du nombre réel d’utilisateurs auxquels le courrier électronique est distribué. Si un serveur de messagerie joue le rôle de passerelle de courriel, le nombre d’Utilisateurs Finaux est égal au nombre de serveurs de messagerie pour lesquels la passerelle fournit des services. Si un certain nombre d’adresses de messagerie sont affectées à un seul et même utilisateur (par l’intermédiaire d’alias) et que ce dernier les accepte et si les courriels ne sont pas distribués automatiquement du côté du client à d’autres utilisateurs, la Licence n’est requise que pour un seul ordinateur. Vous ne devez pas utiliser la même Licence au même moment sur plusieurs ordinateurs. L'Utilisateur Final n'est autorisé à saisir la Clé de licence du Logiciel que dans la mesure où il a le droit d'utiliser le Logiciel conformément à la limite découlant du nombre de licences accordées par le Fournisseur. La Clé de licence est confidentielle. Vous ne devez pas partager la Licence avec des tiers ni autoriser des tiers à utiliser la Clé de licence, sauf si le présent Contrat ou le Fournisseur le permet. Si votre Clé de licence est endommagée, informez-en immédiatement le Fournisseur. c) Version Business Edition. Une version Business Edition du Logiciel est requise pour utiliser le Logiciel sur des serveurs de courrier, relais de courrier, passerelles de courrier ou passerelles Internet. d) Durée de la Licence. Le droit d’utiliser le Logiciel est limité dans le temps. e) Logiciel acheté à un fabricant d’équipement informatique. La Licence du Logiciel acheté à un fabricant d’équipement informatique ne s’applique qu’à l’ordinateur avec lequel vous l’avez obtenu. Elle ne peut pas être transférée à un autre ordinateur. f) Version d’évaluation ou non destinée à la revente. Un Logiciel classé comme non destiné à la revente ou comme version d’évaluation ne peut pas être vendu et ne doit être utilisé qu’aux fins de démonstration ou d’évaluation des caractéristiques du Logiciel. g) Résiliation de la Licence. La Licence expire automatiquement à la fin de la période pour laquelle elle a été accordée. Si vous ne respectez pas les dispositions du présent Contrat, le Fournisseur est en droit de mettre fin au Contrat, sans renoncer à tout droit ou recours juridique ouvert au Fournisseur dans de tels cas. En cas d’annulation du présent Contrat, vous devez immédiatement supprimer, détruire ou renvoyer à vos frais le Logiciel et toutes les copies de sauvegarde à ESET ou à l’endroit où vous avez obtenu le Logiciel. Lors de la résiliation de la Licence, le Fournisseur est en droit de mettre fin au droit de l'Utilisateur final à l'utilisation des fonctions du Logiciel, qui nécessitent une connexion aux serveurs du Fournisseur ou à des serveurs tiers. 4. Fonctions avec des exigences en matière de connexion Internet et de collecte de données. Pour fonctionner correctement, le Logiciel nécessite une connexion Internet et doit se connecter à intervalles réguliers aux serveurs du Fournisseur ou à des serveurs tiers et collecter des données en conformité avec la Politique de 347 confidentialité. Une connexion Internet et une collecte de données sont requises pour les fonctions suivantes du Logiciel : a) Mises à jour du Logiciel. Le Fournisseur est autorisé à publier des mises à jour du Logiciel (« Mises à jour ») de temps à autre, mais n’en a pas l’obligation. Cette fonction est activée dans la configuration standard du Logiciel ; les Mises à jour sont donc installées automatiquement, sauf si l’Utilisateur Final a désactivé l’installation automatique des Mises à jour. Pour la mise à disposition de Mises à jour, une vérification de l'authenticité de la Licence est requise. Elle comprend notamment la collecte d'informations sur l'Ordinateur et/ou la plate-forme sur lesquels le Logiciel est installé, en conformité avec la Politique de confidentialité. b) Transfert des Informations au Fournisseur. Le Logiciel contient des fonctions qui collectent des données sur le processus d'installation, l'Ordinateur ou la plate-forme hébergeant le Logiciel, des informations sur les opérations et fonctions du Logiciel et des informations sur les périphériques administrés (« Informations »), puis les envoient au Fournisseur. Les Informations peuvent contenir des données (notamment des données personnelles obtenues aléatoirement ou accidentellement) sur les périphériques administrés. Si vous activez cette fonction du Logiciel, les Informations peuvent être collectées et traitées par le Fournisseur, comme stipulé dans la Politique de confidentialité et conformément aux réglementations en vigueur. Le Logiciel requiert un composant installé sur l'ordinateur administré qui permet le transfert des informations entre l'ordinateur administré et le logiciel d'administration à distance. Les informations, qui sont sujettes au transfert, contiennent des données d'administration telles que des informations sur le matériel et les logiciels de l'ordinateur administré ainsi que des instructions d'administration provenant du logiciel d'administration à distance. Le contenu des autres données transférées depuis l'ordinateur administré doit être déterminé par les paramètres du logiciel installé sur l'ordinateur administré. Le contenu des instructions du logiciel d'administration doit être déterminé par les paramètres du logiciel d'administration à distance. Aux fins du présent Contrat, il est nécessaire de collecter, traiter et stocker des données permettant au Fournisseur de vous identifier conformément à la Politique de confidentialité. Vous acceptez que le Fournisseur vérifie à l'aide de ses propres moyens si vous utilisez le Logiciel conformément aux dispositions du présent Contrat. Vous reconnaissez qu'aux fins du présent Contrat, il est nécessaire que vos données soient transférées pendant les communications entre le Logiciel et les systèmes informatiques du Fournisseur ou de ceux de ses partenaires commerciaux, dans le cadre du réseau de distribution et de support du Fournisseur, afin de garantir les fonctionnalités du Logiciel, l'autorisation d'utiliser le Logiciel et la protection des droits du Fournisseur. Après la conclusion du présent Contrat, le Fournisseur et ses partenaires commerciaux, dans le cadre du réseau de distribution et de support du Fournisseur, sont autorisés à transférer, à traiter et à stocker des données essentielles vous identifiant, aux fins de facturation, d'exécution du présent Contrat et de transmission de notifications sur votre Ordinateur. Vous acceptez de recevoir des notifications et des messages, notamment des informations commerciales. Des informations détaillées sur la vie privée, la protection des données personnelles et Vos droits en tant que personne concernée figurent dans la Politique de confidentialité, disponible sur le site Web du Fournisseur et directement accessible à partir de l'installation. Vous pouvez également la consulter depuis la section d'aide du Logiciel. 5. Exercice des droits de l'Utilisateur Final. Vous devez exercer les droits de l’Utilisateur Final en personne ou par l’intermédiaire de vos employés. Vous n'êtes autorisé à utiliser le Logiciel que pour assurer la sécurité de vos opérations et protéger les Ordinateurs ou systèmes informatiques pour lesquels vous avez obtenu une Licence. 6. Restrictions des droits. Vous ne pouvez pas copier, distribuer, extraire des composants ou créer des travaux dérivés basés sur le Logiciel. Vous devez respecter les restrictions suivantes lorsque vous utilisez le Logiciel : (a) Vous pouvez effectuer une copie de sauvegarde archivée du Logiciel sur un support de stockage permanent, à condition que cette copie de sauvegarde archivée ne soit pas installée ni utilisée sur un autre ordinateur. Toutes les autres copies que vous pourriez faire du Logiciel seront considérées comme une violation du présent Contrat. (b) Vous n’êtes pas autorisé à utiliser, modifier, traduire, reproduire ou transférer les droits d’utilisation du Logiciel ou des copies du Logiciel d’aucune manière autre que celles prévues dans le présent Contrat. 348 (c) Vous ne pouvez pas vendre, concéder en sous-licence, louer à bail ou louer le Logiciel ou utiliser le Logiciel pour offrir des services commerciaux. (d) Vous ne pouvez pas rétroconcevoir, décompiler ou désassembler le Logiciel ni tenter de toute autre façon de découvrir le code source du Logiciel, sauf dans la mesure où cette restriction est expressément interdite par la loi. (e) Vous acceptez de n’utiliser le Logiciel que de façon conforme à toutes les lois applicables de la juridiction dans laquelle vous utilisez le Logiciel, notamment les restrictions applicables relatives aux droits d’auteur et aux droits de propriété intellectuelle. (f) Vous acceptez de n'utiliser le Logiciel et ses fonctions que de façon à ne pas entraver la possibilité des autres Utilisateurs Finaux à accéder à ces services. Le Fournisseur se réserve le droit de limiter l'étendue des services fournis à chacun des Utilisateurs Finaux, pour permettre l'utilisation des services au plus grand nombre possible d'Utilisateurs Finaux. Le fait de limiter l'étendue des services implique aussi la résiliation totale de la possibilité d'utiliser toute fonction du Logiciel ainsi que la suppression des Données et des informations présentes sur les serveurs du Fournisseur ou sur des serveurs tiers, qui sont afférentes à une fonction particulière du Logiciel. (g) Vous acceptez de ne pas exercer d'activités impliquant l'utilisation de la Clé de licence, qui soit contraire aux termes du présent Contrat, ou conduisant à fournir la Clé de licence à toute personne n'étant pas autorisée à utiliser le logiciel (comme le transfert d'une Clé de licence utilisée ou non utilisée ou la distribution de Clés de licence dupliquées ou générées ou l'utilisation du Logiciel suite à l'emploi d'une Clé de licence obtenue d'une source autre que le Fournisseur). 7. Droits d'auteur. Le Logiciel et tous les droits inclus, notamment les droits d’auteur et les droits de propriété intellectuelle sont la propriété d’ESET et/ou de ses concédants de licence. ESET est protégée par les dispositions des traités internationaux et par toutes les lois nationales applicables dans le pays où le Logiciel est utilisé. La structure, l’organisation et le code du Logiciel sont des secrets commerciaux importants et des informations confidentielles appartenant à ESET et/ou à ses concédants de licence. Vous n’êtes pas autorisé à copier le Logiciel, sauf dans les exceptions précisées en 6 (a). Toutes les copies que vous êtes autorisé à faire en vertu du présent Contrat doivent contenir les mentions relatives aux droits d’auteur et de propriété qui apparaissent sur le Logiciel. Si vous rétroconcevez, décompilez ou désassemblez le Logiciel ou tentez de toute autre façon de découvrir le code source du Logiciel, en violation des dispositions du présent Contrat, vous acceptez que les données ainsi obtenues doivent être automatiquement et irrévocablement transférées au Fournisseur dans leur totalité, dès que de telles données sont connues, indépendamment des droits du Fournisseur relativement à la violation du présent Contrat. 8. Réservation de droits. Le Fournisseur se réserve tous les droits sur le Logiciel, à l’exception des droits qui vous sont expressément garantis en vertu des termes du présent Contrat en tant qu’Utilisateur Final du Logiciel. 9. Versions multilingues, logiciel sur plusieurs supports, copies multiples. Si le Logiciel est utilisé sur plusieurs plateformes et en plusieurs langues, ou si vous recevez plusieurs copies du Logiciel, vous ne pouvez utiliser le Logiciel que pour le nombre de systèmes informatiques ou de versions pour lesquels vous avez obtenu une Licence. Vous ne pouvez pas vendre, louer à bail, louer, concéder en sous-licence, prêter ou transférer des versions ou des copies du Logiciel que vous n’utilisez pas. 10. Début et fin du Contrat. Ce Contrat entre en vigueur à partir du jour où vous en acceptez les modalités. Vous pouvez résilier ce Contrat à tout moment en désinstallant de façon permanente, détruisant et renvoyant, à vos frais, le Logiciel, toutes les copies de sauvegarde et toute la documentation associée remise par le Fournisseur ou ses partenaires commerciaux. Quelle que soit la façon dont ce Contrat se termine, les dispositions énoncées aux articles 7, 8, 11, 13, 19 et 21 continuent de s’appliquer pour une durée illimitée. 11. DÉCLARATIONS DE L’UTILISATEUR FINAL. EN TANT QU’UTILISATEUR FINAL, VOUS RECONNAISSEZ QUE LE LOGICIEL EST FOURNI « EN L’ÉTAT », SANS AUCUNE GARANTIE D’AUCUNE SORTE, QU’ELLE SOIT EXPRESSE OU IMPLICITE, DANS LA LIMITE PRÉVUE PAR LA LOI APPLICABLE. NI LE FOURNISSEUR, NI SES CONCÉDANTS DE LICENCE, NI SES FILIALES, NI LES DÉTENTEURS DE DROIT D’AUTEUR NE FONT UNE QUELCONQUE DÉCLARATION OU N’ACCORDENT DE GARANTIE EXPRESSE OU IMPLICITE QUELCONQUE, NOTAMMENT DES GARANTIES DE VENTE, DE CONFORMITÉ À UN OBJECTIF PARTICULIER OU SUR LE FAIT QUE LE LOGICIEL NE PORTE PAS ATTEINTE À DES BREVETS, DROITS D’AUTEURS, MARQUES OU AUTRES DROITS DÉTENUS PAR UN TIERS. NI LE FOURNISSEUR NI AUCUN AUTRE TIERS NE GARANTIT QUE LES FONCTIONS DU LOGICIEL RÉPONDRONT À VOS ATTENTES OU QUE LE FONCTIONNEMENT DU LOGICIEL SERA CONTINU ET EXEMPT D’ERREURS. VOUS ASSUMEZ L’ENTIÈRE 349 RESPONSABILITÉ ET LES RISQUES LIÉS AU CHOIX DU LOGICIEL POUR L’OBTENTION DES RÉSULTATS ESCOMPTÉS ET POUR L’INSTALLATION, L’UTILISATION ET LES RÉSULTATS OBTENUS. 12. Aucune obligation supplémentaire. À l’exception des obligations mentionnées explicitement dans le présent Contrat, aucune obligation supplémentaire n’est imposée au Fournisseur et à ses concédants de licence. 13. LIMITATION DE GARANTIE. DANS LA LIMITE MAXIMALE PRÉVUE PAR LES LOIS APPLICABLES, LE FOURNISSEUR, SES EMPLOYÉS OU SES CONCÉDANTS DE LICENCE NE SERONT EN AUCUN CAS TENUS POUR RESPONSABLES D’UNE QUELCONQUE PERTE DE PROFIT, REVENUS, VENTES, DONNÉES, OU DES FRAIS D’OBTENTION DE BIENS OU SERVICES DE SUBSTITUTION, DE DOMMAGE MATÉRIEL, DOMMAGE PHYSIQUE, INTERRUPTION D’ACTIVITÉ, PERTE DE DONNÉES COMMERCIALES, OU DE TOUT DOMMAGE DIRECT, INDIRECT, FORTUIT, ÉCONOMIQUE, DE GARANTIE, PUNITIF, SPÉCIAL OU CORRÉLATIF, QUELLE QU’EN SOIT LA CAUSE ET QUE CE DOMMAGE DÉCOULE D’UNE RESPONSABILITÉ CONTRACTUELLE, DÉLICTUELLE OU D’UNE NÉGLIGENCE OU DE TOUTE AUTRE THÉORIE DE RESPONSABILITÉ, LIÉE À L’INSTALLATION, À L’UTILISATION OU À L’IMPOSSIBILITÉ D’UTILISER LE LOGICIEL, MÊME SI LE FOURNISSEUR OU SES CONCÉDANTS DE LICENCE ONT ÉTÉ AVERTIS DE L’ÉVENTUALITÉ D’UN TEL DOMMAGE. CERTAINS PAYS ET CERTAINES LOIS N’AUTORISANT PAS L’EXCLUSION DE RESPONSABILITÉ, MAIS AUTORISANT LA LIMITATION DE RESPONSABILITÉ, LA RESPONSABILITÉ DU FOURNISSEUR, DE SES EMPLOYÉS OU DE SES CONCÉDANTS DE LICENCE SERA LIMITÉE AU MONTANT QUE VOUS AVEZ PAYÉ POUR LA LICENCE. 14. Aucune disposition du présent Contrat ne porte atteinte aux droits accordés par la loi de toute partie agissant comme client si l’exécution y est contraire. 15. Assistance technique. ESET ou des tiers mandatés par ESET fourniront une assistance technique à leur discrétion, sans garantie ni déclaration solennelle. L’Utilisateur Final devra peut-être sauvegarder toutes les données, logiciels et programmes existants avant que l’assistance technique ne soit fournie. ESET et/ou les tiers mandatés par ESET ne seront en aucun cas tenus responsables d’un quelconque dommage ou d’une quelconque perte de données, de biens, de logiciels ou de matériel, ou d’une quelconque perte de profit en raison de la fourniture de l’assistance technique. ESET et/ou les tiers mandatés par ESET se réservent le droit de décider si l’assistance technique couvre la résolution du problème. ESET se réserve le droit de refuser, de suspendre l’assistance technique ou d’y mettre fin à sa discrétion. Des informations de licence, d'autres informations et des données conformes à la Politique de confidentialité peuvent être requises en vue de fournir une assistance technique. 16. Transfert de Licence. Le Logiciel ne peut pas être transféré d’un système informatique à un autre, à moins d’une précision contraire dans les modalités du présent Contrat. L’Utilisateur Final n’est autorisé qu’à transférer de façon définitive la Licence et tous les droits accordés par le présent Contrat à un autre Utilisateur Final avec l’accord du Fournisseur, si cela ne s’oppose pas aux modalités du présent Contrat et dans la mesure où (i) l’Utilisateur Final d’origine ne conserve aucune copie du Logiciel ; (ii) le transfert des droits est direct, c’est-à-dire qu’il s’effectue directement de l’Utilisateur Final original au nouvel Utilisateur Final ; (iii) le nouvel Utilisateur Final assume tous les droits et devoirs de l’Utilisateur Final d’origine en vertu du présent Contrat ; (iv) l’Utilisateur Final d’origine transmet au nouvel Utilisateur Final toute la documentation permettant de vérifier l’authenticité du Logiciel, conformément à l’article 17. 17. Vérification de l’authenticité du Logiciel. L’Utilisateur final peut démontrer son droit d'utiliser le Logiciel de l'une des façons suivantes : (i) au moyen d'un certificat de licence émis par le Fournisseur ou un tiers mandaté par le Fournisseur ; (ii) au moyen d'un contrat de licence écrit, si un tel contrat a été conclu ; (iii) en présentant un courrier électronique envoyé au Fournisseur contenant tous les renseignements sur la licence (nom d'utilisateur et mot de passe). Des informations de licence et des données d'identification de l'Utilisateur Final conformes à la Politique de confidentialité peuvent être requises en vue de vérifier l'authenticité du Logiciel. 18. Licence pour les pouvoirs publics et le gouvernement des États-Unis. Le Logiciel est fourni aux pouvoirs publics, y compris le gouvernement des États-Unis, avec les droits de Licence et les restrictions mentionnés dans le présent Contrat. 19. Contrôle à l’exportation et à la réexportation. Le Logiciel, la Documentation ou leurs parties, y compris les informations sur le Logiciel ou ses composants, seront soumis aux mesures sur le contrôle des importations et des exportations conformément aux réglementations légales qui peuvent être publiées par les gouvernements compétents à ce sujet, en vertu de la loi applicable, y compris les règlements relatifs à l’administration des 350 exportations des États-Unis, ainsi que les restrictions relatives aux utilisateurs finaux, à l’utilisation finale et à la destination émises par le gouvernement des États-Unis et les autres gouvernements. Vous acceptez de vous conformer strictement à tous les règlements d’importation et d’exportation applicables et de reconnaître que vous pourrez être tenu responsable de l’obtention des licences pour l’exportation, la réexportation, le transfert ou l’importation du Logiciel. 20. Avis. Tous les avis, les renvois du Logiciel et la documentation doivent être livrés à : ESET, spol. s r. o., Einsteinova 24, 851 01 Bratislava, République Slovaque. 21. Loi applicable. Le présent Contrat est régi par la loi de la République Slovaque et interprété conformément à celle-ci. L’Utilisateur Final et le Fournisseur conviennent que les principes relatifs aux conflits de la loi applicable et la Convention des Nations Unies sur les contrats pour la Vente internationale de marchandises ne s’appliquent pas. Vous acceptez expressément que le tribunal de Bratislava I. arbitre tout litige ou conflit avec le Fournisseur ou en relation avec votre utilisation du Logiciel, et vous reconnaissez expressément que le tribunal a la juridiction pour de tels litiges ou conflits. 22. Dispositions générales. Si une disposition du présent Contrat s’avère nulle et inopposable, cela n’affectera pas la validité des autres dispositions du présent Contrat. Ces dispositions resteront valables et opposables en vertu des conditions stipulées dans le présent Contrat. Le présent Contrat ne pourra être modifié que par un avenant écrit et signé par un représentant autorisé du Fournisseur ou une personne expressément autorisée à agir à ce titre en vertu d’un contrat de mandat. Le présent Contrat constitue l'intégralité du Contrat entre vous et le Fournisseur en ce qui concerne le Logiciel et remplace l'ensemble des précédentes déclarations, discussions, promesses, communications ou publicités concernant le Logiciel. Politique de confidentialité ESET, spol. s r.o., dont le siège social est établi au Einsteinova 24, 851 01 Bratislava, Slovaquie, enregistrée au registre du commerce géré par le Tribunal de district de Bratislava I, Section Sro, Entrée No 3586/B, Numéro d'identification de l'entreprise 31 333 535, en tant que Contrôleur des données (« ESET » ou « Nous ») souhaite faire preuve de transparence en ce qui concerne le traitement des données personnelles et la confidentialité des clients. Pour cela, Nous publions cette Politique de confidentialité dans le seul but d'informer notre client (« Utilisateur Final » ou « Vous ») sur les sujets suivants : • traitement des données personelles, • confidentialité des données, • droits des personnes concernées. Traitement des données personelles Les services ESET qui sont implémentés dans le produit sont fournis selon les termes du Contrat de Licence de l'Utilisateur Final (« CLUF »), mais certains d'entre eux peuvent nécessiter une attention particulière. Nous souhaitons Vous donner plus de détails sur la collecte de données liée à la fourniture de nos services. Nous proposons différents services qui sont décrits dans le Contrat de Licence de L'utilisateur Final et la documentation produit, tels qu'un service de mise à jour/mise à niveau, ESET LiveGrid®, une protection contre toute utilisation abusive des données, une assistance, etc. Pour que tous ces services soient fonctionnels, Nous devons collecter les informations suivantes : • La gestion des produits de sécurité ESET requiert les informations suivantes et les stocke localement : ID et nom de l'appareil, nom du produit, informations sur la licence, informations sur l'activation et l'expiration, informations matérielles et logicielles concernant l'ordinateur administré avec le produit de sécurité ESET installé. Les journaux relatifs aux activités des produits de sécurité ESET et des appareils administrés sont collectés et disponibles afin de faciliter la gestion et la supervision des fonctionnalités et des services sans soumission automatique à ESET. • Des informations concernant l'installation, notamment la plate-forme sur laquelle notre produit est installé, et 351 des informations sur les opérations et fonctionnalités de nos produits (empreinte matérielle, identifiants d'installation, vidages sur incident, identifiants de licence, adresse IP, adresse MAC, paramètres de configuration du produit qui peuvent également inclure les appareils administrés) ; • Des informations de licence, telles que l'identifiant de la licence, et des données personnelles comme le nom, le prénom, l'adresse, l'adresse e-mail sont nécessaires pour la facturation, la vérification de l'authenticité de la licence et la fourniture de nos services. • Des coordonnées et des données contenues dans vos demandes d'assistance sont requises pour la fourniture du service d'assistance. Selon le canal que Vous choisissez pour nous contacter, Nous pouvons collecter votre adresse e-mail, votre numéro de téléphone, des informations sur la licence, des détails sur le produit et la description de votre demande d'assistance. Nous pouvons Vous demander de nous fournir d'autres informations pour faciliter la fourniture du service d'assistance, comme des fichiers journaux. • Les données concernant l'utilisation de notre service sont entièrement anonymes à la fin de la session. Aucune information personnellement identifiable n'est stockée après la fin de la session. Confidentialité des données ESET est une entreprise présente dans le monde entier par le biais d'entités affiliées et de partenaires du réseau de distribution, de service et d'assistance ESET. Les informations traitées par ESET peuvent être transférées depuis et vers les entités affiliées ou les partenaires pour l'exécution du CLUF (pour la fourniture de services, l'assistance ou la facturation, par exemple). Selon votre position géographique et le service que Vous choisissez d'utiliser, il est possible que Nous devions transférer vos données vers un pays en l'absence de décision d'adéquation de la Commission européenne. Même dans ce cas, chaque transfert d'informations est soumis à la législation en matière de protection des données et n'est effectué que si cela s'avère nécessaire. Des clauses contractuelles standard, des règles d'entreprise contraignantes ou toute autre protection adéquate doivent être mises en place, sans aucune exception. Nous faisons tout notre possible pour éviter que les données soient stockées plus longtemps que nécessaire, tout en fournissant les services en vertu du Contrat de Licence de l'Utilisateur Final. Notre période de rétention peut être plus longue que la durée de validité de votre licence, pour vous donner le temps d'effectuer votre renouvellement. Des statistiques réduites et rendues anonymes et d'autres données anonymes d'ESET LiveGrid® peuvent être traitées ultérieurement à des fins statistiques. ESET met en place des mesures techniques et organisationnelles adéquates pour assurer un niveau de sécurité adapté aux risques potentiels. Nous faisons tout notre possible pour garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement. Toutefois, en cas de violation de données entraînant un risque pour vos droits et libertés, Nous sommes prêts à informer l'autorité de contrôle ainsi que les personnes concernées. En tant que personne concernée, Vous avez le droit de déposer une plainte auprès d'une autorité de contrôle. Droits des personnes concernées ESET est soumise à la réglementation des lois slovaques et est tenue de respecter la législation en matière de protection des données de l'Union européenne. Sous réserve des conditions fixées par les lois applicables en matière de protection des données, en tant que personne concernée, les droits suivants Vous sont conférés : • droit de demander l'accès à vos données personnelles auprès d'ESET, • droit à la rectification de vos données personnelles si elles sont inexactes (Vous avez également le droit de compléter les données personnelles incomplètes), • droit de demander l'effacement de vos données personnelles, • droit de demander de restreindre le traitement de vos données personnelle, • le droit de s'opposer au traitement des données • le droit de porter plainte et 352 • droit à la portabilité des données. Si vous souhaitez exercer vos droits en tant que personne concernée ou si vous avez une question ou un doute, envoyez-nous un message à l'adresse suivante : ESET, spol. s r.o. Data Protection Officer Einsteinova 24 85101 Bratislava Slovak Republic dpo@eset.sk 353