F-Secure Policy
Manager 7.0
Guide de
l'administrateur
« F-Secure » et le symbole du triangle sont des marques déposées de F-Secure Corporation, et les
noms des produits F-Secure ainsi que les symboles et logos sont des marques déposées ou des
marques de commerce de F-Secure Corporation. Tous les noms de produits mentionnés dans la
présente documentation sont des marques commerciales ou des marques déposées de leurs sociétés
respectives. F-Secure Corporation dénie tout intérêt propriétaire vis-à-vis des marques et noms de
sociétés tierces. F-Secure Corporation ne pourra être tenue pour responsable des erreurs ou
omissions afférentes à cette documentation, quand bien même cette société s'efforce de vérifier
l'exactitude des informations contenues dans ses publications. F-Secure Corporation se réserve le
droit de modifier sans préavis les informations contenues dans ce document.
Sauf mention contraire, les sociétés, noms et données utilisés dans les exemples sont fictifs. Aucune
partie de ce document ne peut être reproduite ou transmise à quelque fin ou par quelque moyen que
ce soit, électronique ou mécanique, sans l'autorisation expresse et écrite de F-Secure Corporation.
Ce produit peut être couvert par un ou plusieurs brevets F-Secure, dont les suivants :
GB2353372 GB2366691 GB2366692 GB2366693 GB2367933 GB2368233
GB2374260
Copyright © 2004 F-Secure Corporation. Tous droits réservés. 12000013-5C18
Sommaire
A propos de ce guide 9
Présentation ....................................................................................................................... 10
Organisation du guide ........................................................................................................ 11
Conventions utilisées dans les guides F-Secure .............................................................. 14
Symboles .................................................................................................................. 14
Chapitre 1 Introduction 17
1.1 Présentation ............................................................................................................... 18
1.2 Ordre d'installation .....................................................................................................20
1.3 Fonctionnalités ...........................................................................................................21
1.4 Gestion par stratégies ................................................................................................22
1.4.1 Base d'informations de gestion ......................................................................24
Chapitre 2 Configuration requise 27
2.1 F-Secure Policy Manager Server ............................................................................... 28
2.2 F-Secure Policy Manager Console ............................................................................29
Chapitre 3 Installation de F-Secure Policy Manager Server 31
3.1 Présentation ............................................................................................................... 32
3.2 Problèmes de sécurité ...............................................................................................33
3.2.1 Installation de F-Secure Policy Manager dans des environnements nécessitant
une haute sécurité34
3.3 Procédure d'installation..............................................................................................40
iii
3.4 Configuration de F-Secure Policy Manager Server.................................................... 54
3.4.1 Modification du chemin d'accès au répertoire de communication ..................54
3.4.2 Changement des ports où le serveur attend des demandes.......................... 55
3.4.3 Paramètres de configuration de F-Secure Policy Manager Server ................ 56
3.5 Désinstallation de F-Secure Policy Manager Server..................................................62
Chapitre 4 Migration CommDir 63
4.1 Introduction ................................................................................................................64
4.2 Instructions.................................................................................................................64
Chapitre 5 Installation de F-Secure Policy Manager Console 67
5.1 Présentation ............................................................................................................... 68
5.2 Procédure d'installation..............................................................................................68
5.3 Désinstallation F-Secure Policy Manager Console .................................................... 85
Chapitre 6 Utilisation de F-Secure Policy Manager Console 87
6.1 Présentation ............................................................................................................... 88
6.2 Fonctions de base de F-Secure Policy Manager Console .........................................90
6.2.1 Ouverture de session .....................................................................................90
6.2.2 L'interface utilisateur....................................................................................... 94
6.2.3 Volet Domaine de stratégie ............................................................................96
6.2.4 Volet Propriétés.............................................................................................. 96
6.2.5 Volet Affichage produit ...................................................................................97
6.2.6 Volet Messages............................................................................................106
6.2.7 Barre d'outils................................................................................................. 107
6.2.8 Options des menus.......................................................................................109
6.3 Gestion de F-Secure Client Security........................................................................111
6.4 Administration des domaines et des hôtes ..............................................................112
6.4.1 Ajout de domaines de stratégie....................................................................113
6.4.2 Ajout d'hôtes................................................................................................. 114
6.4.3 Propriétés d’hôte ..........................................................................................121
6.5 Distribution des logiciels...........................................................................................124
6.5.1 Installations distantes de F-Secure ..............................................................126
6.5.2 Installation par stratégies.............................................................................. 133
6.5.3 Installations et mises à jour locales à l'aide de packages préconfigurés ..... 138
iv
6.5.4 Transmission des informations..................................................................... 143
6.6 Gestion des stratégies .............................................................................................144
6.6.1 Paramètres...................................................................................................144
6.6.2 Restrictions...................................................................................................146
6.6.3 Enregistrement des données de stratégie actuelles..................................... 147
6.6.4 Distribution des fichiers de stratégie............................................................. 147
6.6.5 Transmission des stratégies......................................................................... 148
6.7 Gestion des opérations et des tâches...................................................................... 151
6.8 Alertes ......................................................................................................................152
6.8.1 Affichage des alertes et des rapports...........................................................152
6.8.2 Configuration de la transmission des alertes................................................153
6.9 Outil de transmission de rapports ............................................................................155
6.9.1 Volet Sélecteur de domaine de stratégie / d'hôte......................................... 156
6.9.2 Volet Sélecteur de type de rapport...............................................................157
6.9.3 Volet Rapport................................................................................................159
6.9.4 Volet inférieur ............................................................................................... 160
6.10 Préférences..............................................................................................................161
6.10.1 Préférences spécifiques à une connexion....................................................162
6.10.2 Préférences partagées .................................................................................166
Chapitre 7 Maintenance de F-Secure Policy Manager Server 169
7.1 Présentation ............................................................................................................. 170
7.2 Sauvegarde et restauration des données de F-Secure Policy Manager Console ...170
7.3 Duplication de logiciels à l'aide de fichiers image .................................................... 173
Chapitre 8 Mise à jour des bases de données de définition de virus
F-Secure175
8.1 Mises à jour automatiques avec Agent de mise à jour automatique F-Secure ........176
8.2 Utilisation de l’agent de mise à jour automatique.....................................................178
8.2.1 Configuration ................................................................................................179
8.2.2 Lire le fichier journal .....................................................................................180
8.3 Activation forcée de l’agent de mise à jour automatique pour vérifier immédiatement les
nouvelles mises à jour184
8.4 Mise à jour manuelle des bases de données........................................................... 184
v
8.5 Dépannage...............................................................................................................185
Chapitre 9 F-Secure Policy Manager sous Linux 187
9.1 Présentation ............................................................................................................. 188
9.1.1 Différences entre Windows et Linux............................................................. 188
9.1.2 Distributions prises en charge ...................................................................... 188
9.2 Installation................................................................................................................188
9.2.1 Installation de l’Agent de mise à jour automatique F-Secure ....................... 189
9.2.2 Installation de F-Secure Policy Manager Server ..........................................190
9.2.3 Installation de F-Secure Policy Manager Console........................................191
9.2.4 Installation de F-Secure Policy Manager Web Reporting.............................192
9.3 Configuration............................................................................................................193
9.4 Désinstallation..........................................................................................................193
9.4.1 Désinstallation de F-Secure Policy Manager Web Reporting....................... 193
9.4.2 Désinstallation de F-Secure Policy Manager Console .................................194
9.4.3 Désinstallation de F-Secure Policy Manager Server....................................194
9.4.4 Désinstallation de l’Agent de mise à jour automatique F-Secure.................195
9.5 Questions fréquentes ...............................................................................................195
Chapitre 10 Web Reporting 201
10.1 Présentation............................................................................................................. 202
10.2 Introduction ..............................................................................................................202
10.3 Configuration système requise pour le client Web Reporting ..................................203
10.4 Génération et affichage des rapports.......................................................................204
10.4.1 Paramètres requis pour l'affichage des rapports Web dans le navigateur ... 204
10.4.2 Génération d'un rapport................................................................................205
10.4.3 Création d'un rapport imprimable .................................................................207
10.4.4 Génération d'une URL spécifique pour la création automatique de rapports .....
208
10.5 Maintenance de Web Reporting...............................................................................209
10.5.1 Désactivation de Web Reporting..................................................................209
10.5.2 Activation de Web Reporting ........................................................................ 210
10.5.3 Restriction ou élargissement des possibilités d'accès aux rapports Web ....210
10.5.4 Modification du port de Web Reporting ........................................................ 212
10.5.5 Création d'une copie de sauvegarde de la base de données de Web Reporting
vi
213
10.5.6 Restauration de la base de données de Web Reporting à partir d'une copie de
sauvegarde214
10.5.7 Modification de la durée maximale de stockage des données dans la base de
données de Web Reporting214
10.6 Messages d'erreur de Web Reporting et dépannage...............................................215
10.6.1 Messages d'erreur........................................................................................ 216
10.6.2 Dépannage...................................................................................................217
Chapitre 11 F-Secure Policy Manager Proxy 219
11.1 Présentation............................................................................................................. 220
11.2 Principales différences entre Anti-Virus Proxy et Policy Manager Proxy ................. 221
Chapitre 12 Dépannage 223
12.1 Présentation............................................................................................................. 224
12.2 F-Secure Policy Manager Server and Console........................................................ 224
12.3 F-Secure Policy Manager Web Reporting................................................................229
12.4 Distribution des stratégies........................................................................................ 230
Appendix A Prise en charge de SNMP 233
A.1 Présentation............................................................................................................ 234
A.1.1 Prise en charge de SNMP pour F-Secure Management Agent....................234
A.2 Installation de F-Secure Management Agent avec prise en charge de SNMP........235
A.2.1 Installation de F-Secure SNMP Management Extension .............................235
A.3 Configuration de l'agent principal SNMP..................................................................236
A.4 Base d'informations de gestion (MIB) ......................................................................237
Appendix B Codes d'erreur d'Ilaunchr 239
B.1 Présentation............................................................................................................ 240
B.2 Codes d'erreur..........................................................................................................241
Appendix C Codes d'erreur de l'installation distante avec FSII 245
C.1 Présentation ............................................................................................................ 246
C.2 Codes d'erreur Windows..........................................................................................246
vii
C.3 Messages d'erreur.................................................................................................... 247
Appendix D Prise en charge de l'installation distante pour Windows 98/ME
249
D.1 Activation de l'administration à distance ................................................................. 250
Appendix E Notation NSC pour les masques de réseau 253
E.1 Présentation ............................................................................................................ 254
Support technique 257
Présentation ..................................................................................................................... 258
Web Club ......................................................................................................................... 258
Descriptions de virus sur le Web 258
Support technique avancé ...............................................................................................258
Formation technique aux produits F-Secure .................................................................... 259
Programme de formation 260
Contacts 260
Glossaire 261
A propos de F-Secure Corporation
viii
A PROPOS DE CE GUIDE
Présentation .............................................................................. 10
Organisation du guide ................................................................ 11
9
10
Présentation
F-Secure Policy Manager offre les outils suivants pour l'administration
des produits F-Secure :
F-Secure Anti-Virus Client Security
F-Secure Internet Gatekeeper
F-Secure VPN+
F-Secure Anti-Virus pour
stations de travail
pare-feu
serveurs de fichiers
Microsoft Exchange
MIMEsweeper:
Organisation du guide
Le présent Guide de l'administrateur de F-Secure Policy Manager
contient les chapitres suivants :
Chapitre 1. Introduction. Décrit l'architecture et les composants de la
gestion basée sur les stratégies.
Chapitre 2. Configuration requise. Définit les configurations matérielle
et logicielle requises pour l'utilisation de F-Secure Policy Manager
Console et de F-Secure Policy Manager Server.
Chapitre 3. Installation de F-Secure Policy Manager Server. Décrit
l'installation de F-Secure Policy Manager Server sur le serveur.
Chapitre 4. Migration CommDir. Contient les instructions sur la
migration de CommDir à un système basé sur F-Secure Policy Manager
Server.
Chapitre 5. Installation de F-Secure Policy Manager Console. Décrit
l'installation des applications de F-Secure Policy Manager Console sur la
station de travail de l'administrateur.
Chapitre 6. Utilisation de F-Secure Policy Manager Console. Donne une
présentation globale du logiciel et décrit les procédures d'installation et
d'ouverture de session, les options de menu et les tâches de base.
11
Chapitre 7. Maintenance de F-Secure Policy Manager Server. Décrit les
procédures de sauvegarde et les routines de restauration.
Chapitre 8. Mise à jour des bases de données de définition de virus
F-Secure. Décrit les différents modes de mise à jour des bases de
données de définitions de virus.
Chapitre 10. Web Reporting. Décrit l'utilisation de F-Secure Policy
Manager Web Reporting, un nouveau système de génération de rapports
graphiques destiné à l'ensemble d'une entreprise et inclus dans F-Secure
Policy Manager Server.
Chapitre 11. F-Secure Policy Manager Proxy. Contient une brève
introduction à F-Secure Policy Manager Proxy.
Chapitre 12. Dépannage. Contient des informations de dépannage et
des questions fréquentes.
12
Annexe A. Prise en charge de SNMP. Contient des informations sur la
prise en charge de SNMP.
Annexe B. Codes d'erreur d'Ilaunchr. Contient la liste des codes d'erreur
d'Ilaunchr.
Annexe C. Codes d'erreur de l'installation distante avec FSII. Décrit les
codes d'erreur les plus courants et les messages qui apparaissent durant
l'opération Autodécouvrir hôtes Windows.
Annexe D. Prise en charge de l'installation distante pour Windows 98/
ME. Fournit des informations sur les conditions à remplir par les postes
de travail Windows98/ME pour fonctionner avec FSII.
Annexe E. Notation NSC pour les masques de réseau. Définit la notation
NSC pour masques de réseau et fournit des informations à ce sujet.
Glossaire — Définition des termes
Support technique — Web Club et contacts pour obtenir de l'aide.
A propos de F-Secure Corporation — Présentation de la société et de ses
produits.
13
14
Conventions utilisées dans les guides F-Secure
Cette section décrit les symboles, polices et termes utilisés dans ce
manuel.
Symboles
WARNING: The warning symbol indicates a situation with a
risk of irreversible destruction to data.
IMPORTANT: An exclamation mark provides important information
that you need to consider.
REFERENCE - A book refers you to related information on the
topic available in another document.
NOTE - A note provides additional information that you should
consider.
l
Fonts
TIP - A tip provides information that can help you perform a task
more quickly or easily.
⇒ An arrow indicates a one-step procedure.
Arial bold (blue) is used to refer to menu names and commands, to
buttons and other items in a dialog box.
Arial Italics (blue) is used to refer to other chapters in the manual, book
titles, and titles of other manuals.
Arial Italics (black) is used for file and folder names, for figure and table
captions, and for directory tree names.
Courier New is used for messages on your computer screen.
Courier New bold is used for information that you must type.
SMALL CAPS (BLACK) is used for a key or key combination on your
keyboard.
15
PDF Document
For More Information
Arial underlined (blue)
Times New Roman regular is used for window and dialog box names.
This manual is provided in PDF (Portable Document Format). The PDF
document can be used for online viewing and printing using Adobe®
Acrobat® Reader. When printing the manual, please print the entire
manual, including the copyright and disclaimer statements.
Visit F-Secure at http://www.f-secure.com for documentation, training
courses, downloads, and service and support contacts.
In our constant attempts to improve our documentation, we would
welcome your feedback. If you have any questions, comments, or
suggestions about this or any other F-Secure document, please contact
us at documentation@f-secure.com
is used for user interface links.
.
16
1
INTRODUCTION
Présentation ............................................................................... 18
Ordre d'installation...................................................................... 20
Fonctionnalités ........................................................................... 21
Gestion par stratégies ................................................................ 22
17
18
1.1 Présentation
F-Secure Policy Manager offre une manière modulable de gérer la
sécurité de plusieurs applications sur différents systèmes d'exploitation, à
partir d'un emplacement centralisé. Utilisez ce produit pour mettre à jour
les logiciels de sécurité, gérer les configurations, surveiller la conformité
de l'entreprise et gérer le personnel même s'il est nombreux et itinérant.
F-Secure Policy Manager offre une infrastructure étroitement intégrée
pour la définition des stratégies de sécurité, la diffusion des stratégies et
l'installation d'applications sur des systèmes locaux et distants ainsi que
le contrôle des activités de tous les systèmes de l'entreprise afin de vous
assurer de leur conformité avec les stratégies de l'entreprise et un
contrôle centralisé.
Figure 1-1 Architecture de gestion de F-Secure
L'agent de mise à jour automatique F-Secure peut être installé en
tant que partie intégrante de F-Secure Policy Manager Server.
La puissance de F-Secure Policy Manager repose sur l'architecture
d'administration F-Secure, qui offre une grande évolutivité pour un
personnel réparti géographiquement et itinérant. F-Secure Policy
Manager se compose de F-Secure Policy Manager Console et de
F-Secure Policy Manager Server. Ils sont parfaitement intégrés avec les
agents F-Secure Management Agent qui gèrent toutes les fonctions
d'administration sur les hôtes locaux.
CHAPITRE 1 19
Principaux composants de F-Secure Policy Manager
F-Secure Policy Manager Console fournit une console d'administration
centralisée pour assurer la sécurité des hôtes administrés sur le réseau.
Cette console permet à l'administrateur d'organiser le réseau en unités
logiques pour partager les stratégies. Ces stratégies sont définies dans
F-Secure Policy Manager Console puis distribuées aux stations de travail
par F-Secure Policy Manager Server. F-Secure Policy Manager Console
est une application basée sur Java exécutable sur différentes
plates-formes. Elle permet notamment d'installer F-Secure Management
Agent à distance sur d'autres postes de travail sans utiliser de scripts de
connexion locaux, sans redémarrer l'ordinateur et sans aucune
intervention de l'utilisateur final.
F-Secure Policy Manager Server stocke les stratégies et les logiciels
diffusés par l'administrateur ainsi que les informations d'état et les alertes
envoyées par les hôtes administrés. Utilisé comme extension d'un
serveur Web Apache, il s'agit d'un composant évolutif. La communication
entre F-Secure Policy Manager Server et les hôtes administrés s'établit
via le protocole standard HTTP, qui assure un fonctionnement optimal
aussi bien sur les réseaux locaux (LAN) que sur les réseaux étendus
(WAN).
F-Secure Policy Manager Web Reporting est un système Web de
création de rapports graphiques à l'échelle de l'entreprise inclus dans
F-Secure Policy Manager Server. Il permet de créer rapidement des
rapports graphiques basés sur les tendances passées et d'identifier les
ordinateurs qui ne sont pas protégés ou qui sont vulnérables aux
attaques de nouveaux virus.
F-Secure Policy Manager Reporting Option est un programme de ligne
de commande autonome qui, via un répertoire de communication
(CommDir) existant dans F-Secure Policy Manager Server, collecte les
données d'alerte, d'état et de propriété du domaine de sécurité géré ou
de l'hôte de votre choix. F-Secure Policy Manager Reporting Option
permet à l'utilisateur de générer des rapports relatifs aux données figurant
dans le répertoire de communication de Secure Policy Manager Server à
l'aide de modèles XSL (semblables à des requêtes prédéfinies). Ces
rapports peuvent ensuite être exportés sous forme de fichiers HTML,
XML, CSV ou TXT.
20
Le serveur et l'agent de mise à jour de F-Secure Policy Manager
servent à mettre à jour les définitions de virus et de logiciels espions sur
les hôtes administrés. L'agent de mise à jour automatique F -Secure
permet aux utilisateurs d'obtenir des mises à jour automatiques ainsi que
des informations sans avoir à interrompre leur travail pour télécharger les
fichiers à partir d'Internet. L'agent de mise à jour automatique F-Secure
télécharge automatiquement les fichiers en tâche de fond en utilisant la
bande passante inutilisée par d'autres applications Internet. Ainsi,
l'utilisateur est sûr de disposer des mises à jour les plus récentes et ce,
sans avoir à effectuer de recherches sur Internet. Si l'agent de mise à jour
automatique F-Secure est connecté en permanence à Internet, il reçoit
automatiquement les mises à jour de définitions de virus dans les deux
heures qui suivent leur publication par F-Secure.
F-Secure Management Agent applique les stratégies de sécurité
définies par l'administrateur sur les hôtes administrés et fournit l'interface
utilisateur ainsi que d'autres services. Il gère toutes les fonctions
d'administration sur les postes de travail locaux, fournit une interface
commune à toutes les applications F-Secure et s'articule autour d'une
infrastructure de gestion par stratégies.
L'Assistant de certificat F-Secure est une application qui permet de
créer des certificats pour F-Secure VPN+.
1.2 Ordre d'installation
Pour installer F-Secure Policy Manager, procédez dans l'ordre indiqué
ci-dessous, sauf si vous installez F-Secure Policy Manager Server et
F-Secure Policy Manager Console sur le même ordinateur. Dans ce
dernier cas, le programme d'installation installe tous les composants au
cours de la même opération.
1. F-Secure Policy Manager Server, puis agent et serveur de mise à jour
F-Secure Policy Manager,
2. F-Secure Policy Manager Console,
3. Applications du point administré.
1.3 Fonctionnalités
Distribution des logiciels
Première installation dans un domaine NT à l'aide du système
d'installation de F-Secure.
Mise à jour des fichiers exécutables et des fichiers de données,
dont les bases de données de F-Secure Anti-Virus.
Prise en charge des mises à jour par stratégies. Les stratégies
contraignent F-Secure Management Agent à effectuer les mises
à jour sur un hôte. Les stratégies et les logiciels sont signés, ce
qui permet d'authentifier et d'assurer la sécurité des processus
complets de mise à jour.
Les mises à jour peuvent s'effectuer de différentes manières :
à partir du CD-ROM de F-Secure ;
sur le poste client à partir du site Web de F-Secure. Ces mises à
jour peuvent être automatiquement « distribuées » par l'agent de
sauvegarde automatique F-Secure ou « récupérées » à la
demande sur le site Web de F-Secure.
F-Secure Policy Manager Console peut être utilisé pour exporter
des packages d'installation préconfigurés, qu'il est également
possible de transmettre à l'aide d'un logiciel tiers, tel que SMS, ou
des outils similaires.
CHAPITRE 1 21
Configuration et gestion par stratégies
Configuration centralisée des stratégies de sécurité.
L'administrateur distribue les stratégies sur la station de travail de
l'utilisateur à partir de F-Secure Policy Manager Server.
L'intégrité des stratégies est assurée par l'utilisation de
signatures numériques.
22
Gestion des événements
Transmission de rapports à l'Observateur d'événements
(journaux locaux et distants), à l'agent SNMP, à la messagerie
électronique, aux fichiers de rapport, etc. via l'interface API de
F-Secure Management.
Redirection d'événements par stratégies.
Statistiques relatives aux événements.
Gestion des performances
Création de rapports et gestion des statistiques et des données
relatives aux performances.
Gestion des tâches
Gestion de la détection de virus et autres tâches.
1.4 Gestion par stratégies
Une stratégie de sécurité peut être définie comme l'ensemble des règles
précises édictées dans le but de définir les modalités d'administration, de
protection et de distribution des informations confidentielles et autres
ressources. L'architecture d'administration de F-Secure exploite les
stratégies configurées de manière centralisée par l'administrateur pour un
contrôle total de la sécurité dans un environnement d'entreprise. La
gestion par stratégies met en œuvre de nombreuses fonctions :
contrôle et suivi à distance du comportement des produits,
analyse des statistiques générées par les produits et par
F-Secure Management Agent,
lancement à distance d'opérations prédéfinies,
transmission à l'administrateur système des alertes et des
notifications émises par les produits.
L'échange d'informations entre F-Secure Policy Manager Console et les
hôtes s'effectue via le transfert des fichiers de stratégie. Il existe trois
types de fichiers de stratégie :
fichiers de stratégie par défaut (.dpf),
fichiers de stratégie de base (.bpf),
fichiers de stratégie incrémentielle (.ipf).
La configuration courante d'un produit inclut ces trois types de fichiers.
Fichiers de stratégie par défaut
Le fichier de stratégie par défaut contient les paramètres par défaut d'un
produit qui sont appliqués lors de l'installation. Les stratégies par défaut
sont utilisées uniquement sur l'hôte. La valeur d'une variable est extraite
du fichier de stratégie par défaut lorsque ni le fichier de stratégie de base
ni le fichier de stratégie incrémentielle ne contiennent d'entrée
correspondante. Chaque produit possède son propre fichier de stratégie
par défaut. Les nouvelles éditions des logiciels intègrent également les
nouvelles versions du fichier de stratégie par défaut.
CHAPITRE 1 23
Fichiers de stratégie de base
Les fichiers de stratégie de base contiennent les restrictions et les
paramètres administratifs de toutes les variables pour tous les produits
F-Secure installés sur un hôte donné (grâce à la définition de stratégies
au niveau du domaine, un groupe d'hôtes peut partager le même fichier).
Le fichier de stratégie de base est signé par F-Secure Policy Manager
Console, ce qui permet de le protéger contre toute modification lorsqu'il
est diffusé sur le réseau et stocké dans le système de fichiers d'un hôte.
Ces fichiers sont envoyés à F-Secure Policy Manager Server à partir de
F-Secure Policy Manager Console. L'hôte récupère à intervalles réguliers
les nouvelles stratégies créées par F-Secure Policy Manager Console.
24
Fichiers de stratégie incrémentielle
Les fichiers de stratégie incrémentielle permettent de stocker les
modifications apportées localement à la stratégie de base. Seules sont
autorisées les modifications comprises dans les limites définies dans la
stratégie de base. Les fichiers de stratégie incrémentielle sont ainsi
envoyés à F-Secure Policy Manager Console à intervalles réguliers afin
que l'administrateur puisse visualiser les paramètres et les statistiques en
cours.
1.4.1 Base d'informations de gestion
La base d'informations de gestion (MIB) est une structure hiérarchique de
données de gestion utilisée par le système SNMP (Simple Network
Management Protocol). Dans F-Secure Policy Manager, elle permet de
définir le contenu des fichiers de stratégie. Chaque variable est associée
à un identificateur unique (OID, ID d'objet) et à une valeur accessible à
partir de l'interface API Stratégie. Outre les définitions de la base
d'informations de gestion (MIB) du système SNMP, la base d'informations
de gestion de F-Secure inclut plusieurs extensions nécessaires à une
gestion complète par stratégies.
CHAPITRE 1 25
Les catégories suivantes sont définies dans la base d'informations de
gestion (MIB) d'un produit :
Paramètres Cette catégorie permet de gérer la station de
travail de la même manière qu'un système
SNMP. Les produits gérés fonctionnent dans les
limites spécifiées ici.
Statistiques Cette catégorie fournit à F-Secure Policy
Manager Console les statistiques relatives au
produit.
Opérations Deux variables de stratégie gèrent les
opérations : (1) une variable pour transmettre à
l'hôte l'identificateur de l'opération et (2) une
variable pour informer F-Secure Policy Manager
Console des opérations exécutées. La seconde
variable est transmise à l'aide des statistiques
habituelles ; elle accuse réception de toutes les
opérations antérieures simultanément. Un
éditeur personnalisé destiné à l'édition des
opérations est associé à la sous-arborescence
et masque les deux variables.
Privé Les bases d'informations de gestion peuvent
également contenir des variables que le produit
stocke en vue d'un usage interne entre les
sessions. Cela lui évite de recourir à des
services externes, tels que les fichiers du
Registre de Windows.
Interruptions Les interruptions sont des messages
(notamment des alertes et des événements)
envoyés à la console locale, au fichier journal,
au processus d'administration à distance, etc.
La plupart des produits F-Secure intègrent les
types d'interruptions suivants :
Info. Informations de fonctionnement normal
émises par un hôte.
26
Avertissement. Avertissement émanant de
l'hôte.
Erreur. Erreur non fatale survenue sur l'hôte.
Erreur fatale. Erreur irrécupérable survenue sur
l'hôte.
Alerte de sécurité. Incident lié à la sécurité
survenu sur l'hôte.
CONFIGURATION
2
REQUISE
F-Secure Policy Manager Server ............................................... 28
F-Secure Policy Manager Console............................................. 29
27
28
2.1 F-Secure Policy Manager Server
L'installation de F-Secure Policy Manager Server impose la configuration
minimale suivante sur votre système :
Système
d'exploitation :
Processeur : Processeur Intel Pentium III 450 MHz ou plus
Mémoire : 256 Mo de RAM.
Espace disque : Espace disque : 200 Mo d'espace disponible sur
Microsoft Windows 2000 Server (SP 3 ou
version ultérieure) ; Windows 2000 Advanced
Server (SP 3 ou version ultérieure) ;
Windows Server 2003, Edition Standard ou
Edition Web ;
Windows 2003 Small Business Server.
rapide. La gestion de plus de 5 000 hôtes ou
l'utilisation du composant Web Reporting
requiert un processeur Intel Pentium III 1 GHz
ou plus rapide.
Lorsque le composant Web Reporting est activé,
512 Mo de RAM.
le disque dur (500 Mo ou plus recommandés).
La quantité d'espace requise sur le disque dur
dépend de la taille de l'installation.
Outre la configuration décrite ci-dessus, il est
recommandé d'allouer environ 1 Mo par hôte
pour les alertes et les stratégies. Il est difficile de
prévoir la quantité réelle d'espace occupé sur le
disque par chaque hôte, puisqu'elle dépend de
la manière dont les stratégies sont utilisées ainsi
que du nombre de fichiers d'installation stockés.
Réseau : Réseau 10 Mbits. La gestion de plus de 5 000
hôtes exige un réseau 100 Mbits.
2.2 F-Secure Policy Manager Console
L'installation de F-Secure Policy Manager Console impose la
configuration minimale suivante sur le système :
CHAPITRE 2 29
Système
d'exploitation :
Processeur :
Mémoire :
Espace disque :
Affichage :
Réseau :
Microsoft Windows 2000 Professional (SP3 ou
version ultérieure) ;
Windows 2000 Server (SP3 ou version
ultérieure) ;
Windows 2000 Advanced Server (SP3 ou
version ultérieure)
Windows XP Professionnel (SP2 ou version
ultérieure); Windows Server 2003, Edition
Standard ou Edition Web.
Windows 2003 Small Business Server.
Processeur Intel Pentium III 450 MHz ou plus
rapide. La gestion de plus de 5 000 hôtes exige
un processeur Pentium III 750 MHz ou plus
rapide.
256 Mo de RAM. La gestion de plus de 5 000
hôtes exige 512 Mo de RAM.
100 Mo d'espace disponible sur le disque dur.
Ecran 256 couleurs minimum d'une résolution
de 1 024 x 768 (recommandé : couleurs 32 bits
et résolution de 1 280 x 960 ou supérieure).
Interface de réseau Ethernet ou l'équivalent.
Il est conseillé d'utiliser un réseau à 10 Mbits
entre la console et le serveur. La gestion de plus
de 5 000 hôtes requiert une connexion
100 Mbits entre la console et le serveur.
30
INSTALLATION DE
3
F-S
M
Présentation ............................................................................... 32
Problèmes de sécurité................................................................ 33
Procédure d'installation .............................................................. 40
Désinstallation de F-Secure Policy Manager Server.................. 62
ECURE POLICY
ANAGER SERVER
31
32
3.1 Présentation
La section ci-dessous fournit des instructions avancées pour
l'installation de F-Secure Policy Manager Server sur un ordinateur
destiné à faire uniquement office de serveur. F-Secure Policy
Manager Server peut également être installé sur le même
ordinateur que F-Secure Policy Manager Console.
F-Secure Policy Manager Server est le lien entre F-Secure Policy
Manager Console et les hôtes administrés. Il sert au stockage des
stratégies et des fichiers logiciels distribués par l'administrateur, ainsi que
des informations d'état et des alertes envoyées par les hôtes administrés.
La communication entre F-Secure Policy Manager Server et d'autres
composants peut être établie via le protocole standard HTTP, qui assure
un fonctionnement optimal aussi bien sur les réseaux locaux (LAN) que
sur les réseaux longue distance.
CHAPITRE 3 33
Les informations stockées par F-Secure Management Server incluent les
fichiers suivants :
la structure du domaine de stratégie,
les données de stratégie, c'est-à-dire les informations de
stratégie réelles liées à chaque domaine de stratégie ou à
chaque hôte,
les fichiers de stratégie de base créés à partir des données de
stratégie,
les informations d'état, notamment les fichiers de stratégie
incrémentielle, les alertes et les rapports,
les demandes d'auto-enregistrement envoyées par les hôtes,
les demandes de certification PKCS#10 (pour F-Secure VPN+
uniquement),
les certificats de l'hôte,
les informations de sécurité reçues de F-Secure,
les packages d'installation des produits et de mise à jour des
bases de données de définitions de virus.
Le composant Web Reporting stocke des données de tendances
statistiques et historiques sur les hôtes.
Le présent manuel ne contient pas d'informations sur F-Secure
Policy Manager Reporting Option. Pour plus d'informations sur ce
composant, reportez-vous au Guide de l'administrateur de
F-Secure Policy Manager Reporting Option.
3.2 Problèmes de sécurité
F-Secure Policy Manager Server emploie la technologie de serveur Web
Apache. Bien que nous mettions tout en œuvre pour fournir une
technologie sûre et à jour, il est conseillé de consulter régulièrement les
sites suivants afin d'obtenir des informations sur la technologie Apache et
sa sécurité.
34
Les informations les plus récentes sur les problèmes de sécurité relatifs
aux systèmes d'exploitation et au serveur Web Apache sont disponibles
sur le site Web de CERT : http://www.cert.org.
Vous trouverez un document fournissant des conseils sur la manière de
sécuriser l'installation du serveur Web Apache à l'adresse http://
www.apache.org/docs/misc/security_tips.html., ainsi qu'une liste
répertoriant les points vulnérables à l'adresse
http://www.apacheweek.com/features/security-13
Les notes de publication contiennent des informations importantes
relatives à l'installation et à la sécurité. Lisez ces notes
attentivement !
.
3.2.1 Installation de F-Secure Policy Manager dans des environnements nécessitant une haute sécurité
F-Secure Policy Manager est essentiellement destiné à la gestion de
produits F-Secure Anti-Virus dans des réseaux d'entreprise internes.
F-Secure ne recommande pas d'employer F-Secure Policy Manager sur
des réseaux publics tels qu'Internet.
IMPORTANT : Lors de l'installation de F-Secure Policy Manager
dans des environnements à haute sécurité, il convient de s'assurer
que le port Administration (par défaut le port 8080) et le port Hôte
(par défaut le port 80) ne sont pas visibles sur Internet.
Fonctions de sécurité intégrées à F-Secure Policy Manager
F-Secure Policy Manager possède des fonctions de sécurité intégrées
qui garantissent la détection de toute modification de la structure du
domaine de stratégie et des données de stratégie. Plus important encore,
elles interdisent le déploiement de modifications non autorisées sur les
hôtes administrés. Ces deux fonctions reposent sur une paire de clés
d'administration qui n'est accessible qu'aux administrateurs. Dans la
CHAPITRE 3 35
plupart des cas, ces fonctions, reposant sur de puissantes signatures
numériques, fourniront l'équilibre idéal entre facilité d'utilisation et sécurité
à la plupart des installations antivirus. Par contre, les fonctions suivantes
peuvent exiger une configuration supplémentaire dans des
environnements à haute sécurité :
1. Par défaut, tous les utilisateurs peuvent accéder en lecture seule à
Policy Manager Server, mais ils peuvent uniquement consulter les
données d'administration. Cette méthode permet de partager
aisément les informations avec les utilisateurs ne disposant pas de
droits d'administration complets. Plusieurs utilisateurs peuvent ouvrir
simultanément une session en lecture seule, afin de surveiller l'état
du système sans perturber les autres administrateurs ou les hôtes
administrés.
2. Pour faciliter la migration vers de nouvelles clés d'administration, il
est possible de signer de nouveau la structure du domaine de
stratégie et les données de stratégie à l'aide d'une nouvelle clé ou
d'une clé existante. Si cette opération est effectuée accidentellement,
ou volontairement par un utilisateur non autorisé, l'utilisateur autorisé
remarquera la modification lorsqu'il tentera d'ouvrir une nouvelle
session dans Policy Manager. Dans le pire des cas, l'utilisateur
autorisé devra restaurer des sauvegardes afin d'éliminer les
éventuelles modifications apportées par l'utilisateur non autorisé.
Dans tous les cas, les modifications de la structure du domaine de
stratégie et des données de stratégie seront détectées, et il est
impossible de distribuer ces modifications aux hôtes administrés
sans la paire de clés d'origine.
Ces deux fonctions peuvent s'avérer indésirables dans un environnement
à haute sécurité, où il doit même être interdit de visualiser les données
d'administration. Les mesures suivantes peuvent être prises pour
accroître le niveau de sécurité du système :
36
Différents scénarios d'installation possibles pour les
environnements à haute sécurité :
1. F-Secure Policy Manager Server et F-Secure Policy Manager
Console sont installés sur le même ordinateur et l'accès à F-Secure
Policy Manager Server est limité à l'hôte local. Après cela, seule la
personne ayant un accès physique à l'hôte local peut utiliser
F-Secure Policy Manager Console.
Lorsque l'accès à F-Secure Policy Manager Server est limité à l'hôte
local au cours de l'installation (voir la section Etape 9. , 47), le
programme d'installation de F-Secure modifie le paramètre #FSMSA
listen du fichier httpd.conf comme suit :
#FSMSA listen
Listen 127.0.0.1:8080 <- Autoriser les connexions
uniquement de l'hôte local au port PMC 8080
2. L'accès à F-Secure Policy Manager Server est limité aux adresses IP
définies séparément par la modification du fichier httpd.conf.
Si l'accès au port 8080 était limité à l'hôte local au cours de
l'installation, vous devez maintenant ouvrir le port et définir la liste
des adresses IP autorisées (reportez-vous au paramètre Listen
8080 de l'exemple ci-dessous).
CHAPITRE 3 37
Voici un exemple de section du fichier httpd.conf modifiée :
#FSMSA listen
Listen 8080 <- s'assurer que les connexions ne sont pas
limitées à l'hôte local
#FSMSA port
<VirtualHost _default_:8080>
<Location /fsmsa/fsmsa.dll>
Order Deny,Allow
Deny from all <- D'abord tout refuser
Allow from 127.0.0.1 <- Ensuite, autoriser l'accès au
serveur depuis l'ordinateur local
Allow from 10.128.129.2 <- Autoriser l'accès depuis
l'ordinateur serveur
Allow from 10.128.129.209 <- Autoriser l'accès depuis le
poste de travail administrateur
SetHandler fsmsa-handler
</Location>
</VirtualHost>
Ensuite, seule la personne ayant accès aux ordinateurs ayant les
adresses IP définies peut utiliser F-Secure Policy Manager Console.
3. S'il est vraiment indispensable d'utiliser F-Secure Policy Manager via
un réseau public (comme Internet), il est recommandé de crypter la
connexion entre F-Secure Policy Manager Server et F-Secure Policy
Manager Console à l'aide d'un produit de type VPN ou SSH.
F-Secure Policy Manager Console et F-Secure Policy Manager Server
peuvent également être installés sur le même ordinateur, avec un accès
illimité à l'hôte local. Un accès administrateur à distance à F-Secure
Policy Manager Console peut être prévu à l'aide d'un produit de
connexion de bureau à distance sécurisé.
38
Installation de F-Secure Web Reporting dans des
environnements à haute sécurité
F-Secure Policy Manager Web Reporting est destiné à la génération de
rapports graphiques sur les alertes et l'état de la protection antivirus de
F-Secure Anti-Virus Client Security, par exemple, dans des réseaux
d'entreprise internes. F-Secure déconseille l'utilisation de F-Secure Policy
Manager Web Reporting sur des réseaux publics tels qu'Internet.
Différents scénarios d'installation possibles pour les
environnements à haute sécurité :
1. L'accès aux rapports Web est limité à l'hôte local au cours de
l'installation. Par la suite, seule la personne disposant d'un accès
physique à l'hôte local peut employer F-Secure Policy Manager Web
Reporting.
Lorsque l'accès à F-Secure Policy Manager Web Reporting est limité
à l'hôte local au cours de l'installation (voir la section Etape 9. , 47), le
programme d'installation de F-Secure modifie le paramètre #Web
Reporting listen du fichier httpd.conf comme suit :
#Web Reporting listen
Listen 127.0.0.1:8081 <- Autoriser les connexions au port
8081 de Web Reporting uniquement depuis l'hôte local
2. L'accès à F-Secure Policy Manager Web Reporting est limité aux
adresses IP définies séparément par la modification du fichier
httpd.conf (voir ci-dessous).
Si l'accès au port 8081 était limité à l'hôte local au cours de
l'installation, vous devez maintenant ouvrir le port et définir la liste
des adresses IP autorisées (reportez-vous au paramètre
Listen 8081 de l'exemple ci-dessous).
CHAPITRE 3 39
Voici un exemple de section du fichier httpd.conf modifiée. Dans cet
exemple, l'accès est autorisé à partir de l'hôte local et d'une adresse
IP définie séparément :
#Web Reporting listen
Listen 8081
# Web Reporting port:
<VirtualHost _default_:8081>
JkMount /* ajp13
ErrorDocument 500 "Policy Manager Web Reporting could not
be contacted by
the Policy Manager Server.
<Location / >
Order Deny,Allow
Deny from all <- D'abord tout refuser
Allow from 127.0.0.1 <- Ensuite, autoriser l'accès à Web
Reporting depuis l'ordinateur local
Allow from 10.128.129.209 <- Autoriser l'accès depuis le
poste de travail administrateur
</Location>
</VirtualHost>
Par la suite, seules les personnes qui disposent d'un accès à l'hôte
local ou à l'ordinateur possédant l'adresse IP définie peuvent
employer F-Secure Policy Manager Web Reporting.
40
3.3 Procédure d'installation
Pour installer F-Secure Policy Manager Server, vous devez être en
mesure d'accéder physiquement à l'ordinateur serveur.
Etape 1. 1. Introduisez le CD-ROM F-Secure dans le lecteur adéquat.
2. Sélectionnez Professionnel. Cliquez sur Suivant pour continuer.
3. Accédez au menu Installation ou mise à jour de logiciels administrés,
puis choisissez F-Secure Policy Manager.
Etape 2. L'installation démarre. Prenez connaissance du contenu de l'écran
d'accueil, puis suivez les instructions relatives à l'installation.
Sélectionnez la langue d'installation dans le menu déroulant. Cliquez sur
Suivant pour continuer.
CHAPITRE 3 41
Etape 3. Prenez connaissance du contrat de licence. Si vous êtes d'accord,
cliquez sur J'accepte le contrat. Cliquez sur Suivant pour continuer.
42
Etape 4. Sélectionnez le type d'installation :
Traditionnel - Le programme d'installation installe le produit avec
les options par défaut :
F-Secure Policy Manager Server, F-Secure Policy Manager
Console, le serveur et l'agent de mise à jour de F-Secure
Policy Manager sont installés sur le même ordinateur.
Les ports par défaut sont utilisés pour les modules F-Secure
Policy Manager Server.
Seul F-Secure Policy Manager Console installé sur le même
ordinateur est autorisé à accéder à F-Secure Policy Manager
Server.
L'accès aux rapports Web est également autorisé depuis les
autres ordinateurs.
Personnalisé - C'est l'option par défaut (recommandée) qui vous
permet de spécifier, par exemple, le répertoire d'installation et les
ports pour les modules F-Secure Policy Manager Server.
Certaines boîtes de dialogue d'installation ne s'affichent que
lorsque Personnalisé est sélectionné.
Réinstaller - Cette option réinstalle tous les composants existants
et restaure les paramètres manquants. Cette boîte de dialogue
s'affiche uniquement en présence d'une installation précédente
de F-Secure Policy Manager sur l'ordinateur.
CHAPITRE 3 43
Etape 5. Si vous effectuez l'installation sur un ordinateur où rien n'a été installé
auparavant, sélectionnez les composants suivants :
F-Secure Policy Manager Server,
Serveur et agent de mise à jour F-Secure Policy Manager - mises
à jour automatiques de la base de données des définitions de
virus,
Packages d'installation F-Secure - activez cette option si vous
voulez charger ou installer de nouveaux packages d'installation à
distance à partir du CD-ROM (recommandé)
.
Cliquez sur Suivant pour continuer.
44
Etape 6. Choisissez le dossier de destination. Cliquez sur Suivant.
Nous vous recommandons d'utiliser le répertoire d'installation par défaut.
Si vous souhaitez installer F-Secure Policy Manager Server dans un
répertoire différent, utilisez la fonction Parcourir.
AVERTISSEMENT : Si F-Secure Management Agent est
installé sur le même ordinateur, vous ne devez pas modifier le
répertoire d'installation de F-Secure Policy Manager Server.
CHAPITRE 3 45
Etape 7. Le programme d'installation vous invite à confirmer la présence d'une
installation précédente de F-Secure Policy Manager.
1. S'il existe bien une installation précédente, activez l'option Il existe
une installation précédente de F-Secure Policy Manager. Entrez le
chemin d'accès du répertoire de communication de la version
installée de F-Secure Policy Manager. Le contenu de ce répertoire
sera copié dans <répertoire d'installation du serveur>\ répertoire de
communication (répertoire commdir\ dans le répertoire d'installation
de F-Secure Policy Manager Server 5), qui sera le répertoire utilisé
par F-Secure Policy Manager Server comme référentiel. Vous pouvez
conserver le répertoire de communication précédent comme
sauvegarde, ou le supprimer après vous être assuré que F-Secure
Policy Manager Server 5 a été installé correctement.
2. S'il n'existe pas d'installation précédente, activez l'option Il n'existe
pas de version précédente de F-Secure Policy Manager.
Cette option n'exige pas la présence d'un répertoire de
communication antérieur. Un répertoire de communication vide sera
créé à l'emplacement par défaut (dans <répertoire d'installation de
F-Secure Policy Manager 5>\commdir).
46
Cliquez sur Suivant pour continuer.
Etape 8. Indiquez si vous souhaitez conserver les paramètres existants ou les
modifier.
Cette boîte de dialogue s'affiche uniquement si une installation
précédente de F-Secure Policy Manager Server a été détectée sur
l'ordinateur.
Par défaut, le programme d'installation conserve les paramètres
existants. Sélectionnez cette option si vous avez manuellement
mis à jour le fichier de configuration de F-Secure Policy Manager
Server (HTTPD.conf). Cette option conserve automatiquement
les ports d'administration, d'hôte et de génération de rapports
Web existants.
Si vous souhaitez changer les ports d'une installation précédente,
sélectionnez l'option Modifier les paramètres. Cette option
remplace le fichier HTTPD.conf, et restaure les valeurs par défaut
des paramètres.
CHAPITRE 3 47
Etape 9. Sélectionnez les modules F-Secure Policy Manager Server à activer :
Le module Hôte est utilisé pour la communication avec les hôtes.
Le port par défaut est 80.
Le module Administration est utilisé pour la communication avec
F-Secure Policy Manager Console. Le port HTTP par défaut est
8080.
Si vous voulez modifier le port de communication par
défaut, vous devez également modifier le paramètre
Numéro de port HTTP dans F-Secure Policy Manager
Console.
Par défaut, l'accès au module Administration est restreint à
l'ordinateur local. C'est le mode d'utilisation du produit le plus
sécurisé.
48
En cas de connexion via un réseau, il est conseillé d'envisager de
sécuriser la communication à l'aide de F-Secure SSH ou de
F-Secure VPN+.
Pour les environnements nécessitant une sécurité
maximale, reportez-vous à la section Installation de
F-Secure Policy Manager dans des environnements à
haute sécurité dans le Guide de l'administrateur
deF-Secure Policy Manager.
Le module Web Reporting est utilisé pour la communication avec
F-Secure Policy Manager Web Reporting. Indiquez si vous
souhaitez l'activer. Web Reporting se connecte au module
d'administration via un socket local pour rechercher les données
du serveur. Le port par défaut est 8081.
Par défaut, l'accès aux rapports Web est également autorisé
depuis les autres ordinateurs. Si vous souhaitez autoriser l'accès
uniquement à partir de cet ordinateur, sélectionnez Restreindre
l'accès à l'ordinateur local.
Cliquez sur Suivant pour continuer.
CHAPITRE 3 49
Etape 10. Sélectionnez le ou les fichiers d'installation de produits dans la liste des
fichiers disponibles (si vous avez activé l'option Packages d'installation
F-Secure à l'étape 4 de la page 17). Cliquez sur Suivant.
50
Etape 11. Le programme d'installation présente la liste des composants qui seront
installés. Cliquez sur Suivant.
CHAPITRE 3 51
Etape 12. Lorsque le programme d'installation est terminé, il affiche tous les
composants dont l'installation a abouti.
52
Etape 13. L'installation de F-Secure Policy Manager Server est terminée.
Redémarrez l'ordinateur si un message vous invite à le faire. Cliquez sur
Terminer pour terminer l'installation.
CHAPITRE 3 53
Etape 14. Pour déterminer si l'installation a réussi, ouvrez un navigateur Web sur
l'ordinateur où F-Secure Policy Manager Server a été installé, tapez http:/
/localhost:80 (si vous avez utilisé le numéro de port par défaut pendant
l'installation), puis appuyez sur la touche E
serveur a réussi, la page suivante s'affiche.
F-Secure Policy Manager Server commence à servir des hôtes
uniquement après que F-Secure Policy Manager Console a
initialisé la structure du répertoire de communication, ce qui
s'effectue automatiquement lors de la première exécution de
F-Secure Policy Manager Console.
NTRÉE. Si l'installation du
54
3.4 Configuration de F-Secure Policy Manager Server
Le répertoire conf\ dans le répertoire d'installation de Policy Manager
Server contient un fichier httpd.conf. Ce fichier contient les informations
de configuration de F-Secure Policy Manager Server.
Après avoir modifié la configuration, vous devez arrêter F-Secure
Policy Manager Server et le redémarrer pour que les modifications
entrent en vigueur.
Les paramètres de F-Secure Policy Manager Web Reporting qu'il
est possible de configurer dans le fichier httpd.conf sont expliqués
à la section
3.4.1 Modification du chemin d'accès au répertoire de communication
Si le lecteur réseau sur lequel le répertoire de communication se trouve
devient saturé, vous pouvez changer son emplacement en suivant les
instructions ci-dessous.
“Maintenance de Web Reporting”, 209.
1. Choisissez un nouveau chemin réseau sur un lecteur offrant plus
d'espace. Créez le chemin et vérifiez que l'utilisateur fsms_<nom
Wins de l'ordinateur> bénéficie de droits d'accès Contrôle total sur
tous les répertoires du chemin.
2. Arrêtez le service F-Secure Policy Manager Server.
3. Copiez toute la structure de répertoires de l'ancien chemin commdir
vers le nouveau chemin.
4. Changez la valeur des paramètres CommDir et CommDir2 dans
httpd.conf. La configuration par défaut contient les valeurs suivantes :
CommDir "C:\Program Files\F-Secure\Management Server
5\CommDir"
CommDir2 "C:\Program Files\F-Secure\Management Server
5\CommDir"
CHAPITRE 3 55
Si vous voulez remplacer l'emplacement du répertoire de
communication par E:\CommDir, modifiez les paramètres en
conséquence :
CommDir "E:\CommDir"
CommDir2 "E:\CommDir"
5. Démarrez le service F-Secure Policy Manager Server.
6. Vérifiez que tout fonctionne encore correctement.
7. Supprimez les anciens fichiers commdir.
3.4.2 Changement des ports où le serveur attend des demandes
Deux paramètres définissent les ports des deux modules WebServer qui
constituent F-Secure Policy Manager Server : Listen et <VirtualHost>.
Par défaut, le module d'administration de F-Secure Policy Manager
Server (le composant qui traite les demandes provenant de Policy
Manager Console) surveille le port 8080. Le module hôte de F-Secure
Policy Manager Server (le composant qui traite les demandes des postes
de travail) surveille pour sa part le port 80. Vous avez toutefois la
possibilité d'en définir d'autres si ces valeurs par défaut ne vous
conviennent pas.
Si vous voulez changer le port surveillé par le module d'administration de
F-Secure Policy Manager Server, ajoutez une entrée Listen au fichier de
configuration, en précisant le nouveau port (par exemple Listen 8888),
puis supprimez le paramètre Listen qui définit le port par défaut surveillé
par ce module : Listen 8080.
Lorsque vous ajoutez une nouvelle entrée Listen, veillez à
supprimer l'entrée obsolète. Sinon, le serveur utilisera inutilement
des ressources système, comme un port réseau.
Après l'ajout du paramètre Listen, F-Secure Policy Manager Server sait
qu'il doit surveiller le nouveau port (8888 dans notre exemple). Vous
devez toutefois le configurer de manière à associer le module
d'administration de F-Secure Policy Manager Server à ce nouveau port.
56
Pour ce faire, vous devez modifier le paramètre <VirtualHost>, qui est
associé au module d'administration de F-Secure Policy Manager Server.
La configuration par défaut de ce paramètre est la suivante :
#FSMSA port
<VirtualHost _default_:8080>
<Location /fsmsa/fsmsa.dll>
SetHandler fsmsa-handler
</Location>
</VirtualHost>
Pour associer le module au nouveau port, modifiez l'instruction comme
suit :
#New FSMSA port
<VirtualHost _default_:8888>
<Location /fsmsa/fsmsa.dll>
SetHandler fsmsa-handler
</Location>
</VirtualHost>
AVERTISSEMENT : Si des postes de travail sont déjà
configurés de manière à accéder à F-Secure Policy Manager
Server (par l'intermédiaire du module hôte de F-Secure Policy
Manager Server), ne modifiez pas le port de l'hôte F-Secure
Policy Manager Server par lequel les agents communiquent.
Vous risqueriez en effet de créer une situation où les postes
de travail ne peuvent plus contacter le serveur.
3.4.3 Paramètres de configuration de F-Secure Policy Manager Server
Cette section présente et explique toutes les entrées figurant dans le
fichier de configuration de F-Secure Policy Manager Server ainsi que leur
mode d'utilisation.
CHAPITRE 3 57
ServerRoot : ce paramètre définit le répertoire dans lequel le serveur est
installé. Les chemins d'accès à d'autres fichiers de configuration sont pris
en compte par rapport à ce répertoire.
Timeout : ce paramètre définit la période pendant laquelle le serveur
attend avant de fermer une connexion réseau lorsqu'elle ne connaît plus
aucun trafic entrant ou sortant.
LoadModule : ce paramètre définit le nom symbolique du module à lire et
le chemin d'accès à la bibliothèque contenant les valeurs binaires du
module.
Exemple : LoadModule fsmsh_module
"C:\serverroot\modules\fsmsh.dll"
Listen : ce paramètre définit le port que le serveur doit surveiller. Ainsi, la
configuration par défaut d'un serveur Web est la suivante : Listen 80.
Vous pouvez restreindre l'origine des connexions reçues. Par exemple,
Listen 127.0.0.1:80 autorise les connexions au port 80 uniquement à
partir de l'ordinateur sur lequel tourne le serveur (localhost).
Vous pouvez configurer F-Secure Policy Manager Server de manière à
surveiller d'autres ports, en modifiant ce paramètre et le paramètre
<VirtualHost> qui lui est associé, et qui est également abordé dans
cette section. Pour plus d'informations, reportez-vous à la section
“Changement des ports où le serveur attend des demandes”, 55.
DocumentRoot : ce paramètre doit contenir un chemin d'accès absolu. Il
définit le répertoire auquel tous les utilisateurs pourront accéder ;
n'employez donc pas un chemin d'accès à un répertoire contenant des
données confidentielles. Par défaut, F-Secure Policy Manager Server
réserve à cette fin un sous-répertoire du répertoire d'installation de
F-Secure Policy Manager Server, htdocs\. C'est ce répertoire qui
contient la « page d'accueil » du serveur. Si vous le modifiez, cette page
ne sera plus affichée.
<Directory "c:\un_chemin_d'accès">: : ce paramètre définit le type de
paramètres de sécurité qui seront associés au répertoire indiqué dans le
chemin d'accès.
ErrorLog : ce paramètre définit le nom du fichier dans lequel le serveur
consignera les erreurs qu'il rencontre. Si le chemin d'accès au fichier ne
commence pas par une barre oblique (/), il est considéré comme étant
58
relatif à ServerRoot. S'il commence par une barre droite (|), il est
considéré comme une commande qui lance le traitement du journal
d'erreurs. Cette fonction est utilisée pour l'appel de l'utilitaire rotatelogs
(voir l'entrée rotatelogs de cette section), qui permet d'effectuer une
rotation des fichiers journaux au lieu d'écrire dans un fichier toujours plus
volumineux.
<VirtualHost _default_:port> : ce paramètre définit un ensemble de
paramètres qui ne s'appliqueront qu'à un hôte virtuel (VirtualHost). Un
hôte virtuel est un serveur virtuel, c'est-à-dire un serveur différent exécuté
dans le même processus que d'autres serveurs. Par exemple, F-Secure
Policy Manager Server comprend deux hôtes virtuels. L'un fonctionne sur
le port 80 (module hôte de F-Secure Policy Manager Server) et l'autre sur
le port 8080 (FSMSA ou module Admin).
La configuration par défaut de F-Secure Policy Manager Server est la
suivante :
# FSMSH port
<VirtualHost _default_:80>
<Location /fsms/fsmsh.dll>
SetHandler fsmsh-handler
</Location>
<Location /commdir>
SetHandler fsmsh-handler
</Location>
</VirtualHost>
#FSMSA port
<VirtualHost _default_:8080>
<Location /fsmsa/fsmsa.dll>
SetHandler fsmsa-handler
</Location>
</VirtualHost>
CHAPITRE 3 59
Commdir et Commdir2 : ces paramètres définissent le chemin d'accès
au répertoire de communication ou au référentiel. Il s'agit du répertoire où
F-Secure Policy Manager Server stocke toutes les données
d'administration reçues de Policy Manager Console et F-Secure
Management Agent. Vous pouvez modifier l'emplacement du répertoire
de communication via ces paramètres, mais vous devez vous assurer
que le compte à partir duquel le serveur est exécuté (fsms_<nom wins de
l'ordinateur>) possède bien des droits complets sur ce répertoire.
Commdir "C:\Program Files\F-Secure\Policy Manager
Server\CommDir"
Commdir2 "C:\Program Files\F-Secure\Policy Manager
Server\CommDir"
CustomLog : cette entrée permet de consigner les demandes au
serveur. Le premier paramètre est un fichier (dans lequel les demandes
doivent être consignées) ou une barre verticale (|) suivie d'un programme
qui recevra les informations de journal comme source d'entrée standard.
Cette fonction est utilisée pour l'appel de l'utilitaire rotatelogs (voir
l'entrée rotatelogs de cette section), qui permet d'effectuer une rotation
des fichiers journaux au lieu d'écrire dans un fichier toujours plus
volumineux.
Le second paramètre détermine ce qui est écrit dans le fichier journal. Il
est défini par un paramètre LogFormat précédent.
Vous trouverez ci-dessous un exemple d'entrée dans le fichier
access.log :
10.128.131.224 - - [18/Apr/2002:14:06:36 +0300]
/fsmsa/
fsmsa.dll?FSMSCommand=ReadPackage&Type=27&SessionID=248 HTTP/
1.1"
200 5299 0 - 0 - "FSA/5.10.2211 1.3.1_02 Windows2000/5.0 x86"
mod_gzip: DECHUNK:DECLINED:TOO_SMALL CR:0pct.
10.128.131.224 - - [18/Apr/2002:14:06:36 +0300] indique la date et
l'heure d'envoi de la demande au serveur et l'hôte à l'origine de la
demande (identifié par son adresse IP).
60
Le composant fxnext indique quel module la commande a envoyé à /
fsmsa/fsmsa.dll. Ce module (fsmsa.dll) est le module Admin. fsmsh.dll
serait le module Hôte.
La commande et les paramètres viennent ensuite :
FSMSCommand=ReadPackage&Type=27&SessionID=248. Dans le cas
présent, l'hôte a demandé un objet de type 27 (un seul).
La version HTTP employée est également indiquée (HTTP/1.1).
La version HTTP est immédiatement suivie de six nombres :
1. Code de réponse HTTP : Dans cet exemple, 200 est utilisé, ce qui
signifie OK selon la norme HTTP. Il existe d'autres codes, décrits
dans la norme HTTP, que vous pouvez obtenir à l'adresse suivante :
http://www.w3.org
2. Octets transférés à partir du serveur : Dans notre exemple, 5 299
octets ont été transférés.
3. Durée (en secondes) nécessaire au serveur pour servir la demande.
4. Etat de la connexion à la fin de la réponse.
X = connexion annulée avant la fin de la réponse.
+ = la connexion peut rester active après l'envoi de la réponse.
- = la connexion sera fermée après l'envoi de la réponse.
5. Code d'erreur du module Admin de F-Secure Policy Manager Server
(0 en cas de réussite).
6. Octets transférés au serveur (« - » équivaut à zéro).
La chaîne suivante identifie le client "FSA/5.10.2211 1.3.1_02
Windows2000/5.0 x86". Dans le cas présent, notez que le serveur a été
contacté par FSA 5.10 build 2211.
.
Les informations qui suivent concernent la compression des données :
mod_gzip: DECHUNK:DECLINED:TOO_SMALL.
Dans le cas présent, les données n'ont pas été compressées, car elles
étaient de taille trop réduite.
Enfin, le taux de compression est indiqué (0% dans cet exemple) :
CR:0pct.
CHAPITRE 3 61
Rotatelogs : il s'agit d'un petit programme assure la rotation des fichiers
journaux produits par F-Secure Policy Manager Server. Ce programme
permet de définir la durée pendant laquelle un fichier journal est conservé
(8 jours par défaut) et à quel moment la rotation doit être effectuée. A ce
moment, access.log est renommé access.log.1 et un nouveau fichier
access.log est créé afin de consigner les nouvelles demandes.
Exemple :
CustomLog '|""C:\Program Files\F-Secure\Policy Manager Server
5\bin\rotatelogs"
"C:\Program Files\F-Secure\Policy Manager Server
5\logs\access.log" 8 86400"' common"
Dans cet exemple, le paramètre CustomLog détermine que l'utilitaire
rotatelogs doit ouvrir le fichier access.log et employer 8 fichiers (8 fichiers
d'archivage plus le fichier actif) qui subissent une rotation quotidienne
(86 400 secondes = 24 heures). En pratique, cela signifie que les fichiers
de la dernière semaine plus un jour sont conservés, et qu'un autre fichier
est utilisé pour stocker les accès pendant la journée actuelle.
<ifModule mod_gzip.c> : ce paramètre est une nouveauté de F-Secure
Policy Manager Server. Il permet de compresser toutes les données
transférées entre la console et le serveur. Ce paramètre marque le début
des paramètres de compression, qui se terminent juste avant le
paramètre </ifModule>. Pour plus d'informations sur ces paramètres,
reportez-vous au fichier httpld.sample, situé dans le même répertoire que
le fichier de configuration de F-Secure Policy Manager Server
(<répertoire d'installation fspms>\conf).
mod_gzip_on Yes : ce paramètre est l'un des paramètres de
compression ; il active ou désactive la prise en charge de la compression
dans F-Secure Policy Manager Server. La compression est désactivée si
le paramètre est remplacé par mod_gzip_on No.
FastPolicyDistribution On : ce paramètre permet d'activer l'équilibre
entre performances et compatibilité descendante maximale. Lorsqu'il est
activé, il permet à F-Secure Policy Manager Server de distribuer les
stratégies d'une manière qui accélère considérablement le processus
(de 30 à 100 fois en fonction du nombre d'hôtes). Ce paramètre doit être
désactivé si d'autres composants accèdent en même temps au répertoire
de communication (par exemple, F-Secure Management Agent).
62
RetryFileOperation 10 : ce paramètre indique au serveur combien de
fois il doit retenter une opération infructueuse sur un fichier (avec un
intervalle d'une seconde entre les tentatives) avant d'abandonner.
CommdirCacheSize 10 : la valeur numérique de ce paramètre indique
au serveur quel pourcentage de la mémoire il doit utiliser pour stocker les
fichiers en mémoire avant de les servir. Le serveur peut ainsi servir plus
rapidement les fichiers, car il ne doit pas les lire en permanence à partir
du disque. Si vous utilisez la valeur par défaut (10), le serveur emploie
10 % de la mémoire disponible pour cette mise en cache. Par exemple,
sur un ordinateur doté de 512 Mo de RAM, 51,2 Mo seront employés
pour la mise en cache.
3.5 Désinstallation de F-Secure Policy Manager Server
Pour désinstaller F-Secure Policy Manager Server (ou l'un de ses
composants), procédez comme suit :
1. Cliquez sur le menu Démarrer de Windows et accédez au Panneau
de configuration. Cliquez sur Ajout/Suppression de programmes.
2. Choisissez F-Secure Policy Manager Server (ou le composant à
désinstaller), puis cliquez sur le bouton Ajouter/Supprimer.
3. La boîte de dialogue F-Secure Uninstall (Désinstallation de F-Secure)
s'affiche. Cliquez sur Démarrer pour démarrer la désinstallation.
4. Au terme de la désinstallation, cliquez sur Fermer.
5. Cliquez sur OK pour fermer la boîte de dialogue Ajout/Suppression
de programmes.
6. Redémarrez l'ordinateur pour appliquer les modifications.
4
MIGRATION COMMDIR
Introduction................................................................................. 64
Instructions ................................................................................. 64
63
64
4.1 Introduction
4.2 Instructions
Etape 1. Sauvegarde du système existant
Dans F-Secure Policy Manager version 6.0 et versions ultérieures,
l'utilisation d'un répertoire de communication (CommDir) à la place de
F-Secure Policy Manager Server n'est pas prise en charge. Par
conséquent, vous devez mettre à niveau les installations basées sur
CommDir vers des installations F-Secure Policy Manager Server.
Ce chapitre contient des instructions sur la migration, de la sauvegarde
du système existant à la vérification de l'établissement d'une
communication entre tous les hôtes administrés dans le réseau et
F-Secure Policy Manager Server.
Pour effectuer la migration, procédez comme suit :
1. Avant de commencer la procédure de sauvegarde, assurez-vous que
F-Secure Policy Manager Console n'est pas en service.
2. Sauvegardez les clés de gestion (admin.pub et admin.prv), ainsi que
le répertoire CommDir existant. Par défaut, les clés de gestion se
trouvent dans
C:\Program Files\F-Secure\Administrator\
CHAPITRE 4 65
Etape 2. Installation de F-Secure Policy Manager Server et
Console
1. Installez F-Secure Policy Manager Server et Console Pour plus
d'instructions, reportez-vous aux sections “Installation de F-Secure
Policy Manager Server”, 31 et “Installation de F-Secure Policy
Manager Console”, 67.
2. Pendant l'installation de F-Secure Policy Manager Server, copiez les
données CommDir existantes à partir de la sauvegarde que vous
avez effectuée à l'étape 1 ci-dessus. Lorsque la boîte de dialogue
(voir la figure ci-dessous) s'affiche, cliquez sur Parcourir.. pour
localiser la sauvegarde.
3. Une fois que vous avez localisé la sauvegarde, une boîte de dialogue
de confirmation s'affiche. Cliquez sur OK pour continuer.
66
Etape 3. Connexion de Policy Manager Console au nouveau
Policy Manager Server
1. Connectez F-Secure Policy Manager Console au nouveau F-Secure
Policy Manager Server.
2. Configurez l'adresse de F-Secure Policy Manager Server à utiliser :
Sélectionnez l'onglet Paramètres et ouvrez la page Gestion
centralisée.
Entrez l'adresse de F-Secure Policy Manager Server au format
http://<adresse IP>.
3. Distribuez les stratégies à l'ensemble du domaine administré.
4. Fermez F-Secure Policy Manager Console.
Etape 4. Configuration des connexions à l'ancien CommDir
1. Connectez F-Secure Policy Manager Console à l'ancien CommDir.
2. Configurez l'adresse de F-Secure Policy Manager Server à utiliser :
Sélectionnez l'onglet Paramètres et ouvrez la page Gestion
centralisée.
Entrez l'adresse de F-Secure Policy Manager Server au format
http://<adresse IP>.
3. Distribuez les stratégies à l'ensemble du domaine administré.
4. Fermez F-Secure Policy Manager Console.
Etape 5. Attente de la fin de la migration.
Attendez suffisamment de temps (plus d'une semaine) afin que tous les
hôtes aient commencé à communiquer avec le nouveau F-Secure Policy
Manager Server à la place de l'ancien CommDir.
Vous pouvez le vérifier, par exemple, dans l'onglet Résumé de F-Secure
Policy Manager Console. Lorsque le compteur Hôtes ayant la dernière
stratégie : indique 100 %, la migration est terminée.
INSTALLATION DE
5
F-S
M
Présentation ............................................................................... 68
Procédure d'installation .............................................................. 68
Désinstallation F-Secure Policy Manager Console .................... 85
ECURE POLICY
ANAGER CONSOLE
67
68
5.1 Présentation
F-Secure Policy Manager Console peut fonctionner en deux modes :
Mode administrateur - vous pouvez utiliser F-Secure Policy
Manager Console avec toutes ces fonctionnalités.
Mode Lecture seule : permet de visualiser les informations de
F-Secure Policy Manager Console, mais pas d'accomplir des
tâches administratives. Ce mode peut par exemple être utile pour
les agents d'un service d'assistance.
Les connexions en mode Administrateur et Lecture seule peuvent
s'effectuer à l'aide de la même installation de la console. Les sections
suivantes expliquent comment exécuter le programme d'installation de
F-Secure Policy Manager Console à partir du CD-ROM F-Secure, ainsi
que la manière de choisir le mode de fonctionnement initial lors de la
première exécution de la console. L'installation à partir du CD-ROM est
identique pour les deux modes. Il est toujours possible d'ajouter de
nouvelles connexions en modes Administrateur et Lecture seule après le
démarrage initial.
5.2 Procédure d'installation
Etape 1. 1. Introduisez le CD-ROM F-Secure dans le lecteur adéquat.
2. Sélectionnez Professionnel. Cliquez sur Suivant pour continuer.
3. Sélectionnez F-Secure Policy Manager dans le menu Installation ou
mise à jour du logiciel de gestion.
CHAPITRE 5 69
Etape 2. Prenez connaissance du contenu de l'écran d'accueil, puis suivez les
instructions relatives à l'installation. Sélectionnez la langue d'installation
dans le menu déroulant. Cliquez sur Suivant pour continuer.
70
Etape 3. Prenez connaissance du contrat de licence. Si vous êtes d'accord,
cliquez sur J'accepte le contrat. Cliquez sur Suivant pour continuer.
Etape 4. Sélectionnez le type d'installation :
Traditionnel - Le programme d'installation installe le produit avec
les options par défaut :
F-Secure Policy Manager Server, F-Secure Policy Manager
Console, le serveur et l'agent de mise à jour de F-Secure
Policy Manager sont installés sur le même ordinateur.
Les ports par défaut sont utilisés pour les modules F-Secure
Policy Manager Server.
Seul F-Secure Policy Manager Console installé sur le même
ordinateur est autorisé à accéder F-Secure Policy Manager
Server.
L'accès aux rapports Web est également autorisé depuis les
autres ordinateurs.
Personnalisé - C'est l'option par défaut (recommandée) qui vous
permet de spécifier, par exemple, le répertoire d'installation et les
ports pour les modules F-Secure Policy Manager Server.
Certaines boîtes de dialogue d'installation ne s'affichent que
lorsque Personnalisé est sélectionné.
Réinstaller - Cette option réinstalle tous les composants existants
et restaure les paramètres manquants. Cette boîte de dialogue
s'affiche uniquement en présence d'une installation précédente
de F-Secure Policy Manager sur l'ordinateur.
CHAPITRE 5 71
72
Etape 5. Sélectionnez les composants suivants à installer :
F-Secure Policy Manager Console
F-Secure VPN+ Assistant de certificat (facultatif, requis
uniquement pour l'administration de F-Secure VPN+)
Cliquez sur Suivant pour continuer.
CHAPITRE 5 73
74
Etape 6. Choisissez le dossier de destination. Cliquez sur Suivant.
Nous vous recommandons d'utiliser le répertoire d'installation par défaut.
Utilisez la fonction Parcourir pour installer F-Secure Policy Manager
Console dans un autre répertoire.
CHAPITRE 5 75
Etape 7. Définissez l'adresse du serveur F-Secure Policy Manager Server ainsi
que le numéro de port d'administration. Cliquez sur Suivant pour
continuer.
76
Etape 8. Examinez les modifications que le programme d'installation va apporter.
Cliquez sur Suivant pour continuer.
CHAPITRE 5 77
Etape 9. Par défaut, l'installation exécute F-Secure Policy Manager Console pour
la première fois immédiatement après l'exécution de l'installation à partir
du CD. Il est important d'exécuter la console après l'installation, certaines
propriétés de connexion étant collectées lors de son démarrage initial.
Cliquez sur Terminer pour lancer F-Secure Policy Manager Console.
78
Etape 10. Si vous n'avez pas choisi de lancer F-Secure Policy Manager Console
immédiatement après la fin de l'installation, vous ne trouverez pas le
raccourci dans Démarrer
Console
Manager Console est exécutée pour la première fois, l'Assistant
d'installation de la console collecte les informations requises pour créer
une connexion initiale au serveur. En règle générale, cette opération
s'effectue immédiatement après l'installation de la console à partir du
CDROM de F-Secure, comme l'expliquent les étapes 1 à 8.
La première page de l'Assistant d'installation de F-Secure Policy Manager
Console résume le processus d'installation. Cliquez sur Suivant pour
continuer.
ÆF-Secure Policy Manager Console. Lorsque F-Secure Policy
ÆProgrammesÆF-Secure Policy Manager
CHAPITRE 5 79
Etape 11. Sélectionnez le mode d'utilisation correspondant à vos besoins :
Mode Administrateur : active toutes les fonctions
d'administration.
Mode Lecture seule : permet de consulter les données
d'administration, mais pas d'apporter des modifications. Si vous
sélectionnez le mode Lecture seule, vous ne pourrez pas
administrer les hôtes. Pour passer en mode Administrateur, vous
devrez disposer des clés d'administration admin.pub et
admin.prv.
Cliquez sur Suivant pour continuer.
80
Etape 12. Entrez le chemin d'accès au répertoire où vous souhaitez stocker les
fichiers de clé privée et de clé publique de l'administrateur. Par défaut, les
fichiers de clé sont stockés dans le répertoire d'installation de F-Secure
Policy Manager Console :
Program Files\F-Secure\Administrator.
Cliquez sur Suivant pour continuer.
Si la paire de clés n'existe pas encore, elle sera créée plus tard, au
cours du processus de configuration.
CHAPITRE 5 81
Etape 13. Déplacez votre curseur dans la fenêtre afin d'initialiser le facteur aléatoire
utilisé par le générateur du jeu de clés d'administration. L'utilisation des
déplacements de la souris assure que le facteur de l'algorithme de
génération de jeu de clés est suffisamment aléatoire. Lorsque l'indicateur
d'avancement atteint 100 %, la boîte de dialogue Phrase de cryptage
s'affiche automatiquement.
82
Etape 14. Entrez une phrase de cryptage qui protège votre clé privée
d'administration. Confirmez cette phrase dans la zone Confirmer la
phrase de cryptage. Cliquez sur Suivant.
CHAPITRE 5 83
Etape 15. Cliquez sur Terminer pour terminer le processus de configuration.
F-Secure Policy Manager Console génère la paire de clés
d'administration.
Une fois le jeu de clés créé, F-Secure Policy Manager Console démarre.
84
F-Secure Policy Manager Console démarre en mode Anti-Virus, une
interface utilisateur optimisée pour la gestion de F-Secure Anti-Virus
Client Security et de F-Secure Anti-Virus pour Workstations. Si vous
comptez utiliser F-Secure Policy Manager Console pour administrer
d'autres produits F-Secure, employez l'interface utilisateur du mode
avancé. Pour y accéder, cliquez sur le menu Affichage et sélectionnez
l'option Mode avancé.
Lorsque vous configurez les stations de travail, vous devez y installer une
copie du fichier de clé Admin.pub (ou leur donner l'accès à ce fichier). Si
vous installez les produits F-Secure à distance à l'aide de F-Secure Policy
Manager, une copie du fichier de clé Admin.pub est automatiquement
installée sur les stations de travail. Par contre, si vous effectuez
CHAPITRE 5 85
l'installation à partir d'un CD-ROM, vous devez transférer manuellement
une copie du fichier de clés Admin.pub sur les stations de travail. La
méthode la plus avantageuse et la plus sûre consiste à copier le fichier
Admin.pub sur une disquette, puis à l'installer sur les postes de travail à
partir de cette disquette. Vous pouvez également placer le fichier
Admin.pub dans un répertoire accessible à tous les hôtes qui seront
configurés à l'aide de produits F-Secure administrés à distance. Par
défaut, F-Secure Policy Manager Console place la clé publique à la
racine du répertoire de communication.
Vous devez protéger certains répertoires et fichiers en autorisant leur
accès aux administrateurs uniquement. Pour ce faire, procédez de la
manière suivante :
1. Supprimez tous les droits d'accès superflus au sous-répertoire \fsa.
Les droits d'accès à ce répertoire doivent être réservés à
l'administrateur qui exécute F-Secure Policy Manager Console.
2. Supprimez tous les droits d'accès « écriture/modifier » superflus des
fichiers commdir.cfg et admin.pub . Le compte du répertoire de
communication doit disposer du droit Lecture seule sur ces fichiers.
Au terme de l'installation, le programme F-Secure Policy Manager
démarre. A ce stade, il est possible de poursuivre par la création des
domaines de stratégie et l'installation des hôtes.
Modification du chemin d'accès au navigateur Web
F-Secure Policy Manager Console obtient le chemin d'accès au fichier du
navigateur Web par défaut lors du processus d'installation. Si vous voulez
modifier ce chemin d'accès, ouvrez le menu Outils et choisissez l'option
Préférences.
Cliquez sur l'onglet Emplacements et entrez le nouveau chemin d'accès
au fichier.
5.3 Désinstallation F-Secure Policy Manager Console
Pour désinstaller F-Secure Policy Manager Console (ou d'autres
composants de F-Secure Policy Manager), procédez comme suit :
86
1. Cliquez sur le menu Démarrer de Windows et accédez au Panneau
de configuration. Cliquez sur Ajout/Suppression de programmes.
2. Choisissez le composant à désinstaller (F-Secure Policy Manager
Console ou Assistant de certificat), puis cliquez sur le bouton
Ajouter/Supprimer.
3. La boîte de dialogue Désinstallation de F-Secure s'affiche. Cliquez
sur Démarrer pour démarrer la désinstallation.
4. Au terme de la désinstallation, cliquez sur Fermer.
5. Cliquez sur OK pour fermer la boîte de dialogue Ajout/Suppression
de programmes.
6. Redémarrez l'ordinateur pour appliquer les modifications.
UTILISATION DE
6
F-S
M
Présentation ............................................................................... 88
Fonctions de base de F-Secure Policy Manager Console ......... 90
Gestion de F-Secure Client Security ........................................ 111
Administration des domaines et des hôtes............................... 112
Distribution des logiciels........................................................... 124
Gestion des stratégies.............................................................. 144
Gestion des opérations et des tâches ...................................... 151
Alertes ...................................................................................... 152
Outil de transmission de rapports............................................. 155
ECURE POLICY
ANAGER CONSOLE
Préférences .............................................................................. 161
87
88
6.1 Présentation
F-Secure Policy Manager Console est une console d'administration
distante destinée aux produits de sécurité les plus courants de F-Secure.
Elle fournit une plate-forme commune à toutes les fonctions de gestion de
la sécurité requises dans un réseau d'entreprise.
Un administrateur peut créer différentes stratégies de sécurité pour
chaque hôte ou une stratégie unique pour plusieurs hôtes. Cette stratégie
peut être diffusée sur un réseau vers les postes de travail, les serveurs et
les passerelles de sécurité.
Avec F-Secure Policy Manager Console, vous pouvez :
configurer les valeurs des attributs des produits gérés ;
configurer les droits des utilisateurs à afficher ou modifier les
regrouper des hôtes administrés sous des domaines de stratégie
administrer facilement des hiérarchies de domaines et des
créer de définitions de stratégie signées, y compris les valeurs
afficher les informations d'état ;
gérer les alertes ;
gérer les rapports d'analyse de F-Secure Anti-Virus ;
gérer les installations distantes ;
visualiser des rapports au format HTML ou exporter des rapports
valeurs des attributs définies à distance par l'administrateur ;
partageant des valeurs d'attributs communes ;
hôtes ;
d'attributs et les restrictions ;
vers différents formats.
F-Secure Policy Manager Console génère la définition de stratégie et
affiche l’état et les alertes. Chaque hôte administré dispose d'un module
(F-Secure Management Agent) responsable de l'exécution de la stratégie
sur l'hôte.
CHAPITRE 6 89
Utilisation de F-Secure Policy Manager Console
L’environnement conceptuel de F-Secure Policy Manager Console
consiste en plusieurs hôtes pouvant être regroupés en domaines de
stratégie. Les stratégies sont orientées hôte. Même dans un
environnement multi-utilisateurs, tous les utilisateurs d'un hôte donné
partagent des paramètres communs.
F-Secure Policy Manager Console reconnaît deux types d’utilisateurs :
les administrateurs et les utilisateurs en mode Lecture seule.
L'administrateur a accès à la clé privée d'administration. Cette clé est
stockée dans un fichier que plusieurs utilisateurs peuvent partager en
fonction de leurs droits d'administration. L’administrateur utilise F-Secure
Policy Manager Console pour définir les stratégies de différents domaines
et hôtes individuels.
En mode Lecture seule, l'utilisateur peut effectuer les opérations
suivantes :
afficher les stratégies, les statistiques, les informations d'état
relatives aux opérations, les numéros de version des produits
installés, les messages d'alerte et les rapports ;
Modifiez les propriétés de F-Secure Policy Manager Console car
son installation est basée sur l’utilisateur et que les modifications
ne peuvent être appliqués aux autres utilisateurs.
En mode Lecture seule, l'utilisateur ne peut pas
effectuer les opérations
suivantes :
modifier la structure des domaines ou les propriétés des
domaines et des hôtes ;
modifier les paramètres des produits ;
exécuter des opérations ;
installer des produits ;
enregistrer des données de stratégie ;
distribuer des stratégies ;
supprimer des messages d'alerte ou des rapports.
90
Il ne peut y avoir qu’une seule connexion à F-Secure Policy Manager
Server en mode Administrateur à la fois. Cependant, il peut y avoir
plusieurs connexions en lecture seule simultanées à F-Secure Policy
Manager Server.
6.2 Fonctions de base de F-Secure Policy Manager Console
Les sections suivantes décrivent la procédure d'ouverture de session, les
commandes de menu et les tâches de base de F-Secure Policy Manager
Console.
6.2.1 Ouverture de session
Lorsque vous démarrez F-Secure Policy Manager Console, la boîte de
dialogue suivante s'ouvre. Vous pouvez cliquer sur Options pour
agrandir la boîte de dialogue et afficher davantage d'options.
Figure 6-1 F-Secure Policy Manager Console Boîte de dialogue d'ouverture de
session
Vous pouvez utiliser la boîte de dialogue pour sélectionner des
connexions définies. Chaque connexion a des préférences spécifiques,
ce qui simplifie la gestion de plusieurs serveurs avec une seule instance
de F-Secure Policy Manager Console.
Il est également possible de définir des connexions multiples à un serveur
unique. Après la sélection de la connexion, entrez la phrase de cryptage
de F-Secure Policy Manager Console. Il s'agit de la phrase de cryptage
définie lors de l'installation du programme, et non de votre mot de passe
d'administrateur réseau.
Vous pouvez démarrer le programme en mode Lecture seule, auquel cas
vous n'avez pas besoin d'entrer une phrase de cryptage. Le cas échéant,
cependant, vous ne pourrez effectuer aucune modification.
L'Assistant d'installation crée la connexion initiale, qui figure par défaut
dans la zone Connexions : . Pour ajouter d'autres connexions, cliquez sur
Ajouter ou pour modifier une connexion existante, cliquez sur Modifier.
Ces deux options sont disponibles quand la boîte de dialogue est
agrandie.
Notez qu'il est possible de copier des connexions existantes. Vous
pouvez ainsi définir aisément plusieurs connexions au même serveur, en
employant des paramètres légèrement différents en vue d'utilisations
diverses. Par exemple, vous pouvez utiliser une connexion existante
comme modèle, puis tester différents paramètres de connexion sur la
nouvelle copie, sans influer sur les paramètres d'origine.
Propriétés de connexion
La liaison au référentiel de données est définie comme l'URL HTTP de
F-Secure Policy Manager Server.
CHAPITRE 6 91
Utilisation de F-Secure Policy Manager Console
92
Figure 6-2 Boîte de dialogue Propriétés de connexion
Le champ Nom permet de définir le nom que portera la connexion dans le
champ Connexion : de la boîte de dialogue d'ouverture de session. Si le
champ Nom reste vide, l'URL ou le chemin d'accès s'affiche.
Les chemins Fichier de clé publique et Fichier de clé privée indiquent quel
jeu de clés d'administration doit être utilisé pour la connexion en question.
Si les fichiers de clés spécifiés n'existent pas, F-Secure Policy Manager
Console génère une nouvelle paire de clés.
Préférences de communication
Cliquez sur l'onglet Communication pour personnaliser les paramètres de
communication. Pour modifier les intervalles d'interrogation, cliquez sur
Options d'intervalle d'interrogation.
Etat de connexion de l'hôte contrôle quand les hôtes sont considérés
comme déconnectés de F-Secure Policy Manager. Tous les hôtes qui
n'ont pas contacté F-Secure Policy Manager Server dans l'intervalle défini
sont considérés comme déconnectés. Les hôtes déconnectés sont
CHAPITRE 6 93
Utilisation de F-Secure Policy Manager Console
signalés par une icône de notification dans l'arborescence, et ils sont
placés dans la liste Hôtes déconnectés de la vue Etat du domaine. Les
icônes de notification de l'arborescence des domaines peuvent être
désactivées à l'aide de la section Options avancées. Notez qu'il est
possible de définir un intervalle de moins d'un jour en entrant un nombre
à décimales dans le champ de saisie. Par exemple, si vous entrez une
valeur de 0,5, tous les hôtes qui n'ont pas contacté le serveur dans les
12 heures sont considérés comme déconnectés. Les valeurs inférieures
à un jour ne servent normalement qu'à des fins de dépannage. Dans un
environnement traditionnel, certains hôtes sont naturellement
déconnectés du serveur de temps à autre. Par exemple, il se peut qu'un
ordinateur portable soit incapable d'accéder quotidiennement au serveur,
mais dans la plupart des cas, ce comportement est tout à fait acceptable.
Figure 6-3 Boîte de dialogue Propriétés de connexion > Communication
Le choix du protocole de communication affecte les intervalles
d'interrogation par défaut. Vous devez modifier les paramètres de
communication selon l'environnement dans lequel vous travaillez. Si vous
ne souhaitez pas recevoir certaines informations d'administration,
désactivez complètement les récupérations inutiles. Pour ce faire,
94
décochez l'élément de récupération que vous souhaitez désactiver.
L'option Désactiver toutes les interrogations permet de désactiver
l'ensemble des éléments d'interrogation. Que l'interrogation automatique
soit désactivée ou non, les opérations d'actualisation manuelle peuvent
servir à actualiser les informations sélectionnées.
Figure 6-4 Boîte de dialogue Intervalles d'interrogation
Pour plus d'informations sur les autres paramètres spécifiques à la
connexion, reportez-vous à la section “Préférences”, 161. Une fois
F-Secure Policy Manager Console lancé, ces paramètres peuvent être
modifiés normalement depuis la vue Préférences.
6.2.2 L'interface utilisateur
Lorsque vous démarrez F-Secure Policy Manager Console, l’interface
utilisateur s’affiche sur les quatre volets suivants : Domaine de stratégie,
Propriétés, Affichage produit et Messages (invisible en l'absence de
message).
CHAPITRE 6 95
Utilisation de F-Secure Policy Manager Console
Figure 6-5 Interface utilisateur de F-Secure Policy Manager Console
96
6.2.3 Volet Domaine de stratégie
Dans le volet Domaine de stratégie, vous pouvez effectuer les opérations
suivantes :
Ajouter un nouveau domaine de stratégie (cliquez sur l'icône
de la barre d'outils). Vous ne pouvez créer un nouveau
domaine de stratégie que si vous avez sélectionné un domaine
parent.
Ajouter un hôte (cliquez sur l'icône ).
Rechercher un hôte.
Afficher les propriétés d'un domaine ou d'un hôte. Les noms
attribués à chaque hôte et domaine doivent être sans ambiguïté.
Importer des hôtes auto-enregistrés.
Détecter automatiquement des hôtes d'un domaine Windows.
Supprimer des hôtes ou des domaines.
Déplacer des hôtes ou des domaines à l'aide des fonctions
Couper et Coller.
Exporter un fichier de stratégie.
Une fois le domaine ou l'hôte sélectionné, vous pouvez accéder à ces
commandes depuis le menu Edition.
Les domaines désignés dans ces commandes ne sont pas des domaines
Windows NT ni DNS. Les domaines de stratégie sont des groupes
d'hôtes ou de sous-domaines disposant d'une stratégie de sécurité
similaire.
6.2.4 Volet Propriétés
La définition de stratégies consiste à spécifier des valeurs de paramètres
par défaut et les valeurs autorisées, ainsi que les restrictions d'accès à
ces paramètres. Les stratégies s'appliquant à un domaine ou un hôte
sont définies dans le volet Propriétés.
CHAPITRE 6 97
Utilisation de F-Secure Policy Manager Console
Ce volet contient les sous-arborescences (« branches »), les tables, les
lignes et les variables des stratégies. Les sous-arborescences sont
utilisées uniquement pour développer les structures. Les tables peuvent
contenir autant de lignes que vous le souhaitez.
Le volet Propriétés contient les onglets suivants :
Stratégie : cet onglet vous permet d'utiliser le volet Affichage
produit pour définir les paramètres, les restrictions et les
opérations des domaines ou des hôtes. Ces modifications sont
appliquées une fois que la stratégie a été diffusée et que
F-Secure Management Agent a recherché le fichier de stratégie.
Etat : sous chaque produit affiché sous cet onglet, figurent deux
catégories d'état : Paramètres et Statistiques. La catégorie
Paramètres affiche les paramètres locaux qui ont été modifiés de
façon explicite sur l'hôte ; les valeurs par défaut ou celles qui ont
été définies dans la stratégie de base ne sont pas affichées. La
catégorie Statistiques affiche les statistiques relatives à chaque
hôte, et ce pour chaque produit. Si un domaine de stratégie est
sélectionné, l'onglet Etat présente le nombre d'hôtes du domaine,
et les hôtes qui sont déconnectés de F-Secure Policy Manager.
Alertes : cet onglet affiche la liste des alertes émanant des hôtes
dans le domaine sélectionné. Il affiche également l'alerte
sélectionnée dans le volet Affichage produit, ainsi que les
rapports correspondant aux alertes.
Rapports : cet onglet affiche tous les rapports émanant de l'hôte
sélectionné.
Installation : affiche les options d'installation.
6.2.5 Volet Affichage produit
La fonction du volet Affichage produit dépend de l'onglet qui est
sélectionné dans le volet Propriétés :
Onglet Stratégie : le volet Affichage produit vous permet de
définir la valeur d'une variable de stratégie. Toutes les
modifications concernent l'hôte ou le domaine de stratégie
sélectionné. Un éditeur par défaut est prédéfini pour chaque type
98
de variable de stratégie. L'éditeur s'affiche lorsque vous
sélectionnez le type de variable sous l'onglet Stratégie. Certains
nœuds non terminaux, tables et sous-arborescences peuvent
être associés à des éditeurs personnalisés spécifiques. Ces
éditeurs personnalisent F-Secure Policy Manager Console pour
chaque produit installé. Il existe également des éditeurs de
restriction qui s'ouvrent dans le volet Affichage produit ou sous
forme de boîte de dialogue séparée.
Onglet Etat : le volet Affichage produit vous permet de visualiser
(1) les « paramètres », qui sont les modifications locales
signalées par l'hôte, ainsi que les (2) statistiques.
Onglet Alertes : lorsqu'une alerte est sélectionnée sous l'onglet
Alertes, les détails relatifs à l'alerte s'affichent dans le volet
Affichage produit.
Onglet Rapports : lorsqu'un rapport est sélectionné sous l'onglet
Rapports, les détails relatifs au rapport s'affichent dans le volet
Affichage produit.
Installation : le volet Affichage produit permet de consulter et de
modifier les informations d'installation.
L'arborescence traditionnelle de la base de données MIB F-Secure Policy
Manager Console contient tous les paramètres/activités (stratégie) et les
paramètres/statistiques (état) dans une arborescence MIB spécifique à
un composant du produit. Une GUI simplifiée est également disponible.
La plupart des produits F-Secure définissent déjà ces nouveaux types
d'interfaces, qui présentent les principaux éléments de l'arborescence
MIB de manière bien plus conviviale. Il est toujours possible de définir des
stratégies et de consulter les états dans l'arborescence de type MIB, mais
dans la plupart des cas, les nouveaux affichages Produit sont suffisants. Il
est également possible d'employer en même temps l'arborescence MIB
et les affichages Produit, ces derniers étant simplement liés aux données
qui figurent dans l'arborescence MIB.
L'affichage produit de F-Secure Management Agent est présenté à la
page suivante à titre d'exemple. Tous les affichages Produit possèdent
les mêmes activités et fonctionnalités génériques.
CHAPITRE 6 99
Utilisation de F-Secure Policy Manager Console
Utilisation de l'aide
Dans la plupart des cas, l'affichage produit fournit les mêmes textes
d'aide que les nœuds de l'arborescence MIB. En outre, chaque onglet
possède un texte d'aide spécifique. Ce texte suit les clics de souris (tous
les onglets ainsi que les éditeurs de stratégies et d'état) et l'activation des
zones (uniquement en cas de sélection de l'onglet Stratégie du volet
Propriétés). Vous pouvez cliquer sur l'intitulé d'une zone ou dans la zone
de saisie pour activer le texte d'aide correspondant.
Modification des paramètres de stratégie
Sélectionnez un produit (ex. : F-Secure Management Agent) et l’onglet
Stratégie de l’onglet Propriétés. F-Secure Policy Manager Console
affichera un volet Affichage produit pour le produit sélectionné et
contiendra les paramètres les plus fréquemment utilisés ainsi que les
éditeurs de restriction de l’arborescence MIB, dans les catégories
ci-après :
Communication : paramètres de communication.
Alertes : paramètres relatifs aux alertes.
Transmission des alertes : pour plus d'informations,
reportez-vous à la section “Configuration de la transmission des
alertes” , page 153.
Certificats : définition de certificats approuvés.
Répertoire des certificats : définition des paramètres des
répertoires où les certificats sont stockés.
A propos de : contient un lien vers F-Secure Web Club (pour plus
d'informations, reportez-vous à la section “Web Club”, 258).
Vous pouvez modifier les paramètres de stratégie de manière normale et
employer le paramètre de restriction (final, masqué) pour définir les droits
d'accès des utilisateurs.
Loading...