F-SECURE POLICY MANAGER 8.0 User Manual

F-Secure Policy
Manager
Guide de
l'administrateur
« F-Secure » et le symbole du triangle sont des marques déposées de F-Secure Corporation, et les noms des produits F-Secure ainsi que les symboles et logos sont des marques déposées ou des marques de commerce de F-Secure Corporation. Tous les noms de produits mentionnés dans la présente documentation sont des marques commerciales ou des marques déposées de leurs sociétés respectives. F-Secure Corporation dénie tout intérêt propriétaire vis-à-vis des marques et noms de sociétés tierces. F-Secure Corporation ne pourra être tenue pour responsable des erreurs ou omissions afférentes à cette documentation, quand bien même cette société s'efforce de vérifier l'exactitude des informations contenues dans ses publications. F-Secure Corporation se réserve le droit de modifier sans préavis les informations contenues dans ce document.
Sauf mention contraire, les sociétés, noms et données utilisés dans les exemples sont fictifs. Aucune partie de ce document ne peut être reproduite ou transmise à quelque fin ou par quelque moyen que ce soit, électronique ou mécanique, sans l'autorisation expresse et écrite de F-Secure Corporation.
Ce produit peut être couvert par un ou plusieurs brevets F-Secure, dont les suivants :
GB2353372 GB2366691 GB2366692 GB2366693 GB2367933 GB2368233 GB2374260
Copyright © 2008 F-Secure Corporation. Tous droits réservés. 12000013-5C18
Sommaire
A propos de ce guide 1
Présentation ......................................................................................................................... 2
Organisation du guide .......................................................................................................... 3
Conventions utilisées dans les guides F-Secure ................................................................ 6
Symboles .................................................................................................................... 6
Chapitre 1 Introduction à F-Secure Policy Manager Console 8
1.1 Présentation .................................................................................................................9
1.2 Ordre d'installation ..................................................................................................... 11
1.3 Fonctionnalités ...........................................................................................................12
1.4 Gestion par stratégies ................................................................................................13
1.4.1 Base d'informations de gestion ......................................................................15
Chapitre 2 Configuration requise 18
2.1 F-Secure Policy Manager Server ............................................................................... 19
2.2 F-Secure Policy Manager Console ............................................................................ 21
Chapitre 3 Installation de F-Secure Policy Manager Server 23
3.1 Présentation ............................................................................................................... 24
3.2 Problèmes de sécurité ...............................................................................................25
3.2.1 Installation de F-Secure Policy Manager dans des environnements à haute sécurité25
3.3 Procédure d'installation..............................................................................................31
iii
3.4 Configuration de F-Secure Policy Manager Server....................................................44
3.4.1 Modification du chemin d'accès au répertoire de communication ..................44
3.4.2 Changement des ports où le serveur attend des demandes.......................... 45
3.4.3 Paramètres de configuration de F-Secure Policy Manager Server ................46
3.5 Désinstallation de F-Secure Policy Manager Server..................................................52
Chapitre 4 Installation de F-Secure Policy Manager Console 53
4.1 Présentation ............................................................................................................... 54
4.2 Procédure d'installation..............................................................................................54
4.3 Désinstallation de F-Secure Policy Manager Console ...............................................70
Chapitre 5 Utilisation de F-Secure Policy Manager Console 71
5.1 Présentation ............................................................................................................... 72
5.2 Fonctions de base de F-Secure Policy Manager Console .........................................74
5.2.1 Ouverture de session .....................................................................................74
5.2.2 Gestion de F-Secure Client Security .............................................................. 78
5.2.3 L'interface utilisateur en mode avancé ...........................................................79
5.2.4 Volet Domaine de stratégie ............................................................................80
5.2.5 Volet Propriétés.............................................................................................. 80
5.2.6 Volet Affichage produit ...................................................................................81
5.2.7 Volet Messages..............................................................................................88
5.2.8 Barre d'outils................................................................................................... 89
5.2.9 Options des menus.........................................................................................91
5.3 Administration des domaines et des hôtes ................................................................ 93
5.3.1 Ajout de domaines de stratégie......................................................................95
5.3.2 Ajout d'hôtes................................................................................................... 96
5.3.3 Propriétés d’hôte ..........................................................................................103
5.4 Diffusion des logiciels...............................................................................................104
5.4.1 Installations distantes de F-Secure ..............................................................106
5.4.2 Installation par stratégies.............................................................................. 113
5.4.3 Installations et mises à jour locales à l'aide de packages préconfigurés ..... 118
5.4.4 Transmission des informations..................................................................... 122
5.5 Gestion des stratégies .............................................................................................123
5.5.1 Paramètres...................................................................................................123
5.5.2 Restrictions...................................................................................................124
5.5.3 Enregistrement des données de stratégie actuelles..................................... 125
iv
5.5.4 Distribution des fichiers de stratégie............................................................. 126
5.5.5 Transmission des stratégies......................................................................... 126
5.6 Gestion des opérations et des tâches......................................................................129
5.7 Alertes ......................................................................................................................130
5.7.1 Affichage des alertes et des rapports...........................................................130
5.7.2 Configuration de la transmission des alertes................................................131
5.8 Outil de transmission de rapports ............................................................................ 133
5.8.1 Volet Sélecteur de domaine de stratégie / d'hôte......................................... 134
5.8.2 Volet Sélecteur de type de rapport...............................................................135
5.8.3 Volet Rapport................................................................................................137
5.8.4 Volet inférieur ............................................................................................... 138
5.9 Préférences..............................................................................................................138
5.9.1 Préférences spécifiques à une connexion.................................................... 139
5.9.2 Préférences partagées ................................................................................. 142
Chapitre 6 Maintenance de F-Secure Policy Manager Server 144
6.1 Présentation ............................................................................................................. 145
6.2 Sauvegarde et restauration des données de F-Secure Policy Manager Console ...145
6.3 Duplication de logiciels à l'aide de fichiers image .................................................... 148
Chapitre 7 Mise à jour des bases de données de définition de virus 150
7.1 Mises à jour automatiques avec l' Agent de mise à jour automatique F-Secure......151
7.2 Utilisation de l’agent de mise à jour automatique.....................................................153
7.2.1 Configuration ................................................................................................153
7.2.2 Lire le fichier journal .....................................................................................155
7.3 Activation forcée de l’agent de mise à jour automatique pour vérifier immédiatement les nouvelles mises à jour158
7.4 Mise à jour manuelle des bases de données........................................................... 159
7.5 Dépannage...............................................................................................................160
Chapitre 8 F-Secure Policy Manager sous Linux 162
8.1 Présentation ............................................................................................................. 163
8.1.1 Différences entre Windows et Linux............................................................. 163
8.1.2 Distributions prises en charge ...................................................................... 163
v
8.2 Installation................................................................................................................164
8.2.1 Installation de l’Agent de mise à jour automatique F-Secure ....................... 164
8.2.2 Installation de F-Secure Policy Manager Server ..........................................165
8.2.3 Installation de F-Secure Policy Manager Console........................................ 166
8.2.4 Installation de F-Secure Policy Manager Web Reporting.............................167
8.3 Configuration............................................................................................................168
8.4 Désinstallation..........................................................................................................168
8.4.1 Désinstallation de F-Secure Policy Manager Web Reporting.......................168
8.4.2 Désinstallation de F-Secure Policy Manager Console .................................169
8.4.3 Désinstallation de F-Secure Policy Manager Server....................................169
8.4.4 Désinstallation de l’Agent de mise à jour automatique F-Secure.................170
8.5 Questions fréquentes ...............................................................................................171
Chapitre 9 Web Reporting 176
9.1 Présentation ............................................................................................................. 177
9.2 Introduction ..............................................................................................................177
9.3 Configuration système requise pour le client Web Reporting ..................................178
9.4 Génération et affichage des rapports.......................................................................178
9.4.1 Paramètres requis pour l'affichage des rapports Web dans le navigateur ...179
9.4.2 Génération d'un rapport................................................................................180
9.4.3 Création d'un rapport imprimable ................................................................. 181
9.4.4 Génération d'une URL spécifique pour la création automatique de rapports.....
182
9.5 Maintenance de Web Reporting...............................................................................183
9.5.1 Désactivation de Web Reporting..................................................................183
9.5.2 Activation de Web Reporting........................................................................184
9.5.3 Restriction ou élargissement des possibilités d'accès aux rapports Web ....184
9.5.4 Modification du port de Web Reporting ........................................................186
9.5.5 Création d'une copie de sauvegarde de la base de données de Web Reporting
187
9.5.6 Restauration de la base de données de Web Reporting à partir d'une copie de
sauvegarde188
9.5.7 Modification de la durée maximale de stockage des données dans la base de
données de Web Reporting188
9.6 Messages d'erreur de Web Reporting et dépannage...............................................189
9.6.1 Messages d'erreur........................................................................................190
vi
9.6.2 Dépannage...................................................................................................191
Chapitre 10 F-Secure Policy Manager Proxy 193
10.1 Présentation .............................................................................................................194
Chapitre 11 Dépannage 195
11.1 Présentation .............................................................................................................196
11.2 F-Secure Policy Manager Server et Console...........................................................196
11.3 F-Secure Policy Manager Web Reporting................................................................201
11.4 Distribution des stratégies........................................................................................ 202
Appendix A Prise en charge de SNMP 204
A.1 Présentation............................................................................................................ 205
A.1.1 Prise en charge de SNMP pour F-Secure Management Agent....................205
A.2 Installation de F-Secure Management Agent avec prise en charge de SNMP........206
A.2.1 Installation de l'extension d'administration SNMP de F-Secure ................... 206
A.3 Configuration de l'agent principal SNMP..................................................................207
A.4 Base d'informations de gestion (MIB) ......................................................................208
Appendix B Codes d'erreur d'Ilaunchr 210
B.1 Présentation............................................................................................................ 211
B.2 Codes d'erreur..........................................................................................................212
Appendix C Codes d'erreur de l'installation distante avec FSII 216
C.1 Présentation ............................................................................................................ 217
C.2 Codes d'erreur Windows..........................................................................................217
C.3 Messages d'erreur.................................................................................................... 218
Appendix D Notation NSC pour les masques de réseau 220
D.1 Présentation ............................................................................................................ 221
Support technique 223
Présentation ..................................................................................................................... 224
Web Club ......................................................................................................................... 224
vii
Descriptions de virus sur le Web ......................................................................................224
Support technique avancé ...............................................................................................224
Formation technique aux produits F-Secure ....................................................................226
Programme de formation 226 Contacts 226
Glossaire 227
A propos de F-Secure Corporation
viii

A PROPOS DE CE GUIDE

Présentation ................................................................................ 2
Organisation du guide ................................................................. 3
1
2

Présentation

F-Secure Policy Manager fournit des outils pour administrer les produits logiciels F-Secure suivants :
F-Secure Client Security F-Secure Internet Gatekeeper pour Windows F-Secure Anti-Virus pour
les stations de travail Windows les serveurs Windows les serveurs Citrix Microsoft Exchange MIMEsweeper
F-Secure Linux Security F-Secure Linux Client Security F-Secure Linux Server Security F-Secure Policy Manager Proxy.

Organisation du guide

Le Guide de l'administrateur de F-Secure Policy Manager contient les chapitres suivants.
Chapitre 1. Introduction à F-Secure Policy Manager Console. Décrit
l'architecture et les composants de la gestion basée sur les stratégies.
Chapitre 2. Configuration requise. Définit la configuration logicielle et
matérielle requise pour F-Secure Policy Manager Console et F-Secure Policy Manager Server.
Chapitre 3. Installation de F-Secure Policy Manager Server. Couvre
l'installation de F-Secure Policy Manager Server sur le serveur.
Chapitre 4. Installation de F-Secure Policy Manager Console. Couvre
l'installation des applications F-Secure Policy Manager Console sur la station de travail de l'administrateur.
Chapitre 5. Utilisation de F-Secure Policy Manager Console. Donne une
présentation globale du logiciel et décrit les procédures d'installation et d'ouverture de session, les options de menu et les tâches de base.
Chapitre 6. Maintenance de F-Secure Policy Manager Server. Décrit les
procédures de sauvegarde et les routines de restauration.
A propos de ce guide 3
Chapitre 7. Mise à jour des bases de données de définition de virus.
Décrit les différents modes de mise à jour des bases de données de définitions de virus.
Chapitre 8. F-Secure Policy Manager sous Linux. Décrit les procédures
d'installation et d'administration F-Secure Policy Manager sous Linux.
Chapitre 9. Web Reporting. Décrit comment utiliser F-Secure Policy
Manager Web Reporting, un nouveau système de rapports graphiques d’entreprise basé sur le Web inclus dans F-Secure Policy Manager Server.
Chapitre 10. F-Secure Policy Manager Proxy. Contient une brève
introduction à Proxy F-Secure Policy Manager.
Chapitre 11. Dépannage. Contient des informations de dépannage et
des questions fréquentes.
4
Annexe A. Prise en charge de SNMP. Contient des informations sur la
prise en charge de SNMP.
Annexe B. Codes d'erreur d'Ilaunchr. Contient la liste des codes d'erreur
d'Ilaunchr.
Annexe C. Codes d'erreur de l'installation distante avec FSII. Décrit les
codes d'erreur les plus courants et les messages qui apparaissent durant l'opération Autodécouvrir hôtes Windows.
Annexe D. Notation NSC pour les masques de réseau. Définit la notation
NSC pour masques de réseau et fournit des informations à ce sujet.
Glossaire — Définition des termes
Support technique — Web Club et contacts pour obtenir de l'aide.
A propos de F-Secure Corporation — Présentation de la société et de ses
produits.
A propos de ce guide 5
6

Conventions utilisées dans les guides F-Secure

Cette section décrit les symboles, polices et termes utilisés dans ce manuel.

Symboles

AVERTISSEMENT : Le symbole d’avertissement signale un risque de destruction irréversible des données.
IMPORTANT : Le point d’exclamation signale des informations importantes à prendre en compte.
REFERENCE : l’image d’un livre renvoie à un autre document contenant des informations sur le même sujet.
REMARQUE : une remarque donne des informations complémentaires à prendre en compte.
l
Polices
CONSEIL : un conseil donne des informations qui vous permettront de réaliser une tâche avec plus de facilité ou de rapidité.
Une flèche signale une procédure composée d’une seule étape.
La police Arial Gras (bleu) est utilisée pour les noms et les options de menus, les boutons et autres éléments des boîtes de dialogue.
La police Arial Italique (bleu) est utilisée pour les références aux autres chapitres de ce manuel ainsi que les titres de livres ou d’autres manuels.
La police Arial Italique (noir) est utilisée pour les noms de fichiers et de dossiers, les titres des figures et des tableaux et les noms des arborescences.
La police Courier New est utilisée pour les messages affichés à l'écran.
La police Courier New Gras est utilisée pour les informations que vous devez taper.
Les
PETITES MAJUSCULES (NOIR) sont utilisées pour les touches du clavier
ou combinaisons de touches.
7
La police Arial Souligné (bleu) utilisateur.
La police Times New Roman Normal est utilisée pour les noms de fenêtres et de boîtes de dialogue.
Document PDF
Ce manuel est fourni au format PDF (Portable Document Format). Il peut être visualisé en ligne ou imprimé avec Adobe® Acrobat® Reader. Si vous imprimez le manuel, imprimez-le en entier, y compris les mentions de copyright et de disclaimer.
Pour plus d’informations
Rendez-vous sur le site de F-Secure à l’adresse suivante : http://
www.f-secure.com . Vous y trouverez notre documentation, des
formations, des fichiers à télécharger et des informations de contact pour les services et le support technique.
Nous nous efforçons constamment d’améliorer notre documentation et vos commentaires sont les bienvenus. Pour toute question, commentaire ou suggestion concernant ce document ou tout autre document F-Secure, veuillez nous contacter à l’adresse suivante :
documentation@f-secure.com
est utilisée pour les liens sur l’interface
.
INTRODUCTION À
1
F-S M
Présentation ................................................................................. 9
Ordre d'installation...................................................................... 11
Fonctionnalités ........................................................................... 12
Gestion par stratégies ................................................................ 13
ECURE POLICY
ANAGER CONSOLE
8

1.1 Présentation

F-Secure Policy Manager offre une manière modulable de gérer la sécurité de plusieurs applications sur différents systèmes d'exploitation, à partir d'un emplacement centralisé. Utilisez ce produit pour mettre à jour les logiciels de sécurité, gérer les configurations, surveiller la conformité de l'entreprise et gérer le personnel même s'il est nombreux et itinérant. F-Secure Policy Manager offre une infrastructure étroitement intégrée pour la définition des stratégies de sécurité, la diffusion des stratégies et l'installation d'applications sur des systèmes locaux et distants ainsi que le contrôle des activités de tous les systèmes de l'entreprise afin de vous assurer de leur conformité avec les stratégies de l'entreprise et un contrôle centralisé.
CHAPITRE 1 9
Figure 1-1 Architecture de gestion de F-Secure
L'agent de mise à jour automatique F-Secure peut être installé en tant que partie intégrante de F-Secure Policy Manager Server.
La puissance de F-Secure Policy Manager repose sur l'architecture d'administration F-Secure, qui offre une grande évolutivité pour un personnel réparti géographiquement et itinérant. F-Secure Policy Manager se compose de F-Secure Policy Manager Console et de F-Secure Policy Manager Server. Ils sont parfaitement intégrés avec les agents F-Secure Management Agent qui gèrent toutes les fonctions d'administration sur les hôtes locaux.
10
Principaux composants de F-Secure Policy Manager
F-Secure Policy Manager Console fournit une console d'administration
centralisée pour assurer la sécurité des hôtes administrés sur le réseau. Cette console permet à l'administrateur d'organiser le réseau en unités logiques pour partager les stratégies. Ces stratégies sont définies dans F-Secure Policy Manager Console puis distribuées aux stations de travail par F-Secure Policy Manager Server. F-Secure Policy Manager Console est une application basée sur Java exécutable sur différentes plates-formes. Elle permet notamment d'installer F-Secure Management Agent à distance sur d'autres postes de travail sans utiliser de scripts de connexion locaux, sans redémarrer l'ordinateur et sans aucune intervention de l'utilisateur final.
F-Secure Policy Manager Server stocke les stratégies et les logiciels
diffusés par l'administrateur ainsi que les informations d'état et les alertes envoyées par les hôtes administrés. Utilisé comme extension d'un serveur Web Apache, il s'agit d'un composant évolutif. La communication entre F-Secure Policy Manager Server et les hôtes administrés s'établit via le protocole standard HTTP, qui assure un fonctionnement optimal aussi bien sur les réseaux locaux (LAN) que sur les réseaux étendus (WAN).
F-Secure Policy Manager Web Reporting est un système Web de
création de rapports graphiques à l'échelle de l'entreprise inclus dans F-Secure Policy Manager Server. Il permet de créer rapidement des rapports graphiques basés sur les tendances passées et d'identifier les ordinateurs qui ne sont pas protégés ou qui sont vulnérables aux attaques de nouveaux virus.
F-Secure Policy Manager Reporting Option est un programme de ligne
de commande autonome qui, via un répertoire de communication (CommDir) existant dans F-Secure Policy Manager Server, collecte les données d'alerte, d'état et de propriété du domaine de sécurité géré ou de l'hôte de votre choix. F-Secure Policy Manager Reporting Option permet à l'utilisateur de générer des rapports relatifs aux données figurant dans le répertoire de communication de Secure Policy Manager Server à l'aide de modèles XSL (semblables à des requêtes prédéfinies). Ces rapports peuvent ensuite être exportés sous forme de fichiers HTML, XML, CSV ou TXT.
CHAPITRE 1 11
Le serveur et l'agent de mise à jour de F-Secure Policy Manager servent à mettre à jour les définitions de virus et de logiciels espions sur les hôtes administrés. L'agent de mise à jour automatique F -Secure permet aux utilisateurs d'obtenir des mises à jour automatiques ainsi que des informations sans avoir à interrompre leur travail pour télécharger les fichiers à partir d'Internet. L'agent de mise à jour automatique F-Secure télécharge automatiquement les fichiers en tâche de fond en utilisant la bande passante inutilisée par d'autres applications Internet. Ainsi, l'utilisateur est sûr de disposer des mises à jour les plus récentes et ce, sans avoir à effectuer de recherches sur Internet. Si l'agent de mise à jour automatique F-Secure est connecté en permanence à Internet, il reçoit automatiquement les mises à jour de définitions de virus dans les deux heures qui suivent leur publication par F-Secure.
F-Secure Management Agent applique les stratégies de sécurité
définies par l'administrateur sur les hôtes administrés et fournit l'interface utilisateur ainsi que d'autres services. Il gère toutes les fonctions d'administration sur les postes de travail locaux, fournit une interface commune à toutes les applications F-Secure et s'articule autour d'une infrastructure de gestion par stratégies.
L'Assistant de certificat F-Secure est une application qui permet de créer des certificats pour F-Secure VPN+.

1.2 Ordre d'installation

Pour installer F-Secure Policy Manager, procédez dans l'ordre indiqué ci-dessous, sauf si vous installez F-Secure Policy Manager Server et F-Secure Policy Manager Console sur le même ordinateur. Dans ce dernier cas, le programme d'installation installe tous les composants au cours de la même opération.
1. F-Secure Policy Manager Server, puis agent et serveur de mise à jour F-Secure Policy Manager,
2. F-Secure Policy Manager Console,
3. Applications du point administré.
12

1.3 Fonctionnalités

Distribution des logiciels
Première installation dans un domaine NT à l'aide du système
d'installation de F-Secure.
Mise à jour des fichiers exécutables et des fichiers de données,
dont les bases de données de F-Secure Anti-Virus.
Prise en charge des mises à jour par stratégies. Les stratégies
contraignent F-Secure Management Agent à effectuer les mises à jour sur un hôte. Les stratégies et les logiciels sont signés, ce qui permet d'authentifier et d'assurer la sécurité des processus complets de mise à jour.
Les mises à jour peuvent s'effectuer de différentes manières : à partir du CD-ROM de F-Secure ; sur le poste client à partir du site Web de F-Secure. Ces mises à
jour peuvent être automatiquement « distribuées » par l'agent de sauvegarde automatique F-Secure ou « récupérées » à la demande sur le site Web de F-Secure.
F-Secure Policy Manager Console peut être utilisé pour exporter
des packages d'installation préconfigurés, qu'il est également possible de transmettre à l'aide d'un logiciel tiers, tel que SMS, ou des outils similaires.
Configuration et gestion par stratégies
Configuration centralisée des stratégies de sécurité.
L'administrateur distribue les stratégies sur la station de travail de l'utilisateur à partir de F-Secure Policy Manager Server. L'intégrité des stratégies est assurée par l'utilisation de signatures numériques.
Gestion des événements
Transmission de rapports à l'Observateur d'événements
(journaux locaux et distants), à l'agent SNMP, à la messagerie électronique, aux fichiers de rapport, etc. via l'interface API de F-Secure Management.
Redirection d'événements par stratégies. Statistiques relatives aux événements.
Gestion des performances
Création de rapports et gestion des statistiques et des données
relatives aux performances.
Gestion des tâches
Gestion de la détection de virus et autres tâches.

1.4 Gestion par stratégies

CHAPITRE 1 13
Une stratégie de sécurité peut être définie comme l'ensemble des règles précises édictées dans le but de définir les modalités d'administration, de protection et de distribution des informations confidentielles et autres ressources. L'architecture d'administration de F-Secure exploite les stratégies configurées de manière centralisée par l'administrateur pour un contrôle total de la sécurité dans un environnement d'entreprise. La gestion par stratégies met en œuvre de nombreuses fonctions :
contrôle et suivi à distance du comportement des produits, analyse des statistiques générées par les produits et par
F-Secure Management Agent,
lancement à distance d'opérations prédéfinies, transmission à l'administrateur système des alertes et des
notifications émises par les produits.
14
L'échange d'informations entre F-Secure Policy Manager Console et les hôtes s'effectue via le transfert des fichiers de stratégie. Il existe trois types de fichiers de stratégie :
fichiers de stratégie par défaut (.dpf), fichiers de stratégie de base (.bpf), fichiers de stratégie incrémentielle (.ipf).
La configuration courante d'un produit inclut ces trois types de fichiers.
Fichiers de stratégie par défaut
Le fichier de stratégie par défaut contient les paramètres par défaut d'un produit qui sont appliqués lors de l'installation. Les stratégies par défaut sont utilisées uniquement sur l'hôte. La valeur d'une variable est extraite du fichier de stratégie par défaut lorsque ni le fichier de stratégie de base ni le fichier de stratégie incrémentielle ne contiennent d'entrée correspondante. Chaque produit possède son propre fichier de stratégie par défaut. Les nouvelles éditions des logiciels intègrent également les nouvelles versions du fichier de stratégie par défaut.
Fichiers de stratégie de base
Les fichiers de stratégie de base contiennent les restrictions et les paramètres administratifs de toutes les variables pour tous les produits F-Secure installés sur un hôte donné (grâce à la définition de stratégies au niveau du domaine, un groupe d'hôtes peut partager le même fichier). Le fichier de stratégie de base est signé par F-Secure Policy Manager Console, ce qui permet de le protéger contre toute modification lorsqu'il est diffusé sur le réseau et stocké dans le système de fichiers d'un hôte. Ces fichiers sont envoyés à F-Secure Policy Manager Server à partir de F-Secure Policy Manager Console. L'hôte récupère à intervalles réguliers les nouvelles stratégies créées par F-Secure Policy Manager Console.
Fichiers de stratégie incrémentielle
Les fichiers de stratégie incrémentielle permettent de stocker les modifications apportées localement à la stratégie de base. Seules sont autorisées les modifications comprises dans les limites définies dans la stratégie de base. Les fichiers de stratégie incrémentielle sont ainsi envoyés à F-Secure Policy Manager Console à intervalles réguliers afin que l'administrateur puisse visualiser les paramètres et les statistiques en cours.

1.4.1 Base d'informations de gestion

La base d'informations de gestion (MIB) est une structure hiérarchique de données de gestion utilisée par le système SNMP (Simple Network Management Protocol). Dans F-Secure Policy Manager, elle permet de définir le contenu des fichiers de stratégie. Chaque variable est associée à un identificateur unique (OID, ID d'objet) et à une valeur accessible à partir de l'interface API Stratégie. Outre les définitions de la base d'informations de gestion (MIB) du système SNMP, la base d'informations de gestion de F-Secure inclut plusieurs extensions nécessaires à une gestion complète par stratégies.
CHAPITRE 1 15
16
Les catégories suivantes sont définies dans la base d'informations de gestion (MIB) d'un produit :
Paramètres Cette catégorie permet de gérer la station de
travail de la même manière qu'un système SNMP. Les produits gérés fonctionnent dans les limites spécifiées ici.
Statistiques Cette catégorie fournit à F-Secure Policy
Manager Console les statistiques relatives au produit.
Opérations Deux variables de stratégie gèrent les
opérations : (1) une variable pour transmettre à l'hôte l'identificateur de l'opération et (2) une variable pour informer F-Secure Policy Manager Console des opérations exécutées. La seconde variable est transmise à l'aide des statistiques habituelles ; elle accuse réception de toutes les opérations antérieures simultanément. Un éditeur personnalisé destiné à l'édition des opérations est associé à la sous-arborescence et masque les deux variables.
Privé Les bases d'informations de gestion peuvent
également contenir des variables que le produit stocke en vue d'un usage interne entre les sessions. Cela lui évite de recourir à des services externes, tels que les fichiers du Registre de Windows.
Interruptions Les interruptions sont des messages
(notamment des alertes et des événements) envoyés à la console locale, au fichier journal, au processus d'administration à distance, etc. La plupart des produits F-Secure intègrent les types d'interruptions suivants :
Info. Informations de fonctionnement normal émises par un hôte.
CHAPITRE 1 17
Avertissement. Avertissement émanant de l'hôte.
Erreur. Erreur non fatale survenue sur l'hôte.
Erreur fatale. Erreur irrécupérable survenue sur l'hôte.
Alerte de sécurité. Incident lié à la sécurité survenu sur l'hôte.
CONFIGURATION
2
REQUISE
F-Secure Policy Manager Server ............................................... 19
F-Secure Policy Manager Console............................................. 21
18

2.1 F-Secure Policy Manager Server

Pour installer F-Secure Policy Manager Server, votre système doit être doté de la configuration minimale suivante :
CHAPITRE 2 19
Configuration requise
Système d'exploitation :
Processeur : Processeur Intel Pentium III 450 MHz ou plus
Microsoft Windows :
Microsoft Windows 2000 Server (SP4 ou version ultérieure) Windows 2003 Server (32 et 64 bits) Windows 2008 Server (32 et 64 bits)
Linux :
Red Hat Enterprise Linux 3, 4 et 5 openSUSE Linux 10.3 SUSE Linux Enterprise Server 9 et 10 SUSE Linux Enterprise Desktop 10 Debian GNU Linux Etch 4.0 Ubuntu 8.04 Hardy
rapide. La gestion de plus de 5 000 hôtes ou l'utilisation du composant Web Reporting requiert l'utilisation d'un processeur Intel Pentium III 1 GHz ou plus rapide.
20
Mémoire : 256 Mo de RAM
Lorsque le composant Web Reporting est activé, 512 Mo de RAM.
Espace disque requis :
Réseau : Réseau 10 Mbits. La gestion de plus de 5 000
Espace disque requis : 200 Mo d'espace disponible sur le disque dur (500 Mo ou plus recommandés). La quantité d'espace requis sur le disque dur dépend de la taille de l'installation.
Outre la configuration décrite ci-dessus, il est recommandé d'allouer environ 1 Mo par hôte pour les alertes et les stratégies. Il est malaisé de prévoir la quantité réelle d'espace occupé sur le disque par chaque hôte, puisqu'elle dépend de la manière dont les stratégies sont utilisées ainsi que du nombre de fichiers d'installation stockés.
hôtes exige un réseau 100 Mbits.

2.2 F-Secure Policy Manager Console

Pour installer F-Secure Policy Manager Console, votre système doit être doté de la configuration minimale suivante :
CHAPITRE 2 21
Configuration requise
Système d'exploitation :
Processeur :
Mémoire :
Microsoft Windows :
Microsoft Windows 2000 Professionnel (SP4 ou version ultérieure)
Windows XP Professionnel (SP2 ou version ultérieure)
Windows Vista (32 et 64 bits) Windows 2000 Server SP4 Windows 2003 Server (32 et 64 bits). Windows 2008 Server (32 et 64 bits).
Linux :
Red Hat Enterprise Linux 3, 4 et 5 openSUSE Linux 10.3 SUSE Linux Enterprise Server 9 et 10 SUSE Linux Enterprise Desktop 10 Debian GNU Linux Etch 4.0 Ubuntu 8.04 Hardy
Processeur Intel Pentium III 450 MHz ou plus rapide. La gestion de plus de 5 000 hôtes exige un processeur Pentium III 750 MHz ou plus rapide.
256 Mo de RAM. La gestion de plus de 5 000 hôtes exige 512 Mo de RAM.
22
Espace disque requis :
Affichage :
Réseau :
100 Mo d'espace disponible sur le disque dur.
Ecran 256 couleurs minimum d'une résolution de 1 024 x 768 (recommandé : couleurs 32 bits et résolution de 1 280 x 960 ou supérieure).
Interface de réseau Ethernet ou l'équivalent. Il est conseillé d'utiliser un réseau à 10 Mbits entre la console et le serveur. La gestion de plus de 5 000 hôtes requiert une connexion à 100 Mbits entre la console et le serveur.
INSTALLATION DE
3
F-S M
Présentation ............................................................................... 24
Problèmes de sécurité................................................................ 25
Procédure d'installation .............................................................. 31
Désinstallation de F-Secure Policy Manager Server.................. 52
ECURE POLICY
ANAGER SERVER
23
24

3.1 Présentation

F-Secure Policy Manager Server est le lien entre F-Secure Policy Manager Console et les hôtes administrés. Il sert au stockage des stratégies et des fichiers logiciels distribués par l'administrateur, ainsi que des informations d'état et des alertes envoyées par les hôtes administrés.
La communication entre F-Secure Policy Manager Server et d'autres composants peut être établie via le protocole standard HTTP, qui assure un fonctionnement optimal aussi bien sur les réseaux locaux (LAN) que sur les réseaux longue distance.
Les informations stockées par F-Secure Policy Manager Server incluent les fichiers suivants :
la structure du domaine de stratégie, les données de stratégie, c'est-à-dire les informations de
les fichiers de stratégie de base créés à partir des données de
les informations d'état, notamment les fichiers de stratégie
les demandes d'auto-enregistrement envoyées par les hôtes, les certificats de l'hôte, les informations de sécurité reçues de F-Secure, les packages d'installation des produits et de mise à jour des
Le composant Web Reporting stocke des données de tendances
Vous trouverez ci-dessous des instructions avancées pour l'installation de F-Secure Policy Manager Server sur un ordinateur dédié uniquement au serveur. F-Secure Policy Manager Server peut également être installé sur le même ordinateur que F-Secure Policy Manager Console.
stratégie réelles liées à chaque domaine de stratégie ou à chaque hôte,
stratégie,
incrémentielle, les alertes et les rapports,
bases de données de définitions de virus.
statistiques et historiques sur les hôtes.

3.2 Problèmes de sécurité

F-Secure Policy Manager Server emploie la technologie de serveur Web Apache. Bien que nous mettions tout en œuvre pour fournir une technologie sûre et à jour, il est conseillé de consulter régulièrement les sites suivants afin d'obtenir des informations sur la technologie Apache et sa sécurité.
Les informations les plus récentes sur les problèmes de sécurité relatifs aux systèmes d'exploitation et au serveur Web Apache sont disponibles sur le site Web de CERT : http://www.cert.org.
Vous trouverez un document fournissant des conseils sur la manière de sécuriser l'installation du serveur Web Apache à l'adresse http://
www.apache.org/docs/misc/security_tips.html., ainsi qu'une liste
répertoriant les points vulnérables à l'adresse
http://www.apacheweek.com/features/security-13
Les notes de publication contiennent des informations importantes relatives à l'installation et à la sécurité. Lisez ces notes attentivement !
CHAPITRE 3 25
Installation de F-Secure Policy Manager Server
.

3.2.1 Installation de F-Secure Policy Manager dans des environnements à haute sécurité

F-Secure Policy Manager est essentiellement destiné à la gestion de produits F-Secure Anti-Virus dans des réseaux d'entreprise internes. F-Secure ne recommande pas d'employer F-Secure Policy Manager sur des réseaux publics tels qu'Internet.
IMPORTANT : Lors de l'installation de F-Secure Policy Manager dans des environnements à haute sécurité, il convient de s'assurer que le port Administration (par défaut le port 8080) et le port Hôte (par défaut le port 80) ne sont pas visibles sur Internet.
26
Fonctions de sécurité intégrées à F-Secure Policy Manager
F-Secure Policy Manager possède des fonctions de sécurité intégrées qui garantissent la détection de toute modification de la structure du domaine de stratégie et des données de stratégie. Plus important encore, elles interdisent le déploiement de modifications non autorisées sur les hôtes administrés. Ces deux fonctions reposent sur une paire de clés d'administration qui n'est accessible qu'aux administrateurs. Dans la plupart des cas, ces fonctions, reposant sur de puissantes signatures numériques, fourniront l'équilibre idéal entre facilité d'utilisation et sécurité à la plupart des installations antivirus. Par contre, les fonctions suivantes peuvent exiger une configuration supplémentaire dans des environnements à haute sécurité :
1. Par défaut, tous les utilisateurs peuvent accéder en lecture seule à Policy Manager Server, mais ils peuvent uniquement consulter les données d'administration. Cette méthode permet de partager aisément les informations avec les utilisateurs ne disposant pas de droits d'administration complets. Plusieurs utilisateurs peuvent ouvrir simultanément une session en lecture seule, afin de surveiller l'état du système sans perturber les autres administrateurs ou les hôtes administrés.
2. Pour faciliter la migration vers de nouvelles clés d'administration, il est possible de signer de nouveau la structure du domaine de stratégie et les données de stratégie à l'aide d'une nouvelle clé ou d'une clé existante. Si cette opération est effectuée accidentellement, ou volontairement par un utilisateur non autorisé, l'utilisateur autorisé remarquera la modification lorsqu'il tentera d'ouvrir une nouvelle session dans F-Secure Policy Manager. Dans le pire des cas, l'utilisateur autorisé devra restaurer des sauvegardes afin d'éliminer les éventuelles modifications apportées par l'utilisateur non autorisé. Dans tous les cas, les modifications de la structure du domaine de stratégie et des données de stratégie seront détectées, et il est impossible de distribuer ces modifications aux hôtes administrés sans la paire de clés d'origine.
Ces deux fonctions peuvent s'avérer indésirables dans un environnement à haute sécurité, où il doit même être interdit de visualiser les données d'administration. Les mesures suivantes peuvent être prises pour accroître le niveau de sécurité du système :
CHAPITRE 3 27
Installation de F-Secure Policy Manager Server
Différents scénarios d'installation possibles pour les environnements à haute sécurité :
1. F-Secure Policy Manager Server et F-Secure Policy Manager
Console seront installés sur le même ordinateur et l'accès à F-Secure Policy Manager Server sera limité à l'hôte local uniquement. Après cela, seule la personne ayant un accès physique à l'hôte local peut utiliser F-Secure Policy Manager Console.
Lorsque l'accès à F-Secure Policy Manager Server est limité à l'hôte local au cours de l'installation (voir l'Etape 8. , 37), le programme d'installation de F-Secure modifie le paramètre #FSMSA listen du fichier httpd.conf comme suit :
#FSMSA listen
Listen 127.0.0.1:8080 <- Autoriser les connexions uniquement de l'hôte local au port PMC 8080
2. L'accès à F-Secure Policy Manager Server sera limité uniquement
aux adresses IP définies séparément via la modification du fichier
httpd.conf.
Si l'accès au port 8080 était limité à l'hôte local au cours de l'installation, vous devez maintenant ouvrir le port et définir la liste des adresses IP autorisées (reportez-vous au paramètre Listen 8080 de l'exemple ci-dessous).
28
Voici un exemple de section du fichier httpd.conf modifiée :
#FSMSA listen
Listen 8080 <- s'assurer que les connexions ne sont pas limitées à l'hôte local
#FSMSA port
<VirtualHost _default_:8080>
<Location /fsmsa/fsmsa.dll>
Order Deny,Allow
Deny from all <- D'abord tout refuser
Allow from 127.0.0.1 <- Ensuite, autoriser l'accès au serveur depuis l'ordinateur local
Allow from 10.128.129.2 <- Autoriser l'accès depuis l'ordinateur serveur
Allow from 10.128.129.209 <- Autoriser l'accès depuis le poste de travail administrateur
SetHandler fsmsa-handler
</Location>
</VirtualHost>
Ensuite, seule la personne ayant accès aux ordinateurs ayant les adresses IP définies peut utiliser F-Secure Policy Manager Console.
3. S'il est vraiment indispensable d'utiliser F-Secure Policy Manager via un réseau public (comme Internet), il est recommandé de crypter la connexion entre F-Secure Policy Manager Server et F-Secure Policy Manager Console à l'aide d'un produit de type VPN ou SSH.
F-Secure Policy Manager Console et F-Secure Policy Manager Server peuvent également être installés sur le même ordinateur, avec un accès illimité à l'hôte local. Un accès administrateur à distance à F-Secure Policy Manager Console peut être prévu à l'aide d'un produit de connexion de bureau à distance sécurisé.
CHAPITRE 3 29
Installation de F-Secure Policy Manager Server
Installation de F-Secure Policy Manager Web Reporting dans des environnements à haute sécurité
F-Secure Policy Manager Web Reporting a été conçu pour être utiliser dans des réseaux d'entreprise internes en vue de générer, par exemple, des rapports graphiques de l'état de la protection contre les virus et des alertes de F-Secure Client Security. F-Secure ne recommande pas d'employer F-Secure Policy Manager Web Reporting sur des réseaux publics tels qu'Internet.
Différents scénarios d'installation possibles pour les environnements à haute sécurité :
1. L'accès aux rapports Web est limité à l'hôte local au cours de
l'installation. Après cela, seule la personne ayant un accès physique à l'hôte local peut utiliser F-Secure Policy Manager Web Reporting.
Lorsque l'accès à F-Secure Policy Manager Web Reporting est limité à l'hôte local au cours de l'installation (voir l' , 38), le programme d'installation de F-Secure modifie le paramètre #Web Reporting
listen du fichier httpd.conf comme suit :
#Web Reporting listen Listen 127.0.0.1:8081 <- Autoriser les connexions au port 8081 de Web Reporting uniquement depuis l'hôte local
2. L'accès à F-Secure Policy Manager Web Reporting sera limité
uniquement aux adresses IP définies séparément via la modification du fichier httpd.conf (voir ci-dessous).
Si l'accès au port 8081 était limité à l'hôte local au cours de l'installation, vous devez maintenant ouvrir le port et définir la liste des adresses IP autorisées (reportez-vous au paramètre Listen 8081 de l'exemple ci-dessous).
30
Voici un exemple de section du fichier httpd.conf modifiée. Dans cet exemple, l'accès est autorisé à partir de l'hôte local et d'une adresse IP définie séparément :
#Web Reporting listen
Listen 8081
# Web Reporting port:
<VirtualHost _default_:8081>
JkMount /* ajp13
ErrorDocument 500 "Policy Manager Web Reporting could not be contacted by
the Policy Manager Server.
<Location / >
Order Deny,Allow
Deny from all <- D'abord tout refuser
Allow from 127.0.0.1 <- Ensuite, autoriser l'accès à Web Reporting depuis l'ordinateur local
Allow from 10.128.129.209 <- Autoriser l'accès depuis le poste de travail administrateur
</Location>
</VirtualHost>
Ensuite, seule la personne ayant accès à l'hôte local ou à l'ordinateur ayant les adresses IP définies peut utiliser F-Secure Policy Manager Web Reporting.

3.3 Procédure d'installation

Pour installer F-Secure Policy Manager Server, vous devez disposer d'un accès physique au serveur.
Etape 1. 1. Introduisez le CD-ROM F-Secure dans le lecteur adéquat.
2. Sélectionnez Professionnel. Cliquez sur Suivant pour continuer.
3. Accédez au menu Installation ou mise à jour de logiciels administrés,
puis choisissez F-Secure Policy Manager.
Etape 2. L'installation démarre. Prenez connaissance du contenu de l'écran
d'accueil, puis suivez les instructions relatives à l'installation. Sélectionnez la langue d'installation dans le menu déroulant. Cliquez sur
Suivant pour continuer.
CHAPITRE 3 31
Installation de F-Secure Policy Manager Server
32
Etape 3. Prenez connaissance du contrat de licence. Si vous êtes d'accord,
cliquez sur J'accepte le contrat. Cliquez sur Suivant pour continuer.
CHAPITRE 3 33
Installation de F-Secure Policy Manager Server
Etape 4. Si vous effectuez l'installation sur un ordinateur où rien n'a été installé
auparavant, sélectionnez F-Secure Policy Manager Server. Cliquez sur
Suivant pour continuer.
34
Etape 5. Choisissez le dossier de destination. Cliquez sur Suivant.
Nous vous recommandons d'utiliser le répertoire d'installation par défaut. Si vous souhaitez installer F-Secure Policy Manager Server dans un répertoire différent, utilisez la fonction Parcourir.
AVERTISSEMENT : Si F-Secure Management Agent est installé sur le même ordinateur, vous ne devez pas modifier le répertoire d'installation de F-Secure Policy Manager Server
CHAPITRE 3 35
Installation de F-Secure Policy Manager Server
Etape 6. Le programme d'installation demande confirmation en présence de
l'installation précédente de F-Secure Policy Manager.
1. Si Oui
2. Si Non
Cliquez sur Suivant pour continuer.
, sélectionnez J'ai une installation existante de F-Secure Policy Manager. Saisissez le chemin du répertoire de communication du programme F-Secure Policy Manager installé. Le contenu de ce répertoire est copié sous le <répertoire d'installation du serveur>\
répertoire de communication (répertoire commdir\ sous le répertoire d'installation de F-Secure Policy Manager Server), et ce répertoire
sera utilisé par F-Secure Policy Manager Server comme référentiel. Vous pouvez utiliser le répertoire commdir précédent comme sauvegarde, où vous pouvez le supprimer une fois que vous avez vérifié que F-Secure Policy Manager Server est correctement installé.
, sélectionnezJe n'ai pas d'installation existante de F-Secure
Policy Manager. Cette option n'exige pas la présence d'un répertoire de
communication antérieur. Un répertoire de communication vide sera créé à l'emplacement par défaut (dans le répertoire d'installation de <F-Secure Policy Manager 5>\commdir).
36
Etape 7. Indiquez si vous souhaitez conserver les paramètres existants ou les
modifier.
Cette boîte de dialogue s'affiche uniquement si une installation précédente de F-Secure Policy Manager Server a été détectée sur l'ordinateur.
Par défaut, le programme d'installation conserve les paramètres
existants. Sélectionnez cette option si vous avez manuellement mis à jour le fichier de configuration de F-Secure Policy Manager Server (HTTPD.conf). Cette option conserve automatiquement les ports d'administration, d'hôte et de génération de rapports Web existants
Si vous souhaitez changer les ports d'une installation précédente,
sélectionnez l'option Modifier les paramètres. Cette option remplace le fichier HTTPD.conf et restaure les valeurs par défaut des paramètres.
CHAPITRE 3 37
Installation de F-Secure Policy Manager Server
Etape 8. Sélectionnez les modules de F-Secure Policy Manager Server à activer :
Le module Hôte est utilisé pour la communication avec les hôtes.
Le port par défaut est 80.
Le module Administration est utilisé pour la communication avec
F-Secure Policy Manager Console. Le port HTTP par défaut est
8080.
Si vous voulez modifier le port de communication par défaut, vous devez également modifier le paramètre Numéro de port HTTP dans F-Secure Policy Manager Console.
Par défaut, l'accès au module Administration est restreint à l'ordinateur local. C'est le mode d'utilisation du produit le plus sécurisé.
En cas de connexion via un réseau, il est conseillé d'envisager de sécuriser la communication à l'aide de F-Secure SSH.
Pour les environnements nécessitant une sécurité maximale, reportez-vous à la section Installation de
F-Secure Policy Manager dans des environnements à haute sécurité dans le Guide de l'administrateur deF-Secure Policy Manager.
Le module Web Reporting est utilisé pour la communication avec
F-Secure Policy Manager Web Reporting. Indiquez si vous souhaitez l'activer. Web Reporting se connecte au module d'administration via un socket local pour rechercher les données du serveur. Le port par défaut est 8081.
Par défaut, l'accès aux rapports Web est également autorisé depuis les autres ordinateurs. Si vous souhaitez uniquement un accès depuis cet ordinateur, sélectionnez Restreindre l'accès à l'ordinateur local.
38
Cliquez sur Suivant pour continuer.
CHAPITRE 3 39
Installation de F-Secure Policy Manager Server
Etape 9. Sélectionnez le ou les fichiers d'installation de produits dans la liste des
fichiers disponibles (si vous avez activé l'option Packages d'installation F-Secure à l'étape 4 de la page 17). Cliquez sur Suivant.
40
Etape 10. Le programme d'installation présente la liste des composants qui seront
installés. Cliquez sur Suivant.
Installation de F-Secure Policy Manager Server
Etape 11. Lorsque le programme d'installation est terminé, il affiche tous les
composants dont l'installation a abouti.
CHAPITRE 3 41
42
Etape 12. F-Secure Policy Manager Server est désormais installé. Redémarrez
l'ordinateur si un message vous invite à le faire. Cliquez sur Terminer pour terminer l'installation.
CHAPITRE 3 43
Installation de F-Secure Policy Manager Server
Etape 13. Pour déterminer si l'installation a réussi, ouvrez un navigateur Web sur
l'ordinateur où F-Secure Policy Manager Server a été installé, tapez http:/ /localhost:80 (si vous avez utilisé le numéro de port par défaut pendant
l'installation), puis appuyez sur la touche E serveur a réussi, la page suivante s'affiche.
F-Secure Policy Manager Server commence à servir des hôtes uniquement après que F-Secure Policy Manager Server a initialisé la structure du répertoire de communication, ce qui s'effectue automatiquement lors de la première exécution de F-Secure Policy Manager Console.
NTRÉE. Si l'installation du
Etape 14. L'assistant d'installation crée le groupe d'utilisateurs FSPM users.
L'utilisateur qui avait ouvert une session et qui a procédé à l'installation est automatiquement ajouté à ce groupe. Pour autoriser un autre utilisateur à exécuter F-Secure Policy Manager, vous devez l'ajouter manuellement au groupe d'utilisateurs FSPM users.
44

3.4 Configuration de F-Secure Policy Manager Server

Le répertoire conf\ dans le répertoire d'installation de Policy Manager Server contient un fichier httpd.conf. Ce fichier contient les informations de configuration de F-Secure Policy Manager Server.
Après avoir modifié la configuration, vous devez arrêter F-Secure Policy Manager Server et le redémarrer pour que les modifications entrent en vigueur.
Les paramètres de F-Secure Policy Manager Web Reporting pouvant être configurés dans httpd.conf sont expliqués dans la section

3.4.1 Modification du chemin d'accès au répertoire de communication

Si le lecteur réseau sur lequel le répertoire de communication se trouve devient saturé, vous pouvez changer son emplacement en suivant les instructions ci-dessous.
Maintenance de Web Reporting”, 183
1. Choisissez un nouveau chemin réseau sur un lecteur offrant plus d'espace. Créez le chemin et vérifiez que l'utilisateur fsms_<nom Wins de l'ordinateur> bénéficie de droits d'accès Contrôle total sur tous les répertoires du chemin.
2. Arrêtez le service F-Secure Policy Manager Server.
3. Copiez toute la structure de répertoires de l'ancien chemin commdir vers le nouveau chemin.
4. Changez la valeur des paramètres CommDir et CommDir2 dans httpd.conf. La configuration par défaut contient les valeurs suivantes :
CommDir "C:\Program Files\F-Secure\Management Server 5\CommDir"
CommDir2 "C:\Program Files\F-Secure\Management Server 5\CommDir"
Installation de F-Secure Policy Manager Server
Si vous voulez remplacer l'emplacement du répertoire de communication par E:\CommDir, modifiez les paramètres en conséquence :
CommDir "E:\CommDir"
CommDir2 "E:\CommDir"
5. Démarrez le service F-Secure Policy Manager Server.
6. Vérifiez que tout fonctionne encore correctement.
7. Supprimez les anciens fichiers commdir.

3.4.2 Changement des ports où le serveur attend des demandes

Deux paramètres définissent les ports des deux modules WebServer qui constituent F-Secure Policy Manager Server : Listen et <VirtualHost>. Par défaut, le module d'administration de F-Secure Policy Manager Server (le composant qui traite les demandes provenant de Policy Manager Console) surveille le port 8080. Le module hôte de F-Secure Policy Manager Server (le composant qui traite les demandes des postes de travail) surveille pour sa part le port 80. Vous avez toutefois la possibilité d'en définir d'autres si ces valeurs par défaut ne vous conviennent pas.
CHAPITRE 3 45
Si vous voulez changer le port surveillé par le module d'administration de F-Secure Policy Manager Server, ajoutez une entrée Listen au fichier de configuration, en précisant le nouveau port (par exemple Listen 8888), puis supprimez le paramètre Listen qui définit le port par défaut surveillé par ce module : Listen 8080.
Lorsque vous ajoutez une nouvelle entrée Listen, veillez à supprimer l'entrée obsolète. Sinon, le serveur utilisera inutilement des ressources système, comme un port réseau.
Après l'ajout du paramètre Listen, F-Secure Policy Manager Server sait qu'il doit surveiller le nouveau port (8888 dans notre exemple). Vous devez toutefois le configurer de manière à associer le module d'administration de F-Secure Policy Manager Server à ce nouveau port.
46
Pour ce faire, vous devez modifier le paramètre <VirtualHost>, qui est associé au module d'administration deF-Secure Policy Manager Server. La configuration par défaut de ce paramètre est la suivante :
#FSMSA port
<VirtualHost _default_:8080>
<Location /fsmsa/fsmsa.dll>
SetHandler fsmsa-handler
</Location>
</VirtualHost>
Pour associer le module au nouveau port, modifiez l'instruction comme suit :
#New FSMSA port
<VirtualHost _default_:8888>
<Location /fsmsa/fsmsa.dll>
SetHandler fsmsa-handler
</Location>
</VirtualHost>
AVERTISSEMENT : Si certaines de vos stations de travail sont déjà configurées pour accéder à F-Secure Policy Manager Server (via le module hôte de F-Secure Policy Manager Server), vous ne devez pas modifier le port hôte de F-Secure Policy Manager Server via lequel les agents communiquent, puisque vous risquez d'être dans un état où les stations de travail ne pourront pas contacter le serveur

3.4.3 Paramètres de configuration de F-Secure Policy Manager Server

Cette section présente et explique toutes les entrées figurant dans le fichier de configuration de F-Secure Policy Manager Server ainsi que leur mode d'utilisation.
CHAPITRE 3 47
Installation de F-Secure Policy Manager Server
ServerRoot : ce paramètre définit le répertoire dans lequel le serveur est installé. Les chemins d'accès à d'autres fichiers de configuration sont pris en compte par rapport à ce répertoire.
Timeout : ce paramètre définit la période pendant laquelle le serveur attend avant de fermer une connexion réseau lorsqu'elle ne connaît plus aucun trafic entrant ou sortant.
LoadModule : ce paramètre définit le nom symbolique du module à lire et le chemin d'accès à la bibliothèque contenant les valeurs binaires du module.
Exemple : LoadModule fsmsh_module
"C:\serverroot\modules\fsmsh.dll"
Listen : ce paramètre définit le port que le serveur doit surveiller. Ainsi, la configuration par défaut d'un serveur Web est la suivante : Listen 80. Vous pouvez restreindre l'origine des connexions reçues. Par exemple, Listen 127.0.0.1:80 autorise les connexions au port 80 uniquement à partir de l'ordinateur sur lequel tourne le serveur (localhost).
Vous pouvez configurer F-Secure Policy Manager Server de manière à surveiller d'autres ports, en modifiant ce paramètre et le paramètre <VirtualHost> qui lui est associé, et qui est également abordé dans cette section. Pour plus d'informations, reportez-vous à la section “Changement des ports où le serveur attend des demandes”, 45.
DocumentRoot : ce paramètre doit contenir un chemin d'accès absolu. Il définit le répertoire auquel tous les utilisateurs pourront accéder ; n'employez donc pas un chemin d'accès à un répertoire contenant des données confidentielles. Par défaut, F-Secure Policy Manager Server attribue un répertoire dans le répertoire d'installation de F-Secure Policy Manager Server, htdocs\. C'est ce répertoire qui contient la « page d’accueil » du serveur. Si vous le modifiez, cette page ne sera plus affichée.
<Directory "c:\un_chemin_d'accès">: : ce paramètre définit le type de paramètres de sécurité qui seront associés au répertoire indiqué dans le chemin d'accès.
ErrorLog : ce paramètre définit le nom du fichier dans lequel le serveur consignera les erreurs qu'il rencontre. Si le chemin d'accès au fichier ne commence pas par une barre oblique (/), il est considéré comme étant
48
relatif à ServerRoot. S'il commence par une barre droite (|), il est considéré comme une commande qui lance le traitement du journal d'erreurs. Cette fonction est utilisée pour l'appel de l'utilitaire rotatelogs (voir l'entrée rotatelogs de cette section), qui permet d'effectuer une rotation des fichiers journaux au lieu d'écrire dans un fichier toujours plus volumineux.
<VirtualHost _default_:port> : ce paramètre définit un ensemble de paramètres qui ne s'appliqueront qu'à un hôte virtuel (VirtualHost). Un hôte virtuel est un serveur virtuel, c'est-à-dire un serveur différent exécuté dans le même processus que d'autres serveurs. F-Secure Policy Manager Server ; par exemple, possède deux hôtes virtuels : un qui s'exécute dans le port 80 (module hôte deF-Secure Policy Manager Server) et un autre s'exécutant dans le port 8080 (FSMSA ou module d'administration).
Voici la configuration par défaut pour F-Secure Policy Manager Server :
# FSMSH port
<VirtualHost _default_:80>
<Location /fsms/fsmsh.dll>
SetHandler fsmsh-handler
</Location>
<Location /commdir>
SetHandler fsmsh-handler
</Location>
</VirtualHost>
#FSMSA port
<VirtualHost _default_:8080>
<Location /fsmsa/fsmsa.dll>
SetHandler fsmsa-handler
</Location>
</VirtualHost>
CHAPITRE 3 49
Installation de F-Secure Policy Manager Server
Commdir et Commdir2 : ces paramètres définissent le chemin d'accès au répertoire de communication ou au référentiel. Il s'agit du répertoire dans lequel F-Secure Policy Manager Server stocke toutes les données de gestion qu'il reçoit de Policy Manager Console et de F-Secure Management Agent. Vous pouvez modifier l'emplacement du répertoire de communication via ces paramètres, mais vous devez vous assurer que le compte à partir duquel le serveur est exécuté (fsms_<nom wins de l'ordinateur>) possède bien des droits complets sur ce répertoire.
Commdir "C:\Program Files\F-Secure\Policy Manager Server\CommDir"
Commdir2 "C:\Program Files\F-Secure\Policy Manager Server\CommDir"
CustomLog : cette entrée permet de consigner les demandes au serveur. Le premier paramètre est un fichier (dans lequel les demandes doivent être consignées) ou une barre verticale (|) suivie d'un programme qui recevra les informations de journal comme source d'entrée standard. Cette fonction est utilisée pour l'appel de l'utilitaire rotatelogs (voir l'entrée rotatelogs de cette section), qui permet d'effectuer une rotation des fichiers journaux au lieu d'écrire dans un fichier toujours plus volumineux.
Le second paramètre détermine ce qui est écrit dans le fichier journal. Il est défini par un paramètre LogFormat précédent.
Vous trouverez ci-dessous un exemple d'entrée dans le fichier access.log :
10.128.131.224 - - [18/Apr/2002:14:06:36 +0300] /fsmsa/ fsmsa.dll?FSMSCommand=ReadPackage&Type=27&SessionID=248 HTTP/
1.1" 200 5299 0 - 0 - "FSA/5.10.2211 1.3.1_02 Windows2000/5.0 x86" mod_gzip: DECHUNK:DECLINED:TOO_SMALL CR:0pct.
10.128.131.224 - - [18/Apr/2002:14:06:36 +0300] indique la date et
l'heure d'envoi de la demande au serveur et l'hôte à l'origine de la demande (identifié par son adresse IP).
50
Le composant fxnext indique quel module la commande a envoyé à / fsmsa/fsmsa.dll. Ce module (fsmsa.dll) est le module Admin. fsmsh.dll
serait le module Hôte.
La commande et les paramètres viennent ensuite : FSMSCommand=ReadPackage&Type=27&SessionID=248. Dans le cas présent, l'hôte a demandé un objet de type 27 (un seul).
La version HTTP employée est également indiquée (HTTP/1.1).
La version HTTP est immédiatement suivie de six nombres :
1. Code de réponse HTTP : Dans cet exemple, 200 est utilisé, ce qui signifie OK selon la norme HTTP. Il existe d'autres codes, décrits dans la norme HTTP, que vous pouvez obtenir à l'adresse suivante :
http://www.w3.org
2. Octets transférés à partir du serveur : dans notre exemple, 5 299 octets ont été transférés.
3. Durée (en secondes) nécessaire au serveur pour servir la demande.
4. Etat de la connexion à la fin de la réponse. X = connexion annulée avant la fin de la réponse.
+ = la connexion peut rester active après l'envoi de la réponse.
- = la connexion sera fermée après l'envoi de la réponse.
5. Code d'erreur du module d'administration F-Secure Policy Manager Server (0 en cas de réussite).
6. Octets transférés au serveur ("-" équivaut à zéro).
La chaîne suivante identifie le client "FSA/5.10.2211 1.3.1_02 Windows2000/5.0 x86". Dans le cas présent, notez que le serveur a été contacté par FSA 5.10 build 2211.
.
Les informations qui suivent concernent la compression des données : mod_gzip: DECHUNK:DECLINED:TOO_SMALL. Dans le cas présent, les données n'ont pas été compressées, car elles étaient de taille trop réduite.
Enfin, le taux de compression est indiqué (0% dans cet exemple) : CR:0pct.
CHAPITRE 3 51
Installation de F-Secure Policy Manager Server
Rotatelogs : Il s'agit d'un petit programme utilisé pour pivoter les fichiers journaux produit par F-Secure Policy Manager Server. Ce programme permet de définir la durée pendant laquelle un fichier journal est conservé (8 jours par défaut) et à quel moment la rotation doit être effectuée. A ce moment, access.log est renommé access.log.1 et un nouveau fichier access.log est créé afin de consigner les nouvelles demandes.
Exemple :
CustomLog '|""C:\Program Files\F-Secure\Policy Manager Server 5\bin\rotatelogs"
"C:\Program Files\F-Secure\Policy Manager Server 5\logs\access.log" 8 86400"' common"
Dans cet exemple, le paramètre CustomLog détermine que l'utilitaire rotatelogs doit ouvrir le fichier access.log et employer 8 fichiers (8 fichiers d'archivage plus le fichier actif) qui subissent une rotation quotidienne (86 400 secondes = 24 heures). En pratique, cela signifie que les fichiers de la dernière semaine plus un jour sont conservés, et qu'un autre fichier est utilisé pour stocker les accès pendant la journée actuelle.
<ifModule mod_gzip.c> : ce paramètre est une nouveauté de F-Secure Policy Manager Server. Il permet de compresser toutes les données transférées entre la console et le serveur. Ce paramètre marque le début des paramètres de compression, qui se terminent juste avant le paramètre </ifModule>. Pour plus d'informations sur ces paramètres, reportez-vous au fichier httpld.sample, situé dans le même répertoire que le fichier de configuration de F-Secure Policy Manager Server (<répertoire d'installation fspms>\conf).
mod_gzip_on Yes : ce paramètre est l'un des paramètres de compression ; il active ou désactive la prise en charge de la compression dans F-Secure Policy Manager Server. La compression est désactivée si le paramètre est remplacé par mod_gzip_on No.
FastPolicyDistribution On : ce paramètre permet d'activer l'équilibre entre performances et compatibilité descendante maximale. Lorsqu'il est activé, il permet à F-Secure Policy Manager Server de distribuer les stratégies d'une manière qui accélère considérablement le processus (de 30 à 100 fois en fonction du nombre d'hôtes). Ce paramètre doit être désactivé si d'autres composants accèdent en même temps au répertoire de communication (par exemple, F-Secure Management Agent).
52
RetryFileOperation 10 : ce paramètre indique au serveur combien de
fois il doit retenter une opération infructueuse sur un fichier (avec un intervalle d'une seconde entre les tentatives) avant d'abandonner.
CommdirCacheSize 10 : la valeur numérique de ce paramètre indique au serveur quel pourcentage de la mémoire il doit utiliser pour stocker les fichiers en mémoire avant de les servir. Le serveur peut ainsi servir plus rapidement les fichiers, car il ne doit pas les lire en permanence à partir du disque. Si vous utilisez la valeur par défaut (10), le serveur emploie 10 % de la mémoire disponible pour cette mise en cache. Par exemple, sur un ordinateur doté de 512 Mo de RAM, 51,2 Mo seront employés pour la mise en cache.

3.5 Désinstallation de F-Secure Policy Manager Server

Pour désinstaller F-Secure Policy Manager Server (ou d'autres composants de F-Secure Policy Manager), procédez comme suit :
1. Cliquez sur le menu Démarrer de Windows et accédez au Panneau de configuration. Cliquez sur Ajout/Suppression de programmes.
2. Choisissez F-Secure Policy Manager Server (ou le composant à désinstaller), puis cliquez sur le bouton Ajouter/Supprimer.
3. La boîte de dialogue F-Secure Désinstallation s'affiche. Cliquez sur
Démarrer pour démarrer la désinstallation.
4. Au terme de la désinstallation, cliquez sur Fermer.
5. Cliquez sur OK pour fermer la boîte de dialogue Ajout/Suppression de programmes.
INSTALLATION DE
4
F-S M
Présentation ............................................................................... 54
Procédure d'installation .............................................................. 54
Désinstallation de F-Secure Policy Manager Console ............... 70
ECURE POLICY
ANAGER CONSOLE
53
54

4.1 Présentation

F-Secure Policy Manager Console peut fonctionner en deux modes :
Mode administrateur - vous pouvez utiliser F-Secure Policy
Mode Lecture seule : permet de visualiser les informations de
Les connexions en mode Administrateur et Lecture seule peuvent s'effectuer à l'aide de la même installation de la console. Les sections suivantes expliquent comment exécuter le programme d'installation de F-Secure Policy Manager Console à partir du CD-ROM F-Secure, ainsi que la manière de choisir le mode de fonctionnement initial lors de la première exécution de la console. L'installation à partir du CD-ROM est identique pour les deux modes. Il est toujours possible d'ajouter de nouvelles connexions en modes Administrateur et Lecture seule après le démarrage initial.
Manager Console avec toutes ces fonctionnalités.
F-Secure Policy Manager Console, mais pas d'accomplir des tâches administratives. Ce mode peut par exemple être utile pour les agents d'un service d'assistance.

4.2 Procédure d'installation

Etape 1. 1. Introduisez le CD-ROM F-Secure dans le lecteur adéquat.
2. Sélectionnez Professionnel. Cliquez sur Suivant pour continuer.
3. Sélectionnez F-Secure Policy Manager dans le menu Installation ou mise à jour du logiciel de gestion.
CHAPITRE 4 55
Installation de F-Secure Policy Manager Console
Etape 2. Prenez connaissance du contenu de l'écran d'accueil, puis suivez les
instructions relatives à l'installation. Sélectionnez la langue d'installation dans le menu déroulant. Cliquez sur Suivant pour continuer.
56
Etape 3. Prenez connaissance du contrat de licence. Si vous êtes d'accord,
cliquez sur J'accepte le contrat. Cliquez sur Suivant pour continuer.
CHAPITRE 4 57
Installation de F-Secure Policy Manager Console
Etape 4. Sélectionnez F-Secure Policy Manager Console. Cliquez sur Suivant
pour continuer.
58
Etape 5. Choisissez le dossier de destination. Cliquez sur Suivant.
Nous vous recommandons d'utiliser le répertoire d'installation par défaut. Utilisez la fonction Parcourir pour installer F-Secure Policy Manager Console dans un autre répertoire.
CHAPITRE 4 59
Installation de F-Secure Policy Manager Console
Etape 6. Spécifiez l'adresse de F-Secure Policy Manager Server, ainsi que le
numéro du port d'administration. Cliquez sur Suivant pour continuer.
60
Etape 7. Examinez les modifications que le programme d'installation va apporter.
Cliquez sur Suivant pour continuer.
Installation de F-Secure Policy Manager Console
Etape 8. Cliquez sur Terminer pour fermer le programme d'installation.
CHAPITRE 4 61
62
Etape 9. Exécutez F-Secure Policy Manager Console en cliquant sur Démarrer
>Programmes > Manager Console. Lorsque l'application F-Secure Policy Manager
Console est exécutée pour la première fois, l'Assistant d'installation de la console collecte les informations requises pour créer une connexion initiale au serveur.
La première page de l'Assistant d'installation de F-Secure Policy Manager Console résume le processus d'installation. Cliquez sur Suivant pour continuer.
F-Secure Policy Manager Console > F-Secure Policy
Installation de F-Secure Policy Manager Console
Etape 10. Sélectionnez le mode d'utilisation correspondant à vos besoins :
Mode Administrateur : active toutes les fonctions
d'administration.
Mode Lecture seule : permet de consulter les données
d'administration, mais pas d'apporter des modifications. Si vous sélectionnez le mode Lecture seule, vous ne pourrez pas administrer les hôtes. Pour passer en mode Administrateur, vous devrez disposer des clés d'administration admin.pub et admin.prv.
Cliquez sur Suivant pour continuer.
CHAPITRE 4 63
64
Etape 11. Saisissez l'adresse du serveur F-Secure Policy Manager Server utilisé
pour la communication avec les hôtes gérés.
CHAPITRE 4 65
Installation de F-Secure Policy Manager Console
Etape 12. Entrez le chemin d'accès au répertoire où vous souhaitez stocker les
fichiers de clé privée et de clé publique de l'administrateur. Par défaut, les fichiers de clé sont enregistrés dans le répertoire d'installation de F-Secure Policy Manager Console.
Program Files\F-Secure\Administrator.
Cliquez sur Suivant pour continuer.
Si la paire de clés n'existe pas encore, elle sera créée plus tard, au cours du processus de configuration.
66
Etape 13. Déplacez votre curseur dans la fenêtre afin d'initialiser le facteur aléatoire
utilisé par le générateur du jeu de clés d'administration. L'utilisation des déplacements de la souris assure que le facteur de l'algorithme de génération de jeu de clés est suffisamment aléatoire. Lorsque l'indicateur d'avancement atteint 100 %, la boîte de dialogue Phrase de cryptage s'affiche automatiquement.
Installation de F-Secure Policy Manager Console
Etape 14. Entrez une phrase de cryptage qui protège votre clé privée
d'administration. Confirmez cette phrase dans la zone Confirmer la phrase de cryptage. Cliquez sur Suivant.
CHAPITRE 4 67
68
Etape 15. Cliquez sur Terminer pour terminer le processus de configuration.
F-Secure Policy Manager Console génère la paire de clés de gestion.
Après la génération de la paire de clés, F-Secure Policy Manager Console démarre.
Etape 16. L'assistant d'installation crée le groupe d'utilisateurs FSPM users.
L'utilisateur qui avait ouvert une session et qui a procédé à l'installation est automatiquement ajouté à ce groupe. Pour autoriser un autre utilisateur à exécuter F-Secure Policy Manager, vous devez l'ajouter manuellement au groupe d'utilisateurs FSPM users.
CHAPITRE 4 69
Installation de F-Secure Policy Manager Console
F-Secure Policy Manager Console démarre en mode antivirus, qui constitue une interface utilisateur optimisée pour la gestion de F-Secure Client Security et F-Secure Anti-Virus pour les stations de travail. Si vous comptez utiliser F-Secure Policy Manager Console pour gérer un autre produit F-Secure, vous devez utiliser l'interface utilisateur en mode avancé. Pour y accéder, cliquez sur le menu Affichage et sélectionnez l'option Mode avancé.
Lorsque vous configurez les stations de travail, vous devez y installer une copie du fichier de clé Admin.pub (ou leur donner l'accès à ce fichier). Si vous installez les produits F-Secure sur les stations de travail à distance à l'aide de F-Secure Policy Manager, une copie du fichier de clé Admin.pub y est automatiquement installée. Par contre, si vous effectuez l'installation à partir d'un CD-ROM, vous devez transférer manuellement une copie du fichier de clés Admin.pub sur les stations de travail. La méthode la plus avantageuse et la plus sûre consiste à copier le fichier Admin.pub sur une disquette, puis à l'installer sur les postes de travail à partir de cette disquette. Vous pouvez également placer le fichier Admin.pub dans un répertoire accessible à tous les hôtes qui seront configurés à l'aide de produits F-Secure administrés à distance.
70
Modification du chemin d'accès au navigateur Web
F-Secure Policy Manager Console obtient le chemin d'accès au navigateur Web par défaut pendant l'installation. Si vous voulez modifier ce chemin d'accès, ouvrez le menu Outils et choisissez l'option Préférences.
Cliquez sur l'onglet Emplacements et entrez le nouveau chemin d'accès au fichier.

4.3 Désinstallation de F-Secure Policy Manager Console

Pour désinstaller F-Secure Policy Manager Console (ou d'autres composants de F-Secure Policy Manager), procédez comme suit :
1. Cliquez sur le menu Démarrer de Windows et accédez au Panneau de configuration. Cliquez sur Ajout/Suppression de programmes.
2. Choisissez le composant à désinstaller (F-Secure Policy Manager Console ou Certificate Wizard), puis cliquez sur le bouton Ajouter/
Supprimer.
3. La boîte de dialogue F-Secure Désinstallation s'affiche. Cliquez sur
Démarrer pour démarrer la désinstallation.
4. Au terme de la désinstallation, cliquez sur Fermer.
5. Cliquez sur OK pour fermer la boîte de dialogue Ajout/Suppression de programmes.
UTILISATION DE
5
F-S M
Présentation ............................................................................... 72
Fonctions de base de F-Secure Policy Manager Console ......... 74
Gestion de F-Secure Client Security .......................................... 78
Administration des domaines et des hôtes................................. 93
Diffusion des logiciels............................................................... 104
Gestion des stratégies.............................................................. 123
Gestion des opérations et des tâches ...................................... 129
Alertes ...................................................................................... 130
Outil de transmission de rapports............................................. 133
ECURE POLICY
ANAGER CONSOLE
Préférences .............................................................................. 138
71
72

5.1 Présentation

F-Secure Policy Manager Console est une console d'administration distante destinée aux produits de sécurité les plus courants de F-Secure. Elle fournit une plate-forme commune à toutes les fonctions de gestion de la sécurité requises dans un réseau d'entreprise.
Un administrateur peut créer différentes stratégies de sécurité pour chaque hôte ou une stratégie unique pour plusieurs hôtes. Cette stratégie peut être diffusée sur un réseau vers les postes de travail, les serveurs et les passerelles de sécurité.
Avec F-Secure Policy Manager Console, vous pouvez :
configuration des valeurs des attributs des produits gérés ; configuration des droits des utilisateurs à afficher ou modifier les
regroupement des hôtes administrés sous des domaines de
administration simplifiée des hiérarchies de domaines et des
création de définitions de stratégie signées, y compris les valeurs
affichage des informations d'état ; gestion des alertes ; gérer les rapports d'analyse de F-Secure Anti-Virus ; gestion des installations distantes ; visualisation des rapports au format HTML ou exportation des
valeurs des attributs définies à distance par l'administrateur ;
stratégie partageant des valeurs d'attributs communes ;
hôtes ;
d'attributs et les restrictions ;
rapports vers différents formats.
F-Secure Policy Manager Console génère la définition de stratégie et affiche l’état et les alertes. Chaque hôte administré dispose d'un module (F-Secure Management Agent) responsable de l'exécution de la stratégie sur l'hôte.
CHAPITRE 5 73
Utilisation de F-Secure Policy Manager Console
L’environnement conceptuel de F-Secure Policy Manager Console consiste en plusieurs hôtes pouvant être regroupés en domaines de stratégie. Les stratégies sont orientées hôte. Même dans un environnement multi-utilisateurs, tous les utilisateurs d'un hôte donné partagent des paramètres communs.
F-Secure Policy Manager Console reconnaît deux types d’utilisateurs : les administrateurs et les utilisateurs en mode Lecture seule.
L'administrateur a accès à la clé privée d'administration. Cette clé est stockée dans un fichier que plusieurs utilisateurs peuvent partager en fonction de leurs droits d'administration. L’administrateur utilise F-Secure Policy Manager Console pour définir les stratégies de différents domaines et hôtes individuels.
En mode Lecture seule, l'utilisateur peut effectuer les opérations suivantes :
afficher les stratégies, les statistiques, les informations d'état
relatives aux opérations, les numéros de version des produits installés, les messages d'alerte et les rapports ;
Modifiez les propriétés de F-Secure Policy Manager Console car
son installation est basée sur l’utilisateur et que les modifications ne peuvent être appliquées aux autres utilisateurs.
En mode Lecture seule, l'utilisateur ne peut pas
effectuer les opérations
suivantes :
modifier la structure des domaines ou les propriétés des
domaines et des hôtes ;
modifier les paramètres des produits ; exécuter des opérations ; installer des produits ; enregistrer des données de stratégie ; distribuez des stratégies. supprimer des messages d'alerte ou des rapports.
74
Il ne peut y avoir qu’une seule connexion à F-Secure Policy Manager Server en mode Administrateur à la fois. Cependant, il peut y avoir plusieurs connexions en lecture seule simultanées à F-Secure Policy Manager Server.

5.2 Fonctions de base de F-Secure Policy Manager Console

Les sections suivantes décrivent la procédure d'ouverture de session, les commandes de menu et les tâches de base de F-Secure Policy Manager Console.

5.2.1 Ouverture de session

Lorsque vous démarrez F-Secure Policy Manager Console, la boîte de dialogue suivante s'ouvre. Vous pouvez cliquer sur Options pour agrandir la boîte de dialogue et afficher davantage d'options.
Figure 5-1 F-Secure Policy Manager Console Boîte de dialogue d'ouverture de session
Vous pouvez utiliser la boîte de dialogue pour sélectionner des connexions définies. Chaque connexion a des préférences spécifiques, ce qui simplifie la gestion de plusieurs serveurs avec une seule instance de F-Secure Policy Manager Console.
Il est également possible de définir des connexions multiples à un serveur unique. Après la sélection de la connexion, entrez la phrase de cryptage de F-Secure Policy Manager Console. Il s'agit de la phrase de cryptage définie lors de l'installation du programme, et non de votre mot de passe d'administrateur réseau.
Vous pouvez démarrer le programme en mode Lecture seule, auquel cas vous n'avez pas besoin d'entrer une phrase de cryptage. Le cas échéant, cependant, vous ne pourrez effectuer aucune modification.
L'Assistant d'installation crée la connexion initiale, qui figure par défaut dans la zone Connexions : . Pour ajouter d'autres connexions, cliquez sur
Ajouter ou pour modifier une connexion existante, cliquez sur Modifier.
Ces deux options sont disponibles quand la boîte de dialogue est agrandie.
Notez qu'il est possible de copier des connexions existantes. Vous pouvez ainsi définir aisément plusieurs connexions au même serveur, en employant des paramètres légèrement différents en vue d'utilisations diverses. Par exemple, vous pouvez utiliser une connexion existante comme modèle, puis tester différents paramètres de connexion sur la nouvelle copie, sans influer sur les paramètres d'origine.
Propriétés de connexion
La liaison au référentiel de données est définie comme l'URL HTTP de F-Secure Policy Manager Server.
CHAPITRE 5 75
Utilisation de F-Secure Policy Manager Console
76
Figure 5-2 Boîte de dialogue Propriétés de connexion
Le champ Nom permet de définir le nom que portera la connexion dans le champ Connexion : de la boîte de dialogue d'ouverture de session. Si le champ Nom reste vide, l'URL ou le chemin d'accès s'affiche.
Les chemins Fichier de clé publique et Fichier de clé privée indiquent quel jeu de clés d'administration doit être utilisé pour la connexion en question. Si les fichiers de clés spécifiés n'existent pas, F-Secure Policy Manager Console génère une nouvelle paire de clés.
Préférences de communication
Cliquez sur l'onglet Communication pour personnaliser les paramètres de communication. Pour modifier les intervalles d'interrogation, cliquez sur
Options d'intervalle d'interrogation.
Etat de connexion de l'hôte contrôle quand les hôtes sont considérés comme déconnectés de F-Secure Policy Manager. Tous les hôtes qui n'ont pas contacté F-Secure Policy Manager Server dans l'intervalle défini
CHAPITRE 5 77
Utilisation de F-Secure Policy Manager Console
sont considérés comme déconnectés. Les hôtes déconnectés sont signalés par une icône de notification dans l'arborescence, et ils sont placés dans la liste Hôtes déconnectés de la vue Etat du domaine. Notez qu'il est possible de définir un intervalle de moins d'un jour en entrant un nombre à décimales dans le champ de saisie. Par exemple, si vous entrez une valeur de 0,5, tous les hôtes qui n'ont pas contacté le serveur dans les 12 heures sont considérés comme déconnectés. Les valeurs inférieures à un jour ne servent normalement qu'à des fins de dépannage. Dans un environnement traditionnel, certains hôtes sont naturellement déconnectés du serveur de temps à autre. Par exemple, il se peut qu'un ordinateur portable soit incapable d'accéder quotidiennement au serveur, mais dans la plupart des cas, ce comportement est tout à fait acceptable.
Figure 5-3 Boîte de dialogue Propriétés de connexion > Communication
Le choix du protocole de communication affecte les intervalles d'interrogation par défaut. Vous devez modifier les paramètres de communication selon l'environnement dans lequel vous travaillez. Si vous ne souhaitez pas recevoir certaines informations d'administration, désactivez complètement les récupérations inutiles. Pour ce faire,
78
décochez l'élément de récupération que vous souhaitez désactiver. L'option Désactiver toutes les interrogations permet de désactiver l'ensemble des éléments d'interrogation. Que l'interrogation automatique soit désactivée ou non, les opérations d'actualisation manuelle peuvent servir à actualiser les informations sélectionnées.
Figure 5-4 Boîte de dialogue Intervalles d'interrogation
Pour plus d'informations sur les autres paramètres spécifiques à la connexion, reportez-vous à la section “Préférences, 138. Une fois F-Secure Policy Manager Console lancé, ces paramètres peuvent être modifiés normalement depuis la vue Préférences.

5.2.2 Gestion de F-Secure Client Security

Lorsque vous lancez F-Secure Policy Manager Console pour la première fois, l'interface utilisateur en mode antivirus simplifié s'ouvre. Ce mode est optimisé pour l'administration de F-Secure Client Security. En utilisant l'interface utilisateur en mode antivirus, vous pouvez réaliser les tâches de gestion de F-Secure Client Security ou de F-Secure Anti-Virus pour les stations de travail.
Pour plus d'informations sur l'interface utilisateur en mode antivirus, reportez-vous au Guide de l'administrateur de F-Secure Client Security.
Utilisation de F-Secure Policy Manager Console
Vous devriez être en mesure de réaliser la plupart des tâches avec l'interface utilisateur en mode antivirus. En revanche, si vous devez administrer des produits autres que F-Secure Client Security, vous devrez utiliser l'interface utilisateur en mode avancé.

5.2.3 L'interface utilisateur en mode avancé

Pour utiliser toutes les fonctionnalités disponibles dans F-Secure Policy Manager Console, vous devez modifier l'interface utilisateur en mode avancé. Pour y parvenir, sélectionnez Affichage > Mode avancé.
L'interface utilisateur en mode avancé s'affiche sur les quatre volets suivants : Domaine de stratégie, Propriétés, Affichage produit et Messages (invisible en l'absence de message).
CHAPITRE 5 79
Figure 5-5 Interface utilisateur de F-Secure Policy Manager Console
80

5.2.4 Volet Domaine de stratégie

Dans le volet Domaine de stratégie, vous pouvez effectuer les opérations suivantes :
Ajouter un nouveau domaine de stratégie (cliquez sur l'icône
de la barre d'outils). Vous ne pouvez créer un nouveau domaine de stratégie que si vous avez sélectionné un domaine parent.
Ajouter un hôte (cliquez sur l'icône ). Rechercher un hôte. Afficher les propriétés d'un domaine ou d'un hôte. Les noms
attribués à chaque hôte et domaine doivent être sans ambiguïté.
Importer des hôtes auto-enregistrés. Détecter automatiquement des hôtes d'un domaine Windows. Supprimer des hôtes ou des domaines. Déplacer des hôtes ou des domaines à l'aide des fonctions
Couper et Coller.
Exporter un fichier de stratégie.
Une fois le domaine ou l'hôte sélectionné, vous pouvez accéder à ces commandes depuis le menu Edition.
Les domaines désignés dans ces commandes ne sont pas des domaines Windows NT ni DNS. Les domaines de stratégie sont des groupes d'hôtes ou de sous-domaines disposant d'une stratégie de sécurité similaire.

5.2.5 Volet Propriétés

La définition de stratégies consiste à spécifier des valeurs de paramètres par défaut et les valeurs autorisées, ainsi que les restrictions d'accès à ces paramètres. Les stratégies s'appliquant à un domaine ou un hôte sont définies dans le volet Propriétés.
CHAPITRE 5 81
Utilisation de F-Secure Policy Manager Console
Ce volet contient les sous-arborescences (« branches »), les tables, les lignes et les variables des stratégies. Les sous-arborescences sont utilisées uniquement pour développer les structures. Les tables peuvent contenir autant de lignes que vous le souhaitez.
Le volet Propriétés contient les onglets suivants :
Stratégie : cet onglet vous permet d'utiliser le volet Affichage
produit pour définir les paramètres, les restrictions et les opérations des domaines ou des hôtes. Ces modifications sont appliquées une fois que la stratégie a été diffusée et que F-Secure Management Agent a recherché le fichier de stratégie.
Etat : sous chaque produit affiché sous cet onglet, figurent deux
catégories d'état : Paramètres et Statistiques. La catégorie Paramètres affiche les paramètres locaux qui ont été modifiés de façon explicite sur l'hôte ; les valeurs par défaut ou celles qui ont été définies dans la stratégie de base ne sont pas affichées. La catégorie Statistiques affiche les statistiques relatives à chaque hôte, et ce pour chaque produit. Si un domaine de stratégie est sélectionné, l'onglet Etat présente le nombre d'hôtes du domaine, et les hôtes qui sont déconnectés de F-Secure Policy Manager.
Alertes : cet onglet affiche la liste des alertes émanant des hôtes
dans le domaine sélectionné. Il affiche également l'alerte sélectionnée dans le volet Affichage produit, ainsi que les rapports correspondant aux alertes.
Rapports : cet onglet affiche tous les rapports émanant de l'hôte
sélectionné.
Installation : affiche les options d'installation.

5.2.6 Volet Affichage produit

La fonction du volet Affichage produit dépend de l'onglet qui est sélectionné dans le volet Propriétés :
Onglet Stratégie : le volet Affichage produit vous permet de
définir la valeur d'une variable de stratégie. Toutes les modifications concernent l'hôte ou le domaine de stratégie sélectionné. Un éditeur par défaut est prédéfini pour chaque type
82
de variable de stratégie. L'éditeur s'affiche lorsque vous sélectionnez le type de variable sous l'onglet Stratégie. Certains nœuds non terminaux, tables et sous-arborescences peuvent être associés à des éditeurs personnalisés spécifiques. Ces éditeurs personnalisent F-Secure Policy Manager Console pour chaque produit installé. Il existe également des éditeurs de restriction qui s'ouvrent dans le volet Affichage produit ou sous forme de boîte de dialogue séparée.
Onglet Etat : le volet Affichage produit vous permet de visualiser
(1) les « paramètres », qui sont les modifications locales signalées par l'hôte, ainsi que les (2) statistiques.
Onglet Alertes : lorsqu'une alerte est sélectionnée sous l'onglet
Alertes, les détails relatifs à l'alerte s'affichent dans le volet Affichage produit.
Onglet Rapports : lorsqu'un rapport est sélectionné sous l'onglet
Rapports, les détails relatifs au rapport s'affichent dans le volet Affichage produit.
Installation : le volet Affichage produit permet de consulter et de
modifier les informations d'installation.
L'arborescence traditionnelle de la base de données MIB F-Secure Policy Manager Console contient tous les paramètres/activités (stratégie) et les paramètres/statistiques (état) dans une arborescence MIB spécifique à un composant du produit.
L'affichage produit de F-Secure Management Agent est présenté à la page suivante à titre d'exemple. Tous les affichages Produit possèdent les mêmes activités et fonctionnalités génériques.
Utilisation de l'aide
Dans la plupart des cas, l'affichage produit fournit les mêmes textes d'aide que les nœuds de l'arborescence MIB. En outre, chaque onglet possède un texte d'aide spécifique. Ce texte suit les clics de souris (tous les onglets ainsi que les éditeurs de stratégies et d'état) et l'activation des zones (uniquement en cas de sélection de l'onglet Stratégie du volet Propriétés). Vous pouvez cliquer sur l'intitulé d'une zone ou dans la zone de saisie pour activer le texte d'aide correspondant.
CHAPITRE 5 83
Utilisation de F-Secure Policy Manager Console
Modification des paramètres de stratégie
Sélectionnez un produit (ex. : F-Secure Management Agent) et l’onglet Stratégie de l’onglet Propriétés. F-Secure Policy Manager Console affichera un volet Affichage produit pour le produit sélectionné et contiendra les paramètres les plus fréquemment utilisés ainsi que les éditeurs de restriction de l’arborescence MIB, dans les catégories ci-après :
Communication : paramètres de communication. Alertes : paramètres relatifs aux alertes. Transmission des alertes : pour plus d'informations,
reportez-vous à la section “Configuration de la transmission des
alertes” à la page 131.
Certificats : définition de certificats approuvés. Répertoire des certificats : définition des paramètres des
répertoires où les certificats sont stockés.
A propos de : contient un lien vers F-Secure Web Club (pour plus
d'informations, reportez-vous à la section “Web Club”, 224).
Vous pouvez modifier les paramètres de stratégie de manière normale et employer le paramètre de restriction (final, masqué) pour définir les droits d'accès des utilisateurs.
Figure 5-6 Volet Affichage produit
84
Utilisation du menu contextuel pour les paramètres de stratégie
La plupart des zones de saisie de l'affichage Produit comprennent un menu contextuel (activé par un clic du bouton droit de la souris). Le menu contextuel contient les commandes suivantes : Aller à, Effacer, Forcer la
valeur et Afficher les valeurs du domaine.
Figure 5-7 Menu contextuel
Raccourci vers le nœud de l'arborescence MIB
Il est parfois utile de savoir quel paramètre de l'arborescence MIB sera modifié en cas d'édition d'un élément d'un affichage Produit. La commande Aller à du menu contextuel permet d'afficher le nœud correspondant de l'arborescence MIB dans le volet Propriétés.
Notez que, dans la plupart des cas, l'arborescence MIB fournit davantage de paramètres. Ceux-ci sont toutefois moins fréquemment utilisés. Par exemple, elle permet d'éditer les restrictions des paramètres de stratégie pour lesquels l'affichage Produit ne contient pas directement d'éditeur de restrictions.
CHAPITRE 5 85
Utilisation de F-Secure Policy Manager Console
Effacer
La commande Effacer fonctionne de la même manière que dans l'arborescence MIB. Lorsque la valeur actuelle est effacée, la zone affiche la valeur héritée (de couleur grise) ou est vide. La commande Effacer n'est disponible que si une valeur a été définie pour le domaine ou l'hôte actuellement sélectionné.
Forcer la valeur
La commande Forcer la valeur n'est disponible que si un domaine de stratégie est sélectionné. Vous pouvez forcer le paramètre du domaine actuel à être également actif dans tous les sous-domaines et sur tous les hôtes. En pratique, cette action efface le paramètre correspondant dans tous les sous-domaines et les hôtes sous le domaine actuel, afin de leur permettre d'hériter de la valeur actuelle. Utilisez cette option avec prudence : toutes les valeurs définies dans le sous-domaine ou les hôtes sous le domaine sélectionné sont effacées et il est impossible de les rétablir.
Afficher les valeurs du domaine
L'option Afficher les valeurs du domaine n'est disponible que si un domaine de stratégie est sélectionné. Elle permet d'afficher la liste de tous les domaines de stratégie et des hôtes sous le domaine de stratégie sélectionné, ainsi que la valeur de la zone sélectionnée.
Cliquez sur le nom d'un domaine ou d'un hôte pour le sélectionner dans le volet Domaines de stratégie. Il est possible d'ouvrir simultanément plusieurs boîtes de dialogue de valeurs de domaine.
86
Figure 5-8 Boîte de dialogue Afficher les valeurs du domaine
Affichage de l'état
Ouvrez l'onglet Etat et sélectionnez le produit dans le volet Propriétés. F-Secure Policy Manager Console affichera un volet Affichage produit, dans lequel vous trouverez les paramètres locaux et statistiques les plus importants.
Il est impossible de modifier les valeurs. Par contre, vous pouvez consulter les textes d'aide MIB en cliquant sur une zone ou sur son libellé.
Pour les domaines de stratégie, l'onglet Etat affiche l'état récapitulatif au niveau du domaine : le nombre d'hôtes du domaine et la liste des hôtes déconnectés.
Figure 5-9 Onglet Etat
CHAPITRE 5 87
Utilisation de F-Secure Policy Manager Console
Cliquez sur un hôte déconnecté afin de modifier rapidement la sélection de domaine de stratégie pour cet hôte. Ce faisant, vous pouvez déterminer si l'hôte déconnecté a réussi à envoyer quelques alertes ou des statistiques utiles avant sa déconnexion. Ces informations peuvent vous aider à déterminer pourquoi l'hôte a été déconnecté. Si la raison est évidente (par exemple si le logiciel F-Secure a été désinstallé de l'hôte), vous pouvez supprimer l'hôte normalement. Après avoir examiné un hôte déconnecté, la manière la plus pratique de revenir au niveau précédent
du domaine consiste à cliquer sur le bouton de la barre d'outils.
La vue Etat du domaine comprend également deux raccourcis qui permettent de traiter un nombre élevé d'hôtes déconnectés : la sélection de tous les hôtes déconnectés et leur suppression. Ces deux actions sont accessibles via le menu contextuel du nœud Hôte déconnecté de l'arborescence.
88
Figure 5-10 Exemple des raccourcis disponibles dans la vue Etat du domaine
AVERTISSEMENT : La suppression de tous les hôtes déconnectés est une opération potentiellement dangereuse. Certains hôtes existants peuvent, pour l'une ou l'autre raison, être déconnectés temporairement pendant une période supérieure au délai autorisé. Vérifiez toujours la valeur du délai de déconnexion dans la zone Préférences avant de supprimer des hôtes. Si un hôte existant est supprimé accidentellement, vous effacerez ses alertes, rapports, états et paramètres de stratégie. Par contre, l'hôte enverra un message d'auto-enregistrement lorsqu'il s'apercevra qu'il a été supprimé de F-Secure Policy Manager. L'hôte pourra ensuite être réimporté dans l'arborescence du domaine. Toutefois, par rapport à Policy Manager, il sera considéré comme un nouvel hôte.

5.2.7 Volet Messages

F-Secure Policy Manager Console consigne les messages relatifs aux différents événements dans le volet Message. Contrairement aux volets Alertes et Rapports, les événements du volet Message ne sont générés que par F-Secure Policy Manager Console.
Il existe trois catégories de messages : informations, avertissements et erreurs. Chaque onglet du volet Messages contient des messages de trois niveaux de gravité. Vous pouvez supprimer une catégorie à l'aide du menu contextuel qui s'affiche lorsque vous cliquez sur un onglet avec le
bouton droit de la souris. Lorsque vous cliquez sur un message avec le bouton droit de la souris, un menu contextuel s'affiche vous permettant de couper, copier et supprimer le message.
Par défaut, les messages sont répertoriés sous la forme de fichiers dans le sous-répertoire des messages du répertoire d'installation local de F-Secure Policy Manager Console. Les fichiers journaux des messages sont stockés en anglais et dans la langue que vous avez paramétrée pour F-Secure Policy Manager Console. Un fichier journal différent est créé pour chaque catégorie de message (noms des onglets dans le volet Messages). Utilisez la page Préférences - Emplacements pour spécifier le répertoire du fichier journal et activer ou désactiver la tenue du journal. Les fonctions de la page Messages ne sont pas affectées lorsque vous activez ou que vous désactivez l'enregistrement de messages.

5.2.8 Barre d'outils

La barre d'outils contient des boutons pour les tâches de F-Secure Policy Manager Console les plus courantes..
CHAPITRE 5 89
Utilisation de F-Secure Policy Manager Console
Enregistre les données de stratégie.
Distribue la stratégie.
Accède au domaine ou à l'hôte précédent dans l'historique de sélection de l'arborescence.
Accède au domaine ou à l'hôte suivant dans l'historique de sélection de l'arborescence.
Accède au domaine parent.
Coupe un hôte ou un domaine.
90
Colle un hôte ou un domaine.
Ajoute un domaine au domaine actuellement sélectionné.
Ajoute un hôte au domaine actuellement sélectionné.
Affiche la boîte de dialogue Propriétés d'un domaine ou d'un hôte.
Démarre l'outil Autodécouvrir hôtes Windows. De nouveaux hôtes vont être ajoutés au domaine de stratégie actuellement sélectionné.
Démarre l'installation distante sur les hôtes Windows.
Importe des hôtes auto-enregistrés dans le domaine actuellement sélectionné. Si cette icône est verte, cela signifie que l'hôte a envoyé une demande d'auto-enregistrement.
Affiche les packages d'installation disponibles.
Affiche toutes les alertes. L'icône est mise en surbrillance s'il existe de nouvelles alertes. Lorsque vous démarrez F-Secure Policy Manager Console, l'icône est toujours mise en surbrillance.
Utilisation de F-Secure Policy Manager Console

5.2.9 Options des menus

Menu Commande Action
Fichier Nouvelle stratégie Crée une instance de données de stratégie à l'aide des
paramètres par défaut de la base d'informations de gestion (MIB). Cette option est rarement utilisée car les données de stratégie existantes sont généralement modifiées, puis enregistrées à l'aide de l'option Enregistrer sous.
Ouvrir une stratégie Ouvre les données d'une stratégie précédemment
enregistrée.
Enregistrer une stratégie Enregistre les données de stratégie actuelles.
CHAPITRE 5 91
Enregistrer la stratégie sous
Distribuer les stratégies Distribue les fichiers de stratégie.
Exporter le fichier de stratégie de l'hôte
Quitter Quitte F-Secure Policy Manager Console.
Modifier Couper Coupe l'élément sélectionné.
Coller Colle l'élément à l'emplacement sélectionné.
Supprimer Supprime l'élément sélectionné. Nouveau domaine de
stratégie Nouvel hôte Ajoute un nouvel hôte. Importer des hôtes
auto-enregistrés Détecter
automatiquement les hôtes Windows
Distribuer l'installation aux hôtes Windows
Enregistre les données de stratégie sous le nom spécifié.
Exporte les fichiers de stratégie.
Ajoute un nouveau domaine.
Importe les hôtes qui ont envoyé une demande d'auto-enregistrement.
Importe des hôtes à partir de la structure de domaine Windows.
Installe le logiciel à distance et importe les hôtes définis par l'adresse IP ou le nom WINS.
Loading...