KASPERSKY Administration Kit version 8.0 Manuel d'administrateur [fr]
MANUEL
D'ADMINISTRATEUR
V E RS I O N D U L O G I C I E L : 8 . 0
Kaspersky Administration
Kit 8.0
2
Cher utilisateur !
Merci d'avoir choisi notre produit. On espère que cette documentation vous aidera dans votre travail et répondra à
plusieurs questions qui vous intéressent.
La copie sous n'importe quelle forme et la diffusion, y compris la traduction, de n'importe quel document sont admises
uniquement sur autorisation écrite de Kaspersky Lab.
Ce document et les illustrations qui l'accompagnent peuvent être utilisés uniquement à des fins personnelles, non
commerciales et informatives.
Ce document peut être modifié sans avertissement préalable. La version la plus récente du manuel sera disponible sur le
site de Kaspersky Lab, à l'adresse http://www.kaspersky.com/fr/docs.
Kaspersky Lab ne pourra être tenue responsable du contenu, de la qualité, de l'actualité et de l'exactitude des textes
utilisés dans ce manuel et dont les droits appartiennent à d'autres entités. La responsabilité de Kaspersky Lab en cas de
dommages liés à l'utilisation de ces textes ne pourra pas non plus être engagée.
Ce document fait référence aux autres noms et aux marques déposés qui appartiennent à leurs propriétaires respectifs.
Date d'édition : 14/09/09
© 1997-2009 Kaspersky Lab ZAO. Tous droits réservés.
http://www.kaspersky.fr
http://enterprise.kaspersky.fr
3
CONTENU
KASPERSKY ADMINISTRATION KIT ........................................................................................................................... 5
Distribution ................................................................................................................................ ............................... 5
Services pour les utilisateurs enregistrés ................................................................................................................. 5
Obtention de l'information sur l'application ............................................................................................................... 6
Sources d'informations pour les recherches indépendantes .............................................................................. 6
Contacter le service du Support Technique ....................................................................................................... 7
Forum sur les applications Kaspersky Lab ......................................................................................................... 8
Fonction du document ............................................................................................................................................. 8
Possibilités de l'application ...................................................................................................................................... 8
Composition de l'application .................................................................................................................................... 9
Configuration logicielle et matérielle requise ............................................................................................................ 9
Nouveautés ............................................................................................................................................................ 11
NOTIONS PRINCIPALES ........................................................................................................................................... 14
Serveur d'administration. Groupes d'administration ............................................................................................... 14
Hiérarchie des Serveurs d'administration .............................................................................................................. 15
Poste client. Groupe .............................................................................................................................................. 15
Poste de travail de l'administrateur ........................................................................................................................ 16
Plug-in d'administration de l'application ................................................................................................................. 17
Stratégies, paramètres de l’application et tâches .................................................................................................. 17
Corrélation de la stratégie et des paramètres locaux de l'application .................................................................... 18
CONCEPTION DU FONCTIONNEMENT DE KASPERSKY ADMINISTRATION KIT ................................................. 20
Déploiement du système de protection antivirus ................................................................................................... 20
Compatibilité avec le système Cisco Network Admission Control (NAC)............................................................... 20
Compatibilité avec Microsoft Network Access Protection (NAP) ............................................................................ 21
Création du système de gestion centralisée de la protection antivirus .................................................................. 21
Connexion des postes clients au Serveur d'administration .................................................................................... 22
Connexion sécurisée au Serveur d'administration ................................................................................................. 23
Certificat du Serveur d'administration ............................................................................................................... 23
Authentification du Serveur d'administration lors de l'utilisation de l'ordinateur ................................................ 23
L'authentification du Serveur lors de la connexion de la Console .................................................................... 24
Identification des postes clients sur le Serveur d'administration ............................................................................ 24
Privilèges d'accès au Serveur d'administration et à ses objets .............................................................................. 24
Conception de l'interface utilisateur ....................................................................................................................... 26
Configuration de l'interface ............................................................................................................................... 26
Démarrer l'application ...................................................................................................................................... 27
Fenêtre principale du programme .................................................................................................................... 27
Arborescence de la console ............................................................................................................................. 28
Panneau des tâches ........................................................................................................................................ 30
Panneau des résultats...................................................................................................................................... 33
Menu contextuel ............................................................................................................................................... 34
ADMINISTRATION DES ORDINATEURS DU RÉSEAU ............................................................................................. 35
Connexion au Serveur d'administration ; ............................................................................................................... 35
Affectation de droits ................................ ................................ ............................................................................... 36
Affichage des informations du réseau d'ordinateurs Domaines, plages d'adresses IP et groupes Active Directory37
M A N U E L D ' A D M I N I S T R A T E U R
4
Assistant de configuration initiale ........................................................................................................................... 39
Création, consultation et modification de la structure des groupes d'administration .............................................. 39
Groupes ........................................................................................................................................................... 42
Postes clients ................................................................................................................................................... 43
Serveurs d'administration secondaires ............................................................................................................. 45
ADMINISTRATION À DISTANCE DES APPLICATIONS ............................................................................................ 48
Administration des stratégies ................................................................ ................................ ................................. 48
Paramètres locaux de l'application ........................................................................................................................ 52
Administration du fonctionnement de l'application ................................................................................................. 52
MISE À JOUR DES BASES ET DES MODULES DE L'APPLICATION ...................................................................... 59
Téléchargement des mises à jour dans le référentiel du Serveur d'administration ................................................ 59
Diffusion des mises à jour vers les postes clients .................................................................................................. 62
Mise à jour des Serveurs secondaires et de leurs postes clients ........................................................................... 63
Diffusion des mises à jour à l'aide des agents de mise à jour ................................................................................ 65
MAINTENANCE .......................................................................................................................................................... 66
Renouvellement de la licence ................................................................................................................................ 67
Quarantaine et dossier de sauvegarde .................................................................................................................. 68
Journaux des événements Sélections d'événements ............................................................................................ 70
Rapports ................................................................................................................................................................ 74
Recherche d'un poste ............................................................................................................................................ 77
Requêtes d'ordinateurs .......................................................................................................................................... 79
Registre des applications ....................................................................................................................................... 81
Contrôle de l'émergence d'épidémies de virus ...................................................................................................... 82
Fichiers avec un traitement différé ......................................................................................................................... 85
Copie de sauvegarde et restauration des données du Serveur d'administration ................................................... 85
GLOSSAIRE ................................................................................................................................................................ 87
KASPERSKY LAB ....................................................................................................................................................... 92
INDEX ......................................................................................................................................................................... 93
5
DANS CETTE SECTION
Distribution ........................................................................................................................................................................ 5
Services pour les utilisateurs enregistrés .......................................................................................................................... 5
Obtention de l'information sur l'application ........................................................................................................................ 6
Fonction du document ....................................................................................................................................................... 8
Possibilités de l'application ................................................................................................................................................ 8
Composition de l'application .............................................................................................................................................. 9
Configuration logicielle et matérielle requise ..................................................................................................................... 9
Nouveautés ..................................................................................................................................................................... 11
KASPERSKY ADMINISTRATION KIT
L'application Kaspersky Administration Kit a été développée pour l'exécution centralisée des principales tâches
d'administration de la gestion de la sécurité antivirus du réseau informatique de l'entreprise qui repose sur l'emploi des
applications reprises dans la suite logicielle Kaspersky Open Space Security. Kaspersky Administration Kit prend en
charge toutes les configurations réseau utilisant le protocole TCP/IP.
Kaspersky Administration Kit est un outil pour les administrateurs de réseaux d'entreprise et pour les responsables de la
sécurité antivirus.
DISTRIBUTION
Le logiciel est proposé gratuitement avec toutes les applications de Kaspersky Lab de la suite Kaspersky Open Space
Security (version vendue en boîte). Il peut également être téléchargé depuis le site de Kaspersky Lab
(http://www.kaspersky.fr).
SERVICES POUR LES UTILISATEURS ENREGISTRES
Kaspersky Lab, Ltd. propose à ses utilisateurs enregistrés un large éventail de services qui leur permettent de profiter au
maximum de leur Produits.
Lorsque vous achetez une licence pour un des logiciels de Kaspersky Lab appartenant à la suite Kaspersky Open Space
Security, vous devenez un utilisateur enregistré de Kaspersky Administration Kit. Vous bénéficierez des services suivants
pendant la durée de validité de la licence :
mise à jour toutes les heures des bases de l'application et mise à jour gratuite vers les nouvelles versions ;
accès à la Base de connaissances sur l'installation, la configuration et la prise en main du logiciel, ainsi qu'au
support téléphonique ou e-mail ;
Lors de tout contact avec le service du Support Technique, renseignez les informations relatives à la licence des
Produits de Kaspersky Lab que vous administrez avec l'Administration Kit.
M A N U E L D ' A D M I N I S T R A T E U R
6
DANS CETTE SECTION
Sources d'informations pour les recherches indépendantes ............................................................................................. 6
Contacter le service du Support Technique ....................................................................................................................... 7
Forum sur les applications Kaspersky Lab ........................................................................................................................ 8
notification sur la sortie des nouvelles versions des Produits Kaspersky Lab ainsi que l'actualité sur les
nouveaux virus. Ce service est offert aux utilisateurs abonnés à la lettre d'informations de Kaspersky Lab sur le
site du service du Support Technique (http://support.kaspersky.com/fr/subscribe).
Aucun support sur le fonctionnement et l'utilisation des systèmes d'exploitation ne sera dispensé par le Support
Technique.
OBTENTION DE L'INFORMATION SUR L'APPLICATION
Si vous avez des questions sur le choix, l'achat, l'installation ou l'utilisation de Kaspersky Administration Kit, vous pouvez
obtenir des réponses rapidement.
Kaspersky Lab propose de nombreuses sources d'informations sur l'application. Vous pouvez choisir celle qui vous
convient le mieux en fonction de l'urgence et de la gravité de la question.
SOURCES D'INFORMATIONS POUR LES RECHERCHES
INDEPENDANTES
Vous pouvez consulter les sources suivantes pour obtenir des informations sur l'application :
page consacrée à l'application sur le site Web de Kaspersky Lab ;
page consacrée à l'application sur le site Web du service du Support Technique (Base de connaissances) ;
système d'aide électronique ;
documentation.
Page sur le site Web de Kaspersky Lab
http://www.kaspersky.com/fr/administration_kit
Cette page fournit des informations générales sur l'application, ses possibilités et ses particularités.
Page sur le site Web du service du Support Technique (Base de connaissances)
http://support.kaspersky.com/fr/remote_adm
Cette page propose des articles publiés par les experts du service du Support Technique.
Ces articles contiennent des informations utiles, des recommandations et les réponses aux questions les plus
souvent posées sur l'achat, l'installation et l'utilisation de l'application. Ils sont regroupés par thèmes tels que
"Administration des licences", "Configuration des mises à jour des bases" ou "Résolution des problèmes". Les
articles peuvent répondre à des questions qui concernent non seulement cette application mais également d'autres
logiciels de Kaspersky Lab ainsi que contenir des nouvelles du service du Support Technique dans son ensemble.
Système d'aide électronique
K A S P E R S K Y AD M I NI S T R A T I O N KIT
7
Une aide complète est livrée avec l'application.
Celle-ci propose une description détaillée des fonctions proposées par l'application.
Pour ouvrir l'aide, sélectionnez l'élément Rubriques d'aide dans le menu Aide de la console.
Si vous avez des questions sur une fenêtre en particulier de l'application, vous pouvez consulter l'aide contextuelle.
Pour ouvrir l'aide contextuelle, cliquez sur le bouton Aide dans la fenêtre qui vous intéresse, ou sur la touche <F1>
du clavier.
Documentation
La documentation qui accompagne l'application contient la majorité des informations indispensables à l'utilisation de
celle-ci. Elle contient les éléments suivants :
Manuel de l'administrateur décrit le but, les notions principales, les fonctions et le mode de fonctionnement
général de Kaspersky Administration Kit.
Manuel de déploiement décrit l'installation des composants de Kaspersky Administration Kit, ainsi que
l'installation à distance des applications dans un réseau informatique de configuration simple.
Début du fonctionnement contient une description des étapes qui permettront à l'administrateur de la sécurité
antivirus de l'entreprise de commencer à utiliser rapidement Kaspersky Administration Kit et de déployer la
protection antivirus dans tout le réseau sur la base des applications de Kaspersky Lab.
Manuel de référence contient une description du rôle de Kaspersky Administration Kit et une description pas à
pas de ses fonctions.
Ces documents sont au format PDF et sont livrés avec Kaspersky Administration Kit (cédérom d'installation).
Vous pouvez télécharger la documentation depuis les pages consacrées à l'application sur le site de Kaspersky Lab.
CONTACTER LE SERVICE DU SUPPORT TECHNIQUE
Vous pouvez obtenir des informations sur nos produits auprès des experts du service du Support Technique par
téléphone ou via Internet. Lors de tout contact avec le service du Support Technique, renseignez les informations
relatives à la licence du produit Kaspersky Lab que vous utilisez.
Les experts du service du Support Technique répondront à vos questions sur l'installation et l'utilisation de l'application
qui ne sont pas traitées dans l'aide. En cas d'infection de votre ordinateur, ils vous aideront à éliminer dans la mesure du
possible le malware ainsi que ses conséquences associées.
Avant de contacter le service du Support Technique, veuillez prendre connaissances des Conditions d'accès au Support
Technique (http://support.kaspersky.com/fr/support/rules).
Formulaire de soumission de demande du Support Technique
Vous pouvez poser vos questions aux experts du service d'assistance technique en remplissant le formulaire en
ligne du Helpdesk (http://support.kaspersky.ru/helpdesk.html?LANG=fr).
Vous pouvez envoyer votre demande en russe, en anglais, en allemand, en français ou en espagnol.
Support Technique par téléphone
Si le problème est urgent, vous pouvez toujours appeler le Support Technique de votre Partenaire/Revendeur
Kaspersky Lab, ou encore si vous disposez d'un Contrat de Support Kaspersky
(http://support.kaspersky.com/fr/support/details), référez-vous aux coordonnées indiquées sur celui-ci. Vous pouvez
aussi joindre notre Support International Kaspersky Lab (http://support.kaspersky.com/support/international) ou
Support Kaspersky Lab en langue russe (http://support.kaspersky.ru). Ceci aidera nos experts à vous venir en aide
le plus vite possible.
M A N U E L D ' A D M I N I S T R A T E U R
8
FORUM SUR LES APPLICATIONS KASPERSKY LAB
Si votre question n'est pas urgente, vous pouvez en discuter avec les spécialistes de Kaspersky Lab et d'autres
utilisateurs sur notre forum au http://forum.kaspersky.fr.
Sur le forum, vous pouvez consulter les sujets publiés, ajouter des commentaires, créer une nouvelle discussion ou
lancer des recherches.
FONCTION DU DOCUMENT
Ce manuel contient la description des notions principales et des fonctions de Kaspersky Administration Kit, ainsi que le
mode de son fonctionnement général. Le manuel d'aide de Kaspersky Administration Kit contient la description pas à pas
de ses fonctions. Les fonctions, décrites dans le manuel d'aide, sont indiquées dans le texte par les soulignements.
POSSIBILITES DE L'APPLICATION
Les possibilités offertes par l'application à l'administrateur sont les suivantes :
Installation et suppression centralisée à distance des applications de Kaspersky Lab sur les postes du réseau.
Cette fonction permet à l'administrateur de copier les distributions d'applications Kaspersky Lab nécessaires
dans un ordinateur prédéfini puis de les déployer sur d'autres à travers le réseau.
Administration centralisée à distance des applications de Kaspersky Lab. L'administrateur peut créer un
système de protection antivirus à plusieurs niveaux et gérer toutes les applications à partir d'un même poste de
travail administratif. Cette particularité est particulièrement importante dans le cas de sociétés de grande taille
utilisant un réseau local avec de nombreux postes répartis dans plusieurs bâtiments ou bureaux séparés. Cette
caractéristique permet à l'administrateur de :
créer une hiérarchie des Serveurs d'administration ;
grouper les postes en tant que groupes d'administration, en fonction de leurs prestations et du nombre
d'applications qui y sont installées ;
configurer les applications de manière centralisée en créant et en appliquant des stratégies ;
configurer des paramètres isolés de l'application dans le cas de postes séparés, à l'aide des paramètres de
l'application ;
administrer de façon centralisée le fonctionnement de l'application grâce à la création et au lancement de
tâches de groupe et de tâches pour une sélection d'ordinateur et au Serveur d'administration ;
créer des modèles individualisés de fonctionnement d'une application, avec la création et l'exécution de
tâches sur plusieurs postes appartenant à différents groupes d'administration.
Mettre à jour automatiquement la base et les modules de programme sur les ordinateurs. Cette fonction permet
d'assurer une mise à jour centralisée de la base de toutes les applications Kaspersky Lab installées, sans avoir
à se connecter au serveur de mises à jour de Kaspersky Lab sur Internet pour faire les mises à jour mise
individuelles. La mise à jour peut s'effectuer automatiquement conformément à la planification définie par
l'administrateur. L'administrateur peut surveiller l'installation des mises à jour sur les postes client.
Schéma de la réception des rapports. Cette fonction permet de récupérer de manière centralisée des données
statistiques sur toutes les applications Kaspersky Lab installées, de surveiller leur bon fonctionnement et de
créer des rapports d'après les informations obtenues. L'administrateur peut créer un rapport d'activité d'une
application, récapitulatif pour l'ensemble du réseau, ou pour chaque poste où l'application est installée.
Utiliser le système de notification d'événements. Système d'envoi de notifications par messagerie. Cette fonction
permet à l'administrateur de créer une liste des événements liés à l'activité des applications, sur lesquels il
K A S P E R S K Y AD M I NI S T R A T I O N KIT
9
souhaite être informé. La liste de ces événements peut correspondre à la détection d'un nouveau virus, d'une
erreur apparue en essayant de mettre à jour la base de l'application sur un ordinateur ou d'un nouvel ordinateur
sur le réseau.
Gestion des licences. Cette fonction permet d'installer des licences pour toutes les applications Kaspersky Lab
de manière centralisée, de surveiller le respect du Contrat de licence (c'est à dire, que le nombre de licences
correspond au nombre d'applications en cours d'exécution sur le réseau), ainsi que leur date de péremption.
COMPOSITION DE L'APPLICATION
L'application Kaspersky Administration Kit se présente sous forme de trois composants principaux :
Serveur d'administration est un entrepôt centralisé d'informations sur les applications Kaspersky Lab
installées sur le réseau local de la société et un outil efficace de gestion de ces applications.
Agent d'administration coordonne les interactions entre le Serveur d'administration et les applications
Kaspersky Lab installées sur un poste spécifique du réseau (lui-même un poste de travail ou un serveur). Ce
composant est unique pour toutes les applications Windows de la ligne de produits Kaspersky Open Space
Security. Il existe des versions de l'Agent d'administration spécifiques aux applications Kaspersky Lab tournant
sur Novell ou Unix.
Console d'administration fournit l'interface utilisateur nécessaire pour les services administratifs du Serveur et
de l'Agent. Le module gestionnaire est conçu comme une extension MMC (Microsoft Management Console). La
Console d'administration permet de se connecter au Serveur d'administration distant via Internet.
CONFIGURATION LOGICIELLE ET MATERIELLE REQUISE
Serveur d'administration
Configuration logicielle :
Microsoft Data Access Components (MDAC) version 2.8 ou suivante.
MSDE 2000 avec Service Pack 3, Microsoft SQL Server 2000 avec Service Pack 3 ou suivant, ou MySQL
Enterprise version 5.0.32 ou 5.0.70, ou Microsoft SQL 2005 et suivant ; ou Microsoft SQL Express 2005 et
suivant, Microsoft SQL Express 2008, Microsoft SQL 2008.
Il est recommandé d'utiliser Microsoft SQL 2005 avec Service Pack 2, Microsoft SQL Express 2005 avec
Service Pack 2 et les versions plus récentes.
Microsoft Windows 2000 avec Service Pack 4 ou suivant ; Microsoft Windows XP Professional avec Service
Pack 2 ou suivant ; Microsoft Windows XP Professional x64 ou suivant ; Microsoft Windows Server 2003 ou
suivant ; Microsoft Windows Server 2003 x64 ou suivant ; Microsoft Windows Vista avec Service Pack 1 ou
suivant ; Microsoft Windows Vista x64 avec Service Pack 1 et tous les SP actuels, pour Microsoft Windows
Vista x64 Microsoft Windows Installer 4.5 doit être installé ; Microsoft Windows Server 2008 ; Microsoft
Windows Server 2008 déployé en mode Server Core ; Microsoft Windows Server 2008 x64 avec Service
Pack 1 et tous les SP actuels, pour Microsoft Windows Server 2008 x64 Microsoft Windows Installer 4.5
doit être installé ; Microsoft Windows 7.
Pendant le fonctionnement sous Microsoft Windows 2000 avec Service Pack 4, avant le déploiement du
Serveur d'administration il est nécessaire d'installer les mises à jour Microsoft Windows suivantes :
1) ensemble de mises à jour cumulatives 1 pour Windows 2000 SP4 (KB891861) ; 2) mise à jour de la
sécurité pour Windows 2000 (KB835732).
Configuration matérielle :
Processeur Intel Pentium III, 800 Mhz minimum ;
M A N U E L D ' A D M I N I S T R A T E U R
10
256 Mo de mémoire vive ;
1 Go d'espace disque disponible.
Console d'administration Kaspersky
Configuration logicielle :
Microsoft Windows 2000 avec Service Pack 4 ou suivant ; Microsoft Windows XP Professional avec Service
Pack 2 ou suivant ; Microsoft Windows XP Home Edition avec Service Pack 2 ou suivant ; Microsoft
Windows XP Professional x64 ou suivant ; Microsoft Windows Server 2003 ou suivant ; Microsoft Windows
Server 2003 x64 ou suivant ; Microsoft Windows Vista avec Service Pack 1 ou suivant ; Microsoft Windows
Vista x64 avec Service Pack 1et tous les SP actuels, pour Microsoft Windows Vista x64 Microsoft Windows
Installer 4.5 doit être installé ; Microsoft Windows Server 2008, Microsoft Windows Server 2008 x64 avec
Service Pack 1et tous les SP actuels, pour Microsoft Windows Server 2008 x64 Microsoft Windows Installer
4.5 doit être installé ; Microsoft Windows 7.
Microsoft Management Console version 1.2 ou suivante.
L'utilisation sous Microsoft Windows 2000 requiert Microsoft Internet Explorer 6.0.
L'utilisation sous 7 E Edition et Microsoft Windows 7 N Edition requiert Microsoft Internet Explorer 8.0 ou
suivante.
Configuration matérielle :
Processeur Intel Pentium III, 800 Mhz minimum ;
256 Mo de mémoire vive ;
70 Mo d'espace disque disponible.
Agent d'administration
Configuration logicielle :
Pour les systèmes Windows :
Microsoft Windows 2000 avec Service Pack 4 ou suivant ; Microsoft Windows XP Professional avec Service
Pack 2 ou suivant ; Microsoft Windows XP Professional x64 ou suivant ; Microsoft Windows Server 2003 ou
suivant ; Microsoft Windows Server 2003 x64 ou suivant ; Microsoft Windows Vista avec Service Pack 1 ou
suivant ; Microsoft Windows Vista x64 avec Service Pack 1et tous les SP actuels, pour Microsoft Windows
Vista x64 Microsoft Windows Installer 4.5 doit être installé ; Microsoft Windows Server 2008 ; Microsoft
Windows Server 2008 déployé en mode Server Core ; Microsoft Windows Server 2008 x64 avec Service
Pack 1et tous les SP actuels, pour Microsoft Windows Server 2008 x64 Microsoft Windows Installer 4.5 doit
être installé ; Microsoft Windows 7.
Pour les systèmes Novell :
Novell NetWare 6 SP5 ou suivant, Novell NetWare 6.5 SP7 ou suivant.
Pour les systèmes Linux :
La version du système d'exploitation supporté est fixée par l'exigence de l'application compatible de
Kaspersky Lab sur le poste client.
Configuration matérielle :
Pour les systèmes Windows :
Processeur Intel Pentium, 233 Mhz minimum ;
K A S P E R S K Y AD M I NI S T R A T I O N KIT
11
32 Mo de mémoire vive ;
20 Mo d'espace disque disponible.
Pour les systèmes Novell :
Processeur Intel Pentium, 233 Mhz minimum ;
32 Mo de mémoire vive ;
32 Mo d'espace disque disponible.
Pour les systèmes Linux :
Processeur Intel Pentium, 133 Mhz minimum ;
64 Mo de mémoire vive ;
100 Mo d'espace disque disponible.
Agent des mises à jour
Configuration logicielle pour les systèmes Windows :
Microsoft Windows 2000 avec Service Pack 4 ou suivant ; Microsoft Windows XP Professional avec Service
Pack 2 ou suivant ; Microsoft Windows XP Professional x64 ou suivant ; Microsoft Windows Server 2003 ou
suivant ; Microsoft Windows Server 2003 x64 ou suivant ; Microsoft Windows Vista avec Service Pack 1 ou
suivant ; Microsoft Windows Vista x64 avec Service Pack 1et tous les SP actuels, pour Microsoft Windows Vista
x64 Microsoft Windows Installer 4.5 doit être installé ; Microsoft Windows Server 2008, Microsoft Windows
Server 2008 x64 avec Service Pack 1et tous les SP actuels, pour Microsoft Windows Server 2008 x64 Microsoft
Windows Installer 4.5 doit être installé ; Microsoft Windows 7.
Configuration matérielle pour les systèmes Windows :
Processeur Intel Pentium III, 800 Mhz minimum ;
256 Mo de mémoire vive ;
500 Mo d'espace disque disponible.
NOUVEAUTES
Les modifications apportées dans la version 8.0 de Kaspersky Administration Kit. par rapport à la version 6.0 de
Kaspersky Administration Kit :
Mode d'installation simplifiée.
Possibilité d'afficher plusieurs comptes dans la tâche d'installation à distance.
Le fichier de distribution Microsoft SQL Express 2005 fait partie de l'application. L'installation de Microsoft SQL
Express 2005 s'effectue automatiquement dans le cas de sélection de l'installation standard.
Ajout de la possibilité de la surveillance SNMP des paramètres généraux de la protection antivirus du réseau de
la société.
La possibilité de création du paquet autonome d'installation pour les applications de Kaspersky Lab est ajoutée.
L'interface utilisateur de l'application est remaniée considérablement : panneau des résultats, types de rapports,
barres d'informations (cf. section "Fenêtre principale de l'application" à la page 27).
M A N U E L D ' A D M I N I S T R A T E U R
12
Le mécanisme de collecte des informations sur les applications installées sur les postes clients est ajouté
(registre des applications).
Le système des privilèges d'accès est remanié et élargi.
Ajout du support des technologies Microsoft NAP.
Ajout de la possibilité de la permutation des clients nomades entre les Serveurs d'administration.
Elargissement des critères de permutation des clients entre les stratégies mobiles et normales.
Les possibilités de déplacement automatique des ordinateurs dans les groupes d'administration sont élargies.
La possibilité de création des groupes d'administration à la base de la structure Active Directory est ajoutée.
Les nouveaux rapports sont ajoutés, maintenant il est possible d'ajouter vos propres systèmes de compte,
l'information, affichée dans les rapports, est élargie.
Ajout de la possibilité d'exporter les rapports dans les fichiers en format PDF et XML (Microsoft Excel).
Ajout de la possibilité de collecter des données détaillées lors d'une construction des rapports généraux.
Réalisation du mécanisme de mise en cache de l'information pour la construction des rapports généraux, qui
contiennent les données des Serveurs d'administration secondaires.
Le support de deux ensembles des colonnes dans la console d'administration est ajouté, ainsi que l'ensemble
des colonnes est élargie (cf. section "Panneau des résultats" à la page 33).
Les nouveaux colonnes pour la liste des ordinateurs sont ajoutées : " Redémarrage ", " Description de l'état ",
" Version de l'Agent d'administration ", " Version de la protection ", " Version des bases ", " Heure de
l'activation ".
Ajout de nouveaux critères, à l'aide desquels les états des ordinateurs sont formés.
Les nouvelles sélections d'ordinateurs, formés par défaut, sont ajoutées ; la possibilité de création des
sélections d'ordinateurs à l'aide des données des Serveurs d'administration secondaires est ajoutée.
La possibilité de gestion de la liste des notes de l'administrateur est ajoutée.
La possibilité de visionnage des sessions et des contactes d'utilisateurs disponibles sur l'ordinateur est ajoutée.
L'interface graphique pour l'utilitaire de sauvegarde et de restauration des données est ajoutée.
Les fichiers des stratégies et des tâches de groupes se propagent à l'aide d'une diffusion IP multiadresse.
Le paramètre Wake On Lan est en accès libre pour les clients situés dans les sous-réseaux et différents du
sous-réseau du Serveur d'administration, et dans le cas du lancement manuel de la tâche.
Vous pouvez définir les paramètres de redémarrage pour les postes clients dans les configurations de la tâche
d'installation à distance.
Le mécanisme de restriction du nombre des notifications envoyées en unité de temps est modifié : maintenant
les restrictions sont comptées d'un air indépendant pour chaque type d'événements.
La possibilité de recherche de groupes et de Serveurs d'administration secondaires selon la hiérarchie des
Serveurs est ajoutée.
Elargissement des statistiques des agents des mises à jour.
La tâche de suppression des applications étrangères permet maintenant de supprimer plusieurs applications à
la fois.
K A S P E R S K Y AD M I NI S T R A T I O N KIT
13
Elaboration de l'utilitaire de préparation à l'installation à distance des ordinateurs.
Réalisation du mécanisme d'obtention des mises à jour nécessaires à l'application directement après la création
de son paquet d'installation.
Réalisation des statistiques des applications connectées aux Serveurs d'administration secondaires lors
d'obtention des mises à jour nécessaires.
Instauration du classement des erreurs possibles du sous-système de l'installation à distance de l'application,
ajout des conseils de résolution des problèmes types.
Ajout du mécanisme d'application automatique des mises à jour des modules pour les composants du système
d'administration.
14
DANS CETTE SECTION
Serveur d'administration. Groupes d'administration ........................................................................................................ 14
Hiérarchie des Serveurs d'administration ........................................................................................................................ 15
Poste client. Groupe ........................................................................................................................................................ 15
Poste de travail de l'administrateur .................................................................................................................................. 16
Plug-in d'administration de l'application ........................................................................................................................... 17
Stratégies, paramètres de l’application et tâches ............................................................................................................ 17
Corrélation de la stratégie et des paramètres locaux de l'application .............................................................................. 18
NOTIONS PRINCIPALES
Cette section contient les définitions détaillées des notions principales, concernant Kaspersky Administration Kit. Les
définitions de ces notions, ainsi que de quelques termes, sont présentées dans la section Glossaire.
SERVEUR D'ADMINISTRATION. GROUPES
D'ADMINISTRATION
Les composants de Kaspersky Administration Kit permettent de réaliser l'administration à distance des applications de
Kaspersky Lab dans le cadre du réseau de l'entreprise.
On appellera les ordinateurs, sur lesquels est installé le composant Serveur d'administration, les Serveurs
d'administration (ci-après aussi Serveurs).
La multitude des ordinateurs du réseau de l'entreprise peut être divisée en groupes, qui créent une certaine hiérarchie de
la structure. On appellera ces groupes les groupes d'administration. La structure des groupes d'administration est
affichée dans l'arborescence de la console dans le nœud du Serveur d'administration.
Le Serveur d'administration s'installe sur l'ordinateur en tant que service avec une sélection d'attributs suivante :
le nom de Kaspersky Administration Server ;
le lancement automatique lors du démarrage du système d'exploitation ;
le compte utilisateur Système local, soit le compte utilisateur en vertu de la sélection, effectuée lors de
l'installation du composant.
Les fonctions du Serveur d'administration, notamment le composant installé Serveur d'administration, consistent en :
sauvegarde de la structure des groupes d'administration ;
sauvegarde de la copie de l'information de configuration des postes clients ;
organisation des stockages des distributifs des applications de Kaspersky Lab ;
installation et désinstallation à distance des applications sur les ordinateurs ;
mise à jour des bases et des modules de l'application ;
N O T I O N S P R I N C I P A L E S
15
administration des stratégies et des tâches sur les postes clients ;
sauvegarde des informations sur les événements ;
formation des rapports de fonctionnement des applications ;
extension des licences sur les postes clients, sauvegarde des informations sur les licences ;
envoi des notifications sur l'exécution en cours de la tâche. Ces notifications peuvent signaler, par exemple, les
virus détectés sur l'ordinateur.
HIERARCHIE DES SERVEURS D'ADMINISTRATION
Les Serveurs d'administration peuvent développer une hiérarchie du type " serveur principal - serveur secondaire ".
Chaque Serveur d'administration peut avoir plusieurs Serveurs secondaires comme sur un seul niveau de hiérarchie,
ainsi que sur les niveaux imbriqués. Le niveau d'intégration des Serveurs secondaires n'est pas limité. Cela dit, les
postes clients de tous les Serveurs secondaires feront partie des groupes d'administration du Serveur principal. De cette
façon, les participants du réseau informatique isolés et indépendants les uns des autres peuvent être administrés par
différents Serveurs d'administration qui, à leur tour, sont administrés par le Serveur principal.
La possibilité de sous-structurer la hiérarchie des Serveurs peut être utilisée pour :
Limiter la charge sur le Serveur d'administration (par rapport à un Serveur installé dans le réseau).
Diminuer le trafic dans le réseau et simplifier le fonctionnement avec les bureaux distants. Il n'est pas
nécessaire d'établir la connexion entre le Serveur principal et tous les ordinateurs du réseau, qui peuvent être
situés, par exemple, dans d'autres régions. Il suffit d'installer dans chaque segment du réseau un Serveur
d'administration secondaire, répartir les ordinateurs dans les groupes d'administration des Serveurs secondaires
et fournir aux Serveurs secondaires la connexion avec le Serveur principal par les canaux de liaisons rapides.
Répartir plus clairement les responsabilités entre les administrateurs de la sécurité antivirus. Alors, toutes les
possibilités de l'administration centralisée et de la surveillance de la sécurité antivirus du réseau corporatif
seront maintenues.
Chaque ordinateur, inclus dans la structure du groupe d'administration, peut être connecté à un seul Serveur
d'administration. L'administrateur doit lui-même contrôler la correction de connexion des ordinateurs aux Serveurs
d'administration en utilisant la fonction de recherche d'ordinateurs par les attributs de réseau dans les groupes
d'administration des différents Serveurs.
POSTE CLIENT. GROUPE
L'interaction entre le Serveur d'administration et les ordinateurs s'opère via l'Agent d'administration. C'est à dire :
affichage de l'information sur l'état actuel des applications ;
envoi et réception des commandes d'administration ;
synchronisation de l'information de configuration ;
envoi de l'information sur le Serveur sur les événements dans le fonctionnement des applications ;
fonctionnement de l'agent de mise à jour ;
L'Agent d'administration doit être installé sur tous les ordinateurs où l'administration des applications de Kaspersky Lab
se réalise à l'aide de Kaspersky Administration Kit.
Ce composant s'installe sur l'ordinateur en tant que service avec une sélection d'attributs suivante :
M A N U E L D ' A D M I N I S T R A T E U R
16
nom de Kaspersky Network Agent ;
lancement automatique lors du démarrage du système d'exploitation ;
compte Système local.
Le plug-in pour le fonctionnement avec Cisco NAC s'installe sur l'ordinateur conjointement avec l'Agent d'administration.
Ce plug-in fonctionne dans le cas, quand l'application Cisco Trust Agent est installée sur l'ordinateur. Les paramètres de
collaboration avec Cisco NAC sont indiqués dans les propriétés du Serveur d'administration.
En collaboration avec Cisco NAC, le Serveur d'administration joue le rôle du serveur standard des stratégies (Posture
Validation Server), que l'administrateur peut utiliser pour autoriser ou interdire l'accès à un ordinateur du réseau (en
fonction des conditions de la protection antivirus).
L'ordinateur, serveur ou poste de travail sur lequel l'Agent d'administration est installé ainsi que les applications
administrées de Kaspersky Lab, on appellera – client du serveur d'administration (ou tout simplement poste client).
En vertu de la stratégie de l'entreprise (d'organisation ou territoriale), des fonctions exécutées et de l'ensemble
d'applications de Kaspersky Lab installées, les postes clients peuvent être organisés dans les groupes d'administration.
Ce groupement s'effectue pour permettre l'administration de tous les ordinateurs en tant que groupe unique. Lors du
groupement des postes clients, n'importe quelle association des principes ci-dessus peut être utilisée, ainsi que d'autres
critères selon le choix de l'administrateur. Par exemple, les groupes correspondant aux départements peuvent composer
le niveau supérieur. Au niveau suivant, à l'intérieur de chaque département, les ordinateurs se réunissent selon les
fonctions exécutées : un groupe d'ordinateurs peut contenir toutes les stations de travail, un autre – tous les serveurs
fichiers, etc.
Groupe d'administration (ci-après Groupe) : c'est l'ensemble des postes clients, réunis selon un critère dans le but
d'administrer les ordinateurs en tant que groupe unique. Pour tous les postes clients dans le groupe s'installent :
les paramètres uniques de fonctionnement des applications – à l'aide des stratégies de groupe ;
un mode unique de fonctionnement des applications – grâce à la création de tâches de groupe (de fonctions de
l'application) avec l'ensemble établi de paramètres (par exemple : création et installation du paquet d'installation
unique, mise à jour des bases et des modules d'applications, analyse de l'ordinateur à la demande et protection
en temps réel).
Le poste client peut être inclus dans un seul groupe d'administration.
L'administrateur peut créer une hiérarchie des Serveurs et des groupes de n'importe quel degré de complexité, si cela lui
simplifie la tâche d'administration des applications. On peut avoir à un niveau de la hiérarchie les Serveurs
d'administration secondaires, les groupes et les postes clients.
POSTE DE TRAVAIL DE L'ADMINISTRATEUR
On appellera les ordinateurs, sur lesquels est installé le composant de la Console d'administration : les postes
administrateurs. A partir de ces ordinateurs, les administrateurs peuvent administrer, à distance de manière centralisée,
la configuration de toutes les applications de Kaspersky Lab installées sur les postes clients.
Après avoir installé la Console d'administration sur l'ordinateur, dans le menu Démarrer Programmes Kaspersky
Administration Kit, l'icône de son lancement s'affiche.
Le poste administrateur n'est pas un objet du groupe d'administration, mais pourtant, il peut être inclus dans le groupe en
tant que poste client. Aucune restriction n'est imposée sur le nombre des postes administrateurs. Les postes
administrateurs peuvent coïncider pour différents Serveurs d'administration, chacun peut administrer les groupes
d'administration de n'importe quel Serveur d'administration dans la structure du réseau de l'entreprise.
Dans le cadre des groupes d'administration de n'importe quel Serveur d'administration, le même ordinateur peut être
client du Serveur d'administration, Serveur d'administration et poste de l'administrateur.
N O T I O N S P R I N C I P A L E S
17
PLUG-IN D'ADMINISTRATION DE L'APPLICATION
L'interface pour administrer le fonctionnement de l'application concrète via la Console d'administration est présentée par un composant spécialisé – plug-in d'administration de l'application. Il est repris dans toutes les applications de Kaspersky Lab qui peuvent être administrées à l'aide Kaspersky Administration Kit. Le plug-in d'administration est spécifique à chaque application. Il est installé sur le poste administrateur et assure :
sélection des boîtes de dialogue (interface) pour créer et rédiger les stratégies de l'application ;
sélection des boîtes de dialogue (interface) pour créer et rédiger les paramètres de l'application ;
sélection des boîtes de dialogue (interface) pour créer et rédiger les paramètres des tâches réalisées par
l'application ;
fourniture des renseignements sur les tâches réalisées par l'application ;
fourniture des renseignements sur les événements générés par l'application ;
prestation de fonctions pour la Console d'administration de l'affichage de l'information reçue des postes clients
sur les événements et les statistiques de fonctionnement de l'application.
STRATEGIES, PARAMETRES DE L’APPLICATION ET TACHES
L'action concrète, exécutée par l'application de Kaspersky Lab, port le nom la tâche. Selon les fonctions exécutées, les
tâches sont divisées par types.
L'ensemble de paramètres de fonctionnement de l'application lors de son exécution correspond à une tâche. L'ensemble
de paramètres de fonctionnement de l'application, unique pour tout type de ses tâches, compose les paramètres de
l'application. Les paramètres de fonctionnement de l'application, spécifiques à chaque type de tâches, constituent les
paramètres de la tâche. Les paramètres de l'application et les paramètres de la tâche ne se croisent pas.
La description détaillée des types de tâches pour chaque application de Kaspersky Lab est présentée dans les manuels.
Afin d'activer l'exécution de la fonction nécessaire, il est conseillé de configurer les paramètres de fonctionnement de
l'application, de créer et de configurer la tâche correspondante et la mettre en exécution.
On appellera les paramètres de l'application définis pour le poste client particulier via l'interface locale, ou à distance via
la Console d'administration : les paramètres locaux de l'application.
La configuration centralisée des paramètres de fonctionnement des applications installées sur les postes clients s'opère
à l'aide de la définition de stratégies.
La stratégie c'est l'ensemble de paramètres de fonctionnement de l'application dans le groupe. La stratégie ne définit pas
tous les paramètres de l'application.
Les paramètres de l'application sont définis par les paramètres des stratégies et des tâches.
Chaque paramètre, présenté dans la stratégie, a pour attribut : le " cadenas ", qui affiche, s'il est interdit de modifier le
paramètre dans les stratégies du niveau intégré de la hiérarchie (pour les groupes intégrés et pour les Serveurs
d'administration secondaires). De même pour les paramètres des tâches et les paramètres locaux de l'application. Si
dans la stratégie le " cadenas " est placé pour le paramètre, il sera impossible de prédéfinir sa valeur (cf. section
"Corrélation de stratégie et de paramètres locaux de l'application" à la page 18). La case décochée Hériter des
paramètres de la stratégie de niveau supérieur annule l'action du " cadenas " pour les stratégies héritées.
Une stratégie propre à chaque application peut être définie dans le groupe. Plusieurs stratégies avec les valeurs
différentes des paramètres peuvent être définies pour une application, mais une seule stratégie pour l'application peut
être active.
M A N U E L D ' A D M I N I S T R A T E U R
18
Il y a la possibilité d'activer la stratégie, qui n'est pas active, selon l'événement. Cela permet, par exemple, d'installer les
paramètres plus stricts de la protection antivirus dans les périodes de l'épidémie de virus.
Vous pouvez aussi former la stratégie pour les utilisateurs nomades. Elle va entrer en vigueur lorsque l'ordinateur est
déconnecté du réseau de l'entreprise.
Les paramètres de fonctionnement de l'application peuvent varier en fonction des groupes. Une stratégie propre pour
l'application peut être créée dans chaque groupe.
Les sous-groupes et les Serveurs d'administration secondaires héritent des stratégies du groupe du niveau plus élevé de
la hiérarchie.
La création et la configuration des tâches pour les objets administrées par un Serveur d'administration, s'effectue de
manière centralisée. Les tâches des types suivants peuvent être définies :
la tâche de groupe : la tâche qui définit les paramètres de fonctionnement de l'application, installée sur les
ordinateurs, inclus dans le groupe d'administration ;
la tâche locale : la tâche pour l'ordinateur individuel ;
la tâche pour la sélection d'ordinateurs : la tâche pour la sélection aléatoire d'ordinateurs, qu'ils soient ou non
compris dans le groupe d'administration ;
la tâche du Serveur d'administration : la tâche, qui est définie directement pour le Serveur d'administration.
Une tâche de groupe peut être définie pour un groupe, même si l'application de Kaspersky Lab n'est pas installée sur
tous les postes clients du groupe. Dans ce cas la tâche de groupe s'exécute uniquement pour les ordinateurs, sur
lesquels l'application est installée.
Les sous-groupes et les Serveurs d'administration secondaires héritent des tâches de groupe des niveaux plus élevés de
la hiérarchie. La tâche, définie pour le groupe, sera exécutée non seulement sur les postes clients inclus dans ce groupe,
mais aussi sur les postes clients inclus dans les sous-groupes et dans les Serveurs d'administration secondaires aux
niveaux suivants de la hiérarchie.
Les tâches, créées pour le poste client de manière locale, seront exécutées uniquement pour cet ordinateur. Lors de la
synchronisation du client avec le Serveur d'administration, les tâches locales seront ajoutées à la liste des tâches
formées pour le poste client.
Puisque les paramètres de fonctionnement de l'application sont définis par la stratégie, les paramètres, qui ne sont pas
interdits, peuvent être redéfinis, ainsi que les paramètres, qui peuvent être installés uniquement pour l'exemplaire concret
de la tâche. Par exemple, pour la tâche d'analyse du disque, c'est le nom du disque, les masques des fichiers analysés,
etc.
La tâche peut être lancée automatiquement (selon la programmation) ou manuellement. Les résultats de l'exécution de la
tâche sont enregistrés sur le Serveur d'administration et de manière locale. L'administrateur peut recevoir les notifications
sur l'exécution de telle ou telle tâche, ainsi que parcourir les rapports détaillés.
L'information sur les stratégies, les paramètres de l'application, les tâches pour les sélections d'ordinateurs et les tâches
de groupe est enregistrée sur le Serveur et diffusée sur les postes clients lors de la synchronisation. Cela dit, les
modifications locales (réalisées sur les postes clients et autorisées par la stratégie), à leur tour, sont enregistrées dans
les données du Serveur d'administration. Outre cela, la liste des applications qui fonctionnent sur le client est actualisée,
ainsi que leur état et la liste des tâches formées.
CORRELATION DE LA STRATEGIE ET DES PARAMETRES
LOCAUX DE L'APPLICATION
A l'aide des stratégies pour tous les ordinateurs inclus dans le groupe, les valeurs identiques des paramètres de
fonctionnement de l'application peuvent être établies.
N O T I O N S P R I N C I P A L E S
19
Vous pouvez redéfinir les valeurs des paramètres, définies par la stratégie, pour les ordinateurs individuels dans le
groupe à l'aide des paramètres locaux de l'application. Avec cela, vous pouvez établir les valeurs des paramètres, dont la
modification n'est pas interdite par la stratégie : le paramètre n'est pas fermé par le " cadenas ".
La valeur utilisée par l'application sur le poste client (cf. ill. ci-dessous), est définie par la présence du " cadenas " chez le
paramètre de la stratégie :
si la modification du paramètre est interdite, sur tous les postes clients est utilisée la même valeur : définie par
la stratégie ;
si ce n'est pas interdit, sur chaque poste client l'application n'utilise pas la valeur, indiquée dans la stratégie,
mais la valeur locale du paramètre. Cela dit, la valeur du paramètre peut être modifiée via les paramètres locaux
de l'application.
Illustration 1. Stratégie et paramètres locaux de l'application
De cette façon, lorsque la tâche est en exécution sur un poste client, l'application utilise les paramètres définis selon
deux manières différentes :
par les paramètres de la tâche et les paramètres locaux de l'application, si l'interdiction de modifier le paramètre
n'était pas établie dans la stratégie ;
par la stratégie du groupe, si l'interdiction de modifier le paramètre était établie dans la stratégie.
Les paramètres locaux de l'application sont modifiés après la première utilisation de la stratégie conformément aux
paramètres de la stratégie.
20
DANS CETTE SECTION
Déploiement du système de protection antivirus ............................................................................................................. 20
Compatibilité avec le système Cisco Network Admission Control (NAC) ........................................................................ 20
Compatibilité avec Microsoft Network Access Protection (NAP) ..................................................................................... 21
Création du système de gestion centralisée de la protection antivirus ............................................................................ 21
Connexion des postes clients au Serveur d'administration ............................................................................................. 22
Connexion sécurisée au Serveur d'administration ........................................................................................................... 23
Identification des postes clients sur le Serveur d'administration ...................................................................................... 24
Privilèges d'accès au Serveur d'administration et à ses objets ....................................................................................... 24
Conception de l'interface utilisateur ................................................................................................................................. 26
CONCEPTION DU FONCTIONNEMENT DE KASPERSKY ADMINISTRATION KIT
Cette section décrit les principes de base du fonctionnement de l'application, ainsi que les modes de résolution des
tâches particulières, ainsi que donne une brève description de l'interface utilisateur et des modes de son utilisation.
DEPLOIEMENT DU SYSTEME DE PROTECTION ANTIVIRUS
Il existe deux types de déploiement du système de protection antivirus, administré à l'aide de Kaspersky Administration
Kit :
Grâce à l'installation à distance centralisée des applications sur les postes clients. Cela dit, l'installation des
applications et la connexion au système d'administration à distance centralisé s'opère automatiquement, ne
demande aucune intervention de l'administrateur et permet d'installer le logiciel antivirus sur n'importe quel
nombre de postes clients.
Grâce à l'installation locale des applications sur chaque poste client. Dans ce cas, l'installation des composants
requis sur les postes clients et sur le poste administrateur s'opère manuellement. Les paramètres de connexion
des clients au Serveur seront définis lors de l'installation de l'Agent d'administration. Cette option de
déploiement est utilisée dans le cas, où il n'est pas possible d'exécuter une installation à distance centralisée.
L'installation à distance peut être utilisée pour installer n'importe quelle application au choix de l'utilisateur. Cependant, il
ne faut pas oublier que Kaspersky Administration Kit supporte l'administration que par les applications de Kaspersky Lab,
dont le distributif contient le composant spécialisé : le plug-in d'administration par l'application.
COMPATIBILITE AVEC LE SYSTEME CISCO NETWORK
ADMISSION CONTROL (NAC)
Kaspersky Administration Kit offre la possibilité d'indiquer une concordance entre les conditions de la protection antivirus
de l'ordinateur et les états de sécurité du système Cisco Network Admission Control (NAC).
C O N C E P T I O N D U F O N C T I O N N E M E N T D E KA S P E R S K Y A D M I N I S T R AT I O N KIT
21
Pour ce faire, il faut définir les conditions, dans lesquelles le poste client recevra les états de sécurité Cisco Network
Admission Control (NAC) : Healthy, Checkup, Quarantine ou Infected. Si le poste client ne remplit aucune des
conditions précédentes, il recevra l'état Unknown. L'état Healthy est octroyé uniquement quand toutes les conditions
sont remplies, les états Checkup, Quarantine ou Infected – sont attribués, si au moins une des conditions est remplie.
COMPATIBILITE AVEC MICROSOFT NETWORK ACCESS
PROTECTION (NAP)
Kaspersky Administration Kit offre la possibilité d'intégration dans la plate-forme Microsoft Network Access Protection
(NAP). Microsoft (NAP) permet de régler l'accès des postes clients au réseau. Microsoft (NAP) suppose, que dans le
réseau le serveur avec le système d'exploitation Microsoft Windows Server 2008 est choisi. Que le service PVS (Posture
Validation Server) est installé sur ce système. Et que sur les postes clients les systèmes d'exploitation NAP-compatibles
sont installés : Microsoft Windows Vista, Microsoft Windows XP avec Service Pack 3, Microsoft Windows 7.
Afin d'intégrer Kaspersky Administration Kit, il est nécessaire d'exécuter les actions suivantes :
1. Déployer Kaspersky Administration Kit dans le réseau de façon habituelle.
2. Installer sur le PVS Kaspersky Lab System Health Validator (SHV). Pour ce faire, lors de l'installation de
Kaspersky Administration Kit, à l'étape de la sélection des composants de l'application, cochez la case en face
du mode d'analyse des fonctions du système Kaspersky Lab System Health Validator (SHV).
L'Agent d'administration sera alors installé sur les postes clients. Cet agent joue le rôle de l'agent des fonctions
du système dans Microsoft NAP Kaspersky Lab System Health Agent (SHA), en transmettant à l'agent Microsoft
NAP l'information sur les paramètres de la protection antivirus et leurs modifications sur les postes clients.
Finalement, Kaspersky Lab System Health Validator (SHV) apparaîtra dans la liste des SHV accessibles dans la
console PVS, où il sera possible de configurer les règles d'analyse des données des postes clients, réunis par
l'Agent d'administration.
CREATION DU SYSTEME DE GESTION CENTRALISEE DE LA
PROTECTION ANTIVIRUS
La conception de la structure des groupes d'administration est la première étape de la construction du système de
gestion centralisée de la protection antivirus du réseau de l'entreprise à l'aide de la suite logicielle Kaspersky
Administration Kit. Cette étape exige de prendre les décisions suivantes :
1. Sélectionner dans le réseau les parties isolées et définir, quel nombre de Serveurs d'administration il est
nécessaire d'installer.
2. Définir, quels ordinateurs dans le réseau de l'entreprise exécuteront les fonctions du Serveur d'administration
principal et des Serveurs secondaires, lesquels - les fonctions des postes administrateurs et des postes clients.
Tous les ordinateurs, sur lesquels on suppose d'installer les applications de Kaspersky Lab, doivent devenir des
postes clients.
3. Décider, selon quel critère le groupement des postes clients sera exécuté, et définir la hiérarchie des groupes.
4. Sélectionner, quel type de déploiement du système de protection antivirus sera utilisé : l'installation à distance
ou locale.
A l'étape suivante, l'administrateur doit créer une structure des dossiers du Serveur d'administration par une installation
des composants appropriés de Kaspersky Administration Kit sur les ordinateurs du réseau de l'entreprise, notamment :
1. Installer le Serveur d'administration sur les ordinateurs, inclus dans le réseau de l'entreprise.
2. Installer la Console d'administration sur les ordinateurs, depuis lesquels sera exécutée la gestion.
M A N U E L D ' A D M I N I S T R A T E U R
22
3. Prendre la décision de nommer les administrateurs de Kaspersky Administration Kit, définir, quelles catégories
d'utilisateurs vont travailler avec le système, et réserver pour chaque catégorie la liste des fonctions exécutées.
Le système admet le travail simultané des administrateurs avec les mêmes ressources. Les derniers
paramètres selon l'heure d'application seront considérés comme réels. Dans ce cas toutes les actions,
effectuées par les administrateurs, doivent être concertées.
4. Former les groupes utilisateurs et fournir à chaque groupe les privilèges d'accès nécessaires à l'exécution des
fonctions, dont les utilisateurs sont chargés.
Après cela, il est nécessaire de créer une hiérarchie des Serveurs d'administration, et pour chaque Serveur construire
une hiérarchie des groupes d'administration et répartir les ordinateurs dans les groupes appropriés.
A l'étape suivante l'installation est exécutée sur les postes clients du composant de l'Agent d'administration, des
applications nécessaires de Kaspersky Lab, ainsi que sur le poste administrateur des plug-ins appropriés de la gestion
des applications.
Pas toutes les applications de Kaspersky Lab, dont la gestion est accessible via Kaspersky Administration Kit, ne
peuvent être installées à distance sur les postes clients. Consultez les informations détaillées à ce propos dans les
manuels des applications correspondantes.
Lors de l'installation à distance, l'Agent d'administration peut être installé conjointement avec n'importe quelle application.
Dans ce cas, l'installation à part de l'Agent d'administration n'est pas requise.
Pour compléter, configurez les applications installées par la définition et l'application des stratégies de groupes (cf.
section "Administration des stratégies" à la page 48) et la création des tâches nécessaires (cf. section "Paramètres
locaux de l'application" à la page 52).
L'application offre la possibilité de créer le système de la gestion centralisée de protection antivirus avec les paramètres
minimum à l'aide de l'Assistant de configuration initiale (cf. section "Assistant de configuration initiale" à la page 39). La
structure des groupes d'administration, identique à la structure de domaine du réseau Windows, est alors créée. Et le
système de protection antivirus se forme, en utilisant Kaspersky Anti-Virus pour Windows Workstations version 6.0 MP4.
Après avoir créé la structure des dossiers du Serveur d'administration, l'installation et la configuration de la protection
antivirus, il est recommandé aux administrateurs de réaliser les mesures du service du réseau (cf. section "Maintenance"
à la page 66).
CONNEXION DES POSTES CLIENTS AU SERVEUR
D'ADMINISTRATION
La coopération des postes clients avec les Serveurs d'administration s'effectue au cours du processus de connexion des
clients au Serveur. Cette fonction est assurée par l'Agent d'administration installé sur les postes clients.
La connexion est réalisée afin d'exécuter les opérations suivantes :
synchronisation de la liste des applications installées sur le poste client ;
synchronisation des stratégies, des paramètres de l'application, des tâches et des paramètres des tâches ;
obtention par le Serveur des informations en cours sur l'état des applications et de l'exécution des tâches ;
transmission des informations sur les événements, que le Serveur doit traiter.
Le mode de connexion principal des postes clients au Serveur consiste en la connexion du client au Serveur. Ce type de
connexion est exécuté lors de la synchronisation automatique des données du client et du Serveur, ainsi que lors de la
transmission sur le Serveur des informations sur les événements dans le fonctionnement des applications.
C O N C E P T I O N D U F O N C T I O N N E M E N T DE KA S P E R S K Y A D M I N I S T R AT I O N KIT
23
La synchronisation automatique s'effectue périodiquement, en fonction des paramètres de l'Agent d'administration (par
exemple, une fois toutes les 15 minutes). L'administrateur définit l'intervalle des connexions.
L'information sur un événement est envoyée sur le Serveur tout de suite après qu'il a eu lieu.
Le paramètre Maintenir la connexion avec le Serveur d'administration est prévu pour le poste client. Ce paramètre
définit, si la connexion du client au Serveur sera terminée à l'achèvement de toutes les opérations énumérées ci-dessus.
Une connexion permanente est nécessaire dans le cas, où le contrôle d'état des applications est requis, et que le
Serveur ne peut pas établir la connexion avec le client pour des raisons quelconques (la connexion est protégée par un
pare-feu, il est interdit d'ouvrir les ports sur le client, l'adresse IP du client est inconnue, etc.).
La synchronisation peut être exécutée par l'administrateur manuellement à l'aide de la commande Synchroniser du
menu contextuel (cf. section "Menu contextuel" à la page 34) du poste client. Dans ce cas, le mode auxiliaire de
connexion est utilisé. Le Serveur initie la connexion en ce mode. Pour ce faire, le port UDP s'ouvre sur le poste client. Le
Serveur envoie une demande de connexion sur le port UDP. En réponse, l'analyse des privilèges du Serveur à une
connexion au client est exécutée (en vertu de la signature numérique du Serveur d'administration), et dans le cas de leur
existence une connexion est exécutée.
Le deuxième mode de connexion est aussi utilisé au cours de l'appel aux données du client sur le Serveur : pour recevoir
les informations en cours sur l'état des applications, des tâches et des statistiques du fonctionnement des applications.
CONNEXION SECURISEE AU SERVEUR D'ADMINISTRATION
L'échange d'informations entre les postes clients et le Serveur d'administration, ainsi que la connexion de la Console au
Serveur d'administration peut être exécutée en utilisant le protocole SSL (Secure Socket Layer). Il permet d'identifier les
parties coopérants, de crypter les données transmises et de garantir leur intégrité tout au long de la transmission.
L'authentification des parties coopérants et le cryptage des données par clés ouvertes est à la base du protocole SSL,
utilisé en cours de la connexion sécurisée.
CERTIFICAT DU SERVEUR D'ADMINISTRATION
L'authentification du Serveur d'administration lors de la connexion de la Console d'administration et de l'échange
d'informations avec les postes clients s'effectue en vertu du certificat du Serveur d'Administration. Le certificat est utilisé pour l'authentification entre les Serveurs d'administration principaux et secondaires.
Le certificat du Serveur d'administration est créé en cours de l'installation du composant du Serveur d'administration et
sauvegardé sur le Serveur d'administration dans le dossier d'installation du programme dans le sous-dossier Cert.
Le certificat du Serveur d'administration n'est créé qu'une fois, à l'installation. Il est recommandé de le sauvegarder à
l'aide de l'assistant d'installation. Dans le cas, si le certificat du Serveur d'administration est perdu, pour le restaurer, il est
nécessaire de réinstaller le composant du serveur d'administration et de restaurer les données (cf. section "Copie de
sauvegarde et restauration des données du Serveur d'administration" à la page 85).
AUTHENTIFICATION DU SERVEUR D'ADMINISTRATION LORS DE
L'UTILISATION DE L'ORDINATEUR
Lors de la première connexion du poste client au Serveur, l'Agent d'administration reçoit le certificat du Serveur
d'administration et le sauvegarde localement.
Si l'installation de l'Agent d'administration est locale, le certificat du Serveur d'administration peut être sélectionné par
l'administrateur manuellement.
En vertu de la copie reçue du certificat, l'analyse des privilèges et des pouvoirs du Serveur d'administration sera réalisée
durant les connexions ultérieures.
M A N U E L D ' A D M I N I S T R A T E U R
24
Par la suite, lors de chaque connexion du poste client au Serveur, l'Agent d'administration demande le certificat du
Serveur d'administration et le compare avec sa copie locale. S'ils ne concordent pas, l'accès au Serveur d'administration
au poste client est interdit.
Si le Serveur d'administration initie la connexion, la demande de connexion via le port UDP reçue du Serveur
d'administration est vérifiée de la même manière.
L'AUTHENTIFICATION DU SERVEUR LORS DE LA CONNEXION DE LA CONSOLE
Lors de la première (après l'installation) connexion au Serveur, la Console d'administration demande le certificat du
Serveur d'administration et le sauvegarde localement sur le poste administrateur. En vertu de la copie reçue du certificat,
lors des connexions suivantes au Serveur d'administration avec ce nom, l'identification du Serveur sera exécutée.
Si le certificat du Serveur d'administration ne concorde pas avec la copie du certificat, sauvegardée sur le poste
administrateur, la demande aura lieu afin de pouvoir confirmer la connexion au Serveur portant le nom attribué et
d'obtenir le nouveau certificat. Lors de la connexion réussie, la Console d'administration sauvegarde la copie du nouveau
certificat du Serveur d'administration. Elle sera utilisée pour identifier le Serveur ultérieurement.
IDENTIFICATION DES POSTES CLIENTS SUR LE SERVEUR
D'ADMINISTRATION
L'identification des postes clients se réalise sur la base des noms de postes clients. Le nom du poste client est unique
parmi tous les noms d'ordinateurs, connectés au Serveur d'administration.
Le nom du poste client est transmis au Serveur d'administration soit lors du sondage du réseau Windows et de la
détection d'un nouvel ordinateur dans ce réseau, soit lors de la première connexion de l'Agent d'administration, installé
sur le poste client. Par défaut, le nom concorde avec le nom du réseau Windows (nom NetBIOS). Si un poste client est
déjà enregistré avec ce nom sur le Serveur d'administration, à la fin du nom du nouveau poste client sera ajouté le
numéro d'ordre, par exemple : <Nom>-1, <Nom>-2, etc. Sous ce nom le poste client est inclus dans le groupe
d'administration.
PRIVILEGES D'ACCES AU SERVEUR D'ADMINISTRATION ET
A SES OBJETS
Dans Kaspersky Administration Kit les types suivants sont prévus afin d'autoriser l'accès aux fonctions de l'application :
Lecture :
connexion au Serveur d'administration ;
affichage de la structure des dossiers du Serveur d'administration ;
affichage des valeurs des paramètres des stratégies, des tâches et des paramètres de l'application.
Écriture :
création de groupes d'administration, ajout de sous-groupes et de postes clients ;
installation du composant Agent d'administration sur les postes clients ;
mise à jour de la version des applications installées sur les postes clients ;
C O N C E P T I O N D U F O N C T I O N N E M E N T DE KA S P E R S K Y A D M I N I S T R AT I O N KIT
25
création de stratégies, de tâches pour les groupes ou les ordinateurs isolés, configuration des paramètres
de l'application ;
contrôle centralisé des applications, réception de rapports d'activités à l'aide des services du Serveur
d'administration, de l'Agent d'administration et de la Console d'administration.
Exécution : lancement et arrêt des tâches existantes pour les groupes, les sélections d'ordinateurs ; génération
des rapports.
Modification des privilèges d'accès : attribution aux utilisateurs et aux groupes d'utilisateurs des droits
d'accès aux fonctions de Kaspersky Administration Kit.
Modification des paramètres d'enregistrement des événements.
Modification des paramètres d'envoi des notifications.
Installation à distance des applications de Kaspersky Lab.
Installation à distance d'autres applications : préparation des paquets d'installation et installation à distance
sur les postes clients des applications des éditeurs tiers.
Modification des paramètres de la hiérarchie des Serveurs d'administration.
Après avoir installé le Serveur d'administration par défaut, ce sont les utilisateurs, inclus dans les groupes KLAdmins et
KLOperators, qui possèdent des privilèges de connexion au Serveur et peuvent travailler avec ses objets.
Ces groupes sont formés en cours de l'installation du composant du Serveur d'administration. Ils sont créés en fonction
du compte utilisateur qui était sélectionné afin de lancer les services du Serveur d'administration :
dans le domaine, auquel est inclus le Serveur d'administration, et sur l'ordinateur du Serveur d'administration, si
le Serveur d'administration est lancé sous un compte utilisateur inclus dans le domaine ;
seulement sur l'ordinateur du Serveur d'administration, si le Serveur est lancé sous un compte du système.
Tous les privilèges sont accordés au groupe KLAdmins, au groupe KLOperators – les privilèges de lecture. Il est
impossible de modifier l'ensemble de privilèges, accordés au groupe KLAdmins.
On appellera les utilisateurs du groupe KLAdmins - les administrateurs de Kaspersky Administration Kit, les
utilisateurs du groupe KLOperators – les opérateurs de Kaspersky Administration Kit.
La consultation des groupes KLAdmins et KLOperators et l'insertion des modifications nécessaires est réalisée à l'aide
des méthodes traditionnelles d'administration de Windows – Administration / Utilisateurs locaux et groupes.
A part les utilisateurs du groupe KLAdmins, les privilèges d'administrateur sont accordés aux :
administrateurs du domaine, dont les ordinateurs sont inclus dans ce groupe d'administration de ce Serveur ;
administrateurs locaux des ordinateurs, sur lesquels le Serveur d'administration est installé.
Les administrateurs locaux peuvent être exclus de la liste d'utilisateurs qui possèdent les privilèges d'administrer
le Serveur d'administration.
Toutes les opérations initiées par les administrateurs de Kaspersky Administration Kit seront exécutées avec les
privilèges du compte du Serveur d'administration. Pour chaque Serveur d'administration un propre groupe KLAdmins
peut être formé. Ce groupe possédera les privilèges uniquement dans le cadre du travail avec ce Serveur.
Si les ordinateurs appartiennent au même domaine et constituent les groupes d'administration des Serveurs différents,
l'administrateur est l'administrateur de Kaspersky Administration Kit dans le cadre de tous les groupes. Cela dit, le
groupe KLAdmins est unique pour ces groupes d'administration et est créé lors de l'installation du premier Serveur
d'administration. Son enrichissement peut être réalisé par les moyens d'administration du système d'exploitation. Toutes
les opérations initiées par les administrateurs de Kaspersky Administration Kit seront exécutées avec les privilèges du
compte du Serveur d'administration.
M A N U E L D ' A D M I N I S T R A T E U R
26
Les privilèges des utilisateurs (cf. section "Affectation de droits" à la page 36) dans l'application Kaspersky Administration
Kit sont établis en vertu de l'authentification d'utilisateurs de Windows.
Après l'installation de l'application, l'administrateur de Kaspersky Administration Kit peut :
modifier les privilèges, accordés aux groupes KLOperators ;
attribuer des privilèges d'accès aux fonctions de l'application Kaspersky Administration Kit aux autres groupes
d'utilisateurs et aux utilisateurs particuliers enregistrés sur l'ordinateur, où la Console d'administration est
installée ;
accorder différents privilèges d'accès afin de pouvoir travailler dans chaque groupe d'administration.
CONCEPTION DE L'INTERFACE UTILISATEUR
La consultation, la création, la modification et la configuration des groupes d'administration, l'administration centralisée
du fonctionnement de toutes les applications de Kaspersky Lab installées sur les postes clients est exécutée depuis le
poste administrateur. La Console d'administration assure l'interface d'administration. Elle représente un outil autonome
centralisé, intégré dans Microsoft Management Console (MMC), donc, l'interface Kaspersky Administration Kit est
standard pour MMC.
La Console d'administration permet de se connecter au Serveur d'administration distant via Internet.
Pour travailler localement avec les postes clients, l'application prévoit la possibilité d'installer une connexion à distance
avec l'ordinateur via la Console d'administration à l'aide de l'application standard Microsoft Windows Connexion en
cours au poste de travail distant.
Afin d'utiliser cette possibilité, il est nécessaire d'autoriser sur le poste client la connexion à distance au poste de travail.
CONFIGURATION DE L'INTERFACE
Kaspersky Administration Kit permet de configurer l'interface de la Console d'administration.
Pour modifier les paramètres de l'interface déjà installés, procédez comme suit :
1. Passez au menu Affichage Configuration de l'interface. Cela entraîne l'ouverture de la fenêtre du même
nom (cf. ill. ci-après).
Illustration 2. Affichage des propriétés du groupe. Fenêtre Configuration de l'interface
C O N C E P T I O N D U F O N C T I O N N E M E N T DE KA S P E R S K Y A D M I N I S T R AT I O N KIT
27
2. Dans la fenêtre ouverte vous pouvez spécifier les paramètres suivants :
Afficher les Serveurs d'administration secondaires.
Afficher les onglets avec les paramètres de sécurité.
Afficher le registre des applications.
Nombre maximum d'ordinateurs affichés dans les nœuds de la console. Ce paramètre détermine le
nombre d'ordinateurs affichés sur le panneau des résultats de la Console d'administration pour les entrées
de groupes et de domaines. La valeur par défaut est égale à 2000.
Si le nombre d'ordinateurs dans le groupe dépasse la valeur définie, l'avertissement approprié s'affiche.
Pour afficher la liste de tous les ordinateurs, il faut augmenter la valeur.
La définition dans les paramètres d'un groupe (ou d'un domaine) de la valeur du nombre maximum d'ordinateurs à
afficher entre en vigueur pour tous les groupes de tous les niveaux de la hiérarchie, ainsi que pour tous les domaines.
DEMARRER L'APPLICATION
Le lancement de l'application Kaspersky Administration Kit s'effectue par la sélection du point Kaspersky
Administration Kit dans le groupe d'application Kaspersky Administration Kit du menu standard
Démarrer Applications. Ce groupe de programme est créé uniquement sur les postes administrateurs pendant
l'installation de la Console d'administration.
Pour accéder aux fonctions de Kaspersky Administration Kit, il faut que le Serveur d'administration Kaspersky
Administration Kit soit lancé.
FENETRE PRINCIPALE DU PROGRAMME
La fenêtre principale du programme (cf. ill. ci-dessous) contient le menu, la barre d'outils, la barre de consultation et la
zone d'information, qui peut être représentée par la barre des tâches ou la barre des résultats.
Le menu assure la gestion des fenêtres et offre l'accès au système d'information. Le point du menu Action reprend les
commandes du menu contextuel pour le nœud actuel ou pour le dossier de l'arborescence de la console.
L'ensemble de boutons de la barre d'outils assure l'accès direct à certains points du menu principal. Le contenu de la
barre d'outils change selon le nœud actuel de l'arborescence de la console.
La barre de consultation reflète l'étendue des noms de Kaspersky Administration Kit en guise de l'arborescence de la
console (cf. section "Arborescence de la console" à la page 28).
La zone d'information du menu contextuel peut être représentée par la barre des tâches, la barre des résultats ou par
leurs combinaisons. Pour certains nœuds de l'arborescence de la console, la zone d'information a deux types de
présentations : étendu et standard. Le passage entre ces types est accessible par les onglets du même nom.
La barre des tâches contient un ou plusieurs onglets, qui représentent les pages avec les liens d'accès rapide aux
opérations principales, envisagées pour le nœud sélectionné dans l'arborescence de la console. Voir les détails sur le
travail avec la barre des tâches dans la section Barre des tâches (à la page 30).
M A N U E L D ' A D M I N I S T R A T E U R
28
La barre des résultats représente la liste des éléments du nœud sélectionné dans l'arborescence de la console ou
l'ensemble des zones d'information. Cela peut être la liste des ordinateurs dans les groupes, la liste des rapports, des
requêtes d'événements ou d'ordinateurs, etc. Pour obtenir de plus amples informations sur l'utilisation du panneau des
résultats, consultez la section Panneau des résultats (page 33).
Illustration 3. Fenêtre principale de Kaspersky Anti-Virus
ARBORESCENCE DE LA CONSOLE
L'arborescence de la console (cf. ill. ci-dessous) est conçue pour refléter la hiérarchie (formée dans le réseau de
l'entreprise) des Serveurs d'administration, de la structure de leurs groupes d'administration, ainsi que d'autres objets de
l'application, tels que stockages, requêtes, etc.
Loading...