Symantec Endpoint Protection Manager sur un Windows 2003

Endpoint est le successeur de Norton Corporate qui de nombreux administrateurs système utilisent depuis des années.
Le guise d’administration de Symantec comprend 793 pages, le présent article n’a donc pas pour but de présenter l’ensemble des fonctionnalités mais plutôt de mettre rapidement en place le serveur et les clients. Je laisserai de côté toute la partie gestion de rapports ainsi que la gestion des comptes utilisateurs.

II- Installation du serveur et de la console

Tout d’abord, première surprise : IIS doit être installé sur le 2003 pour que le serveur antiviral puisse être déployé. Il n’est pas nécessaire d’installer les extensions FrontPage ni l’ASP. A noter que si vous installer le serveur Endpoint sur une machine qui est déjà serveur WSUS vous échouerez lamentablement car les 2 services créent tous les 2 un partage IIS qui s’appelle “Content”.

L’installation sur le disque du serveur et la console de gestion est une installation classique sous Windows, avec ses “suivant” et son “j’accepte”.

L’assistant de configuration se lance automatiquement à la fin de l’installation. Il est nécessaire de choisir s’il s’agit d’un premier site, d’un serveur supplémentaire sur un site existant ou d’un nouveau site. Dans notre cas ce sera un premier site.

Les étapes suivantes permettent de choisir les ports de communication, le nom du serveur, le mot de passe de chiffrement, le type de base de données utilisée (nous choisirons la base intégrée) et enfin le mot de passe administrateur. (A noter que le compte administrateur s’appelle admin). Lorsque le serveur est configuré, l’assistant de migration se lance, nous allons l’ignorer superbement.
Si vous voulez revenir sur vos réglages, le raccourci “Assistant de configuration de serveur de gestion” est disponible via le menu Démarrer.

Avant de passer au paramétrage du serveur nous allons configurer LiveUpdate pour s’assurer que le serveur pourra faire correctement ses mises à jours et récupérer celles des clients.
Pour cela Panneau de configuration => Symantec LiveUpdate

III- Configuration du serveur

Pour configurer le serveur nous allons lancer la console.
Elle est accessible via le menu Démarrer, il faudra indiquer le compte saisi lors de l’installation pour se connecter.

III-1 Configurer les mises à jour

Dans un premier temps, nous allons configurer les mises à jour :
Icône Administrateur => Serveurs => Site Local => Modifier les propriétés du site

Dans la fenêtre de configuration qui s’affiche l’onglet LiveUpdate est important, il permet de configurer les langues à télécharger et par défaut le Français n’est pas sélectionné.

Dans ce menu Serveurs je vous conseille de cliquer sur télécharger le contenu de LiveUpdate pour vérifier que le serveur parvient bien à récupérer les différentes mises à jour.

III-2 Configurer les politiques

Dans un second temps temps nous allons nous rendre dans politiques pour configurer les politiques par défaut des différents composants de Endpoint.
Par politique on entend la manière dont l’antivirus par exemple se comportera quand il rencontrera un virus, la planification des analyses, etc…

Icône Politiques => Sélectionner la politique => Modifier la politique

Important : dans le cadre de la configuration de la politique du composant Antivirus et Antispyware l’auto protect pour le courrier électronique doit être activé pour que sur les clients la protection Antivirus et Antisyware apparaisse comme activée.

A noter qu’il est possible de désactiver une politique, celle du Firewall par exemple, mais pour cela il faut d’abord choisir de modifier la politique. Quand je le disais que ce n’était pas intuitif…

III-3 Création et configuration d’un package d’installation à déployer

Nouveauté de SEPM, il faut maintenant créer le package qui va être déployé sur les clients.
Les packages les plus courants existent par défaut, en revanche par défaut il n’existe pas d’installation silencieuse. Pour en créer une :
Icône Administratreur => Paquets d’installation => Paramètres d’installation client => clic droit dans le volet droit => Ajouter

Une fenêtre s’affiche permettant de sélectionner les paramètres d’installation et notamment de paramétrer le redémarrage automatique, l’interaction avec l’utilisateur et l’écrasement des paramètres de config existants.

Reste maintenant a créer le package à lui assigner les paramètres d’installation que nous venons de créer. Pour cela :
Icône Administratreur => Paquets d’installation => Paquets d’installation Client => Exporter le paquet d’installation client

Pour information voici ma configuration du paquet :

• Le dossier d’exportation sera placé sur le disque dur du serveur. Ce n’est pas une obligation mais ça me semble logique.
• Les paramètres d’installation personnalisé : l’installation silencieuse que nous venons de créer.
• Les fonctionnalités à installer.
• Le client sera un client géré.
• Cocher Exporter les paquets avec les politiques…
• Paramètre du mode favori : Mode ordinateur

IV- Déploiement du client

Maintenant que le serveur est configuré, il nous reste à déployer le client. L’icône Clients est là qui nous tend les bras, mais génie de Symantec, ce n’est pas elle qui va nous permettre d’installer les clients. Il y a bien le menu Rechercher des ordinateurs non gérés qui peut-être utilisé mais on gardera plutôt cet outil pour ajouter les ordinateurs qui ne figurent pas dans la console, par exemple parce qu’ils étaient éteints au moment de l’installation.

Pour installer les clients nous allons utiliser l’outil ClientRemote.exe qui est situé, dans le cadre d’une installation dans C:\program files\ se trouve ici :

C:\Program Files\Symantec\Symantec Endpoint Protection Manager\tomcat\bin\

L’assistant de déploiement, puisque c’est de lui dont il s’agit, demande le chemin du package d’installation que nous avons exporté. Le réseau est browsé, il reste à ajouter les ordinateurs (un à un, toujours pas possible d’utiliser la touche Majuscule ou Control !!!) puis à fournir un compte disposant de droits d’administration sur les machines.

Quelques minutes après le déploiement, les machines sont visibles dans la console, en cliquant sur l’icône Clients.Par défaut ils apparaissent à la racine du groupe Temporary.

Interaction avec Active Directory :

La console permet de récupérer les groupes de machines depuis l’active Directory.
La première étape consistera à initier la connexion entre la console et l’AD
Icône Administrateur => Serveurs => Sélectionner le serveur => Modifier les propriétés du serveur => Serveurs d’annuaires

Maintenant que la communication avec l’Active Directory est configurée il reste à importer des OU.
Icône Clients => Onglet Clients => Importer une unité organisationnelle

A noter (c’est fou ce qu’il y a noter dans cet article) que lorsque le client est déployé sur des machines qui sont dans des OU importées elles se retrouvent automatiquement rangés dans leur OU. Je soupçonne qu’il soit possible de déployer le client sur les OU. Je n’y suis pas parvenu, l’onglet Paquets d’installation ne semble installer des paquets que lorsque le client a été préalablement déployé.

V- Remarques complémentaires

Il est possible de se connecter à la console depuis n’importe quel poste du réseau, depuis l’URL suivante :
http://nom_du_server:9090

Les clients communiquent avec le serveur via http (https???) en cas de problème de connexions pensez à vérifier la configuration des vos proxies notamment pour les structures qui ont mis en place la détection automatique du proxy et/ou qui ont des passerelles antivirales sur leurs proxies. Ces dernières ont tendance à prendre les signatures d’antivirus pour des virus.

Il existe un forum chez Symantec consacré à Endpoint. Malheureusement on y trouve beaucoup plus de questions que de réponses. Cela dit au cas où voici l’URL :
https://forums.symantec.com/syment/board?board.id=endpoint_protection11