ESET REMOTE ADMINISTRATOR 4 Manuel utilisateur

ESET
Remote Administrator 4
Manuel d'installation et guide de l'utilisateur
ESET Remote Administrator 4
Copyright © 2010 par ESET, spol. s r.o.
ESET Remote Administrator 4 a été développé par ESET, spol. s r.o.
Pour plus d'informations, visitez www.eset.com.
Tous droits réservés. Aucune partie de cette documentation ne peut
être reproduite, stockée dans un système d'archivage ou transmise
sous quelque forme ou par quelque moyen que ce soit, électronique,
mécanique, photocopie, enregistrement, numérisation ou autre sans
l'autorisation écrite de l'auteur.
ESET, spol. s r.o. se réserve le droit de modifier les applications décrites
sans préavis.
Assistance à la clientèle internationale : www.eset.eu/support
Assistance à la clientèle Amérique du Nord : www.eset.com/support
RÉV. 6.9.2010
Table des matières
3.4.12
Onglet
.....................................................................................30
Installation à distance
1. Introduction
..................................................5
3.5 Configuration
........................................................................30
de la ERA Console
3.5.1
Onglet
.....................................................................................30
Connexion
1.1 Nouveautés
........................................................................5
3.5.2
Onglet
.....................................................................................31
Colonnes - Afficher/Masquer
3.5.3
Onglet
.....................................................................................31
Couleurs
1.2 Architecture
........................................................................7
du programme
3.5.4
Onglet
.....................................................................................31
Chemins
3.5.5
Onglet
.....................................................................................31
Date/Heure
2. Installation de ERA Server et de la ERA
3.5.6
Onglet
.....................................................................................31
Autres paramètres
Console
..................................................8
3.6 Modes
........................................................................32
d'affichage
2.1 Configuration
........................................................................8
requise
3.7 ESET........................................................................32
Configuration Editor
2.1.1
Configuration
.....................................................................................8
logicielle
3.7.1
Superposition
.....................................................................................33
de configuration
2.1.2
Exigences
.....................................................................................8
de performances
3.7.2
Entrées
.....................................................................................34
de configuration clés
2.1.3
Ports
.....................................................................................10
utilisés
2.2 Guide........................................................................11
d'installation de base
4. Installation
..................................................36
des solutions client ESET
2.2.1
Vue d'ensemble de l'environnement (structure du
........................................................................36
directe
réseau)
.....................................................................................11 4.1 Installation
2.2.2
Avant
.....................................................................................12
l'installation
4.2 Installation
........................................................................36
à distance
2.2.3
Installation
.....................................................................................12
4.2.1
Configuration
.....................................................................................39
requise
2.2.3.1
installation
.......................................................................................12
du ERA Server
4.2.2
Configuration de l'environnement pour une
2.2.3.1.1 Installation
......................................................................................13
en mode cluster
installation
.....................................................................................39
à distance
2.2.3.2 installation
.......................................................................................13
du ERA Console
4.2.3
Installation
.....................................................................................40
poussée à distance
2.2.3.3 Miroir
.......................................................................................14
4.2.4
Installation à distance par ouverture de session ou
2.2.3.4 Types de base de données pris en charge par le ERA
par
.....................................................................................43
Email
Server
.......................................................................................14
4.2.5
Installation
.....................................................................................45
à distance personnalisée
2.2.3.4.1 Configuration
......................................................................................14
de base
4.2.6
Mise
.....................................................................................46
à niveau
2.2.3.4.2 Configuration
......................................................................................15
de connexion de base de données
4.2.7
Éviter
.....................................................................................46
des installations répétées
2.2.3.4.3 Installation
......................................................................................16
sur une base de données existante
4.3 Installation
........................................................................47
dans un environnement d'entreprise
2.3 Scénario - Installation dans un environnement
d'entreprise
........................................................................17
5. Administration
..................................................48
d'ordinateurs client
2.3.1
Vue d'ensemble de l'environnement (structure du
réseau)
.....................................................................................17 5.1 Tâches
........................................................................48
2.3.2
Installation
.....................................................................................17
5.1.1
Tâche
.....................................................................................49
de configuration
2.3.2.1
Installation
.......................................................................................17
au siège central
5.1.2
Tâche
.....................................................................................49
Analyse à la demande
2.3.2.2 Filiale
.......................................................................................18
: installation du ERA Server
5.1.3
Tâche
.....................................................................................50
Mettre à jour maintenant
2.3.2.3 Filiale
.......................................................................................18
: installation du serveur Miroir HTTP
5.1.4
Tâche
.....................................................................................50
de script SysInspector
2.3.2.4 Filiale
.......................................................................................18
: installation à distance sur des clients
5.1.5
Tâche
.....................................................................................50
Restaurer/Supprimer depuis la quarantaine
2.3.3
Autres exigences pour les environnements
5.1.6
Tâche Générer un journal de vérification de
d'entreprise
.....................................................................................18
sécurité
.....................................................................................51
5.1.7
Tâche
.....................................................................................51
Afficher la notification
3. Utilisation
..................................................20
de ERAC
5.1.8
Tâche
.....................................................................................51
interactive
5.2 Gestionnaire
........................................................................52
de groupes
3.1 Connexion
........................................................................20
à ERAS
5.2.1
Groupes
.....................................................................................53
statiques
3.2 ERAC........................................................................21
- fenêtre principale
5.2.2
Groupes
.....................................................................................53
paramétriques
3.3 Filtrage
........................................................................22
des informations
5.2.3
Synchronisation
.....................................................................................54
Active Directory
3.3.1
Filtre
.....................................................................................22 5.3 Stratégies
........................................................................55
3.3.2
Menu
.....................................................................................23
contextuel
5.3.1
Principes
.....................................................................................55
de base et fonctionnement
3.3.3
Mode
.....................................................................................24
d'affichage
5.3.2
Comment
.....................................................................................55
créer des stratégies
3.4 Onglet
........................................................................24
dans ERAC
3.4.1
Description
.....................................................................................24
générale des onglets et des clients
3.4.2
Réplication et informations sous les onglets
individuels
.....................................................................................25
3.4.3
Onglet
.....................................................................................25
Clients
3.4.4
Onglet
.....................................................................................28
Journal des menaces
3.4.5
Onglet
.....................................................................................28
Journal de pare-feu
3.4.6
Onglet
.....................................................................................29
Journal des événements
3.4.7
Onglet
.....................................................................................29
Journal d'analyse
3.4.8
Onglet
.....................................................................................29
Journal mobile
3.4.9
Onglet
.....................................................................................30
Quarantaine
3.4.10
Onglet
.....................................................................................30
Tâches
3.4.11
Onglet
.....................................................................................30
Rapports
5.3.3
5.3.4
5.3.5
5.3.6
5.3.7
5.3.7.1
5.3.7.2
5.3.7.3
5.3.8
5.3.9
5.3.10
Stratégies
.....................................................................................56
virtuelles
Rôle et objectif des stratégies dans la structure
arborescente
.....................................................................................56
de stratégie
Affichage
.....................................................................................57
des stratégies
Importation/exportation
.....................................................................................57
de stratégies
Attribution
.....................................................................................57
de stratégies à des clients
Stratégie
.......................................................................................58
de clients principaux par défaut
Attribution
.......................................................................................58
manuelle
Règles
.......................................................................................58
de stratégie
Suppression
.....................................................................................59
de stratégies
Paramètres
.....................................................................................60
spéciaux
Scénarios
.....................................................................................61
de déploiement de stratégie
5.3.10.1 Chaque serveur est une unité autonome et les
stratégies
.......................................................................................61
sont définies localement
5.3.10.2 Chaque serveur est administré individuellement ;
les stratégies sont gérées localement mais la
stratégie parent par défaut est héritée du serveur
de
.......................................................................................62
niveau supérieur
5.3.10.3 Héritage de stratégies d'un serveur de niveau
supérieur
.......................................................................................63
5.3.10.4 Attribution de stratégies uniquement à partir du
serveur
.......................................................................................64
de niveau supérieur
5.3.10.5 Utilisation
.......................................................................................64
de règles de stratégie
5.3.10.6 Utilisation
.......................................................................................65
de groupes
10.1 FAQ........................................................................91
10.1.1
Problèmes d'installation d'ESET Remote
Administrator sur un serveur Windows
2000/2003
.....................................................................................91
10.1.2
Quelle
.....................................................................................91
est la signification du code d'erreur GLE ?
10.2 Codes
........................................................................91
d'erreur fréquemment rencontrés
10.2.1
Messages d'erreur affichés lors de l'utilisation de
ESET Remote Administrator pour installer à
distance ESET Smart Security ou ESET NOD32
Antivirus
.....................................................................................91
10.2.2
Codes d'erreur fréquemment rencontrés dans
era.log
.....................................................................................92
5.4 Notifications
........................................................................65
10.3 Comment
........................................................................93
diagnostiquer des problèmes avec ERAS ?
5.4.1
Gestionnaire
.....................................................................................66
de notifications
5.4.1.1
Notifications
.......................................................................................71
via interruption SNMP
11. Conseils
..................................................94
et astuces
5.4.2
Création
.....................................................................................71
de règle
5.5 Informations
........................................................................72
détaillées de clients
11.1 Planificateur
........................................................................94
5.6 Quarantaine
........................................................................73
centralisée
11.2 Suppression
........................................................................96
de profils
6. Assistant
..................................................74
Fusion des règles de pare-feu
11.3 Exportation et autres fonctions de configuration XML
des ........................................................................97
clients
7. Rapports
..................................................75
11.4 Mise........................................................................98
à jour combinée pour les portables
7.1 Scénario
........................................................................77
d'exemple de rapport
8. Configuration du serveur ESET Remote
Administrator
..................................................79
(ERAS)
11.5 Installation
........................................................................99
de produits tiers à l'aide d'ERA
12. ..................................................100
ESET SysInspector
12.1 Introduction
........................................................................100
à ESET SysInspector
12.1.1
.....................................................................................100
Démarrer ESET SysInspector.
8.1 Sécurité
........................................................................79 12.2 Interface
........................................................................100
utilisateur et utilisation de l'application
8.2 Maintenance
........................................................................79
du serveur
12.2.1
Contrôles
.....................................................................................101
du programme
12.2.2
Navigation
.....................................................................................102
dans ESET SysInspector
8.3 Serveur
........................................................................80
Miroir
12.2.3
Comparer
.....................................................................................103
8.3.1
Utilisation
.....................................................................................81
du serveur Miroir
12.3 Paramètres
........................................................................104
de la ligne de commande
8.3.2
Types
.....................................................................................81
de mises à jour
8.3.3
Activation
.....................................................................................82
et configuration du Miroir
12.4 Script
........................................................................104
de service
8.3.4
Miroir
.....................................................................................84
pour les clients avec NOD32 version 2.x
12.4.1
Création
.....................................................................................105
d'un script de service
8.4 Réplication
........................................................................84
12.4.2
Structure
.....................................................................................105
du script de service
12.4.3
Exécution
.....................................................................................107
des scripts de service
8.5 Journalisation
........................................................................86
12.5 Raccourcis
........................................................................108
8.6 Gestion
........................................................................86
de licences
12.6 Configuration
........................................................................109
requise
8.7 Paramètres
........................................................................87
avancés
12.7 FAQ
........................................................................110
8.8 Autres
........................................................................88
paramètres
9. ESET Remote Administrator
Maintenance
..................................................89
Tool
13. ESET
..................................................112
SysRescue
13.1 Configuration
........................................................................112
minimale requise
13.2 Procédure
........................................................................112
de création d'un CD de dépannage
13.2.1
Dossiers
.....................................................................................113
9.2 Type........................................................................89
de tâche
13.2.2
Antivirus
.....................................................................................113
ESET
9.2.1
Arrêter
.....................................................................................89
le ERA Server
13.2.3
Paramètres
.....................................................................................113
avancés
9.2.2
Démarrer
.....................................................................................89
le ERA Server.
13.2.4
Périphérique
.....................................................................................113
USB d'amorçage
9.2.3
Transfert
.....................................................................................89
de base de données
13.2.5
Graver
.....................................................................................113
9.2.4
Sauvegarde
.....................................................................................90
d'une base de données
13.3 Utilisation
........................................................................114
de ESET SysRescue
9.2.5
Restauration
.....................................................................................90
de la base de données
13.3.1
Utilisation
.....................................................................................114
de ESET SysRescue
9.2.6
Supprimer
.....................................................................................90
des tables
9.2.7
Installer
.....................................................................................90
une nouvelle clé de licence
9.2.8
Modifier
.....................................................................................90
la configuration du serveur
9.1 Informations
........................................................................89
d'ERA Server
10. Dépannage
..................................................91
1. Introduction
La solution ESET Remote Administrator (ERA) est une application permettant de gérer des produits d'ESET dans un
environnement de réseau comprenant des stations de travail et des serveurs à partir d'un emplacement central. Le
système de gestion des tâches intégré dans la solution ESET Remote Administrator permet d'installer des solutions de
sécurité ESET sur des ordinateurs distants et de réagir rapidement à de nouveaux problèmes et menaces.
La solution ESET Remote Administrator en elle-même n'offre aucune autre forme de protection contre le code
malveillant. ERA dépend de la présence sur les stations de travail ou les serveurs d'une solution de sécurité ESET telle
que ESET NOD32 Antivirus ou ESET Smart Security.
Pour effectuer le déploiement complet d'un portefeuille de solutions de sécurité ESET, procédez comme suit :
Installation du ERA Server (ERAS),
Installation de la ERA Console (ERAC),
Installation sur des ordinateurs client (ESET NOD32 Antivirus, ESET Smart Security, client Linux ESET Security, etc…).
REMARQUE : certaines parties de ce document utilisent des variables système faisant référence à l'emplacement précis
de dossiers et de fichiers :
%ProgramFiles% = généralement C:\Program Files
%ALLUSERSPROFILE% = généralement C:\Documents and Settings\All Users
1.1 Nouveautés
ESET Remote Administrator Version 4.0
- Prise en charge de ESET Smart Security/ESET NOD32 Antivirus 4.2
- Prise en charge de ESET Mail Security 4 for Microsoft Exchange Server
- Prise en charge des solutions de sécurité pour ordinateurs de bureau Linux/Mac (ESET NOD32 Antivirus 4)
- Prise en charge de ESET Mobile Security
Nouvelles fonctionnalités
- Installation à distance ; nouvelle conception
- Gestion de groupes ; nouvelle conception (groupes statiques, groupes paramétriques, synchronisation améliorée
d'Active Directory)
- Filtre ; fonctionnalité améliorée (filtres de stratégie, filtres de groupes statiques et paramétriques)
- Stratégies ; nouveaux paramètres dans les règles de stratégie (prise en charge des groupes paramétriques),
importation/exportation de stratégies et de règles de stratégie, fusion de tâches de planificateur, Assistant Règles de
stratégie
- Notifications ; prise en charge des groupes paramétriques + plusieurs améliorations mineures
- Vue centralisée de la quarantaine des clients (pour clients ESS/EAV v4 et versions ultérieures)
- Rapports ; prise en charge des groupes statiques et paramétriques, nouveaux types de rapports (journal mobile,
quarantaine, pare-feu), nouveaux modèles
- Assistant Fusion des règles de pare-feu ; Assistant pour fusionner les règles créées en mode d'apprentissage
- Authentification Windows/domaine de l'utilisateur ERA Console
- Prise en charge du cluster passif Windows
- Prise en charge l'installation sur des versions plus anciennes (3.x, 2.x, 1.x) de ERA, y compris la migration de données
- Chiffrement des communications selon AES-256
Nouveau ESET Configuration Editor
- Prise en charge des nouveaux produits de sécurité ESET
- Prise en charge des nouvelles fonctionnalités de ERA Server
- Fichiers de licence compressés
- Possibilité d'ajouter des tâches planifiées prédéfinies
ESET Remote Administrator Version 3.0
- Prise en charge des produits de sécurité ESET 4.x
- Prise en charge des solutions Linux
5
Nouvelles fonctionnalités
- Gestion de stratégies
- Gestionnaire de notifications
- Accès en lecture seule à la console
- Prise en charge de ESET SysInspector
- Modularité améliorée du transfert de données
- Suppression des clients répliqués
- Fusion de clés de licence/Gestionnaire de licences/
- Miroir pour ESET NOD32 Antivirus 2.x
- Nouvelle configuration
- Option de filtrage basée sur le domaine ajoutée dans Chercher ordinateurs non enregistrés
- Compression des journaux du serveur (zip)
- Bogues mineurs corrigés et plusieurs fonctionnalités mineures ajoutées
- CD de récupération
Amélioration du serveur interne
- Prise en charge de bases de données supplémentaires (MS Access, MS SQL Server, Oracle, MySQL)
Nouveau ESET Configuration Editor
- Prise en charge des produits de sécurité ESET 4.x
ESET Remote Administrator Version 2.0
- Prise en charge des nouveaux produits de sécurité ESET version 3 (ESET Smart Security, ESET NOD32 Antivirus).
- Nouveaux journaux (nouvelles colonnes, journaux du pare-feu personnel ESET)
- Nouvelles informations d'état du client pour les clients version 3 (État de la protection, Fonctionnalités de protection,
Informations système)
- Tâches (configuration, mettre à jour maintenant, analyse à la demande, tâche interactive)
- Prend encore en charge les produits NOD32 version 2
Nouvelles fonctionnalités
- Identification du client étendue (adresse MAC ajoutée)
- Installation à distance étendue (prise en charge de packages msi et personnalisés)
- Amélioration de la sécurité (possibilité de chiffrement de tous les nouveaux clients du serveur)
- Améliorations des performances (compression dans le protocole de communication)
- Ajout du transfert de données ThreatSense.Net via le ERA Server
- Amélioration de l'interface utilisateur graphique (nouveaux graphiques, coloration de l'état améliorée, filtres étendus,
boîtes de dialogue redimensionnables)
- Nouveau modèle de rapport (configuration ESS)
- Surveillance des performances du serveur (données, requêtes)
- Fonctionnalité de mise à jour dans le ERA Server (autorise la mise à jour d'informations importantes)
- Fonctionnalité de miroir dans ERA Server
- Installation à distance étendue (prise en charge des packages msi et personnalisés, possibilité d'installation à distance
d'ERA, diagnostic)
Amélioration du serveur interne
- Nouvelle réplication (priorité de réplication, meilleure réplication multiniveau)
- Nouvelle structure de base de données
- Nouvelle structure de répertoires
- Améliorations de la sécurité interne
Nouveau ESET Configuration Editor
- Prise en charge des produits de sécurité ESET version 2 et version 3
- Possibilité de configurer le ERA Server
- Autres nouvelles fonctionnalités mineures (recherche, paramètres personnalisés)
Nouveau programme d'installation (MSI)
- Migration de base de données de versions précédentes
Nouvelle documentation (aide, manuel)
6
1.2 Architecture du programme
Techniquement, ESET Remote Administrator comprend deux composants distincts : le ERA Server (ERAS) et la ERA
Console (ERAC). Vous pouvez exécuter un nombre illimité de ERA Server et de consoles au sein de votre réseau car le
contrat de licence ne prévoit aucune limite à cet égard. La seule limite imposée porte sur le nombre total de clients que
votre installation d'ERA peut administrer.
ERA Server (ERAS)
Le composant serveur d'ERA s'exécute comme service sous les systèmes d'exploitation de technologie Microsoft
Windows® NT suivants : NT4 SP6, 2000, XP, 2003, Vista et 2008. La principale tâche de ce service est de collecter des
informations de clients et de leur envoyer diverses requêtes. Ces requêtes, y compris les tâches de configuration, les
requêtes d'installation à distance, etc., sont créées via la ERA Console (ERAC). ERAS est un point de rencontre entre
l'ERAC et les ordinateurs client, un lieu où toutes les informations sont traitées, maintenues ou modifiées avant d'être
transférées aux clients ou à l'ERAC.
ERA Console (ERAC)
ERAC est le composant client d'ERA, généralement installé sur une station de travail. Cette dernière est utilisée par
l'administrateur pour contrôler à distance des solutions ESET sur des clients individuels. ERAC permet à l'administrateur
de se connecter au composant serveur d'ERA sur le port TCP 2223. La communication est contrôlée par le processus
console.exe, généralement situé dans le répertoire suivant :
%ProgramFiles%\ESET\ESET Remote Administrator\Console
Lors de l'installation d'ERAC , il se peut que vous deviez saisir un nom d'ERAS. Au démarrage, la console sera
automatiquement connectée à ce serveur. ERAC peut également être configurée après l'installation.
7
2. Installation de ERA Server et de la ERA Console
2.1 Configuration requise
ERAS fonctionne en tant que service. Il a donc besoin d'un système d'exploitation de technologie Microsoft Windows
NT (NT4 SP6, 2000, XP, 2003, Vista, 7 ou 2008). Bien que ERAS n'a pas besoin de Microsoft Windows Server Edition
pour fonctionner, il est conseillé d'installer ERAS sur un système d'exploitation de technologie serveur pour garantir un
bon fonctionnement. Un ordinateur sur lequel ERAS est installé doit toujours être en ligne et accessible via un réseau
informatique par :
des clients (généralement des stations de travail) ;
un PC avec ERA Console ;
d'autres instances d'ERAS (en cas de réplication).
REMARQUE : ESET Remote Administrator 4 prend complètement en charge l'installation sur des versions plus
anciennes (3.x, 2.x, 1.x), y compris la migration de données.
2.1.1 Configuration logicielle
ERA Server
Systèmes d'exploitation 32 bits :Windows NT4 SP6 et suivants
Systèmes d'exploitation 64
Windows XP et suivants
bits :
Bases de données :
Microsoft Access (intégré)
Microsoft SQL Server 2005 et versions ultérieures
MySQL 5.0 et versions ultérieures
ORACLE 9i et versions ultérieures
Windows Installer :
2.0
ERA Console
Systèmes d'exploitation 32
bits :
Systèmes d'exploitation 64
bits :
Windows Installer :
Internet Explorer :
Windows 2000 et suivants
Windows XP et suivants
2.0
version 6.0 recommandée, minimum 4.0 (certains rapports peuvent ne pas s'afficher
correctement)
2.1.2 Exigences de performances
Les performances du serveur peuvent varier en fonction des paramètres suivants :
1. Base de données utilisée
Base de données MS Access, installée avec le serveur par défaut. Cette solution est recommandée pour plusieurs
centaines de clients. Toutefois, la taille de la base de données est limitée à 2 Go. Par conséquent, il faudra activer
les nettoyages sur le serveur et définir un intervalle (sous Outils > Options du serveur > Maintenance du
serveur) pour la suppression des anciennes données.
Les autres bases de données (MySQL, MSSQL, ORACLE) requièrent une installation séparée, mais cela peut
améliorer les performances du serveur. Il est primordial d'utiliser le matériel adéquat pour chaque moteur de base
de données (principalement ORACLE) selon les recommandations techniques du distributeur.
Si vous choisissez ORACLE pour votre solution de base de données, vous devez définir un nombre de curseur
supérieur à la valeur Nombre maximum de connexions actives (sous Outils > Options du serveur >
Paramètres avancés > Modifier les paramètres avancés > Paramètres avancés ; la valeur par défaut est 500).
Le nombre définitif de curseurs doit tenir compte du nombre de serveurs de niveau inférieur (en cas d'utilisation
de la réplication) et de curseurs utilisés par d'autres applications qui accèdent au moteur de base de données.
En général, les performances du serveur sont meilleures en cas d'utilisation de bases de données externes (à
savoir, installées sur une autre machine).
8
2. Intervalle de connexion du client
L'intervalle de connexion du client est de 10 minutes par défaut dans ESET Smart Security / ESET NOD32 Antivirus
version 4.2 et supérieures. Si l'état des clients doit être actualisé plus ou moins souvent que l'intervalle par défaut,
vous pouvez modifier la valeur. N'oubliez pas qu'un intervalle de connexion de client plus court aura un effet sur
les performances du serveur.
3. Nombre moyen d'événements signalés par les clients par connexion
Toute information envoyée par un client vers un serveur est reprise sous cet événement en particulier (p. ex.,
journal des menaces, journal des événements, journal d'analyse, modification de la configuration). Ce paramètre
ne peut pas être directement modifié mais il peut être altéré si d'autres paramètres qui lui sont pertinents sont
changés. Par exemple, dans la configuration avancée du serveur (sous Outils > Options du serveur >
Maintenance du serveur) vous pouvez définir le nombre maximum de journaux qui peuvent être acceptés par le
serveur (ce paramètre inclut les clients qui se connectent directement ainsi que les clients répliqués). Dans un
contexte de fonctionnement régulier, la moyenne à long terme peut être estimée à 1 événement toutes les 4
heures par client.
4. Matériel et système d'exploitation utilisés
Il est vivement conseillé d'utiliser la configuration matériel minimum recommandée pour le système d'exploitation
du serveur, en tenant compte du nombre de clients à servir.
Surcharge
Si le serveur est surchargé (p. ex., nous connectons 20 000 clients à un serveur qui ne peut accepter que 10 000 clients
toutes les 10 minutes), il passera certains des clients connectés. En moyenne, une connexion client sur deux sera
traitée, comme si l'intervalle de connexion du client était de 20 minutes au lieu de 10. Chaque déni de service sera
consigné de la manière suivante : "<SERVERMGR_WARNING> ServerThread: nombre maximum de threads pour les
connexions actives a été atteint (500), le serveur passera cette connexion". Des dénis de service peuvent également se
produire lors de surcharges temporaires du serveur.
Vous pouvez modifier la valeur du paramètre Nombre maximum de connexions actives (500 par défaut) dans les
paramètres avancés du serveur, mais cette opération est à réserver aux cas exceptionnels (p. ex., pour la résolution de
problèmes particuliers). En cas de surplus de ressources système et de performances du moteur de base de données,
vous pouvez utiliser ce paramètre pour adapter les performances globales du serveur.
Transfert de données via un réseau
Pendant le fonctionnement standard d'un serveur, on estime qu'une client qui se connecte toutes les 10 minutes
signalera 0,04 événement par connexion, soit 1 événement signalé toutes les 4 heures par client. Cela produira environ
2 Ko de trafic par connexion.
En cas d'épidémie de virus, lorsqu'un client signale 7 événements chaque fois qu'il se connecte, le trafic peut augmenter
jusqu'à 240 Ko par connexion. Si vous utilisez la compression (par défaut), le poids des données transférées sera réduit
d'environ 50 %, soit à peu près 120 Ko par connexion.
Les données portent sur les connexions client directes et ignorent les connexions répliquées. La réplication a lieu bien
moins souvent et sert à envoyer de nouveaux événements depuis des serveurs de niveau inférieur. Les événements qui
seront répliqués automatiquement et le niveau de verbosité peuvent être configurés dans les paramètres avancés du
serveur (sous Outils > Options du serveur > Paramètres avancés > Modifier les paramètres avancés > Réplication).
La section Maintenance du serveur permet de configurer le niveau maximum de journaux que le serveur de niveau
supérieur acceptera. Ce paramètre s'applique aux clients qui se connectent directement et aux clients répliqués.
Exigences au niveau des capacités de stockage
L'installation neuve du produit avec une base de données MS Access utilise jusqu'à 60 Mo sur le disque dur.
La majorité de l'espace de stockage est occupé par les événements du client stockés dans la base de données et dans un
référentiel sur le disque (le répertoire par défaut est C:\Documents and Settings\All Users\Application Data\Eset\ESET
Remote Administrator\Server). ERA requiert au moins 5 % d'espace disponible sur le disque. Si ce minimum est dépassé, le
serveur arrêtera de recevoir certains des événements des clients. Ce paramètre est accessible via Outils > Option du
serveur > Paramètres avancés > Modifier les paramètres avancés > Paramètres avancés > Utilisation d'espace
disque maximale. Il faut compter environ 10 Go d'espace disponible pour 1 000 clients en cas d'utilisation normale avec
les paramètres de nettoyage par défaut (suppression d'événements de plus de 3 mois).
Étude de cas
Un serveur utilisant une base de données MS Access avec des clients qui se connectent toutes les 5 minutes et qui
signalent en moyenne 7 événements (p. ex., journal des menaces, journal des événements, journal d'analyse,
modification de la configuration, etc.) par connexion peut servir temporairement jusqu'à 3 000 clients. Ce scénario
décrit une surcharge temporaire, par exemple la signalisation d'événements en cas d'épidémie de virus, etc.
Si le serveur utilise une base de données MySQL externe et que l'intervalle de connexion du client est de 10 minutes
9
(donnant 0,02 événement par connexion), le nombre maximum de clients que le serveur sera en mesure de servir
passe à 30 000. Un tel scénario démontre les performances optimales de la base de données avec des clients qui
signalent un nombre relativement restreint d'événements.
Dans le cadre d'une utilisation normale, l'utilisation d'une base de données MS Access avec un intervalle de connexion
de client de 10 minutes permet de servir un maximum de 10 000 clients.
2.1.3 Ports utilisés
Le diagramme ci-dessous présente les communications réseau pouvant être utilisées une fois ERAS installé. Le
processus EHttpSrv.exe écoute sur le port TCP 2221 et le processus era.exe sur les ports TCP 2222, 2223, 2224 et 2846.
Les autres communications sont effectuées à l'aide des processus natifs du système d'exploitation (p. ex., « NetBIOS sur
TCP/IP »).
Protocole
Port
Description
TCP
2221 (ERAS à l'écoute)
Port par défaut utilisé par la fonctionnalité Miroir intégrée dans ERAS
(version HTTP)
TCP
2222 (ERAS à l'écoute)
Communication entre clients et ERAS
TCP
2223 (ERAS à l'écoute)
Communication entre ERAC et ERAS
Si toutes les fonctionnalités de l'application sont utilisées, les ports réseau suivants doivent être ouverts :
Protocole
Port
TCP
2224 (ERAS à l'écoute)
TCP
2846 (ERAS à l'écoute)
TCP
139 (port cible du point de vue d'ERAS)
UDP
137 (port cible du point de vue d'ERAS)
UDP
138 (port cible du point de vue d'ERAS)
TCP
445 (port cible du point de vue d'ERAS)
Description
Communication entre l'agent einstaller.exe et ERAS
durant une installation à distance
réplication d'ERAS
Copie de l'agent einstaller.exe à partir d'ERAS vers un
client à l'aide du partage admin$
« Résolution de nom » durant une installation à
distance.
« Navigation » durant une installation à distance.
Accès direct à des ressources partagées à l'aide du
protocole TCP/IP durant une installation à distance
(alternative à TCP 139).
Il est possible de modifier les ports prédéfinis 2221, 2222, 2223, 2224 et 2846 s'ils sont déjà utilisés par d'autres
applications.
Pour modifier les ports par défaut utilisés par ERA, cliquez sur Outils > Options du serveur... Pour modifier le port 2221,
sélectionnez l'onglet Mises à jour, puis modifiez la valeur Port du serveur HTTP. Vous pouvez modifier les ports 2222,
2223, 2224 et 2846 dans la section Ports sous l'onglet Paramètres avancés.
Vous pouvez également modifier les ports prédéfinis 2222, 2223, 2224 et 2846 en mode d'installation avancée (ERAS).
10
2.2 Guide d'installation de base
2.2.1 Vue d'ensemble de l'environnement (structure du réseau)
Un réseau de société est composé généralement d'un réseau local (LAN). Nous suggérons donc d'installer ERAS et un
serveur Miroir. Le serveur Miroir peut être créé soit dans ERAS, soit dans ESET NOD32 Antivirus Business Edition/ESET
Smart Security Business Edition.
Supposons que tous les clients sont des stations de travail et des portables Microsoft Windows 2000/XP/Vista/7 mis en
réseau à l'intérieur d'un domaine. Le serveur nommé GHOST est en ligne en permanence et peut être une station de
travail Windows Professionnel ou Windows Server (ce ne doit pas être un serveur Active Directory). En outre,
supposons que les portables ne soient pas présents dans le réseau de la société durant l'installation des solutions client
d'ESET. La structure du réseau pourrait ressembler à celle présentée ci-dessous :
11
2.2.2 Avant l'installation
Avant de procéder à l'installation, vous devez télécharger les packages d'installation suivants du site Web d'ESET :
Composants de ESET Remote Administrator :
ESET Remote Administrator - Serveur
ESET Remote Administrator - Console
Solutions client d'ESET :
ESET Smart Security 4.x
ESET Smart Security 3.x
ESET NOD32 Antivirus 4.x
ESET NOD32 Antivirus 3.x
ESET NOD32 Antivirus 2.7
Ne téléchargez que les solutions client que vous utiliserez sur des stations de travail client.
2.2.3 Installation
2.2.3.1 installation du ERA Server
Installez ERAS sur le serveur nommé GHOST (voir l'exemple dans la section Vue d'ensemble de l'environnement
Vous pouvez sélectionner le mode d'installation Par défaut ou Avancé.
11
).
Si vous sélectionnez le mode Par défaut, le programme vous invite à insérer une clé de licence, ce fichier portant
l'extension .lic ou .zip qui assure le fonctionnement d'ERAS pendant la période définie dans la licence. Ensuite, le
programme vous demande de définir les paramètres de mise à jour (nom d'utilisateur, mot de passe et serveur de mise
à jour). Vous pouvez également passer à l'étape suivante et saisir les paramètres de mise à jour ultérieurement.
Si vous sélectionnez le mode d'installation Avancé, le programme d'installation propose de définir des paramètres
supplémentaires. Vous pouvez modifier ces paramètres ultérieurement via ERAC, mais, dans la plupart des cas, ce n'est
pas nécessaire. La seule exception est le nom de serveur qui doit être identique au nom DNS, ou la valeur %
COMPUTERNAME % de votre système d'exploitation ou l'adresse IP attribuée à l'ordinateur. Il s'agit de l'élément
d'information le plus essentiel pour l'exécution d'une installation à distance. Si aucun nom n'est défini pendant
l'installation, le programme d'installation fournira automatiquement la valeur de la variable système %
COMPUTERNAME%, ce qui suffit dans la majorité des cas. Il est également important de sélectionner la base de
données exacte dans laquelle les informations ERAS seront stockées. Pour obtenir des informations supplémentaires,
consultez le chapitre Types de base de données pris en charge par le ERA Server 14 .
Important : les versions récentes de Microsoft Windows (Windows Vista, Windows Server 2008 et Windows 7)
appliquent des stratégies de sécurité qui limitent les autorisations des comptes d'utilisateur local, ce qui signifie que
l'utilisateur ne pourra peut-être pas exécuter certaines opérations de réseau. Si votre service ERA est exécuté sous un
compte d'utilisateur local, des problèmes d'installation poussée pourraient survenir dans certaines configurations de
réseau (par exemple, lors de l'installation à distance depuis un domaine vers un groupe de travail). En cas d'utilisation de
Windows Vista, Windows Server 2008 ou Windows 7, il est conseillé d'exécuter le service ERA sous des comptes
possédant les privilèges de réseau suffisants. Vous pouvez désigner le compte d'utilisateur sous lequel vous souhaitez
exécuter ERA dans le scénario d'installation avancée.
Remarque: Malgré la prise en charge totale d'Unicode par ERA Server, le serveur convertit dans certains cas les
caractères en caractères ANSI ou inversement (e-mail ou nom d'ordinateur par exemple). Dans ces cas-là, le paramètre
de langue pour programmes non-Unicode est utilisé. Nous vous recommandons de modifier ce paramètre pour qu'il
corresponde aux paramètres régionaux de l'environnement serveur, même si vous n'utilisez pas de version traduite
d'ERA (si vous utilisez la version en anglais). Vous trouverez ce paramètre dans Panneau de configuration > Options
régionales et linguistiques, dans l'onglet Avancé.
Par défaut, les composants du programme ERAS sont installés dans le dossier suivant :
%ProgramFiles%\ESET\ESET Remote Administrator\Server
Les autres composants de données, tels que les journaux, les packages d'installation, la configuration, etc. sont stockés
dans :
12
%ALLUSERSPROFILE%\Application Data \ESET\ESET Remote Administrator\Server
Le service ERAS est lancé automatiquement après l'installation. L'activité du service ERAS est enregistrée dans
l'emplacement suivant :
%ALLUSERSPROFILE%\Application Data\ESET\ESET Remote Administrator\Server\logs\era.log
Installation via la ligne de commande
ERAS peut être installé à l'aide des paramètres suivants de la ligne de commande :
/q : installation sans assistance. Aucune intervention de l'utilisateur n'est possible. Aucune boîte de dialogue n'apparaît.
/qb : aucune intervention de l'utilisateur n'est possible, mais le processus d'installation est indiqué par une barre de
progression.
Exemple : era_server_nt32_ENU.msi /qb
Les paramètres et la configuration de l'installation via la ligne de commande peuvent être complétés par le fichier « cfg.
xml », le fichier de configuration .xml de l'administrateur qui doit se trouver dans le même dossier que le fichier
d'installation msi d'ERA. Le fichier de configuration peut être créé dans ESET Configuration Editor et permet de
configurer divers paramètres d'ERA. Consultez le chapitre ESET Configuration Editor 32 pour plus d'informations.
2.2.3.1.1 Installation en mode cluster
Le scénario d'installation avancée permet également d'activer l'installation en mode cluster. Si l'installation en mode
cluster est activée, il faudra désigner le chemin d'accès à un dossier de données partagé de cluster accessible par tous les
nœuds du cluster (tous les nœuds doivent avoir un accès en lecture/écriture à ce dossier). Il peut s'agir d'un disque
quorum ou d'un dossier partagé UNC. En cas d'utilisation d'un dossier partagé, il faut activer le partage pour les
ordinateurs dans les propriétés du dossier partagé. Le nom du nœud du cluster doit ensuite être ajouté aux
Autorisations de partage avec tous les privilèges.
Il faut installer le ERA Server individuellement sur chaque nœud du cluster. En cas d'utilisation d'une base de données
autre que la base de données MS Access intégrée, il faut bien veiller à ce que tous les nœuds du serveur ERA Server se
connectent à la même base de données. Au cours de l'étape suivante, il est important de définir le nom du nœud de
cluster où ERA sera installé en tant que nom de serveur.
Important : il faut configurer le service ESET Remote Administrator Server (ERA_SERVER) en tant que service générique
du cluster dans la console Cluster Administrator.
Si vous avez l'intention de désinstaller le ERA Server, il faut d'abord désactiver le nœud de cluster.
2.2.3.2 installation du ERA Console
Installez la ESET Remote Administrator Console sur le PC/portable de l'administrateur. À la fin de l'installation en mode
Avancé, saisissez le nom du ERA Server (ou son adresse IP) auquel l'ERAC se connecte automatiquement au démarrage.
Elle est nommée GHOST dans notre exemple.
Après l'installation, lancez ERAC, puis vérifiez la connexion à ERAS. Par défaut, aucun mot de passe n'est requis pour se
connecter à un ERA Server (le champ de texte du mot de passe est vide) mais il est fortement recommandé d'en définir
un. Pour créer un mot de passe de connexion à un ERA Server, cliquez sur Fichier > Modification du mot de passe…,
puis modifiez le Mot de passe pour la console en cliquant sur le bouton Modifier.....
L'administrateur peut spécifier un mot de passe pour l'accès administrateur et pour l'accès en lecture seule (qui permet
uniquement d'afficher la configuration d'ERAS, mais pas de la modifier).
13
2.2.3.3 Miroir
Vous pouvez utiliser la ERA Console pour activer le serveur de mise à jour du réseau local, appelé le Miroir dans le ERA
Server. Ce serveur sert ensuite à mettre à jour les stations de travail du réseau local. En activant le Miroir, vous réduisez
le volume des données transférées via votre connexion Internet.
Procédez comme suit :
1) Connectez la ERA Console au ERA Server en cliquant sur Fichier > Connecter.
2) Dans la ERA Console, cliquez sur Outils > Options du serveur…, puis cliquez sur l'onglet Mises à jour .
3) Dans le menu déroulant Serveur de mise à jour, sélectionnez Choisir automatiquement, puis laissez la valeur
Intervalle de mise à jour définie sur 60 minutes. Insérez Mettre à jour le nom d'utilisateur (EAV***), cliquez sur
Définir le mot de passe..., puis tapez ou collez le mot de passe que vous avez reçu avec votre nom d'utilisateur.
4) Sélectionnez l'option Créer un miroir de mise à jour. Conservez le chemin d'accès par défaut pour les fichiers miroir et
le port du serveur HTTP (2221). Laissez la valeur d'Authentification définie sur AUCUNE.
5) Cliquez sur l'onglet Paramètres avancés, puis cliquez sur Modifier les paramètres avancés… Dans l'arborescence
de la configuration avancée, accédez à l'option ERA Server > Configuration > Miroir > Créer un miroir pour les
composants du programme sélectionnés. Cliquez sur Modifier du côté droit, puis sélectionnez les composants du
programme à télécharger. Vous devez sélectionner les composants pour toutes les versions linguistiques qui seront
utilisées dans le réseau.
6) Sous l'onglet Mises à jour, cliquez sur Mettre à jour maintenant pour créer le Miroir.
Pour des options de configuration du Miroir plus détaillées, consultez le chapitreActivation et configuration du Miroir
82
2.2.3.4 Types de base de données pris en charge par le ERA Server
Par défaut, le programme utilise le moteur Microsoft Access (base de données Jet). ERAS 4.0 prend également en
charge les bases de données suivantes :
Microsoft SQL Server 2005 et versions ultérieures
MySQL 5.0 et versions ultérieures
Oracle 9i et versions ultérieures
Vous pouvez sélectionner le type de base de données durant l'installation en mode avancé d'ERAS. Après l'installation, il
n'est pas possible de changer le type de base de données directement depuis ERA, toutefois, vous pouvez le faire à
l'aide du ERA Maintenance Tool 89 .
REMARQUE :
la base de données Microsoft Access n'est pas prise en charge sur Windows Server 2008 Core.
Le volume de la base de données SQL Server Express est limité à 4 Go.
2.2.3.4.1 Configuration de base
Tout d'abord, il est nécessaire de créer la base de données sur un serveur de base de données. Le programme
d'installation d'ERAS est capable de créer une base de données MySQL vide qui est automatiquement nommée
ESETRADB.
Par défaut, le programme d'installation crée automatiquement une base de données. Pour créer la base de données
manuellement, activez l'option Exporter le script. Assurez-vous que l'option Créer automatiquement des tables dans
la nouvelle base de données est désactivée.
Chaînes de classement
Le tri sera réalisé selon les paramètres par défaut de chaque base de données. Il faut activer la fonction de CASE
IGNORÉE (CI).
Pour activer :
- Pour MS SQL et MySQL, il faut configurer un COLLATE avec l'option CI activée
- Pour ORACLE, il faut configurer un NLS_SORT avec l'option CI activée
- Pour MS Access, aucune action n'est requise car l'option CI est déjà activée
14
Jeu de caractères
Il est important d'utiliser le jeu de caractères UNICODE (UTF-8 est recommandé), surtout lorsque les clients ont des
langues locales spéciales ou si l'ERA lui-même fonctionne dans une version localisée. S'il n'y a pas de plan pour la
réplication et si tous les clients se connectent au même serveur, vous pouvez utiliser le jeu de caractères pour la langue
locale de l'ERA que vous voulez installer.
MARS (Multiple Active Result Sets)
En cas d'utilisation d'une base de données MS SQL, il faut un lecteur OBDC avec prise en charge de MARS pour un
fonctionnement sans problème. Dans le cas contraire, le serveur fonctionnera moins efficacement et consignera le
message d'erreur suivant dans le journal du serveur :
Database connection problem. It is strongly recommended to use odbc driver that supports multiple active result sets (MARS).
The server will continue to run but the database communication may be slower. See the documentation or contact ESET support
for more information.
Si le problème se produit avec une base de données autre que MS SQL, le serveur consigne le message suivant dans le
journal et arrête :
Database connection problem. Updating the odbc driver may help. You can also contact ESET support for more information.
Pilotes sans prise en charge de MARS :
- SQLSRV32.DLL (2000.85.1117.00)
- SQLSRV32.DLL (6.0.6001.18000) - repris en mode natif dans Windows Vista et Windows Server 2008
Pilote natif avec prise en charge de MARS :
- SQLNCLI.DLL (2005.90.1399.00)
2.2.3.4.2 Configuration de connexion de base de données
Après avoir créé une base de données, vous devez spécifier des paramètres de connexion pour le serveur de base de
données à l'aide d'une des deux options suivantes :
1. En utilisant le DSN (nom de la source de données)
Pour ouvrir le DSN manuellement, ouvrez l'administrateur
de source de données OBCD
(Cliquez sur Démarrer > Exécuter , puis tapez sur odbcad32.exe).
Exemple de connexion DSN :
DSN =ERASqlServer
Important : l'utilisation de System DSN est recommandé pour que l'ERA fonctionne correctement.
Pour que l'installation sous MSSQL avec authentification Windows/Domaine s'effectue correctement, veillez à utiliser
un format DSN lors de la saisie de la chaîne de connexion.
2. Directement, en utilisant une chaîne de connexion complète
Vous devez spécifier tous les paramètres requis : pilote, serveur et nom de base de données.
Voici un exemple de chaîne de connexion complète pour MS SQL Server :
Driver ={SQL Server}; Server =hostname; Database =ESETRADB
15
Voici un exemple de chaîne de connexion complète pour Oracle Server :
Driver ={Oracle in instantclient10_1}; dbq =hostname: 1521/ESETRADB
Voici un exemple de chaîne de connexion complète pour MySQL Server :
Driver ={MySQL ODBC 3.51 Driver}; Server =hostname; Database =ESETRADB
Définissez ensuite le Nom d'utilisateur et le Mot de passe pour la connexion (bouton Définir). Les bases de données
Oracle et MS SQL Server requièrent également un nom de schéma (pour MS SQL Server, il s'agit généralement du nom
d'utilisateur).
Cliquez sur Tester la connexion pour vérifier la connexion au serveur de base de données.
Remarque : nous vous recommandons d'utiliser l'authentification du serveur de base de données au lieu de
l'authentification Windows/Domaine.
2.2.3.4.3 Installation sur une base de données existante
Si la base de données contient des tables, le programme d'installation affiche une notification. Pour remplacer le
contenu d'une table existante, sélectionnez Remplacer (Avertissement : cette commande supprime le contenu des
tables et remplace leur structure !). Sélectionnez Ignorer pour laisser les tables intactes.
REMARQUE : Dans certaines conditions, l'activation de Ignorer peut entraîner des erreurs d'incohérence de base de
données, en particulier quand des tables sont endommagées ou incompatibles avec la version actuelle.
Pour annuler l'installation d'ERAS et analyser la base de données manuellement, cliquez sur Annuler.
16
2.3 Scénario - Installation dans un environnement d'entreprise
2.3.1 Vue d'ensemble de l'environnement (structure du réseau)
Vous pouvez voir ci-dessous une copie de la structure de réseau précédente avec une filiale supplémentaire, plusieurs
clients et un serveur nommé LITTLE. Supposons qu'il y ait un canal VPN lent entre le siège central et la filiale. Dans ce
scénario, le serveur Miroir doit être installé sur le serveur LITTLE. Nous allons également installer un second ERA Server
sur LITTLE pour créer un environnement plus convivial et réduire le volume des données transférées.
2.3.2 Installation
2.3.2.1 Installation au siège central
Les installations d'ERAS, d'ERAC et des stations de travail client sont très similaires au scénario précédent. La seule
différence réside dans la configuration de l'ERAS maître (GHOST). Dans Outils > Options du serveur… > Réplication,
activez la case à cocher Activer la réplication « de », puis saisissez le nom du serveur secondaire dans Serveurs
autorisés. Dans notre cas, le serveur de niveau inférieur est nommé LITTLE.
Si un mot de passe pour la réplication est défini sur le serveur de niveau supérieur (Outils > Options du serveur... >
Sécurité > Mot de passe pour la réplication), ce mot de passe doit être utilisé pour l'authentification du serveur de
niveau inférieur.
17
2.3.2.2 Filiale : installation du ERA Server
Comme dans l'exemple ci-dessus, installez le second ERAS et ERAC. Activez et configurez de nouveau les paramètres de
réplication. Cette fois, cochez la case Activer la réplication « sur » (Outils > Options du serveur... > Réplication), puis
définissez le nom de l'ERAS maître. Il est recommandé d'utiliser l'adresse IP du serveur maître, qui est l'adresse IP du
serveur GHOST.
2.3.2.3 Filiale : installation du serveur Miroir HTTP
Vous pouvez également utiliser la configuration d'installation du serveur Miroir de l'exemple précédent dans ce cas. Les
seuls changements figurent dans les sections définissant le nom d'utilisateur et le mot de passe.
Comme illustré à la figure Vue d'ensemble de l'environnement 17 , les mises à jour pour la filiale ne sont pas téléchargées
des serveurs de mise à jour d'ESET, mais du serveur situé au siège central (GHOST). La source de mise à jour est définie
par l'adresse URL suivante :
http://ghost:2221 (ou http://IP_adresse_de_ghost:2221)
Par défaut, il n'est pas nécessaire de spécifier un nom d'utilisateur ou un mot de passe parce que le serveur HTTP intégré
ne requiert pas d'authentification.
Pour obtenir des informations supplémentaires sur la configuration d'un miroir dans ERAS, consultez le chapitre
intitulé Serveur Miroir 80 .
2.3.2.4 Filiale : installation à distance sur des clients
Une fois encore, vous pouvez utiliser le modèle précédent, si ce n'est qu'il ne convient pas pour effectuer toutes les
opérations avec l'ERAC connectée directement à l'ERAS de la filiale (dans notre exemple, LITTLE). Cela vise à empêcher le
transfert des packages d'installation via le canal VPN qui est plus lent.
2.3.3 Autres exigences pour les environnements d'entreprise
Dans les grands réseaux, il est possible d'installer plusieurs ERA Server pour effectuer des installations à distance
d'ordinateurs client à partir de serveurs plus accessibles. À cette fin, le ERAS propose la réplication (voir chapitre
Installation au siège central 17 et Filiale : installation du ERA Server 18 ) qui permet de transférer les informations
stockées vers un ERAS parent (serveur de niveau supérieur). Il est possible de configurer la réplication à l'aide d'ERAC.
La fonctionnalité de réplication est très utile pour les sociétés disposant de plusieurs filiales ou bureaux distants. Le
scénario de déploiement modèle serait le suivant : Installez ERAS dans chaque bureau et faites en sorte de répliquer
chaque ERAS sur un ERAS central. L'avantage de cette configuration est particulièrement apparent dans les réseaux
privés qui sont connectés via un VPN, d'habitude plus lent ; l'administrateur doit uniquement se connecter à un ERAS
central (la communication marquée par la lettre A dans la figure ci-après). Il n'est pas nécessaire d'utiliser de VPN pour
accéder à des départements individuels (les communications B, C, D et E). Le canal de communication plus lent est
contourné par l'utilisation de la réplication ERAS.
La configuration de la réplication permet à un administrateur de définir les informations à transférer aux serveurs de
niveau supérieur automatiquement à un intervalle prédéfini, ainsi que les informations à envoyer sur demande de
l'administrateur du serveur de niveau supérieur. La réplication rend ERA plus convivial et réduit le trafic réseau.
Un autre avantage de la réplication est que plusieurs utilisateurs peuvent se connecter avec divers niveaux
d'autorisation. L'administrateur accédant à l'ERAS london2.company.com avec la console (communication E) ne peut
contrôler que les clients se connectant à london2.company.com. L'administrateur accédant au central company.com (A)
peut contrôler tous les clients se trouvant au siège central de la société et dans les différents départements/filiales.
18
19
3. Utilisation de ERAC
3.1 Connexion à ERAS
La plupart des fonctionnalités d'ERAC ne sont disponibles qu'après connexion à ERAS. Définissez le serveur par son
nom ou son adresse IP avant la connexion :
Ouvrez l'ERAC, cliquez sur Fichier > Modifier les connexions... (ou sur Outils > Options de la console…), puis cliquez
sur l'onglet Connexion.
Cliquez sur le bouton Ajouter/Supprimer pour ajouter de nouveaux ERA Server ou modifier des serveurs actuellement
répertoriés. Sélectionnez le serveur souhaité dans le menu déroulant Sélectionner une connexion. Cliquez ensuite sur
le bouton Connecter.
Autres options de cette fenêtre :
Connexion au serveur sélectionné au démarrage de la console
Si cette option est activée, la console se connecte automatiquement à l'ERAS sélectionné au démarrage.
Afficher un message en cas d'échec de la connexion
En cas d'erreur de communication entre ERAC et ERAS, un message d'alerte s'affiche.
Il existe deux types d'authentification :
ERA Server
L'authentification de l'utilisateur est réalisée à l'aide des informations d'identification ERAS. Par défaut, aucun mot de
passe n'est requis pour se connecter à l'ERAS, mais il est fortement recommandé d'en définir un. Pour créer un mot de
passe pour se connecter à l'ERAS :
Cliquez sur Fichier > Modification du mot de passe (ou Outils > Options du serveur > Sécurité), puis cliquez sur le
bouton Modifier… à droite de Mot de passe pour la console.
Lors de la saisie d'un mot de passe, vous pouvez activer l'option Mémoriser le mot de passe. Songez aux risques
possibles pour la sécurité liés à l'usage de cette option. Pour supprimer tous les mots de passe mémorisés, cliquez sur
Fichier > Effacer les mots de passe en cache...
Sélectionnez le type d'accès dans le menu déroulant Accès (les options disponibles sont Administrateur ou Lecture
seule), saisissez votre mot de passe, puis cliquez sur OK.
Windows/Domaine
L'authentification de l'utilisateur est réalisée à l'aide des informations d'identification de Windows/Domaine. Pour que
l'authentification Windows/Domaine fonctionne correctement, ERAS doit être installé sous un compte Windows/
Domaine qui possède des privilèges suffisants. Il faut également activer cette fonctionnalité sous Outils > Options du
serveur… > onglet Paramètres avancés > Modifier les paramètres avancés… > ESET Remote Administrator > ERA
Server > Configuration > Sécurité :
Autoriser l'authentification de Windows/domaine : active/désactive l'authentification de Windows/domaine.
Groupes d'administrateurs : permet de définir les groupes pour lesquels l'authentification Windows/domaine sera
activée.
Groupes en lecture seule : permet de définir des groupes avec un accès en lecture seule.
Une fois la communication établie, l'en-tête du programme devient Connecté [nom_serveur].
Vous pouvez également cliquer sur Fichier > Connexion pour vous connecter à l'ERAS.
REMARQUE : la communication entre ERAC et ERAS est chiffrée (AES-256)
20
3.2 ERAC - fenêtre principale
L'état de communication actuel entre ERAC et ERAS s'affiche dans la barre d'état (1). Toutes les données nécessaires
d'ERAS sont actualisées régulièrement (par défaut à chaque minute ; Voir Outils > Options de la console…). La
progression de l'actualisation est également visible dans la barre d'état.
REMARQUE : appuyez sur F5 pour actualiser les données affichées.
Les informations sont divisées en plusieurs onglets par ordre d'importance (2). Dans la plupart des cas, il est possible de
trier les données en ordre croissant ou décroissant en cliquant sur un attribut (5), tandis qu'une opération glisserdéplacer permet d'effectuer une réorganisation. Si plusieurs lignes de données doivent être traitées, vous pouvez les
limiter à l'aide du menu déroulant Éléments à afficher et des boutons de navigation page par page. Sélectionnez le
Mode d'affichage pour présenter les attributs conformément à vos besoins (pour plus de détails, voir le chapitre
Filtrage des informations 22 ).
La section Serveur (4) est importante si vous répliquez des ERA Server. Elle affiche des informations de synthèse sur la
console à laquelle l'ERAS est connecté ainsi que des informations sur les ERA Server enfant ou de niveau inférieur. Le
menu déroulant Serveurs de la section 4 influence les informations affichées à la section 5.
Utiliser tous les serveurs
Affiche les informations de tous les ERA Server -section (5).
N'utiliser que les serveurs contrôlés
Affiche les informations de tous les ERA Server sélectionnés -section (5).
Exclure les serveurs contrôlés
Exclut les informations des ERA Server sélectionnés.
Colonnes de la section 4 :
Nom du serveur
Affiche le nom de serveur.
Clients
Nombre total de clients se connectant à la base de données de l'ERAS sélectionné.
21
Plage de BdD de signatures de virus
Version des bases des signatures de virus parmi les clients de l'ERAS sélectionné.
Connexion la plus ancienne
Temps écoulé depuis la connexion la moins récente au serveur.
Dernières alertes de menace
Nombre total d'alertes de virus (voir l'attribut Dernière alerte de menace dans la section 5).
Dernières alertes de pare-feu
Nombre total d'alertes de pare-feu.
Derniers avertissements d'événement
Nombre total d'événements actuels (voir l'attribut Dernier événement dans la section 5).
Si vous n'êtes pas connecté actuellement, vous pouvez cliquer avec le bouton droit dans la section Serveur (4), puis
sélectionner Connexion à ce serveur pour vous connecter à l'ERAS choisi.
Si la réplication est activée, des informations supplémentaires s'afficheront dans la section Serveur (4).
Les principales fonctionnalités d'ERAC sont accessibles dans le menu principal ou depuis la barre d'outils ERAC (3).
La dernière section est Critère de filtre de l'ordinateur (6) ; voir le chapitre Filtrage des informations
22
.
3.3 Filtrage des informations
ERAC intègre plusieurs outils et fonctionnalités permettant d'administrer de façon conviviale les clients et les
événements. La disponibilité d'un système de filtrage avancé peut être inestimable, surtout sur les systèmes comptant
un nombre important de clients lorsque les informations requises doivent être regroupées et gérées facilement. ERAC
propose plusieurs outils qui permettent de trier et de filtrer efficacement les informations sur les clients connectés.
3.3.1 Filtre
Le filtre permet à l'administrateur d'afficher des informations uniquement relatives à des serveurs ou des stations de
travail client spécifiques. Pour afficher les options de filtre, cliquez sur Afficher > Afficher/Masquer le volet Filtre dans
le menu d'ERAC.
Pour activer le filtrage, sélectionnez l'option Utiliser le filtre dans la partie supérieure gauche d'ERAC. Toute
modification future des critères de filtre mettra automatiquement à jour les données affichées, sauf configuration
contraire sous l'onglet Outils > Options de la console… > Autres paramètres.
Définissez les critères de filtrage dans la section Critères de filtre du client. Les clients peuvent appartenir à plusieurs
groupes et stratégies. L'affectation d'un client à un groupe statique ou paramétrique peut être très utile, non seulement
pour le filtrage, mais également pour des activités telles que la génération de rapports. Pour en savoir plus sur la
gestion de groupes, consultez le chapitre Gestionnaire de groupes 52 . Le recours aux stratégies pour la séparation des
clients peut également remplir diverses fonctions ; pour en savoir plus sur la création et la gestion des stratégies,
consultez le chapitre Stratégies 55 .
Le premier outil de filtrage est la section de sélection de groupes et de stratégies. Trois options sont disponibles :
Clients dans les groupes vérifiés
Les clients repris dans les groupes/les stratégies sélectionnés apparaîtront dans le volet Clients.
Clients dans les groupes non vérifiés
Les clients figurant dans les groupes/les stratégies non sélectionnés et les clients n'appartenant à aucun groupe
seront affichés dans le volet Clients.
Clients dans aucun groupe
Seuls les clients qui n'appartiennent à aucun groupe ni aucune stratégie seront affichés.
REMARQUE : lors de la sélection d'un groupe dans la liste, tous les sous-groupes seront également affichés.
La partie inférieure de la section Filtre permet de définir un autre jeu de paramètres :
Uniquement des clients (utilisant des mots entiers)
Le résultat n'inclut que les clients dont le nom est identique à la chaîne saisie.
Uniquement des clients commençant par (?,*)
22
Le résultat n'inclut que les clients dont le nom commence par la chaîne indiquée.
Uniquement des clients comme (?,*)
Le résultat n'inclut que les clients dont le nom contient la chaîne saisie.
Exclure les clients (utilisant des mots entiers), Exclure les clients commençant par (?,*), Exclure les clients
comme (?,*)
Ces options produisent des résultats opposés à ceux des trois options précédentes.
Les champs Serveur principal, Nom du client, Nom d'ordinateur et Adresse MAC acceptent des chaînes entières. Si l'un
deux est renseigné, une requête de base de données est exécutée et les résultats sont filtrés en fonction de son
contenu ; l'opérateur logique ET est utilisé.
La dernière option est un filtrage basé sur un problème ; les résultats n'incluent que les clients présentant le type de
problème spécifié. Pour afficher la liste des problèmes, choisissez l'option N'afficher que les problèmes, puis cliquez sur
Modifier.... Sélectionnez les problèmes à afficher, puis cliquez sur OK pour afficher les clients qui présentent les
problèmes sélectionnés.
Toutes les modifications apportées à la configuration du filtrage seront appliquées après que vous aurez cliqué sur le
bouton Appliquer les modifications. Pour restaurer les paramètres par défaut, cliquez sur Réinitialiser. Pour générer
automatiquement de nouveaux résultats à chaque modification des paramètres de filtre, activez l'option Outils >
Options de la console... > Autres paramètres...> Application automatique des modifications.
3.3.2 Menu contextuel
Cliquez avec le bouton droit de la souris pour appeler le menu contextuel et ajuster le résultat dans les colonnes. Le
menu contextuel propose les options suivantes :
Sélectionner tout
Sélectionne toutes les entrées.
Sélectionner par '...'
Cette option permet de cliquer avec le bouton droit de la souris sur tout attribut, puis de sélectionner (mettre en
surbrillance) automatiquement l'ensemble des autres stations de travail ou serveurs ayant le même attribut. La
chaîne ... est automatiquement remplacée par la valeur figurant sous l'onglet actuel.
Inverser la sélection
Effectue une sélection d'entrées inversée.
Masquer éléments sélectionnés
Masque les entrées sélectionnées.
Masquer les éléments sélectionnés
Masque toutes les entrées non sélectionnées dans la liste.
Afficher/Masquer colonnes
Ouvre la fenêtre Options de la console > Colonnes - Afficher/Masquer qui permet de définir les colonnes qui seront
disponibles dans le volet sélectionné.
Les options Masquer éléments sélectionnés/non sélectionnés sont efficaces si un complément d'organisation est
nécessaire suite à l'utilisation des méthodes de filtrage précédentes. Pour désactiver tous les filtres définis par le menu
contextuel, cliquez sur Afficher > Vue détourée ou sur l'icône dans la barre d'outils d'ERAC. Vous pouvez également
appuyer sur F5 pour actualiser les informations affichées et désactiver les filtres.
Exemple :
Pour afficher uniquement les clients présentant des alertes de menace :
Sous l'onglet Clients, cliquez avec le bouton droit de la souris sur n'importe quel volet vide avec Dernière alerte de
virus, puis dans le menu contextuel, sélectionnez Sélectionner par '…'. Ensuite, toujours dans le menu contextuel,
cliquez sur Masquer les éléments sélectionnés.
Pour afficher les alertes de menace relatives aux clients « Joseph » et « Charles » :
Cliquez sur l'onglet Journal des menaces, puis cliquez avec le bouton droit de la souris sur tout attribut dans la
colonne Nom du client contenant la valeur Joseph. Dans le menu contextuel, cliquez sur Sélectionner par 'Joseph'.
Ensuite, maintenez la touche CTRL enfoncée, cliquez avec le bouton droit de la souris, puis cliquez sur Sélectionner
par 'Charles'. Enfin, cliquez avec le bouton droit de la souris, puis, dans le menu contextuel, sélectionnez Masquer les
éléments non sélectionnés et relâchez la touche CTRL.
23
La touche CTRL permet de sélectionner ou désélectionner des entrées spécifiques, et la touche MAJ de marquer un
groupe d'entrées ou d'en annuler la marque.
REMARQUE : le filtrage peut faciliter la création de tâches pour des clients spécifiques (en surbrillance). Il existe de
nombreuses manières d'utiliser le filtrage efficacement. Essayez plusieurs combinaisons.
3.3.3 Mode d'affichage
Sous l'onglet Clients, le nombre de colonnes affichées peut être modifié via le menu déroulant Mode d'affichage situé
à l'extrême droite de la console. Le Mode d'affichage complet affiche toutes les colonnes, tandis que le Mode
d'affichage minimal n'affiche que les plus importantes. Ces modes sont prédéfinis ; il est impossible de les modifier.
Pour activer l'affichage personnalisé, sélectionnez Mode d'affichage personnalisé. Vous pouvez le configurer sous
l'onglet Outils > Options de la console > Colonnes > Afficher/Masquer.
3.4 Onglet dans ERAC
3.4.1 Description générale des onglets et des clients
La plupart des informations sous les onglets ont trait aux clients connectés. Chaque client connecté à ERAS est identifié
par les attributs suivants :
Nom d'ordinateur (nom de client) + Adresse MAC + Serveur principal
Le comportement d'ERAS par rapport à certaines opérations de réseau (telles que le changement de nom d'un PC) peut
être défini dans la Configuration avancée d'ERAS. Cela peut aider à empêcher des entrées en double sous l'onglet
Clients. Par exemple, si l'un des ordinateurs du réseau a été renommé, mais que son Adresse MAC est restée
inchangée, vous pouvez éviter la création d'une entrée sous l'onglet Clients.
Les clients qui se connectent à ERAS pour la première fois sont désignés par la valeur Oui dans la colonne Nouvel
utilisateur. Ils sont également marqués par un petit astérisque dans le coin supérieur droit de leur icône (voir la figure
ci-dessous). Cette fonctionnalité permet à un administrateur de détecter aisément un ordinateur nouvellement
connecté. Cet attribut peut avoir différentes significations en fonction des procédures opératoires de l'administrateur.
Si un client a été configuré et déplacé vers un certain groupe, il est possible de désactiver l'état Nouveau en cliquant
avec le bouton droit de la souris sur le client, puis en sélectionnant Définir/Redéfinir des drapeaux > Redéfinir le
drapeau « Nouveau ». L'icône du client devient celle illustrée ci-dessous et la valeur dans la colonne Nouvel utilisateur
deviendra Non.
REMARQUE : l'attribut Commentaire est facultatif sous les trois onglets. L'administrateur peut insérer une description
ici (p. ex., « Bureau 129 »).
ERAS permet d'afficher les valeurs de temps en mode relatif (« Il y a 2 jours »), en mode absolu (20.5.2009) ou en mode
système (Paramètres régionaux).
Dans la plupart des cas, il est possible de trier les données en ordre croissant ou décroissant en cliquant sur un attribut,
tandis qu'une opération glisser-déplacer permet d'effectuer une réorganisation.
Le fait de cliquer sur certaines valeurs active d'autres onglets afin d'afficher des informations plus détaillées. Par
exemple, si vous cliquez sur une valeur dans la colonne Dernière alerte de menace, le programme active l'onglet
Journal des menaces et affiche les entrées du journal des menaces relatives au client donné. Si vous cliquez sur une
valeur contenant trop d'informations pour qu'il soit possible de les présenter dans un affichage tabulaire, une boîte de
dialogue s'ouvre, affichant des informations détaillées sur le client correspondant.
24
3.4.2 Réplication et informations sous les onglets individuels
Si ERAC est connecté à un ERAS qui fonctionne en tant que serveur de niveau supérieur, les clients des serveurs de
niveau inférieur seront affichés automatiquement. Les types d'information répliquées peuvent être configurés sur le
serveur inférieur dans Outils > Options du serveur > Réplication > Paramètres répliqués « sûr ».
Dans un tel scénario, les informations suivantes peuvent manquer :
Journaux d'alertes détaillés (onglet Journal des menaces)
Journaux détaillés d'analyse à la demande (onglet Journal d'analyse)
Configurations de client actuelles détaillées au format .xml (onglet Clients, colonne Configuration, État de la
protection, Fonctionnalités de protection, Informations système)
Il se peut également que les informations du programme ESET SysInspector manquent. ESET SysInspector est intégré à
la génération 4.x et suivantes des produits ESET.
Si les informations sont introuvables dans la boîte de dialogue du programme, cliquez sur Demande (accessible sous
Actions > Propriétés > Configuration). Un clic sur ce bouton entraîne le téléchargement d'informations manquantes
d'un ERAS de niveau inférieur. Comme la réplication est toujours déclenchée par un ERAS de niveau inférieur, les
informations manquantes doivent être livrées dans l'intervalle de réplication prédéfini.
Fig. : cliquez sur Demande pour récupérer les informations manquantes de ERA Server de niveau inférieur
Sur le serveur de niveau supérieur, vous pouvez définir le niveau des journaux reçus par le serveur (Outils > Options du
serveur > Paramètres avancés > Modifier les paramètres avancés... > ESET Remote Administrator > ERA Server >
Configuration > Maintenance du serveur > Journaux .... à accepter).
REMARQUE : cette option s'applique à tous les clients connectés au serveur (pas seulement les clients répliqués).
3.4.3 Onglet Clients
Cet onglet affiche des informations générales sur des clients individuels.
Attribut
Nom du client
Description
Nom du client (peut être modifié dans la boîte de dialogue des propriétés du client, onglet
Général)
Nom de l'ordinateur Nom de la station de travail ou du serveur (nom d'hôte)
Adresse MAC
Adresse MAC (carte réseau)
Serveur principal
Nom de l'ERAS avec lequel un client communique
Nom du domaine ou du groupe auquel un client appartient (il ne s'agit pas de groupes créés dans
Domaine
ERAS)
25
Attribut
IP
Nom du produit
Version du produit
Nom de stratégie
Dernière connexion
Texte d'état de la
protection
BdD de signatures de
virus
Dernière alerte de
menace
Dernière alerte de
pare-feu
Dernier
avertissement
d'événement
Derniers fichiers
analysés
Derniers fichiers
infectés
Derniers fichiers
nettoyés
Date de la dernière
analyse
Demande de
redémarrage
Date de la demande
de redémarrage
Dernier démarrage
du produit
Date d'installation du
produit
Description
Adresse IP
Nom du produit de sécurité ESET
Version du produit de sécurité ESET
Nom de la stratégie attribuée à un client
Heure à laquelle le client s'est connecté pour la dernière fois à ERAS (toutes les autres données
collectées à partir de clients incluent cet horodateur, à l'exception de certaines données obtenues
par réplication)
État actuel du produit de sécurité ESET installé sur un client
Version de la base des signatures de virus
Dernier incident de virus
Dernier événement détecté par le pare-feu personnel d'ESET Smart Security (les événements à
partir du niveau d'avertissement et au-delà s'affichent)
Dernier message d'erreur
Nombre de fichiers analysés durant la dernière analyse à la demande
Nombre de fichiers infectés durant la dernière analyse à la demande
Nombre de fichiers nettoyés (ou supprimés) durant la dernière analyse à la demande
Heure de la dernière analyse à la demande
Indique si un redémarrage est requis (par exemple, après une mise à niveau du programme)
Heure de la première demande de redémarrage
Heure du dernier lancement du programme client
Date d'installation du produit de sécurité ESET sur le client
Les clients ayant cet attribut exécutent la tâche « Mettre à jour maintenant » chaque fois qu'ils
établissent une connexion avec ERAS (recommandé pour les portables). La mise à jour est
uniquement réalisée si la base des signatures de virus du client n'est pas à jour.
Nouveau client
Nouvel ordinateur connecté (voir le chapitre Description générale des onglets et des clients 24 )
Nom du SE
Nom du système d'exploitation du client
Plateforme du SE
Plateforme du système d'exploitation (Windows/Linux...)
Plateforme matérielle 32 bits/64 bits
Configuration
Configuration .xml actuelle du client (y compris la date et l'heure de création de la configuration)
État de la protection Relevé d'état général (similaire par nature à l'attribut Configuration)
Fonctionnalités de
Relevé d'état général des composants du programme (similaire à l'attribut Configuration)
protection
Le client soumet des informations système à ERAS (y compris l'heure à laquelle les informations
Informations système
système ont été soumises)
Les clients disposant de versions contenant l'outil ESET SysInspector peuvent soumettre des
SysInspector
journaux à partir de cette application gratuite.
Informations personnalisées à afficher spécifiées par l'administrateur (cette option peut être
Informations
configurée dans ERAC via Outils > Options du serveur... > onglet Paramètres avancés >
personnalisées
Modifier les paramètres avancés > ESET Remote Administrator > ERA Server >
Configuration > Autres paramètres > Informations personnalisées du client).
Commentaire
Bref commentaire décrivant le client (saisi par l'administrateur)
Utilisateur itinérant
REMARQUE : certaines valeurs ont un caractère purement informatif et peuvent ne pas être à jour au moment où
l'administrateur les consulte sur la console. Par exemple, il peut y avoir eu une erreur de mise à jour à 7 h 00, alors qu'à 8
h 00 la mise à jour a réussi. Ces valeurs peuvent être Dernière alerte de menace etDernier avertissement
d'événement. Si l'administrateur sait que ces informations sont obsolètes, il peut les effacer en cliquant avec le bouton
droit de la souris, puis en sélectionnant Effacer les informations > Effacer les informations « Dernière alerte de
menace » ou Effacer les informations « Dernier avertissement d'événement ». Les informations sur le dernier
incident de virus ou le dernier événement système sont supprimées.
26
Fig. : il est facile de supprimer les événements obsolètes des colonnes Dernière alerte de menace et Dernier avertissement
d'événement.
Fig. : informations détaillées sur une station de travail client.
Après que vous avez double-cliqué sur un client, l'onglet Clients affiche plusieurs options :
Général
Contient des informations similaires à celles affichées sous l'onglet Clients. Vous pouvez spécifier ici le Nom du client,
c'est-à-dire le nom sous lequel ce client est visible dans ERA, ainsi qu'un commentaire facultatif.
Membre de groupes
Cet onglet répertorie tous les groupes auxquels le client appartient. Pour obtenir des informations supplémentaires,
consultez le chapitre Filtrage des informations 22 .
Tâches
Tâches relatives au client indiqué. Pour obtenir des informations supplémentaires, consultez le chapitre Tâches
48
.
Configuration
Cet onglet permet d'afficher ou d'exporter la configuration actuelle du client dans un fichier .xml. Ce manuel explique,
plus loin, comment utiliser des fichiers .xml pour créer un modèle de configuration pour des fichiers de configuration .
xml nouveaux ou modifiés. Pour obtenir des informations supplémentaires, consultez le chapitre Tâches 48 .
27
État de la protection
Il s'agit d'un relevé d'état général concernant tous les programmes ESET. Certains relevés sont interactifs et permettent
une intervention immédiate. Cette fonctionnalité est utile car elle évite la nécessité de définir manuellement une
nouvelle tâche pour résoudre un problème de protection donné.
Fonctionnalités de protection
État du composant pour toutes les fonctionnalités de sécurité d'ESET (Anti-spam, Pare-feu personnel, etc.)
Informations système
Informations détaillées sur le programme installé, la version de ses composants, etc.
SysInspector
Informations détaillées sur les processus de démarrage et les processus s'exécutant à l'arrière-plan.
Quarantaine
Contient une liste des fichiers mis en quarantaine. Les fichiers mis en quarantaine peuvent être sollicités sur un client et
enregistrés sur un disque local.
3.4.4 Onglet Journal des menaces
Cet onglet contient des informations sur des incidents de virus ou de menace individuels.
Attribut
Nom du client
Nom de l'ordinateur
Adresse MAC
Serveur principal
Date de réception
Date de survenance
Niveau
Scanneur
Objet
Nom
Menace
Action
Utilisateur
Informations
Détails
Description
Nom du client signalant l'alerte de menace
Nom de la station de travail ou du serveur (nom d'hôte)
Adresse MAC (carte réseau)
Nom de l'ERAS avec lequel un client communique
Moment auquel ERAS a journalisé l'événement
Moment auquel l'événement s'est produit
Niveau d'alerte
Nom de la fonctionnalité de sécurité ayant détecté la menace
Type d'objet
Généralement un dossier dans lequel se trouve l'infiltration
Nom du code malveillant détecté
Action exécutée par la fonctionnalité de sécurité donnée
Nom de l'utilisateur identifié lorsque l'incident s'est produit
Informations sur la menace détectée
État de soumission du journal du client
3.4.5 Onglet Journal de pare-feu
Cet onglet affiche des informations sur l'activité du pare-feu du client.
Attribut
Nom du client
Nom de l'ordinateur
Adresse MAC
Serveur principal
Date de réception
Date de survenance
Niveau
Événement
Source
Cible
Protocole
Règle
Application
Utilisateur
28
Description
Nom du client signalant l'événement
Nom de la station de travail ou du serveur (nom d'hôte)
Adresse MAC (carte réseau)
Nom de l'ERAS avec lequel un client communique
Moment auquel ERAS a journalisé l'événement
Moment auquel l'événement s'est produit
Niveau d'alerte
Description de l'événement
Adresse IP source
Adresse IP cible
Protocole concerné
Règle de pare-feu concernée
Application concernée
Nom de l'utilisateur identifié lorsque l'incident s'est produit
3.4.6 Onglet Journal des événements
Cet onglet présente la liste de tous les événements liés au système.
Attribut
Nom du client
Nom de l'ordinateur
Adresse MAC
Serveur principal
Date de réception
Date de survenance
Niveau
Plugin
Événement
Utilisateur
Description
Nom du client signalant l'événement
Nom de la station de travail ou du serveur (nom d'hôte)
Adresse MAC (carte réseau)
Nom de l'ERAS avec lequel un client communique
Moment auquel ERAS a journalisé l'événement
Moment auquel l'événement s'est produit
Niveau d'alerte
Nom du composant du programme signalant l'événement
Description de l'événement
Nom de l'utilisateur associé à l'événement
3.4.7 Onglet Journal d'analyse
Cet onglet répertorie les résultats des analyses de l'ordinateur à la demande qui ont été lancées à distance, localement
sur des ordinateurs client ou en tant que tâches planifiées.
Attribut
ID d'analyse
Nom de client
Nom d'ordinateur
Adresse MAC
Serveur principal
Date de réception
Date de survenance
Cibles analysées
Analysé
Infecté
Nettoyé
État
Utilisateur
Type
Scanneur
Détails
Description
ID de l'entrée correspondante dans la base de données (l'ID a la forme : numéro d'analyse)
Nom du client sur lequel l'analyse a été effectuée
Nom de la station de travail ou du serveur (nom d'hôte)
Adresse MAC (carte réseau)
Nom du ERA Server avec lequel un client communique
Moment auquel ERAS a journalisé l'événement d'analyse
Heure à laquelle l'analyse a eu lieu sur le client
Fichiers, dossiers et périphériques analysés
Nombre de fichiers contrôlés
Nombre de fichiers infectés
Nombre d'objets nettoyés (ou supprimés)
État de l'analyse
Nom de l'utilisateur identifié lorsque l'incident s'est produit
Type d'utilisateur
Type de scanneur
État de soumission du journal du client
3.4.8 Onglet Journal mobile
Cet onglet affiche des journaux détaillés pour les téléphones mobiles connecté à ERA Server.
Attribut
ID Mobile
Nom du client
Nom de l'ordinateur
Adresse MAC
Serveur principal
Date de réception
Date de survenance
Niveau
Type de journal
Événement
Type d'objet
Nom d'objet
Action
Description
ID de réseau du périphérique mobile
Nom du client sur lequel l'action a été effectuée
Nom de la station de travail ou du serveur (nom d'hôte)
Adresse MAC (carte réseau)
Nom du ERA Server avec lequel un client communique
Moment auquel ERAS a journalisé l'événement
Moment auquel l'événement a eu lieu sur le client
Niveau d'alerte
Type de journal (par exemple, journal de vérification de sécurité, journal du courrier indésirable
expédié par SMS)
Description de l'événement
Objet auquel l'événement est lié (par exemple, SMS, fichier...)
Objet particulier auquel l'événement est lié (par exemple, numéro de téléphone de l'expéditeur
du SMS, fichier...)
Action réalisée (ou erreur obtenue) pendant l'événement
29
3.4.9 Onglet Quarantaine
Cet onglet regroupe toutes les entrées en quarantaine de votre réseau.
Attribut
ID de quarantaine
Hachage
Date de réception
Première survenance
Dernière survenance
Nom d'objet
Nom de fichier
Extension
Taille
Raison
Nombre de clients
Résultats
Fichier
Description
Identifiant de l'objet mis en quarantaine, attribué par ordre chronologique
Code hash de fichier
Moment auquel ERAS a journalisé l'événement d'analyse
Temps écoulé depuis la première occurrence de l'élément mis en quarantaine
Temps écoulé depuis l'occurrence la plus récente de l'élément mis en quarantaine
Généralement un dossier dans lequel se trouve l'infiltration
Nom du fichier mis en quarantaine
Type d'extension du fichier mis en quarantaine
Taille du fichier mis en quarantaine
Raison pour la mise en quarantaine, en général la description du type de menace
Nombre de clients ayant mis l'objet en quarantaine
Nombre de fois que l'objet a été mis en quarantaine
Indique si l'objet a été sollicité pour un téléchargement sur le serveur
3.4.10 Onglet Tâches
La signification de cet onglet est décrite dans le chapitre « Tâches ». Les attributs suivants sont disponibles :
Attribut
État
Type
Nom
Description
Date de déploiement
Date de réception
Détails
Commentaire
Description
État de la tâche (Actif = en cours d'application, Terminé = tâche livrée aux clients)
Type de tâche
Nom de la tâche
Description de la tâche
Heure/date d'exécution de la tâche
Moment auquel ERAS a journalisé l'événement
État de soumission du journal des tâches
Bref commentaire décrivant le client (saisi par l'administrateur)
3.4.11 Onglet Rapports
Cet onglet contient des fonctionnalités permettant d'archiver l'activité d'un réseau sur certaines périodes. L'onglet
Rapports permet d'organiser des informations statistiques sous la forme d'un graphique ou d'un diagramme. Pour
obtenir des informations supplémentaires, consultez le chapitre Rapports 75 .
3.4.12 Onglet Installation à distance
Cet onglet propose des options pour plusieurs méthodes d'installation à distance de ESET Smart Security ou ESET
NOD32 Antivirus sur des clients. Pour obtenir des informations supplémentaires, consultez le chapitre Installation à
distance 36 .
3.5 Configuration de la ERA Console
Vous pouvez configurer l'ERAC dans le menu Outils > Options de la console....
3.5.1 Onglet Connexion
Cet onglet permet de configurer la connexion d'ERAC à ERAS. Pour obtenir des détails, consultez le chapitre Connexion
à l'ERAS 20
30
3.5.2 Onglet Colonnes - Afficher/Masquer
Cet onglet permet de spécifier les attributs (colonnes) affichés sous les onglets individuels. Les modifications se reflètent
dans le Mode d'affichage personnalisé (onglet Clients). Les autres modes ne peuvent pas être modifiés.
3.5.3 Onglet Couleurs
Cet onglet permet d'associer différentes couleurs à des événements spécifiques liés au système, afin de mieux mettre en
évidence des clients problématiques (Mise en évidence conditionnelle). Par exemple, des clients avec une base des
signatures de virus légèrement dépassée (Clients : Version précédente) pourraient être distingués de clients dont la
base des signatures est obsolète (Clients : Ancienne version ou n.a).
3.5.4 Onglet Chemins
Cet onglet permet de spécifier le répertoire dans lequel ERAC enregistrera les rapports téléchargés à partir d'ERAS. Par
défaut, les rapports sont enregistrés dans :
%ALLUSERSPROFILE%\Application Data\Eset\ESET Remote Administrator\Console\reports
3.5.5 Onglet Date/Heure
Apparence des colonnes de date/heure :
Absolue
La console affichera l'heure absolue (p. ex., « 14:30:00 »).
Relative
La console affichera l'heure relative (p. ex., « Il y a 2 semaines »).
Régionale
La console affichera l'heure en fonction des paramètres régionaux (paramètres de Windows).
Recalculer l'heure UTC en heure locale (utiliser l'heure locale)
Cochez cette case pour recalculer votre heure locale. Sinon, l'heure GMT - UTC sera affichée.
3.5.6 Onglet Autres paramètres
Paramètres de filtre > Application automatique des modifications
Si cette option est activée, les filtres sous les différents onglets génèrent de nouveaux résultats à chaque modification
des paramètres de filtre. Autrement, le filtrage n'a lieu qu'après que vous avez cliqué sur le bouton Appliquer modif.
Mises à jour de Remote Administrator
Cette section permet de contrôler la disponibilité de nouvelles versions de la solution ESET Remote Administrator.
Nous conseillons d'utiliser la valeur par défaut Mensuelle. Si une nouvelle version est disponible, ERAC affiche une
notification au démarrage du programme.
Autres paramètres > Utiliser l'actualisation automatique
Si cette option est activée, les données sous les onglets individuels sont automatiquement actualisées conformément
à l'intervalle indiqué.
Autres paramètres > Afficher le quadrillage
Activez cette option pour séparer les cellules individuelles sous tous les onglets à l'aide d'un quadrillage.
Autres paramètres > Afficher le client comme « serveur/nom » plutôt que « serveur/ordinateur/MAC »
Affecte le mode d'affichage des clients dans certains boîtes de dialogue (p. ex., Nouvelle tâche). Cette option produit
uniquement un effet visuel.
Autres paramètres > Utiliser l'icône Systray
La ERA Console sera représentée par une icône dans la zone de notification de Windows.
Autres paramètres > Afficher dans la barre des tâches en cas de réduction
Si la fenêtre d'ERAC est réduite, elle sera accessible à partir de la barre des tâches de Windows.
31
Autres paramètres > Icône Systray en surbrillance en cas de clients problématiques
Activez cette option conjointement avec le bouton Modifier pour définir les événements qui déclencheront un
changement de couleur de l'icône ERAC dans la zone de notification.
Si l'ERAC sur le PC de l'administrateur doit être connectée en permanence à l'ERAS, il est recommandé d'activer l'option
Afficher dans la barre des tâches en cas de réduction et de laisser la console réduite en cas d'inactivité. En cas de
problème, l'icône dans la zone de notification vire au rouge, ce qui constitue un signal d'intervention pour
l'administrateur. Il est également recommandé d'ajuster l'option Icône Systray en surbrillance en cas de clients
problématiques pour spécifier les événements déclenchant un changement de couleur de l'icône d'ERAC. Toutefois,
l'ERAC se déconnectera si une compression de base de données est activée sur le serveur.
Autres paramètres > Messages du didacticiel
Désactive (Désactiver tout) ou active (Activer tout) tous les messages d'informations.
3.6 Modes d'affichage
ERAC offre deux modes d'affichage :
Mode administratif
Mode lecture seule
Le mode administratif d'ERAC permet à l'utilisateur de contrôler totalement l'ensemble des fonctionnalités et
paramètres, ainsi que d'administrer toutes les stations de travail client connectées.
Le mode lecture seule convient pour afficher l'état de solutions client ESET se connectant à l'ERAS ; la création de tâches
pour des stations de travail client, la création de packages d'installation et l'installation à distance ne sont pas
autorisées. Le Gestionnaire de licences, le Gestionnaire de stratégies et le Gestionnaire de notifications sont également
inaccessibles. Le mode lecture seule permet à l'administrateur de modifier les paramètres de l'ERAC et de générer des
rapports.
Le mode d'affichage est sélectionné à chaque démarrage de la console dans le menu déroulant Accès, tandis que le mot
de passe pour se connecter à ERAS peut être défini pour chaque mode d'affichage. La définition d'un mot de passe est
particulièrement utile si vous voulez que certains utilisateurs aient un accès illimité à l'ERAS et d'autres un accès en
lecture seule. Pour définir le mot de passe, cliquez sur Outils > Options du serveur... > Sécurité, puis sur le bouton
Modifier... à côté de Mot de passe pour la console (accès administrateur) ou Mot de passe pour la console (accès en
lecture seule).
3.7 ESET Configuration Editor
ESET Configuration Editor est un composant important d'ERAC utilisé à diverses fins. Parmi les plus importantes
figurent la création des éléments suivants :
Configurations prédéfinies pour les packages installation
Configurations envoyées en tant que tâches ou stratégies aux clients
Un fichier de configuration (.xml) général
Configuration Editor fait partie d'ERAC et est représenté principalement par les fichiers cfgedit.*.
Configuration Editor permet à l'administrateur de configurer à distance un grand nombre des paramètres disponibles
dans tout produit de sécurité ESET, en particulier ceux installés sur des stations de travail client. Il permet également à
l'administrateur d'exporter des configurations dans des fichiers .xml utilisables ultérieurement à diverses fins, telles que
la création de tâches dans ERAC, l'importation d'une configuration localement dans ESET Smart Security, etc.
La structure utilisée par Configuration Editor est un modèle .xml qui contient la configuration dans une structure
arborescente. Le modèle est stocké dans le fichier cfgedit.exe. C'est pourquoi il est recommandé de mettre à jour ERAS
et ERAC régulièrement.
Avertissement : Configuration Editor permet de modifier tout fichier .xml. Évitez de modifier ou d'écraser le fichier source
cfgedit.xml.
Pour que Configuration Editor fonctionne, les fichiers suivants doivent être disponibles : eguiEpfw.dll, cfgeditLang.dll,
eguiEpfwLang.dll et eset.chm.
32
3.7.1 Superposition de configuration
Si une valeur est modifiée dans Configuration Editor, la modification est marquée à l'aide d'un symbole bleu . Toute
entrée associée à l'icône grise n'a pas été modifiée et ne sera pas écrite dans le fichier de configuration de sortie .xml.
Lors de l'application d'une configuration à des clients, seules les modifications enregistrées dans le fichier de
configuration de sortie .xml sont appliquées ( ) et tous les autres éléments ( ) restent inchangés. Ce comportement
permet une application progressive de plusieurs configurations différentes sans annuler les modifications précédentes.
La figure ci-dessous reprend un exemple. Dans cette configuration, le nom d'utilisateur EVA-12345678 et le mot de passe
sont insérés et l'utilisation d'un serveur proxy est interdite.
La deuxième configuration (illustrée dans la figure ci-dessous) envoyée aux clients garantira la conservation des
modifications antérieures, y compris le nom d'utilisateur EVA- 12345678 et le mot de passe. Cette configuration permet
également d'utiliser un serveur proxy et définit son adresse et son port.
33
3.7.2 Entrées de configuration clés
Dans cette section, nous décrivons plusieurs entrées de configuration clés pour ESET Smart Security et ESET NOD32
Antivirus, accessibles via ESET Configuration Editor :
ESET Smart Security, ESET NOD32 Antivirus > Noyau ESET > Configuration > Administration à distance
Vous pouvez activer ici la communication entre les ordinateurs client et l'ERAS (Connexion au serveur
d'administration à distance). Saisissez le nom ou l'adresse IP de l'ERAS (Adresse du serveur). L'option Intervalle
entre deux connexions au serveur doit rester définie sur sa valeur par défaut de cinq minutes. À des fins de test, vous
pouvez réduire cette valeur à 0, ce qui a pour effet d'établir une connexion toutes les dix secondes. Si un mot de
passe est défini, utilisez celui spécifié dans ERAS. Pour obtenir des informations supplémentaires, consultez l'option
Mot de passe pour les clients dans le chapitre Onglet Sécurité 79 . Cette section propose également des
informations supplémentaires sur la configuration du mot de passe.
Noyau ESET > Configuration > Clés de licence
Les ordinateurs client ne requièrent pas l'ajout, ni la gestion de clés de licence. Les clés de licence ne sont utilisées que
pour les produits serveur.
Noyau ESET > Configuration > ThreatSense.Net
Cette branche définit le comportement du système d'avertissement anticipé ThreatSense.Net qui permet de
soumettre des fichiers suspects pour analyse aux laboratoires d'ESET. Lors du déploiement de solutions ESET sur un
réseau de grande taille, les options Soumettre les fichiers suspects et Autoriser la soumission d'informations
statistiques anonymes sont particulièrement importantes : Si ces options sont définies respectivement sur Ne pas
soumettre ou sur Non, le système ThreatSense.Net est complètement désactivé. Pour soumettre des fichiers
automatiquement sans intervention de l'utilisateur, sélectionnez respectivement Soumettre sans demander et Oui.
Si un serveur proxy est utilisé avec la connexion Internet, spécifiez les paramètres de connexion sous Noyau ESET >
Configuration > Serveur proxy.
Par défaut, les produits client soumettent les fichiers suspects à ERAS, qui les soumet aux serveurs d'ESET. C'est
pourquoi, le serveur proxy doit être correctement configuré dans ERAS (Outils > Options du serveur > Paramètres
avancés > Modifier les paramètres avancés > ERA Server > Configuration > Serveur proxy).
Noyau > Configuration > Protéger les paramètres de configuration
Permet à l'administrateur de protéger par mot de passe les paramètres de configuration. Si un mot de passe est
défini, il sera requis pour pouvoir accéder aux paramètres de configuration sur les stations de travail client. Toutefois,
le mot de passe n'affectera aucune modification de configuration effectuée à partir d'ERAC.
Noyau > Configuration > Planificateur/Programmateur
Cette clé contient les options de Planificateur/Programmateur qui permettent à l'administrateur de planifier des
analyses antivirus régulières, etc.
REMARQUE : par défaut, toutes les solutions de sécurité ESET contiennent plusieurs tâches prédéfinies (dont une mise
à jour automatique régulière et un contrôle automatique des fichiers importants au démarrage). Dans la plupart des
cas, il n'est pas nécessaire de modifier ou d'ajouter des tâches.
Noyau ESET > Configuration > Valeurs d'interface utilisateur par défaut
Les paramètres sous Valeurs d'interface utilisateur par défaut (à savoir, Afficher l'écran de démarrage/Ne pas
afficher l'écran de démarrage) appliquent uniquement les modifications aux paramètres par défaut du client. Les
paramètres du client peuvent être gérés ensuite par utilisateur et ne peuvent être modifiés à distance. Pour modifier
les paramètres à distance, la valeur de l'option Supprimer les paramètres utilisateur doit être Oui. L'option
Supprimer les paramètres utilisateur est disponible uniquement pour les clients qui utilisent des produits de
sécurité ESET des versions 4.0 ou suivantes.
Mise à jour
Cette branche de Configuration Editor permet de définir la manière dont les profils de mise à jour sont appliqués.
Normalement, il suffit de modifier le profil prédéfini Mon profil et de changer les paramètres Serveur de mise à jour,
Nom d'utilisateur et Mot de passe. Si le paramètre Serveur de mise à jour est défini sur Choisir automatiquement,
toutes les mises à jour seront téléchargées à partir des serveurs de mise à jour d'ESET. Dans ce cas, utilisez les
paramètres Nom d'utilisateur et Mot de passe fournis au moment de l'achat. Pour plus d'informations sur le
paramétrage des stations de travail client pour la réception de mises à jour à partir d'un serveur local (Miroir),
consultez le chapitre Serveur Miroir 80 . Pour obtenir des informations supplémentaires sur l'utilisation du
planificateur, consultez le chapitre Planificateur 94 .
REMARQUE : sur des périphériques mobiles tels que des ordinateurs portables, vous pouvez configurer deux profils,
34
l'un pour effectuer une mise à jour à partir du serveur Miroir, et l'autre pour télécharger les mises à jour directement à
partir des serveurs d'ESET. Pour obtenir des informations supplémentaires, consultez le chapitre Mise à jour combinée
pour les portables 98 à la fin de ce document.
35
4. Installation des solutions client ESET
Ce chapitre traite de l'installation de solutions client ESET pour les systèmes d'exploitation Microsoft Windows. Vous
pouvez effectuer des installations directement sur des stations de travail ou à distance à partir d'ERAS. Ce chapitre
décrit également d'autres méthodes d'installation à distance.
REMARQUE : bien que techniquement réalisable, il n'est pas recommandé d'utiliser la fonctionnalité d'installation à
distance pour installer des produits ESET sur des serveurs (stations de travail uniquement).
4.1 Installation directe
Dans le cas d'une installation directe, l'administrateur est présent devant l'ordinateur sur lequel le produit de sécurité
ESET doit être installé. Cette méthode ne requiert aucune préparation supplémentaire et convient pour les petits
réseaux informatiques ou pour les scénarios où ERA n'est pas utilisé.
Vous pouvez considérablement simplifier cette tâche à l'aide d'une configuration .xml prédéfinie. Aucune modification
supplémentaire, telle que la définition d'un serveur de mise à jour (nom d'utilisateur et mot de passe, chemin d'accès du
serveur Miroir, etc.), du mode sans assistance, d'une analyse planifiée, etc. n'est requise pendant ou après l'installation.
Il existe des différences dans l'application du format de configuration .xml entre les versions 4.x, 3.x et 2.x des solutions
client ESET :
Version 4.x : téléchargez le fichier d'installation (p. ex., ess_nt32_enu.msi) depuis eset.com et créez votre propre
package d'installation dans Éditeur de packages d'installation. Modifiez/sélectionnez la configuration que vous
voulez associer à ce package, cliquez sur le bouton Copier... à côté du champ Package pour systèmes Windows NT
xx bits , puis enregistrez le package sous Fichier Msi d'installation d'ESET avec configuration (*.msi).
REMARQUE : l'ajout d'une configuration au fichier d'installation .msi entraînera la fin de la validité de la signature
numérique de ce fichier.
De plus, les étapes des versions 3.x s'appliquent également à la version 4.x.
Version 3.x : téléchargez le fichier d'installation (p. ex., ess_nt32_enu.msi) depuis eset.com. Copiez le fichier de
configuration (cfg.xml) dans le répertoire où se trouve le fichier d'installation. Lors de son exécution, le programme
d'installation adopte automatiquement la configuration du fichier .xml. Si le fichier de configuration .xml possède un
autre nom ou s'il se trouve à un autre endroit, le paramètre ADMINCFG ="chemin_au_fichier_xml" peut être utilisé (p.
ex. :ess_nt32_enu.msi ADMINCFG ="\\server\xml\settings.xml" pour appliquer la configuration stockée sur un lecteur
réseau).
Version 2.x : téléchargez le fichier d'installation (p. ex., ndntenst.exe) depuis eset.com. Décompactez le fichier
téléchargé dans un dossier à l'aide d'un programme d'extraction tel que WinRAR. Le dossier contient les fichiers
d'installation, y compris setup.exe. Copiez le fichier de configuration nod32.xml dans le dossier. Exécutez le fichier setup.
exe. La configuration contenue dans le fichier nod32.xml sera automatiquement appliquée. Si le fichier de
configuration .xml porte un autre nom ou se trouve ailleurs, vous pouvez utiliser le paramètre /
cfg="chemin_au_fichier_xml". (p.ex., setup.exe /cfg="\\server\xml\settings.xml" pour appliquer la configuration stockée
sur un lecteur réseau).
4.2 Installation à distance
ERA offre plusieurs méthodes d'installation à distance. Vous pouvez distribuer des packages d'installation à des stations
de travail cibles à l'aide des méthodes suivantes :
Installation poussée à distance
Installation à distance à l'aide d'un script d'ouverture de session
installation à distance par Email
Mise à niveau
La procédure d'installation à distance à l'aide d'ERA est la suivante :
Création de packages d'installation
Distribution des packages aux stations de travail client (méthode d'installation poussée, script d'ouverture de session,
Email, solution externe).
36
La première étape est lancée via ERAC, mais le package d'installation proprement dit se trouve dans ERAS, dans le
répertoire suivant :
%ALLUSERSPROFILE%\Application Data\Eset\ESET Remote Administrator\Server\packages
Pour lancer les packages d'installation via ERAC, cliquez sur l'onglet Installation à distance, sélectionnez l'onglet
Ordinateurs, puis cliquez n'importe où dans celui-ci. Sélectionnez l'option Gérer les packages dans le menu contextuel.
Chaque package d'installation est défini par un nom. Voir (1) dans la figure ci-dessus. Les autres sections de la boîte de
dialogue ont trait au contenu du package qui est appliqué dès sa remise à une station de travail cible. Chaque package
contient les éléments suivants :
Fichiers d'installation de la solution client ESET (2)
Fichier de configuration .xml pour les solutions client ESET (3)
Paramètres de ligne de commande attribués au package (4).
Le menu déroulant Type dans la section (1) permet d'accéder aux fonctionnalités complémentaires d'ERA. Outre
l'installation à distance, il est possible de désinstaller à distance les produits de sécurité ESET à l'aide de l'option
Désinstaller les Produits de sécurité ESET et NOD32 version 2. Vous pouvez également installer à distance une
application externe en sélectionnant Package personnalisé. Cette option est particulièrement utile si vous souhaitez
exécuter plusieurs scripts et fichiers exécutables sur la machine distance, y compris des outils de désinstallation pour
des produits de sécurité d'éditeurs tiers ou des outils de nettoyage autonome. Vous pouvez indiquer des paramètres de
ligne de commande personnalisés qui seront utilisés par le Fichier d'entrée du package. Consultez le chapitre
Installation de produits tiers à l'aide d'ERA 99 pour plus de détails.
Un programme d'installation à distance d'ESET-Agent est automatiquement attribué à chaque package, ce qui permet
une installation et une communication sans problème entre les stations de travail cible et ERAS. Le programme
d'installation à distance d'ESET - Agent est nommé einstaller.exe. Il contient le nom du ERAS ainsi que le nom et le type
de package auquel il appartient. Les chapitres suivants fournissent une description détaillée de l'agent.
37
Plusieurs paramètres peuvent affecter le processus d'installation. Ils sont utilisables soit durant une installation directe
avec l'administrateur présent devant la station de travail, soit pour une installation distante. Pour les installations à
distance, les paramètres sont sélectionnés durant le processus de configuration de packages d'installation. Les
paramètres sélectionnés sont ensuite appliqués automatiquement aux clients cibles. Les paramètres complémentaires
pour ESET Smart Security et ESET NOD32 Antivirus peuvent être saisis après le nom du package d'installation .msi (par
exemple, eav_nt64_ENU.msi /qn) :
/qn
Mode d'installation silencieuse -aucune boîte de dialogue ne s'affiche.
/qb!
Aucune intervention de l'utilisateur n'est possible, mais le processus d'installation est indiqué par une barre de
progression en %.
REBOOT ="ReallySuppress"
Supprime le redémarrage après installation du programme.
REBOOT ="Force"
Redémarre automatiquement après l'installation.
REBOOTPROMPT =""
Après installation, une boîte de dialogue invitant l'utilisateur à confirmer le redémarrage s'affiche (ne peut pas être
utilisé avec /qn).
ADMINCFG ="chemin_au_fichier_xml"
Durant l'installation, les paramètres définis dans les fichiers .xml spécifiés sont appliqués aux produits de sécurité
ESET. Le paramètre n'est pas obligatoire pour une installation à distance. Les packages d'installation contiennent leur
propre configuration .xml qui est appliquée automatiquement.
PASSWORD="mot de passe"
Ce paramètre doit être ajouté lorsque les paramètres ESS/EAV sont protégés par mot de passe.
Les paramètres pour ESET NOD32 Antivirus 2.x doivent être tapés après le nom de fichier setup.exe, qui peut être extrait
avec d'autres fichiers du package d'installation (p. ex., setup.exe /silentmode) :
/SILENTMODE
Mode d'installation silencieuse - aucune boîte de dialogue ne s'affiche.
/FORCEOLD
Installe une version plus ancienne sur une version plus récente installée.
/CFG ="chemin_du_fichier_xml"
Durant l'installation, les paramètres définis dans les fichiers .xml spécifiés sont appliqués aux solutions client ESET. Le
paramètre n'est pas obligatoire pour une installation à distance. Les packages d'installation contiennent leur propre
configuration .xml qui est appliquée automatiquement.
/REBOOT
Redémarre automatiquement après l'installation.
/SHOWRESTART
Après installation, une boîte de dialogue invitant l'utilisateur à confirmer le redémarrage s'affiche. Ce paramètre ne
peut pas être utilisé en combinaison avec le paramètre SILENTMODE.
/INSTMFC
Installe les bibliothèques MFC pour le système d'exploitation Microsoft Windows 9x, qui sont requises pour le bon
fonctionnement d'ERA. Ce paramètre peut toujours être utilisé, même si les bibliothèques MFC sont disponibles.
Sous Créer/Sélectionner le contenu du package d'installation (2), l'administrateur peut créer un package
d'installation autonome avec une configuration prédéfinie d'un package d'installation existant et enregistré (le bouton
Enregistrer sous...). Un tel package d'installation peut être exécuté sur la station de travail client sur laquelle le
programme doit être installé. L'utilisateur doit uniquement exécuter le package pour installer le produit sans qu'il y ait
de reconnexion à l'ERAS durant l'installation.
REMARQUE : l'ajout d'une configuration au fichier d'installation .msi entraînera la fin de la validité de la signature
numérique de ce fichier.
Important : sous le système d'exploitation Microsoft Windows Vista et suivants, il est vivement conseillé de réaliser une
installation à distance silencieuse (le paramètre /qn, /qb). Dans le cas contraire, l'interaction avec un utilisateur pourrait
entraîner l'échec de l'installation à distance en raison du délai de connexion.
38
4.2.1 Configuration requise
La configuration de base pour l'installation à distance est un réseau TCP/IP correctement configuré, permettant une
communication client-serveur fiable. L'installation d'une solution client à l'aide d'ERA impose des conditions plus strictes
sur la station de travail client qu'une installation directe. Les conditions qui doivent être réunies pour une installation à
distance sont les suivantes :
Client réseau Microsoft activé
Service de partage de fichiers et d'imprimantes activé
Ports de partage de fichiers (445, 135 - 139) accessibles
Protocole TCP/IP
Partage administratif ADMIN$ activé
Capacité du client à répondre à des requêtes PING
Connectivité d'ERAS et d'ERAC (ports - 2224-2224 accessibles)
Nom d'utilisateur et mot de passe Administrateur existants pour les stations de travail client (le nom d'utilisateur ne
peut pas rester vide)
Option Partage de fichiers simple désactivée
Service Serveur activé
Service Accès à distance au Registre activé
REMARQUE :: les versions récentes de Microsoft Windows (Windows Vista, Windows Server 2008 et Windows 7)
appliquent des stratégies de sécurité qui limitent les autorisations des comptes des utilisateurs locaux, ce qui signifie
que l'utilisateur ne pourra peut-être pas exécuter certaines opérations de réseau. Si votre service ERA est exécuté sous
un compte d'utilisateur local, des problèmes d'installation poussée pourraient survenir dans certaines configurations de
réseau (par exemple, lors de l'installation à distance depuis un domaine vers un groupe de travail). En cas d'utilisation de
Windows Vista, Windows Server 2008 ou Windows 7, il est conseillé d'exécuter le service ERA sous des comptes
possédant les privilèges de réseau suffisants. Pour désigner le compte utilisateur sous lequel vous souhaitez exécuter
ERA, accédez au menu Démarrer ’ Panneau de configuration ’ Outils d'administration ’ Services. Choisissez le
service ESET Remote Administrator Server dans la liste et cliquez sur l'onglet Ouverture de session . ESET Remote
Administrator 4 intègre ce paramètre dans le scénario d'installation avancé et par conséquent, vous devez choisir
Avancée ’ Installation totalement personnalisée lors de l'installation. Si vous utilisez l'installation poussée sur des
stations de travail cible Windows Vista, Windows Server 2008 ou Windows 7, vérifiez que ERA Server et les stations de
travail cible se trouvent dans un domaine.
Il est vivement conseillé de vérifier toutes les exigences avant l'installation, surtout si le réseau compte plusieurs stations
de travail (sous l'onglet Installation à distance, sélectionnez l'onglet Ordinateurs, cliquez avec le bouton droit de la
souris sur le ou les clients pertinents, puis choisissez l'option Diagnostics de l'installation poussée dans le menu
contextuel).
4.2.2 Configuration de l'environnement pour une installation à distance
Avant d'installer des produits de sécurité ESET sur des ordinateurs distants, l'administrateur doit préparer correctement
l'environnement pour éviter des échecs d'installation.
La section Vue réseau de l'onglet Installation à distance offre un aperçu personnalisable du réseau. Le réseau peut
être exploré de deux manières.
Console
La vue Console offre une fonction de recherche NetBios standard de l'ordinateur sur lequel ERAC est installé. Elle
indique les domaines et les groupes de travail disponibles. Ceux-ci peuvent être cochés ou décochés pour filtrer la vue.
Serveur
La vue Serveur offre plus d'options de filtrage. Outre la recherche NetBios, vous pouvez voir les ordinateurs dans Active
Directory, les clients ERA existants et créer des filtres personnalisés.
Les filtres personnalisés reprennent deux éléments (Liste personnalisée et Recherche IP) qui permettent chacun de
créer des groupes manuellement.
Dans la Liste personnalisée, vous pouvez ajouter des ordinateurs à un groupe manuellement en tapant leur nom dans
la section Ordinateurs du groupe ou en les important depuis un fichier .txt. Dans les deux cas, les noms d'ordinateur
doivent être écrit un par un, comme dans une liste.
La section Recherche IP permet de définir une plage IP d'ordinateurs et des groupes de plages IP d'ordinateurs où la
plage IP sert de critère de filtrage.
39
REMARQUE : Les branches Console/Serveur définissent si les ordinateurs sont explorés depuis ERAS ou ERAC. Il est
conseillé de tenir compte de cet élément en cas de connexion à un ERAS depuis un réseau différent.
La section Options de filtre offre deux options de filtrage complémentaires :
Ordinateurs non enregistrés : affiche les ordinateurs qui ne sont pas répertoriés dans la base de données serveur
actuelle.
Clients avec avertissement de dernière connexion : affiche les ordinateurs répertoriés dans la base de données
serveur actuelle et qui ont été l'objet de l'avertissement de dernière connexion.
Une fois que toutes les conditions nécessaires ont été définies dans les sections Vue réseau et Options de filtre, la liste
des stations de travail adaptées à l'installation d'une solution client apparaît dans le côté droit de la fenêtre sous l'onglet
Ordinateurs. Il est possible de réaliser un diagnostic de l'installation poussée sur les ordinateurs trouvés et affichés dans
la liste en cliquant avec le bouton droit de la souris sur les ordinateurs sélectionnés et en choisissant l'option
Diagnostics de l'installation poussée dans le menu contextuel. Le diagnostic permet de vérifier les exigences
d'installation et d'identifier d'éventuels problèmes.
4.2.3 Installation poussée à distance
Cette méthode d'installation à distance pousse des solutions client ESET sur des ordinateurs cibles distants. Les
ordinateurs cibles doivent être en ligne. En supposant que toutes les stations de travail sont actives, la méthode
d'installation poussée est la plus efficace. Avant de lancer une installation poussée, il faut télécharger les fichiers
d'installation .msi pour ESET Smart Security ou ESET NOD32 Antivirus depuis le site Web d'ESET et créer un package
d'installation. Vous pouvez créer un fichier de configuration .xml qui sera appliqué automatiquement lors de l'exécution
du package. Consultez le chapitre sur la Configuration requise 39 avant de lancer l'installation.
Pour lancer une installation poussée, procédez comme suit :
1) Dès que les ordinateurs qui conviennent à l'installation à distance sont repris sous l'onglet Ordinateurs, vous pouvez
les sélectionner tous ou quelques-uns et lancer une tâche d'installation poussée en cliquant avec le bouton droit de la
souris dans la fenêtre et en sélectionnant l'option Installation poussée dans le menu contextuel.
2) Définissez les informations d'ouverture de session pour les ordinateurs dans la liste (Définir, Définir tout). Cette
opération doit être réalisée à l'aide d'un compte possédant les privilèges d'administrateur. Vous pouvez toujours ajouter
des clients à la liste dans cette étape grâce à la fonctionnalité spéciale Ajouter des clients.
3) Sélectionnez le package d'installation souhaité à livrer aux stations de travail cibles.
4) Définissez l'heure à laquelle la tâche doit être exécutée, puis cliquez sur Terminer.
L'état de la tâche d'installation poussée apparaît sous l'onglet Tâches d'installation. Pour les détails des résultats du
40
diagnostic, sélectionnez la tâche souhaitée, puis enfoncez la touche F4. La fenêtre Propriétés s'ouvre sous l'onglet
Détails. Vous pouvez y afficher les résultats du diagnostic d'installation à distance en cliquant sur Afficher tous les
journaux/Afficher les journaux sélectionnés.
REMARQUE : par défaut, le nombre maximum de threads simultanés d'installation poussée est limité à 20. Si vous
envoyez une tâche d'installation poussée à un nombre d'ordinateurs supérieur à cette limite, les ordinateurs
excédentaires seront placés dans une file d'attente jusqu'à ce que des threads soient disponibles. Pour des raisons de
performances, il est déconseillé d'augmenter cette valeur ; toutefois, si vous estimez que cela est nécessaire, vous
pouvez modifier la limite dans l'éditeur de configuration (ESET Remote Administrator > ERA Server > Configuration
> Installation à distance).
Les détails de la procédure d'installation à distance sont décrits ci-dessous :
5) ERAS envoie l'agent einstaller.exe à la station de travail à l'aide du partage administratif admin$.
6) L'agent démarre en tant que service sous le compte système.
7) L'agent établit une communication avec son ERAS « parent » et télécharge le package d'installation correspondant sur
le port TCP 2224.
41
8) L'agent installe le package sous le compte d'administrateur défini à l'étape 2 ; le fichier de configuration .xml
correspondant et les paramètres de ligne de commande sont également appliqués.
9) Dès l'installation terminée, l'agent renvoie un message à ERAS. Certains produits de sécurité ESET requièrent un
redémarrage et vous invitent à réagir si nécessaire.
Le menu contextuel (cliquez sur bouton droit de la souris) de la boîte de dialogue Ordinateurs offre les options
suivantes :
Gérer les packages
Exécute l'Éditeur de packages d'installation. Consultez le point Installation à distance
36
pour obtenir les détails.
Mettre à niveau le client
Exécute la tâche de mise à jour. Utilisez cette option si vous souhaitez installer une version plus récente d'ESS/EVA sur
une version plus ancienne.
Diagnostics de l'installation poussée
Contrôle la disponibilité des clients et services à utiliser durant l'installation à distance. Pour obtenir des informations
supplémentaires, consultez le chapitre Configuration de l'environnement pour une installation à distance 39 .
installation poussée
Exécute la tâche d'installation à distance
Exporter dans le dossier ou le script d'ouverture de session
Consultez le point Installation à l'aide d'un script d'ouverture de session/d'un email
43
pour obtenir les détails.
Envoyer par email
Consultez le point Installation à l'aide d'un script d'ouverture de session/d'un email
43
pour obtenir les détails.
Ouverture de session par défaut pour les installations par email et script d'ouverture de session
Ouvre la fenêtre Ouverture de session par défaut qui permet d'indiquer le nom d'utilisateur et le mot de passe d'un
compte administrateur du ou des ordinateurs cibles.
Propriétés
Ouvre la fenêtre Propriétés du client qui reprend toutes les informations importantes sur le client.
Pour les autres options du menu contextuel, consultez le chapitre Menu contextuel
42
23
.
4.2.4 Installation à distance par ouverture de session ou par Email
Les méthodes d'installation à distance par ouverture de session et par Email sont très similaires. Elles ne se différencient
que par la manière dont l'agent einstaller.exe est envoyé aux stations de travail client. ERA permet d'exécuter l'agent via
un script d'ouverture de session ou via Email. L'agent einstaller.exe peut également être utilisé individuellement et
exécuté via d'autres méthodes (pour plus d'informations, consultez le chapitre Installation à distance personnalisée 45 ).
La méthode par ouverture de session est bien adaptée aux ordinateurs portables qui se trouvent souvent hors du
réseau local. L'installation est exécutée après l'ouverture de session dans le domaine. Pour ces appareils, la méthode de
script d'ouverture de session est conseillée.
Alors que le script d'ouverture de session s'exécute automatiquement lorsque l'utilisateur ouvre une session, la
méthode Email requiert une intervention de l'utilisateur qui doit lancer l'agent einstaller.exe à partir de la pièce jointe au
message électronique. Si einstaller.exe est lancé plusieurs fois, il ne déclenche pas d'autre installation de solutions client
ESET. Pour plus d'informations, consultez le chapitre Éviter des installations répétées 46 .
La ligne appelant l'agent einstaller.exe à partir du script d'ouverture de session peut être insérée à l'aide d'un simple
éditeur de texte ou de toute autre outil propriétaire. De même, einstaller.exe peut être envoyé en tant que pièce jointe
de message électronique par tout client de messagerie. Quelle que soit la méthode utilisée, assurez-vous d'utiliser le
fichier einstaller.exe approprié.
Pour le lancement d'einstaller.exe, l'utilisateur actuellement connecté ne doit pas nécessairement être un administrateur.
L'agent adopte le nom d'utilisateur/mot de passe/domaine d'administrateur requis d'ERAS. Pour plus d'informations,
consultez la fin de ce chapitre.
Saisissez le chemin d'accès du fichier einstaller.exe dans le script d'ouverture de session :
1) Cliquez avec le bouton droit de la souris sur une entrée de l'onglet Installation à distance, cliquez sur Exporter dans
le dossier ou le script d'ouverture de session, puis sélectionnez le Type et le nom du Package à installer.
2) Cliquez sur le bouton … à côté de Dossier, puis sélectionnez le répertoire où le fichier einstaller.exe sera situé et
disponible au sein du réseau, puis cliquez sur OK.
3) Dans le champ Partager, assurez-vous que le chemin d'accès est correct ou modifiez-le si nécessaire.
4) Cliquez sur le bouton … à côté de Dossier du script pour sélectionner le dossier où se trouve le script, puis modifiez le
masque si nécessaire (Fichiers).
5) Dans la section Fichiers, sélectionnez le fichier dans lequel insérer la ligne (invoquant einstaller.exe).
6) Cliquez sur Export dans le script d'ouverture de session pour insérer la ligne.
7) Vous pouvez modifier l'emplacement de la ligne en cliquant sur Modifier >>, puis l'enregistrer en cliquant sur le
bouton Enregistrer.
43
Joindre l'agent (einstaller.exe) à un Email :
1) Sous l'onglet Installation à distance, cliquez sur Email..., puis sélectionnez le Type et le nom du Package que vous
souhaitez installer.
2) Cliquez sur À… pour sélectionner des destinataires dans le carnet d'adresses (ou insérer des adresses individuelles).
3) Saisissez un objet dans le champ correspondant.
4) Tapez un message dans l'espace réservé au corps du message.
5) Cochez la case Envoyer fichier .zip compressé si vous voulez envoyer l'agent en tant que package compressé.
6) Cliquez sur Envoyer pour expédier le message.
Durant le processus d'installation à distance, une reconnexion à ERAS a lieu et l'agent (einstaller.exe) adopte les
paramètres de l'option Ouverture de session par défaut pour les installations par email et script d'ouverture de
session dans le menu contextuel.
Le nom d'utilisateur et le mot de passe du compte sous lequel l'installation du package sera réalisée doivent
correspondre à un compte bénéficiant des droits d'administrateur ou, de préférence, un compte d'administrateur de
domaine. Les valeurs insérées dans la boîte de dialogue Ouverture de session par défaut… sont oubliées après chaque
redémarrage du service (ERAS).
44
4.2.5 Installation à distance personnalisée
Il n'est pas obligatoire d'utiliser des outils ERA pour installer à distance des solutions client ESET. Finalement, l'aspect le
plus important est de fournir et d'exécuter le fichier einstaller.exe sur les stations de travail client.
Pour le lancement d'einstaller.exe, l'utilisateur actuellement connecté ne doit pas nécessairement être un administrateur.
L'agent adopte le nom d'utilisateur/mot de passe/domaine d'administrateur requis d'ERAS. Pour plus d'informations,
consultez la fin de ce chapitre.
Le fichier einstaller.exe peut être obtenu comme suit :
Dans l'onglet Ordinateurs (de l'onglet Installation à distance), cliquez n'importe où dans l'onglet, sélectionnez
l'option Exporter dans le dossier ou le script d'ouverture de session dans le menu contextuel, puis choisissez Type
et le nom du Package à installer.
Cliquez sur le bouton … à côté de Dossier, puis sélectionnez le répertoire dans lequel le fichier einstaller.exe sera
exporté.
Cliquez sur le bouton Exporter dans dossier.
Utilisez le fichier einstaller.exe extrait.
REMARQUE : La méthode « Installation directe avec une configuration XML prédéfinie » peut être utilisée dans des
situations où il est possible de fournir des droits d'administrateur pour l'installation. Le package .msi est exécuté avec le
paramètre /qn (version 4.x, 3.x) ou le paramètre /silentmode (version 2.x). Ces paramètres exécuteront l'installation sans
afficher d'interface utilisateur.
Le nom d'utilisateur et le mot de passe du compte sous lequel l'installation du package sera réalisée doivent
correspondre à un compte bénéficiant des droits d'administrateur ou, de préférence, un compte d'administrateur de
domaine.
Durant le processus d'installation à distance, une reconnexion à ERAS a lieu et l'agent (einstaller.exe) adopte les
paramètres de l'option Ouverture de session par défaut pour installations par email et script d'ouverture de session
.
Si l'agent einstaller.exe est démarré manuellement sur une station de travail cible, l'installation à distance est gérée de la
manière suivante :
L'agent einstaller.exe envoie une demande à ERAS (port TCP 2224).
ERAS démarre une nouvelle installation poussée (avec un nouvel agent) du package correspondant (envoyé via le
partage admin$). L'agent attend une réponse d'ERAS (envoyant le package via le partage admin$). À défaut de
réponse, l'agent tente de télécharger le package d'installation (via le port TCP/IP 2224). Dans ce cas, le nom
d'utilisateur et le mot de passe d'administrateur spécifiés dans Installation à distance > Ouverture de session... sur
l'ERAS ne sont pas transférés et l'agent tente d'installer le package sous l'identité de l'utilisateur actuel. Sur les
45
systèmes d'exploitation Microsoft Windows 9x/Me, il n'est pas possible d'utiliser le partage administratif, de sorte que
l'agent établit automatiquement une connexion TCP/IP directe au serveur. Le nouvel agent commence ensuite à
télécharger le package à partir d'ERAS via le protocole TCP/IP.
L'installation du package est lancée et applique les paramètres .xml associés sous le compte défini dans l'ERAS (option
Ouverture de session par défaut pour installations par email et script d'ouverture de session).
4.2.6 Mise à niveau
Ce type d'installation est conçu pour les clients avec ESS/EAV version 4.2 et suivantes. Depuis la version 4.2, un
nouveau mécanisme de mise à niveau a été mis en oeuvre et permet à ERA de lancer la mise à niveau du côté client sans
agent einstaller.exe. Ce mécanisme fonctionne de la même manière que la mise à jour des composants du programme
(PCU) qui installe la version la plus récente du programme sur les clients. Pour les clients ESS/EAV des versions 4.2 et
suivantes, il est vivement conseillé d'utiliser ce type de mise à niveau.
REMARQUE : si un fichier de configuration personnalisé a été défini pour le package d'installation, il sera ignoré lors de
la mise à niveau.
4.2.7 Éviter des installations répétées
Dès que l'agent a terminé avec succès le processus d'installation à distance, il marque le client distant à l'aide d'un
drapeau interdisant des installations répétées du même package d'installation. Le drapeau est inscrit dans la clé de
registre suivante :
HKEY_LOCAL_MACHINE\Software\ESET\ESET Remote Installer
Si le type et le nom du package définis dans l'agent einstaller.exe correspondent aux données inscrites dans le Registre,
aucune installation n'a lieu. Ceci empêche que les mêmes stations de travail soient ciblées en cas d'installations répétées.
REMARQUE : la méthode d'installation poussée à distance ignore cette clé de registre.
ERAS propose une fonctionnalité complémentaire pour éviter les installations répétées. Celle-ci s'active lorsque le
programme d'installation établit une reconnexion au ERAS (TCP 2224). S'il y a un message d'erreur relatif à la station de
travail, ou si l'installation a réussi, toute tentative d'installation supplémentaire est refusée.
L'agent enregistre l'erreur suivante dans le journal du programme d'installation situé dans %TEMP%\einstaller.log :
Le serveur 'X:2224' a demandé la fermeture du programme d'installation d'ESET.
Pour empêcher ERAS de refuser des installations répétées, il faut supprimer les entrées correspondantes sous l'onglet
46
Détails de la tâche d'installation à distance. Pour supprimer une entrée, sélectionnez-la, puis cliquez sur le bouton
Supprimer et confirmer en cliquant sur Oui.
4.3 Installation dans un environnement d'entreprise
Lors du déploiement de programmes dans un réseau de grande taille, il est important d'utiliser un outil capable
d'effectuer des installations de programme à distance sur chaque ordinateur du réseau.
Installation via une stratégie de groupe
Dans l'environnement Active Directory, cette tâche peut être effectuée élégamment à l'aide d'une installation par
stratégie de groupe. L'installation utilise le programme d'installation MSI qui est distribué directement à tous les clients
se connectant au domaine via une stratégie de groupe.
Pour configurer un contrôleur de domaine afin d'installer automatiquement ESET Smart Security ou ESET NOD32
Antivirus sur chaque station de travail après connexion, procédez comme suit :
1) Créez un dossier partagé sur votre contrôleur de domaine. Toutes les stations de travail doivent disposer d'une
autorisation d'accès en lecture à ce dossier.
2) Copiez le package d'installation d'ESET Smart Security ou de ESET NOD32 Antivirus (.msi) dans le dossier.
3) Insérez un fichier de configuration .xml à appliquer au programme dans le même dossier. Ce fichier doit s'appeler cfg.
xml. Pour créer un fichier de configuration, vous pouvez utiliser ESET Configuration Editor. Pour obtenir des
informations supplémentaires, consultez le chapitre ESET Configuration Editor 32 .
4) Cliquez sur Démarrer > Programmes > Outils d'administration > Utilisateurs et ordinateurs Active Directory.
5) Cliquez avec le bouton droit sur le nom de domaine, puis sélectionnez Propriétés > Stratégie de groupe > Modifier >
Configuration utilisateur.
6) Cliquez avec le bouton droit de la souris sur Paramètres du logiciel, puis sélectionnez Nouveau > Package.
7) Dans la fenêtre Ouvrir, spécifiez le chemin UNC du package d'installation partagé, c.-à-d. \
\computer_name\path\installation_package.msi, puis cliquez sur Ouvrir. N'utilisez pas l'option Parcourir pour localiser
le package d'installation, car elle afficherait un chemin de réseau local plutôt qu'un chemin de réseau UNC.
8) Dans la boîte de dialogue suivante, activez l'option Attribué. Cliquez ensuite sur OK pour fermer la fenêtre.
En procédant de la manière décrite ci-dessus, le package du programme d'installation sera installé sur chaque
ordinateur accédant au domaine. Pour installer le package sur des ordinateurs actuellement opérationnels, les
utilisateurs doivent se déconnecter puis se reconnecter.
Si vous voulez donner à l'utilisateur la possibilité d'accepter ou de refuser l'installation du package, à l'étape 8,
sélectionnez Publier au lieu de Attribué. La prochaine fois que l'utilisateur se connectera, le package sera ajouté à
Panneau de configuration > Ajout ou suppression de programmes > Ajouter un programme > Ajouter des
programmes à partir de votre réseau. Le package sera alors à la disposition des utilisateurs pour des installations
futures à partir de cet emplacement.
47
5. Administration d'ordinateurs client
5.1 Tâches
Vous pouvez configurer et administrer les stations de travail client correctement connectées à ERAS et affichées dans
ERAC à l'aide de différents types de tâches.
Le flux de travail général décrit ci-après s'applique à toutes les tâches décrites dans les sous-chapitres suivants, sauf à la
Tâche interactive 51 (cf. le chapitre pour une explication sur le flux de travail.
Étape I : Nouvelle tâche
Vous pouvez appliquer des tâches à plusieurs clients ou à un ou plusieurs groupes de clients.
1) Pour appliquer une tâche à une ou plusieurs stations de travail client, dans le volet Clients, sélectionnez la ou les
stations de travail et cliquez dessus avec le bouton droit de la souris.
2) Cliquez sur Nouvelle tâche, puis sélectionnez le type de tâche à exécuter.
REMARQUE : vous pouvez également ouvrir l'Assistant Tâche à partir du menu principal d'ERAC en cliquant sur
Actions > Nouvelle tâche.
Étape II : sélectionnez une des tâches suivantes :
Tâche de configuration 49
Analyse à la demande (nettoyage désactivé) 49
Analyse à la demande (nettoyage activé) 49
Mettre à jour maintenant 50
Tâche de script SysInspector 50
Tâche Restaurer/Supprimer depuis la quarantaine
Générer un journal de vérification de sécurité 51
Afficher la notification 51
50
3) Quand vous aurez choisi la tâche souhaitée, vous devrez réaliser les actions propres à chaque tâche décrites dans
chacun des chapitres (cf. liens ci-après).
Étape III : Sélectionner des clients
4) Vous pouvez modifier vos sélections de clients dans la fenêtre Sélectionner des clients qui apparaît une fois que la
tâche est configurée. Vous pouvez affiner la sélection de clients en ajoutant des clients de l'arborescence de
présentation de clients Tous les éléments (moitié gauche de la fenêtre) vers la liste Éléments sélectionnés (moitié
droite de la fenêtre) ou en supprimant les entrées de client qui figurent déjà dans la liste.
REMARQUE : cliquez sur Ajouter un élément spécial... afin d'ouvrir une nouvelle fenêtre dans laquelle vous pouvez
ajouter des clients depuis le Volet clients ou ajouter des clients par Serveur et/ou Groupes.
Étape IV : Rapport des tâches, Terminer
5) La dernière boîte de dialogue, Rapport des tâches affiche un aperçu de la tâche de configuration. Saisissez un nom
ou une description pour la tâche (facultatif). L'option Appliquer la tâche ultérieurement permet de définir la tâche à
exécuter après une date/heure spécifiée. L'option Supprimer les tâches automatiquement par nettoyage si elles
sont réalisées correctement supprime toutes les tâches envoyées avec succès aux stations de travail cibles.
6) Cliquez sur Terminer pour enregistrer la tâche à exécuter.
Les sous-chapitres suivants décrivent les types de tâches individuelles pour les stations de travail client et fournissent
une exemple de scénario pour chacun d'eux.
48
5.1.1 Tâche de configuration
Les tâches de configuration permettent de modifier les paramètres de protection sur les stations de travail client. Ces
tâches sont envoyées aux stations de travail client dans des packages de configuration contenant les paramètres de
modification. Les fichiers .xml créés dans ESET Configuration Editor ou exportés depuis des clients sont également
compatibles avec les tâches de configuration. L'exemple ci-dessous montre comment créer une tâche de configuration
qui modifie le nom d'utilisateur et le mot de passe sur des ordinateurs cibles. Les commutateurs et options non utilisés
dans cet exemple sont décrits à la fin de ce chapitre.
Premièrement, désignez les stations de travail auxquelles la tâche doit être envoyée. Marquez-les dans le volet Clients
d'ERAC.
1) Cliquez avec le bouton droit de la souris sur une station de travail sélectionnée, puis, dans le menu contextuel, cliquez
sur Nouvelle tâche > Tâche de configuration.
2) La fenêtre Configuration des clients s'ouvre, qui fait office d'Assistant Tâche de configuration. Vous pouvez spécifier
la source du fichier de configuration en cliquant sur Créer..., Sélectionner... ou Créer à partir d'un modèle....
3) Cliquez sur le bouton Créer pour ouvrir ESET Configuration Editor, puis désignez la configuration à appliquer.
Accédez à ESET Smart Security, ESET NOD32 Antivirus > Module de mise à jour > Profil > Configuration > Nom
d'utilisateur et Mot de passe.
4) Saisissez le nom d'utilisateur et le mot de passe fournis par ESET, puis cliquez sur Console à droite pour revenir à
l'Assistant Tâche. Le chemin d'accès du package s'affiche dans le champ Créer/Sélectionner une configuration.
5) Si vous avez déjà un fichier de configuration contenant les modifications souhaitées, cliquez sur Sélectionner,
recherchez le fichier, puis attribuez-le à la tâche de configuration.
6) Vous pouvez également cliquer sur Créer à partir d'un modèle, sélectionner le fichier .xml, puis apporter les
modifications nécessaires.
7) Pour consulter ou modifier le fichier de configuration que vous venez de créer ou de modifier, cliquez sur le bouton
Afficher ou Modifier.
8) Cliquez sur Suivant pour accéder à la fenêtre Sélectionner des clients qui présente les stations de travail auxquelles
il faut envoyer la tâche. À ce stade, vous pouvez ajouter des clients (ou 2 des serveurs ou des groupes sélectionnés).
Cliquez sur Suivant pour passer à l'étape suivante.
9) La dernière boîte de dialogue, Rapport des tâches affiche un aperçu de la tâche de configuration. Saisissez un nom
ou une description pour la tâche (facultatif). L'option Appliquer la tâche ultérieurement permet de définir la tâche à
exécuter après une date/heure spécifiée. L'option Supprimer les tâches automatiquement par nettoyage si elles
sont réalisées correctement supprime toutes les tâches envoyées avec succès aux stations de travail cibles.
10) Cliquez sur Terminer pour enregistrer la tâche à exécuter.
5.1.2 Tâche Analyse à la demande
L'option de menu contextuel Nouvelle tâche contient deux variantes de l'analyse à la demande. La première option est
Analyse à la demande (nettoyage désactivé). Elle ne fait que créer un journal ; aucune action n'est appliquée aux
fichiers infectés. La seconde option est Analyse à la demande (nettoyage activé).
La fenêtre Analyse à la demande contient les mêmes paramètres par défaut pour les deux variantes, à l'exception de
l'option Analyser sans nettoyer. Cette option détermine si l'analyseur doit ou non nettoyer les fichiers infectés.
L'exemple ci-dessous montre comment créer une tâche d'analyse à la demande.
1) Le menu déroulantSection de configuration permet de sélectionner le type de produit ESET pour lequel la tâche
d'analyse à la demande est définie. Sélectionnez l'un des produits installés sur les stations de travail cible.
REMARQUE : L'option Exclure cette section de l'analyse à la demande désactive tous les paramètres définis dans
la fenêtre pour le type de produit sélectionné ; ils ne sont pas appliqués aux stations de travail sur lesquelles le type
de produit défini dans Section de configuration est installé. Ainsi, tous les clients sur lesquels est installé le produit
spécifié sont exclus de la liste des destinataires. Si l'administrateur marque des clients comme destinataires et exclut
le produit à l'aide du paramètre précité, la tâche échoue et une notification s'affiche indiquant qu'il n'a pas été possible
de l'exécuter. Pour éviter cela, l'administrateur doit toujours spécifier les clients auxquels attribuer la tâche.
49
2) Dans Nom de profil, vous pouvez sélectionner un profil d'analyse à appliquer pour la tâche.
3) Dans la section Lecteurs à analyser, sélectionnez les types de lecteur à analyser sur les ordinateurs client. Si la
sélection est trop générale, vous pouvez ajouter le chemin d'accès exact des objets à analyser. À cette fin, utilisez le
champ Chemin d'accès ou le bouton Ajouter un chemin. Sélectionnez Effacer historique pour restaurer la liste
d'origine des lecteurs à analyser.
4) Cliquez sur Suivant pour accéder aux boîtes de dialogue Sélectionner des clients et Rapport des tâches qui sont
décrites en détail dans le chapitre Tâches 48 .
5) Une fois l'exécution de la tâche terminée sur les stations de travail client, les résultats sont renvoyés à ERAS où vous
pouvez les consulter dans l'ERAC dans le volet Journal d'analyse.
5.1.3 Tâche Mettre à jour maintenant
L'objectif de cette tâche est d'appliquer des mises à jour à des stations de travail cible (mises à jour de base des
signatures de virus ainsi que mises à niveau de composants du programme).
1) Cliquez avec le bouton droit sur une station de travail dans le volet Clients, puis sélectionnez Nouvelle tâche >
Mettre à jour maintenant.
2) Pour exclure de la tâche certains types de produit de sécurité ESET, sélectionnez-les dans le menu déroulant Section
de configuration, puis activez l'option Exclure cette section de la tâche de mise à jour.
3) Pour utiliser un profil de mise à jour spécifique pour la tâche Mettre à jour maintenant, activez l'option Spécifier un
nom de profil, puis sélectionnez le profil souhaité. Vous pouvez également sélectionner Nom de profil défini par
l'utilisateur, puis saisir le nom de profil. Pour rétablir la valeur par défaut du champ, cliquez sur Effacer historique.
4) Cliquez ensuite sur Suivant pour accéder aux boîtes de dialogue Sélectionner de clients et Rapport des tâches.
Pour obtenir une description de ces boîtes de dialogue, consultez le chapitre Tâches 48 .
5.1.4 Tâche de script SysInspector
La tâche de script SysInspector permet d'exécuter des scripts sur des ordinateurs cibles. Il permet de supprimer des
objets indésirables du système. Pour plus d'informations, consultez la page d'aide sur ESET SysInspector 100 .
1) Après avoir terminé les étapes I et II décrites au chapitre Tâches
exécuter sur la station de travail cible.
48
, cliquez sur Sélectionner pour choisir le script à
2) Cliquez sur Afficher et modifier pour adapter le script.
3) Cliquez sur Suivant pour accéder aux boîtes de dialogue Sélectionner des clients et Rapport des tâches qui sont
décrites en détail dans le chapitre Tâches 48 .
4) Quand la tâche est terminée sur la station de travail client, les informations sont affichées dans la colonne État du
volet Tâches.
REMARQUE : les tâches de script SysInspector sont uniquement prises en charge à partir de ESET Smart Security/ESET
NOD32 Antivirus version 4.0.
5.1.5 Tâche Restaurer/Supprimer depuis la quarantaine
Cette tâche permet de restaurer ou de supprimer de la quarantaine du client les objets désignés.
1) Une fois que la fenêtre Tâche Restaurer/Supprimer depuis la quarantaine a été ouverte (cf. chapitre Tâches 48 ),
cliquez sur la case de sélection Restaurer/Supprimer en fonction du type d'action que vous voulez exécuter sur
l'objet mis en quarantaine.
REMARQUE : si vous restaurez un objet mis en quarantaine qui est toujours détecté en tant que menace, pensez à
sélectionner l'option Ajouter également l'exclusion, sans quoi le logiciel antivirus pourrait arrêter l'action ou ajouter
à nouveau l'objet à la quarantaine.
50
2) Choisissez une condition pour désigner les objets mis en quarantaine que vous voulez restaurer/supprimer, puis
cliquez sur Suivant.
REMARQUE : si vous avez ouvert la tâche Tâche Restaurer/Supprimer depuis la quarantaine en cliquant avec le
bouton droit de la souris sur une entrée de la quarantaine directement dans l'onglet Quarantaine (et choisi l'option
Tâche Restaurer/Supprimer depuis la quarantaine), vous ne devrez pas désigner de condition (l'option Par
hachage sera choisie automatiquement et le code hash du fichier mis en quarantaine servira d'identifiant).
3) Sélectionnez les clients pour l'opération de restauration/suppression (cf. chapitre Tâches
48
) et cliquez sur Suivant).
4) Vérifiez les paramètres dans la fenêtre Rapport des tâches, nommez votre tâche, indiquez l'heure à laquelle vous
voulez appliquer la tâche et, le cas échéant, définissez les options de nettoyage, puis cliquez sur Terminer pour
confirmer. Consultez le chapitre Tâches 48 pour plus d'informations.
5.1.6 Tâche Générer un journal de vérification de sécurité
Cette tâche concerne uniquement ESET Mobile Security.
La vérification de sécurité contrôle : le niveau de la batterie, le statut Bluetooth, l'espace disque disponible, la visibilité
des périphériques, le réseau domestique et les processus en cours. Un rapport détaillé est généré et indique si la valeur
est en dessous ou non du seuil défini ou si elle constitue un risque potentiel pour la sécurité, p. ex., visibilité des
périphériques activée, etc.).
Pour vérifier la sécurité du téléphone :
1) Cliquez avec le bouton droit de la souris sur le nom du client dans le volet Clients et choisissez l'option Nouvelle
tâche > Générer un journal de vérification de sécurité dans le menu contextuel.
2) Cliquez ensuite sur Suivant pour accéder aux boîtes de dialogue Sélectionner des clients et Rapport des tâches.
Pour obtenir une description de ces fenêtres, consultez le chapitre Tâches 48 .
5.1.7 Tâche Afficher la notification
Cette tâche concerne uniquement ESET Mobile Security.
Pour envoyer une notification (p. ex., un message d'avertissement) à un téléphone :
1) Cliquez avec le bouton droit de la souris sur le nom du client dans le volet Clients et choisissez l'option Nouvelle
tâche > Afficher la notification dans le menu contextuel.
2) Saisissez le Titre de la notification et Corps du message dans les champs appropriés et sélectionnez la Verbosité de la
notification.
3) Cliquez ensuite sur Suivant pour accéder aux boîtes de dialogue Sélectionner des clients et Rapport des tâches.
Pour obtenir une description de ces fenêtres, consultez le chapitre Tâches 48 .
5.1.8 Tâche interactive
Cette tâche diffère de toutes les autres tâches décrites au niveau de son exécution et de son application.
L'onglet Clients reprend la colonne Texte du statut de protection qui surveille l'état de la protection de tous les clients
ESET connectés. Un champ vide indique que l'état de la protection pour un client donné est au niveau Protection
maximum. Si le niveau de protection d'un client est inférieur au niveau de protection minimum, un avertissement de
statut de protection surligné en rouge ou en orange apparaît dans Texte du statut de protection (p. ex., Le pare-feu
personnel ESET est désactivé).
ERA permet à l'administrateur de manipuler ces paramètres depuis l'onglet Clients de la manière suivante :
1) Double-cliquez sur une entrée pertinente de client de l'onglet Clients.
2) Dans la fenêtre Propriétés, cliquez sur l'onglet État de la protection.
51
Figure : cliquez sur le texte de solution proposé pour envoyer une tâche interactive au client.
3) Le champ État de la protection contient un ou plusieurs avertissements. Cliquez sur la proposition de solution en
bleu à la fin de chaque message.
4) Cliquez sur Oui pour confirmer l'exécution de la tâche interactive.
5) Après avoir répété les étapes 3 et 4 pour chaque message affiché, cliquez plusieurs fois sur Rafraîchir pour voir si le
ou les messages d'état ont disparu.
Une fois que tous les problèmes auront été résolus, le message d'état de la protection deviendra État de la protection :
Le système est sécurisé.
REMARQUE : la fonctionnalité de tâche interactive est prise en charge par ESET Smart Security/ESET NOD 32 version 3
et versions ultérieures.
5.2 Gestionnaire de groupes
Le gestionnaire de groupes est un puissant outil pour la gestion de vos clients. Il permet de les scinder en différents
groups et d'appliquer différents paramètres, tâches, restrictions, etc. Vous pouvez y accéder facilement via le menu
Outils > Gestionnaire de groupes ou la combinaison de touches CTRL+G. Les groupes sont indépendants pour chaque
ERAS et ne dont pas répliqués.
Vous pouvez créer vos propres groupes pour répondre à vos besoins dans le réseau de votre société ou simplement
synchroniser les groupes client ERAC avec Microsoft Active Directory en utilisant le caractère générique
Synchronisation Active Directory de la fenêtre principale du gestionnaire de groupes.
Il existe deux groupes principaux de clients :
Groupes statiques
Groupes paramétriques
Aussi bien les groupes statiques que les groupes paramétriques peuvent être utilisés en divers endroits au sein de
l'ERA, ce qui améliore considérablement les capacités de gestion des clients.
52
5.2.1 Groupes statiques
Les groupes statiques sont créés afin de séparer les clients de votre réseau en groupe et en sous-groupes nommés ;
autrement dit, vous pouvez créer un groupe Marketing qui contiendra tous les clients marketing et créer des sousgroupes pour les services spécialisés tels que Ventes locales, Direction EMEA, etc.
La fenêtre principale Groupes statiques est divisée en deux parties. La partie gauche reprend les groupes et les sousgroupes existants, affichés de façon hiérarchique. Les clients qui sont repris dans le groupe sélectionné apparaissent
dans la partie droite de la fenêtre. Par défaut, seuls les clients du groupe sélectionné sont affichés. Si vous souhaitez voir
les clients inclus dans les sous-groupes du groupe sélectionné, cochez la case Afficher les clients en sous-groupes dans
la partie droite de la fenêtre.
Pour créer un groupe, cliquez sur Créer, puis sélectionnez un nom pour le groupe. Le nouveau groupe sera créé en tant
que sous-groupe du groupe parent sélectionné. Si vous souhaitez créer un groupe principal, sélectionnez la racine de
l'arbre hiérarchique Groupes statiques. Le champ Groupe parent contient le nom du groupe parent pour le groupe
récemment créé (à savoir, « / » pour la racine). Il est recommandé d'utiliser un nom indiquant où se trouvent les
ordinateurs (p. ex., Département commercial, Assistance technique, etc.). Le champ Description permet de décrire plus
précisément le groupe (p.ex., « Ordinateurs du bureau C », « Stations de travail du siège », etc.). Vous pouvez modifier
ultérieurement les groupes créés et configurés.
REMARQUE : quand une tâche est envoyée au groupe parent, toutes les stations qui appartiennent aux sous-groupes
accepteront la tâche également.
Il est également possible de créer des groupes vides pour une utilisation ultérieure.
Cliquez sur OK pour créer le groupe. Son nom et sa description s'affichent à gauche et le bouton Ajouter/Supprimer
devient actif. Cliquez sur ce bouton pour ajouter les clients à inclure dans le groupe (soit en double-cliquant dessus, soit
en les glissant-déplaçant de gauche à droite). Pour trouver un client à ajouter, saisissez son nom ou une partie de celuici dans le champ Recherche rapide. Tous les clients contenant la chaîne saisie s'affichent. Pour marquer tous les clients,
cliquez sur Sélectionner tout. Cliquez sur le bouton Actualiser pour vérifier la présence de nouveaux clients connectés
récemment au serveur.
Si la sélection manuelle de client ne convient pas, vous pouvez cliquer sur Ajouter un élément spécial... pour accéder à
d'autres options.
Activez l'option Ajouter des clients dans le volet Clients pour ajouter tous les clients affichés dans la section Client, ou
activez l'option Uniquement sélectionnés. Pour ajouter des clients appartenant déjà à un autre serveur ou groupe,
sélectionnez-les dans les listes à gauche et à droite, puis cliquez sur Ajouter.
Cliquez sur OK dans la boîte de dialogue Ajouter/Supprimer pour revenir à la fenêtre principale du Gestionnaire de
groupes statiques. Le nouveau groupe doit s'afficher avec les clients correspondants.
Cliquez sur le bouton Ajouter/Supprimer pour ajouter ou supprimer des clients dans des groupes, ou cliquez sur le
bouton Supprimer pour supprimer un groupe entier. Cliquez sur le bouton Copier dans le Presse-papiers pour copier
les listes de clients et de groupes. Pour actualiser les clients du groupe, cliquez sur le bouton Rafraîchir.
Il est également possible d'Importer/Exporter les clients du groupe sélectionné dans un fichier .xml.
5.2.2 Groupes paramétriques
Outre les groupes statiques, les groupes paramétriques peuvent être très utiles. Les stations client sont affectées
dynamiquement à un certain groupe paramétrique lorsque les conditions du groupe sont remplies. Les groupes
paramétriques présentent l'avantage d'être utilisés en divers endroits, y compris les filtres, les stratégies, les rapports et
les notifications.
La fenêtre principale Groupes paramétriques comprend quatre parties. La section Groupes paramétriques reprend les
groupes parents et les sous-groupes qui ont été créés. Une fois que vous avez sélectionné un certain groupe dans cette
section, les clients qui appartiennent au groupe sélectionné apparaissent dans la section Groupe sélectionné.
REMARQUE : quand un groupe parent est sélectionné, la liste reprend également les sous-groupes membres.
Les paramètres définis pour un groupe sélectionné sont repris dans la section Paramètres de la fenêtre. Vous pouvez
modifier ou ajouter des paramètres à tout moment en cliquant sur le bouton Modifier....
La section Statut de la synchronisation affiche une barre d'état pour le processus de synchronisation.
53
Pour créer un groupe, cliquez sur le bouton Créer.... Le nouveau groupe sera créé en tant que sous-groupe du groupe
parent sélectionné. Si vous souhaitez créer un groupe principal, sélectionnez la racine de l'arbre hiérarchique Groupes
paramétriques. Le champ Groupe parent contient le nom du groupe parent pour le groupe récemment créé (à savoir,
« / » pour la racine). Saisissez un nom et une brève description pour le nouveau groupe. L'étape suivante consiste à
créer les Paramètres de filtre client, en sélectionnant les options après avoir cliqué sur le bouton Modifier.... Si vous
cochez la case Sans suppression, les clients seront ajoutés automatiquement à ce groupe dès qu'ils répondront aux
conditions, mais ils n'en seront jamais supprimés. Le contenu d'un groupe sans suppression peut être réinitialisé
manuellement au niveau de la racine.
REMARQUE : ce paramètre peut être uniquement défini lors de la création d'un groupe.
Pour modifier un groupe existant, sélectionnez-le dans la liste Groupes paramétriques, puis cliquez sur le bouton
Modifier... dans la partie inférieure de la fenêtre. Pour supprimer un groupe, sélectionnez le groupe souhaité, puis
cliquez sur le bouton Supprimer.
Vous pouvez actualiser manuellement la liste de groupes en cliquant sur le bouton Rafraîchir. Pour importer un
groupe depuis un fichier, sélectionnez un groupe dans la section Groupes paramétriques dans laquelle vous souhaitez
importer le nouveau groupe, puis cliquez sur Importer.... Confirmez votre sélection en cliquant sur Oui. Localisez le
fichier à importer, puis cliquez sur Ouvrir. Le groupe (et tous ses sous-groupes) sera importé à l'emplacement
sélectionné. Pour exporter un groupe (et tous ses sous-groupes), sélectionnez-le dans la section Groupes
paramétriques, cliquez sur la flèche du bouton Importer..., puis sélectionnez Exporter.... Cliquez sur Oui pour
confirmer, sélectionnez un nom et un emplacement pour le fichier d'exportation, puis cliquez sur Enregistrer.
REMARQUE : vous pouvez déplacer des groupes déjà présents dans la section Groupes paramétriques, à l'aide de la
méthode glisser-déposer.
5.2.3 Synchronisation Active Directory
La synchronisation Active Directory utilise la création automatique de groupes (avec les clients correspondants) basée
sur la structure définie par Active Directory. Elle permet à l'administrateur de répartir les clients dans des groupes, à
condition que que le nom du client corresponde au type d'objet ordinateur au niveau d'Active Directory (AD) et
appartienne aux groupes dans Active Directory.
Il y a deux options principales qui déterminent le fonctionnement de la synchronisation :
L'option Synchroniser les groupes permet de choisir les groupes Active Directory qui seront synchronisés. L'option
Tous les groupes entraîne la synchronisation de toute la structure arborescente d'Active Directory, que les groupes
Active Directory contiennent ou non des clients ERA. Les deux options suivantes (Uniquement les groupes contenant
des clients du ERA Server et Uniquement les groupes contenant des clients du serveur principal ERA) donnent une
synchronisation plus stricte et débouchent sur la synchronisation des seuls groupes contenant les clients ERA existants.
L'option Type de synchronisation permet de définir si les groupes Active Directory à synchroniser seront ajoutés aux
groupes Actives Directory existant (Importer les groupes AD) où si les groupes Active Directory existants seront
complètement remplacés par ceux à synchroniser (Synchroniser les groupes AD).
L'option Synchroniser permet de planifier la synchronisation AD selon un certain intervalle de temps.
Vous pouvez effectuer une configuration détaillée de la synchronisation Active Directory à l'aide de Configuration Editor
(ESET Remote Administrator > ERA Server > Configuration > Groupes > Options de synchronisation Active
Directory). Par défaut, seuls les groupes de sécurité ordinateur et les unités organisationnelles de l'ordinateur sont
synchronisés. Toutefois, vous pouvez ajouter un autre objet Active Directory en cochant l'option souhaitée.
REMARQUE : pour qu'ERAS puisse se synchroniser avec Active Directory, ERAS n'a pas besoin d'être installé sur votre
contrôleur de domaine. Le contrôleur de domaine ne doit être accessible qu'à partir de l'ordinateur sur lequel ERAS est
installé. Pour configurer l'authentification auprès de votre contrôleur de domaine, accédez à Outils > Options du
serveur > Paramètres avancés > Modifier les paramètres avancés > ESET Remote Administrator > ERA Server >
Configuration > Active directory. Le format du nom de serveur est LDAP://nomdeserveur ou GC://nomdeserveur. Si le
nom est vide, le catalogue global (GC) est utilisé.
54
5.3 Stratégies
Les stratégies sont, à maints égards, similaires aux tâches de configuration, sauf qu'il ne s'agit pas de tâches isolées
envoyées à une ou plusieurs stations de travail. Elles assurent plutôt une maintenance continue de certains paramètres
de configuration des produits de sécurité ESET. Autrement dit, une stratégie est une configuration appliquée à un
client.
5.3.1 Principes de base et fonctionnement
Accédez au Gestionnaire de stratégies en cliquant sur Outils > Gestionnaire de stratégies... L'arborescence de
stratégie à gauche répertorie les stratégies présentes sur les serveurs individuels. La partie droite est divisée en quatre
sections : Paramètres de stratégie, Configuration de stratégie, Action de stratégie et Paramètres de stratégie
globale ; les options figurant dans ces sections permettent à un administrateur de gérer et de configurer des stratégies.
Les principales fonctions du Gestionnaire de stratégies sont la création, la modification et la suppression de stratégies.
Les clients obtiennent les stratégies de l'ERAS. ERAS peut utiliser plusieurs stratégies pouvant hériter des paramètres
les unes des autres ou de stratégies d'un serveur de niveau supérieur.
Le système d'adoption de stratégies d'un serveur de niveau supérieur est appelé héritage ; les stratégies créées à la suite
d'un héritage sont appelées stratégies fusionnées. L'héritage est basé sur le principe parent-enfant, à savoir qu'une
stratégie enfant hérite des paramètres d'une stratégie parent.
5.3.2 Comment créer des stratégies
L'installation par défaut n'implémente qu'une seule stratégie appelée « Stratégie du serveur ». Vous pouvez modifier ce
nom dans le champ Paramètres de stratégie > champ Nom de stratégie. Vous pouvez configurer la stratégie
proprement dite dans ESET Configuration Editor en cliquant sur Modifier, puis en définissant des paramètres pour le
produit de sécurité ESET sélectionné (ou le client). Tous les paramètres sont organisés dans une structure étendue et
tous les éléments de Configuration Editor sont associés à une icône. Les clients n'adoptent que les paramètres actifs
(marqués d'une icône bleue). Les paramètres inactifs (grisés) restent inchangés sur les ordinateurs cibles. Le même
principe s'applique aux stratégies héritées et fusionnées ; une stratégie enfant n'adopte que les paramètres actifs d'une
stratégie parent.
Les ERA Server autorisent plusieurs stratégies (Ajouter une nouvelle stratégie enfant). Les options disponibles pour
les nouvelles stratégies sont les suivantes : nom de stratégie, liaison à une Stratégie parent et configuration (la
configuration peut être vide, copiée à partir d'une stratégie existante ou copiée à partir d'un fichier de configuration .xml
). Vous ne pouvez créer des stratégies que sur le serveur auquel vous êtes connecté via ERAC. Pour créer une stratégie
sur un serveur de niveau inférieur, vous devez vous connecter directement à ce dernier.
Chaque stratégie a deux attributs de base : Remplacer toute stratégie enfant et Abaisser une stratégie réplicable.
Ces attributs définissent la manière dont les stratégies enfant adoptent des paramètres de configuration actifs.
Remplacer toute stratégie enfant : applique tous les paramètres actifs aux stratégies héritées. Si la stratégie enfant
diffère, la stratégie fusionnée contient tous les paramètres actifs de la stratégie parent (même si l'attribut Remplacer...
est actif pour la stratégie enfant). Tous les paramètres inactifs de la stratégie parent s'ajustent à la stratégie enfant. Si
l'attribut Remplacer toute stratégie enfant n'est pas activé, les paramètres de la stratégie enfant ont la priorité sur
ceux de la stratégie parent pour la stratégie fusionnée obtenue. De telles stratégies fusionnées s'appliquent à toutes les
autres stratégies si elles y sont liées en tant que stratégies parent.
Abaisser une stratégie réplicable : active la réplication vers les stratégies enfant. Cela signifie que la stratégie peut
servir de stratégie par défaut pour des serveurs de niveau inférieur ainsi que leur être attribuée.
Les stratégies peuvent également être importée/exportée depuis/vers un fichier .xml ou importés depuis les groupes.
Pour obtenir de plus amples informations, consultez le chapitre intitulé Importation/exportation de stratégies 57 .
55
5.3.3 Stratégies virtuelles
Outre les stratégies créées et celles répliquées à partir d'autres serveurs (voir le chapitreOnglet Réplication 84 ),
l'arborescence de stratégies contient une stratégie parent par défaut et une stratégie de clients principaux par défaut,
appelées stratégies virtuelles.
La stratégie parent par défaut se trouve sur un serveur de niveau supérieur dans les Paramètres de stratégie globale et
est sélectionnée comme Stratégie par défaut pour les serveurs de niveau inférieur. Si le serveur n'est pas répliqué,
cette stratégie est vide (cela sera expliqué ultérieurement).
La stratégie de clients principaux par défaut se trouve dans les Paramètres de stratégie globale du serveur donné (pas le
serveur de niveau supérieur) et est sélectionnée dans Stratégie par défaut pour les clients principaux. Elle est
automatiquement appliquée aux nouveaux clients connectés (clients principaux) de l'ERAS donné, à moins qu'ils aient
déjà adopté une autre stratégie à partir des Règles de stratégie (pour plus d'informations, voir le chapitre Attribution de
stratégies à des clients 57 ). Les stratégies virtuelles sont des liens vers d'autres stratégies situées sur le même serveur.
5.3.4 Rôle et objectif des stratégies dans la structure arborescente de stratégie
Une icône, à gauche, est affectée à chaque stratégie figurant dans l'arborescence de stratégie. La signification des
icônes est la suivante :
1) Les stratégies avec des icônes bleues sont celles présentes sur le serveur donné. Il y a trois sous-groupes d'icônes
bleues :
Icônes avec cibles blanches ; la stratégie a été créée sur ce serveur. En outre, elle n'est pas réplicable vers le bas, ce qui
signifie qu'elle n'est pas affectée à des clients de serveurs de niveau inférieur et qu'elle ne fait pas office de stratégie
parent pour les serveurs enfant. Ces stratégies ne peuvent être appliquées qu'à l'intérieur du serveur, aux clients qui y
sont connectés. Elles peuvent également servir de stratégie parent pour une autre stratégie du même serveur.
Icônes avec cibles bleues ; la stratégie a également été créée sur le serveur, mais l'option Remplacer toute stratégie
enfant est activée (pour obtenir des informations supplémentaires, consultez le chapitre Comment créer des stratégies
55 ).
Icônes avec flèches orientées vers le bas ; ces stratégies sont répliquées ; l'option Stratégie réplicable vers le bas
est activée. Vous pouvez les appliquer sur le serveur donné et sur ses serveurs enfants.
2) Les stratégies avec des icônes grises proviennent d'autres serveurs.
Icônes avec flèches vers le haut ; ces stratégies sont répliquées à partir de serveurs enfant. Il n'est possible de les
afficher ou de les supprimer qu'avec l'option Supprimer une branche de stratégie. Cette option ne supprimera pas la
stratégie elle-même, mais la supprimera uniquement de l'arborescence de stratégie. Elles peuvent donc réapparaître
après réplication. Si vous ne voulez pas afficher les stratégies de serveurs de niveau inférieur, utilisez l'option Masquer
56
les stratégies de serveur étranger non utilisées dans l'arborescence de stratégie.
Icônes avec flèches vers le bas ; ces stratégies sont répliquées à partir de serveurs de niveau supérieur. Vous pouvez
les utiliser comme stratégies parent pour d'autres stratégies, les attribuer à des clients (Ajouter des clients) ou les
supprimer (Supprimer la stratégie). Notez qu'une suppression ne supprime que la stratégie qui réapparaîtra après
réplication à partir du serveur de niveau supérieur (à moins que l'attribut Stratégie réplicable vers le bas ait été
désactivé sur le serveur de niveau supérieur).
REMARQUE : pour déplacer et attribuer des stratégies à l'intérieur de la structure, vous pouvez soit sélectionner la
stratégie parent, soit la glisser-déplacer à l'aide de la souris.
Les règles de stratégie existantes peuvent être importées/exportées depuis ou vers un fichier .xml en cliquant sur le
bouton Importer.../Exporter.... Les conflits de nom pendant l'importation (stratégie existante et importée portant le
même nom) sont résolus en ajoutant une chaîne aléatoire à la fin du nom d'une stratégie importée.
5.3.5 Affichage des stratégies
Vous pouvez afficher les stratégies figurant dans l'arborescence de stratégie directement dans Configuration Editor en
cliquant sur Afficher... ou sur Affichage fusionné....
Affichage fusionné : affiche la stratégie fusionnée créée à la suite d'un héritage (le processus d'héritage applique les
paramètres de la stratégie parent). Cet option s'affiche par défaut parce que la stratégie actuelle est déjà fusionnée.
Afficher : affiche la stratégie d'origine avant sa fusion avec une stratégie parent.
Sur les serveurs de niveau inférieur, les options suivantes sont disponibles pour les stratégies héritées de serveurs de
niveau supérieur :
Affichage fusionné : cf. ci-dessus.
Afficher la partie ignorée : ce bouton s'applique aux stratégies avec l'attribut Remplacer toute stratégie enfant. Cette
option n'affiche que la partie forcée de la stratégie, c'est-à-dire celle qui a la priorité sur d'autres paramètres des
stratégies enfant.
Afficher partie non forcée : a l'effet opposé de Afficher partie remplacée ; seuls s'affichent les éléments actifs auxquels
l'option Remplacer... n'est pas appliquée.
5.3.6 Importation/exportation de stratégies
Le Gestionnaire de stratégies permet d'importer/d'exporter des stratégies et des règles de stratégie. Les stratégies
existantes peuvent être importées/exportées depuis ou vers un fichier .xml en cliquant sur le bouton Importer les
stratégies.../Exporter les stratégies.... Les stratégies peuvent également être importées depuis des groupes en
cliquant sur Importer depuis des groupes.... Les règles de stratégie peuvent être importées/exportées en cliquant sur
Importer.../Exporter... et, de plus, elles peuvent être créées à l'aide de l'Assistant Règles de stratégie.
Les conflits de nom (les noms de la stratégie existante et de la stratégie importée sont identiques) sont résolus pendant
l'importation en ajoutant une chaîne aléatoire au nom de la stratégie importée. Si un conflit ne peut pas être résolu de
cette manière (en général, lorsque le nouveau nom est trop long), l'importation se termine sur l'avertissement Conflit de
nom de stratégie non résolu. La solution consiste à supprimer ou à renommer les stratégies ou les règles de stratégie en
conflit.
5.3.7 Attribution de stratégies à des clients
Deux grandes règles régissent l'attribution de stratégies à des clients :
1. Vous pouvez attribuer à des clients locaux (principaux) toute stratégie locale ou toute stratégie répliquée à partir de
serveurs de niveau supérieur.
2. Vous pouvez attribuer à des clients répliqués à partir de serveurs de niveau inférieur toute stratégie locale avec
l'attribut Abaisser une stratégie réplicable ou toute stratégie répliquée à partir de serveurs de niveau supérieur. Il
n'est pas possible de les forcer à adopter des stratégies de leur propre serveur principal (pour ce faire, vous devez
vous connecter à ce serveur avec ERAC).
Un aspect important est qu'une stratégie est attribuée à chaque client (il n'y a pas de client sans stratégie). De même,
vous ne pouvez pas supprimer une stratégie d'un client. Vous pouvez uniquement la remplacer par une autre. Si vous
ne voulez pas appliquer de configuration à un client à partir d'une stratégie existante, créez une stratégie vide.
57
5.3.7.1 Stratégie de clients principaux par défaut
Une méthode d'attribution de stratégies est l'application automatique de la Stratégie de clients principaux par défaut,
stratégie virtuelle configurable dans les Paramètres de stratégie globale. Cette stratégie s'applique aux clients
principaux, c.-à-d. ceux qui sont directement connectés à cet ERAS. Pour plus obtenir des informations
supplémentaires, consultez la chapitreStratégies virtuelles 56 .
5.3.7.2 Attribution manuelle
Il y deux manières d'attribuer manuellement des stratégies : Cliquez avec le bouton droit de la souris sur un client dans
le volet Clients, puis, dans le menu contextuel, sélectionnez Ajouter une stratégie, ou, dans le Gestionnaire de
stratégies, cliquez sur Ajouter des clients > Ajouter/Supprimer.
Le fait de cliquer sur Ajouter des clients dans le Gestionnaire de stratégies ouvre la boîte de dialogue Ajouter/
Supprimer. Les clients sont répertoriés à gauche au format Serveur/Client. Si la cas Abaisser une stratégie réplicable
est sélectionnée, la fenêtre présente également les clients répliqués à partir de serveurs de niveau inférieur. Sélectionnez
les clients devant recevoir la stratégie en les glissant-déplaçant ou en cliquant sur >> pour les déplacer vers les
Éléments sélectionnés. Les nouveaux clients sélectionnés sont marqués à l'aide d'un astérisque jaune. Vous pouvez les
supprimer de la liste Éléments sélectionnés en cliquant sur le bouton << ou C. Cliquez sur OK pour confirmer la
suppression.
REMARQUE : après confirmation, si vous rouvrez la boîte de dialogue Ajouter/Supprimer, vous ne pouvez plus
supprimer les clients de la liste Éléments sélectionnés, mais uniquement remplacer la stratégie.
La fonctionnalité Ajout spécial permet d'ajouter tous les clients en même temps, d'ajouter des clients sélectionnés ou
d'ajouter des clients à partir de serveurs ou de groupes sélectionnés.
5.3.7.3 Règles de stratégie
L'outil Règles de stratégie permet à un administrateur d'attribuer automatiquement des stratégies à des stations de
travail client de façon plus étendue. Les règles sont appliquées dès que le client se connecte au serveur ; elles ont la
priorité sur la Stratégie de clients principaux par défaut et sur l'attribution manuelle. La Stratégie de clients
principaux par défaut ne s'applique que si le client n'est régi par aucune des règles actuelles. De même, si une stratégie
attribuée manuellement doit être appliquée, qui soit en conflit avec les règles de stratégie, la configuration forcée par
les règles de stratégie est prioritaire.
Les règles de stratégie sont reprises sur un onglet permettant de créer et gérer les règles de stratégie. Le processus de
création et d'application de règles ressemble beaucoup au processus de création et de gestion de règles dans les clients
de messagerie : chaque règle contient un ou plusieurs critères ; plus la règle est haut placée dans la liste, plus elle est
importante (vous pouvez la déplacer vers le haut ou le bas).
Pour créer une règle, cliquez sur le bouton Nouveau.... Complétez ensuite les champs Nom, Description, Paramètres
de filtre client et Stratégie (stratégie qui sera appliquée à tous les clients correspondant aux critères spécifiés).
Pour configurer les critères de filtrage, cliquez sur le bouton Modifier.
Les critères disponibles sont les suivants :
DU (PAS DU) Serveur principal : si (non) localisée sur le serveur principal.
EST (N'EST PAS) Nouveau client : s'il (ne) s'agit (pas) d'un nouveau client.
A (N'A PAS) Nouveau drapeau : s'applique aux clients avec ou sans drapeau Nouveau client.
Serveur principal DANS (PAS DANS) (spécifier) : si le nom du serveur principal contient/ne contient pas...
GROUPES ERA DANS (spécifier) : si le client appartient au groupe...
GROUPES ERA PAS DANS (spécifier) : si le client n'appartient pas au groupe...
DOMAINE/GROUPE DE TRAVAIL DANS (PAS DANS) (spécifier) : si le client appartient/n'appartient pas au domaine...
Masque de nom d'ordinateur (spécifier) : si le nom d'ordinateur est ....
A (N'A PAS) Masque IP (spécifier) : si le client appartient au groupe défini par l'adresse et le masque IP...
A Plage IP (spécifier) : si le client appartient au groupe défini par la plage IP...
A (N'A PAS) Stratégie définie (spécifier) : si le client adopte (ou n'adopte pas) la stratégie...
Nom du produit DANS (PAS DANS) : si le nom du produit est...
Version du produit EST (N'EST PAS) : si la version du produit est...
Masque d'informations personnalisées sur le client DANS (PAS DANS) : si les informations personnalisées du client
contiennent...
A (N'A PAS) État de la protection (spécifier) : si l'état de la protection est...
Version de la BdD de signatures des virus EST (N'EST PAS) : si la version de la BdD de signatures des virus est...
58
Dernière connexion EST (N'EST PAS) plus ancienne que (spécifier) : si la dernière connexion est plus ancienne que...
EST (N'EST PAS) En attente de redémarrage : si le client attend un redémarrage.
Les règles de stratégie peuvent être importées depuis un fichier .xml ou exportées vers un tel fichier et elles peuvent
également être créées automatiquement à l'aide de l'Assistant Règles de stratégie qui permet de créer une structure
de stratégie basée sur la structure du groupe existant et d'associer les stratégies créées aux groupes en créant les règles
de stratégie correspondantes. Pour obtenir de plus amples informations sur l'importation et l'exportation de règles de
stratégie, consultez le chapitre intitulé Importation/exportation de stratégies 57 .
Pour supprimer une règle de stratégie, dans la fenêtre Gestionnaire de stratégies, cliquez sur le bouton Supprimer.
Pour appliquer immédiatement toutes les règles, cliquez sur Exécuter les règles de stratégie maintenant.
5.3.8 Suppression de stratégies
Comme pour la création de règle, une suppression n'est possible que pour des stratégies situées sur le serveur auquel
vous êtes actuellement connecté. Pour supprimer des stratégies d'autres serveurs, vous devez vous y connecter
directement avec ERAC.
REMARQUE : une stratégie peut être liée à d'autres serveurs ou stratégies (p. ex., stratégie parent, stratégie par défaut
pour les serveurs de niveau inférieur, stratégie par défaut pour les clients principaux, etc.). C'est pourquoi, dans certains
cas, il convient de la remplacer au lieu de supprimer. Pour voir les options de suppression et de remplacement, cliquez
sur le bouton Supprimer la stratégie. Certains options décrites ci-dessous peuvent être indisponibles en fonction de la
position de la stratégie concernée dans la hiérarchie des stratégies.
Nouvelle stratégie pour les clients principaux dont la stratégie a été supprimée : permet de sélectionner une
nouvelle stratégie pour les clients principaux afin de remplacer celle que vous supprimez. Des clients principaux peuvent
adopter la Stratégie par défaut pour les clients principaux, ainsi que d'autres stratégies du même serveur (attribuées
manuellement à l'aide de l'option Ajouter des clients, ou forcées par des Règles de stratégie). En remplacement, vous
pouvez utiliser toute stratégie du serveur donné ou une stratégie répliquée.
Nouvelle stratégie parent pour les stratégies enfant (éventuelles) de la stratégie supprimée : si une stratégie à
supprimer faisait office de stratégie parent d'autres stratégies enfant, il convient également de la remplacer. Vous
pouvez la remplacer par une stratégie de ce serveur, par une stratégie répliquée à partir de serveurs de niveau supérieur
ou par le drapeau n.a. qui signifie qu'aucune stratégie de substitution ne sera attribuée aux stratégies enfant. Il est
fortement recommandé d'attribuer une stratégie de substitution même s'il n'existe pas de stratégie enfant. Un autre
utilisateur attribuant une stratégie enfant à cette stratégie durant le processus de suppression provoquerait un conflit.
Nouvelle stratégie pour les clients répliqués dont la stratégie a été supprimée ou modifiée : vous pouvez
sélectionner ici une nouvelle stratégie pour les clients répliqués à partir de serveurs de niveau inférieur (ceux appliqués à
celle que vous supprimez actuellement). En remplacement, vous pouvez utiliser toute stratégie du serveur donné ou
une stratégie répliquée.
Nouvelle stratégie par défaut pour les serveurs de niveau inférieur : si la stratégie sélectionnée fait office de stratégie
virtuelle (voir Paramètres de stratégie globale), il convient de la remplacer par une autre (pour plus d'informations,
voir le chapitre Stratégies virtuelles 56 ). En remplacement, vous pouvez utiliser toute stratégie du serveur donné ou le
drapeau n.a.
Nouvelle stratégie par défaut pour les clients principaux : si la stratégie sélectionnée fait office de stratégie virtuelle
(voir Paramètres de stratégie globale), il convient de la remplacer par une autre (pour plus d'informations, voir le
chapitre Stratégies virtuelles 56 ). Vous pouvez utiliser une stratégie du même serveur en remplacement.
La même boîte de dialogue s'ouvre également si vous désactivez l'option Abaisser une stratégie réplicable pour une
stratégie, puis cliquez sur OK, Appliquer, ou si vous sélectionnez une autre stratégie dans l'arborescence de stratégie.
Cela active l'élément Nouvelle stratégie pour les clients répliqués dont la stratégie a été supprimée ou modifiée ou
Nouvelle stratégie par défaut pour les serveurs de niveau inférieur.
59
5.3.9 Paramètres spéciaux
Deux stratégies supplémentaires ne se trouvent pas dans le Gestionnaire de stratégies, mais dans Outils > Options du
serveur > Paramètres avancés > Modifier les paramètres avancés > ESET Remote Administrator > ERA Server >
Configuration > Stratégies.
Intervalle d'application de la stratégie (minutes) :
Cette fonctionnalité s'applique aux stratégies dans l'intervalle spécifié. Il est recommandé de conserver le paramètre par
défaut.
Désactiver l'utilisation de la stratégie :
Activez cette option pour annuler l'application de stratégies aux serveurs. Il est recommandé d'utiliser cette option en
cas de problème avec la stratégie. Pour éviter d'appliquer une stratégie à certains clients, une meilleure solution
consiste à attribuer une stratégie vide.
60
5.3.10 Scénarios de déploiement de stratégie
5.3.10.1 Chaque serveur est une unité autonome et les stratégies sont définies localement
Dans le cadre de ce scénario, imaginons un petit réseau composé d'un serveur principal et de deux serveurs de niveau
inférieur. Chaque serveur a plusieurs clients. Au moins une stratégie est créée sur chaque serveur. Les serveurs de
niveau inférieur se trouvent dans les filiales de la société et tous les serveurs sont gérés par leur administrateur local.
Chaque administrateur choisit les stratégies attribuées aux différents clients connectés à ses serveurs. L'administrateur
principal n'intervient pas dans les configurations effectuées par les administrateurs locaux et n'attribue pas de stratégies
aux clients de leurs serveurs. Dans la perspective d'une stratégie de serveur, cela signifie que le serveur A n'a pas de
Stratégie par défaut pour les serveurs de niveau inférieur. Cela signifie également que les serveurs B et C ont le
drapeau n.a. ou une autre stratégie locale (outre la stratégie parent par défaut) définie comme stratégie parent. (p.
ex., aucune stratégie parent n'est attribuée aux serveurs B et C à partir du serveur de niveau supérieur).
61
5.3.10.2 Chaque serveur est administré individuellement ; les stratégies sont gérées localement mais la
stratégie parent par défaut est héritée du serveur de niveau supérieur
La configuration du scénario précédent s'applique également à ce scénario. Toutefois, l'option Stratégie par défaut pour
les serveurs de niveau inférieur est activée sur le serveur A et les stratégies sur les serveurs de niveau inférieur héritent
de la configuration de la stratégie parent par défaut du serveur maître. Dans ce scénario, les administrateurs locaux
disposent d'une grande autonomie pour la configuration des stratégies. Si les stratégies enfant sur les serveurs de
niveau inférieur peuvent hériter de la stratégie parent par défaut, les administrateurs locaux ont la possibilité de la
modifier à l'aide de leurs propres stratégies.
62
5.3.10.3 Héritage de stratégies d'un serveur de niveau supérieur
Le modèle de réseau pour ce scénario est le même que celui des deux scénarios précédents. De plus, le serveur maître,
outre la stratégie parent par défaut, contient d'autres stratégies réplicables vers le bas qui font office de stratégies
parent sur les serveurs de niveau inférieur. Pour la stratégie 1 (voir ci-dessous), l'attribut Remplacer toute stratégie
enfant est activé. L'administrateur local dispose encore d'une certaine autonomie, mais l'administrateur principal définit
les stratégies répliquées vers le bas et celles qui font office de stratégies parent pour les stratégies locales. L'attribut
Remplacer... indique que les configurations définies dans les stratégies sélectionnées remplacent celles définies sur les
serveurs locaux.
63
5.3.10.4 Attribution de stratégies uniquement à partir du serveur de niveau supérieur
Ce scénario représente un système centralisé de gestion des stratégies. Les stratégies destinées aux clients ne sont
créées, modifiées et attribuées que sur le serveur principal ; l'administrateur local n'est pas autorisé à les modifier. Les
serveurs de niveau inférieur n'ont qu'une stratégie de base qui est vide (appelée par défaut Stratégie du serveur). Cette
stratégie vide fait également office de stratégie parent par défaut pour clients principaux.
5.3.10.5 Utilisation de règles de stratégie
Notre exemple suivant inclut l'attribution automatique de stratégies basée sur des règles de stratégie. Cette méthode
est complémentaire et doit être utilisée en combinaison avec les scénarios décrits précédemment, plutôt qu'en tant que
scénario autonome.
Si chaque serveur est géré par un administrateur local, chaque administrateur peut créer des règles de stratégie
individuelles pour ses clients. Dans ce scénario, il est important qu'il n'y ait aucun conflit entre les règles de stratégie,
comme lorsque le serveur de niveau supérieur attribue une stratégie aux clients en fonction de règles de stratégie,
tandis que le serveur de niveau inférieur attribue des stratégies distinctes sur la base de règles de stratégie locale.
En définitive, un système centralisé réduit considérablement la probabilité de conflits, car tout le processus de gestion a
lieu sur le serveur principal.
64
5.3.10.6 Utilisation de groupes
Dans certains cas, l'attribution de stratégies à des groupes de clients peut compléter les scénarios précédents. Il est
possible de créer des groupes manuellement ou via l'option Synchronisation Active Directory.
Les clients peuvent être ajoutés aux groupes manuellement (Groupes statiques) ou automatiquement, selon les
propriétés du groupe (Groupes paramétriques). Consultez le chapitre Gestionnaire de groupes 52 pour plus
d'informations.
Pour attribuer une stratégie à un groupe de clients, vous pouvez utiliser l'option d'attribution ponctuelle sous
Gestionnaire de stratégies (Ajouter clients > Ajout spécial) ou les livrer automatiquement via les Règles de stratégie
).
Un scénario possible serait le suivant :
L'administrateur veut attribuer différentes stratégies à des clients qui appartiennent à différents groupes AD et
changer automatiquement la stratégie du client lorsque celui est déplacé vers un autre groupe AD.
1) La première étape consiste à définir la Synchronisation Active Directory dans le Gestionnaire de groupes selon vos
besoins. L'élément important ici est de planifier correctement la synchronisation AD (options possibles : tous les jours,
quotidien, hebdomadaire ou mensuel).
2) Après la première synchronisation réussie, les groupes AD apparaissent dans la section Groupes statiques.
3) Créez une stratégie et choisissez Groupes ERA DANS et Groupes ERA PAS DANS en tant que condition de règle.
4) Désignez les groupes AD que vous souhaitez ajouter à la condition.
5) À l'étape suivante, définissez la stratégie qui sera appliquée aux clients qui répondent aux conditions de la règle et
cliquez sur OK pour enregistrer la règle.
REMARQUE :: les étapes 3 à 5 peuvent être remplacée par l'utilisation de l'Assistant Règles de stratégie qui permet de
créer une structure de stratégie basée sur la structure du groupe existant et d'associer les stratégies créées aux groupes
en créant les règles de stratégie correspondante.
Il est ainsi possible de définir une règle de stratégie particulière pour chaque groupe AD. L'attribution d'une certaine
stratégie à un certain client dépend maintenant de l'appartenance du client à un certain groupe AD. Dans la mesure où
la synchronisation AD est planifiée pour une exécution régulière, toutes les modifications dans l'appartenance d'un
client à un groupe AD sont actualisées et prises en compte lorsqu'une règle de stratégie est appliquée. En d'autres
termes, les stratégies sont appliquées aux clients automatiquement en fonction de leur groupe AD. Une fois que les
règles et les stratégies ont été définies en détail, l'administrateur n'a plus à intervenir au niveau de l'application de la
stratégie.
Le principal avantage de cette approche est la liaison automatique et directe entre l'appartenance à un groupe AD et
l'attribution d'une stratégie.
5.4 Notifications
La capacité de signaler aux administrateurs système et réseau des événements importants constitue un aspect essentiel
de la sécurité et de l'intégrité du réseau. Un avertissement précoce concernant une erreur ou un code malveillant
permet d'éviter les énormes pertes de temps et d'argent liées à l'élimination du problème ultérieurement. Les trois
sections ci-après décrivent les options de notification d'ERA.
65
5.4.1 Gestionnaire de notifications
Pour ouvrir la fenêtre principale du Gestionnaire de notifications, cliquez sur Outils > Gestionnaire de notifications.
La fenêtre principale comprend deux sections. La section Règles de notification dans la partie supérieure de la fenêtre
contient la liste des règles existantes (prédéfinies ou définies par l'utilisateur). Vous devez sélectionner une règle dans
cette section pour générer des messages de notification. Par défaut, aucune notification n'est activée. Il est par
conséquent conseillé de vérifier si les règles sont actives.
Les boutons de fonction sous la liste des règles sont Enregistrer (enregistre les modifications dans une règle),
Enregistrer sous... (enregistre les modifications dans une règle sous un nouveau nom), Supprimer, Par défaut
(restaure les paramètres par défaut pour le type de déclencheur), Rafraîchir et Règles par défaut (actualise la liste avec
règles par défaut).
La section Options dans la moitié inférieure de la fenêtre fournit des informations sur la règle actuellement
sélectionnée. L'ensemble des champs et options de cette section sont décrits à l'aide de l'exemple de règle de la section
Création de règle 71 .
Dans chaque règle, vous pouvez spécifier les critères qui l'activent, également appelés déclencheurs. Les déclencheurs
suivants sont disponibles :
État du client : la règle s'exécute en cas de problème sur certains clients.
État du serveur : la règle s'exécute en cas de problème sur certains serveurs.
Événement de tâche terminée : la règle s'exécute lorsque la tâche spécifiée est terminée.
Événement de nouveau client : la règle s'exécute si un nouveau client (y compris un client répliqué) se connecte au
serveur.
Nouvel événement de journal : la règle s'exécute si l'événement spécifique figure dans certains journaux.
En fonction du type de déclencheur, il est possible d'activer ou de désactiver d'autres options de règle. C'est pourquoi il
est recommandé de commencer par la définition des types de déclencheurs lors de la création de règles.
Le menu déroulant Priorité permet de définir la priorité de la règle. P1 est la priorité la plus haute et P5 la priorité la plus
basse. La priorité n'affecte en rien la fonctionnalité des règles. Pour affecter une priorité aux messages de notification,
vous pouvez utiliser la variable %PRIORITY%. Le menu Priorité contient un champ Description. Il est recommandé
66
d'attribuer à chaque règle une description compréhensible, telle que « règle avertissant sur les infiltrations détectées ».
Dès que le système détecte l'événement déclencheur pour un ou plusieurs clients donnés et trouve une règle à
exécuter, il applique le filtre du client. Le filtre peut être attribué à toute règle impliquant des clients. Pour accéder à la
configuration du filtre du client, dans la section Filtre du client, cliquez sur Modifier. Dans la fenêtre qui s'ouvre,
définissez les paramètres de filtrage des clients. Lors de l'application d'une règle, seuls les clients répondant aux critères
de filtre sont pris en considération. Les critères de filtrage sont les suivants :
DU serveur principal : uniquement les clients du serveur principal (il est également possible d'appliquer la forme
négative PAS DU)
Serveur principal DANS : inclut le serveur principal dans le résultat.
A Nouveau drapeau : clients marqués par le drapeau « Nouveau » (il est également possible d'appliquer forme
négative N'A PAS)
Groupes ERA DANS : clients appartenant au groupe spécifié.
Domaine/Groupe de travail DANS : clients appartenant au domaine spécifié.
Masque de nom d'ordinateur : clients portant le nom d'ordinateur spécifié.
A Masque IP : clients correspondant au masque IP spécifié.
A Plage IP : clients s'inscrivant dans la plage d'adresses IP spécifiée.
A Stratégie définie : clients auxquels est attribuée la stratégie spécifiée (la négation de cette condition, N'A PAS, peut
également être appliquée).
Après avoir défini un filtre du client pour votre règle de notification, cliquez sur OK, puis passez aux paramètres de la
règle. Les paramètres du client définissent la condition qu'un client ou un groupe de clients doit remplir pour exécuter
l'action de notification. Pour afficher les paramètres disponibles, dans la section Paramètres, cliquez sur le bouton
Modifier....
La disponibilité des paramètres dépend du type de déclencheur sélectionné. Vous trouverez ci-dessous la liste complète
des paramètres disponibles par type de déclencheur.
Les paramètres suivants sont disponibles pour les déclencheurs État du client :
État de la protection Tous avertissement : tout avertissement détecté dans la colonne État de la protection
État de la protection Avertissements critiques : avertissement critique détecté dans la colonne État de la
protection
Version de la BdD de signatures des virus : problème avec la base des signatures de virus (6 valeurs possibles)
- Versions précédentes : la base des signatures de virus est d'une version antérieure à celle présente sur le
serveur.
- Plus ancienne ou n.a. : la base des signatures de virus est antérieure de plusieurs versions à celle présente sur
le serveur
- Plus ancienne que 5 versions ou n.a. : la base des signatures de virus est antérieure de 5 versions à celle
présente sur le serveur.
- Plus ancienne que 10 versions ou n.a. : la base des signatures de virus est antérieure de 10 versions à celle
présente sur le serveur.
- Plus ancienne que 7 jours ou n.a. : la base des signatures de virus est antérieure de 7 jours au moins à celle
présente sur le serveur.
- Plus ancienne que 14 jours ou n.a. : la base des signatures de virus est antérieure de 14 jours au moins à celle
présente sur le serveur.
Avertissement de dernière connexion : la dernière connexion a été établie avant la période spécifiée.
A Événement de dernière menace : la colonne Menace contient un avertissement de menace.
A Dernier événement : la colonne Dernier événement contient une entrée.
A Dernier événement de par pare-feu : la colonne Événement de pare-feu contient une entrée d'événement de parefeu.
A Nouveau drapeau : le client a le drapeau « Nouveau »
En attente de redémarrage : le client attend un redémarrage
Détectée lors de la dernière analyse : sur le client, le nombre spécifié de menaces a été détecté lors de la dernière
analyse.
Menace non nettoyée lors de la dernière analyse : sur le client, le nombre spécifié de menaces non nettoyées a été
détecté lors de la dernière analyse.
Tous les paramètres peuvent être formulés de façon négative, mais les négations ne sont pas toutes utilisables. Il
convient de ne nier que les paramètres incluant deux valeurs logiques : vrai ou non vrai. Par exemple, le paramètre A
Nouveau drapeau ne couvre que les clients marqués à l'aide du drapeau « nouveau ». Le paramètre négatif inclut donc
67
tous les clients non marqués à l'aide de ce drapeau.
Toutes les conditions ci-dessus peuvent être combinées et inversées de façon logique. Le menu déroulant pour La règle
est appliquée quand offre deux choix :
toutes les options sont vérifiées : la règle ne s'exécute que si tous les paramètres spécifiés sont vrais.
l'une des options est vérifiée : la règle s'exécute si au moins une condition est vraie.
Les paramètres suivants sont disponibles pour les déclencheurs État du serveur :
Serveur mis à jour : le serveur est à jour.
Serveur non mis à jour : le serveur n'est plus à jour depuis un temps supérieur à la valeur spécifiée.
Journaux du serveur : le journal du serveur contient les trois types d'entrées suivants :
- Erreurs : messages d'erreur.
- Erreurs+Avertissements : messages d'erreur et d'avertissement.
- Erreurs+Avertissements+Infos (Verbosité) : messages d'erreur, d'avertissement et d'information.
- Filtrer les entrées de journal par type : activez cette option pour spécifier des entrées d'erreur et
d'avertissement à observer dans le journal du serveur. Notez que, pour que les notifications fonctionnent correctement,
la verbosité du journal (Outils > Options du serveur > Journalisation) doit être correctement définie. Autrement, de
telles règles de notification ne trouvent jamais de déclencheur dans le journal du serveur. Les entrées de journal
suivantes sont disponibles :
- ADSI_SYNCHRONIZE : synchronisation de groupe Active Directory.
- CLEANUP : tâches de nettoyage du serveur.
- CREATEREPORT : génération de rapport à la demande.
- DEINIT : arrêt du serveur.
- INIT : démarrage du serveur.
- INTERNAL 1 : message du serveur interne.
- INTERNAL 2 : message du serveur interne.
- LICENSE : administration de licence.
- MAINTENANCE : tâches de maintenance du serveur.
- NOTIFICATION : gestion des notifications.
- PUSHINST : installation poussée.
- RENAME : changement du nom de structure interne.
- REPLICATION : réplication du serveur.
- POLICY : gestion des stratégies.
- POLICYRULES : règles de stratégie.
- SCHEDREPORT : rapports générés automatiquement.
- SERVERMGR : gestion des menaces du serveur interne.
- SESSION : connexions réseau du serveur.
- SESSION_USERACTION : diverses actions du serveur.
- THREATSENSE : ThreatSense.Net - soumission d'informations statistiques.
- UPDATER : mise à jour du serveur et création de miroir.
Un exemple de paramètre utile est UPDATER, qui envoie un message de notification quand le Gestionnaire de
notifications détecte un problème lié à une mise à jour et à une création de miroir dans les journaux du serveur.
Expiration de licence : la licence expirera dans le nombre de jours spécifié ou a déjà expiré. Activez l'option N'avertir
que si cela entraîne une chute du nombre de clients sous licence au-dessous du nombre de clients réels dans la
base de données du serveur pour envoyer une notification si l'expiration entraîne la chute du nombre clients sous
licence au-dessous du nombre des clients actuellement connectés.
Limiter la licence : si le pourcentage de clients disponibles chute sous la valeur spécifiée.
Les paramètres suivants sont disponibles pour les déclencheurs Événement de nouveau journal :
Type de journalisation : sélectionnez Journal des événements, Journal des menaces ou Journal de pare-feu.
Niveau de journalisation : niveau d'entrée de journal dans le journal donné.
- Niveau 1 - Avertissements critiques : erreurs critiques uniquement.
- Niveau 2 - Supérieur + Avertissement : identique au niveau 1, plus notifications d'alerte.
- Niveau 3 - Supérieur + Normal : identique au niveau 2, plus notifications informatives.
68
- Niveau 4 - Supérieur + Diagnostic : identique au niveau 3, plus notifications de diagnostic.
1000 occurrences en 60 minutes : tapez le nombre d'occurrences, puis sélectionnez la période de temps pour
spécifier la fréquence d'événements à atteindre pour que la notification soit envoyée. La fréquence par défaut est de
1 000 occurrences par heure.
Nombre : nombre de clients (exprimé en valeur absolue ou en pour cent).
Les autres types de déclencheurs n'ont pas de paramètres spécifiques.
Si les paramètres spécifiés pour une règle se vérifient, l'action correspondante définie par l'administrateur est exécutée
automatiquement. Pour configurer des actions, dans la section Actions, cliquez sur Modifier.... L'éditeur d'action offre
les options suivantes :
Email : le programme envoie le texte de notification de la règle à l'adresse de messagerie spécifiée. Le champObjet
permet de spécifier l'objet du message. Cliquez sur À pour ouvrir le carnet d'adresses.
Interruption SNMP : génère et envoie une notification SNMP.
Exécuter (sur le serveur) : activez cette option et spécifiez l'application à exécuter sur le serveur.
Journaliser dans un fichier (sur le serveur) : génère des entrées de journal dans le fichier journal spécifié. L'option
Verbosité permet de configurer le niveau de détails de ce journal.
Journaliser aussi le message : le corps du message sera également consigné dans le journal.
Connexion à Syslog : enregistre les notifications dans les journaux du serveur. Le niveau de détails des notifications
est configurable.
Journalisation : enregistre les notifications dans les journaux du serveur. L'option Verbosité permet de configurer le
niveau de détails de ce journal. Pour que cette fonctionnalité opère correctement, vous devez activer la journalisation
dans le ERA Server (Outils > Options du serveur > Journalisation).
Vous pouvez modifier le format de notification dans la zone Message dans la section inférieure de la fenêtre principale
du Gestionnaire de notifications. Dans le texte, vous pouvez utiliser des variables spéciales à l'aide de la syntaxe
suivante : %VARIABLE_NAME%. Pour afficher la liste des variables disponibles, cliquez sur Afficher les options.
Server_Last_Updated : dernière mise à jour du serveur
Primary_Server_Name
Rule_Name
Rule_Description
Client_Filter : paramètres de filtre du client.
Client_Filter_Short : paramètres de filtre du client (sous forme abrégée).
Client_List : liste de clients.
Triggered : date d'envoi de la notification la plus récente (répétitions exclues).
Triggered Last : date d'envoi de la notification la plus récente (répétitions incluses).
Priority : priorité de la règle de notification.
Log_Text_Truncated : texte de journal ayant activé la notification (tronqué).
Task_Result_List : liste des tâches accomplies.
Parameters : paramètres de la règle.
Last_Log_Date : date du dernier journal.
License_Info_Merged : informations de licence (résumé).
License_Info_Full : informations de licence (complètes).
License_Days_To_Expiry : jours restant avant l'expiration.
License_Expiration_Date : date d'expiration la plus proche.
License_Clients_Left : clients pouvant encore se connecter au serveur selon les termes de la licence actuelle.
License_Customer : client de licence (fusionné)
Actual_License_Count : nombre de clients actuellement connectés au serveur.
Virus_Signature_Db_Version : version la plus récente de la base des signatures de virus.
Pcu_List : liste la plus récente de mise à jour des composants du programme
Les derniers paramètres à spécifier sont l'heure et la date. Il est possible de retarder l'activation de la règle pendant une
période comprise entre une heure et trois mois. Si vous voulez activer la règle le plus rapidement possible, dans le menu
déroulant Activation après, sélectionnez Dès que possible. Par défaut, le Gestionnaire de notifications est activé
toutes les 10 minutes. Ainsi, si vous sélectionnez Dès que possible, la tâche doit s'exécuter dans les 10 minutes. Si une
période spécifique est sélectionnée dans ce menu, l'action est automatiquement exécutée à l'issue de celle-ci (pour
autant que la condition de la règle se vérifie).
69
Le menu Répéter tous les... permet de spécifier un intervalle de temps à l'issue duquel l'action est répétée. Toutefois, la
condition d'activation de la règle doit toujours être remplie. L'intervalle de temps à l'issue duquel le serveur vérifiera
l'existence de règles actives et les exécutera peut être défini dans Serveur > Paramètres avancés > Modifier les
paramètres avancés > ESET Remote Administrator > Serveur > Configuration > Notifications > Intervalle pour le
traitement de notification (minutes).
La valeur par défaut est 10 minutes. Il est déconseillé de la réduire, car cela peut entraîner un ralentissement sensible du
serveur.
Par défaut, la fenêtre Gestionnaire de notifications contient des règles prédéfinies. Pour activer une règle, sélectionnez
la case à cocher située à côté. Les règles de notification suivantes sont disponibles. Si elles sont activées et que leurs
conditions d'application sont remplies, elles génèrent des entrées de journal.
Plus de 10 % des clients principaux ne se connectent pas : si plus de 10 pour cent des clients ne se sont pas
connectés au serveur depuis plus d'une semaine ; la règle est exécutée selon le paramètre Dès que possible.
Plus de 10 % des clients principaux ont un état de protection critique : si plus de 10 pour cent des clients ont
généré un avertissement critique sur l'état de la protection et qu'aucun d'eux ne s'est connecté au serveur depuis plus
d'une semaine ; la règle est exécutée selon le paramètre Dès que possible.
Clients principaux avec un avertissement d'état : s'il y a au moins un client avec un avertissement d'état de
protection qui ne s'est pas connecté au serveur depuis au moins une semaine.
Les clients principaux ne se connectent pas : s'il y a au moins un client qui ne s'est pas connecté au serveur depuis
plus d'une semaine.
Client principaux dont la base des signatures de virus est obsolète : s'il y a un client avec une base des signatures
de virus antérieure d'au moins deux versions à la base actuelle, qui ne s'est pas déconnecté du serveur depuis plus
d'une semaine.
Clients principaux dont l'état de protection est critique : s'il y a un client avec un avertissement critique sur l'état de
la protection qui ne s'est pas déconnecté depuis plus d'une semaine.
Clients principaux avec une base des signatures de virus plus récente que celle du serveur : s'il y a un client avec
une base des signatures de virus plus récente que celle du serveur, qui ne s'est pas déconnecté depuis plus d'une
semaine.
Clients principaux en attente de démarrage : s'il y a un client en attente de redémarrage qui ne s'est pas déconnecté
depuis plus d'une semaine.
Une analyse de l'ordinateur révèle l'existence de clients principaux avec une infiltration non nettoyée : s'il y a un
client sur lequel l'analyse de l'ordinateur n'a pas pu nettoyer au moins une infiltration et que le client ne s'est pas
déconnecté depuis plus d'une semaine ; la règle est exécutée selon le paramètre Dès que possible.
Tâche accomplie : si une tâche a été accomplie sur un client ; la règle est exécutée selon le paramètre Dès que
possible.
Nouveaux clients principaux : si un nouveau client s'est connecté au serveur ; la règle est exécutée selon le
paramètre Dès que possible.
Nouveaux clients répliqués : si un nouveau client répliqué figure dans la liste des clients ; la règle est exécutée après
une heure.
Manifestation de virus possible : si la fréquence des entrées dans le journal des menaces a dépassé 1 000
avertissements critiques en une heure sur au moins 10 % de tous les clients.
Attaque réseau possible : si la fréquence des entrées dans le journal du pare-feu personnel ESET a dépassé 1 000
avertissements critiques en une heure sur au moins 10 % de tous les clients.
Serveur mis à jour : si le serveur a été mis à jour.
Serveur non mis à jour : si le serveur n'a pas été mis à jour depuis plus de cinq jours ; la règle est exécutée selon le
paramètre Dès que possible.
Erreur dans le journal de texte du serveur : si le journal du serveur contient une entrée d'erreur.
Expiration de licence : si la licence actuelle expire dans 20 jours et si, après expiration, le nombre maximal de clients
disponibles sera inférieur au nombre actuel de clients ; la règle est exécutée selon le paramètre Dès que possible.
Limite de la licence : si le nombre de clients disponibles chute sous 10% des clients.
Sauf spécification contraire, toutes les règles sont exécutées et répétées après 24 heures, et appliquées au serveur et
aux clients principaux.
70
5.4.1.1 Notifications via interruption SNMP
SNMP (Simple Network Management protocol) est un protocole de gestion simple et largement répandu, approprié
pour la surveillance et l'identification de problèmes réseau. L'une des opérations de ce protocole est l'interruption
(TRAP) qui envoie des données spécifiques. ERA utilise une interruption pour envoyer des messages de notification.
Pour que l'outil d'interruption fonctionne efficacement, le protocole SNMP doit être correctement installé et configuré
sur le même ordinateur qu'ERAS (Démarrer > Panneau de configuration > Ajout ou suppression de programmes >
Ajouter ou supprimer des composants Windows). Le service SNMP doit être configuré de la manière décrite dans cet
article : http://support.microsoft.com/kb/315154. Dans ERAS, vous devez activer une règle de notification SNMP. Dans
ERAS, vous devez activer une règle de notification SNMP.
Il est possible d'afficher des notifications dans le gestionnaire SNMP qui doit être connecté à un serveur SNMP sur lequel
le fichier de configuration eset_ras.mib est importé. Le fichier est un composant standard d'une installation ERA et se
trouve généralement dans le dossier C:\Program Files\ESET\ESET Remote Administrator\Server\snmp\.
5.4.2 Création de règle
Les étapes suivantes montrent comment créer une règle qui envoie une notification électronique à l'administrateur en
cas de problème d'état de protection de stations de travail client. La notification sera également enregistrée dans un
fichier nommé log.txt.
1) Dans le menu déroulant Type de déclencheur, sélectionnez État du client.
2) Conservez les valeurs prédéfinies des options Priorité, Activation après : et Répéter tous les : . La règle recevra
automatiquement la priorité 3 et sera activée après 24 heures.
3) Dans le champ Description, tapez notification d'état de la protection pour les clients du siège.
4) Cliquez sur Modifier... dans la section Filtre du client, puis activez seulement la condition de règle de la section
Groupes ERA DANS. Dans la partie inférieure de cette fenêtre, cliquez sur le lien spécifier, puis, dans la nouvelle
fenêtre, tapez Siège. Cliquez sur Ajouter, puis deux fois sur OK pour confirmer. Cela indique que la règle ne s'applique
qu'aux clients du groupe Siège.
5) Spécifiez davantage les paramètres pour la règle dans Paramètres > Modifier…. Désactivez toutes les options sauf
État de la protection Tous avertissements.
6) Accédez à la section Action, puis cliquez sur le bouton Modifier.... Dans la fenêtre Action, activez Email, spécifiez les
destinataires (À…) puis l'Objetde l'Email. Activez ensuite la case à cocher Journaliser dans un fichier, puis saisissez le
nom et le chemin d'accès du fichier journal à créer. Vous avez la possibilité de sélectionner le niveau de Verbosité du
fichier journal. Cliquez sur OK pour enregistrer l'action.
7) Enfin, utilisez la zone de texte Message pour spécifier le contenu du corps du message électronique qui sera envoyé
une fois la règle activée. Exemple : « Le client %CLIENT_LIST % signale un problème d'état de la protection ».
8) Cliquez sur Enregistrer sous... pour nommer la règle, p. ex., « problèmes d'état de la protection », puis sélectionnez la
règle dans la liste des règles de notification.
71
Une fois terminée, la règle doit ressemble à ceci :
La règle est désormais active. En cas de problème avec l'état de la protection sur un client du groupe Siège, la règle sera
exécutée. L'administrateur recevra une notification électronique avec une pièce jointe contenant le nom du client
problématique. Pour quitter le Gestionnaire de notifications, cliquez sur Fermer.
5.5 Informations détaillées de clients
ERA permet d'extraire des stations de travail client des informations sur les processus en cours d'exécution, les
programmes de démarrage, etc. Ces informations peuvent être extraites à l'aide de l'outil ESET SysInspector intégré
dans ERAS. Tout comme d'autres fonctions utiles, ESET SysInspector examine en profondeur le système d'exploitation
et crée des journaux système. Pour l'ouvrir, cliquez sur Outils > ESET SysInspector dans le menu principal d'ERAC.
En cas de problèmes avec un client spécifique, vous pouvez demander son journal ESET SysInspector. Pour ce faire,
dans le volet Clients, cliquez avec le bouton droit de la souris sur le client, puis sélectionnez Demander des données –
Demander les informations de SysInspector. Il n'est possible d'obtenir des journaux que de produits à partir de la
génération 4.x ; les versions antérieures ne prennent pas en charge cette fonctionnalité. Une fenêtre proposant les
options suivantes s'ouvre :
Créer un instantané (enregistrer également le journal du résultat sur le client) : enregistre une copie du journal
sur l'ordinateur client.
Inclure une comparaison au dernier instantané avant l'heure spécifiée : affiche un journal comparatif. Un journal
comparatif est créé par fusion du journal actuel avec un journal précédent éventuellement disponible. ERA choisit le
premier journal antérieur à la date spécifiée.
Cliquez sur OK pour obtenir les journaux sélectionnés et les enregistrer sur le serveur. Pour ouvrir et afficher les
journaux, procédez comme suit :
Les options d'ESET SysInspector pour des stations de travail client individuelles figurent sous l'onglet SysInspector des
Propriétés du client. La fenêtre est divisée en trois sections. La section supérieure présente des informations de texte
sur les journaux les plus récents du client donné. Cliquez sur Rafraîchir pour charger les informations les plus récentes.
72
La section médiane de la fenêtre Options de demande est presque identique à la fenêtre qui s'affiche dans le processus
de demande de journaux de stations de travail client décrit ci-avant. Le bouton Demande permet d'obtenir un journal
ESET SysInspector du client.
La section inférieure comprend les boutons suivants :
Afficher : ouvre le journal indiqué dans la section supérieure directement dans ESET SysInspector.
Enregistrer sous... : enregistre le journal actuel dans un fichier. L'option Puis exécuter la visionneuse d'ESET
SysInspector pour afficher le fichier ouvre automatiquement le journal après son enregistrement (comme si vous
cliquiez sur Afficher).
La génération et l'affichage de nouveaux fichiers journaux sont parfois ralentis par le client local en raison de la taille du
journal et de la vitesse de transfert de données. La date et l'heure affectées à un journal dans Propriétés du client >
SysInspector sont la date et l'heure de remise au serveur.
5.6 Quarantaine centralisée
La quarantaine centralisée est une puissante fonctionnalité qui permet aux administrateurs de manipuler aisément des
fichiers mis en quarantaine. Elle simplifie l'affichage, la suppression et la restauration de fichiers mis en quarantaine ou
l'exclusion de ceux-ci des analyses ultérieures. Elle est accessible via la fenêtre Quarantaine dans le volet de la console
principale ou dans les propriétés du client. La fenêtre principale de la quarantaine affiche des informations complètes
sur le fichier et le nom de la menace, le code de hachage, la date/l'heure de la première et de la dernière survenance, la
taille du fichier et le nombre d'occurrences.
REMARQUE : notez que les champs Nom d'objet, Nom de fichier et Extension affichent les trois premiers objets
seulement. Pour obtenir des informations détaillées, ouvrez la fenêtre Propriétés soit en appuyant sur la touche F3, soit
en double-cliquant sur l'élément sélectionné.
La quarantaine centralisée offre un aperçu des fichiers mis en quarantaine qui sont stockés localement sur les clients
avec la possibilité de les solliciter à la demande. Quand une fichier est sollicité, il est copié sur le ERA Server sous une
forme chiffrée et sûre. Pour des raisons de sécurité, le déchiffrement est réalisé au moment d'enregistrer le fichier sur le
disque. Pour obtenir des instructions sur la manipulation des fichiers mis en quarantaine, consultez le chapitre Tâche
Restaurer/Supprimer depuis la quarantaine 50 .
REMARQUE : la quarantaine centralisée requiert l'installation d'EAV/ESS version 4.2 ou versions ultérieures sur les
clients.
73
6. Assistant Fusion des règles de pare-feu
L'Assistant Fusion des règles de pare-feu permet de fusionner les règles de pare-feu pour les clients sélectionnés. Ceci
est particulièrement utile si vous devez créer une configuration unique qui contient toutes les règles de pare-feu
récoltées par les clients en mode d'apprentissage. La configuration obtenue peut être envoyée aux clients via une tâche
de configuration ou peut être appliquée en tant que stratégie.
L'Assistant est accessible via le menu déroulant Outils et via le menu contextuel de l'onglet Clients après avoir cliqué
avec le bouton droit de la souris sur les clients sélectionnés (les clients sélectionnés sont ensuite ajoutés
automatiquement aux éléments sélectionnés à la première étape).
REMARQUE : pour réaliser cette action correctement, tous les clients sélectionnés doivent stocker la configuration la
plus récente (envoyée ou répliquée) sur le serveur.
La procédure est la suivante. Tout d'abord, il faut choisir les clients ou les groupes de clients dont les règles de pare-feu
seront fusionnées. L'étape suivante montre la liste des clients sélectionnés et leur état de configuration. Si la
configuration d'un client ne se trouve pas sur le serveur, vous pouvez la demander à l'aide du bouton Demande. Les
dernières étapes permettent de sélectionner les règles fusionnées qui seront utilisées dans la configuration et de les
enregistrer dans un fichier .xml.
74
7. Rapports
L'onglet Rapports permet de convertir des informations statistiques en graphiques ou diagrammes. Vous pouvez
enregistrer ces derniers au format .csv (valeurs séparées par des virgules) afin de les traiter ultérieurement à l'aide des
outils ERA pour produire des graphiques et des sorties graphiques. Par défaut, ERA enregistre les résultats au format
HTML. La plupart des rapports relatifs aux infiltrations sont générés à partir du journal des menaces.
Pour rechercher et sélectionner des styles graphiques, utilisez le menu déroulant Style de la section Rapport.
ERA offre plusieurs modèles prédéfinis pour la création de rapports. Pour sélectionner un rapport, utilisez le menu
déroulant Type :
Principaux clients avec le plus de menaces
Répertorie les stations de travail client les plus « actives » (sur la base du nombre de menaces détectées).
Principaux utilisateurs avec le plus de menaces
Répertorie les utilisateurs les plus « actifs » (sur la base du nombre de menaces détectées).
Principales menaces
Liste des menaces les plus fréquemment détectées.
Principales menaces par propagation
Affiche les principales menaces par propagation.
Progression des menaces
Progression des événements liés à des logiciels malveillants (sur la base du nombre).
Progression comparative des menaces
Progression des événements liés à des logiciels malveillants par menace (sélectionnée à l'aide un filtre) en
comparaison du nombre total de menaces.
Menaces par analyseur
Nombre d'alertes de menace des différents modules du programme.
Menaces par objet
Nombre d'alertes de menace en fonction de leur mode d'infiltration (emails, fichiers, secteurs d'amorçage).
Principaux clients combinés avec le plus de menaces/Principales menaces
Combinaison des types précités.
Principales menaces/Progression des menaces combinées
Combinaison des types précités.
Principales menaces/Progression comparative des menaces combinées
Combinaison des types précités.
Clients de groupes
Indique le nombre de clients des groupes sélectionnés.
Clients des groupes vers Tout
Indique le rapport entre le nombre de clients des groupes sélectionnés et le nombre total de clients, sous forme de
pourcentage.
Clients combinés dans le rapport des groupes/clients
Indique le nombre de clients des groupes et des clients sélectionnés dans chaque groupe de la table (après que vous
avez cliqué sur le nom du groupe.)
Principaux clients avec le plus de menaces réseau
Indique les principaux clients avec le plus de menaces réseau.
Principales attaques réseau
Indique les principales attaques de réseau.
Sources des principales attaques réseau
Indique les sources des principales attaques de réseau.
Progression des attaques réseau
Indique la progression des attaques de réseau.
Principaux clients combinés avec le plus d'attaques réseau/les principales attaques réseau
Indique les principaux clients avec le plus de menaces réseau et les principales attaques réseau pour chaque client de
la table supérieure (après que vous avez cliqué sur le nom du client).
Principaux clients avec le plus de courrier indésirable expédié par SMS
Indique les principaux clients avec le plus de courrier indésirable expédié par SMS.
Principaux expéditeurs de courrier indésirable par SMS
Indique les principaux expéditeurs de courrier indésirable pour des cibles spécifiées.
Progression du courrier indésirable expédié par SMS
Indique la progression du courrier indésirable expédié par SMS.
75
Principaux clients combinés avec le plus de courrier indésirable expédié par SMS/Principaux expéditeurs de
courrier indésirable expédié par SMS
Indique les principaux clients avec le plus de courrier indésirable expédié par SMS et les principaux expéditeurs de
courrier indésirable par SMS pour chaque client de la table supérieure (après que vous avez cliqué sur le nom du
client).
Rapport des clients, Rapport des menaces, Rapport de pare-feu, Rapport des événements, Rapport des
analyses, Rapport des tâches, Rapport mobile, Rapport de quarantaine
Rapports standard visibles sous les onglets Clients, Journal des menaces, Journal des événements, Journal d'analyse
ou Tâches.
Rapport complet des menaces
Récapitulatif des rapports Principaux clients combinés avec le plus de menaces/Principales menaces ; Principales
menaces/Progression comparative des menaces combinées ; Progression des menaces
Rapport complet sur les attaques réseau
Récapitulatif des rapports Principaux clients combinés avec le plus d'attaques réseau/les principales attaques réseau ;
Principales attaques de réseau ; Sources des principales attaques réseau ; Progression des attaques réseau
Rapport complet sur le courrier indésirable expédié par SMS
Récapitulatif des rapports Principaux clients combinés avec le plus de courrier indésirable expédié par SMS/Principaux
expéditeurs de courrier indésirable expédié par SMS ; Principaux expéditeurs de courrier indésirable par SMS ;
Progression du courrier indésirable expédié par SMS
Dans la section Filtre, vous pouvez utiliser les menus déroulant Clients cibles ou Menace pour sélectionner les clients
ou virus à inclure dans le rapport.
Vous pouvez configurer d'autres détails en cliquant sur le boutonParamètres supplémentaires.... Ces paramètres
s'appliquent principalement aux données figurant dans le titre et dans les types de diagrammes graphiques utilisés.
Toutefois, vous pouvez également filtrer les données en fonction de l'état d'attributs choisis et choisir le format de
rapport à utiliser (.html, .csv).
L'onglet Intervalle permet de définir un intervalle de temps pour lequel le rapport sera généré :
Actuelle
Seuls les événements survenus au cours d'une période choisie seront inclus dans le rapport. Par exemple, si un
rapport est créé un mercredi alors que l'intervalle est défini sur Semaine actuelle, les événements des dimanche, lundi,
mardi et mercredi seront inclus.
Terminé
Seuls les événements survenus dans une période close choisie seront inclus dans le rapport (c.-à-d. tout le mois
d'août ou une semaine entière du dimanche au samedi). Si l'option Ajouter aussi la période actuelle est activée, le
rapport inclut les événements de la dernière période achevée jusqu'au moment de la création.
Exemple :
Nous souhaitons créer un rapport incluant les événements de la dernière semaine calendaire, c.-à-d. du dimanche au
samedi suivant. Nous voulons que ce rapport soit généré le mercredi suivant (après le samedi).
Sous l'onglet Intervalle, sélectionnez Terminé, puis 1 semaine. Désélectionnez l'option Ajouter aussi la période
actuelle. Sous l'onglet Planificateur, définissez Fréquence sur Hebdomadaire, puis sélectionnez Mercredi. Les autres
paramètres peuvent être configurés à la discrétion de l'administrateur.
De/À
Ce paramètre permet de définir une période pour laquelle le rapport sera généré.
L'onglet Planificateur permet de définir et de configurer un rapport automatique à une heure ou à des intervalles
choisis (à l'aide de la section Fréquence).
Après avoir planifié le rapport, cliquez sur le bouton Sélectionner cible... pour désigner l'emplacement où le rapport
sera enregistré. Vous pouvez enregistrer les rapports dans ERAS (par défaut), les envoyer par email à une adresse
choisie ou les exporter dans un dossier. Cette dernière option est utile si le rapport est envoyé à un dossier partagé sur
l'intranet de votre organisation, où d'autres employés peuvent le consulter.
Pour envoyer les rapports créés à une adresse électronique, il faut saisir le serveur SMTP et l'adresse du destinataire
dans Outils > Options du serveur > Autres paramètres.
Pour enregistrer les paramètres de rapports définis dans un modèle, cliquez sur les boutons Enregistrer ouEnregistrer
76
sous.... Si vous créez un modèle, cliquez sur le bouton Enregistrer sous…, puis attribuez-lui un nom.
En haut de la fenêtre de la console, dans la section Modèles de rapport, vous pouvez voir les noms des modèles déjà
créés. À côté des noms de modèle, figurent des informations sur l'heure/les intervalles ainsi que sur le moment où les
rapports sont générés en fonction du modèle prédéfini. Cliquez sur le bouton Générer maintenant (assurez-vous que
l'onglet Options est sélectionné) pour générer un rapport à tout moment, indépendamment de la planification.
Les modèles de rapport existant peuvent être importés/exportés depuis ou vers un fichier .xml en cliquant sur le
bouton Importer.../Exporter.... Les conflits de noms qui se produisent pendant l'importation (modèle existant et
importé portant le même nom) sont résolus par l'ajout d'une chaîne aléatoire à la fin du nom d'un modèle importé.
Vous pouvez afficher des rapports générés précédemment sous l'onglet Rapports générés. Pour accéder à des options
supplémentaires, sélectionnez un ou plusieurs rapports, puis utilisez le menu contextuel (en cliquant sur le bouton droit
de la souris).
Les modèles figurant dans la liste Favoris permettent de générer immédiatement de nouveaux rapports. Pour déplacer
un modèle vers la liste Favoris, cliquez avec le bouton droit sur le rapport, puis, dans le menu contextuel, cliquez sur
Ajouter aux favoris.
7.1 Scénario d'exemple de rapport
Pour maintenir la sécurité de réseau des clients au niveau le plus haut, il faut avoir un bonne vue d'ensemble de l'état de
la sécurité du réseau. Vous pouvez créer facilement des rapports avec des détails complets sur les menaces, les mises à
jour, les versions des produits client, etc. (pour de plus amples informations, consultez la rubrique Rapports 75 ).
Normalement, un rapport hebdomadaire devrait fournir toutes les informations nécessaires. Toutefois, il peut arriver
qu'une vigilance accrue s'impose, par exemple après la découverte d'une menace.
En guise d'exemple, nous allons créer un groupe paramétrique appelé Quarantaine. Ce groupe contiendra uniquement
les ordinateurs dans lesquels une menace a été détectée et nettoyée lors de la dernière analyse à la demande. Définissez
cette condition en cochant l'option A Menace détectée lors de la dernière analyse. Pour créer ce groupe
paramétrique, suivez les instructions reprises à la section Groupes paramétriques 53 .
REMARQUE : lors de la création du groupe Quarantaine, assurez-vous que l'option Sans suppression est désactivée.
L'ordinateur sera affecté dynamiquement et supprimé une fois que les conditions ne seront plus remplies.
Créez le rapport Ordinateurs de quarantaine. Pour créer un rapport pour ce groupe paramétrique, suivez les instructions
reprises à la section Rapports 75 .
Les paramètres spécifiques pour notre exemple sont les suivants :
Paramètres de l'onglet Options :
Type :
Rapport de quarantaine avec détails
Style :
Blue Scheme
Clients cibles :
Uniquement les groupes sélectionnés
Menace :
n.a
Paramètres de l'onglet Intervalle :
Actuelle :
Jour
Paramètres de l'onglet Planificateur :
Fréquence :
Quotidienne
Tous les :
1 jour
CONSEIL : vous pouvez stocker les résultats dans la base de données de rapports ou définir un dossier où les copies de
rapport seront stockées. Les rapports peuvent également être envoyés par email. Tous ces paramètres sont disponibles
après que vous avez cliqué sur Sélectionner cible...
Les rapports générés peuvent être consultés dans la rubrique Rapports généraux sous la section Rapports.
Synthèse : nous avons créé le groupe paramétrique Quarantaine contenant des ordinateurs sur lesquels une menace a
été détectée lors de l'analyse à la demande la plus récente. Ensuite, nous avons créé un rapport automatisé qui nous
informera, chaque jour, des ordinateurs qui appartiennent au groupe Quarantaine. Nous aurons ainsi un bon aperçu de
l'état de notre réseau de clients qui nous permettra de contrôler les menaces potentielles.
CONSEIL : pour voir les détails du dernier journal d'analyse, utilisez le type de rapport Rapport des analyses avec
77
détails.
78
8. Configuration du serveur ESET Remote Administrator (ERAS)
8.1 Sécurité
Les solutions de sécurité ESET version 3.x (ESET Smart Security) offrent une protection par mot de passe pour une
communication déchiffrée entre le client et ERAS (communication avec le protocole TCP sur le port 2222).
Les versions antérieures (2.x) n'offrent pas cette fonctionnalité. Pour assurer une compatibilité descendante avec des
versions antérieures, le mode Activer l'accès non authentifié de clients doit être activé.
L'onglet Sécurité contient des options permettant à l'administrateur d'utiliser des solutions de sécurité 2.x et 3.x
simultanément sur le même réseau.
Mot de passe pour la console (accès administrateur, accès en lecture seule)
Permet de définir un mot de passe pour l'administrateur et des utilisateurs restreints afin de protéger la console
contre des modifications non autorisées des paramètres d'ERAC.
Mot de passe pour les clients (produits de sécurité ESET)
Définit un mot de passe pour les clients accédant à l'ERAS.
Mot de passe pour la réplication
Définit un mot de passe pour les ERA Server de niveau inférieur en cas de réplication sur un ERAS donné.
Mot de passe pour le programme d'installation à distance d'ESET (Agent)
Définit un mot de passe permettant à l'agent d'installation d'accéder à ERAS. Convient pour les installations à
distance.
Activer l'accès non authentifié de clients (produits de sécurité ESET)
Permet à des clients ne disposant pas d'un mot de passe valide (si le mot de passe actuel diffère du Mot de passe pour
les clients) d'accéder à ERAS.
Activer l'accès non authentifié pour la réplication
Permet à des clients de ERA Server de niveau inférieur ne disposant pas d'un mot de passe valide pour la réplication
d'accéder à ERAS.
Activer l'accès non authentifié pour le programme d'installation à distance d'ESET (Agent)
Active l'accès à l'ERAS pour le programme d'installation à distance d'ESET sans mot de passe valide précisé.
REMARQUE : si l'authentification est activée dans ERAS et sur tous les clients (génération 3.x et suivantes), il est
possible de désactiver l'option Activer l'accès non authentifié de clients.
Utiliser l'authentification de Windows/domaine
Active l'authentification de Windows/domaine et permet de définir des groupes d'administrateurs (avec accès total à
ERA Server) ainsi que des groupes avec accès en lecture seule (via l'option Traiter tous les autres utilisateurs
comme s'ils avaient un accès en lecture seule))
8.2 Maintenance du serveur
Si la configuration est correcte sous l'onglet Maintenance du serveur, la base de données d'ERAS est automatiquement
maintenue et optimisée, sans qu'aucune configuration supplémentaire soit nécessaire. Par défaut, les entrées et les
journaux de plus de six mois sont supprimés et la tâche Compactage et réparation est effectuée tous les quinze jours.
Toutes les options de maintenance du serveur sont accessibles sous Outils > Options du serveur > Maintenance du
serveur.
Les options disponibles sont les suivantes :
Supprimer les clients non connectés depuis X mois (jours)
Supprime tous les clients qui ne se sont pas connectés à ERAS depuis un nombre de mois (ou de jours) supérieur à
celui spécifié.
79
Supprimer les journaux des menaces de plus de X mois (jours)
Supprime tous les incidents de virus plus anciens que le nombre de mois (jours) spécifié.
Supprimer les journaux de pare-feu de plus de X mois (jours)
Supprime tous les journaux de pare-feu plus anciens que le nombre de mois (jours) spécifié.
Supprimer les journaux des événements de plus de X mois (jours)
Supprime tous les événements système plus anciens que le nombre de mois (jours) spécifié.
Supprimer les journaux d'analyse de plus de X mois (jours)
Supprime tous les journaux d'analyse plus anciens que le nombre de mois (jours) spécifié.
Supprimer les journaux mobiles de plus de X mois (jours)
Supprime tous les journaux mobiles plus anciens que le nombre de mois (jours) spécifié.
Supprimer les entrées de quarantaine sans clients de plus de X mois (jours)
Supprime tous les journaux d'analyse plus anciens que le nombre de mois (jours) spécifié.
Planificateur de nettoyage
Exécute l'option sélectionnée ci-dessus toutes les .... minutes.
Planificateur de compactage/réparation
Compacte la base de données dans l'intervalle de temps défini à l'heure spécifiée. Le compactage et la réparation
éliminent les incohérences et les problèmes, et accélèrent la communication avec la base de données.
8.3 Serveur Miroir
La fonctionnalité Miroir permet à l'utilisateur de créer un serveur de mise à jour local. Les ordinateurs client ne
téléchargeront pas les mises à jour des signatures de virus à partir des serveurs d'ESET sur Internet, mais se
connecteront à un serveur Miroir local sur votre réseau. Les principaux avantages de cette solution sont qu'elle permet
d'économiser de la bande passante Internet et de réduire le trafic réseau, car seul le serveur Miroir se connecte à
Internet pour les mises à jour, au lieu de centaines d'ordinateurs client. Cette configuration signifie qu'il est important
que le serveur Miroir soit toujours connecté à Internet.
Avertissement : un serveur Miroir qui a effectué une mise à niveau de composants du programme et qui n'a pas été
redémarré peut entraîner une panne. Dans un tel scénario, le serveur serait incapable de télécharger LA MOINDRE mise
à jour ou de la distribuer à des stations de travail client. NE DÉFINISSEZ PAS DE MISES À JOUR AUTOMATIQUES DES
COMPOSANTS DU PROGRAMME POUR LES PRODUITS SERVEUR ESET ! Cela ne s'applique pas au Miroir créé dans
ERAS.
La fonctionnalité Miroir est disponible dans deux emplacements :
ESET Remote Administrator (miroir s'exécutant physiquement dans ERAS, gérable à partir d'ERAC)
ESET Smart Security Business Edition ou ESET NOD32 Antivirus Business Edition (pour autant que la version Business
Edition ait été activée par une clé de licence).
L'administrateur sélectionne la méthode d'activation de la fonctionnalité Miroir.
Dans des réseaux de grande taille, il est possible de créer plusieurs serveurs Miroir (p. ex., pour divers départements de
la société) et d'en définir un comme central (au siège de la société) dans une structure de type cascade similaire à une
configuration d'ERAS avec plusieurs clients.
L'administrateur doit insérer la clé de licence de produit pour un produit acheté et saisir le nom d'utilisateur et le mot de
passe permettant d'activer la fonctionnalité Miroir dans ERAS. Si l'administrateur utilise une clé de licence, le nom
d'utilisateur et le mot de passe pour ESET NOD32 Antivirus Business Edition, puis réalise ensuite la mise à niveau à ESET
Smart Security Business Edition, la clé de licence d'origine, le nom d'utilisateur et le mot de passe devront également
être remplacés.
REMARQUE : les clients ESET NOD32 Antivirus peuvent également être actualisés à l'aide d'une licence ESET Smart
Security, mais pas l'inverse.
80
8.3.1 Utilisation du serveur Miroir
L'ordinateur hébergeant le serveur Miroir doit fonctionner et être connecté en permanence à Internet ou à un serveur
Miroir de niveau supérieur pour la réplication. Vous pouvez télécharger les packages de mise à jour du serveur Miroir de
deux manières :
1. En utilisant le protocole HTTP (recommandé)
2. En utilisant un lecteur réseau partagé (SMB)
Les serveurs de mise à jour d'ESET utilisent le protocole HTTP avec une authentification. Un serveur Miroir central doit
accéder aux serveurs de mise à jour à l'aide d'un nom d'utilisateur (généralement) sous la forme suivante : EAV-XXXXXXX)
et d'un mot de passe.
Le serveur Miroir qui fait partie d'ESET Smart Security/ESET NOD32 Antivirus a un serveur HTTP intégré (variante 1).
REMARQUE : si vous décidez d'utiliser le serveur HTTP intégré (sans authentification), veillez à ce qu'il ne soit pas
accessible à partir de l'extérieur de votre réseau (c.-à-d. à des clients non inclus dans votre licence). Le serveur ne peut
pas être accessible à partir d'Internet.
Par défaut, le serveur HTTP écoute le port TCP 2221. Assurez-vous que ce port n'est utilisé par aucune autre application.
REMARQUE : en cas d'utilisation de la méthode du serveur HTTP, le maximum de clients recommandé pour la mise à
jour depuis un miroir est de 400. Dans les grands réseaux comptant plus de clients, il est conseillé de répartir les miroirs
de mise à jour entre les serveurs miroir ERA (ou ESS/EAV). Si le miroir doit être centralisé sur un seul serveur, il est
conseillé d'utiliser un autre type de serveur HTTP, comme Apache. ERA prend également en charge des méthodes
d'authentification supplémentaires (p. ex., Apache Web Server utilise la méthode .htaccess).
La seconde méthode (dossier réseau partagé) requiert un partage (droits d'accès en lecture) du dossier contenant les
packages de mise à jour. Dans ce scénario, il convient de saisir, sur la station de travail client, un nom d'utilisateur et un
mot de passe permettant d'accéder en lecture au dossier de mise à jour.
REMARQUE : les solutions client ESET utilisent le compte d'utilisateur SYSTEM et offrent donc des droits d'accès réseau
différents de ceux d'un utilisateur actuellement connecté. Une authentification est requise même si le lecteur réseau est
accessible à tous et si l'utilisateur actuel peut y accéder également. De même, utilisez des chemins UNC pour définir le
chemin réseau du serveur local. Il est recommandé d'utiliser le format DISK:\.
Si vous décidez d'utiliser la méthode de dossier réseau partagé (variante 2), il est recommandé de créer un nom
d'utilisateur unique (p. ex., NODUSER). Ce compte sera utilisé sur tous les ordinateurs client uniquement pour le
téléchargement de mises à jour. Le compte NODUSER doit avoir des droits d'accès en lecture sur le dossier réseau
partagé contenant les packages de mise à jour.
Pour l'authentification d'accès à un lecteur réseau, saisissez les données d'authentification sous leur forme complète :
WORKGROUP\User ou DOMAIN\User.
Outre l'authentification, vous devez définir la source des mises à jour pour les solutions client ESET. Une source de mise
à jour est soit l'adresse URL d'un serveur local (http://nom_serveur_miroir:port), soit le chemin UNC d'un lecteur réseau : (
(\\nom_serveur_miroir\nom_partage).
8.3.2 Types de mises à jour
Outre les mises à jour de base des signatures de virus (qui peuvent inclure des mises à jour de noyau logiciel d'ESET),
des mises à niveau des composants du programme sont également disponibles. Les mises à niveau des composants du
programme ajoutent des fonctionnalités aux produits de sécurité ESET et nécessitent un redémarrage.
Le serveur Miroir permet à un administrateur de désactiver le téléchargement automatique des mises à niveau de
programme à partir des serveurs de mise à jour d'ESET (ou d'un serveur Miroir de niveau supérieur), et de désactiver sa
distribution aux clients. L'administrateur peut ensuite déclencher une distribution manuellement s'il est certain qu'il n'y
aura pas de conflit entre la nouvelle version et des applications existantes.
Cette fonctionnalité est particulièrement utile si l'administrateur souhaite télécharger et utiliser des mises à jour de base
des signatures de virus quand une nouvelle version du programme est également disponible. Si une version plus
ancienne du programme est utilisée conjointement avec la dernière version de base de données des virus, le
programme continuera à offrir la meilleure protection possible. Il est cependant recommandé de télécharger et
d'installer la version la plus récente du programme pour avoir accès à ses nouvelles fonctionnalités.
81
Par défaut, les composants du programme ne sont pas téléchargés automatiquement et doivent être configurés
manuellement dans ERAS. Pour plus d'informations, consultez le chapitre Activation et configuration du Miroir 82 .
8.3.3 Activation et configuration du Miroir
Si le Miroir est directement intégré dans ERA (composant Business Edition), connectez-vous à ERAS à l'aide d'ERAC,
puis procédez comme suit :
Dans la ERAC, cliquez sur Outils > Options du serveur… > Mises à jour.
Dans le menu déroulant Serveur de mise à jour : sélectionnez Choisir automatiquement(les mises à jour seront
téléchargées à partir des serveurs d'ESET), ou entrez l'adresse URL ou le chemin UNC d'un serveur Miroir.
Définissez l'intervalle de mise à jour (idéalement, soixante minutes).
Si vous avez sélectionné Choisir automatiquement à l'étape précédente, insérez le nom d'utilisateur (Nom
d'utilisateur de mise à jour) et le mot de passe (Mot de passe de mise à jour) envoyés après l'achat. Si vous accédez à
un serveur de niveau supérieur, saisissez un nom d'utilisateur de domaine et un mot de passe valides pour ce serveur.
Choisissez l'option Créer un miroir de mise à jour, puis saisissez le chemin d'accès du dossier qui contiendra les
fichiers de mise à jour. Par défaut, il s'agit d'un chemin d'accès relatif au dossier Miroir, pour autant que l'option
Fournir les fichiers de mise à jour via un serveur HTTP interne soit activée et disponible sur le port HTTP défini dans
Port du serveur HTTP (par défaut, 2221). Définissez l'Authentification sur AUCUNE (pour de plus amples
informations, consultez le chapitreUtilisation du serveur Miroir 81 ).
REMARQUE : en cas de problème de mise à jour, activez l'option Vider le cache de mise à jour pour vider le dossier
contenant les fichiers temporaires de mise à jour.
L'option Créer le miroir du PCU téléchargé permet d'activer la création de miroir de composants du programme.
Pour configurer la création du miroir de la mise à jour des composants du programme, ouvrez le menu Paramètres
avancés > Modifier les paramètres avancés et configurez les paramètres dans ESET Remote Administrator > ERA
Server > Configuration > Miroir (ou Miroir pour NOD32 version 2).
Sélectionnez les composants linguistiques à télécharger dans Paramètres avancés > Modifier les paramètres
avancés… la branche ERA Server > Configuration > Miroir > Créer un miroir pour les composants du programme
sélectionnés. Vous devez sélectionner les composants pour toutes les versions linguistiques qui seront utilisées dans
le réseau. Notez que le téléchargement d'une version linguistique non installée sur le réseau augmentera inutilement
le trafic réseau.
82
La fonctionnalité du miroir est également disponible directement depuis l'interface du programme dans ESET Smart
Security Business Edition et ESET NOD32 Antivirus Business Edition. Il appartient à l'administrateur de choisir la
méthode utilisée pour implémenter le serveur Miroir.
Pour activer et lancer le serveur Miroir depuis ESET Smart Security Business Edition ou ESET NOD32 Antivirus Business
Edition, procédez comme suit :
1) Installez ESET Smart Security Business Edition ou ESET NOD32 Antivirus Business Edition
2) Dans la fenêtre Configuration avancée (F5), cliquez sur Divers > Licences. Cliquez sur le bouton Ajouter...,
recherchez le fichier *.lic, puis cliquez sur Ouvrir. Cela aura pour effet d'installer la licence et de permettre la
configuration de la fonctionnalité Miroir.
3) Dans la branche Mise à jour, cliquez sur le bouton Configurer..., puis sélectionnez l'ongletMiroir.
4) Sélectionnez l'option Créer un miroir de mise à jour, puis l'option Fournir les fichiers de mise à jour via un serveur
HTTP interne.
5) Saisissez le chemin d'accès complet du dossier (Dossier de stockage des fichiers en miroir) dans lequel les fichiers de
mise à jour doivent être stockés.
6) Les champs Nom d'utilisateur et Mot de passe servent de données d'authentification pour les stations de travail
client tentant d'accéder au dossier Miroir. Dans la plupart des cas, il n'est pas obligatoire de les renseigner.
7) Définissez Authentification sur AUCUNE.
8) Sélectionnez les composants à télécharger (c.-à-d. les composants pour toutes les versions linguistiques qui seront
utilisées dans le réseau). Les composants ne s'affichent que s'ils sont disponibles sur les serveurs de mise à jour
d'ESET.
REMARQUE : Pour assurer une fonctionnalité optimale, il est recommandé d'activer le téléchargement et la mise en
miroir des composants programme. Si cette option est désactivée, seule la base des signatures de virus est mise à jour,
pas les composants du programme. Si le miroir est utilisé en tant que partie d'ERA, cette option peut être configurée
dans ERAC via Outils > Options du serveur… > onglet Paramètres avancés > Modifier les paramètres avancés… >
83
ESET Remote Administrator > ERA Server > Configuration > Miroir. Activez toutes les versions linguistiques du
programme présentes dans votre réseau.
8.3.4 Miroir pour les clients avec NOD32 version 2.x
ESET Remote Administrator permet à un administrateur de créer des copies de fichiers de mise à jour pour les
ordinateurs client sur lesquels ESET NOD32 Antivirus 2.x est installé. Pour ce faire, cliquez sur Outils > Options du
serveur > Mises à jour > Créer un miroir de mise à jour pour les produits NOD32 version 2. Cela s'applique
uniquement à ERA ; le Miroir inclus dans la solution client de Business Edition (v 3.x) ne contient pas cette option.
Si vous disposez de clients 2.x et 3.x dans votre réseau, il est recommandé d'utiliser le Miroir intégré dans ERA. Si les
deux miroirs sont activés sur le même ordinateur (un dans ERAS pour clients 2.x, l'autre dans un client Business Edition
pour clients 3.x), cela peut entraîner un conflit entre deux serveurs HTTP utilisant le même port TCP.
Les mises à jour pour les clients 2.x sont stockées dans le dossier « nod32v2 », sous-dossier du dossier Miroir principal.
Celui-ci est accessible via l'adresse URL suivante :
http://nom_serveur_miroir:port/nod32v2
ou le chemin UNC d'un lecteur réseau :
\\nom_serveur_miroir\nom_partage\nod32v2
ERA est également capable de télécharger des composants du programme pour clients 2.x. Pour sélectionner les
composants du programme à télécharger, accédez à Outils > Options du serveur… > onglet Paramètres avancés >
cliquez sur Modifier les paramètres avancés… et déployez la branche ESET Remote Administrator > ERA Server >
Configuration > Miroir pour NOD32 version 2. Pour réduire le volume des données téléchargées, ne sélectionnez que
les versions linguistiques présentes sur votre réseau.
8.4 Réplication
La réplication est utilisée dans des réseaux de grande taille où plusieurs ERA Server sont installés (p. ex., une société
possédant plusieurs filiales). Pour obtenir des informations supplémentaires, consultez le chapitre Installation 17 .
Les options disponibles sous l'onglet Réplication (Outils > Options du serveur...) sont réparties dans deux sections :
Paramètres de réplication « sur »
Paramètres de réplication « de »
La section Paramètres de réplication « sur » permet de configurer des ERA Server de niveau inférieur. L'option Activer
la réplication « sur » doit être activée et l'adresse IP ou le nom de l'ERAS maître (serveur de niveau supérieur) doit être
saisi. Les données du serveur de niveau inférieur sont alors répliquées sur le serveur maître. Les Paramètres de
réplication « de » permettent aux ERA Server maîtres (de niveau supérieur) d'accepter des données de ERA Server de
niveau inférieur, ou de les transférer sur des serveurs maîtres. L'option Activer la réplication « de » doit être activée et
les noms de serveurs de niveau inférieur doivent être définis (séparés par des virgules).
Ces deux options doivent être activées pour les ERA Server situés n'importe où au milieu dans la hiérarchie de
réplication (de façon à ce qu'ils aient des serveurs de niveau supérieur et de niveau inférieur).
Tous les scénarios précités sont visibles dans la figure ci-dessous. Les ordinateurs beiges représentent des ERA Server
individuels. Chaque ERAS est représenté par son nom (qui doit être identique à %Computer Name%, afin d'éviter toute
confusion) et par les paramètres correspondants dans la boîte de dialogue de réplication.
84
Les autres options qui influencent le comportement de réplication des serveurs sont les suivantes :
Répliquer journal des menaces, Répliquer journal de pare-feu, Répliquer journal des événements, Répliquer
journal d'analyse, Répliquer journal mobile, Répliquer quarantaine
Quand ces options sont sélectionnées, toutes les informations affichées sur les onglets Clients, Journal des menaces
, Journal de pare-feu, Journal des événements, Journal d'analyse, Journal mobile, Quarantaine et Tâches sont
répliquées dans des colonnes et des lignes individuelles. Il se peut que les informations non stockées directement
dans la base de données mais dans des fichiers individuels (c.-à-d. au format .txt ou .xml) ne soient pas répliquées.
Activez ces options pour répliquer également des entrées dans ces fichiers.
Répliquer automatiquement détails du journal des menaces, Répliquer automatiquement détails du journal
d'analyse, Répliquer automatiquement détails du client, Répliquer automatiquement détails du journal
mobile, Répliquer automatiquement fichiers de quarantaine
Ces options activent la réplication automatique des informations complémentaires stockées dans des fichiers
individuels. Il est également possible de télécharger ces informations à la demande en cliquant sur le bouton
Demande.
REMARQUE : certains journaux sont répliqués automatiquement, tandis que les journaux détaillés et les journaux de
configuration de client ne le sont qu'à la demande. Cela est dû au fait que certains journaux peuvent contenir des
quantités importantes de données dépourvues de pertinence. Par exemple, un journal d'analyse pour lequel l'option
Journaliser tous les fichiers est activée utilise une quantité importante d'espace disque. De telles informations sont
généralement superflues et peuvent être demandées manuellement. Les serveurs enfant ne soumettent pas
automatiquement d'informations sur les clients supprimés. C'est pourquoi des serveurs de niveau supérieur peuvent
continuer à stocker des informations sur des clients supprimés de serveurs de niveau inférieur. Pour supprimer un client
de l'onglet Client sur un serveur de niveau supérieur, sélectionnez l'option Activer la suppression des clients répliqués
supprimés sur le serveur de niveau inférieur sous-jacent accessible via Options du serveur > Paramètres avancés >
Modifier les paramètres avancés > Configuration > Réplication.
85
Pour définir le niveau de maintenance des journaux dans ERAS, cliquez sur Outils > Options du serveur > Paramètres
avancés > Modifier les paramètres avancés… > Configuration > Maintenance du serveur.
Si vous ne voulez répliquer que les clients présentant un changement d'état, activez l'option Outils > Options du
serveur > Réplication > Marquer tous les clients pour réplication par « Répliquer vers le haut maintenant ».
8.5 Journalisation
En cours d'exécution, ERAS crée un journal (Nom de fichier du journal) concernant son activité, que vous pouvez
configurer (Verbosité du journal). Si l'option Journaliser dans un fichier texte est activée, de nouveaux fichiers
journaux sont créés (Rotation quand la taille est supérieure à X Mo) et supprimés sur une base quotidienne (
Supprimer les journaux de rotation de plus de X jours).
L'option Consigner dans le journal des applications du SE permet de copier les informations dans le journal de
l'Observateur d'événements système (Panneau de configuration de Windows > Outils d'administration >
Observateur d'événements).
Dans des circonstances normales, l'option Journal de débogage de base de données doit être désactivée.
Par défaut, le fichier texte est enregistré à l'emplacement suivant :
%ALLUSERSPROFILE%\Application data\Eset\ESET Remote Administrator\Server\logs\era.log
Il est recommandé de laisser le paramètre Verbosité du journal défini sur Niveau 2 - Supérieur + Erreurs de session. Ne
modifiez le niveau de journalisation que si vous rencontrez des problèmes ou sur demande du service client d'ESET.
Cliquez sur Outils > Options du serveur > Paramètres avancés > Modifier les paramètres avancés… >
Configuration > Journalisation > Compression du journal de débogage soumis à rotation afin de configurer le
niveau de compression pour des journaux individuels soumis à rotation.
8.6 Gestion de licences
Pour qu'ERA fonctionne correctement, vous devez télécharger une clé de licence. Après l'achat, les clés de licence sont
envoyées à votre adresse Email avec votre nom d'utilisateur et votre mot de passe. Le Gestionnaire de licences permet
de gérer les licences.
À partir de la version 3.x, ERA prend en charge plusieurs clés de licence. Cette fonctionnalité facilite la gestion de clés de
licence.
La fenêtre principale du Gestionnaire de licences est accessible à partir de Outils > Gestionnaire de licences.
Pour ajouter une nouvelle clé de licence :
1) Accédez à Outils > Gestionnaire de licences ou appuyez sur les touches CTRL + L de votre clavier.
2) Cliquez sur Parcourir pour accéder au fichier de clé de licence souhaité (les fichiers de ce type portent l'extension .lic).
3) Cliquez sur Ouvrir pour confirmer.
4) Vérifiez que les informations de clé de licence sont correctes, puis sélectionnez Charger sur le serveur.
5) Cliquez sur OK pour confirmer.
Le bouton Charger sur le serveur n'est actif que si vous avez sélectionné une clé de licence (à l'aide du bouton Parcourir
). Les informations sur la clé de licence affichée sont présentées dans cette partie de la fenêtre. Cela permet d'effectuer
un dernier contrôle avant de copier la clé sur un serveur.
La partie centrale de la fenêtre présente des informations sur la clé de licence actuellement utilisée par le serveur. Pour
afficher des détails sur toutes les clés de licence présentes sur le serveur, cliquez sur le bouton Détails….
ERAS est capable de sélectionner la clé de licence la plus appropriée et de fusionner plusieurs clés en une seule. Si
plusieurs clés de licence ont été chargées, ERAS essaie toujours de trouver celle qui a le plus de clients et la date
d'expiration la plus éloignée.
La capacité de fusionner plusieurs clés fonctionne si toutes les clés appartiennent au même client. La fusion de licences
est un processus simple qui crée une clé contenant tous les clients concernés. La date d'expiration de la nouvelle clé de
licence est celle de la clé qui expirera la première.
86
La partie inférieure de la fenêtre du Gestionnaire de licences est destinée aux notifications relatives aux problèmes de
licence. Les options disponibles sont les suivantes :
Avertir si la licence du serveur expirera dans 20 jours : affiche un avertissement x jours avant l'expiration de la
licence.
N'avertir que si cela entraîne une chute du nombre de clients sous licence au-dessous du nombre de clients réels
dans la base de données du serveur : activez cette option pour n'afficher un avertissement que si l'expiration de la clé
de licence ou d'une partie de la licence entraînera une chute du nombre clients sous le nombre de clients actuellement
connectés ou de clients dans la base de données d'ERAS.
Avertir s'il ne reste que 10% de clients disponibles dans la licence du serveur : le serveur affiche un message
d'avertissement si le nombre de client disponibles chute sous la valeur spécifiée (en %).
ERAS peut fusionner plusieurs licences de plusieurs clients. Cette fonctionnalité doit être activée par une clé spéciale. Si
vous avez besoin d'une telle clé, spécifiez-le dans votre commande ou contactez votre distributeur ESET local.
8.7 Paramètres avancés
Pour accéder aux paramètres avancés d'ERA, cliquez sur Outils > Options du serveur > Paramètres avancés >
Modifier les paramètres avancés.
Les paramètres avancés sont les suivants :
Utilisation d'espace disque maximale (pour cent)
En cas de dépassement, il se peut que certaines fonctionnalités du serveur soient indisponibles. Lorsqu'il se connecte
à ERAS, ERAC affiche une notification en cas de dépassement de la limite.
Codage du protocole de communication
Définit le type de codage. Il est recommandé de conserver le paramètre par défaut.
Activer le changement de nom d'adresse MAC (d'inconnue en valide)
Après réinstallation à partir d'une solution client ESET qui ne prend pas en charge l'envoi d'adresse MAC (p. ex., ESET
NOD32 Antivirus 2.x) à une solution client prenant en charge cette fonctionnalité (p. ex., un client 3.x),
l'enregistrement de l'ancien client est converti en enregistrement du nouveau. Il est recommandé de conserver le
paramètre par défaut (Oui).
Activer le changement de nom d'adresse MAC (de valide en inconnue)
Après réinstallation à partir d'une solution client ESET qui prend en charge l'envoi d'adresse MAC (p. ex., ESET NOD32
Antivirus 3.x) à une solution client ne prenant pas en charge cette fonctionnalité (p. ex., un client 2.x),
l'enregistrement de l'ancien client est converti en enregistrement du nouveau. Il est recommandé de conserver le
paramètre par défaut (Non).
Activer le changement de nom d'adresse MAC (de valide en une autre valide)
Active le changement de nom d'adresses MAC valides. La valeur par défaut ne permet pas le changement de nom, ce
qui signifie que l'adresse MAC fait partie de l'identification unique des clients. Désactivez cette option s'il y a plusieurs
entrées pour un seul PC. Il est également recommandé de désactiver cette option si un client est identifié comme
étant le même client après modification de l'adresse MAC.
Activer le changement de nom d'ordinateur
Permet de modifier le nom d'ordinateurs client. Si cette option est désactivée, le nom d'ordinateur fera partie de
l'identification unique des clients.
Utiliser aussi l'ouverture de session par défaut du serveur pendant une installation poussée
ERAS permet à l'utilisateur de définir un nom d'utilisateur et un mot de passe uniquement pour une installation à
distance par script d'ouverture de session et par Email. Activez cette option pour utiliser les valeurs prédéfinies
également pour les installations poussées à distance.
87
8.8 Autres paramètres
Paramètres SMTP
Certaines fonctionnalités d'ERA requièrent une configuration de serveur SMTP correcte. Ces fonctionnalités sont
l'installation à distance par Email et la génération de rapports à envoyer par Email.
Nouveaux clients
Autoriser les nouveaux clients
Si cette option est désactivée, aucun nouveau client n'est ajouté sous l'onglet Clients. Même si de nouveaux clients
communiquent avec des ERA Server, ils ne sont pas visibles sous l'onglet Clients.
Redéfinir automatiquement le drapeau « Nouveau » pour les nouveaux clients
Si cette option est activée, le drapeau Nouveau est supprimé des clients se connectant pour la première fois à ERAS.
Pour obtenir des informations supplémentaires, consultez le chapitre Onglet Clients 25 .
Ports
Permet de personnaliser les ports où ERAS écoutera les communications établies par la Console (par défaut, 2223), le
Client (par défaut 2222), le processus de réplication (Port de réplication, par défaut 2846) et le Programme
d'installation à distance d'ESET (par défaut 2224).
ThreatSense.Net
Si activé, ERAS transfère les fichiers suspects et les informations statistiques des clients aux serveurs d'ESET dans
l'intervalle de temps défini. Notez que, selon la configuration du réseau, il n'est pas toujours possible pour des stations
de travail client de soumettre ces informations directement.
88
9. ESET Remote Administrator Maintenance Tool
ESET Remote Administrator Maintenance Tool sert à exécuter des tâches spécifiques pour l'exploitation et la
maintenance du serveur. Pour y accéder, cliquez sur Démarrer > Programmes > ESET Remote Administrator Serveur
. Quand vous lancez ERA Maintenance Tool, un Assistant s'ouvre pour vous aider à réaliser les tâches requises.
REMARQUE : pour que ERA Maintenance Tool puisse fonctionner correctement sous Windows NT4 SP6, vous devez
disposer d'Internet Explorer v5.0 (ou versions ultérieures). Si ce n'est pas le cas, la bibliothèque de contrôles communs
doit être mise à jour. La bibliothèque ComCtl32 fait partie de Platform SDK Comctl32 Redistributables et peut être
téléchargée depuis le site Web de Microsoft.
9.1 Informations d'ERA Server
L'outil affiche des informations de synthèse sur le ERA Server installé. Les informations affichées peuvent être
consultées plus en détail dans une fenêtre séparée en cliquant sur Informations supplémentaires. Elles peuvent être
copiées en cliquant sur Copier dans le Presse-papiers et elles peuvent être actualisées en cliquant sur Rafraîchir. Après
avoir vérifié les informations, passez à l'étape suivante en cliquant sur Suivant.
9.2 Type de tâche
L'outil Maintenance contient une liste de tâches disponibles. À la fin de la configuration de chaque tâche, vous pouvez
enregistrer les paramètres de la tâche actuelle en cliquant sur Enregistrer tous les paramètres dans un fichier. Ces
paramètres pourront ensuite être utilisés à tout moment à l'avenir en cliquant sur Charger tous les paramètres d'un
fichier. Pour chaque étape individuelle dans la configuration d'une tâche, il est également possible de choisir les
options Enregistrer tous les paramètres dans un fichier ou Charger tous les paramètres d'un fichier.
9.2.1 Arrêter le ERA Server
Cette tâche arrête le service de ESET Remote Administrator Server.
9.2.2 Démarrer le ERA Server.
Cette tâche démarre le service de ESET Remote Administrator Server.
9.2.3 Transfert de base de données
Cette tâche permet de convertir le format de la base de données. L'outil peut assurer des conversions entre les bases de
données suivantes :
MS Access
MS SQL Server
Oracle
My SQL
La première étape consiste à choisir la base de données.
S'il s'agit d'une base de données MS Access, indiquez le chemin d'accès au fichier .mdb. Le chemin indiqué lors de
l'installation d'ERA Server est utilisé par défaut.
Tous les autres formats de bases de données requièrent la définition de paramètres complémentaires :
Chaîne de connexion : chaîne spéciale utilisée pour identifier la base de données source.
Nom d'utilisateur : nom d'utilisateur pour accéder à la base de données.
Mot de passe : mot de passe pour accéder à la base de données.
Nom du schéma : nom d'un schéma (disponible pour Oracle et MS SQL uniquement)
Cliquez sur Charger la configuration de serveur actuelle pour utiliser les paramètres actuels de ERA Server. Cliquez
sur Tester la connexion pour tester la connexion de la base de données. S'il est impossible d'établir une connexion,
vérifiez si les paramètres sont corrects. Quand le test de la base de données a réussi, continuez en cliquant sur Suivant.
Sélectionnez la base de données cible. Choisissez l'option Remplacer les paramètres de connexion du serveur pour
connecter le serveur et utiliser la nouvelle base de données après la conversion. Si vous ne choisissez pas cette option, la
nouvelle base de données sera créée sans que le serveur n'adopte la nouvelle version de la base de données.
Pour tous les autres types de bases de données à l'exception de MS Access, décidez s'il faut créer les tables de la base de
89
données automatiquement (Créer automatiquement des tables dans la nouvelle base de données) ou s'il faut
introduire les tables dans la base de données ultérieurement (Afficher le script > Enregistrer dans fichier) à l'étape
suivante. Pour une base de données MS SQL, l'option Créer automatiquement une base de données (ESETRADB)
crée automatiquement une base de donnés MYSQL appelée ESETRADB. La dernière étape consiste à confirmer la
conversion de la base de données.
9.2.4 Sauvegarde d'une base de données
Cet outil permet de créer un fichier de sauvegarde de la base de données. Les paramètres de la première fenêtre sont
très semblables à ceux de la conversion d'une base de données (voir chapitre Transfert de base de données 89 ) ; lade
base de données source est sélectionnée dans cette fenêtre. La base de données source sera copiée dans un fichier de
sauvegarde défini à l'étape suivante.
Les paramètres facultatifs de la partie inférieure de la fenêtre permettent d'écraser le fichier existant (Écraser si existe)
ainsi que d'arrêter ESET Remote Administrator Server lors de la sauvegarde (Arrêter le serveur pendant le traitement
de la tâche). Cliquez sur Suivant pour confirmer l'exécution de la tâche.
9.2.5 Restauration de la base de données
Cette tâche permet de restaurer la base de données depuis un fichier de sauvegarde. Les paramètres de la première
fenêtre sont très semblables à ceux de la conversion d'une base de données (voir chapitre Transfert de base de données
89 ) ; le type de base de données est sélectionné dans cette fenêtre.
Pour tous les autres types de bases de données à l'exception de MS Access, décidez s'il faut créer les tables de la base de
données automatiquement (Créer automatiquement des tables dans la nouvelle base de données) ou s'il faut
introduire les tables dans la base de données ultérieurement (Afficher le script > Enregistrer dans fichier) à l'étape
suivante. Pour une base de données MS SQL, l'option Créer automatiquement une base de données (ESETRADB)
crée automatiquement une base de donnés MYSQL appelée ESETRADB. La dernière étape consiste à confirmer la
conversion de la base de données.
Sélectionnez le fichier à partir duquel la base de données sera restaurée à l'étape suivante. Les paramètres facultatifs de
la partie inférieure de la fenêtre permettent d'importer un fichier d'un type de base de données différent de celui
sélectionné à l'étape précédente (Autoriser l'importation d'un type de base de données différent) ainsi que d'arrêter
ESET Remote Administrator Server lors de la restauration de la base de données (Arrêter le serveur pendant le
traitement de la tâche). Cliquez sur Suivant pour confirmer l'exécution de la tâche.
9.2.6 Supprimer des tables
Ceci supprime les tables actuelles dans la base de données. Par conséquent, la base de données retrouve l'état quel
avait juste après l'installation d'ERA Server. Les paramètres de la première fenêtre sont très semblables à ceux de la
conversion d'une base de données (voir chapitre Transfert de base de données 89 ) ; le type de base de données est
sélectionné dans cette fenêtre. Vous serez invité à confirmer l'action à l'étape suivante. Choisissez Oui, j'accepte, puis
cliquez sur Suivant pour confirmer l'action.
REMARQUE : En cas d'utilisation d'une base de données MS SQL, My SQL ou Oracle, il est conseillé d'arrêter le ERA
Server avant de supprimer les tables.
En cas d'utilisation d'une base de données MS Access, celle-ci sera remplacée par la base de données vide par défaut.
9.2.7 Installer une nouvelle clé de licence
Pour introduire une nouvelle clé de licence qui sera utilisée par le serveur, saisissez l'emplacement de la nouvelle clé.
Le cas échéant, écraser la clé existante (Écraser si existe) et redémarrez le serveur si nécessaire (Forcer le démarrage du
serveur (s'il ne tourne pas)). Cliquez sur Suivant pour confirmer l'action et terminer.
9.2.8 Modifier la configuration du serveur
Cette tâche lance Configuration Editor (si installé). Quand vous terminez la tâche, la fenêtre Configuration Editor s'ouvre
et permet de modifier les paramètres avancés de ERA Server. Ces paramètres sont également accessibles via Outils >
Options du serveur > Paramètres avancés > Modifier les paramètres avancés.
REMARQUE : pour que cette fonctionnalité puisse marcher, ERA Console doit être installée.
90
10. Dépannage
10.1 FAQ
Ce chapitre contient des réponses aux questions les plus fréquemment posées ainsi que des solutions aux problèmes
liés à l'installation et à l'utilisation d'ERA.
10.1.1 Problèmes d'installation d'ESET Remote Administrator sur un serveur Windows 2000/2003
Cause :
L'une des causes possibles est que le serveur Terminal Server soit en cours d'exécution sur le système en mode execution
.
Solution :
Microsoft conseille de basculer le serveur Terminal Server en mode « install » lors de l'installation de programmes sur un
système sur lequel le service Terminal Server est en cours d'exécution. Pour ce faire, accédez à Panneau de
configuration > Ajout ou suppression de programmes ou ouvrez une invite de commandes, puis saisissez la
commande change user / install. Après installation, tapez change user / execute pour rétablir le mode execution du
serveur Terminal Server. Pour obtenir des instructions pas à pas sur ce processus, consultez l'article suivant : http://
support.microsoft.com/kb/320185.
10.1.2 Quelle est la signification du code d'erreur GLE ?
L'installation de ESET Smart Security ou de ESET NOD32 Antivirus via ESET Remote Administrator Console peut parfois
engendrer un code d'erreur GLE. Pour connaître la signification d'un numéro d'erreur GLE, procédez de la manière
suivante :
1) Ouvrez une invite de commandes en cliquant sur Démarrer > Exécuter. Tapez cmd, puis cliquez sur OK.
2) À l'invite de commandes, tapez : net helpmsg numéro_erreur
Exemple : net helpmsg 55
Résultat pour l'exemple : la ressource ou le périphérique réseau spécifié n'est plus disponible.
10.2 Codes d'erreur fréquemment rencontrés
Durant l'utilisation d'ERA, il se peut que vous rencontriez des messages d'erreur contenant des codes d'erreur indiquant
un problème en relation avec une fonctionnalité ou une opération. Les chapitres suivants indiquent les codes d'erreur
les plus fréquemment rencontrés lors de l'exécution d'installations poussées, ainsi que des erreurs qui peuvent être
relevées dans le journal d'ERAS.
10.2.1 Messages d'erreur affichés lors de l'utilisation de ESET Remote Administrator pour installer à
distance ESET Smart Security ou ESET NOD32 Antivirus
Code d'erreur SC 6, code d'erreur GLE 53 Impossible de configurer une connexion IPC à un ordinateur cible
Pour configurer une connexion IPC, la configuration suivante est requise :
1. Pile TCP/IP installée sur l'ordinateur où ERAS est installé, ainsi que sur l'ordinateur cible.
2. Le Partage de fichiers et d'imprimantes pour Microsoft Network doit être installé.
3. Les ports de partage de fichiers doivent être ouverts (135-139, 445).
4. L'ordinateur cible doit répondre aux requêtes Ping.
Code d'erreur SC 6, code d'erreur GLE 67 Installation du programme d'installation d'ESET sur l'ordinateur cible
impossible
Le partage administratif ADMIN$ doit être accessible sur le disque système du client.
Code d'erreur SC 6, code d'erreur GLE 1326 Impossible de configurer la connexion IPC à l'ordinateur cible. Le nom
d'utilisateur ou le mot de passe fourni est probablement erroné
Le nom d'utilisateur et le mot de passe de l'administrateur n'ont pas été saisis correctement ou n'ont pas été saisis du
tout.
Code d'erreur SC 6, code d'erreur GLE 1327 Impossible de configurer une connexion IPC à un ordinateur cible
Le champ du mot de passe d'administrateur est vide. Une installation poussée à distance ne peut pas fonctionner avec
un champ de mot de passe vide.
91
Code d'erreur SC 11, code d'erreur GLE 5 Installation du programme d'installation d'ESET sur l'ordinateur cible
impossible
Le programme d'installation ne peut pas accéder à l'ordinateur client en raison de droits d'accès insuffisants (accès
refusé).
Code d'erreur SC 11, code d'erreur GLE 1726 Installation du programme d'installation de NOD32 sur l'ordinateur
cible impossible
Ce code d'erreur s'affiche après une tentative d'installation répétée si la fenêtre Installation poussée n'a pas été fermée
après la première tentative.
10.2.2 Codes d'erreur fréquemment rencontrés dans era.log
0x1203 - UPD_RETVAL_BAD_URL
Erreur de module de mise à jour -nom de serveur de mise à jour saisi incorrect.
0x1204 - UPD_RETVAL_CANT_DOWNLOAD
Cette erreur peut s'afficher :
lors d'une mise à jour via HTTP
- le serveur de mise à jour retourne un code d'erreur HTTP entre 400- 500, sauf 401, 403, 404 et 407
- si les mises à jour sont téléchargées à partir d'un serveur CISCO et que le format HTML de réponse d'authentification
a été modifié
lors d'une mise à jour à partir d'un dossier partagé :
- l'erreur renvoyée ne s'inscrit pas dans les catégories « authentification incorrecte » ou « fichier introuvable » (p. ex.,
connexion interrompue ou serveur inexistant, etc.)
les deux méthodes de mise à jour
- si tous les serveurs répertoriés dans le fichier upd.ver sont introuvables (le fichier se trouve dans %
ALLUSERSPROFILE\Application Data\ESET\ESET Remote Administrator\Server\updfiles)
- échec de contact du serveur failsafe (probablement dû à la suppression des entrées ESET correspondantes dans le
Registre)
configuration du serveur proxy incorrecte dans ERAS
- L'administrateur doit spécifier un serveur proxy dans le format
0x2001 - UPD_RETVAL_AUTHORIZATION_FAILED
Échec de l'authentification auprès du serveur de mise à jour, nom d'utilisateur ou mot de passe incorrect.
0x2102 - UPD_RETVAL_BAD_REPLY
Cette erreur de module de mise à jour peut se produire si un serveur proxy est utilisé comme intermédiaire pour une
connexion Internet, à savoir proxy Webwasher.
0x2104 - UPD_RETVAL_SERVER_ERROR
Erreur de module de mise à jour indiquant un code d'erreur HTTP supérieur à 500. En cas d'utilisation du serveur HTTP
ESET, l'erreur 500 signifie qu'il y a un problème d'allocation de mémoire.
0x2105 - UPD_RETVAL_INTERRUPTED
Cette erreur de module de mise à jour peut se produire si un serveur proxy est utilisé comme intermédiaire pour une
connexion Internet, à savoir proxy Webwasher.
92
10.3 Comment diagnostiquer des problèmes avec ERAS ?
Si vous pensez qu'il y a un problème avec ERAS ou s'il ne fonctionne pas correctement, il est recommandé de procéder
comme suit :
1) Contrôlez le journal d'ERAS : Cliquez sur Outils > Options du serveur dans le menu principal d'ERAC. Dans la fenêtre
Options du serveur, cliquez sur l'onglet Journalisation, puis sur Afficher le journal.
2) Si vous ne voyez pas de message d'erreur, augmentez le niveau Verbosité du journal dans la fenêtre Options du
serveur sur 5. Après avoir identifié le problème, il est recommandé de rétablir la valeur par défaut.
3) Il se peut également que vous puissiez résoudre des problèmes en activant le journal de débogage de base de
données sous le même onglet ; voir Journal de débogage. Il est recommandé de n'activer le Journal de débogage
qu'en tentant de reproduire le problème.
4) Si vous voyez un code d'erreur autre que ceux mentionnés dans cette documentation, contactez le service clientèle
d'ESET. Décrivez le comportement du programme, la manière de reproduire le problème et la manière de l'éviter. Il
est très important d'inclure la version du programme de tous les produits de sécurité ESET concernés (c.-à-d. ERAS,
ERAC, ESET Smart Security et ESET NOD32 Antivirus).
93
11. Conseils et astuces
11.1 Planificateur
ESET NOD32 Antivirus et ESET Smart Security contiennent un planificateur de tâches intégré permettant de planifier
des analyses à la demande, mises à jour et opérations à intervalles réguliers. Toutes les tâches spécifiées sont
répertoriées dans le Planificateur.
ERA permet de configurer les types de tâches suivants :
Exécuter une application externe
Maintenance des journaux
Analyse d'ordinateur
Créer un instantané du statut de l'ordinateur
Mise à jour
Vérification automatique des fichiers de démarrage
Dans la plupart des cas, il n'est pas nécessaire de configurer une tâche Exécuter une application externe. La tâche
Vérification automatique des fichiers de démarrage est une tâche par défaut. Il est recommandé de ne pas en
modifier les paramètres. Si aucune modification n'a été apportée après l'installation, ESET NOD32 et ESET Smart
Security contiennent deux tâches prédéfinies de ce type. La première contrôle les fichiers systèmes à chaque ouverture
de session de l'utilisateur, la seconde fait la même chose après une mise à jour réussie de la base des signatures de virus.
Du point de vue d'un administrateur, les tâches Analyse d'ordinateur et Mise à jour sont probablement les plus utiles :
Analyse d'ordinateur
Cette tâche effectue une analyse antivirus régulière (généralement de lecteurs locaux) sur les clients.
Mise à jour
Cette tâche est responsable de la mise à jour de solutions client ESET. Il s'agit d'une tâche prédéfinie qui, par défaut,
s'exécute toutes les 60 minutes. Généralement, il n'y a aucune raison d'en modifier les paramètres. La seule exception
a trait aux portables dont les propriétaires se connectent souvent à Internet sans passer par les réseaux locaux. Dans
ce cas, il est possible de modifier la tâche de mise à jour afin d'utiliser deux profils de mise à jour à l'intérieur d'une
seule tâche. Cela permet aux portables de se mettre à jour indifféremment à partir du serveur Miroir local ou des
serveurs de mise à jour d'ESET.
La configuration du Planificateur est également accessible dans ESET Configuration Editor dans ESET Smart Security /
ESET NOD32 Antivirus > Noyau ESET > Configuration > Planificateur/Programmateur > Planificateur/
Programmateur > Modifier.
Pour obtenir des informations supplémentaires, consultez le chapitre ESET Configuration Editor
32
.
Il se peut que la boîte de dialogue contienne des tâches existantes (cliquez sur Modifier pour les modifier) ou qu'elle soit
94
vide. Cela dépend si vous avez ouvert une configuration à partir d'un client (p. ex., à partir d'un client précédemment
configuré et opérationnel) ou ouvert un nouveau fichier avec le modèle par défaut ne contenant aucune tâche.
Un ID d'attribut est affecté à chaque nouvelle tâche. Les tâches par défaut ont des ID décimaux (1, 2, 3…) et les tâches
personnalisées reçoivent des clés hexadécimales (p. ex., 4AE13D6C) qui sont générées automatiquement lors de leur
création.
Si la case à cocher d'une tâche est activée, cela signifie que la tâche est active et qu'elle sera exécutée sur le client donné.
Les boutons de la fenêtre Tâches planifiées fonctionnent comme suit :
Ajouter : ajoute une tâche.
Modifier : modifie les tâches sélectionnées.
Modifier ID : modifie l'ID des tâches sélectionnées.
Détails : informations récapitulatives sur les tâches sélectionnées.
Marquer pour suppression : l'application du fichier .xml entraîne la suppression des tâches (ayant le même ID)
sélectionnées en cliquant sur ce bouton au niveau des clients cibles.
Supprimer de la liste : supprime les tâches sélectionnées de la liste. Notez que les tâches supprimées de la liste dans
la configuration .xml ne sont pas supprimées des stations de travail cibles.
Lors de la création d'une tâche (bouton Ajouter) ou de la modification d'une tâche existante (Modifier), vous devez
spécifier le moment de son exécution. La tâche peut se répéter après une certaine période (quotidiennement à 12 h,
chaque vendredi, etc.) ou être déclenchée par un événement (après une mise à jour réussie, quotidiennement au
premier démarrage de l'ordinateur, etc.).
La dernière étape de la tâche Analyse d'ordinateur à la demande affiche la fenêtre des paramètres spéciaux dans
laquelle vous pouvez définir la configuration qui sera utilisée pour l'analyse, c.-à-d. le profil d'analyse et les cibles
d'analyse qui seront utilisés.
La dernière étape de la tâche Mise à jour spécifie les profils de mise à jour qui s'exécuteront dans le cadre de la tâche
donnée. Il s'agit d'une tâche prédéfinie qui, par défaut, s'exécute toutes les 60 minutes. Généralement, il n'y a aucune
raison d'en modifier les paramètres. La seule exception a trait aux portables dont les propriétaires se connectent à
Internet sans passer par les réseaux de la société. La dernière boîte de dialogue permet de spécifier deux profils de mise
à jour différents, couvrant les mises à jour à partir d'un serveur local ou des serveurs de mise à jour d'ESET.
95
11.2 Suppression de profils
Il se peut que vous rencontriez occasionnellement des profils (de mise à jour ou d'analyse) en double créés par erreur.
Pour supprimer ces profils à distance sans endommager d'autres paramètres du Planificateur, procédez comme suit :
Dans ERAC, cliquez sur l'onglet Clients, puis double-cliquez sur le client problématique.
Dans la fenêtre Propriétés du client, cliquez sur l'onglet Configuration. Activez les options Puis exécuter ESET
Configuration Editor pour modifier le fichier et Utiliser la configuration téléchargée dans la nouvelle tâche de
configuration, puis cliquez sur le bouton Nouvelle tâche.
Dans l'Assistant Nouvelle tâche, cliquez sur Modifier.
Dans Configuration Editor, appuyez sur CTRL + D pour désélectionner (griser) tous les paramètres. Cela permet
d'éviter des modifications accidentelles, car toute nouvelle modification apparaît en bleu.
Cliquez avec le bouton droit de la souris sur le profil à supprimer, puis dans le menu contextuel, sélectionnez Marquer
profil pour suppression. Le profil sera supprimé dès que la tâche aura été envoyée aux clients.
96
Cliquez sur le bouton Console dans ESET Configuration Editor, puis enregistrez les paramètres.
Vérifiez que le client que vous avez sélectionné figure dans la colonne Éléments sélectionnés à droite. Cliquez sur
Suivant, puis sur Terminer.
11.3 Exportation et autres fonctions de configuration XML des clients
Dans ERAC, sous l'onglet Clients, sélectionnez n'importe quel client. Cliquez avec le bouton droit de la souris, puis dans
le menu contextuel, sélectionnezConfiguration.... Cliquez sur Enregistrer sous… pour exporter la configuration
attribué au client donné dans un fichier .xml (les fichiers de configuration .xml peuvent également être extraits
directement de l'interface du programme ESET Smart Security). Vous pouvez ensuite utiliser le fichier .xml pour diverses
opérations :
Lors d'installations à distance, vous pouvez utiliser le fichier .xml comme modèle pour une configuration prédéfinie.
Cela signifie qu'aucun fichier .xml n'est créé et que le fichier .xml existant est attribué (Sélectionner…) à un nouveau
package d'installation. Vous pouvez extraire des fichiers de configuration .xml directement à partir de l'interface du
programme ESET Smart Security.
Pour configurer plusieurs clients, les clients sélectionnés reçoivent un fichier .xml téléchargé précédemment et
adoptent les paramètres définis dans celui-ci (aucune configuration n'est créée, elle est uniquement attribuée à l'aide
du bouton Sélectionner...).
Exemple :
Un produit de sécurité ESET n'est installé que sur une seule station de travail. Ajustez directement les paramètres via
l'interface utilisateur du programme. Lorsque vous avez terminé, exportez les paramètres dans un fichier .xml. Vous
pouvez ensuite utiliser ce fichier .xml pour effectuer des installations à distance sur d'autres stations de travail. Cette
méthode peut s'avérer très utile pour exécuter des tâches telles que le réglage fin des règles de pare-feu en cas
d'application du mode « basé sur des règles personnalisées ».
97
11.4 Mise à jour combinée pour les portables
Si votre réseau local comprend des périphériques mobiles (c.-à-d. des portables), il est recommandé de configurer une
mise à jour combinée à partir de deux sources : les serveurs de mise à jour d'ESET et le serveur Miroir local. Les portables
commencent par contacter le serveur Miroir local. Si la connexion échoue (ils se trouvent hors du bureau), ils
téléchargent les mises à jour directement à partir des serveurs d'ESET. Pour permettre l'utilisation de cette
fonctionnalité :
Créez deux profils de mise à jour, Exportation et autres fonctions de configuration XML des clients 97 , l'un dirigé vers
le serveur miroir (appelé « LAN » dans l'exemple suivant) et l'autre vers les serveurs de mise à jour d'ESET (INET).
Créez une tâche de mise à jour ou modifiez une tâche existante à l'aide du Planificateur (Outils > Planificateur dans la
fenêtre principale du programme ESET Smart Security ou ESET NOD32 Antivirus).
La configuration peut être effectuée directement sur les portables ou à distance à l'aide de ESET Configuration Editor.
Elle peut être appliquée en cours d'installation ou ultérieurement en tant que tâche de configuration.
Pour créer des profils dans ESET Configuration Editor, cliquez avec le bouton droit de la souris sur la branche Mise à
jour, puis, dans le menu contextuel, sélectionnez Nouveau profil.
Le résultat des modifications doit ressembler à ce qui suit :
Le profil LAN télécharge les mises à jour à partir du serveur miroir local de la société (http://server:2221), tandis que le
profil INET se connecte aux serveurs d'ESET (Choisir automatiquement). Ensuite, définissez une tâche de mise à jour
exécutant successivement chaque profil de mise à jour. Pour ce faire, accédez à ESET Smart Security > ESET NOD32
Antivirus > Noyau > Configuration > Planificateur/Programmateur dans ESET Configuration Editor. Cliquez sur le
bouton Modifier pour afficher la fenêtre Tâches planifiées.
98
Pour créer une tâche, cliquez sur Ajouter. Dans le menu déroulant Tâche planifiée, sélectionnez Mise à jour, puis
cliquez sur Suivant. Entrez le nom de tâche (p. ex., « mise à jour combinée »), sélectionnez Toutes les 60 minutes, puis
procédez à la sélection des profils principal et secondaire.
Si les stations de travail portables doivent d'abord contacter le serveur Miroir, le profil principal doit être défini sur LAN
et le profil secondaire sur INET. Le profil INET n'est appliqué qu'en cas d'échec de la mise à jour à partir du LAN.
Recommandation : exporter la configuration actuelle .xml depuis un client (pour obtenir des informations
supplémentaires, consultez le chapitre Comment diagnostiquer des problèmes avec ERAS ? 93 ) et introduisez les
modifications citées ci-dessus dans le fichier .xml exporté. Cela évite toute duplication entre le Planificateur et des profils
non opérationnels.
11.5 Installation de produits tiers à l'aide d'ERA
Outre l'installation à distance de produits ESET, la ESET Remote Administrator est capable d'installer d'autres
programmes. La seule exigence est que le package d'installation personnalisée soit au format .msi. Vous pouvez
effectuer l'installation à distance de packages personnalisés à l'aide d'un processus très similaire à celui décrit au
chapitre Installation à distance 36 .
La principale différence réside dans le processus de création du package qui se déroule comme suit :
1) Dans ERAC, cliquez sur l'onglet Installation à distance.
2) Cliquez sur le bouton Packages… .
3) Dans le menu déroulant Type de package, sélectionnez Package personnalisé.
4) Cliquez sur Ajouter…, sur Ajouter un fichier, puis sélectionnez le package .msi souhaité.
5) Dans le menu déroulant Fichier d'entrée du package, sélectionnez le fichier, puis cliquez sur Créer.
6) Une fois de retour dans la fenêtre d'origine, vous pouvez spécifier des paramètres de ligne de commande pour le
fichier .msi. Les paramètres sont les mêmes que pour une installation locale du package concerné.
7) Cliquez sur Enregistrer sous… pour enregistrer le package.
8) Pour quitter l'éditeur de package d'installation, cliquez sur Fermer.
Vous pouvez distribuer le nouveau package personnalisé à des stations de travail client en procédant de la même
manière que pour les installations à distance décrites dans les chapitres précédents. Une installation poussée à distance,
par ouverture de session ou Email, envoie le package aux stations de travail cibles. À partir du moment où le package
est exécuté, l'installation est gérée par le service Microsoft Windows Installer.
99
12. ESET SysInspector
12.1 Introduction à ESET SysInspector
ESET SysInspector est une application qui inspecte votre ordinateur en profondeur et qui affiche les données obtenues
de manière exhaustive. Des information telles que les pilotes et applications installés, les connexions réseau ou les
entrées de registre importantes peuvent vous aider à élucider un comportement suspect du système, qu’il soit dû à une
incompatibilité logicielle ou matérielle, ou à une infection par logiciel malveillant.
12.1.1 Démarrer ESET SysInspector.
Pour démarrer ESET SysInspector, il suffit de lancer le fichier exécutable SysInspector.exe téléchargé depuis le site Web
d'ESET. Si vous avez déjà installé un des produits de sécurité d'ESET, vous pouvez exécuter ESET SysInspector
directement depuis le menu Démarrer (Programmes > ESET > ... ). Patientez pendant que l'application vérifie le
système, une opération qui pourrait durer plusieurs minutes en fonction du matériel et des données à recueillir.
12.2 Interface utilisateur et utilisation de l'application
Pour simplifier l'utilisation, la fenêtre principale est scindée en quatre grandes sections : contrôles du programme (1)
situés dans la partie supérieure de la fenêtre principale, la fenêtre Navigation (3) à gauche et la fenêtre Description (2) à
droite au centre et la fenêtre Détails (4) à droite en bas de la fenêtre principale. La section État du journal (5) reprend les
paramètres de base d'un journal (filtre utilisé, type de filtre, le journal est-il le résultat d'une comparaison ?, etc.)
100
12.2.1 Contrôles du programme
Cette section contient la description de tous les contrôles du programme disponible dans ESET SysInspector.
Fichier
En cliquant ici, vous pouvez enregistrer l'état actuel du système en vue d'une enquête ultérieure ou ouvrir un journal
déjà enregistré. Pour la publication, il est conseillé de créer un journal approprié pour envoi. Sous cette forme, le
journal omet les informations sensibles (nom d'utilisateur, nom d'ordinateur, nom de domaine, privilèges actuels de
l'utilisateur, variables d'environnement, etc.).
REMARQUE : vous pouvez ouvrir des rapports enregistrés de ESET SysInspector en les faisant glisser et en les
déposant sur la fenêtre principale.
Arborescence
Permet de développer ou de réduire tous les nœuds et d'exporter les sections sélectionnées dans le script de service.
Liste
Contient les fonctions pour une navigation simplifiée dans le programme et diverses autres fonctions comme
l'obtention d'informations en ligne.
Aide
Contient des informations sur l'application et ses fonctions.
Détails
Influence les informations affichées dans les autres sections de la fenêtre principale et simplifie par conséquent
l'utilisation de l'application. En mode de base, vous avez accès aux informations utilisées pour trouver les solutions aux
problèmes communs dans votre système. En mode « Moyen », l'application affiche moins de détails utilisés, tandis
qu'en mode « Complet », ESET SysInspector affiche toutes les informations requises pour résoudre des problèmes très
particuliers.
Filtrage des éléments
Le filtrage des éléments est particulièrement adapté à la recherche de fichiers suspects ou d'entrées de Registre dans le
système. En déplaçant le curseur, vous pouvez filtrer les éléments en fonction de leur niveau de risque. Quand le
curseur est en position maximale vers la gauche (niveau de risque 1), tous les éléments sont affichés. En déplaçant le
curseur vers la droite, l'application filtre tous les éléments dont le risque est inférieur au niveau de risque actuel et affiche
uniquement les éléments qui sont plus suspects que le niveau affiché. Si le curseur est en position maximale à droite, le
programme affiche uniquement les éléments nuisibles connus.
Tous les éléments qui appartiennent aux catégories de risque 6 à 9 peuvent poser un risque pour la sécurité. Si vous
n'utilisez pas certaines des solutions de sécurité d'ESET, nous vous conseillons d'analyser votre système à l'aide de ESET
Online Scanner après que l'application a découvert un élément de ce genre. ESET Online Scanner est un service gratuit.
REMARQUE : le niveau de risque d'un élément peut être rapidement déterminé en comparant sa couleur à celle du
curseur de niveau de risque.
Rechercher
La fonction de recherche peut être utilisée pour trouver rapidement un élément en particulier sur la base de son nom ou
d'une partie de celui-ci. Les résultats de la recherche sont affichés dans la fenêtre Description.
Retour
En cliquant sur la flèche arrière ou avant, vous pouvez revenir aux informations affichées précédemment dans la fenêtre
Description. Vous pouvez utiliser la touche de retour arrière et la barre d'espace au lieu de cliquer sur les flèches arrière
ou avant.
Section d'état
Affiche le nœud actuel dans la fenêtre Navigation.
Important : les éléments surlignés en rouge sont inconnus et c'est la raison pour laquelle l'application les marque comme
potentiellement dangereux. Si un élément est rouge, cela ne signifie pas automatiquement que vous pouvez supprimer
le fichier. Avant de le supprimer, assurez-vous que les fichiers sont bel et bien dangereux ou qu'ils ne sont pas
nécessaires.
101
12.2.2 Navigation dans ESET SysInspector
ESET SysInspector répartit divers types d'informations en plusieurs sections élémentaires baptisées nœuds. Le cas
échéant, vous pouvez obtenir des détails complémentaires en développant chaque nœud afin d'afficher les sousnœuds. Pour développer ou réduire un nœud, il suffit de double-cliquer sur son nom ou de cliquer sur ou sur en
regard du nom du nœud. Quand vous parcourez la structure arborescente des nœuds et des sous-nœuds dans la
fenêtre de navigation, vous pouvez voir différents détails pour chaque nœud dans la fenêtre Description. Si vous
parcourez les éléments de la fenêtre Description, des détails supplémentaires pour chaque élément peuvent être
affichés dans la fenêtre Détails.
Voici les descriptions des principaux nœuds de la fenêtre Navigation et des informations qui s'y rapportent dans les
fenêtres Description et Détails.
Processus en cours
Ce nœud reprend les informations sur les applications et les processus en cours d'exécution au moment de la création
du journal. La fenêtre Détails reprend des détails complémentaires pour chaque processus tels que les bibliothèques
dynamiques utilisées par les processus et leur emplacement dans le système, le nom de l'éditeur de l'application, le
niveau de risque du fichier, etc.
La fenêtre Détails contient des informations complémentaires sur les éléments sélectionnés dans la fenêtre Description
telles que la taille du fichier ou son hachage.
REMARQUE : un système d'exploitation contient plusieurs noyaux importants qui fonctionnent en permanence et qui
assurent des fonctions élémentaires et vitales pour d'autres applications utilisateur. Dans certains cas, ces processus
sont repris dans l'outil ESET SysInspector avec un chemin d'accès au fichier commençant par \??\. Ces symboles
garantissent l'optimisation préalable au lancement pour ce processus ; ils ne présentent aucun danger pour le système
et sont donc corrects.
Connexions de réseau
La fenêtre Description contient une liste des processus et des applications qui communiquent via le réseau à l'aide du
protocole sélectionné dans la fenêtre navigation (TCP ou UDP), ainsi que l'adresse distante à laquelle l'application est
connectée. Vous pouvez également vérifier les adresses IP des serveurs DNS.
La fenêtre Détails contient des informations complémentaires sur les éléments sélectionnés dans la fenêtre Description
telles que la taille du fichier ou son hachage.
Entrées de Registre importantes
Contient une liste des entrées de registre sélectionnées qui sont souvent liées à divers problèmes du système telles que
celles qui indiquent les applications de démarrage, les objets application d'assistance du navigateur, etc.
La fenêtre Description peut indiquer les fichiers en rapport avec les entrées de Registre particulières. Vous pouvez voir
des détails complémentaires dans la fenêtre Détails.
Services
La fenêtre Description contient une liste des fichiers enregistrés en tant que services Windows. Vous pouvez consulter
la manière dont le service doit démarrer avec des détails spécifiques sur le fichier dans la fenêtre Détails.
Pilotes
Liste des pilotes installés sur le système.
Fichiers critiques
La fenêtre Description affiche le contenu des fichiers critiques liés au système d'exploitation Microsoft Windows.
Informations système
Contient des informations détaillées sur le matériel et le logiciel, ainsi que des informations sur les variables
d'environnement et les droits de l'utilisateur définis.
Détails du fichier
Liste des fichiers système importants et des fichiers du dossier Program Files. Des informations complémentaires
spécifiques sur les fichiers sont disponibles dans les fenêtres Description et Détails.
A propos
Informations sur ESET SysInspector.
102
12.2.3 Comparer
La fonctionnalité Comparer permet de comparer deux journaux. Cette fonctionnalité met en évidence les éléments qui
ne sont pas communs aux deux journaux. Ceci est utile si vous souhaitez assurer le suivi des modifications dans le
système. Vous pourrez peut-être ainsi détecter l'activité d'un code malveillant.
Après son lancement, l'application crée un journal qui apparaît dans une nouvelle fenêtre. Accédez au menu Fichier->
Enregistrer le journal pour enregistrer le journal dans un fichier. Les fichiers journaux peuvent être ouverts et consultés
ultérieurement. Pour ouvrir un journal existant, utilisez le menu Fichier-> Ouvrir le journal. Dans la fenêtre principale
de l'application, ESET SysInspector affiche toujours un journal à la fois.
Lorsque vous comparez deux journaux, le principe veut que vous compariez un journal actif à un autre enregistré dans
un fichier. Pour comparer des journaux, choisissez l'option Fichier -> Comparer les journaux, puis choisissez
Sélectionner un fichier. Le journal sélectionné sera comparé au journal actif dans les fenêtres principales de
l'application. Le journal résultant, appelé journal des comparaisons, affichera uniquement les différences entre les deux
journaux.
REMARQUE : si vous comparez deux fichiers journaux, choisissez Fichier -> Enregistrer le journal et que vous
l'enregistrez dans un fichier ZIP, les deux fichiers sont enregistrés. Si vous ouvrez plus tard ce fichier, les journaux qu'il
contient seront comparés automatiquement.
En regard des éléments affichés, SysInspector ajoute des symboles qui identifient les différences entre les journaux
comparés.
Les éléments marqués par se trouvent uniquement dans le journal actif et sont absents du journal de comparaison
ouvert. Par contre, les éléments marqués par se trouvent uniquement dans le journal ouvert et ne figurent pas dans
le journal actif.
Description de tous les symboles qui peuvent être affichés à côté des éléments :
nouvelle valeur, absente du journal précédent.
la section de la structure arborescente contient de nouvelles valeurs.
valeur supprimée, présente uniquement dans le journal précédent.
la section de la structure arborescente contient des valeurs supprimées.
la valeur/le fichier a été modifié.
la section de la structure arborescente contient des valeurs/des fichiers modifiés.
le niveau de risque a diminué/il était supérieur dans le journal précédent.
le niveau de risque a augmenté/il était inférieur dans le journal précédent.
La section d'explication affichée dans le coin inférieur gauche décrit tous les symboles et affiche le nom des journaux
comparés.
Les journaux de comparaison peuvent être enregistrés dans un fichier et ouverts plus tard :
Exemple :
créez un journal reprenant des informations d'origine sur le système et enregistrez-le dans un fichier appelé précédent.
xml. Après avoir modifié le système, ouvrez SysInspector et laissez-le créer un nouveau journal. Enregistrez ce journal
sous actuel.xml.
Pour voir les différences entre ces deux journaux, utilisez l'option Fichier -> Comparer les journaux. Le programme
crée un journal de comparaison qui indique les différences entre les journaux.
103
Un résultat identique peut être obtenu si vous utilisez l'option de ligne de commande suivante :
SysInspector.exe actuel.xml précédent.xml
12.3 Paramètres de la ligne de commande
ESET SysInspector prend en charge la création de rapports via la ligne de commande à l'aide de ces paramètres :
/gen
/privacy
/zip
/silent
/help, /?
crée un journal directement depuis la ligne de commande sans exécuter l'interface utilisateur.
crée un journal qui exclut les informations sensibles.
stocke le journal obtenu directement sur le disque dans un fichier compressé.
supprime l'affichage de la barre d'état de la création du journal.
affiche des informations sur les paramètres de la ligne de commande.
Exemples
Pour charger un journal en particulier directement dans la navigateur, saisissez : SysInspector.exe "c:\clientlog.xml"
Pour créer un journal à l'emplacement actuel, saisissez : SysInspector.exe /gen
Pour créer un journal dans un dossier en particulier, saisissez : SysInspector.exe /gen="c:\dossier\"
Pour créer un journal dans un fichier/un dossier en particulier, saisissez : SysInspector.exe /gen="c:
\dossier\monnouveaujournal.xml"
Pour créer un journal qui exclut les informations sensibles directement dans un fichier compressé, utilisé : SysInspector.
exe /gen="c:\monnouveaujournal.zip" /privacy /zip
Pour comparer deux journaux, utilisez : SysInspector.exe "actuel.xml" "original.xml"
REMARQUE : si le nom du fichier/du dossier contient un espace, il faut le saisir entre guillemets.
12.4 Script de service
Le script de service est un outil qui vise à offrir une aide aux clients qui utilisent ESET SysInspector. Il permet de
supprimer des objets indésirables du système.
Le script de service permet à l'utilisateur d'exporter l'ensemble du journal SysInspector ou des parties sélectionnées
uniquement. Après l'exportation, vous pouvez marquer les objets non souhaités pour la suppression. Vous pouvez
ensuite exécuter le journal modifié pour supprimer les objets marqués.
Les script de service convient aux utilisateurs expérimentés qui connaissent les problèmes des systèmes de diagnostic.
Des modifications erronées pourraient désactiver le système d'exploitation.
Exemple :
si vous pensez que votre ordinateur est infecté par un virus qui n'est pas détecté par votre logiciel antivirus, suivez les
instructions ci-après :
Exécutez ESET SysInspector pour obtenir un nouvel instantané du système.
Sélectionnez le premier élément de la section à gauche (dans la structure arborescente), appuyez sur la touche CTRL,
puis sélectionnez le dernier élément afin de marquer tous les éléments. Relâchez la touche CTRL.
Cliquez avec le bouton droit de la souris sur les objets sélectionnés, puis choisissez l'option Exporter les sections
sélectionnées dans un script de service dans le menu contextuel.
Les objets sélectionnés seront exportés dans un nouveau journal.
Il s'agit de l'étape la plus importante de toute la procédure : ouvrez le nouveau journal et remplacez l'attribut + par pour tous les objets que vous souhaitez supprimer. Assurez-vous que vous n'avez sélectionné aucun objet requis
pour le fonctionnement correct du système d'exploitation.
Ouvrez ESET SysInspector, cliquez sur Fichier > Exécuter le script de service, puis saisissez le chemin d'accès au
script.
Cliquez sur OK pour lancer le script.
104
12.4.1 Création d'un script de service
Pour créer un script, cliquez avec le bouton droit de la souris sur n'importe quel élément de l'arborescence de menus
(dans le volet de gauche) dans la fenêtre principale de SysInspector. Dans le menu contextuel, choisissez l'option
Exporter toutes les sections dans un script de service ou Exporter les sections sélectionnées dans un script de
service.
REMARQUE : il est impossible d'exporter le script de service lorsque deux journaux sont comparés.
12.4.2 Structure du script de service
La première ligne de l'en-tête du script reprend des informations sur la version du moteur (ev), la version de l'interface
utilisateur graphique (gv) et la version du journal (lv). Ces données permettent d'identifier d'éventuelles modifications
dans le fichier .xml qui génère le script et d'éviter toute incohérence durant l'exécution. Cette partie du script ne peut
être modifiée.
Le reste du fichier est scindé en sections dont les éléments peuvent être modifiés (indique ceux qui seront traités par le
script). Pour marquer un élément à traiter, remplacez le caractère « - » qui le précède par « + ». Les sections du script
sont séparées par une ligne vide. Chaque section possède un numéro et un titre.
01) Running processes (processus en cours)
Cette section contient la liste de tous les processus en cours d'exécution dans le système. Chaque processus est identifié
par son chemin UNC et, ensuite, par son code de hachage CRC16 entre astérisques (*).
Exemple :
01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]
Dans cet exemple, un processus, à savoir module32.exe, a été sélectionné (marqué par le caractère « + ») ; le processus
s'arrêtera à l'exécution du script.
02) Loaded modules (modules chargés)
Cette section reprend une liste des modules système en cours d'utilisation :
Exemple :
02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]
Dans cet exemple, le module khbekhb.dll a été marqué par un « + ». Quand le script est exécuté, il reconnaît les
processus qui utilisent ce module en particulier et les arrête.
03) TCP connections (connexions TCP)
Cette section contient des informations sur les connexions TCP existantes.
Exemple :
03) TCP connections:
- Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe
- Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner: svchost.exe
+ Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner:
System
[...]
105
Lorsque le script est exécuté, il trouve le propriétaire du socket dans les connexions TCP marquées et arrête le socket, ce
qui libère des ressources système.
04) UDP endpoints (points de terminaison UDP)
Cette section contient des informations sur les points de terminaison UDP existants.
Exemple :
04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]
Lorsque le script est exécuté, il isole le propriétaire du socket aux points de terminaison UDP marqués et arrête le
socket.
05) DNS server entries (entrées du serveur DNS)
Cette section contient des informations sur la configuration actuelle du serveur DNS.
Exemple :
05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]
Les entrées du serveur DNS marquées seront supprimées à l'exécution du script.
06) Important registry entries (entrées de registre importantes)
Cette section contient des informations relatives aux entrées de registre importantes.
Exemple :
06) Important registry entries:
* Category: Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c
* Category: Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]
Les entrées marquées seront supprimées, réduites à des valeurs de 0 octet ou réinitialisées à leur valeur par défaut lors
de l'exécution du script. L'action à appliquer à une entrée en particulier dépendra de la catégorie de l'entrée et de la
valeur de la clé dans ce registre en particulier.
07) Services (services)
Cette section reprend les services enregistrés dans le système.
106
Exemple :
07) Services:
- Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running,
startup: Automatic
- Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running,
startup: Automatic
- Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped,
startup: Manual
[...]
Les services marqués et les services dépendants seront arrêtés et désinstallés après l'exécution du script.
08) Drivers (pilotes)
Cette section reprend les pilotes installés.
Exemple :
08) Drivers:
- Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running,
startup: Boot
- Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32
\drivers\adihdaud.sys, state: Running, startup: Manual
[...]
Lorsque vous exécutez le script, les pilotes sélectionnés seront désenregistrés de la base de registre du système et
supprimés.
09) Critical files (fichiers critiques)
Cette section contient des informations sur les fichiers critiques pour le fonctionnement adéquat du système
d'exploitation.
Exemple :
09) Critical files:
* File: win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[…]
* File: system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[…]
* File: hosts
- 127.0.0.1 localhost
- ::1 localhost
[…]
Les éléments sélectionnés seront soit supprimés, soit restaurés à leur valeur d'origine.
12.4.3 Exécution des scripts de service
Marquez tous les éléments souhaités, puis enregistrez et fermez le script. Exécutez le script modifié directement depuis
la fenêtre principale SysInspector en choisissant l'option Exécuter le script de service dans le menu Fichier. Lorsque vous
ouvrez un script, le programme affiche le message suivant : Voulez-vous vraiment exécuter le script de service « %
Scriptname% » ?Après avoir confirmé votre sélection, un autre avertissement peut apparaître et vous indique que le
script de service que vous essayez d'exécuter n'a pas été signé. Cliquez sur Exécuter pour lancer le script.
Une boîte de dialogue confirmera l'exécution du script.
Si le script n'a pu être que partiellement traité, une boîte de dialogue avec le message suivant apparaîtra : Le script de
service n'a été exécuté que partiellement. Voulez-vous afficher le rapport d'erreurs ? Choisissez Oui pour afficher un
rapport des erreurs complexe qui reprend les opérations qui n'ont pas été exécutées.
107
Si le script n'a pas été reconnu, une boîte de dialogue apparaîtra avec le message suivant : Le script de service
sélectionné n'est pas signé. L'exécution de scripts sans signature et inconnus peut nuire sérieusement aux données
de votre ordinateur. Êtes-vous certain de vouloir exécuter le script et les actions ? Ceci peut être le résultat
d'incohérences au sein du script (en-tête endommagé, titre de section endommagé, ligne vide manquante entre les
sections, etc.) Vous pouvez soit rouvrir le fichier de script et corriger les erreurs qu'il contient, soit créer un autre script
de service.
12.5 Raccourcis
Voici les raccourcis clavier disponibles dans ESET SysInspector :
Fichier
Ctrl+O
Ctrl+S
Générer
Ctrl+G
Ctrl+H
ouvre un journal existant
enregistre les journaux créés
vérification standard de l'état du système
réalise une vérification du système qui pourrait également consigner des informations
sensibles
Filtrage des éléments
1, O
acceptable, les éléments de niveau de risque 1 à 9 sont affichés
2
acceptable, les éléments de niveau de risque 2 à 9 sont affichés
3
acceptable, les éléments de niveau de risque 3 à 9 sont affichés
4, U
inconnu, les éléments de niveau de risque 4 à 9 sont affichés
5
inconnu, les éléments de niveau de risque 5 à 9 sont affichés
6
inconnu, les éléments de niveau de risque 6 à 9 sont affichés
7, B
risqué, les éléments de niveau de risque 7 à 9 sont affichés
8
risqué, les éléments de niveau de risque 8 à 9 sont affichés
9
risqué, les éléments de niveau de risque 9 sont affichés
diminue le niveau de risque
+
augmente le niveau de risque
Ctrl+9
mode de filtrage, niveau égal ou supérieur
Ctrl+0
niveau de filtrage, niveau égal uniquement
Affichage
Ctrl+5
Ctrl+6
Ctrl+7
Ctrl+3
Ctrl+2
Ctrl+1
Retour
arrière
Barre
d'espace
Ctrl+W
Ctrl+Q
108
afficher par éditeur, tous les éditeurs
afficher par éditeur, uniquement Microsoft
afficher par éditeur, tous les autres éditeurs
appliquer tous les détails
afficher les détails moyens
affichage de base
revient une étape en arrière
avance d'une étape
développe l'arborescence
réduit l'arborescence
Autres commandes
Ctrl+T
va à l'emplacement d'origine de l'élément après la sélection dans les résultats de
recherche
Ctrl+P
affiche des informations élémentaires sur un élément
Ctrl+A
affiche des informations complètes sur un élément
Ctrl+C
copie l'arborescence de l'élément
Ctrl+X
copie les éléments
Ctrl+B
trouve des informations sur les fichiers sélectionnés sur Internet
Ctrl+L
ouvre le dossier où se trouve le fichier sélectionné.
Ctrl+R
ouvre l'entrée correspondante dans l'éditeur de registre
Ctrl+Z
copie un chemin d'accès à un fichier (si l'élément est lié à un fichier)
Ctrl+F
passe au champ de recherche
Ctrl+D
ferme les résultats de la recherche
Ctrl+E
exécute le script de service
Comparaison
Ctrl+Alt+O
Ctrl+Alt+R
Ctrl+Alt+1
Ctrl+Alt+2
Ctrl+Alt+4
Ctrl+Alt+5
Ctrl+Alt+C
Ctrl+Alt+N
Ctrl+Alt+P
ouvre le journal d'origine/de comparaison
annule la comparaison
affiche tous les éléments
affiche uniquement les éléments ajoutés, le journal indiquera les éléments présents dans le
journal actuel
affiche uniquement les éléments supprimés, le journal indiquera les éléments présents dans le
journal précédent
affiche uniquement les éléments remplacés (fichiers inclus)
affiche uniquement les différences entre les journaux
affiche la comparaison
affiche le journal actuel
ouvre le journal précédent
Divers
F1
Alt+F4
Alt+Shift+F4
Ctrl+I
afficher l'aide
quitter l'application
quitter l'application sans demander
statistiques du journal
Ctrl+Alt+3
12.6 Configuration requise
Pour garantir le fonctionnement sans problème de ESET SysInspector, le système doit répondre à la configuration
suivante :
Windows 2000, XP, 2003
400 MHz 32 bits (x86) / 64 bits (x64)
128 Mo de RAM de mémoire système
10 Mo d'espace disponible
Super VGA (800 x 600)
Windows 7, Vista, 2008
1 GHz 32 bits (x86) / 64 bits (x64)
512 Mo de RAM de mémoire système
10 Mo d'espace disponible
Super VGA (800 x 600)
109
12.7 FAQ
L'exécution de ESET SysInspector requiert-elle des privilèges d'administrateur ?
Bien que ESET SysInspector puisse être exécuté sans privilèges d'administrateur, certaines des informations qu'il
recueille peuvent être consultées uniquement via un compte administrateur. Une exécution en tant qu'utilisateur
standard ou utilisateur disposant d'un accès restreint entraînera la collecte d'un volume inférieur d'informations sur
l'environnement d'exploitation.
ESET SysInspector crée-t-il un fichier journal ?
ESET SysInspector peut créer un fichier journal sur la configuration de votre ordinateur. Pour l'enregistrer, choisissez
Fichier > Enregistrer le journal dans le menu principal. Les journaux sont enregistrés au format XML. Par défaut, les
fichiers sont enregistrés dans le répertoire %USERPROFILE%\My Documents\ selon la nomenclature « SysInspector-%
COMPUTERNAME%-AAMMJJ-HHMM.XML ». Vos pouvez changer l'emplacement et le nom du fichier avant la
sauvegarde si vous le souhaitez.
Comment puis-je consulter le fichier journal de ESET SysInspector ?
Pour consulter un fichier journal créé par ESET SysInspector, exécutez le programme et choisissez Fichier > Ouvrir le
journal dans le menu principal. Vous pouvez également faire glisser les fichiers journaux et les déposer sur l'application
ESET SysInspector. Si vous devez consulter fréquemment les fichiers journaux ESET SysInspector, il est conseillé de
créer un raccourci vers le fichier SYSINSPECTOR.exe sur le Bureau ; vous pourrez ensuite faire glisser les fichiers et les
déposer sur ce raccourci. Pour des raisons de sécurité, Windows Vista peut désactiver la fonction glisser-déposer entre
des fenêtres dont les autorisations diffèrent.
Existe-t-il une spécification pour le format du fichier journal ? Ou un SDK ?
Pour l'instant, il n'existe ni spécifications pour le fichier journal, ni SDK car le programme en est toujours au stade du
développement. Après la diffusion du programme, nous fournirons ces éléments sur la base des commentaires et des
demandes des clients.
Comment ESET SysInspector évalue-t-il le risque que pose un objet en particulier ?
Dans la majorité des cas, ESET SysInspector attribue des niveaux de risque aux objets (fichiers, processus, clés de
Registre, etc.) sur la base d'une série de règles heuristiques qui examinent les caractéristiques de chaque objet, puis qui
évaluent le potentiel d'activité malveillante. Cette analyse heuristique attribue aux objets un niveau de risque allant de
« 1 - OK (vert) » à « 9 - Risqué (rouge) ». Dans le volet de navigation gauche, la couleur des sections est définie par le
niveau de risque le plus élevé d'un des objets qu'elles contiennent.
Un niveau de risque « 6 - Inconnu (rouge) » signifie-t-il que l'objet est dangereux ?
Les évaluations de ESET SysInspector ne garantissent pas qu'un objet est malveillant. Cette réponse doit être apportée
par l'expert en sécurité. ESET SysInspector a été développé pour fournir aux experts en sécurité une évaluation rapide
afin qu'ils puissent identifier les objets d'un système qui devront faire l'objet d'un examen plus approfondi en cas de
comportement étrange.
Pourquoi ESET SysInspector se connecte-t-il à Internet ?
À l'instar de nombreuses applications, ESET SysInspector possède un « certificat » avec une signature numérique qui
permet de garantir que le logiciel a bien été diffusé par ESET et qu'il n'a pas été modifié. Afin de vérifier le certificat, le
système d'exploitation contacte une autorité de certification pour confirmer l'identité de l'éditeur de logiciels. Il s'agit
d'un comportement normal pour tous les programmes avec signature numérique sous Microsoft Windows.
Qu'est ce que la technologie Anti-Stealth ?
La technologie Anti-Stealth offre une détection efficace des rootkits.
Quand un système est attaqué par un code malveillant qui se comporte comme un rootkit, l'utilisateur est exposé au
risque de l'endommagement, de la perte ou du vol de données. Sans outil spécial de lutte contre les rootkits, il est
pratiquement impossible de les détecter.
110
Pourquoi y-a-t-il parfois des fichiers marqués comme « Signé par MS » avec une valeur différente dans le champ
« Nom de la société » ?
Lorsque SysInspector tente d'identifier la signature numérique d'un fichier exécutable, il vérifie d'abord s'il y a une
signature numérique intégrée au fichier. Si c'est le cas, l'identification dans le fichier sera utilisée pour la validation. Par
contre, si le fichier ne contient pas une signature numérique, l'ESI lance la recherche du fichier CAT correspondant
(Catalogue de sécurité - %systemroot%\system32\catroot). Si le fichier CAT pertinent est trouvé, la signature numérique
du fichier CAT sera appliquée dans la procédure de validation du fichier exécutable.
Voilà pourquoi des fichiers sont parfois marqués « Signé par MS » mais ont un « Nom de la société » différent.
Exemple :
Windows 2000 reprend l'application HyperTerminal qui se trouve dans C:\Program Files\Windows NT. Le fichier
exécutable principal de l'application n'a pas de signature numérique, mais SysInspector l'indique comme étant un fichier
signé par Microsoft. Ceci s'explique par une référence dans C:\WINNT\system32\CatRoot\{F750E6C3-38EE-11D1-85E500C04FC295EE}\sp4.cat qui pointe vers C:\Program Files\Windows NT\hypertrm.exe (le fichier exécutable principal de
l'application HyperTerminal) et sp4.cat possède une signature numérique de Microsoft.
111
13. ESET SysRescue
ESET SysRescue est un utilitaire qui permet de créer un disque d'amorçage contenant ESET NOD32 Antivirus (EAV) ou
ESET Smart Security (ESS). Le principal avantage de ESET SysRescue est le fait que ESS ou EAV est exécuté
indépendamment du système d'exploitation hôte, tout en ayant un accès direct au disque et à l'ensemble du système
de fichiers. Grâce à cela, il est possible de supprimer les infiltrations qui ne pourraient normalement pas être
supprimées, par exemple lorsque le système d'exploitation est en cours d'exécution, etc.
13.1 Configuration minimale requise
ESET SysRescue fonctionne dans l'environnement de préinstallation Microsoft Windows (Windows PE) version 2.x qui
repose sur Windows Vista. Windows PE fait partie du Kit d'installation automatisée de Windows (Windows AIK) et par
conséquent, Windows AIK doit être installé avant de créer ESET SysRescue (http://www.microsoft.com/Downloads/
details.aspx?familyid=94BB6E34-D890-4932-81A5-5B50C657DE08&displaylang=en). Vu la prise en charge de la version
32 bits de Windows PE, il faut utiliser un package d'installation d'ESS/EAV 32 bits lors de la création de ESET SysRescue
sur des systèmes 64 bits. ESET SysRescue prend en charge Windows AIK 1.1 et versions ultérieures. ESET SysRescue est
disponible dans ESS/EAV 4.0 et versions ultérieures.
Systèmes d'exploitation pris en charge :
Windows 7
Windows Vista
Windows Vista Service Pack 1
Windows Server 2008
Windows Server 2003 Service Pack 1 avec KB926044
Windows Server 2003 Service Pack 2
Windows XP Service Pack 2 avec KB926044
13.2 Procédure de création d'un CD de dépannage
Si la configuration minimale requise pour la création d'un CD ESET SysRescue est remplie, la tâche est assez simple. Pour
lancer l'Assistant ESET SysRescue, cliquez sur Démarrer > Programmes > ESET > ESET NOD32 Antivirus > ESET
SysRescue.
Tout d'abord, l'Assistant vérifie si Windows AIK est installé et si un périphérique adapté pour la création du support
d'amorçage est présent.
Au cours de l'étape suivante, sélectionnez le support cible où ESET SysRescue sera créé. Outre la sauvegarde sur un CD/
DVD/périphérique USB, vous pouvez enregistrer ESET SysRescue dans un fichier ISO. Par la suite, vous pourrez graver
l'image ISO sur un CD/DVD ou l'utiliser d'une autre manière (p. ex., dans un environnement virtuel tel que VmWare ou
Virtualbox).
Une fois que tous les paramètres auront été définis, vous verrez un aperçu de la compilation à la dernière étape de
l'Assistant ESET SysRescue. Vérifiez les paramètres et lancez la compilation. Les options disponibles sont les suivantes :
Dossiers 113
Antivirus ESET 113
Paramètres avancés 113
Périphérique USB d'amorçage 113
Gravure 113
112
13.2.1 Dossiers
Le dossier temporaire est un dossier de travail pour les fichiers requis lors de la compilation de ESET SysRescue.
Le dossier ISO est un dossier dans lequel le fichier ISO est enregistré après la fin de la compilation.
La liste sous cet onglet reprend tous les disques de réseau locaux et mappés ainsi que l'espace disponible. Si certains des
dossiers sont situés sur un lecteur manquant d'espace, il est conseillé de sélectionner un autre lecteur avec plus d'espace
disponible. Dans le cas contraire, la compilation pourrait s'arrêter prématurément en raison d'un manque d'espace sur
le disque.
13.2.2 Antivirus ESET
Pour créer le CD ESET SysRescue, vous pouvez sélectionner deux sources de fichiers ESET à utiliser par le compilateur.
Dossier ESS : fichiers déjà contenus dans le dossier dans lequel le produit ESET est installé sur l'ordinateur.
Fichier MSI : les fichiers contenus dans le programme d'installation MSI sont utilisés.
Profil : vous pouvez utiliser une des deux sources suivantes pour le nom d'utilisateur et le mot de passe :
ESS installé : le nom d'utilisateur et le mot de passe sont copiés depuis la version installée de ESET Smart Security ou
ESET NOD32 Antivirus
De l'utilisateur : le nom d'utilisateur et mot de passe saisi dans les zones de texte correspondant sont utilisés.
REMARQUE : ESET Smart Security ou ESET NOD32 Antivirus sur le CD ESET SysRescue est mis à jour soit via Internet,
soit via la solution de sécurité ESET installée sur l'ordinateur où le CD ESET SysRescue est exécuté.
13.2.3 Paramètres avancés
L'onglet Avancé permet d'optimiser le CD ESET SysRescue en fonction de la quantité de mémoire disponible sur
l'ordinateur. Sélectionnez 512 Mo et plus pour écrire le contenu du CD dans la mémoire vive (RAM). Si vous choisissez
moins de 512 Mo, l'accès au CD de récupération aura lieu en permanence lorsque WinPE est en exécution.
Pilotes externes : cette section permet d'introduire les pilotes pour votre matériel spécifique (en général, une carte de
réseau). Bien que WinPE repose sur Windows Vista PS1 qui prend en charge un large éventail de matériel, il arrive
parfois que le matériel ne soit pas reconnu et il faut alors ajouter le pilote manuellement. Deux manières existent pour
introduire le pilote dans la compilation ESET SysRescue : manuellement (le bouton Ajouter) et automatiquement (le
bouton Recherche auto). En cas d'introduction manuelle, vous devez choisir le chemin d'accès au fichier .inf
correspondant (le fichier *.sys applicable doit se trouver également dans le dossier). En cas d'introduction automatique,
le pilote est trouvé automatiquement dans le système d'exploitation de l'ordinateur donné. Il est conseillé d'utiliser
l'introduction automatique uniquement si ESET SysRescue est utilisé sur un ordinateur qui possède la même carte de
réseau que l'ordinateur sur lequel le CD ESET SysRescue a été créé. Lorsque le CD ESET SysRescue est créé, le pilote est
inclus dans la compilation, si bien que l'utilisateur n'a pas besoin de le trouver plus tard.
13.2.4 Périphérique USB d'amorçage
Si vous avez choisi le périphérique USB en tant que support cible, vous pouvez choisir un des supports USB disponibles
sous l'onglet Périphérique USB d'amorçage (si plusieurs périphériques USB existent).
13.2.5 Graver
Si vous avez choisi CD/DVD en tant que support cible, vous pouvez définir les paramètres de gravure complémentaires
sous l'onglet Graver.
Supprimer fichier ISO : cochez cette case pour supprimer les fichiers ISO après la création du CD ESET SysRescue.
Suppression activée : permet de choisir entre la suppression rapide et la suppression complète.
Graveur : choisissez le lecteur à utiliser pour la gravure.
Avertissement : il s'agit de l'option par défaut. En cas d'utilisation d'un CD/DVD réinscriptible, toutes les données sur le
CD/DVD seront supprimées.
La section Support contient des informations sur le support dans le lecteur de CD/DVD.
Vitesse de gravure : sélectionnez la vitesse souhaitée dans le menu déroulant. Les capacités du périphérique de
gravure et le type de CD/DVD utilisé doivent être pris en compte au moment de sélectionner la vitesse de gravure.
113
13.3 Utilisation de ESET SysRescue
Pour que les supports de récupération CD/DVD/USB fonctionnent efficacement, il faut démarrer l'ordinateur depuis le
support d'amorçage ESET SysRescue. La priorité d'amorçage peut être modifiée dans le BIOS. Vous pouvez aussi
afficher le menu d'amorçage lors du démarrage de l'ordinateur, généralement à l'aide d'une des touches entre F9 et F12
en fonction de la version de la carte mère/du BIOS.
Après le démarrage, ESS/EAV sera lancé. Dans la mesure où ESET SysRescue est utilisé uniquement dans des situations
particulières, certains modules de protection et fonctionnalités de l'application présents dans la version régulière d'ESS/
EAV ne sont pas requis ; les modules sont réduits à Analyse de l'ordinateur, Mise à jour et certaines sections de
Configuration. La capacité d'actualiser la base de signature des virus est la fonctionnalité la plus importante de ESET
SysRescue. Il est conseillé d'actualiser l'application avant de lancer l'analyse de l'ordinateur.
13.3.1 Utilisation de ESET SysRescue
Admettons que des ordinateurs du réseau aient été infectés par un virus qui modifie les fichiers exécutables (EXE). ESS/
EAV est capable de nettoyer tous les fichiers infectés, à l'exception d'explorer.exe qui ne peut pas être nettoyé, même
en mode sans échec.
Explorer.exe, en tant qu'un des principaux processus de Windows, est également lancé en mode sans échec. ESS/EAV
ne peut exécuter aucune action sur le fichier et celui-ci reste par conséquent infecté.
Dans ce scénario, vous pouvez utiliser ESET SysRescue pour résoudre le problème. ESET SysRescue ne requiert aucun
composant du système d'exploitation hôte. Par conséquent, il est capable de traiter (nettoyer, supprimer) n'importe
quel fichier sur le disque.
114
">