Sie sind auf Seite 1von 245

Guide d'installation de Symantec Endpoint Protection et Symantec Network Access Control

Guide d'installation de Symantec Endpoint Protection et Symantec Network Access Control


Le logiciel dcrit dans ce guide est fourni dans le cadre d'un contrat de licence et ne peut tre utilis qu'en conformit avec les termes de ce contrat. Version 11.00.02.01.00 de documentation

Mentions lgales
Copyright 2008 Symantec Corporation. Tous droits rservs. Symantec, le logo Symantec, LiveUpdate, Sygate, Symantec AntiVirus, Bloodhound, Confidence Online, Digital Immune System, Norton et TruScan sont des marques commerciales ou des marques dposes de Symantec Corporation ou ses filiales aux Etats-Unis et dans d'autres pays. Les autres noms peuvent tre des marques de leurs dtenteurs respectifs. Ce produit de Symantec peut contenir le logiciel tiers pour lequel Symantec est requis pour fournir l'attribution tierce partie ("Programmes tiers"). Certains de ces logiciels sont mis disposition en open source ou avec des licences gratuites. Le Contrat de licence accompagnant le logiciel ne modifie en aucun cas vos droits et vos obligations en vertu de ces licences. Reportez-vous l'annexe consacre l'avis lgal sur les logiciel tiers ou au fichier LisezMoi TPIP accompagnant ce produit pour en savoir plus sur les logiciels tiers. Le produit dcrit dans ce document est distribu aux termes d'une licence limitant son utilisation, sa copie, sa distribution et sa dcompilation/ingnierie inverse. Ce document ne peut, en tout ou partie, tre reproduit sous aucune forme et par aucun moyen sans l'autorisation pralable crite de Symantec Corporation et de ses dtenteurs de licence ventuels. LA DOCUMENTATION EST FOURNIE "EN L'ETAT" ET TOUTE GARANTIE OU CONDITION D'AUCUNE SORTE, EXPRESSE OU IMPLICITE, Y COMPRIS, SANS QUE CELA SOIT LIMITATIF, LES GARANTIES OU CONDITIONS IMPLICITES DE QUALITE MARCHANDE, D'ADEQUATION A UN USAGE PARTICULIER OU DE RESPECT DES DROITS DE PROPRIETE INTELLECTUELLE EST REFUTEE, EXCEPT DANS LA MESURE O DE TELLES EXCLUSIONS SERAIENT TENUES POUR POUR LEGALEMENT NON VALIDES. SYMANTEC CORPORATION NE PEUT ETRE TENUE POUR RESPONSABLE DES DOMMAGES DIRECTS OU INDIRECTS RELATIFS AU CONTENU OU A L'UTILISATION DE LA PRESENTE DOCUMENTATION. LES INFORMATIONS PRESENTES DANS CETTE DOCUMENTATION SONT SUJETTES A MODIFICATION SANS PREAVIS. Le Logiciel sous licence est considr comme logiciel informatique commercial conformment aux dfinitions de la section FAR 12.212 et soumis des droits restreints tels que dfinis dans la section FAR 52.227.19 "Commercial Computer Licensed Software - Restricted Rights" et DFARS 227.7202 "Rights in Commercial Computer Licensed Software or Commercial Computer Licensed Software Documentation" tels qu'applicable, et tous rglements qui les remplaceraient. Toute utilisation, modification, reproduction, publication, excution,

prsentation ou communication du Logiciel sous licence par le gouvernement des Etats-Unis ne peut se faire que conformment aux conditions du prsent contrat. Symantec Corporation 20330 Stevens Creek Blvd. Cupertino, CA 95014 Etats-Unis http://www.symantec.fr

Solutions de service et de support


Symantec se consacre fournir un excellent service dans le monde entier. Notre objectif est de vous apporter une assistance professionnelle pour utiliser nos logiciels et nos services, o que vous vous trouviez. Les solutions de support technique et de service clientle varient selon les pays. Si vous avez des questions sur les services dcrits ci-dessous, consultez la section Informations de service et de support dans le monde .

Enregistrement et licences
Si vous dployez un produit qui ncessite un enregistrement et/ou une cl de licence, le systme le plus rapide et le plus simple consiste accder notre site de licence et denregistrement (en anglais) ladresse www.symantec.com/certificate. Si vous avez achet un abonnement de support, vous tes habilit bnficier d'un support technique par tlphone et sur Internet. Lorsque vous contactez les services de support pour la premire fois, vous devez disposer du numro de votre certificat de licence ou de lidentification de contact fournie lors de lenregistrement, pour permettre la vrification de vos droits au support. Si vous n'avez pas achet d'abonnement de support, contactez votre revendeur ou le service clientle de Symantec pour savoir comment obtenir un support technique auprs de Symantec.

Mises jour de la scurit


Pour obtenir les informations les plus rcentes sur les virus et les menaces de scurit, visitez le site de Symantec Security Response (anciennement SARC Centre de Recherche AntiVirus de Symantec), ladresse http://www.symantec.fr/region/fr/avcenter/index.html. Ce site contient des informations exhaustives sur la scurit et les virus, ainsi que les dernires dfinitions de virus. Vous pouvez galement tlcharger les dfinitions de virus en utilisant la fonction LiveUpdate de votre produit.

Renouvellement dabonnement aux dfinitions de virus


Votre achat dun service de support avec un produit vous permet de tlcharger gratuitement des dfinitions de virus pendant la dure de labonnement. Si votre abonnement au support a expir, contactez votre revendeur ou le Service clientle de Symantec pour savoir comment le renouveler.

Sites Web Symantec :


Page daccueil Symantec (par langue) :

Allemand : http://www.symantec.de Anglais : http://www.symantec.com Espagnol : http://www.symantec.com/region/es Franais : http://www.symantec.fr Italien : http://www.symantec.it Nerlandais : http://www.symantec.nl Portugais : http://www.symantec.com/br

Symantec Security Response:

http://www.symantec.fr/region/fr/avcenter/index.html

Page de service et assistance Symantec :

http://www.symantec.com/region/fr/techsupp/enterprise/index.html

Bulletin d'informations spcifique produit :

Etats-Unis, Asie-Pacifique : http://www.symantec.com/techsupp/bulletin/index.html Europe, Moyen-Orient, Afrique/Anglais : http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html Allemand : http://www.symantec.com/region/de/techsupp/bulletin/index.html Franais : http://www.symantec.com/region/fr/techsupp/bulletin/index.html Italien : http://www.symantec.com/region/it/techsupp/bulletin/index.html Amrique latine/Anglais : http://www.symantec.com/techsupp/bulletin/index.html

Support technique
Au sein de Symantec Security Response, lquipe de support technique internationale gre les centres dassistance dans le monde entier. Son objectif premier est de rpondre aux questions spcifiques sur les fonctionnalits/fonctions, l'installation et la configuration des produits Symantec ainsi que sur le contenu de la Base de connaissances accessible via le Web. Symantec Security Response est en collaboration troite avec les autres dpartements de Symantec pour rpondre rapidement vos questions. Nous travaillons par exemple avec notre service dingnierie produit et nos centres de recherche en scurit pour fournir des services d'alertes et des mises jour des dfinitions de virus, face aux attaques virales et aux alertes de scurit. Caractristiques de nos offres :

Une panoplie d'options de support vous permet de choisir le service appropri quel que soit le type d'entreprise. Le support Web et tlphonique fournit des rponses rapides et des informations de dernire minute. Les mises jour des produits fournissent une protection de mise niveau automatique. Les mises jour de contenu des dfinitions de virus et les signatures de scurit assurent la meilleure protection. Le support mondial des experts Symantec Security Response est disponible 24h/24, 7j/7 dans le monde entier et dans diffrentes langues. Les fonctionnalits avances telles que le Service d'alertes Symantec (Symantec Alerting Service) et le Responsable de compte technique (Technical Account Manager) offrent un support d'intervention et de scurit proactive.

Rendez-vous sur notre site Web pour obtenir les dernires informations sur les programmes de support. Coordonnes du support Les clients disposant d'un contrat de support peuvent contacter lquipe de support technique par tlphone, sur le site Web suivant ou sur les sites rgionaux de Service et Support internationaux. http://www.symantec.com/region/fr/techsupp/enterprise/index.html Lorsque vous contactez le support, vrifiez que vous disposez des informations suivantes :

Version du produit Informations sur le matriel

Mmoire disponible, espace disque et informations sur la carte d'interface rseau Systme d'exploitation Niveau de version et correctif Topologie du rseau Informations sur le routeur, la passerelle et l'adresse IP Description du problme Messages d'erreur/fichiers journaux Intervention effectue avant de contacter Symantec Modifications rcentes de la configuration du logiciel ou du rseau

Service clientle
Le Centre de service clientle de Symantec peut vous seconder pour vos questions non techniques :

Informations gnrales sur les produits (caractristiques, langues disponibles, adresse des distributeurs, etc) Dpannage de base, par exemple vrification de la version du produit Dernires informations sur les mises jour produit Comment mettre votre produit jour/ niveau Comment enregistrer votre produit et/ou votre licence Informations sur les programmes de licences de Symantec Informations sur les contrats de mise niveau et de maintenance Remplacement des CD et des manuels Mise jour des donnes denregistrement produit en cas de changement de nom ou d'adresse Conseil sur les options de support technique de Symantec

Des informations dtailles sur le Service clientle sont disponibles sur le site Web de lassistance Symantec. Vous pouvez galement contacter le Centre de service clientle par tlphone. Pour des informations sur les numros de support clientle et les sites Web, consultez la section Informations de service et de contact en bref .

Service et support internationaux


Europe, Moyen-Orient, Afrique et Amrique latine
Sites Web de service et assistance Symantec

Allemand : www.symantec.de/desupport/ Anglais : www.symantec.com/eusupport/ Espagnol : www.symantec.com/region/mx/techsupp/ Franais : www.symantec.fr/frsupport Italien : www.symantec.it/itsupport/ Nerlandais : www.symantec.nl/nlsupport/ Portugais : www.symantec.com/region/br/techsupp/ FTP Symantec : ftp.symantec.com (tlchargement des notes techniques et des derniers correctifs)

Visitez le site Service et assistance de Symantec pour trouver des informations techniques et non techniques sur votre produit. Symantec Security Response :

http://securityresponse.symantec.com

Bulletin d'informations spcifique produit :

Anglais : http://www.symantec.com/techsupp/bulletin/index.html Europe, Moyen-Orient, Afrique/Anglais : http://www.symantec.com/region/reg_eu/techsupp/bulletin/index.html Allemand : http://www.symantec.com/region/de/techsupp/bulletin/index.html Franais : http://www.symantec.com/region/fr/techsupp/bulletin/index.html Italien : http://www.symantec.com/region/it/techsupp/bulletin/index.html

Amrique latine/Anglais : http://www.symantec.com/techsupp/bulletin/index.html

Service Clientle de Symantec Fournit des informations non techniques et des conseils par tlphone dans les langues suivantes : anglais, allemand, franais et italien.

Autriche : + (43) 1 50 137 5030 Belgique : + (32) 2 2750173 Danemark : + (45) 35 44 57 04 Espagnol : + (34) 91 7456467 Finlande : + (358) 9 22 906003 France : + (33) 1 70 20 00 00 Allemagne : + (49) 69 6641 0315 Irlande : + (353) 1 811 8093 Italie : + (39) 02 48270040 Luxembourg : + (352) 29 84 79 50 30 Pays-Bas : + (31) 20 5040698 Norvge : + (47) 23 05 33 05 Afrique du Sud : + (27) 11 797 6639 Sude : + (46) 8 579 29007 Suisse : + (41) 2 23110001

Royaume Uni : + (44) 20 7744 0367 Autres pays : + (353) 1 811 8093 (service en anglais uniquement)

Service Clientle Symantec Adresse postale

Symantec Ltd Customer Service Centre Europe, Middle East and Africa (EMEA) PO Box 5689 Dublin 15 Irlande

En Amrique latine
Symantec dispose d'un support technique et d'un service clientle internationaux. Les services varient selon les pays et incluent des partenaires internationaux qui reprsentent Symantec dans les rgions o il ny a pas de bureau Symantec. Pour des informations gnrales, contactez le service de support de Symantec pour votre rgion. ARGENTINE

Pte. Roque Saenz Pea 832 - Piso 6 C1035AAQ, Ciudad de Buenos Aires Argentine Numro principal: +54 (11) 5811-3225 Site Web: http://www.service.symantec.com/mx Gold Support: 0800-333-0306

VENEZUELA

Avenida Francisco de Miranda. Centro Lido Torre D. Piso 4, Oficina 40 Urbanizacin el Rosal 1050, Caracas D.F. Dong Cheng District Venezuela Numro principal: +58 (212) 905-6327 Site Web: http://www.service.symantec.com/mx Gold Support: 0800-1-00-2543

COLOMBIA

Carrera 18# 86A-14 Oficina 407, Bogota D.C. Colombia Numro principal: +57 (1) 638-6192 Site Web: http://www.service.symantec.com/mx Gold Support: 980-915-5241

BRSIL

Symantec Brasil Market Place Tower Av. Dr. Chucri Zaidan, 920 12 andar So Paulo - SP CEP: 04583-904 Brsil, SA Numro principal: +55 (11) 5189-6300 Tlcopie: +55 (11) 5189-6210 Site Web: http://www.service.symantec.com/br Gold Support: 000814-550-4172

CHILE

Alfredo Barros Errazuriz 1954 Oficina 1403 Providencia, Santiago de Chile Chile Numro principal: +56 (2) 378-7480 Site Web: http://www.service.symantec.com/mx Gold Support: 0800-333-0306

MEXIQUE

Boulevard Adolfo Ruiz Cortines 3642 Piso 8, Colonia Jardines del Pedregal, 01900, Mexico D.F. Mexico Numro principal: +52 (55) 5481-2600 Site Web: http://www.service.symantec.com/mx Gold Support: 001880-232-4615

RESTE DE L'AMRIQUE LATINE

9155 South Dadeland Blvd. Suite 1100, Miami, FL 33156 U.S.A Site Web: http://www.service.symantec.com/mx Gold Support: Costa Rica: 800-242-9445 Panama: 800-234-4856 Puerto Rico: 800-232-4615

Asie-Pacifique
Symantec dispose d'un support technique et d'un service clientle internationaux. Les services varient selon les pays et incluent des partenaires internationaux qui reprsentent Symantec dans les rgions o il ny a pas de bureau Symantec. Pour des informations gnrales, contactez le service de support de Symantec pour votre rgion. Service et support AUSTRALIE

Symantec Australia Level 2, 1 Julius Avenue North Ryde, NSW 2113 Australie Numro principal: +61 2 8879 1000 Tlcopie: +61 2 8879 1001 Site Web: http://service.symantec.com Gold Support: 1800 805 834 gold.au@symantec.com Admin. contrats de support: 1800 808 089 contractsadmin@symantec.com

CHINE

Symantec China Unit 1-4, Level 11, Tower E3, The Towers, Oriental Plaza No.1 East Chang An Ave., Dong Cheng District Beijing 100738 Chine P.R.C. Numro principal: +86 10 8518 3338 Support technique: +86 10 8518 6923

Tlcopie: +86 10 8518 6928 Site Web: http://www.symantec.com.cn HONG KONG

Symantec Hong Kong Central Plaza Suite #3006 30th Floor, 18 Harbour Road Wanchai Hong Kong Numro principal: +852 2528 6206 Support technique: +852 2528 6206 Tlcopie: +852 2526 2646 Site Web: http://www.symantec.com.hk

INDE

Symantec India Suite #801 Senteck Centrako MMTC Building Bandra Kurla Complex Bandra (East) Mumbai 400051, Inde Numro principal: +91 22 652 0658 Support technique: +91 22 652 0671 Tlcopie: +91 22 657 0669 Site Web: http://www.symantec.com/india

COREE

Symantec Korea 15,16th Floor Dukmyung B/D 170-9 Samsung-Dong KangNam-Gu Seoul 135-741 Core du Sud Numro principal: +822 3420 8600 Support technique: +822 3452 1610 Tlcopie: +822 3420 8650 Site Web: http://www.symantec.co.kr

MALAISIE

Symantec Corporation (Malaysia) Sdn Bhd 31-3A Jalan SS23/15 Taman S.E.A. 47400 Petaling Jaya Selangor Darul Ehsan Malaisie Numro principal: +603 7805 4910 Support technique: +603 7804 9280 E-mail socit: gold.apac@symantec.com N vert socit: +1800 805 104 Site Web: http://www.symantec.com.my

NOUVELLE-ZELANDE

Symantec New Zealand Level 5, University of Otago Building 385 Queen Street Auckland Central 1001 Nouvelle-Zlande Numro principal: +64 9 375 4100 Tlcopie: +64 9 375 4101 Site Web de support: http://service.symantec.co.nz Gold Support: 0800 174 045 gold.nz@symantec.com Admin. contrats de support: 0800 445 450 contractsadmin@symantec.com

SINGAPOUR

Symantec Singapore 6 Battery Road #22-01/02/03 Singapour 049909 Numro principal: 1800 470 0730 Tlcopie: +65 6239 2001 Support technique: 1800 720 7898 Site Web: http://www.symantec.com.sg

TAIWAN

Symantec Taiwan 2F-7, No.188 Sec.5 Nanjing E. Rd., 105 Taipei Tawan Numro principal: +886 2 8761 5800 Corporate Support: +886 2 8761 5800 Tlcopie: +886 2 2742 2838 Gold Support: 0800 174 045 gold.nz@symantec.com Site Web: http://www.symantec.com.tw

Lexactitude des informations contenues dans ce document a fait lobjet de toutes les attentions. Toutefois, les informations fournies ici sont susceptibles d'tre modifies sans pravis. Symantec Corporation se rserve le droit dapporter ces modifications sans avertissement pralable.

Table des matires

Solutions de service et de support .................................................................. 4 Chapitre 1 Prsentation de vos produits Symantec ......................... 25
A propos de vos produits Symantec ................................................. A propos de Symantec Endpoint Protection ................................. A propos de Symantec Network Access Control ............................ A propos de Symantec Endpoint Protection Manager .................... Composants fonctionnant avec Symantec Endpoint Protection Manager ............................................................................... Mode de fonctionnement de Symantec Endpoint Protection Manager ............................................................................... Environnements grs et non grs ........................................... A propos des groupes .............................................................. Interaction entre les clients et les serveurs ................................. Possibilits de Symantec Endpoint Protection Manager ....................... Autres sources dinformations ........................................................ 25 25 28 29 30 31 31 32 32 32 33

Section 1
Chapitre 2

Installation ....................................................................... 35
Planification de l'installation ............................................ 37
Configuration systme requise ....................................................... A propos des droits d'administrateur sur les ordinateurs cibles ............................................................................. A propos de la configuration des droits d'utilisateur avec Active Directory ........................................................................ Paramtres d'installation du systme ......................................... Conditions requises pour l'internationalisation ........................... A propos de la prise en charge VMware ...................................... A propos de la planification de l'installation et de l'architecture rseau .................................................................................. A propos des pare-feux du bureau et des ports de communications .................................................................... Dsactivation et modification des pare-feu Windows .......................... A propos des pare-feux Windows et Symantec ............................. 37 38 38 38 49 51 52 57 59 60

18

Table des matires

Dsactivation du Pare-feu Windows ........................................... Dsactivation du pare-feu Windows ........................................... Modification du pare-feu Windows Vista et Windows Server 2008 .............................................................................. Prparation des ordinateurs au dploiement distant ........................... Prparation des ordinateurs qui excutent Windows XP dans des groupes de travail ............................................................ Prparation des ordinateurs qui excutent Windows Vista et Windows Server 2008 ....................................................... Prparation d'un serveur Windows Server 2003 l'installation via une connexion au bureau distance .......................................... Prparation de vos ordinateurs client pour l'installation ..................... Suppression des menaces virales et des risques de scurit. ........... Evaluation du logiciel client tiers .............................................. Installation du logiciel client par tapes ..................................... Redmarrages d'ordinateur requis ..................................................

60 61 62 63 63 64 66 68 68 68 69 69

Chapitre 3

Premire installation .......................................................... 71


Prparation l'installation ............................................................ Installation et configuration de Symantec Endpoint Protection Manager ............................................................................... Configuration et dploiement du logiciel client .................................. Ouverture d'une session et localisation de votre groupe dans la console ................................................................................. Ouverture d'une session sur la console de gestion ........................ A propos de la localisation de votre groupe dans la console ............ A propos des politiques ................................................................. Configuration de LiveUpdate pour des mises jour de site ................... Configurer LiveUpdate pour les mises jour client ............................. Configuration d'une politique de Paramtres LiveUpdate .............. Configuration d'une politique de contenu LiveUpdate ................... Configuration et test de Symantec Endpoint Protection ....................... Configuration d'une politique antivirus et antispyware par dfaut ............................................................................ Test des fonctions antivirus ..................................................... Configurer et tester Symantec Network Access Control ....................... Crer une politique d'intgrit de l'hte ...................................... Tester une politique d'intgrit de l'hte .................................... 71 73 76 78 78 78 79 80 80 81 81 83 83 84 88 88 90

Table des matires

19

Chapitre 4

Installer Symantec Endpoint Protection Manager ..........................................................................

91

Avant l'installation ....................................................................... 92 Installer Symantec Endpoint Protection Manager avec une base de donnes intgre .................................................................... 92 A propos des paramtres d'installation de la base de donnes intgre .......................................................................... 92 Installer Symantec Endpoint Protection Manager avec la base de donnes intgre .......................................................... 94 Installation de Symantec Endpoint Protection Manager avec une base de donnes Microsoft SQL ........................................................ 96 Prparation de Microsoft SQL Server 2000/2005 pour la cration de la base de donnes ........................................................ 97 A propos des paramtres d'installation de base de donnes Microsoft SQL Server ...................................................... 102 Installation de Symantec Endpoint Protection Manager avec une base de donnes Microsoft SQL ......................................... 105 Installation de consoles Symantec Endpoint Protection Manager supplmentaires .................................................................. 108 Installer et configurer Symantec Endpoint Protection Manager pour le basculement ou la rpartition de charge ................................ 109 Installer Symantec Endpoint Protection Manager pour le basculement ou la rpartition de charge ............................. 110 Configuration du basculement et de la rpartition de charge .......................................................................... 111 Installer et configurer Symantec Endpoint Protection Manager pour la rplication ....................................................................... 115 Installer Symantec Endpoint Protection Manager pour la rplication .................................................................... 115 Configurer Symantec Endpoint Protection Manager pour la rplication .................................................................... 117 Rglage de la taille de segment de mmoire de Symantec Endpoint Protection Manager .............................................................. 117 Mise niveau de la base de donnes intgre vers Microsoft SQL Server ................................................................................ 118 Sauvegarde du keystore et des fichiers server.xml ...................... 119 Sauvegarde de la base de donnes intgre ................................ 120 Installation d'une instance de Microsoft SQL Server 2000 ou 2005 ............................................................................ 120 Reconfigurer Symantec Endpoint Protection Manager avec une base de donnes SQL Microsoft ......................................... 121 Restauration du fichier keystore Java original ............................ 122

20

Table des matires

Dsinstaller Symantec Endpoint Protection Manager ........................ 123

Chapitre 5

Installation du logiciel client Symantec ........................ 125


A propos du logiciel d'installation de client Symantec ....................... A propos de Symantec Endpoint Protection ............................... A propos de Symantec Network Access Control .......................... A propos de la version 3.1 de Windows Installer ......................... A propos des groupes et des clients .......................................... A propos de l'installation du logiciel client autonome ........................ A propos du dploiement d'un logiciel client autonome l'aide de la console de gestion ................................................... A propos du dploiement de logiciel client non gr l'aide de l'assistant de dploiement ................................................ Installer un logiciel client non gr en utilisant le CD d'installation ....................................................................... Cration des paquets d'installation client ........................................ A propos du dploiement du logiciel client d'un lecteur mapp ............ Dployer le logiciel client avec l'assistant de dploiement .................. Dploiement du logiciel client avec Rechercher les ordinateurs non grs .................................................................................. Importation des listes d'ordinateurs ............................................... Cration d'un fichier texte des ordinateurs installer ................. Importation d'un fichier texte contenant les ordinateurs installer ........................................................................ A propos de l'installation et du dploiement du logiciel avec Altiris ................................................................................ Options d'installation tierce ......................................................... A propos de l'installation de clients avec des logiciels tiers ........... A propos de la personnalisation des fichiers d'installation avec les options .msi .............................................................. A propos de l'installation des clients avec Microsoft SMS 2003 ............................................................................ Installer des clients avec Active Directory Group Policy Object .......................................................................... Dsinstaller le logiciel client avec l'objet Politique de groupe Active Directory ............................................................. Dmarrage de l'interface utilisateur client ...................................... Dsinstallation du logiciel client .................................................... Dsinstaller le logiciel client sur Windows Server 2008 Server Core ............................................................................. 125 126 127 127 127 128 128 128 129 131 132 133 134 135 136 136 137 137 138 138 138 140 147 147 148 148

Table des matires

21

Chapitre 6

Installation de Quarantaine et des serveurs LiveUpdate .................................................................... 151


Avant l'installation ..................................................................... Installation et configuration de la quarantaine centralise ................. Installation de la console de quarantaine .................................. Installation du serveur de quarantaine ..................................... Configurer des groupes pour utiliser la quarantaine centralise .................................................................... A propos de l'utilisation d'un serveur Symantec LiveUpdate ............... Pour obtenir plus d'informations sur la configuration d'un serveur LiveUpdate .......................................................................... Dsinstallation des composants de gestion de Symantec Endpoint Protection ........................................................................... 151 151 152 153 154 156 158 158

Section 2
Chapitre 7

Migration et mise niveau ................................... 159


Migration de Symantec AntiVirus et de Symantec Client Security .............................................................. 161
Vue d'ensemble et squence de la migration .................................... Chemins de migration pris en charge et non pris en charge ................ Migrations prises en charge .................................................... Migrations bloques .............................................................. Migrations non prises en charge .............................................. A propos de la migration de la quarantaine centralise ................ Prparer les installations hrites en vue de la migration ................... Prparer toutes les installations hrites .................................. Prparer les installations hrites Symantec 10.x/3.x .................. A propos de la migration et la non prservation de serveur, des groupes de clients et des paramtres ........................................ A propos de la migration de groupes et de paramtres ....................... A propos des paramtres qui n'effectuent pas de migration ................ A propos des paquets et du dploiement ......................................... A propos des paquets d'installation client gnrs pendant la migration ...................................................................... Exporter et formater une liste de noms d'ordinateurs client migrer .......................................................................... Ports de communication ouvrir ............................................. A propos de la prparation des ordinateurs client pour la migration ...................................................................... Installer Symantec Endpoint Protection Manager ............................. 162 164 164 164 164 165 165 165 169 171 171 175 175 176 177 179 180 180

22

Table des matires

Effectuer une migration des paramtres de serveur et de groupe de clients ................................................................................ Vrifier la migration et mettre jour les politiques de migration ......... Migration des clients autonomes ................................................... A propos de la migration des clients autonomes avec des fichiers sur CD .......................................................................... Migrer les clients autonomes avec des paquets exports .............. Ce qui a chang pour les administrateurs hrits ..............................

182 183 183 184 184 186

Chapitre 8

Migration du logiciel hrit Symantec Sygate ............. 191


A propos de la migration vers Symantec Endpoint Protection 11.x ................................................................................... A propos de la migration du serveur Symantec Sygate et du logiciel de gestion ........................................................... A propos de la migration du logiciel client Symantec Sygate hrit ........................................................................... A propos de la migration vers Symantec Network Access Control 11.x ................................................................................... A propos de la migration du logiciel de serveur Symantec Sygate hrit ........................................................................... A propos de la migration du logiciel client Symantec Sygate hrit ........................................................................... A propos des mises niveau d'Enforcer .......................................... Scnarios de migration de serveur ................................................. Migrer une instance d'installation qui utilise un serveur de gestion ......................................................................... Migrer une instance d'installation qui utilise une base de donnes Microsoft SQL et plusieurs serveurs de gestion .................... Migrer une instance d'installation qui utilise plusieurs bases de donnes et serveurs de gestion intgrs .............................. Migrer une instance d'installation qui utilise plusieurs bases de donnes et serveurs de gestion SQL ................................... Procdures de migration du serveur de gestion ................................ Migration d'un serveur de gestion ........................................... Arrter les serveurs avant la migration de rpartition de charge et de basculement ........................................................... Dsactiver la rplication avant la migration .............................. Activer la rplication aprs la migration ................................... A propos des changements de l'interface utilisateur et des fonctionnalits de la console survenant aprs la migration ........... Migrer des consoles de gestion distance ....................................... 191 192 193 195 195 195 196 196 197 197 198 199 200 200 202 202 203 204 205

Table des matires

23

A propos de la configuration des politiques ayant effectu une migration et nouvelles politiques ............................................ 206 A propos de la suppression des protections par mot de passe client des paramtres de groupe ...................................................... 206 Migrer le logiciel client Symantec Sygate hrit ............................... 207

Chapitre 9

Mise niveau vers de nouveaux produits Symantec ....................................................................... 209


A propos de la mise niveau vers de nouveaux produits Symantec ............................................................................ Mise niveau de Symantec Endpoint Protection Manager .................. Sauvegarder la base de donnes. .................................................... Dsactiver la rplication .............................................................. Arrter le service Symantec Endpoint Protection Manager ................. Mise niveau de Symantec Endpoint Protection Manager .................. Activer la rplication aprs la migration ......................................... A propos de la mise niveau des clients Symantec Endpoint Protection avec Symantec Network Access Control .................................... A propos de la mise niveau des clients Symantec Network Access Control avec Symantec Endpoint Protection .............................. 209 210 210 211 211 212 213 214 214

Section 3
Annexe A

Annexes ............................................................................ 215


Fonctions et proprits d'installation de Symantec Endpoint Protection .................................................... 217
A propos des fonctions et proprits d'installation ........................... A propos de la configuration de Setaid.ini ................................. A propos de la configuration des chanes de commande MSI ......... fonctions et proprits de l'installation client .................................. Fonctions de client Symantec Endpoint Protection ..................... Proprits d'installation du client Symantec Endpoint Protection ..................................................................... Paramtres de Windows Installer .................................................. Proprits du Centre de scurit Windows ...................................... A propos de l'utilisation du fichier journal pour rechercher les erreurs ............................................................................... Identification du point d'chec d'une installation ............................. Exemples de lignes de commande ................................................. 217 218 219 220 220 222 223 225 227 227 227

24

Table des matires

Annexe B

Mise jour du logiciel client Symantec ........................ 229


A propos des mises jour et des correctifs ....................................... 229 Mise jour du logiciel client Symantec ........................................... 230

Annexe C

Rcupration d'urgence ................................................... 233


Comment se prparer une rcupration d'urgence .......................... A propos du processus de rcupration d'urgence ............................. Restauration de Symantec Endpoint Protection Manager ................... A propos de l'identification d'un ordinateur nouveau ou reconstruit .................................................................... Rinstaller Symantec Endpoint Protection Manager ................... Restaurer le certificat de serveur ................................................... Restauration des communications client ......................................... Restaurer les communications client avec une sauvegarde de base de donnes ............................................................. Restaurer les communications client sans sauvegarde de base de donnes .................................................................... 233 236 236 236 236 236 238 238 240

Index ................................................................................................................... 241

Chapitre

Prsentation de vos produits Symantec


Ce chapitre traite des sujets suivants :

A propos de vos produits Symantec Composants fonctionnant avec Symantec Endpoint Protection Manager Mode de fonctionnement de Symantec Endpoint Protection Manager Possibilits de Symantec Endpoint Protection Manager Autres sources dinformations

A propos de vos produits Symantec


Vos produits Symantec peuvent inclure Symantec Endpoint Protection et Symantec Network Access Control. Les deux produits incluent Symantec Endpoint Protection Manager, qui fournit l'infrastructure pour installer et grer Symantec Endpoint Protection et Symantec Network Access Control. Symantec Endpoint Protection et Symantec Network Access Control sont deux technologies de type Endpoint Protection diffrentes qui fonctionnent ensemble. Les deux technologies Endpoint Protection sont vendues sparment.

A propos de Symantec Endpoint Protection


Symantec Endpoint Protection protge les terminaux client contre les menaces virales et les risques et fournit trois niveaux de protection vos terminaux client. Les couches assurent une protection contre les menaces rseau, une protection proactive contre les menaces et une protection antivirus et antispyware.

26

Prsentation de vos produits Symantec A propos de vos produits Symantec

Figure 1-1

Couches de protection

Protection contre les menaces rseau Protection proactive contre les menaces

Protection antivirus et antispyware

La protection contre les menaces rseau protge votre ordinateur contre les menaces en utilisant des rgles et des signatures. La protection proactive contre les menaces identifie et attnue les menaces bases sur le comportement de la menace. La protection antivirus et antispyware identifie et attnue les menaces lies une tentative d'accs ou un accs tangible vos ordinateurs, l'aide de signatures que Symantec cre.

A propos de la protection contre les menaces rseau


La protection contre les menaces rseau comprend un pare-feu et un logiciel de prvention d'intrusion pour protger vos terminaux client. Le pare-feu prend en charge les rgles dveloppes pour la fois les ports et applications spcifiques et utilise l'inspection dynamique de paquets pour l'ensemble du trafic rseau. Par consquent, pour tout le trafic rseau initi par le client, il vous suffit de crer une rgle sortante pour prendre en charge ce trafic. L'inspection "Stateful" permet automatiquement le trafic de retour qui ragit au trafic sortant. Le pare-feu fournit une prise en charge totale de TCP, UDP, ICMP et tous les protocoles IP tels qu'ICMP et RSVP. Le pare-feu prend en charge galement les protocoles Ethernet et Token Ring et peut bloquer les pilotes de protocole tels que VMware et WinPcap. Le pare-feu peut automatiquement identifier le trafic lgitime DNS, DHCP et WINS et vous pouvez ainsi cocher une case pour autoriser ce trafic sans crire de rgles. Remarque : Symantec suppose que vous construisez vos rgles de filtrage de sorte que tout le trafic non autoris est rejet. Le pare-feu ne prend pas en charge IPv6.

Prsentation de vos produits Symantec A propos de vos produits Symantec

27

Le moteur de prvention d'intrusion prend en charge la vrification des analyses de port et des attaques de refus de service et offre une protection contre des attaques de dpassement de tampon. Ce moteur prend galement en charge le blocage automatique du trafic malveillant provenant des ordinateurs infects. Le moteur de dtection d'intrusion prend en charge l'inspection pousse des paquets, les expressions standard et vous permet de crer des signatures personnalises.

A propos de la protection proactive contre les menaces


La protection proactive contre les menaces identifie les menaces, telles que les vers, les virus, les chevaux de Troie et les programmes qui consignent les frappes de clavier en fonction du comportement des processus sur l'ordinateur. La protection proactive contre les menaces TruScan identifie ces menaces par leurs actions et leurs caractristiques, et non pas grce aux signatures traditionnelles de scurit. La protection proactive contre les menaces analyse le comportement de la menace en fonction de centaines de modules de dtection pour dterminer si les processus actifs sont sans risques ou malveillants. Cette technologie peut immdiatement dtecter et attnuer les menaces inconnues en fonction de leur comportement sans les signatures ou correctifs traditionnels. Sur les systmes d'exploitation 32 bits pris en charge, la protection proactive contre les menaces vous permet galement de contrler l'accs en lecture, en criture et en excution aux priphriques matriels, aux fichiers et aux cls de registre. Au besoin, vous pouvez restreindre le contrle des systmes d'exploitation pris en charge spcifiques. Vous pouvez galement bloquer les priphriques par ID de classe (par exemple, USB, Bluetooth, infrarouge, FireWire, srie, parallle, SCSI et PCMCIA).

A propos de la protection antivirus et antispyware


La protection antivirus et antispyware empche les ordinateurs d'tre infects en analysant le secteur d'amorage, la mmoire et les fichiers pour y rechercher des virus, des logiciels espions et des risques de scurit. La protection antivirus et antispyware utilise le virus et les signatures de risque de scurit qui sont trouvs dans des fichiers de dfinitions de virus. Cette protection protge galement vos ordinateurs en bloquant les risques de scurit avant qu'ils ne soient installs si, toutefois, ce faisant, les ordinateurs ne sont pas laisss dans un tat instable. La protection antivirus et antispyware inclut Auto-Protect, qui dtecte les virus et les risques de scurit quand ils essayent d'accder la mmoire ou s'installent. Auto-Protect analyse galement les risques de scurit tels que les logiciels publicitaires et les logiciels espions. Quand il dtecte des risques de scurit, il met en quarantaine les fichiers infects ou supprime et corrige les effets secondaires des risques de scurit. Vous pouvez galement dsactiver l'analyse des risques de scurit dans Auto-Protect. Auto-Protect peut rparer les risques

28

Prsentation de vos produits Symantec A propos de vos produits Symantec

compliqus, tels que les risques engains en mode utilisateur (rootkits). Auto-Protect peut galement rparer les risques de scurit persistants qu'il est difficile de supprimer ou qui se rinstallent eux-mmes. La protection antivirus et antispyware inclut galement l'analyse Auto-Protect des programmes de messagerie lectronique Internet via le contrle de tout le trafic POP3 et SMTP. Vous pouvez configurer la protection antivirus et antispyware afin d'analyser les messages entrants pour y rechercher des menaces et des risques de scurit, ainsi que les messages sortants pour y rechercher des technologies heuristiques connues. L'analyse des messages sortants permet d'viter la propagation des risques tels que les vers qui peuvent utiliser les clients de messagerie pour se dupliquer travers un rseau. Remarque : L'installation d'Auto-Protect pour les programmes de messagerie lectronique Web est bloque sur les systmes d'exploitation serveur. Par exemple, vous ne pouvez pas installer cette fonction sur Windows Server 2003.

A propos de Symantec Network Access Control


Symantec Network Access Control protge les rseaux des terminaux client non-autoriss, mal configurs et infects. Par exemple, Symantec Network Access Control peut refuser l'accs rseau aux ordinateurs client qui n'excutent pas les versions spcifiques du logiciel et des signatures. Si les ordinateurs client ne sont pas en conformit, Symantec Network Access Control peut mettre en quarantaine et corriger les ordinateurs. Si les dfinitions d'antivirus sur des ordinateurs clients ont plus d'une semaine, Symantec Network Access Control peut mettre en quarantaine les ordinateurs en question. Symantec Network Access Control peut mettre jour les ordinateurs en appliquant les dfinitions d'antivirus les plus rcentes (rsolutions), puis autoriser les ordinateurs accder au rseau. Symantec Network Access Control vous permet de contrler cette protection avec les politiques d'intgrit de l'hte. Vous crez les politiques d'intgrit de l'hte avec la console Symantec Endpoint Protection Manager, puis vous appliquez les politiques aux groupes d'ordinateurs client. Si vous installez seulement le logiciel client Symantec Network Access Control, vous pouvez requrir que les ordinateurs client excutent les logiciels antivirus, antispyware de pare-feu. Vous pouvez galement requrir qu'ils excutent les derniers service packs et correctifs de systme d'exploitation et crer des prrequis d'applications personnaliss. Si les ordinateurs client ne sont pas conformes, vous pouvez excuter des commandes sur ces ordinateurs pour essayer de les mettre jour. Si vous intgrez Symantec Network Access Control Symantec Endpoint Protection, vous pouvez appliquer une politique de pare-feu aux clients qui ne se conforment pas aux politiques d'intgrit de l'hte. Cette politique peut restreindre

Prsentation de vos produits Symantec A propos de vos produits Symantec

29

les ports que les clients peuvent utiliser pour accder au rseau et peut limiter les adresses IP auxquelles les clients peuvent accder. Par exemple, vous pouvez restreindre les communications informatiques non conformes uniquement aux ordinateurs qui contiennent les logiciels et les mises jour requis. Cette intgration est appele application automatique. Si vous intgrez Symantec Network Access Control un priphrique matriel facultatif, appel Symantec Enforcer, vous pouvez dfinir en plus de dtails les restrictions appliquer aux ordinateurs non conformes de votre rseau. Vous pouvez restreindre les ordinateurs non conformes des segments de rseau spcifiques en vue de la correction et pouvez interdire compltement l'accs aux ordinateurs non conformes. Par exemple, avec Symantec Gateway Enforcer, vous pouvez contrler l'accs votre rseau par des ordinateurs externes via des VPN. Avec Symantec DHCP et les modules d'application LAN Enforcer, vous pouvez contrler l'accs votre rseau par des ordinateurs internes en attribuant les adresses IP non acheminables aux ordinateurs non conformes. Vous pouvez galement attribuer les ordinateurs non conformes des segments de rseau local mis en quarantaine.

A propos de Symantec Endpoint Protection Manager


Symantec Endpoint Protection Manager se compose de deux applications Web. Une application Web requiert Microsoft Internet Information Services, qui doit tre prsent avant que vous n'installiez Symantec Endpoint Protection Manager. L'autre application Web s'excute sur Apache Tomcat, qui est install automatiquement. Symantec Endpoint Protection Manager inclut une base de donnes intgre et la console Symantec Endpoint Protection Manager. Vous pouvez installer la base de donnes intgre automatiquement ou installer une base de donnes dans une instance de Microsoft SQL Server 2000/2005. Si le rseau qui prend en charge votre entreprise est de taille rduite et situ sur un seul site, vous devez installer seulement une instance de Symantec Endpoint Protection Manager. Si votre rseau est gographiquement dispers, vous pouvez avoir besoin d'installer une instance supplmentaire de Symantec Endpoint Protection Manager des fins de rpartition de charge et de distribution de la bande passante. Si votre rseau est de trs grande taille, vous pouvez installer des sites Symantec Endpoint Protection Manager supplmentaires avec des bases de donnes supplmentaires et les configurer pour partager des donnes avec la rplication. Pour obtenir une redondance supplmentaire, vous pouvez installer les sites Symantec Endpoint Protection Manager supplmentaires pour la prise en charge du basculement.

30

Prsentation de vos produits Symantec Composants fonctionnant avec Symantec Endpoint Protection Manager

Composants fonctionnant avec Symantec Endpoint Protection Manager


Tableau 1-1 dcrit les composants qui comportent et fonctionnent avec Symantec Endpoint Protection Manager. Tableau 1-1 Composants qui comportent et fonctionnent avec Symantec Endpoint Protection Manager Description
Vous permet d'effectuer des oprations de gestion telles que : Installer la protection client sur les postes de travail et les serveurs rseau. Mettre jour les dfinitions, les signatures et les mises jour de produit. Grer les serveurs rseau et les postes de travail qui excutent Symantec Endpoint Protection et le logiciel client Symantec Network Access Control. Rassembler et organiser les vnements, y compris les alertes de virus et de risques de scurit, les analyses, les mises jour des dfinitions, les vnements de conformite de terminaux client et les tentatives d'intrusion. Vous pouvez galement crer et imprimer des rapports dtaills et configurer des alertes.

Composant
Console Symantec Endpoint Protection Manager

Symantec Endpoint Protection Manager

Communique avec les clients des terminaux client et est configur avec la console Symantec Endpoint Protection Manager. Fournit l'antivirus, le pare-feu, l'analyse proactive des menaces et la prvention d'intrusion pour les ordinateurs grs en rseau et hors rseau. Assure la protection de conformit rseau pour les ordinateurs en rseau. Fournit la capacit d'extraire des dfinitions, des signatures et des mises jour de produit d'un serveur Symantec LiveUpdate et de distribuer les mises jour sur les ordinateurs client.

Symantec Endpoint Protection

Symantec Network Access Control Serveur LiveUpdate

Prsentation de vos produits Symantec Mode de fonctionnement de Symantec Endpoint Protection Manager

31

Composant
Quarantaine centralise

Description
Dans le cadre du systme de dfense Digital Immune System, ragit automatiquement aux virus inconnus, nouveaux ou dtects de manire heuristique. Autres fonctions : Reoit les lments infects non rpars des clients Symantec Endpoint Protection. Envoie les fichiers suspects Symantec Security Response.

Mode de fonctionnement de Symantec Endpoint Protection Manager


Pour administrer Symantec Endpoint Protection Manager, il est ncessaire que vous compreniez les concepts rseau suivants de Symantec :

Environnements grs et non grs A propos des groupes Interaction entre les clients et les serveurs

Environnements grs et non grs


Les clients peuvent tre installs en tant que clients grs ou en tant que clients non grs. Le rseau gr bnficie pleinement des possibilits de rseau. Chaque client et chaque serveur de votre rseau peuvent tre contrls, configurs et mis jour partir d'un unique ordinateur qui excute Symantec Endpoint Protection Manager. Vous pouvez galement installer et mettre niveau les clients Symantec Endpoint Protection et Symantec Network Access Control partir de la console Symantec Endpoint Protection Manager. Dans un rseau non gr, vous devez administrer chaque ordinateur individuellement ou confier cette responsabilit l'utilisateur principal de l'ordinateur. Il est conseill de rserver cette approche aux rseaux de petite taille, dots de ressources informatiques limites. Les responsabilits sont les suivantes :

Mettre jour les dfinitions de virus et de risques de scurit. Configurer les paramtres de l'antivirus et du pare-feu. Mettre niveau ou migrer priodiquement le logiciel client.

32

Prsentation de vos produits Symantec Possibilits de Symantec Endpoint Protection Manager

Remarque : Si vous voulez permettre aux utilisateurs de modifier des paramtres du client, Symantec recommande d'installer les clients dans un environnement gr.

A propos des groupes


Dans un rseau gr, vous pouvez crer des groupes d'ordinateurs client. Les groupe permettent de regrouper des clients dont les niveaux d'accs et paramtres de configuration sont similaires. Vous pouvez ventuellement spcifier diffrents paramtres d'emplacement dans un groupe. Vous pouvez ainsi appliquer des politiques diffrentes en fonction de l'emplacement partir duquel le client accde au rseau. Vous pouvez crer, afficher et configurer des groupes partir de la console Symantec Endpoint Protection Manager.

Interaction entre les clients et les serveurs


Dans un rseau gr, Symantec Endpoint Protection Manager gre chaque client. Symantec Endpoint Protection Manager fournit ses clients les mises jour des dfinitions de contenu ainsi que les informations de configuration et assure le suivi de ces paramtres. Les clients grs assurent tour de rle le suivi de Symantec Endpoint Protection Manager. Les clients grs utilisent Symantec Endpoint Protection Manager pour dterminer si de nouvelles informations de politique ou si de nouvelles dfinitions sont disponibles.

Possibilits de Symantec Endpoint Protection Manager


Symantec Endpoint Protection Manager vous permet de procder aux oprations suivantes :

Elaborer et appliquer des politiques de scurit. Protger contre les virus, les menaces combines et les risques de scurit tels que les logiciels publicitaires (adware) et les logiciels espions (spyware). Grer depuis une console de gestion intgre le dploiement, la configuration, la mise jour et la gnration de rapports sur la protection antivirus. Empcher les utilisateurs d'accder des priphriques sur leurs ordinateurs, tels que des lecteurs USB. Grer depuis une console de gestion intgre le dploiement, la configuration, la mise jour, la gnration de rapports sur la protection antivirus et pare-feu, et la dtection d'intrusion.

Prsentation de vos produits Symantec Autres sources dinformations

33

Grer les clients et leur emplacement. Ragir rapidement aux propagations de virus en identifiant les clients prims et dployer les dfinitions de virus mises jour. Crer et maintenir jour des rapports dtaillant les vnements importants qui surviennent sur votre rseau. Assurer un haut niveau de protection et une rponse intgre aux menaces de scurit pour tous les utilisateurs de votre rseau. Cette protection s'applique aussi aux travailleurs domicile connects en permanence au rseau et aux utilisateurs mobiles connects par intermittence. Visualiser simultanment les multiples composants de scurit de tous les postes de travail de votre rseau. Effectuer une installation personnalisable et intgre de tous les composants de scurit et dfinir les politiques de faon simultane. Afficher des historiques et consigner des donnes.

Autres sources dinformations


Les sources d'informations incluent ce qui suit :

Guide d'administration de Symantec Endpoint Protection et Symantec Network Access Control Guide client de Symantec Endpoint Protection et de Symantec Network Access Control LiveUpdate Administration Guide (Symantec Endpoint Protection seulement) Symantec Central Quarantine Administration Guide (Symantec Endpoint Protection seulement) Symantec Endpoint Protection 11.0 Best Practices White Paper for Microsoft Small Business Server 2003 (Symantec Endpoint Protection seulement) Aide en ligne, qui contient tous les lments des guides ci-dessus et des informations supplmentaires.

La documentation principale se trouve dans le dossier Documentation des CD d'installation. Les dossiers de certains composants individuels contiennent une documentation spcifique. Les mises jour de la documentation sont fournies par le site Web de support technique de Symantec. Tableau 1-2 rpertorie les informations supplmentaires disponibles sur les sites Web de Symantec.

34

Prsentation de vos produits Symantec Autres sources dinformations

Tableau 1-2

Sites Web de Symantec Adresse Web

Types d'informations

Base de connaissances publique http://www.symantec.com/fr/fr/enterprise/support/ Versions et mises jour Mise jour des manuels et de la documentation Options de contact Notes de version et informations http://service1.symantec.com/SUPPORT/ supplmentaires aprs la ent-security.nsf/docid/2008011012543848 publication Informations sur les virus et autres menaces et mises jour http://www.symantec.com/fr/fr/security_response/

Informations sur les produits et http://enterprisesecurity.symantec.fr les mises jour

Section

Installation

Planification de l'installation Premire installation Installer Symantec Endpoint Protection Manager Installation du logiciel client Symantec Installation de Quarantaine et des serveurs LiveUpdate

36

Chapitre

Planification de l'installation
Ce chapitre traite des sujets suivants :

Configuration systme requise A propos de la planification de l'installation et de l'architecture rseau A propos des pare-feux du bureau et des ports de communications Dsactivation et modification des pare-feu Windows Prparation des ordinateurs au dploiement distant Prparation d'un serveur Windows Server 2003 l'installation via une connexion au bureau distance Prparation de vos ordinateurs client pour l'installation Redmarrages d'ordinateur requis

Configuration systme requise


Avant que vous installiez le logiciel de Symantec dans votre rseau, vous devez comprendre comment certaines variables rseau et systme affectent la capacit de dploiement des serveurs et des clients. Prenez en considration les spcifications et les concepts suivants lorsque vous planifiez votre installation :

A propos des droits d'administrateur sur les ordinateurs cibles A propos de la configuration des droits d'utilisateur avec Active Directory Paramtres d'installation du systme

38

Planification de l'installation Configuration systme requise

Conditions requises pour l'internationalisation A propos de la prise en charge VMware

A propos des droits d'administrateur sur les ordinateurs cibles


Pour installer le logiciel client Symantec, vous devez avoir des droits d'administrateur sur l'ordinateur ou sur le domaine windows et ouvrir une session en tant qu'administrateur. Le programme d'installation du logiciel Symantec lance un deuxime programme d'installation sur l'ordinateur pour crer et dmarrer des services et pour modifier le registre. Si vous ne voulez pas accorder des utilisateurs le droit d'administrateur sur leurs propres ordinateurs, utilisez l'Assistant de dploiement pour installer distance des clients Symantec. Pour excuter l'Assistant de dploiement, vous devez disposer des droits d'administrateur locaux sur les ordinateurs sur lesquels vous installez le programme. Remarque : Ce paquet d'installation de client met niveau MSI vers la version 3.1, ce qui requiert le droit d'administrateur. Si tous vos ordinateurs sont mis niveau vers MSI 3.1, vos utilisateurs ont seulement besoin des privilges tendus pour installer le logiciel client Symantec.

A propos de la configuration des droits d'utilisateur avec Active Directory


Si vous utilisez Active Directory pour grer des ordinateurs, vous pouvez crer une politique de groupe qui fournit les droits d'utilisateur ncessaires pour installer les logiciels de Symantec. Pour plus d'informations sur l'utilisation d'Active Directory, consultez la documentation d'Active Directory.

Paramtres d'installation du systme


Les logiciels Symantec ncessitent des protocoles, des systmes d'exploitation et leurs Service Packs, des logiciels et des matriels spcifiques. Tous les ordinateurs sur lesquels vous installez des logiciels Symantec doivent avoir au moins la configuration systme recommande correspondant au systme d'exploitation utilis. Remarque : L'installation dans ou depuis les noms de rpertoires contenant des caractres deux octets n'est pas prise en charge.

Planification de l'installation Configuration systme requise

39

Symantec Endpoint Protection Manager, Console et base de donnes


Tableau 2-1 numre les spcifications minimales pour les ordinateurs sur lesquels Symantec Endpoint Protection Manager, sa console et la base de donnes seront installs. Tableau 2-1 Composant
Processeur

Symantec Endpoint Protection Manager, Console et base de donnes 64 bits


1 gigahertz sur x64 seulement avec les processeurs suivants : Intel Xeon avec prise en charge Intel EM64T Intel Pentium IV avec prise en charge EM64T AMD 64 bits Opteron

32 bits
1 Go Intel Pentium III

AMD 64 bits Athlon

Remarque : Itanium n'est pas pris en charge.


Systme d'exploitation Les systmes d'exploitation suivants sont pris Les systmes d'exploitation suivants sont pris en charge : en charge : Windows 2000 Server/Advanced Windows XP Professional x64 Edition avec Server/Datacenter Server/Small Business Service Pack 1 ou version ultrieure Server avec Service Pack 3 ou version Windows Server 2003 Standard x64 ultrieure Edition/Enterprise x64 Edition/Datacenter Windows XP Professional avec Service x64 Edition avec Service Pack 1 ou version pack 1 ou version ultrieure ultrieure Windows Compute Cluster Server 2003 Remarque : Windows XP prend en charge

un nombre limit d'utilisateurs simultans si les clients sont en mode "transfert" (push). Utilisez le mode "extraction" (pull) sur les serveurs Windows XP pour jusqu' 100 clients. Pour plus d'informations, consultez Symantec Endpoint Protection Manager 11.x, dpannage des problmes de communication sur le site web du support technique de Symantec, http://www.symantec.com/techsupp/enterprise/.

Windows Storage Server 2003

Remarque : Si vous utilisez des services de


cluster Microsoft pour le serveur Symantec Endpoint Protection Manager, vous devez installer Symantec Endpoint Protection Manager sur le volume local.

Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Storage Edition/Web Edition/Small Business Server

40

Planification de l'installation Configuration systme requise

Composant
Mmoire Disque dur

32 bits

64 bits

1 Go de RAM minimum (2-4 Go recommands) 1 Go de RAM minimum (2-4 Go recommands) 4 Go pour le serveur et 4 Go pour la base de donnes. Super VGA (1.024x768) ou adaptateur vido et cran de rsolution suprieure 4 Go pour le serveur et 4 Go pour la base de donnes. Super VGA (1.024x768) ou adaptateur vido et cran de rsolution suprieure

Affichage

base de donnes

Symantec Endpoint Protection Manager inclut Symantec Endpoint Protection Manager inclut une base de donnes intgre. une base de donnes intgre. Vous pouvez galement utiliser l'une des Vous pouvez galement dcider d'utiliser l'une versions de Microsoft SQL Server suivantes : des versions suivantes de Microsoft SQL Server : Microsoft SQL Server 2000 avec Service Pack 3 ou version ultrieure Microsoft SQL Server 2000 avec service pack 3 ou suprieur Microsoft SQL Server 2005 Microsoft SQL Server 2005 Remarque : Microsoft SQL Server est Remarque : Microsoft SQL Server est facultatif. facultatif.

Autres spcifications Les autres spcifications suivantes doivent tre satisfaites :

Les autres spcifications suivantes doivent tre satisfaites :

Serveur Internet Information Services Serveur Internet Information Services version 5.0 ou ultrieure, avec services version 5.0 ou ultrieure, avec services World Wide Web World Wide Web Internet Explorer 6.0 ou version ultrieure Internet Explorer 6.0 ou version ultrieure

Adresse IP statique (recommand)

Adresse IP statique (recommand)

Symantec Endpoint Protection Manager et Console


Tableau 2-2 numre les spcifications minimales pour les ordinateurs sur lesquels Symantec Endpoint Protection Manager et sa console seront installs.

Planification de l'installation Configuration systme requise

41

Tableau 2-2 Composant


Processeur

Symantec Endpoint Protection Manager et Console 64 bits


1 gigahertz sur x64 seulement avec les processeurs suivants : Intel Xeon avec prise en charge Intel EM64T Intel Pentium IV avec prise en charge EM64T AMD 64 bits Opteron

32 bits
Intel Pentium III 1 GHz

AMD 64 bits Athlon

Remarque : Itanium n'est pas pris en charge.


Systme d'exploitation Les systmes d'exploitation suivants sont pris Les systmes d'exploitation suivants sont pris en charge : en charge : Windows 2000 Server/Advanced Server/Datacenter Server avec Service Pack 3 ou version ultrieure Windows XP Professional avec Service pack 1 ou version ultrieure

Windows XP Professional x64 Edition avec Service Pack 1 ou version ultrieure Windows Server 2003 Standard x64 Edition/Enterprise x64 Edition/Datacenter x64 Edition avec Service Pack 1 ou version ultrieure Remarque : Windows XP prend en charge Windows Compute Cluster Server 2003 un nombre limit d'utilisateurs simultans Windows Storage Server 2003 si les clients sont en mode "transfert"

(push). Utilisez le mode "extraction" (pull) sur les serveurs Windows XP pour jusqu' 100 clients. Pour plus d'informations, consultez Symantec Endpoint Protection Manager 11.x, dpannage des problmes de communication sur le site web du support technique de Symantec, http://www.symantec.com/techsupp/enterprise/.

Remarque : Si vous utilisez les services de


cluster Microsoft pour le serveur SEPM, vous devez installer le serveur SEPM sur le volume local.

Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition/Small Business Server

Mmoire Disque dur Affichage

1 Go de RAM minimum (2 Go recommands) 1 Go de RAM (2 Go recommands) 2 Go (4 Go recommands) Super VGA (1.024x768) ou adaptateur vido et cran de rsolution suprieure 2 Go (4 Go recommands) Super VGA (1.024x768) ou adaptateur vido et cran de rsolution suprieure

42

Planification de l'installation Configuration systme requise

Composant

32 bits

64 bits
Les autres spcifications suivantes doivent tre satisfaites :

Autres spcifications Les autres spcifications suivantes doivent tre satisfaites :

Serveur Internet Information Services Serveur Internet Information Services version 5.0 ou ultrieure, avec services version 5.0 ou ultrieure, avec services World Wide Web World Wide Web Internet Explorer 6.0 ou version ultrieure Internet Explorer 6.0 ou version ultrieure

Adresse IP statique (recommand)

Adresse IP statique (recommand)

Console Symantec Endpoint Protection


Tableau 2-3 numre les spcifications minimales pour les ordinateurs sur lesquels la console Symantec Endpoint Protection sera installe. Tableau 2-3 Composant
Processeur

Console Symantec Endpoint Protection 64 bits


1 gigahertz sur x64 seulement avec les processeurs suivants : Intel Xeon avec prise en charge Intel EM64T Intel Pentium IV avec prise en charge EM64T AMD 64 bits Opteron

32 bits
Intel Pentium III 1 GHz

AMD 64 bits Athlon

Remarque : Itanium n'est pas pris en charge.

Planification de l'installation Configuration systme requise

43

Composant
Systme d'exploitation

32 bits

64 bits

Les systmes d'exploitation suivants sont pris Les systmes d'exploitation suivants sont pris en charge : en charge : Windows 2000 Windows XP Professional x64 Edition avec Professional/Server/Advanced Service Pack 1 ou version ultrieure Server/Datacenter Server/Small Business Windows Server 2003 Standard x64 Server avec Service Pack 3 ou version Edition/Enterprise x64 Edition/Datacenter ultrieure x64 Edition avec Service Pack 1 ou version Windows XP Professional avec Service ultrieure pack 1 ou version ultrieure Windows Compute Cluster Server 2003

Remarque : Windows XP prend en charge


un nombre limit d'utilisateurs simultans si les clients sont en mode "transfert" (push). Utilisez le mode "extraction" (pull) sur les serveurs Windows XP pour jusqu' 100 clients. Pour plus d'informations, consultez Symantec Endpoint Protection Manager 11.x, dpannage des problmes de communication sur le site web du support technique de Symantec. Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition/Small Business Server Windows Vista (x86)

Windows Storage Server 2003 Windows Vista (x64)

Remarque : Si vous utilisez les services de


groupage de Microsoft pour le serveur SEPM, vous devez installer le serveur SEPM sur le volume local.

Mmoire Disque dur Affichage

512 Mo de RAM (1 Go recommand) 15 Mo Super VGA (1.024x768) ou adaptateur vido et cran de rsolution suprieure

512 Mo de RAM (1 Go recommand) 15 Mo Super VGA (1.024x768) ou adaptateur vido et cran de rsolution suprieure Les autres spcifications suivantes doivent tre satisfaites :

Autres spcifications Les autres spcifications suivantes doivent tre satisfaites :

Internet Explorer 6.0 or version ultrieure Internet Explorer 6.0 or version ultrieure

Console de quarantaine
Tableau 2-4 numre les spcifications minimales pour les ordinateurs sur lesquels la console de quarantaine sera installe.

44

Planification de l'installation Configuration systme requise

Tableau 2-4 Composant


Processeur Systme d'exploitation

Console de quarantaine 64 bits


Non test

32 bits
600 mhz Intel Pentium III

Les systmes d'exploitation suivants sont pris Non test en charge :

Windows 2000 Professional/Server/Advanced Server/Datacenter Server/Small Business Server avec Service Pack 3 ou version ultrieure Windows XP Professional avec Service Pack 1 ou version ultrieure Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition Windows Vista (x86) Home Basic Edition/Home Premium Edition/Business Edition/Enterprise Edition/Ultimate Edition Windows Server 2008 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition (versions de base et complte) Non test Non test Non test

Mmoire Disque dur Affichage

64 Mo de RAM 35 Mo Super VGA (1.024x768) ou adaptateur vido et cran de rsolution suprieure

Autres spcifications Les autres spcifications suivantes doivent tre satisfaites : Internet Explorer 5.5 Service Pack 2 ou ultrieur Microsoft Management Console 1.2 ou ultrieur Si MMC n'est pas install, vous aurez besoin de 3 Mo d'espace disque disponible (10 Mo pendant l'installation)

Non test

Planification de l'installation Configuration systme requise

45

Serveur de quarantaine centralise


Tableau 2-5 numre les spcifications minimales pour les ordinateurs sur lesquels la console de quarantaine centralise sera installe. Tableau 2-5 Composant
Processeur Systme d'exploitation

Serveur de quarantaine centralise 64 bits


Non test

32 bits
600 mhz Intel Pentium III

Les systmes d'exploitation suivants sont pris Non test en charge : Windows 2000 Professional/Server/Advanced Server/Datacenter Server/Small Business Server avec Service Pack 3 ou version ultrieure Windows XP Professional avec Service pack 1 ou version ultrieure Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition Windows Vista (x86) Home Basic Edition/Home Premium Edition/Business Edition/Enterprise Edition/Ultimate Edition

Mmoire Disque dur

128 Mo de RAM

Non test

40 Mo, 500 Mo 4 Go recommand pour les Non test lments en quarantaine et 250 Mo de fichier d'change Super VGA (1.024x768) ou adaptateur vido et cran de rsolution suprieure Non test

Affichage

Autres spcifications Les autres spcifications suivantes doivent tre satisfaites :

Non test

Internet Explorer 5.5 Service Pack 2 ou ultrieur

Symantec Endpoint Protection


Tableau 2-6 numre les spcifications minimales pour les ordinateurs sur lesquels Symantec Endpoint Protection sera install.

46

Planification de l'installation Configuration systme requise

Tableau 2-6 Composant


Processeur

Symantec Endpoint Protection 64 bits


1 gigahertz sur x64 seulement avec les processeurs suivants : Intel Xeon avec prise en charge Intel EM64T Intel Pentium IV avec prise en charge EM64T AMD 64 bits Opteron

32 bits
Intel Pentium III de 400 MHz (1 gigahertz pour Windows Vista)

AMD 64 bits Athlon

Remarque : Itanium n'est pas pris en charge.


Systme d'exploitation Les systmes d'exploitation suivants sont pris Les systmes d'exploitation suivants sont pris en charge : en charge : Windows 2000 Professional/Server/Advanced Server/Datacenter Server/Small Business Server avec Service Pack 3 ou version ultrieure Windows XP Home Edition/Professional Edition/Tablet PC Edition/Media Center Edition Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition/Small Business Server Windows Vista (x86) Home Basic Edition/Home Premium Edition/Business Edition/Enterprise Edition/Ultimate Edition

Windows XP Professional x64 Edition Windows Server 2003 x64 Edition Windows Compute Cluster Server 2003 Windows Storage Server 2003 Windows Vista Home Basic x64 Edition/Home Premium x64 Edition/Business x64 Edition/Enterprise x64 Edition/Ultimate x64 Edition Windows Server 2008 Standard x64 Edition/Enterprise x64 Edition/ Datacenter x64 Edition/Web x64 Edition (Core et Full)

Remarque : Si vous utilisez les services de


groupage de Microsoft, vous devez installer l'ordinateur client sur le volume local.

Windows Server 2008 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition (versions de base et complte) 256 Mo de RAM 700 Mo Super VGA (1.024x768) ou adaptateur vido et cran de rsolution suprieure

Mmoire Disque dur Affichage

256 Mo de RAM 600 Mo Super VGA (1.024x768) ou adaptateur vido et cran de rsolution suprieure

Planification de l'installation Configuration systme requise

47

Composant

32 bits

64 bits
Internet Explorer 6.0 ou version ultrieure

Autres spcifications Internet Explorer 6.0 or version ultrieure Les clients Terminal Server connects un ordinateur avec protection antivirus ont les spcifications supplmentaires suivantes : Client Microsoft Terminal Server RDP (Remote Desktop Protocol) Citrix Metaframe (ICA) client 1.8 ou ultrieur si vous utilisez un serveur Citrix Metaframe sur Terminal Server

Remarque : L'assistant de dploiement ne vrifie pas si Internet Explorer 6.0 ou version ultrieure est install sur les ordinateurs en cas de ncessit. Si les ordinateurs cibles ne sont pas dots de la version correcte d'Internet Explorer, l'installation choue sans vous en informer.

Symantec Network Access Control


Tableau 2-7 numre les spcifications minimales pour les ordinateurs sur lesquels Symantec Network Access Control sera install. Tableau 2-7 Composant
Processeur

Symantec Network Access Control 64 bits

32 bits

Intel Pentium II de 550 MHz (1 gigahertz pour 1 gigahertz sur x64 seulement avec les Windows Vista) processeurs suivants : Intel Xeon avec prise en charge Intel EM64T Intel Pentium IV avec prise en charge EM64T AMD 64 bits Opteron

AMD 64 bits Athlon

Remarque : Itanium n'est pas pris en charge.

48

Planification de l'installation Configuration systme requise

Composant
Systme d'exploitation

32 bits

64 bits

Les systmes d'exploitation suivants sont pris Les systmes d'exploitation suivants sont pris en charge : en charge :

Windows 2000 Professional/Server/Advanced Server/Datacenter Server/Small Business Server avec Service Pack 3 ou version ultrieure Windows XP Home Edition/Professional avec Service Pack 1 ou version ultrieure/Tablet PC Edition/Media Center 2002 Edition Windows Server 2003 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition/Small Business Server Windows Vista (x86) Home Basic Edition/Home Premium Edition/Business Edition/Enterprise Edition/Ultimate Edition Windows Server 2008 Standard Edition/Enterprise Edition/Datacenter Edition/Web Edition (versions de base et complte)

Windows XP Professional x64 Edition avec Service Pack 1 ou version ultrieure Windows Server 2003 Standard x64 Edition/Enterprise x64 Edition/Datacenter x64 Edition Windows Compute Cluster Server 2003

Windows Storage Server 2003

Windows Vista Home Basic x64 Edition/Home Premium x64 Edition/Business x64 Edition/Enterprise x64 Edition/Ultimate x64 Edition Windows Server 2008 Standard x64 Edition/Enterprise x64 Edition/ Datacenter x64 Edition/Web x64 Edition (Core et Full)

Remarque : Le CD d'installation de Symantec


Network Access Control contient une application 64 bits.

Mmoire Disque dur Affichage

256 Mo de RAM 300 Mo Super VGA (1.024x768) ou adaptateur vido et cran de rsolution suprieure

256 Mo de RAM 400 Mo Super VGA (1.024x768) ou adaptateur vido et cran de rsolution suprieure Internet Explorer 6.0 ou version ultrieure

Autres spcifications Internet Explorer 6.0 ou version ultrieure Les clients Terminal Server connects un ordinateur avec protection antivirus ont les spcifications supplmentaires suivantes : Client Microsoft Terminal Server RDP (Remote Desktop Protocol) Citrix Metaframe (ICA) client 1.8 ou ultrieur si vous utilisez un serveur Citrix Metaframe sur Terminal Server

Planification de l'installation Configuration systme requise

49

Remarque : L'assistant de dploiement ne vrifie pas si Internet Explorer 6.0 ou version ultrieure est install sur les ordinateurs en cas de ncessit. Si les ordinateurs cibles ne sont pas dots de la version correcte d'Internet Explorer, l'installation choue sans vous en informer.

Client Symantec AntiVirus pour Linux


Vous pouvez installer le client Symantec AntiVirus pour Linux sur des clients non grs dans un environnement qui contient Symantec Endpoint Protection. Le client Symantec AntiVirus pour Linux inclut une protection antivirus en temps rel des fichiers par des analyses Auto Protect et des analyses de systme de fichiers manuelles et planifies. Pour plus d'informations sur les distributions noyau prises en charge, voir le fichier lisezmoi.txt, que vous trouverez dans le rpertoire du logiciel sur le CD du produit. Pour plus d'informations sur la configuration systme requise, l'installation sous Linux et l'interface de ligne de commande, consultez le Guide de mise en oeuvre de Symantec AntiVirus pour Linux. Pour plus d'informations sur l'utilisation du client Symantec AntiVirus sous Linux, consultez le Guide client de Symantec AntiVirus pour Linux. Les guides se trouvent dans les dossiers de documentation du CD contenant le logiciel client Symantec AntiVirus pour Linux.

Conditions requises pour l'internationalisation


Certaines restrictions s'appliquent quand vous installez Symantec Endpoint Protection Manager dans un environnement non anglais ou utilisant plusieurs langues. Utilisez les directives d'internationalisation (I18N) suivantes lorsque vous planifiez votre installation. Tableau 2-8 liste les zones ou les composants dans lesquels des caractres non anglais sont pris en charge avec leurs conditions et toutes les restrictions.

50

Planification de l'installation Configuration systme requise

Tableau 2-8

Directives d'internationalisation

Composants Conditions requises


Noms d'ordinateur, noms de domaine et noms de groupe de travail Les caractres non anglais sont pris en charge avec les restrictions suivantes : L'audit rseau peut ne pas fonctionner pour les noms qui utilisent soit un jeu de caractres deux octets soit un jeu de caractres hi-ASCII. Ces noms incluent des noms d'hte, des noms de domaine et des noms d'utilisateur. Les noms jeux de caractres deux octets ou jeux de caractres hi-ASCII peuvent ne pas s'afficher correctement sur la console Symantec Endpoint Protection Manager ou sur l'interface utilisateur client Symantec Endpoint Protection. Les noms d'hte utilisant des jeux de caractres deux octets ou hi-ASCII ne peuvent pas dpasser la longueur autorise par NetBIOS. Si le nom d'hte dpasse la longueur autorise par NetBIOS, les pages Page de dmarrage, Contrles et Rapports n'apparaissent pas sur la console Symantec Endpoint Protection Manager. Un ordinateur client dont le nom contient un caractre deux octets ou hi-ASCII ne pourra pas agir comme Fournisseur de mise jour groupe.

N'utilisez que Des caractres anglais sont requis dans les situations suivantes : des caractres Pour dployer un paquet client vers un ordinateur distant. anglais dans Pour dfinir le dossier de donnes du serveur la page de l'assistant les situations de configuration du serveur du Symantec Endpoint Protection Manager. suivantes Pour dfinir le chemin d'installation pour Symantec Endpoint Protection Manager. Pour dfinir les informations d'identification quand vous dployez le client vers un ordinateur distant. Pour dfinir un nom de groupe. Vous pouvez crer un paquet client pour les groupes dont les noms contiennent des caractres non anglais. Cependant, vous risquez de ne pas pouvoir dployer le paquet client en utilisant l'Assistant de dploiement quand le nom de groupe contient des caractres non anglais. Pour transfrer des caractres non anglais aux ordinateurs client. Quelques caractres non anglais qui sont gnrs du ct serveur peuvent ne pas apparatre correctement sur l'interface utilisateur client. Par exemple, un nom d'emplacement utilisant un jeu de caractres deux octets n'apparat pas correctement sur les ordinateurs client dont le nom utilise un jeu de caractres qui n'est pas deux octets.

Planification de l'installation Configuration systme requise

51

Composants Conditions requises


Bote de N'utilisez pas de caractres deux octets ou hi-ASCII lorsque vous dialogue compltez la bote de dialogue Informations utilisateur sur l'ordinateur d'ordinateur client, aprs avoir install le paquet export. client Informations utilisateur Activation de la prise en charge I18N dans SQL 2000 Les environnements deux octets, hi-ASCII ou plusieurs langues utilisant une base de donnes SQL 2000 sont requis pour activer le traitement par lots. Vous pouvez activer la prise en charge I18N dans SQL 2000. Dans Symantec Endpoint Protection Manager, ouvrez le fichier suivant : c:\...\Symantec Endpoint Protection Manager\tomcat\etc\conf.properties. Ajoutez ensuite au fichier la ligne suivante : scm.log.batchmode=1. Enregistrez et fermez le fichier. Redmarrez le service Symantec Endpoint Protection Manager.

A propos de la prise en charge VMware


Le logiciel Symantec est pris en charge sur VMware. Tableau 2-9 liste les configurations VMware prises en charge. Tableau 2-9 Prise en charge VMware prise en charge VMware

logiciel Symantec

Symantec Endpoint Le serveur de gestion est pris en charge sur les versions Protection Manager, suivantes de VMware : Console et composants de VMware WS 5.0 (workstation) ou version ultrieure base de donnes VMware GSX 3.2 (entreprise) ou version ultrieure

VMware ESX 2.5 (workstation) ou version ultrieure

Le serveur de gestion est pris en charge sur les versions de VMware suivantes : Windows 2000 Professional/Server/Advanced Server avec Service pack 3 ou ultrieur Editions Windows Server 2003

Editions Windows Server 2003 x64 Windows XP Home Edition/Professional Windows XP Professional x64 Edition

52

Planification de l'installation A propos de la planification de l'installation et de l'architecture rseau

logiciel Symantec

prise en charge VMware

Symantec Endpoint Les composants client sont pris en charge sur les versions Protection et clients suivantes de VMware : Symantec Network Access VMware WS 5.0 (workstation) ou version ultrieure Control VMware GSX 3.2 (entreprise) ou version ultrieure

VMware ESX 2.5 (workstation) ou version ultrieure

Les composants client sont pris en charge sur les systmes d'exploitation invits suivants sous VMware :

Windows 2000 Professional/Server/Advanced Server Editions Windows Server 2003 Editions Windows Server 2003 x64 Windows XP Professional/Home Edition XP Professional x64 Edition

A propos de la planification de l'installation et de l'architecture rseau


La premire dcision prendre quand vous prvoyez une installation de production est de slectionner la base de donnes utiliser. Il vous est possible de choisir d'utiliser une base de donnes intgre que vous pouvez installer depuis le CD d'installation. Vous pouvez galement slectionner d'utiliser une instance de Microsoft SQL Server 2000/2005. Vous devez acheter et installer Microsoft SQL Server avant d'installer Symantec Endpoint Protection Manager. La base de donnes intgre est plus facile installer et configurer, elle peut supporter jusqu' 5 000 clients. Son rendement peut commencer baisser mesure que vous ajoutez des clients au del de 5 000. Figure 2-1 illustre l'exemple le plus simple de cette configuration.

Planification de l'installation A propos de la planification de l'installation et de l'architecture rseau

53

Figure 2-1

Dploiement de petite taille

Symantec Security Response

Internet

Routeur

Pare-feu

Commutateur/ Concentrateur

Client A

Client B

Client C Symantec Endpoint Security Manager avec base de donnes intgre

Pour supporter plus de 5 000 clients, vous pourriez envisager l'achat et l'installation de Microsoft SQL Server. Chaque Symantec Endpoint Protection Manager qui utilise Microsoft SQL Server peut prendre en charge jusqu' 50.000 clients. Si vous devez supporter plus de 50 000 clients, vous pouvez installer un autre Symantec Endpoint Protection Manager. La Figure 2-2 illustre un exemple de cette configuration.

54

Planification de l'installation A propos de la planification de l'installation et de l'architecture rseau

Figure 2-2

Dploiement de grande taille


Symantec Security Response

Internet

Routeur

Pare-feu

Systme dorsal d'entreprise

Symantec Endpoint Security Manager Microsoft SQL Server

Symantec Endpoint Security Manager Microsoft SQL Server

Remarque : Ce diagramme affiche les composants des diffrents sous-rseaux et est des fins d'illustration seulement. Les managers de Symantec Endpoint Protection et les serveurs de base de donnes peuvent se trouver sur les mmes sous-rseaux.

Planification de l'installation A propos de la planification de l'installation et de l'architecture rseau

55

Si vous dcidez d'utiliser une instance de Microsoft SQL Server 2000/2005, vous avez une dcision supplmentaire prendre. Vous pouvez installer Symantec Endpoint Protection Manager sur l'ordinateur qui excute Microsoft SQL Server ou vous pouvez l'installer sur un ordinateur qui n'excute pas Microsoft SQL Server. L'utilisation de Microsoft SQL Server fournit galement la flexibilit supplmentaire pour installer les managers supplmentaires de Symantec Endpoint Protection pour le basculement et la rpartition de charge. Vous pouvez installer deux ou plusieurs Symantec Endpoint Protection Manager. qui communiqueraient avec un Microsoft SQL Server et les configurer pour qu'ils basculent ou quilibrent la charge. La configuration du basculement a pour effet qu'un serveur prend en charge les communications du client si un autre serveur tombe en panne. La configuration de rpartition de charge rpartit la charge des communications client entre les serveurs et met automatiquement en uvre le basculement si l'un des serveurs tombe en panne. Figure 2-3 illustre cette configuration. Figure 2-3 Basculement et rpartition de charge

Clients

1 Symantec Endpoint Protection Manager

2 Symantec Endpoint Protection Manager

Microsoft SQL Server

56

Planification de l'installation A propos de la planification de l'installation et de l'architecture rseau

Remarque : Ce diagramme, qui affiche les composants des diffrents sous-rseaux, est des fins d'illustration seulement. Les managers de Symantec Endpoint Protection et les serveurs de base de donnes peuvent se trouver sur les mmes sous-rseaux. Sur l'illustration, les serveurs sont identifis par les nombres 1 et 2, ce qui indique une configuration basculement. Dans une configuration basculement, tous les clients envoient et reoivent du trafic depuis le serveur 1. Si le serveur 1 vient se dconnecter, tous les clients envoient et reoivent du trafic depuis le serveur 2 jusqu' ce que le serveur 1 soit nouveau connect. La base de donnes est illustre comme une installation distante, mais elle peut galement tre installe sur un ordinateur qui excute Symantec Endpoint Protection Manager. Enfin, vous pouvez installer et configurer le serveur de base de donnes intgr et Microsoft SQL Server pour la rplication. La configuration de rplication provoque la reproduction des donnes entre les bases de donnes de sorte que les deux bases de donnes contiennent les mmes informations, de prfrence sur diffrents serveurs de base de donnes se trouvant sur diffrents ordinateurs. Si un serveur de base de donnes tombe en panne, vous pouvez continuer grer le site entier en utilisant les informations du serveur de base de donnes qui n'est pas tomb en panne. Remarque : Symantec Endpoint Protection Manager configure et contrle cette rplication. Cette rplication n'est pas la rplication native de SQL Server. Figure 2-4 illustre cette configuration. Figure 2-4 Rplication

Symantec Endpoint Protection Manager

Symantec Endpoint Protection Manager

Clients

Clients

Planification de l'installation A propos des pare-feux du bureau et des ports de communications

57

Dans cette illustration, les managers de Symantec Endpoint Protection grent leurs clients respectifs. Si l'un des serveurs se dconnecte, l'autre serveur peut nanmoins grer les clients grs jusque l par le serveur dconnect.

A propos des pare-feux du bureau et des ports de communications


Si vos serveurs et vos clients excutent le logiciel pare-feu, vous devez ouvrir certains ports de sorte que la communication entre les serveurs de gestion et les clients soit possible. Vous pouvez galement autoriser l'application Rtvscan.exe sur tous les ordinateurs envoyer et recevoir le trafic par vos pare-feu. De surcrot, les outils d'installation distance des logiciels serveur et client ncessitent l'ouverture du port TCP 139. Remarque : Les serveurs de gestion et les clients utilisent l'intervalle par dfaut de port temporaire pour TCP (1024 65535) pour les communications rseau. L'intervalle de port temporaire utilis dpasse toutefois trs rarement 5 000. Cette valeur est configurable pour la plupart des systmes d'exploitation. La plupart des pare-feu utilisent une inspection Stateful lors du filtrage du trafic TCP : les rponses TCP entrantes sont autorises automatiquement et routes jusqu'au demandeur d'origine. Vous n'avez donc pas ouvrir les ports TCP temporaires lorsque vous configurez votre logiciel pare-feu. Tableau 2-10 rpertorie les protocoles et les ports rseau ncessaires aux clients et serveurs pour les communications et les installations rseau. Tableau 2-10 Ports pour l'installation et les communications des clients et des serveurs Composant Protocole et port

Fonction
Dploiement d'Assistant de dploiement

Managers et clients de Symantec TCP 139 et 445 sur les Endpoint Protection managers et les clients UDP 137 et 138 sur des managers et des clients Ports temporaires TCP sur des serveurs et des clients

Audit rseau

Managers et clients de Symantec TCP 139 et 445 sur les Endpoint Protection managers Ports temporaires TCP sur des clients

58

Planification de l'installation A propos des pare-feux du bureau et des ports de communications

Fonction
Communication de fournisseur de mise jour de groupe

Composant

Protocole et port

Managers et fournisseurs de mise TCP 2967 sur tous les jour de groupe de Symantec priphriques Endpoint Protection Remarque : Ce port est le Fournisseurs de mise jour de groupe et clients paramtre par dfaut, qui peut tre modifi.

Communications gnrales

Managers et clients de Symantec TCP 80 sur des managers Endpoint Protection Ports temporaires TCP sur des clients

Remarque : Le port 80 peut


galement tre modifi en TCP 443 (HTTPS). Communications gnrales Consoles Symantec Endpoint TCP 8443 sur des managers Protection Manager distantes et Ports temporaires TCP et 9090 managers de Symantec Endpoint sur des Consoles Protection Remarque : Ce numro de port est configurable. Site site entre les serveurs de base de donnes Symantec Endpoint Protection Manager et Console Symantec Endpoint Protection Manager distante TCP 8443 entre les serveurs de base de donnes TCP 9090 sur les managers distants Ports temporaires TCP sur les consoles distantes

Communication de rplication Installation distante de Console Symantec Endpoint Protection Manager

Remarque : Ce numro de port


est configurable. Communication externe de base de donnes Serveurs distants de Microsoft SQL et managers de Symantec Endpoint Protection TCP 1433 sur les serveurs distants de Microsoft SQL Ports temporaires TCP sur des managers

Remarque : Le port 1433 est


le port par dfaut.

Planification de l'installation Dsactivation et modification des pare-feu Windows

59

Fonction
communication de Symantec Network Access Control Enforcer

Composant
Symantec Endpoint Protection Manager et Enforcer

Protocole et port
TCP 1812 sur des managers Ports temporaires TCP sur des botiers Enforcer

Remarque : Les serveurs


RADIUS utilisent galement le port 1812. N'installez donc pas Symantec Endpoint Protection Manager sur le mme serveur. Ce port ne peut pas tre configur sur Symantec Endpoint Protection Manager. Assistant de migration Symantec Endpoint Protection et dploiement Manager et serveurs de gestion hrits de Symantec TCP 139, TCP 445, ports temporaires TCP et UDP 137 sur les gestionnaires TCP 139, TCP 445, ports temporaires TCP, et UDP 137 sur les serveurs de gestion hrits de Symantec LiveUpdate Clients LiveUpdate et serveurs Ports temporaires TCP sur des clients TCP 80 sur des serveurs LiveUpdate

Dsactivation et modification des pare-feu Windows


Windows XP/Server 2003/Vista/Server 2008 contiennent les pare-feu susceptibles d'empcher les communications de certains types de produits Symantec. Si ces pare-feu sont activs, il se peut que vous ne puissiez pas installer le logiciel client distance avec les outils d'installation et de dploiement distance. Si des ordinateurs de votre rseau fonctionnent sous ces systmes d'exploitation, vous devez configurer les pare-feu pour autoriser ces communications. Pour utiliser les pare-feu de Windows XP, vous devez les configurer pour prendre en charge les communications en ouvrant les ports ou en spcifiant qu'il s'agit de programmes de confiance. Vous pouvez activer les communications en autorisant Rtvscan.exe sur tous les ordinateurs. Si vous voulez installer le logiciel client distance, vous devez permettre aux serveurs d'envoyer le trafic des ports TCP 1024-5000 aux ports TCP 139 et 445 sur les clients. Grce l'inspection "stateful", le trafic gnr en retour est rout

60

Planification de l'installation Dsactivation et modification des pare-feu Windows

automatiquement. Vous devez galement permettre aux clients de recevoir le trafic des ports TCP 1024-5000 du serveur sur le port TCP 139. Et vous devez permettre aux clients d'envoyer le trafic du port TCP 139 aux ports TCP 1024-5000 sur les serveurs. Les communications hrites ncessitent l'ouverture du port UDP 2967 sur tous les ordinateurs.

A propos des pare-feux Windows et Symantec


Si vous installez la fonction pare-feu Symantec de la protection contre les menaces rseau, l'installateur dsactive automatiquement les pare-feux Windows activs. Si vous n'installez pas la fonction pare-feu Symantec, l'installateur ne dsactive pas les pare-feux Windows activs. Les pare-feux qui s'excutent sous Windows Vista ou Windows Server 2008 prennent en charge IPv4 et IPv6. Le pare-feu Symantec prend en charge IPv4 uniquement. La rgle de base par dfaut du pare-feu Symantec contient nanmoins une rgle qui bloque tout le trafic IPv6. Avertissement : Ne supprimez pas la rgle qui bloque IPv6 et ne ne modifiez pas sa fonction d'interdiction de filtrage pour une fonction d'autorisation. Cette rgle est cre pour le protocole ethernet. Lorsque vous affichez les services pour une rgle puis ajoutez un service, vous avez accs au protocole Ethernet. Vous pouvez ensuite slectionner le type de protocole IPv6 pour le protocole Ethernet.

Dsactivation du Pare-feu Windows


Windows XP avec Service Pack 1 inclut un pare-feu nomm Pare-feu Windows. Ce pare-feu peut gner l'installation distante et les communications entre les serveurs et les clients. Si l'un quelconque de vos serveurs ou de vos clients utilise Windows XP, vous pouvez dsactiver son pare-feu Windows XP avant d'installer le logiciel client. Remarque : Il n'est pas obligatoire de dsactiver le pare-feu. Si vous avez l'habitude et si vous tes l'aise dans la cration et la configuration des rgles, vous pouvez ouvrir les ports adquats pour permettre le dploiement. Se reporter Tableau 2-10 la page 57.

Planification de l'installation Dsactivation et modification des pare-feu Windows

61

Pour dsactiver le Pare-feu Windows

1 2 3 4

Dans la barre des tches de Windows XP, cliquez sur Dmarrer > Panneau de configuration. Dans le Panneau de configuration, cliquez deux fois sur Connexions rseau. Dans la fentre Connexions rseau, cliquez avec le bouton droit sur l'icne de la connexion active, puis cliquez sur Proprits. Dans la section Pare-feu Windows de l'onglet Avancs, dslectionnez l'option Protger mon ordinateur et le rseau en limitant ou interdisant l'accs cet ordinateur partir d'Internet. Cliquez sur OK.

Dsactivation du pare-feu Windows


Windows XP avec Service Pack 2, Windows Server 2003 et Windows Server 2008 incluent un pare-feu appel Pare-feu Windows. Ce pare-feu peut gner l'installation distante et les communications entre les serveurs de gestion et les clients. Si l'un de vos serveurs ou clients excute Windows XP avec Service Pack 2, Windows Server 2003 ou Windows Server 2008, vous pouvez dsactiver leur pare-feu avant d'installer le logiciel client. Il n'est pas obligatoire de dsactiver le pare-feu. Si vous savez comment crer et configurer des rgles, vous pouvez ouvrir les ports appropris pour autoriser le dploiement. En outre, le Pare-feu Windows excut sous Windows Server 2008 Server Core est dsactiv au moyen de la commande netsh. Remarque : Les tapes fournies dans la procdure suivante peuvent varier selon les paramtres que vous avez slectionns pour le menu de dmarrage et la barre des tches Windows. Consultez la documentation Windows pour des informations sur la configuration du Pare-feu Windows. Se reporter Tableau 2-10 la page 57. Pour dsactiver le Pare-feu Windows sous Windows XP avec Service Pack 2

1 2 3 4

Dans la barre des tches Windows, cliquez sur Dmarrer> Panneau de configuration. Dans le Panneau de configuration, double-cliquez sur Pare-feu Windows. Dans l'onglet Gnral de la fentre Pare-feu Windows, cochez Dsactiv (non recommand). Cliquez sur OK.

62

Planification de l'installation Dsactivation et modification des pare-feu Windows

Pour dsactiver le Pare-feu Windows sous Windows Server 2003

1 2 3

Dans la barre des tches Windows, cliquez sur Dmarrer> Panneau de configuration> Pare-feu Windows. Dans la fentre Pare-feu Windows, dans l'onglet Gnral, cochez Dsactiv. Cliquez sur OK.

Pour dsactiver le Pare-feu Windows sous Windows Server 2008 (Installation complte)

1 2 3

Dans la barre des tches Windows, , cliquez sur Dmarrer > Panneau de configuration. Dans le Panneau de configuration, cliquez sur Pare-feu Windows. Dans la fentre Pare-feu Windows, cliquez sur Modifier les paramtres. Si un message concernant le contrle du compte utilisateur apparat, cliquez sur Continuer.

4 5

Dans la bote de dialogue des paramtres du Pare-feu Windows, dans l'onglet Gnral, cochez Dsactiv. Cliquez sur OK.

Pour dsactiver le pare-feu Windows sur le noyau de serveur Windows Server 2008

A l'invite de commande, excutez la commande suivante :


netsh firewall set opmode mode=disable profile=all

Modification du pare-feu Windows Vista et Windows Server 2008


Windows Vista et Windows Server 2008 contiennent un pare-feu qui est activ par dfaut. Son activation rend impossible l'installation distance du logiciel client partir de Symantec Endpoint Protection Manager et d'autres outils d'installation distance. Vous devez configurer le Pare-feu Windows pour permettre aux composants de communiquer les uns avec les autres. Il est recommand de modifier la configuration du Pare-feu Windows avant d'installer le logiciel client. Vous pouvez galement le dsactiver temporairement sur les clients avant de dployer le logiciel client. Pour configurer le Pare-feu Windows afin de vous permettre d'installer le logiciel client sous Windows Vista et Windows Server 2008, vous devez autoriser le partage des fichiers et des imprimantes.

Planification de l'installation Prparation des ordinateurs au dploiement distant

63

Remarque : L'installation client modifie aussi automatiquement le Pare-feu Windows pendant l'installation sur Windows Vista pour autoriser des processus spcifiques accder au rseau et Internet. Aucune autre modification de votre part n'est ncessaire. Pour activer le partage des fichiers et des imprimantes

1 2

Dans la Barre des tches de Windows, cliquez sur Dmarrer > Paramtres > Panneau de configuration > Pare-feu Windows. Dans la bote de dialogue Pare-feu Windows, cliquez sur Autoriser un programme au travers du pare-feu Windows. Si un message de contrle de compte d'utilisateur apparat, cliquez sur Continuer.

Dans la bote de dialogue Paramtres du Pare-feu Windows, dans l'onglet Exceptions, slectionnez Partage de fichiers et d'imprimantes, puis cliquez sur OK.

Pour activer le partage de fichiers et d'impression sur le noyau de serveur Windows Server 2008

A l'invite de commande, excutez la commande suivante :


netsh firewall set service fileandprint enable

Prparation des ordinateurs au dploiement distant


Au fil des annes, Microsoft a amlior la posture de scurit par dfaut de ses systmes d'exploitation. Par exemple, Windows Vista est plus scuris aprs l'installation par dfaut que Windows XP et Windows XP est plus scuris aprs l'installation par dfaut que Windows 2000.

Prparation des ordinateurs qui excutent Windows XP dans des groupes de travail
Par dfaut, les ordinateurs client de Windows XP qui sont installs dans des groupes de travail n'acceptent pas le dploiement de client distant. Pour permettre le dploiement distant sur ces ordinateurs, vous devez dsactiver le partage de fichiers simple. Remarque : Cette procdure n'est pas obligatoire pour les ordinateurs qui font partie d'un domaine windows.

64

Planification de l'installation Prparation des ordinateurs au dploiement distant

Pour prparer les ordinateurs qui excutent Windows XP

1 2 3

Cliquez avec le bouton droit de la souris sur Poste de travail et cliquez sur Ouvrir. Dans le panneau Poste de travail, cliquez sur le Outils > Options de dossiers. Dans l'onglet Afficher, sous Paramtres avancs, la fin de la liste, supprimez la coche Utiliser le partage de fichiers simple (recommand), puis cliquez sur OK.

Prparation des ordinateurs qui excutent Windows Vista et Windows Server 2008
Windows Vista et Windows Server 2008 (complet) fournissent une interface utilisateur fortement personnalisable. Les procdures dans cette section sont bases sur l'interface utilisateur classique de Windows que vous pouvez dfinir pour Windows Vista et Windows Server 2008. L'option de Contrle des accs utilisateurs (CAU) de Windows empche les comptes administratifs locaux d'avoir accs distance aux parts administratives distantes comme C$ et Admin$. Pour recourir l'outil de l'assistant de dploiement dans ce scnario, utilisez un compte d'administrateur de domaine si l'ordinateur client cible fait partie d'un domaine Active Directory. L'installation client distance requiert galement des privilges tendus d'installation. Pour activer le dploiement de logiciels clients distants sur les ordinateurs qui excutent Windows Vista et Windows Server 2008, vous devez procder comme suit sur chaque ordinateur client :

Dsactivez l'assistant de partage de fichiers. Activer la dtection rseau en utilisant le Centre rseau et partage Activez le compte d'administrateur intgr, puis dfinissez son mot de passe. Vrifiez que votre compte a des privilges tendus.

Pour dsactiver l'assistant de partage de fichiers

1 2 3

Affichez les lecteurs sur votre ordinateur. Dans la fentre Ordinateur, cliquez sur le Outils > Options de dossiers. Dans l'onglet Afficher, sous Paramtres avancs, dsactivez la case Utiliser l'assistant de partage (recommand) et puis cliquez sur OK.

Pour activer la dtection rseau

1 2

Affichez les ordinateurs de votre rseau. Dans la fentre Rseau, cliquez sur Centre de rseau et de partage.

Planification de l'installation Prparation des ordinateurs au dploiement distant

65

3 4

Sous Partage et dtection, cliquez sur Dtection rseau. Cliquez sur Activer la dtection rseau, puis cliquez sur Appliquer.

Pour activer le compte administrateur

1 2 3 4 5 6

Cliquez sur Dmarrer > Paramtres > Panneau de configuration > Outils d'administration > Gestion de l'ordinateur. Dans la fentre Gestion de l'ordinateur, cliquez sur et dveloppez Utilisateurs locaux et groupes. Cliquez sur Utilisateurs. Dans le volet droit, cliquez avec le bouton droit de la souris sur Administrateur et puis cliquez sur Dfinir mot de passe. Dans l'invite d'avertissement, cliquez sur Continuer. Dans la bote de dialogue Dfinir le mot de passe pour l'administrateur, tapez le mme mot de passe dans les zones de texte de mot de passe, puis cliquez sur OK. Dans le volet droit, cliquez avec le bouton droit de la souris sur Administrateur, puis cliquez sur Proprits. Dsactivez la case Le compte est dsactiv, puis cliquez sur OK.

7 8

Pour vrifier l'attribution de privilges tendus

1 2

Cliquez sur Dmarrer > Excuter... Saisissez \\nom de l'ordinateur cible\C$. Si vous pouvez accder et afficher le partage administratif distant C$, vous possdez des privilges tendus. Si vous ne pouvez pas accder et afficher ce partage, vous devez vous authentifier avec un compte qui a les privilges requis.

66

Planification de l'installation Prparation d'un serveur Windows Server 2003 l'installation via une connexion au bureau distance

Pour prparer les ordinateurs qui fonctionnent sous Windows Server 2008 Server Core

A l'invite de commande, excutez les commandes suivantes :


netsh firewall set portopening udp 137 enable netsh firewall set portopening udp 138 enable netsh firewall set portopening udp 139 enable netsh firewall set portopening udp 445 enable netsh firewall set icmpsetting 8 netsh firewall set logging filelocation=c:\fwlog.txt droppedpackets=enable connections=enable netsh firewall set service fileandprint enable netsh firewall set service remoteadmin enable

Prparation d'un serveur Windows Server 2003 l'installation via une connexion au bureau distance
Le Symantec Endpoint Protection Manager doit pouvoir accder au registre systme en vue de l'installation et du fonctionnement normal. Pour pouvoir installer le logiciel client Symantec Endpoint Protection et Symantec Endpoint Protection Manager via une connexion au bureau distance, vous devez configurer le serveur auquel vous vous connectez afin que le contrle distance soit possible. Vous pouvez alors vous connecter au serveur partir d'un ordinateur distant en utilisant une session de console distante ou vous pouvez dupliquer la session de console. Pour plus d'informations sur le bureau distance et les services de terminal, reportez-vous la documentation de Windows. Pour configurer un serveur excutant Windows Server 2003 afin de permettre le contrle distance

Sur le serveur auquel vous voulez vous connecter distance, ouvrez l'diteur d'objet de politique de groupe. Pour ce faire, sur la barre des tches de Windows, cliquez sur Dmarrer > Excuter. Dans la bote Excuter, tapez gpedit.msc, puis cliquez sur OK. Dans le volet gauche, sous Configuration de l'ordinateur, dveloppez le dossier Modles administratifs. Dveloppez le dossier Composants Windows.

2 3 4

Planification de l'installation Prparation d'un serveur Windows Server 2003 l'installation via une connexion au bureau distance

67

5 6

Slectionnez le dossier Services de terminal. Dans le volet droit, cliquez avec le bouton droit sur Dfinir les rgles de contrle distance des sessions utilisateur de service de terminal, puis cliquez sur Proprits. Dans l'onglet Paramtres, cliquez sur Activ. Dans la zone Options, cliquez sur Contrle total avec autorisation de l'utilisateur, puis sur OK. Pour empcher les accs non autoriss au serveur, dsactivez ce paramtre une fois l'installation termine.

7 8

Plusieurs mthodes permettent d'tablir une connexion au serveur partir d'un ordinateur distant.

Pour tablir une connexion distante la session de console sur le serveur

1 2

Sur l'ordinateur depuis lequel vous voulez vous connecter distance au serveur, ouvrez une invite de commandes. A l'invite de commande, tapez la commande suivante :
mstsc -v:nom_serveur /F -console

Dans la bote de dialogue Connexion au bureau distance, connectez-vous avec un compte disposant de privilges administratifs sur le serveur auquel vous vous connectez. Passez l'installation du logiciel client ou du Symantec Endpoint Protection Manager.

Pour dupliquer la session de console sur le serveur

1 2

Sur l'ordinateur depuis lequel vous voulez vous connecter distance au serveur, ouvrez une invite de commandes. A l'invite de commandes, tapez la commande suivante :
mstsc -v:nom_serveur /F

3 4

Sur le serveur distant, ouvrez une invite de commandes. Tapez la commande suivante :
shadow 0

Cliquez sur Oui pour accepter la demande de contrle distance de votre session.

68

Planification de l'installation Prparation de vos ordinateurs client pour l'installation

6 7

Passez l'installation du logiciel client ou du Symantec Endpoint Protection Manager. Pour dconnecter la session duplique, appuyez sur Ctrl+* (astrisque) sur votre clavier.

Prparation de vos ordinateurs client pour l'installation


Avant d'installer le logiciel client sur vos ordinateurs, vous devez d'abord dterminer l'tat de ces ordinateurs. L'installation du client est plus efficace si vous valuez les conditions suivantes avant de commencer l'installation :

Suppression des menaces virales et des risques de scurit. Evaluation du logiciel client tiers Installation du logiciel client par tapes

Suppression des menaces virales et des risques de scurit.


Evitez d'installer ou de mettre niveau des clients sur des ordinateurs infects par des menaces virales ou d'autres risques de scurit. Certaines menaces peuvent directement gner l'installation ou l'opration du logiciel client. Pour les ordinateurs sur lesquels aucun antivirus n'est install, vous pouvez effectuer une analyse depuis le site Web de Symantec Security Response. Si la recherche de virus dtecte un virus, elle vous dirige vers des instructions de nettoyage manuel dans l'encyclopdie des virus, si elles sont disponibles. La fonction de recherche de virus est accessible sur le site Web de Symantec Security Response l'adresse suivante : http://www.symantec.com/fr/fr/security_response/

Evaluation du logiciel client tiers


Pendant que vous vous prparez installer le logiciel client dans votre rseau, vous devez dterminer si le logiciel de scurit tiers est install sur vos ordinateurs. Le logiciel de scurit tiers inclut d'autres logiciels antivirus ou contre les logiciels publicitaires et les logiciels espions. Ces programmes peuvent affecter les performances et l'efficacit du logiciel client. Symantec dconseille d'excuter deux programmes antivirus sur un mme ordinateur. De mme, il peut tre problmatique d'excuter deux programmes contre les logiciels publicitaires ou les logiciels espions, et deux programmes pare-feu. Cette recommandation est

Planification de l'installation Redmarrages d'ordinateur requis

69

importante si les deux programmes assurent la protection en temps rel. Ces deux programmes peuvent crer un conflit de ressources et vider les ressources de l'ordinateur pendant que les programmes essayent d'analyser et rparer les mmes fichiers.

Installation du logiciel client par tapes


Vous pouvez installer ou effectuer la migration des clients sur votre rseau selon des tapes logiques. Il est conseill de toujours commencer par dployer le logiciel client dans un environnement de test, surtout pour les environnements de grande taille. L'environnement de test peut tre un rseau d'ordinateurs indpendant conu d'aprs votre environnement de production. Ou le rseau de test peut tre constitu d'un petit groupe d'ordinateurs de votre rseau de production relle.

Redmarrages d'ordinateur requis


Les installations ou les migrations suivantes requirent des redmarrages d'ordinateur :

Tous les ordinateurs client qui n'excutent pas MSI 3.1. La mise niveau d'installations client MSI vers 3.1 si 3.1 ne s'excute pas sur des ordinateurs client et que cette mise niveau requiert un redmarrage. L'installation client de Symantec Endpoint Protection qui installe la protection contre les menaces rseau et le pare-feu. Les migrations de serveur de Symantec Sygate Enterprise Protection.

70

Planification de l'installation Redmarrages d'ordinateur requis

Chapitre

Premire installation
Ce chapitre traite des sujets suivants :

Prparation l'installation Installation et configuration de Symantec Endpoint Protection Manager Configuration et dploiement du logiciel client Ouverture d'une session et localisation de votre groupe dans la console A propos des politiques Configuration de LiveUpdate pour des mises jour de site Configurer LiveUpdate pour les mises jour client Configuration et test de Symantec Endpoint Protection Configurer et tester Symantec Network Access Control

Prparation l'installation
S'il s'agit d'une premire installation, vous devez installer, configurer et tester le logiciel Symantec Endpoint Protection ou Symantec Network Access Control dans un environnement de test. Remarque : Les petites entreprises qui n'ont pas des ressources d'environnement de test doivent installer et tester le logiciel client sur quelques clients de production. Figure 3-1 illustre un exemple de configuration d'un environnement de test.

72

Premire installation Prparation l'installation

Figure 3-1

Exemple d'environnement de test

Symantec Security Response

Internet

Routeur

Pare-feu

Commutateur/ Concentrateur

Client A

Client B

Client C Symantec Endpoint Security Manager avec base de donnes intgre

Cet environnement de test contient trois clients et un serveur. Le serveur excute trois composants de gestion. Les trois composants de gestion sont Symantec Endpoint Protection Manager, la Console Symantec Endpoint Protection Manager et la base de donnes intgre. Ces procdures d'installation et de configuration sont conues pour cet exemple d'environnement de test. Les ordinateurs sur lesquels vous installez Symantec Endpoint Protection Manager doivent rpondre aux exigences minimum de logiciel suivantes :

Windows 2000 Serveur avec le Service pack 3, Windows XP ou Windows Server 2003 Internet Information Services (IIS) version 5.0 ou ultrieure, avec services World Wide Web Internet Explorer 6.0 ou version ultrieure

Premire installation Installation et configuration de Symantec Endpoint Protection Manager

73

Les ordinateurs sur lesquels vous installez le logiciel client doivent rpondre aux exigences minimum de logiciel suivantes :

Windows 2000 Professional avec le Service pack 3, Windows XP, Windows Server 2003, Windows Vista ou Windows Server 2008. Internet Explorer 6.0 or version ultrieure

Se reporter "Paramtres d'installation du systme" la page 38.

Installation et configuration de Symantec Endpoint Protection Manager


L'installation du logiciel de gestion pour la premire fois comporte deux parties. La premire partie installe Symantec Endpoint Protection Manager. La deuxime partie installe et configure la base de donnes Symantec Endpoint Protection Manager. Dans la premire, vous pouvez accepter tous les paramtres par dfaut. Dans la deuxime partie, vous devez slectionner le type de configuration de Symantec Endpoint Protection Manager, Simple ou Avance, en fonction du nombre de clients pris en charge par le serveur. La configuration simple, conue pour un serveur prenant en charge moins de 100 clients, cre automatiquement une base de donnes incorpore et applique les valeurs par dfaut la plupart des paramtres, avec une intervention minime de votre part. La configuration avance, destine aux administrateurs d'environnements plus importants, vous permet de dfinir des paramtres spcifiques votre environnement. Remarque : Le logiciel de gestion n'inclut ni Symantec Endpoint Protection, ni aucun autre logiciel client gr. Pour installer Symantec Endpoint Protection Manager

1 2

Insrer le CD d'installation et dmarrez l'installation si elle ne dmarre pas automatiquement. Dans la fentre Bienvenue, effectuez l'une des oprations suivantes :

Pour installer Symantec Endpoint Protection, cliquez sur Installer Symantec Endpoint Protection Manager. Pour installer Symantec Network Access Control, cliquez sur InstallerSymantec Network Access Control, puis cliquez sur Installer Symantec Endpoint Protection Manager sur le panneau suivant.

Dans l'cran d'accueil, cliquez sur Suivant.

74

Premire installation Installation et configuration de Symantec Endpoint Protection Manager

4 5 6

Dans l'cran du contrat de licence, acceptez les termes du contrat de licence, puis cliquez sur Suivant. Dans le panneau Dossier de destination, acceptez ou modifiez le rpertoire d'installation. Effectuez l'une des oprations suivantes :

Pour permettre au serveur Web IIS de Symantec Endpoint Protection Manager de s'excuter avec d'autres serveurs Web sur cet ordinateur, slectionnez l'option Utiliser le site Web par dfaut, puis cliquez sur Suivant. Pour configurer le Web IIS de Symantec Endpoint Protection Manageren tant que seul serveur Web sur cet ordinateur, cochez l'option Crer un site Web personnalis, puis cliquez sur Suivant.

7 8

Dans le panneau Prt pour l'installation, cliquez sur Installer. Quand l'installation se termine et que le panneau Assistant d'installation termin apparat, cliquez sur Terminer Attendez que le panneau Assistant de configuration de serveur de gestion apparaisse, ce qui peut prendre 15 secondes supplmentaires. Effectuez les tapes de la section suivante en fonction du type de configuration que vous avez slectionn, Simple ou Avance.

Pour configurer Symantec Endpoint Protection Manager en mode simple

Dans le volet Assistant de configuration de serveur de gestion, slectionnez Simple et cliquez sur Suivant. Une vrification de systme est effectue pour dterminer si le systme rpond aux exigences minimales en matire de mmoire disponible et d'espace disque. Si ce n'est pas le cas, une bote de dialogue d'avertissement s'affiche, indiquant que le serveur risque de ne pas fonctionner comme prvu avec les ressources disponibles. Vous pouvez choisir de continuer ou d'annuler la configuration.

Spcifiez et confirment un mot de passe (de 6 caractres ou plus). Eventuellement, spcifiez une adresse lectronique. Le mot de passe spcifi est utilis pour le compte "admin" de Symantec Endpoint Protection Manager et reprsente le mot de passe de chiffrement ncessaire la rcupration d'urgence. Aprs l'installation, le mot de passe de chiffrement ne change pas, mme si le mot de passe du compte d'admin est modifi. Symantec Endpoint Protection Manager envoie des messages d'avertissement et de notification l'adresse lectronique que vous fournissez.

Premire installation Installation et configuration de Symantec Endpoint Protection Manager

75

3 4

Cliquez sur Suivant. Le panneau Rsum de la configuration affiche les valeurs utilises pour installer Symantec Endpoint Protection Manager. Vous pouvez imprimer une copie des paramtres de maintenance de vos enregistrements ou cliquez sur Suivant pour dmarrer l'installation.

Pour configurer Symantec Endpoint Protection Manager en mode Avanc

1 2

Dans le volet Assistant de configuration de serveur de gestion, slectionnez Avance et cliquez sur Suivant. Slectionnez le nombre de clients que vous souhaitez faire grer par ce serveur, puis cliquez sur Suivant. Une vrification du systme est effectue pour dterminer si le systme rpond aux exigences minimales en termes de mmoire et d'espace disque disponibles. Si ce n'est pas le cas, une bote de dialogue d'avertissement apparat et indique que le serveur risque de ne pas fonctionner correctement compte tenu des ressources disponibles. Vous pouvez choisir de continuer ou d'annuler la configuration.

3 4

Dans le panneau Type de site, slectionnez Installer mon premier site et cliquez sur Suivant. Dans le panneau Informations du serveur, acceptez ou modifiez les valeurs par dfaut pour les zones de texte suivantes, puis cliquez sur Suivant :

Nom du serveur Port du serveur Port de console Web Dossier de donnes de serveur

5 6

Dans le panneau Nom du site, dans la zone Nom du site, entrez votre nom de site, puis cliquez sur Suivant. Dans le panneau Mot de passe de chiffrement, tapez une valeur dans les deux zones de texte, puis cliquez sur Suivant. Conservez ce mot de passe quand vous installez Symantec Endpoint Protection dans votre environnement de production. Vous en avez besoin pour la rcupration d'urgence et pour ajouter le matriel facultatif d'Enforcer.

Dans le panneau Choix du serveur de base de donnes, slectionnez Base de donnes intgre, puis cliquez sur Suivant.

76

Premire installation Configuration et dploiement du logiciel client

Dans panneau d'utilisateur "admin", dans les zones de mot de passe, tapez un mot de passe pour que le compte "admin" se connecte la console. Vous pouvez fournir une adresse lectronique (facultatif). Symantec Endpoint Protection Manager envoie des messages d'avertissement et de notification l'adresse lectronique spcifie. Lorsque l'installation se termine, vous avez la possibilit de dployer le logiciel client l'aide de l'assistant de migration et de dploiement. Si vous ne dployez pas le logiciel client pour l'instant, consultez le chapitre Installation du client pour obtenir des dtails sur la faon d'installer le logiciel client. Ouvrez une session sur la Console avec le nom d'utilisateur et le mot de passe que vous avez entrs ici.

Cliquez sur Suivant.

Configuration et dploiement du logiciel client


L'assistant de migration et de dploiement vous permet de configurer un paquet de logiciel client. L'assistant de dploiement apparat alors ventuellement pour vous permettre de dployer le paquet de logiciel client. Remarque : Cette procdure suppose que vous dployez le logiciel client vers des ordinateurs 32 bits et pas vers des ordinateurs 64 bits. Cette procdure vous fait galement slectionner un rpertoire dans lequel placer les fichiers d'installation. Vous pouvez crer ce rpertoire avant de dmarrer cette procdure. En outre, vous devez vous authentifier avec les informations d'authentification administratives auprs du domaine ou du groupe de travail de Windows qui contient les ordinateurs. Le dploiement d'un logiciel client vers des ordinateurs qui excutent des pare-feux et qui excutent Windows XP, Windows Vista ou Windows Server 2008 ncessite une configuration requise spcifique. Les pare-feux autorisent le dploiement distant sur les ports TCP 139 et 445, et les ordinateurs organiss en groupes de travail fonctionnant sous Windows XP doivent dsactiver le partage de fichier simple. Windows Vista et Windows Server 2008 ncessitent des configurations supplmentaires. Se reporter "Dsactivation et modification des pare-feu Windows" la page 59. Se reporter "Prparation des ordinateurs au dploiement distant" la page 63.

Premire installation Configuration et dploiement du logiciel client

77

Pour configurer le logiciel client

1 2 3 4

Dans le panneau Assistant de configuration de serveur de gestion termin, cochez Oui, puis cliquez sur Terminer. Dans le panneau de bienvenue de l'Assistant de migration et de dploiement, cliquez sur Suivant. Dans le panneau Que voulez-vous faire, cochez Dployer le client (Symantec Endpoint Protection uniquement), puis cliquez sur Suivant. Dans le panneau suivant, slectionnez Spcifiez le nom du nouveau groupe vers lequel vous souhaitez dployer les clients, tapez un nom de groupe dans la zone de texte et cliquez sur Suivant. Dans le panneau suivant, dcochez tout logiciel client que vous ne souhaitez pas installer (Symantec Endpoint Protection uniquement), puis cliquez sur Suivant. Dans le panneau suivant, vrifiez les options que vous voulez pour les paquets, les fichiers et l'interaction utilisateur. Cliquez sur Parcourir, localisez et slectionnez un rpertoire dans lequel placer les fichiers d'installation et cliquez sur Ouvrir. Cliquez sur Suivant. Dans le panneau anonyme suivant, slectionnez Oui et cliquez sur Terminer. Ne slectionnez pas la console de lancement de l'administrateur. La cration et l'exportation du paquet d'installation pour votre groupe peut prendre jusqu' 5 minutes avant que l'Assistant de dploiement n'apparaisse.

6 7 8 9

Pour dployer le logiciel client avec l'Assistant de dploiement

Dans le panneau Assistant de dploiement, sous Ordinateurs disponibles, dveloppez les arborescences et slectionnez les ordinateurs sur lesquels pour installer le logiciel client et cliquer sur Ajouter. Dans la bote de dialogue Authentification du client distant, tapez un nom d'utilisateur et un mot de passe, puis cliquez sur OK. Le nom d'utilisateur et le mot de passe doivent pouvoir authentifier le domaine ou le groupe de travail Windows qui contient les ordinateurs.

3 4 5

Quand vous avez slectionn tous les ordinateurs et qu'ils apparaissent dans le volet droit, cliquez sur Terminer. Quand l'installation est termine, cliquez sur Fermer. Slectionnez si vous souhaitez afficher le journal du dploiement ou non.

78

Premire installation Ouverture d'une session et localisation de votre groupe dans la console

Ouverture d'une session et localisation de votre groupe dans la console


Votre premire activit consiste ouvrir une session sur la console et localiser votre groupe.

Ouverture d'une session sur la console de gestion


La console de gestion vous permet de grer des clients. Pour ouvrir une session sur la console de gestion

1 2 3

Cliquez sur le Dmarrer > Programmes > Symantec Endpoint Protection Manager > Console Symantec Endpoint Protection Manager. Dans l'invite de commande Symantec Endpoint Protection Manager, dans la case Nom d'utilisateur, tapez admin. Dans la case Mot de passe, tapez le mot de passe admin que vous avez cr pendant l'installation, puis cliquez sur Ouverture de session.

A propos de la localisation de votre groupe dans la console


Aprs avoir ouvert une session, vous devez localiser le groupe que vous avez cr pendant l'installation. Vrifiez ensuite que les ordinateurs client vers lesquels vous avez dploy le logiciel apparaissent dans ce groupe. Figure 3-2 illustre un exemple d'un groupe qui a t cr pendant l'installation.

Premire installation A propos des politiques

79

Figure 3-2

Groupe

A propos des politiques


Symantec Endpoint Protection Manager vous permet de configurer et d'appliquer des politiques aux groupes ou des emplacements dans des groupes. Tous les ordinateurs client qui sont dans les groupes et les emplacements reoivent les permissions et les fonctions spcifies dans les politiques. Par exemple, si une politique de paramtres LiveUpdate spcifie d'excuter LiveUpdate quotidiennement 22h00, tous les clients qui reoivent cette politique excutent LiveUpdate quotidiennement. Pour Symantec Endpoint Protection, plusieurs politiques existent. Il existe des politiques pour LiveUpdate, la protection antivirus et contre les logiciels espions., les exceptions centralises et ainsi de suite. Pour Symantec Network Access Control, deux politiques existent : une pour LiveUpdate et une pour l'intgrit de l'hte. Remarque : Pour les produits hrits Symantec AntiVirus et les utilisateurs Symantec Client Security, les paramtres qui s'appliquaient aux groupes, serveurs de gestion et aux clients sont dsormais contenus dans les politiques.

80

Premire installation Configuration de LiveUpdate pour des mises jour de site

Configuration de LiveUpdate pour des mises jour de site


Vous devez configurer la frquence laquelle Symantec Endpoint Protection Manager recherche et tlcharge de nouvelles mises jour de site. Vous configurez galement les mises jour du client avec des politiques de contenu LiveUpdate, c'est pourquoi vous devez vous assurer de tlcharger tous les types que vous voulez que les clients reoivent. Symantec Endpoint Protection Manager pour Symantec Network Access Control prend seulement en charge les mises jour de produit. Pour configurer LiveUpdate pour le site

1 2 3 4

Dans le volet gauche de la console, cliquez sur Admin. Dans le volet de infrieur gauche, cliquez sur Serveurs. Dans le volet suprieur gauche, cliquez avec le bouton droit de la souris sur Site local, puis cliquez sur Modifier les proprits. Dans l'onglet LiveUpdate, sous Planification du tlchargement, slectionnez les options de frquence selon lesquelles vous voulez tlcharger les dernires dfinitions. Pour obtenir des dtails concernant la dfinition d'autres options dans cette bote de dialogue, cliquez sur Aide. Quand vous avez termin de dfinir les proprits de LiveUpdate du site, cliquez sur OK.

5 6

Configurer LiveUpdate pour les mises jour client


Quand vous crez un groupe avec l'Assistant de migration et de dploiement, votre groupe reoit les politiques par dfaut. Si vous crez une politique du mme type qu'une politique par dfaut et l'appliquer au groupe, la politique par dfaut est supprime. Par exemple, vous pouvez crer une politique LiveUpdate appele Politique MonLiveUpdate et l'appliquer un groupe qui utilise une politique LiveUpdate par dfaut. MonLiveUpdate remplace alors la politique LiveUpdate par dfaut. D'autres groupes peuvent galement partager la nouvelle politique que vous crez. Il existe deux types de politiques LiveUpdate. Une politique de paramtres LiveUpdate spcifie la frquence laquelle les clients excutent LiveUpdate pour vrifier les mises jour de contenu. Une politique de contenu LiveUpdate spcifie le contenu que les clients peuvent recevoir quand ils excutent LiveUpdate.

Premire installation Configurer LiveUpdate pour les mises jour client

81

Configuration d'une politique de Paramtres LiveUpdate


Quand vous crez un groupe avec l'Assistant de migration et de dploiement, votre groupe reoit les politiques par dfaut. Vous pouvez crer une nouvelle politique et remplacer la politique par dfaut, ou modifiez la politique par dfaut. Une pratique d'excellence consiste crer une nouvelle politique et modifier la politique par dfaut. Pour configurer une politique de paramtres LiveUpdate

1 2 3 4 5 6 7 8

Dans la console, cliquez sur Politiques. Dans le volet Afficher les politiques, cliquez sur LiveUpdate. Dans le volet infrieur gauche Tches, cliquez sur Ajouter une politique de paramtres LiveUpdate. Dans le volet Prsentation, dans la zone Nom de la politique, tapez le nom de la politique. Sous la politique LiveUpdate, cliquez sur Planification. Dans le volet Planification, acceptez ou modifiez les options de planification. Sous Politique LiveUpdate, cliquez sur Paramtres avancs. Dcidez si vous voulez garder ou modifier les paramtres par dfaut. Pour obtenir des dtails au sujet des paramtres, cliquez sur Aide. Gnralement, il n'est pas souhaitable que les utilisateurs modifient les paramtres de mise jour. Cependant, vous pouvez souhaiter leur permettre de lancer manuellement une session LiveUpdate si vous ne prenez pas en charge des centaines ou des milliers de clients.

Quand vous avez configur votre politique, cliquez sur OK.

10 Dans la bote de dialogue Assigner la politique, cliquez sur Oui. 11 Dans la bote de dialogue Assigner la politique LiveUpdate, slectionnez les
groupes et les emplacements auxquels appliquer la politique, puis cliquer sur Assigner. Si vous ne pouvez pas slectionner un groupe imbriqu, ce groupe hrite des politiques de son groupe parent, comme dfini dans l'onglet Politiques de la page Clients.

12 Dans la bote de dialogue Assigner la politique LiveUpdate, cliquez sur Oui.

Configuration d'une politique de contenu LiveUpdate


Par dfaut, tous les clients dans un groupe reoivent les dernires versions de toutes les mises jour de contenu. Si un groupe est configur pour obtenir des

82

Premire installation Configurer LiveUpdate pour les mises jour client

mises jour via un serveur de gestion, les clients ne reoivent que les mises jour que le serveur tlcharge. Si la politique de contenu LiveUpdate est configure pour autoriser toutes les mises jour, mais que le serveur de gestion n'est pas configur pour tlcharger toutes les mises jour, les clients ne reoivent que ce que le serveur tlcharge. Ce que le serveur tlcharge est configurable via la page d'administration. Remarque : Les politiques de contenu LiveUpdate ne sont pas disponibles pour les clients Symantec Network Access Control. Pour configurer une politique de contenu LiveUpdate

1 2 3 4 5 6 7 8 9

Dans la console, cliquez sur Politiques. Dans le volet Afficher les politiques, cliquez sur LiveUpdate. Dans le volet Politiques LiveUpdate, cliquez sur l'onglet Contenu LiveUpdate. Dans le volet Tches infrieur gauche, cliquez sur Ajouter une politique de contenu LiveUpdate. Dans le volet Prsentation, dans la zone Nom de politique, tapez un nom pour la politique. Si vous configurez Symantec Endpoint Protection, dans le volet Contenu LiveUpdate, cliquez sur Dfinitions de scurit. Dans le volet Dfinitions de scurit, slectionnez les mises jour tlcharger et installer et dslectionnez les mises jour ne pas autoriser. Dans la fentre Politique de contenu LiveUpdate, cliquez sur OK. Dans la bote de dialogue Assigner la politique, cliquez sur Oui. slectionnez un ou plusieurs groupes auxquels appliquer cette politique, puis cliquez sur Assigner. Si vous ne pouvez pas slectionner un groupe imbriqu, ce groupe hrite des politiques de son groupe parent, comme dfini dans l'onglet Politiques de la page Clients.

10 Dans la bote de dialogue Assigner la politique de contenu LiveUpdate,

11 Dans la bote de dialogue Assigner la politique LiveUpdate, cliquez sur Oui.

Premire installation Configuration et test de Symantec Endpoint Protection

83

Configuration et test de Symantec Endpoint Protection


Aprs avoir configur et install une politique LiveUpdate, vous devez crer et appliquer une politique antivirus et antispyware. Remarque : Cette section suppose que vous avez achet et avez install Symantec Endpoint Protection.

Configuration d'une politique antivirus et antispyware par dfaut


Vous devriez configurer une Politique antivirus et antispyware pour votre groupe. Dans cette procdure, vous modifiez la politique par dfaut qui ne s'applique actuellement qu'au groupe. Vous pouvez cependant crer une nouvelle politique et l'appliquer votre groupe. Pour configurer une politique antivirus et antispyware par dfaut

1 2 3

Sur la Console, dans le volet de gauche, cliquez sur Clients. Sous Afficher les clients, slectionnez un groupe, puis cliquez sur l'onglet Politiques. Dans l'onglet Politiques, sous Politiques et paramtres dpendants de l'emplacement, dans la politique antivirus et antispyware [partage], cliquez sur Tches > Modifier la politique. Dans le volet Politique antivirus et antispyware, cliquez sur Auto-Protect pour le systme de fichiers. Dans l'onglet Dtails de l'analyse, vrifiez que la case Activer Auto-Protect pour le systme de fichiers est active et que l'icne de verrou se trouve en mode dverrouill (pour le test). Gnralement, il est recommand de laisser ce paramtre verrouill, mais des fins de test initial, laissez-le dverrouill. Le verrouillage d'un paramtre empche les utilisateurs de modifier un paramtre.

4 5

6 7

Dans l'onglet Actions, sous Dtection, cliquez sur Virus non-macro. Sous Oprations pour : Virus non-macro, examinez l'ordre des opration par dfaut qui se produisent quand un virus non-macro est dtect. La premire action est d'essayer de nettoyer le virus. S'il n'est pas possible nettoyer, le virus est mis en quarantaine.

84

Premire installation Configuration et test de Symantec Endpoint Protection

Dans l'onglet Notifications, examinez le message qui apparat sur les ordinateurs client quand un virus ou un risque de scurit est dtect. Vous pouvez modifier ce message plus tard au besoin.

Dans le volet de gauche, cliquez sur Analyses dfinies par l'administrateur. semaine, puis cliquez sur Modifier.

10 Dans l'onglet Analyses, sous Nom, cliquez sur Analyse planifie chaque 11 Familiarisez-vous avec les options des diffrents onglets et modifiez-les au
besoin. Les analyses compltes sont toujours recommandes au dbut. Lorsque des analyses compltes ont t excutes, les analyses Active scans et Auto-Protect sont efficaces pour scuriser les ordinateurs client.

12 Quand vous avez compris les options d'analyse, cliquez sur OK. 13 Dans le volet gauche, cliquez sur Quarantaine, puis cliquez sur Nettoyer. 14 Dans l'onglet Nettoyer, passez en revue les paramtres de purge des fichiers
rpars et en quarantaine. Familiarisez-vous avec ces paramtres si vous voulez les modifier l'avenir.

15 Cliquez sur OK.

Test des fonctions antivirus


Vous devez exprimenter la dtection antivirus dans un environnement de test contrl pour vous familiariser avec les alertes et pour les entres du journal. Avant de tester la dtection antivirus, tlchargez le dernier fichier de test antivirus Eicar.com sur un support amovible tel qu'une cl mmoire. Vous pouvez tlcharger Eicar.com l'adresse suivante : http:// www.eicar.org

Test d'Auto-Protect
Auto-Protect est le processus en temps rel de Symantec qui examine chaque fichier qui s'excute ou auquel l'utilisateur accde pour vrifier si c'est un virus ou un risque de scurit. Auto-Protect dtermine si les fichiers sont des virus ou des risques de scurit en utilisant les dfinitions que vous tlchargez auprs de Symantec. Vous pouvez voir comment Auto-Protect fonctionne en utilisant un virus inoffensif appel Eicar. Plusieurs versions sont fournies dans l'URL suivante : http:// www.eicar.org

Premire installation Configuration et test de Symantec Endpoint Protection

85

Pour tester Auto-Protect

Sur un ordinateur client, dans l'angle infrieur droit, cliquez avec le bouton droit de la souris sur le bouclier de Symantec Endpoint Protection et cliquez sur Disable Symantec Endpoint Protection. Si vous n'avez pas tlcharg eicar.com, accdez http://www.eicar.org, puis recherchez et tlchargez eicar.com sur l'ordinateur client. Dans l'angle infrieur droit, cliquez avec le bouton droit de la souris sur le bouclier de Symantec Endpoint Protection et cliquez sur Activer Symantec Endpoint Protection. Double-cliquez sur eicar.com.

2 3

Lisez et familiarisez-vous avec les dtails des invites de message.

Gestion de la menace dtecte


Lorsque Symantec Endpoint Protection a dtect et isol eicar.com, il envoie les informations Symantec Endpoint Protection Manager. Vous pouvez alors voir l'activit qui s'est produite dans la page d'accueil de la console Symantec Endpoint Protection Manager. Cette tche est une tche principale que vous effectuez dans un environnement de production. Quand les clients dtectent de vraies menaces, vous affichez d'abord des dtails qui les concernent. Vous dcidez alors si Auto-Protect attnuait la menace, puis vous effacez l'tat.

86

Premire installation Configuration et test de Symantec Endpoint Protection

Pour grer la menace dtecte

Dans la console, cliquez sur Accueil.

Dans la colonne de virus de la ligne bloque, cliquez sur le numro.

3 4

Dans la fentre Reporting - Ordinateurs infects et vulnrables, familiarisez-vous avec les informations signales et puis fermez la fentre. Cliquez sur Contrles.

Premire installation Configuration et test de Symantec Endpoint Protection

87

Dans l'onglet Journaux, dans la liste droulante Type de journal, cliquez sur Etat de l'ordinateur, puis cliquez sur Afficher le journal.

6 7

Pour afficher des informations sur l'infection, cliquez sur Dtails. Pour effacer l'tat infect, cliquez sur Effacer l'tat infect.

Configuration de l'icne d'tat de scurit


La page d'accueil affiche l'tat de scurit de vos ordinateurs client. Les deux tats possibles sont Bon et Attention requise. Vous pouvez contrler quand l'tat est Bon ou Attention requise en dfinissant des prfrences de seuil d'tat de scurit. Pour configurer l'icne d'tat de scurit

1 2 3 4 5 6

Dans la console, cliquez sur Accueil. Sous Etat de la scurit, cliquez sur Infos supplm.. Dans la fentre Dtails d'tat de la scurit, passez en revue les dclencheurs d'tat Bon et attention requise. Fermez la fentre. Sous Etat de la scurit, cliquez sur Prfrences. Dans la bote de dialogue Prfrences, dans l'onglet Etat de la scurit, passez en revue les dclencheurs et les seuils d'tat de scurit que vous pouvez dfinir. Tous les seuils sont 10 pour cent par dfaut.

88

Premire installation Configurer et tester Symantec Network Access Control

Pour des dtails d'tat de scurit, cliquez sur Aide. Pour dclencher l'tat Attention requise, dsactivez Symantec Endpoint Protection sur l'un de vos clients de test.

8 9

Cliquez sur OK. Pour passer en revue l'tat de scurit de vos clients grs tout moment, sur la page d'accueil, cliquez sur l'icne d'tat.

Configurer et tester Symantec Network Access Control


Symantec Network Access Control prend en charge deux politiques seulement : LiveUpdate et Intgrit de l'hte. La politique d'intgrit de l'hte, cependant, fournit la principale fonctionnalit de Symantec Network Access Control. Remarque : Cette rubrique suppose que vous avez achet et install Symantec Network Access Control.

Crer une politique d'intgrit de l'hte


La politique d'intgrit de l'hte est la base de Symantec Network Access Control. La politique que vous crez pour ce test ne sert qu' des fins de dmonstration. La politique dtecte l'existence d'un systme d'exploitation et, une fois ce dernier dtect, gnre un vnement d'ECHEC. Normalement, vous gnreriez des vnements d'ECHEC pour d'autres raisons. Remarque : Si vous avez achet et install Symantec Network Access Control et Symantec Endpoint Protection, vous pouvez crer une politique de pare-feu pour les ordinateurs client en cas d'chec de l'intgrit de l'hte. Si vous excutez Symantec Enforcer avec Symantec Network Access Control, vous pouvez isoler les clients dont l'intgrit de l'hte a chou dans des segments de rseau spcifiques. Vous empchez ainsi l'authentification client et l'accs au domaine. Pour crer une politique d'intgrit de l'hte

1 2 3

Dans la console, cliquez sur Politiques. Sous Afficher les politiques, cliquez sur et slectionnez Intgrit de l'hte. Sous Tches, cliquez sur Ajouter une politique d'intgrit de l'hte.

Premire installation Configurer et tester Symantec Network Access Control

89

4 5 6 7 8 9

Dans le volet Prsentation, dans la zone Nom de politique, tapez un nom pour la politique. Cliquez sur Conditions requises. Dans le volet Conditions requises, slectionnez Toujours effectuer la vrification de l'intgrit de l'hte, puis cliquez sur Ajouter. Dans le menu droulant Type de la bote de dialogue d'ajout de condition, cliquez sur Condition requise personnalise, puis sur OK. Dans la zone Nom de la fentre Condition requise personnalise, tapez un nom pour la condition requise personnalise. Sous Script de conditions requises personnalises, cliquez avec le bouton droit de la souris sur Insrer les instructions ci-dessous, puis cliquez sur Ajouter > IF. THEN. sur Utilitaire : Le systme d'exploitation est.

10 Dans le volet droit, dans le menu droulant Slectionnez une condition, cliquez 11 Sous Systme d'exploitation, cocbez un ou plusieurs systmes d'exploitation
que vos ordinateurs clients excutent.

12 Sous Script de conditions requises personnalises, cliquez avec le bouton


droit de la souris sur THEN //Insrer les instructions ici, puis cliquez sur Ajouter > Fonction > Utilitaire : Afficher la bote de message.

13 Dans la zone Lgende du message, tapez un nom devant apparatre dans le


titre de message.

14 Dans la zone Test du message, tapez le texte que le message doit afficher. 15 Pour afficher des informations sur les paramtres des icnes et des boutons
que vous pouvez intgrer avec le message, cliquez sur Aide.

16 Dans le volet gauche, sous Script de conditions requises personnalises,


cliquez sur REUSSI.

17 Dans le volet droit, sous Comme rsultat du retour de condition, slectionnez


Echec, puis cliquez sur OK.

18 Dans la fentre Intgrit de l'hte, cliquez sur OK. 19 A l'invite Assigner la politique, cliquez sur Oui. 20 Dans la bote de dialogue Politique d'intgrit de l'hte, slectionnez le ou les
groupes auxquels appliquer la politique et qui contiennent vos ordinateurs client de test, puis cliquez sur Assigner.

21 A l'invite Assigner la politique d'intgrit de l'hte, cliquez sur Oui.

90

Premire installation Configurer et tester Symantec Network Access Control

Tester une politique d'intgrit de l'hte


Vous pouvez tester une politique d'intgrit de l'hte via la console Symantec Endpoint Protection Manager. Remarque : Vous pouvez galement excuter des vrifications de l'intgrit de l'hte via le client. Pour tester une politique d'intgrit de l'hte

1 2 3

Dans la console, cliquez sur Clients. Dans le volet droit, cliquez sur l'onglet Clients. Dans le volet gauche, sous Afficher, cliquez sur et mettez en valeur le groupe qui contient les ordinateurs client auxquels vous avez appliqu la politique d'intgrit de l'hte. Sous Tches, cliquez sur Excuter la commande sur le groupe > Mettre jour le contenu. Connectez-vous un ordinateur client qui excute Symantec Network Access Control et prenez note du message qui apparat. La rgle ayant dclench le test d'chec, la zone de message apparat. Aprs le test, dsactivez ou supprimez la politique de test.

4 5

Chapitre

Installer Symantec Endpoint Protection Manager


Ce chapitre traite des sujets suivants :

Avant l'installation Installer Symantec Endpoint Protection Manager avec une base de donnes intgre Installation de Symantec Endpoint Protection Manager avec une base de donnes Microsoft SQL Installation de consoles Symantec Endpoint Protection Manager supplmentaires Installer et configurer Symantec Endpoint Protection Manager pour le basculement ou la rpartition de charge Installer et configurer Symantec Endpoint Protection Manager pour la rplication Rglage de la taille de segment de mmoire de Symantec Endpoint Protection Manager Mise niveau de la base de donnes intgre vers Microsoft SQL Server Dsinstaller Symantec Endpoint Protection Manager

92

Installer Symantec Endpoint Protection Manager Avant l'installation

Avant l'installation
Avant d'installer un Symantec Endpoint Protection Manager et une base de donnes, vous devez dcider quel type de base de donnes vous souhaitez crer. Vous pouvez crer une base de donnes SQL intgre ou crer une base de donnes Microsoft SQL. Les fichiers d'installation de la base de donnes SQL intgre se trouvent sur le CD-ROM d'installation. Si vous crez une base de donnes Microsoft SQL, vous devez d'abord installer une instance de Microsoft SQL server qui rpond des exigences de Symantec. Avertissement : L'installation de Symantec Endpoint Protection Manager n'inclut pas celle de Symantec Endpoint Protection ou d'une autre technologie de protection. Pour protger l'ordinateur qui excute les Symantec Endpoint Protection Managers, vous devez installer le logiciel client de Symantec Endpoint Protection. En outre, pour des raisons de performances, l'installateur de Symantec Endpoint Protection empche l'installation d'Auto-Protect pour le courrier lectronique Internet sur des systmes d'exploitation serveur de Microsoft.

Installer Symantec Endpoint Protection Manager avec une base de donnes intgre
Installer avec la base de donnes intgre est le moyen le plus facile d'installer Symantec Endpoint Protection Manager. La base de donnes intgre prend en charge jusqu' 1.000 clients. Lorsque vous aurez install Symantec Endpoint Protection Manager et commencerez vous familiariser avec les tches administratives, vous devrez scuriser vos fichiers de chiffrement dans l'ventualit d'une rcupration d'urgence. Vous devez galement documenter le mot de passe de chiffrement que vous avez saisi pendant Symantec Endpoint Protection Manager l'installation. Se reporter "Comment se prparer une rcupration d'urgence" la page 233.

A propos des paramtres d'installation de la base de donnes intgre


Pendant l'installation, vous dcidez des valeurs que vous donnez aux paramtres. Vous devez dterminer ces valeurs avant de commencer l'installation. Tableau 4-1 rpertorie et dcrit ces paramtres et les valeurs possibles.

Installer Symantec Endpoint Protection Manager Installer Symantec Endpoint Protection Manager avec une base de donnes intgre

93

Tableau 4-1

Paramtres par dfaut et descriptions de la base de donnes intgre Description

Paramtre
Slectionner les options de configuration de site Web IIS

Par dfaut

Utiliser le site Web par dfaut Utiliser le site Web par dfaut Installe l'application de Web de Symantec Endpoint Protection IIS dans le site Web IIS par dfaut et fonctionne avec n'importe quelle autre application Web installe sur le site Web. Crer un site Web personnalis Dsactive le site Web IIS par dfaut et cre un serveur Web Symantec pour Symantec Endpoint Protection Manager. nom de l'hte local Nom de l'ordinateur qui excute Symantec Endpoint Protection Manager. Numro de port TCP sur lequel le serveur Symantec Endpoint Protection Manager coute. Port HTTP utilis pour les connexions la console distante. Rpertoire dans lequel Symantec Endpoint Protection Manager place les fichiers de donnes, dont les fichiers de sauvegarde, les journaux rpliqus et d'autres fichiers. L'installateur cre ce rpertoire s'il n'existe pas. Nom de site du conteneur de plus haut niveau sous lequel toutes les fonctions sont configures et s'excutent avec Symantec Endpoint Protection Manager. Mot de passe qui chiffre la communication entre Symantec Endpoint Protection Manager, les clients et les botiers Enforcer facultatifs. Le mot de passe peut comporter 1-32 caractres alphanumriques et il est obligatoire. Quand le serveur est configur en mode simple, le mot de passe de chiffrement est identique au mot de passe configur pour le compte administrateur. Documentez ce mot de passe et conservez-le en lieu sr. Vous ne pouvez pas modifier ou rcuprer le mot de passe aprs que vous criez la base de donnes. Vous devez galement entrer ce mot de passe pour la rcupration d'urgence si vous n'avez pas de base de donnes sauvegarde restaurer. Se reporter "Comment se prparer une rcupration d'urgence" la page 233.

Nom du serveur

Port du serveur

8443

Port de la console Web 9090 Dossier des donnes du \\Program Files\Symantec serveur Endpoint Protection Manager\data

Nom du site

Site nom d'hte local

Mot de passe de chiffrement

Aucun

94

Installer Symantec Endpoint Protection Manager Installer Symantec Endpoint Protection Manager avec une base de donnes intgre

Paramtre
Nom de l'utilisateur

Par dfaut
admin

Description
Nom de l'utilisateur par dfaut utilis pour la premire connexion la Console Symantec Endpoint Protection Manager. (non modifiable)

Mot de passe

Aucun

Mot de passe spcifi pendant la configuration du serveur pour le compte administrateur.

Installer Symantec Endpoint Protection Manager avec la base de donnes intgre


L'installation est divise en trois parties. La premire partie installe le serveur de gestion et la console. La deuxime partie installe et configure la base de donnes. La troisime partie, facultative, implique de dployer le logiciel client sur les ordinateurs client. Dans la premire partie, vous pouvez accepter tous les paramtres par dfaut. Dans la deuxime partie, vous ajoutez au moins une valeur personnalise, qui est un mot de passe. Dans la troisime partie, vous slectionnez les clients sur lesquels dployer le logiciel client. Pour installer Symantec Endpoint Protection Manager avec la base de donnes intgre

1 2

Insrez le CD-ROM d'installation et dmarrez l'installation. Dans la fentre Bienvenue, effectuez l'une des oprations suivantes :

Pour installer Symantec Endpoint Protection, cliquez sur Installer Symantec Endpoint Protection Manager. Pour procder l'installation de Symantec Network Access Control, cliquez sur Installer Symantec Network Access Control, puis sur Installer Symantec Endpoint Protection Manager.

3 4 5

Cliquez pour parcourir les panneaux, jusqu' ce que le panneau Dossier de destination apparaisse. Dans le panneau Dossier de destination, acceptez ou modifiez le rpertoire d'installation par dfaut. Effectuez l'une des oprations suivantes :

Pour permettre au serveur Web IIS de Symantec Endpoint Protection Manager de s'excuter avec d'autres sites Web sur cet ordinateur, activez l'option Utiliser le site Web par dfaut, puis cliquez sur Suivant.

Installer Symantec Endpoint Protection Manager Installer Symantec Endpoint Protection Manager avec une base de donnes intgre

95

Pour configurer le serveur Web IIS de Symantec Endpoint Protection Manager en tant qu'unique serveur Web sur cet ordinateur, activez l'option Crer un site Web personnalis, puis cliquez sur Suivant.

6 7

Cliquez pour parcourir les panneaux, jusqu' ce que l'installation commence. Lorsque l'installation se termine et que le panneau Fin de l'assistant d'installation apparat, cliquez sur Terminer Le panneau Assistant de configuration du serveur peut prendre jusqu' 15 secondes pour apparatre. Si vous tes invit redmarrer l'ordinateur, redmarrez l'ordinateur et ouvrez une session, le panneau Assistant de configuration du serveur s'affichant automatiquement pour permettre de continuer.

8 9

Dans le volet Assistant de configuration du serveur de gestion, slectionnez Avanc, puis cliquez sur Suivant. Slectionnez le nombre de clients que vous voulez que ce serveur gre, puis cliquez sur Suivant.

10 Slectionnez Installer mon premier site, puis cliquez sur Suivant. 11 Dans le panneau des informations du serveur, acceptez ou changez les valeurs
par dfaut des zones suivantes, puis cliquez sur Suivant :

Nom du serveur Port du serveur Port de la console Web Dossier des donnes du serveur

12 Dans le panneau Nom du site, dans la zone Nom du site, acceptez ou modifiez
le nom par dfaut et cliquez sur Suivant.

13 Dans le volet Mot de passe de chiffrement, tapez un mot de passe dans les
zones Crer un mot de passe de chiffrement, puis cliquez sur Suivant. Consignez ce mot de passe et conservez-le en lieu sr. Vous ne pouvez pas modifier ou rcuprer le mot de passe aprs la cration de la base de donnes. Vous devez galement entrer ce mot de passe pour la rcupration d'urgence si vous n'avez pas une base de donnes sauvegarde restaurer.

14 Dans le panneau Choix du serveur de base de donnes, cochez la case Base


de donnes intgre et cliquez sur Suivant.

96

Installer Symantec Endpoint Protection Manager Installation de Symantec Endpoint Protection Manager avec une base de donnes Microsoft SQL

15 Dans le volet d'utilisateur admin, indiquez et confirmez un mot de passe pour


le compte administrateur. Si vous le dsirez, vous pouvez fournir l'adresse lectronique de l'administrateur. Cliquez sur Suivant. Utilisez le nom d'utilisateur et le mot de passe que vous dfinissez pour ouvrir une session de la console pour la premire fois.

16 Dans la bote de dialogue Configuration termine, effectuez l'une des


oprations suivantes :

Pour dployer le logiciel client avec l'assistant de migration et de dploiement, cliquez sur Oui. Pour vous connecter la console Symantec Endpoint Protection Manager, puis dployer le logiciel client, cliquez sur Non.

Consultez le chapitre consacr l'installation de client pour des dtails sur le mode de dploiement du logiciel client. Lorsque vous aurez install Symantec Endpoint Protection Manager et commencerez vous familiariser avec les tches administratives, vous devrez scuriser vos fichiers de chiffrement dans l'ventualit d'une rcupration d'urgence. Vous devriez galement consigner le mot de passe de chiffrement que vous avez saisi pendant l'installation de Symantec Endpoint Protection Manager. Se reporter "Comment se prparer une rcupration d'urgence" la page 233.

Installation de Symantec Endpoint Protection Manager avec une base de donnes Microsoft SQL
Vous pouvez installer Symantec Endpoint Protection Manager sur l'ordinateur qui excute Microsoft SQL Server 2000/2005, puis crer une base de donnes sur le serveur SQL local. Vous pouvez galement installer Symantec Endpoint Protection Manager sur un ordinateur qui n'excute pas Microsoft SQL Server 2000/2005, puis crez une base de donnes sur le serveur SQL distant. Dans les deux cas, vous devez correctement installer et configurer les composants de Microsoft SQL Server sur tous les ordinateurs. Remarque : Microsoft SQL Server 2000 est pris en charge sur les systmes d'exploitation Windows en langue anglaise seulement.

Installer Symantec Endpoint Protection Manager Installation de Symantec Endpoint Protection Manager avec une base de donnes Microsoft SQL

97

Prparation de Microsoft SQL Server 2000/2005 pour la cration de la base de donnes


Avant de crer la base de donnes, il est recommand d'installer une nouvelle instance de SQL Server respectant la configuration recommande par Symantec pour l'installation et la configuration. Vous pouvez installer une base de donnes dans une instance existante, mais cette instance doit tre configure correctement, sinon l'installation de votre base de donnes choue. Par exemple, si l'authentification n'est pas configure en mode mixte, l'installation choue ou ne fonctionne pas correctement. Si vous slectionnez une collecte SQL sensible la casse, l'installation choue. Avertissement : Symantec Endpoint Protection Manager s'authentifie auprs de Microsoft SQL Server avec un nom d'utilisateur et un mot de passe de propritaire de base de donnes en texte clair. Si vous installez et communiquez avec un Microsoft SQL Server distant, n'importe quel ordinateur du chemin de communications peut potentiellement capturer ce nom d'utilisateur et ce mot de passe avec un utilitaire de capture de paquet. Pour maximiser la politique de scurit des communications distantes de Microsoft SQL Server, placez les deux serveurs dans un sous-rseau scuris. Un sous-rseau scuris isole les communications rseau entre les serveurs de ce sous-rseau seulement. Un sous-rseau scuris est gnralement plac derrire un priphrique rseau qui effectue la traduction d'adresse rseau (NAT). Un grand nombre de routeurs peu coteux modernes qui excutent des affectations d'adresses DHCP effectuent galement la traduction d'adresse rseau. Un sous-rseau scuris est galement scuris physiquement, de sorte que seulement le personnel autoris l'ait accs physique aux priphriques rseau sur ce sous-rseau.

Paramtres d'installation et de configuration de Microsoft SQL Server 2000


Les paramtres d'installation et de configuration affectent toutes les installations de Microsoft SQL Server 2000, locales et distantes. Pour crer une base de donnes sur un serveur SQL distant, vous devez galement installer les composants client SQL Server sur le serveur qui excute Symantec Endpoint Protection Manager.

Paramtres d'installation de Microsoft SQL Server 2000


Lorsque vous installez l'instance de Microsoft SQL Server 2000, choisissez les fonctions suivantes non configures par dfaut :

98

Installer Symantec Endpoint Protection Manager Installation de Symantec Endpoint Protection Manager avec une base de donnes Microsoft SQL

N'acceptez pas le nom d'instance par dfaut. Utilisez le nom SEPM ou dfinissez un autre nom. Une base de donnes portant le nom Sem5 est cre par dfaut dans cette instance quand vous installez Symantec Endpoint Protection Manager. L'instance par dfaut est prise en charge, sans nom, mais peut tre source de confusion si vous installez plusieurs instances sur un ordinateur. Configurez l'authentification sur le mode mixte (authentification Windows et configuration SQL Server). Dfinissez le mot de passe du compte sa lorsque vous configurez l'authentification sur le mode mixte. Vous spcifiez ce mot de passe quand vous installez Symantec Endpoint Protection Manager.

Remarque : Lorsque vous installez l'instance de Microsoft SQL Server, ne slectionnez pas la collecte SQL sensible la casse. La base de donnes de notification ne prend pas en charge la sensibilit la casse.

Configuration requise pour Microsoft SQL Server 2000


Aprs avoir install l'instance de Microsoft SQL Server 2000, vous devez effectuer les oprations suivantes :

Appliquez le Service Pack 4 de SQL Server et choisissez l'authentification SQL Server. Dans Enterprise Manager, enregistrez l'instance, cliquez dessus avec le bouton droit de la souris et modifiez les proprits d'enregistrement pour utiliser l'authentification SQL Server. Aprs avoir effectue ces modifications, lorsque cela vous est propos, dconnectez-vous du serveur. Cliquez avec le bouton droit de la souris sur l'instance et connectez-vous au serveur. Utilisez l'utilitaire rseau de SQL Server pour vrifier que TCP/IP fait partie des protocoles activs. Si ce protocole n'est pas activ, activez-le. Vrifiez que l'agent de SQL Server s'excute et dmarrez-le s'il ne s'excute pas.

Installation et configuration des composants du client Microsoft SQL Server 2000


Vous installez et configurez les composants client Microsoft SQL Server 2000 sur l'ordinateur qui excute ou excutera Symantec Endpoint Protection Manager.

Installer Symantec Endpoint Protection Manager Installation de Symantec Endpoint Protection Manager avec une base de donnes Microsoft SQL

99

Pour installer les composants du client Microsoft SQL Server 2000

1 2 3

Lancez le CD d'installation de Microsoft SQL Server 2000 et commencez l'installation. Dans la fentre de dfinition de l'installation, cliquez sur Outils client uniquement. Terminez l'installation.

Pour configurer les composants du client Microsoft SQL Server 2000

1 2

Cliquez sur Dmarrer > Programmes > Microsoft SQL Server > Utilitaire rseau client. Dans la bote de dialogue de l'utilitaire rseau client de SQL Server, dans l'onglet Gnral, vrifiez que TCP/IP fait partie des protocoles activs. Si ce protocole n'est pas activ, activez-le. Cliquez avec le bouton droit de la souris sur TCP/IP, puis cliquez sur Proprits. Dans la bote de dialogue TCP/IP, dans la zone Port par dfaut, tapez le numro de port qui correspond au port est utilis par l'instance de Microsoft SQL Server 2000. Le port par dfaut est en gnral 1433. Vous spcifiez ce numro de port quand vous crez la base de donnes.

3 4

Cliquez sur OK, puis quittez l'utilitaire rseau client de SQL Server.

Paramtres d'installation et de configuration de Microsoft SQL Server 2005


Les paramtres d'installation et de configuration affectent toutes les installations de Microsoft SQL Server 2005, locales et distantes. Si vous crez une base de donnes sur un serveur SQL distant, vous devez galement installer les composants client SQL Server sur le serveur qui excute Symantec Endpoint Protection Manager.

Paramtres d'installation de Microsoft SQL Server 2005


Lorsque vous installez l'instance de Microsoft SQL Server 2005, vous devez choisir les fonctions suivantes non configures par dfaut :

N'acceptez pas le nom d'instance par dfaut. Utilisez le nom SEPM ou dfinissez un autre nom. Une base de donnes portant le nom Sem5 est cre par dfaut dans cette instance quand vous installez Symantec Endpoint Protection Manager.

100

Installer Symantec Endpoint Protection Manager Installation de Symantec Endpoint Protection Manager avec une base de donnes Microsoft SQL

L'instance par dfaut est prise en charge, sans nom, mais peut tre source de confusion si vous installez plusieurs instances sur un ordinateur.

Configurez l'authentification sur le mode mixte (authentification Windows et configuration SQL Server). Dfinissez le mot de passe du compte sa lorsque vous configurez l'authentification sur le mode mixte. Vous spcifiez ce mot de passe quand vous installez Symantec Endpoint Protection Manager. Quand vous configurez des comptes de service, choisissez de dmarrer le navigateur de SQL Server la fin de l'installation.

Remarque : Lorsque vous installez l'instance de Microsoft SQL Server, ne slectionnez pas la collecte SQL sensible la casse. La base de donnes ne prend pas en charge la sensibilit la casse.

Configuration requise pour Microsoft SQL Server 2005


Aprs avoir install l'instance de Microsoft SQL Server 2005, appliquez le Service pack 2 de SQL Server 2005 et slectionnez l'authentification avec les informations d'authentification de SQL server. Puis, utilisez SQL Server Configuration Manager pour faire ce qui suit :

Affichez les protocoles de la configuration rseau de SQL Server 2005. Affichez les proprits pour le protocole TCP/IP et activez-le. Affichez les adresses IP pour TCP/IP et activez les adresses IP1 et IP2. Configurez les numros de port TCP/IP pour IP1, IP2 et PALL. La base de donnes Symantec Endpoint Protection Manager ne prend pas en charge les ports dynamiques. En consquence, dfinissez les ports dynamiques de TCP sur vide et spcifiez un numro de port TCP. Le paramtre par dfaut est en gnral 1433. Vous spcifiez ce numro de port quand vous crez la base de donnes. Redmarrez le service SQL Server.

Si vous n'avez pas choisi de dmarrer le navigateur SQL pendant l'installation, votre installation distance choue. Si vous n'avez pas choisi cette option pendant l'installation, utilisez l'utilitaire de configuration de zone SQL Server pour effectuez les oprations suivantes :

Affichez la configuration de la zone pour les informations des services et des connexions. Activez le service du navigateur SQL Server.

Installer Symantec Endpoint Protection Manager Installation de Symantec Endpoint Protection Manager avec une base de donnes Microsoft SQL

101

Si ce service n'est pas activ, les ordinateurs clients ne peuvent pas communiquer avec le serveur.

Vrifiez que les connexions locales et distantes sont actives pour TCP/IP uniquement. Les canaux nomms ne sont pas requis.

Installation et configuration des composants du client Microsoft SQL Server 2005


Vous installez les composants client Microsoft SQL Server 2005 sur l'ordinateur qui excute Symantec Endpoint Protection Manager. Remarque : Vous devez installer les composants client sur un ordinateur qui excute Windows Server 2003. L'installation du composant client requiert MDAC 2.8 Service Pack 1 ou ultrieur, Windows Installer 3.1 et Internet Explorer 6.0 Service Pack ou ultrieur. Pour installer les composants du client Microsoft SQL Server 2005

1 2 3 4 5 6 7

Lancez le CD d'installation de Microsoft SQL Server 2005 et commencez l'installation. Dans la fentre initiale, cliquez sur Composants serveur, outils, documentations en ligne et exemples. Poursuivez l'installation jusqu' ce que le systme vous demande de choisir les composants installer. Dans la bote de dialogue Composants installer, cliquez sur Avanc. Dans le volet de gauche, dveloppez Composants client. Cliquez sur Composants client et slectionnez Cette fonction sera installe sur le disque dur local. Cliquez sur les fonctions des composants client Composants de connectivit et Outils de gestion, puis slectionnez Cette fonction sera installe sur le disque dur local. Terminez l'installation.

Pour configurer les composants du client Microsoft SQL Server 2005

1 2

Cliquez sur Dmarrer > Programmes > Microsoft SQL Server 2005 > Outils de configuration > Gestionnaire de configuration de SQL Server. Sous Configuration de client natif SQL, cliquez sur Protocoles client, cliquez avec le bouton droit de la souris sur TCP/IP, puis cliquez sur Proprits.

102

Installer Symantec Endpoint Protection Manager Installation de Symantec Endpoint Protection Manager avec une base de donnes Microsoft SQL

Dans la zone Port par dfaut, tapez le numro de port qui correspond au port qui est utilis par l'instance de Microsoft SQL Server 2005. Le port par dfaut est en gnral 1433. Vous spcifiez ce numro de port quand vous crez la base de donnes.

Cliquez sur Appliquer > OK.

A propos des paramtres d'installation de base de donnes Microsoft SQL Server


Pendant Symantec Endpoint Protection Manager l'installation, vous dcidez quelles valeurs de base de donnes vous souhaitez dfinir. Vous devez dterminer ces valeurs avant de commencer l'installation. Le Tableau 4-2 rpertorie et dcrit ces paramtres et les valeurs possibles. Tableau 4-2 Paramtre
Options de configuration de site Web de Slection IIS

Paramtres par dfaut et descriptions de Microsoft SQL Server Description

Par dfaut

Utiliser le site Web par dfaut Utiliser le site Web par dfaut Installe l'application Web de Symantec Endpoint Protection IIS dans le site Web IIS par dfaut et fonctionne avec n'importe quelle autre application Web installe dans le site Web. Crer un site Web personnalis Dsactive le site Web IIS par dfaut et cre un serveur Web Symantec pour Symantec Endpoint Protection Manager. nom de l'hte local Nom de l'ordinateur qui excute Symantec Endpoint Protection Manager. Numro de port sur lequel le serveur Symantec Endpoint Protection Manager coute. Port HTTP utilis pour la connexion de consoles distantes Rpertoire dans lequel Symantec Endpoint Protection Manager place les fichiers de donnes, dont les fichiers de sauvegarde, les fichiers de rplication et d'autres fichiers Symantec Endpoint Protection Manager. L'installateur cre ce rpertoire s'il n'existe pas. Nom de site du conteneur de plus haut niveau sous lequel toutes les fonctions sont configures et s'excutent avec Symantec Endpoint Protection Manager.

Nom du serveur

Port du serveur

8443

Port de la console Web 9090 Dossier de donnes de C:\Program Files\Symantec serveur Endpoint Protection Manager\data

Nom du site

Site nom d'hte local

Installer Symantec Endpoint Protection Manager Installation de Symantec Endpoint Protection Manager avec une base de donnes Microsoft SQL

103

Paramtre
Mot de passe de chiffrement

Par dfaut
Aucun

Description
Mot de passe qui chiffre la communication entre Symantec Endpoint Protection Manager, les clients et les botiers Enforcer facultatifs. Le mot de passe peut comporter 1-32 caractres alphanumriques et il est obligatoire. Documentez ce mot de passe et conservez-le en lieu sr. Vous ne pouvez pas modifier ou rcuprer le mot de passe aprs avoir cr la base de donnes. Vous devez galement entrer ce mot de passe pour la rcupration d'urgence si vous n'avez pas de base de donnes sauvegarde restaurer. Se reporter "Comment se prparer une rcupration d'urgence" la page 233.

Serveur de base de donnes

nom de l'hte local

Nom du serveur Microsoft SQL et nom facultatif d'instance. Si le serveur de base de donnes a t install avec l'instance par dfaut, qui n'est pas un nom, tapez nom d'hte ou l'adresse IP de l'hte. Si le serveur de base de donnes a t install avec une instance nomme, tapez nom d'hte\nom_instance ou adresse IP\nom_instance. La saisie du nom d'hte ne fonctionne que lorsque le DNS a t configur correctement. Si vous effectuez l'installation sur un serveur de base de donnes distance, vous devez d'abord installer les composants clients de SQL Server sur l'ordinateur qui excute Symantec Endpoint Protection Manager.

Port du serveur SQL

1433

Ports sur lequel le serveur de SQL est configur pour envoyer et recevoir le trafic. Le port 0, utilis pour spcifier un port alatoire et ngoci, n'est pas pris en charge.

Nom de la base de donnes Utilisateur

sem5

Nom de la base de donnes cre.

sem5

Nom du compte utilisateur qui est cr pour la base de donnes. Ce compte utilisateur a un niveau d'accs standard en lecture et en criture. Le nom peut tre une combinaison de valeurs alphanumriques et des caractres spciaux ~#%_+=|:./. Les caractres spciaux `!@$^&*()-{}[]\\<;>,? ne sont pas autoriss. Les noms suivants sont galement interdits : sysadmin, server admin, setupadmin, securityadmin, processadmin, dbcreator, diskadmin, bulkadmin.

104

Installer Symantec Endpoint Protection Manager Installation de Symantec Endpoint Protection Manager avec une base de donnes Microsoft SQL

Paramtre
Mot de passe

Par dfaut
Aucun

Description
Mot de passe associer au compte utilisateur de la base de donnes. Le nom peut tre une combinaison de valeurs alphanumriques et de caractres spciaux ~#%_+=|:./. Les caractres spciaux `!@$^&*()-{}[]\\<;>,? ne sont pas autoriss. Emplacement du rpertoire utilitaire Client SQL local qui contient bcp.exe. Si vous crez une base de donnes sur SQL Server 2005, le rpertoire numrique par dfaut est 90. Le chemin par dfaut complet est C:\Program Files\Microsoft SQL Server\90\Tools\Binn

Dossier Client SQL

C:\Program Files\Microsoft SQL Server\80\Tools\Binn

Utilisateur Administrateur de base de donnes Mot de passe de l'administrateur de base de donnes

Aucun

Nom du compte administrateur du serveur de base de donnes, qui est typiquement SA.

Aucun

Nom du mot de passe qui est associ au compte utilisateur de l'administrateur de base de donnes.

Dossier des donnes de Automatiquement dtect la base de donnes aprs avoir cliqu sur Par dfaut

Emplacement du rpertoire de donnes du serveur SQL. Si vous effectuez l'installation sur un serveur distant, l'identifiant du volume doit correspondre l'identifiant du serveur distant. Si vous installez sur une instance nomme SQL Server 2000 : C:\Program de SQL Server 2000, le nom d'instance est ajout MSSQL Files\Microsoft SQL avec un signe dollar comme dans \MSSQL$nom Server\MSSQL\Data d'instance\Data. Si vous installez sur une instance nomme SQL Server 2005 : C:\Program sur SQL Server 2005, le nom d'instance est ajout MSSQL Files\Microsoft SQL avec un identificateur numrique point comme dans Server\MSSQL.1\MSSQL\Data \MSSQL.1\MSSQL\Data.

Remarque : Cliquer sur Par dfaut affiche le rpertoire


d'installation correct, si vous avez entr le serveur de base de donnes et le nom de l'instance correctement. Si vous cliquez sur Par dfaut et si le rpertoire d'installation correct n'apparat pas, votre cration de base de donnes choue. Nom de l'utilisateur admin admin Nom de l'utilisateur par dfaut utilis pour la premire connexion la Console Symantec Endpoint Protection Manager. (non modifiable)

Installer Symantec Endpoint Protection Manager Installation de Symantec Endpoint Protection Manager avec une base de donnes Microsoft SQL

105

Paramtre
Mot de passe Admin

Par dfaut
Aucun

Description
Mot de passe spcifi pendant la configuration du serveur et qui devra tre utilis avec le nom d'utilisateur admin.

Installation de Symantec Endpoint Protection Manager avec une base de donnes Microsoft SQL
Aprs avoir install et configur les composants client du serveur SQL, vous pouvez installer Symantec Endpoint Protection Manager. Remarque : Si vous crez une nouvelle base de donnes, SQL Server gre automatiquement votre base de donnes avec le modle simple de rcupration et active Auto Shrink. Pour installer Symantec Endpoint Protection Manager

1 2

Insrez le CD-ROM d'installation et dmarrez l'installation. Dans l'cran de bienvenue, effectuez l'une des oprations suivantes :

Pour procder l'installation pour Symantec Endpoint Protection, cliquez sur Installer Symantec Endpoint Protection Manager. Pour procder l'installation pour Symantec Network Access Control, cliquez sur Installer Symantec Network Access Control, puis sur Installer Symantec Endpoint Protection Manager.

3 4 5

Cliquez sur les panneaux, jusqu' ce que le panneau Dossier de destination apparaisse. Dans le panneau Dossier de destination, acceptez ou modifiez le rpertoire d'installation par dfaut. Effectuez l'une des oprations suivantes :

Pour permettre au serveur Web IIS de Symantec Endpoint Protection Manager de s'excuter avec d'autres sites Web de cet ordinateur, slectionnez Utiliser le site Web par dfaut, puis cliquez sur Suivant. Pour configurer Symantec Endpoint Protection Manager IIS Web en seul serveur Web sur cet ordinateur, cochez la case Crer un site Web personnalis, puis cliquez sur Suivant.

106

Installer Symantec Endpoint Protection Manager Installation de Symantec Endpoint Protection Manager avec une base de donnes Microsoft SQL

6 7

Cliquez sur Installer dans le volet Prt pour l'installation. Lorsque l'installation est termine et que l'assistant de fin d'installation s'affiche, cliquez sur Terminer. Le panneau de l'assistant de configuration du serveur peut prendre jusqu' 15 secondes pour apparatre. Si vous tes invit redmarrer l'ordinateur, redmarrez l'ordinateur. Quand vous ouvrez une session, le panneau d'assistant de configuration du serveur apparat automatiquement.

Pour crer une base de donnes SQL

1 2 3 4

Dans le volet Assistant de configuration du serveur de gestion, slectionnez Avanc, puis cliquez sur Suivant. Slectionnez le nombre de clients que vous voulez que le serveur gre, puis cliquez sur Suivant. Cochez la case Installer mon premier site, puis cliquez sur Suivant. Dans le panneau Informations du serveur, acceptez ou modifiez les valeurs par dfaut pour les zones de texte suivantes, puis cliquez sur Suivant :

Nom du serveur Port du serveur Port de la console Web Dossier des donnes du serveur

5 6

Dans le panneau Information sur le site, dans la zone Nom du site, acceptez ou modifiez le nom par dfaut, puis cliquez sur Suivant. Dans le volet Crer un mot de passe de chiffrement, tapez un mot de passe dans les zones Crer un mot de passe de chiffrement, puis cliquez sur Suivant. Documentez ce mot de passe et conservez-le en lieu sr. Vous ne pouvez pas modifier ou rcuprer le mot de passe aprs que vous criez la base de donnes. Vous devez galement entrer ce mot de passe pour la rcupration d'urgence si vous n'avez pas de base de donnes sauvegarde restaurer.

7 8

Dans le volet de slection du Type de base de donnes, cochez Microsoft SQL Server, puis cliquez sur Suivant. Dans le panneau Dfinir une nouvelle base de donnes, effectuez l'une des oprations suivantes :

Si la base de donnes n'existe pas, slectionnez Crer une base de donnes (recommand). Si la base de donnes existe, slectionnez Utiliser une base de donnes existante.

Installer Symantec Endpoint Protection Manager Installation de Symantec Endpoint Protection Manager avec une base de donnes Microsoft SQL

107

Une base de donnes existante doit dfinir des groupes de fichier PRIMARY, FG_CONTENT, FG_LOGINFO, FG_RPTINFO et FG_INDEX. Le compte utilisateur pour l'accs la base de donnes doit avoir les privilges db_ddladmin, db_datareader et db_datawriter. Si ces exigences ne sont pas satisfaites, votre installation choue. Une pratique d'excellence consiste dfinir une nouvelle base de donnes.

Cliquez sur Suivant. pour les zones de texte suivantes et cliquez sur Suivant :

10 Dans le panneau Informations sur Microsoft SQL Server, tapez vos valeurs
Serveur de base de donnes Si vous avec cr une nouvelle instance, le format est nomserveur_ou_adresseIP\nom_instance. Port du serveur SQL Nom de la base de donnes Utilisateur Mot de passe Confirmer le mot de passe (seulement la cration d'une nouvelle base de donnes) Dossier Client SQL Utilisateur Administrateur de base de donnes (seulement la cration d'une nouvelle base de donnes) Mot de passe de l'administrateur de base de donnes (seulement la cration d'une nouvelle base de donnes) Dossier des donnes de la base de donnes

11 Spcifiez un mot de passe pour le compte administrateur de Symantec


Endpoint Protection Manager et confirmez-le. Vous pouvez galement spcifier l'adresse lectronique de l'administrateur.

12 Cliquez sur Suivant. 13 Dans l'invite de bote de dialogue Avertissement, lisez et comprenez les
informations d'avertissement sur des communications en texte clair et cliquez sur OK.

14 Dans le panneau Configuration termine, effectuez l'une des oprations


suivantes :

Pour dployer le logiciel client avec l'assistant de migration et de dploiement, cliquez sur Oui.

108

Installer Symantec Endpoint Protection Manager Installation de consoles Symantec Endpoint Protection Manager supplmentaires

Pour vous connecter d'abord la console Symantec Endpoint Protection Manager et puis dployer le logiciel client, cliquez sur Non.

Consultez le chapitre Installation du client pour obtenir des dtails sur la faon de dployer le logiciel client. Lorsque vous aurez install Symantec Endpoint Protection Manager et commencerez vous familiariser avec les tches administratives, vous devrez scuriser vos fichiers de chiffrement dans l'ventualit d'une rcupration d'urgence. Vous devriez galement documenter le mot de passe de chiffrement que vous avez saisi pendant Symantec Endpoint Protection Manager l'installation. Se reporter "Comment se prparer une rcupration d'urgence" la page 233.

Installation de consoles Symantec Endpoint Protection Manager supplmentaires


Vous pouvez installer des consoles de gestion supplmentaires sur des ordinateurs distants et vous connecter Symantec Endpoint Protection Manager et le grer. Les consoles requirent le logiciel d'excution de Java, de sorte que si votre ordinateur n'excute pas la version correcte de l'excution de Java, elle s'installe automatiquement. Il se peut que vous deviez rgler vos paramtres Internet Explorer pour qu'ActiveX et Java autorisent l'installation. Remarque : Si vous exportez les paquets d'installation client d'une console de gestion distance, les paquets sont crs sur l'ordinateur partir duquel vous excutez la console de gestion distance. En outre, quand vous installez des serveurs pour le basculement ou la rpartition de charge, vous installez les consoles de gestion sur ces ordinateurs. Pour installer des consoles de gestion supplmentaires

1 2

Sur l'ordinateur sur lequel installer la console de gestion, dmarrez un navigateur Web. Dans la zone URL, tapez l'un des identificateurs suivants pour l'ordinateur qui excute Symantec Endpoint Protection Manager :

http://nom_ordinateur:9090 http://adresse_IP_ordinateur:9090

Installer Symantec Endpoint Protection Manager Installer et configurer Symantec Endpoint Protection Manager pour le basculement ou la rpartition de charge

109

9090 reprsente le port de console par dfaut utilis pendant l'installation. Vous pouvez modifier le port de console Web au moyen de l'option lie la reconfiguration de l'assistant de configuration de serveur de gestion.

3 4 5 6

Dans la fentre de console de gestion des politiques Symantec, cliquez sur Ici pour tlcharger et installer JRE 1.5. Si un message contenant un avertissement de scurit s'affiche, cliquez sur Installer. Suivez les tapes de l'assistant d'installation, puis cliquez sur Terminer. Dans la fentre de la console Symantec Endpoint Protection Manager, cliquez sur Cliquez ici pour tlcharger et vous connecter Symantec Endpoint Protection Manager. Dans la bote de dialogue Avertissement de scurit, cliquez sur Excuter. Dans la bote de dialogue Crer un raccourci, cliquez sur Oui. Le bouton Configurer ouvre la bote de dialogue de configuration de Java.

7 8

Dans l'invite Connexion, tapez votre nom d'utilisateur et votre mot de passe pour le Symantec Endpoint Protection Manager, puis cliquez sur Connexion.

10 Terminez la procdure d'authentification.

Installer et configurer Symantec Endpoint Protection Manager pour le basculement ou la rpartition de charge
Les configurations de basculement et de rpartition de charge sont prises en charge uniquement dans les installations Microsoft SQL Server. Les configurations de basculement sont utilises pour maintenir la communication lorsque les clients n'arrivent plus communiquer avec Symantec Endpoint Protection Manager. La rpartition de charge est utilise pour distribuer la gestion client entre les serveurs Symantec Endpoint Protection Manager. Vous pouvez configurer le basculement et la rpartition de charge en affectant des priorits aux serveurs de gestion dans la liste les prsentant. La rpartition de charge se produit entre les serveurs dont la priorit est 1 dans la liste de serveurs de gestion. Si plusieurs serveurs ont une priorit de 1, les clients choisissent de manire alatoire l'un d'entre eux et tablissent la communication avec ce dernier. Si tous les serveurs dont la priorit est 1 chouent, les clients se connectent avec le serveur dont la priorit est 2.

110

Installer Symantec Endpoint Protection Manager Installer et configurer Symantec Endpoint Protection Manager pour le basculement ou la rpartition de charge

Remarque : Quand vous installez un serveur pour le basculement ou la rpartition de charge, vous installez galement une console de gestion. L'installation et la configuration des serveurs pour le basculement et la rpartition de charge est un processus en deux parties. Installez d'abord un Symantec Endpoint Protection Manager sur un ordinateur et ajoutez-le un site existant. Connectez-vous ensuite la console Symantec Endpoint Protection Manager et configurez le nouveau Symantec Endpoint Protection Manager.

Installer Symantec Endpoint Protection Manager pour le basculement ou la rpartition de charge


Des installations de basculement et de rpartition de charge sont prises en charge seulement quand le Symantec Endpoint Protection Manager d'origine utilise Microsoft SQL Server. N'installez pas les serveurs pour le basculement ou la rpartition de charge quand le Symantec Endpoint Protection Manager d'origine utilise la base de donnes intgre. Pour installer un serveur pour le basculement ou la rpartition de charge

Installer Symantec Endpoint Protection Manager. Se reporter "Pour installer Symantec Endpoint Protection Manager" la page 105.

2 3

Dans le volet Assistant de configuration du serveur de gestion, slectionnez Avanc, puis cliquez sur Suivant. Slectionnez le nombre de clients que le serveur doit grer, puis cliquez sur Suivant. Cochez la case Installer un serveur de gestion supplmentaire sur un site existant, puis cliquez sur Suivant.

Dans le panneau Informations du serveur, acceptez ou modifiez les valeurs par dfaut pour les zones de texte suivantes, puis cliquez sur Suivant :

Nom du serveur Port du serveur Port de la console Web Dossier des donnes du serveur

Dans la bote de dialogue Informations sur Microsoft SQL Server, entrez les valeurs du serveur distant dans les zones de texte suivantes :

Serveur de base de donnes\nom_instance

Installer Symantec Endpoint Protection Manager Installer et configurer Symantec Endpoint Protection Manager pour le basculement ou la rpartition de charge

111

Port du serveur SQL Nom de la base de donnes Utilisateur Mot de passe Dossier client SQL (sur l'ordinateur local) Si cette zone n'affiche pas automatiquement le chemin correct, l'utilitaire Microsoft SQL Client n'est pas install ou n'a pas t correctement install.

Spcifiez un mot de passe pour le compte administrateur de Symantec Endpoint Protection Manager et confirmez-le. Vous pouvez galement spcifier l'adresse lectronique de l'administrateur. Cliquez sur Suivant. Dans l'invite Avertissement, lisez et comprenez le message textuel et cliquez sur OK. Dans le panneau Serveur de gestion termin, cliquez sur Terminer.

7 8 9

Configuration du basculement et de la rpartition de charge


Par dfaut, un serveur de gestion qui est install pour le basculement et la rpartition de charge est configur pour la rpartition de charge lorsque les deux serveurs partagent la mme priorit. Pour modifier le paramtre par dfaut aprs l'installation, vous devez utiliser la console Symantec Endpoint Protection Manager.

112

Installer Symantec Endpoint Protection Manager Installer et configurer Symantec Endpoint Protection Manager pour le basculement ou la rpartition de charge

Pour configurer le basculement et la rpartition de charge

1 2

Dans la console Symantec Endpoint Protection Manager, cliquez sur Politiques. Dans le volet Afficher les politiques, droite de Composants de politique, cliquez sur la flche oriente vers le haut pour qu'elle se transforme en flche oriente vers le bas, puis cliquez sur Listes de serveurs de gestion.

Dans le volet Tches, cliquez sur Ajouter une liste de serveurs de gestion.

Installer Symantec Endpoint Protection Manager Installer et configurer Symantec Endpoint Protection Manager pour le basculement ou la rpartition de charge

113

Dans la bote de dialogue Liste des serveurs de gestion, sous Serveurs de gestion, cliquez trois fois sur Ajouter > Nouvelle priorit.

5 6 7

Sous Serveurs de gestion, cliquez sur Priorit 1. Cliquez sur Ajouter > Nouveau serveur. Dans la bote de dialogue Ajout d'un serveur de gestion, dans la zone Adresse du serveur, tapez le nom de domaine entirement qualifi ou l'adresse IP d'un Symantec Endpoint Protection Manager. Si vous tapez une adresse IP, assurez-vous qu'elle est statique et que tous les clients peuvent rsoudre cette adresse IP.

8 9

Cliquez sur OK. Effectuez l'une des oprations suivantes :

Pour configurer la rpartition de charge avec l'autre serveur, cliquez sur Priority 1. Pour configurer le basculement avec l'autre serveur, cliquez sur Priority 2.

10 Cliquez sur Ajouter > Nouveau serveur.

114

Installer Symantec Endpoint Protection Manager Installer et configurer Symantec Endpoint Protection Manager pour le basculement ou la rpartition de charge

11 Dans la bote de dialogue Ajout d'un serveur de gestion, dans la zone Adresse
du serveur, tapez le nom de domaine entirement qualifi ou l'adresse IP d'un Symantec Endpoint Protection Manager. Si vous tapez une adresse IP, assurez-vous qu'elle est statique et que tous les clients peuvent la rsoudre.

12 Cliquez sur OK.

13 (Facultatif) Pour modifier la priorit d'un serveur, ce qui modifie la


configuration de la rpartition de charge ou du basculement, cliquez sur un serveur, puis effectuez l'une des oprations suivantes :

Cliquez sur Vers le haut. Cliquez sur Vers le bas.

14 Dans la bote de dialogue de listes de serveur de gestion, cliquez sur OK.


Pour appliquer la liste des serveurs de gestion

1 2 3

Dans le volet droit, sous Listes des serveurs de gestion, sous Nom, cliquez sur et mettez en surbrillance la liste des serveurs de gestion que vous avez cr. Dans le volet infrieur gauche Tches, cliquez sur Attribuer la liste. Dans la bote de dialogue Appliquer la liste des serveurs de gestion, vrifiez les groupes auxquels appliquer la liste.

Installer Symantec Endpoint Protection Manager Installer et configurer Symantec Endpoint Protection Manager pour la rplication

115

4 5

Cliquez sur Assigner. Dans la bote de dialogue Attribuer la liste des serveurs de gestion, cliquez sur Oui.

Installer et configurer Symantec Endpoint Protection Manager pour la rplication


Les configurations de rplication sont prises en charge avec les bases de donnes intgres et Microsoft SQL Server. Les configurations de rplication sont utilises pour la redondance. Toutes les donnes d'une base de donnes sont rpliques (reproduites) sur une autre base de donnes. Si une base de donnes choue, vous pouvez continuer de grer et de contrler tous les clients car l'autre base de donnes contient les informations client. L'installation et la configuration des serveurs pour la rplication est un processus en deux parties. Dans un site d'installation existant, vous installez d'abord un nouveau Symantec Endpoint Protection Manager et une base de donnes pour la rplication avec un manager existant. En second lieu, vous ouvrez une session de Symantec Endpoint Protection Manager, puis slectionnez et programmez les lments rpliquer. Quand vous slectionnez les lments rpliquer, vous pouvez choisir des journaux et des paquets. Les paquets incluent galement les mises jour des dfinitions de virus, des composants client et du logiciel client. La taille des paquets et des mises jour peut atteindre plusieurs gigaoctets d'informations si vous tlchargez des mises jour dans plusieurs langues. Considrez la quantit de donnes que vous rpliquez quand vous slectionnez ces options, ainsi que la consommation de bande passante. La taille d'un paquet client est gnralement de 180 Mo une fois compress.

Installer Symantec Endpoint Protection Manager pour la rplication


Vous pouvez installer des serveurs pour la rplication avec les bases de donnes intgres et Microsoft SQL Server. Si vous voulez installer une base de donnes Microsoft SQL Server pour la rplication, vous devez d'abord installer Microsoft SQL Server. Se reporter "Installation de Symantec Endpoint Protection Manager avec une base de donnes Microsoft SQL" la page 96.

116

Installer Symantec Endpoint Protection Manager Installer et configurer Symantec Endpoint Protection Manager pour la rplication

Pour installer des serveurs pour la rplication

Installez Symantec Endpoint Protection Manager. Se reporter "Pour installer Symantec Endpoint Protection Manager" la page 105.

2 3

Dans le panneau Assistant de configuration du serveur de gestion, slectionnez Installer un site supplmentaire et cliquez sur Suivant. Dans le volet Informations du serveur, acceptez ou modifiez les valeurs par dfaut affiches dans les cases suivantes, puis cliquez surSuivant :

Nom du serveur Port du serveur Port de la console Web Dossier des donnes du serveur

4 5

Dans le panneau Information sur le site, acceptez ou modifiez le nom dans la zone Nom du site, puis cliquez sur Suivant. Dans le panneau Informations de rplication, tapez les valeurs dans les zones de texte suivantes :
Nom du serveur de rplication Le nom ou l'adresse IP du Symantec Endpoint Protection Manager distant Le port par dfaut est 8443. Le nom qui est utilis pour ouvrir une session sur la console. Le mot de passe qui est utilis pour ouvrir une session sur la console.

Port du serveur de rplication Nom de l'administrateur

Mot de passe

6 7 8

Cliquez sur Suivant. Dans la bote de dialogue Avertissement de certificat, cliquez sur Oui. Dans le panneau Choix du serveur de base de donnes, effectuez l'une des oprations suivantes, puis cliquez sur Suivant.

Slectionnez Base de donnes intgre et terminez l'installation. Slectionnez Microsoft SQL Server et terminez l'installation. Se reporter "Pour crer une base de donnes SQL" la page 106.

Installer Symantec Endpoint Protection Manager Rglage de la taille de segment de mmoire de Symantec Endpoint Protection Manager

117

Configurer Symantec Endpoint Protection Manager pour la rplication


Vous utilisez la console Symantec Endpoint Protection Manager pour configurer des serveurs pour la rplication. Les informations d'authentification de connexion de l'administrateur sont utilises sur le premier site que vous avez spcifi pour la rplication. Pour configurer des serveurs pour la rplication

Sur l'ordinateur sur lequel vous avez install Symantec Endpoint Protection Manager, cliquez sur Dmarrer > Programmes > Symantec Endpoint Protection Manager. Dans la bote de dialogue Connexion, dans la zone Nom d'utilisateur, tapez l'ID de l'administrateur qui est utilis pour ouvrir une session de Symantec Endpoint Protection Manager utilisant la base de donnes initiale. Dans la zone Mot de passe, entrez le mot de passe associ l'ID d'administrateur, puis cliquez sur Ouvrir une session. Dans la console, dans le volet de gauche, cliquez sur Admin > Serveurs. Dans l'arborescence de gauche, dveloppez Site local, dveloppez le partenaire de rplication, cliquez avec le bouton droit de la souris sur Site <remote_host>, puis cliquez sur Modifier les proprits. Dans la bote de dialogue Proprits du partenaire de rplication, dfinissez les options que vous voulez pour les journaux, les paquets et la frquence de rplication, puis cliquez sur OK. Consultez l'aide contextuelle et le Guide d'administration pour Symantec Endpoint Protection et Symantec Network Access Control pour obtenir des dtails au sujet de ces paramtres.

3 4 5

7 8 9

Cliquez avec le bouton droit de la souris sur Site <remote_host>, puis cliquez sur Rpliquer maintenant. Cliquez sur Oui. Cliquez sur OK.

Rglage de la taille de segment de mmoire de Symantec Endpoint Protection Manager


La taille de segment de mmoire par dfaut de Symantec Endpoint Protection Manager est 256 Mo. Si la console Symantec Endpoint Protection Manager est lente ou ne rpond pas, une taille de segment de mmoire plus importante peut augmenter la rponse. Vous pouvez augmenter la taille par dfaut avec deux valeurs de cl de registre. Les deux valeurs de cl de registre sont -Xms256m et

118

Installer Symantec Endpoint Protection Manager Mise niveau de la base de donnes intgre vers Microsoft SQL Server

-Xmx256m. -Xms256m dfinit la taille de segment de mmoire minimum. -Xmx256m dfinit la taille de segment de mmoire maximum. -Xms256m est la valeur qui est spcifie pour la cl JVM Option Number 0. -Xmx256m est la valeur qui est spcifie pour la cl JVM Option Number 1. Symantec Endpoint Protection Manager requiert les mmes valeurs pour les deux cls. Pour rgler a taille de segment de mmoire de Symantec Endpoint Protection Manager

1 2 3

Cliquez sur Dmarrer > Excuter... Dans la bote de dialogue Excuter, tapez regedit et appuyez sur Entre. Recherchez la cl de registre suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\semsrv\Parameters\

Recherchez les cls suivantes :


JVM Option Number 0 JVM Option Number 1

Rglez les valeurs de cl vers le haut et faites correspondre les valeurs de cl. Par exemple, pour crer un segment de mmoire statique de 1 Go, dfinissez JVM Option Number 0 -Xms1024m et dfinissez JVM Option Number 1 -Xmx1024m.

6 7

Quittez Regedit, puis cliquez sur Dmarrer > Paramtres > Panneau de configuration > Outils d'administration. Dans la bote de dialogue Services, cliquez avec le bouton droit de la souris sur Symantec Endpoint Protection Manager, puis cliquez sur Redmarrer.

Mise niveau de la base de donnes intgre vers Microsoft SQL Server


Si vous utilisez la base de donnes intgre et constatez qu'elle est insuffisante, vous pouvez mettre niveau le serveur de base de donnes vers Windows SQL Server 2000 ou 2005. Les points suivants rcapitulent le processus et les procdures que vous devez suivre :

Sauvegardez le fichier de certificat Java keystore et le fichier server.xml et dplacez ou copiez les fichiers du rpertoire \Symantec\Symantec Endpoint Protection Manager\. Sauvegardez la base de donnes intgre et dplacez ou copiez la sauvegarde du rpertoire \Symantec\Symantec Endpoint Protection Manager\.

Installer Symantec Endpoint Protection Manager Mise niveau de la base de donnes intgre vers Microsoft SQL Server

119

Installez une instance de Microsoft SQL Server 2000 ou 2005. Vous pouvez utiliser l'Assistant de configuration du serveur de gestion pour reconfigurer le serveur afin de passer d'une base de donnes intgre au serveur MS SQL. Restaurez le certificat Java keystore Restaurez la base de donnes intgre sur la base de donnes de Microsoft SQL Server

Le processus de mise niveau est trs semblable au processus de rcupration d'urgence parce que vous devez dsinstaller votre Symantec Endpoint Protection Manager existant. Par consquent, vous devez vous prparer la rcupration d'urgence pour effectuer avec succs la mise niveau et crer un fichier de rcupration d'urgence bien form. Remarque : Pratique d'excellence avant la mise niveau : Effectuez ces procdures de mise niveau sur des ordinateurs de test avant de les effectuer sur des ordinateurs de production. Se reporter "Comment se prparer une rcupration d'urgence" la page 233. Avertissement : Ne tentez pas d'effectuer cette mise niveau sans crer ou sans tre en possession d'un fichier de rcupration d'urgence bien form. Ne tentez pas d'effectuer cette mise niveau avant d'avoir retir votre keystore sauvegard, votre fichier server.xml et votre base de donnes du rpertoire \Symantec\Symantec Endpoint Protection Protection Manager\. Ces fichiers sont supprims pendant le processus de dsinstallation.

Sauvegarde du keystore et des fichiers server.xml


Si vous ne vous tes pas prpar la rcupration d'urgence, vous devez copier ou dplacer ces fichiers. Le processus de dsinstallation supprime ces fichiers de leur emplacement initial. Se reporter "Comment se prparer une rcupration d'urgence" la page 233. Pour sauvegarder les fichiers keystore et server.xml

Dplacez ou copiez tous les fichiers du rpertoire suivant dans un rpertoire qui ne se trouve pas sous \Symantec\Symantec Endpoint Protection Manager\ \Symantec\Symantec Endpoint Protection Manager\Server Private Key Backup\ Les fichiers sont nomms keystore_date.jks et server_date.xml

120

Installer Symantec Endpoint Protection Manager Mise niveau de la base de donnes intgre vers Microsoft SQL Server

Sauvegarde de la base de donnes intgre


Vous restaurerez cette base de donnes sur Microsoft SQL Server. Pour sauvegarder la base de donnes intgre

Sur l'ordinateur qui excute la base de donnes intgre, cliquez sur Dmarrer >Programmes>SymantecEndpointProtectionManager>DatabaseBackup and Restore. Dans la bote de dialogue Database Backup and Restore, cliquez sur Sauvegarder. Cette sauvegarde peut prendre plusieurs minutes. Les fichiers de sauvegarde sont des fichiers .zip stocks dans \\Program Files\Symantec\Symantec Endpoint Protection Manager\data\backup\.

3 4 5

Cliquez sur OK. Quand la sauvegarde est termine, cliquez sur Quitter. Dplacez ou copiez le fichier de sauvegarde dans un rpertoire qui ne se trouve pas sous \Symantec\Symantec Endpoint Protection Manager. Si vous n'effectuez pas cette tape, la mise niveau choue parce que vous dsinstallez le fichier de sauvegarde.

Installation d'une instance de Microsoft SQL Server 2000 ou 2005


Vous devez installer Microsoft SQL Server 2000 ou 2005 avec l'authentification SQL server et connatre le port que votre serveur utilise pour les communications rseau. Vous devez entrer ce numro de port quand vous rinstallez Symantec Endpoint Protection Manager avec une base de donnes Microsoft SQL Server. Pour installer une instance de Microsoft SQL Server 2000 ou 2005

Installez et configurez une instance de Microsoft SQL Server sur l'ordinateur qui excute Symantec Endpoint Protection Manager et la base de donnes intgre, ou sur un ordinateur diffrent. Se reporter "Paramtres d'installation et de configuration de Microsoft SQL Server 2000" la page 97. Se reporter "Paramtres d'installation et de configuration de Microsoft SQL Server 2005" la page 99. Se reporter "Pour crer une base de donnes SQL" la page 106.

Installer Symantec Endpoint Protection Manager Mise niveau de la base de donnes intgre vers Microsoft SQL Server

121

Reconfigurer Symantec Endpoint Protection Manager avec une base de donnes SQL Microsoft
Vous avez besoin du mot de passe de chiffrement initial pour rinstaller Symantec Endpoint Protection Manager avec une base de donnes SQL Microsoft. Ce mot de passe doit se trouver dans votre fichier bien form de rcupration d'urgence. S'il ne s'y trouve pas, vous devez trouver quelqu'un qui connat le mot de passe. Pour reconfigurer Symantec Endpoint Protection Manager avec une base de donnes SQL Microsoft

1 2

Lancez l'assistant de configuration de serveur de gestion partir du menu Dmarrer de Windows. Quand le panneau Bienvenue dans l'Assistant de configuration du serveur de gestion apparat, slectionnez Reconfigurer le serveur de gestion, puis cliquez sur Suivant. Confirmez les valeurs pour le serveur de gestion, puis cliquez sur Suivant. Dans le volet de slection du Type de base de donnes, slectionnez Microsoft SQL Server, puis cliquez sur Suivant. Spcifiez les valeurs suivantes sur le volet pour les paramtres de base de donnes, puis cliquez sur Suivant.

3 4 5

Serveur de base de donnes Port du serveur SQL Nom de la base de donnes Utilisateur Mot de passe Dossier Client SQL

6 7

Dans l'invite de bote de dialogue Avertissement, lisez les informations d'avertissement sur les communications en texte clair et cliquez sur OK. Dans le volet Dfinir le mot de passe de la console, tapez le mme mot de passe dans les zones de texte suivantes, indiquez une adresse lectronique d'administrateur et cliquez sur Suivant.

Mot de passe Confirmez le mot de passe

8 9

Dans le volet Configuration termine, slectionnez Non et cliquez sur Suivant. Restaurez la sauvegarde de la base de donnes intgre.

122

Installer Symantec Endpoint Protection Manager Mise niveau de la base de donnes intgre vers Microsoft SQL Server

Restauration du fichier keystore Java original


Le fichier keystore contient le certificat public qui est utilis pour scuriser les communications. Vous avez besoin du mot de passe initial de la cl prive pour restaurer ce fichier. Ce mot de passe ese trouve dans votre fichier de rcupration d'urgence bien form s'il a t cr au cours de l'installation initiale. Le mot de passe est galement dans le fichier server_horodatage.xml. Se reporter "Comment se prparer une rcupration d'urgence" la page 233. Pour restaurer le fichier keystore Java original

1 2 3 4 5 6 7

Ouvrez une session sur la console, puis cliquez sur Admin. Dans le volet Admin, sous Tches, cliquez sur Serveurs. Sous Afficher les serveurs, dveloppez Site local, puis cliquez sur le nom d'ordinateur qui identifie le site local. Sous Tches, cliquez sur Grer le certificat de serveur. Dans l'cran d'accueil, cliquez sur Suivant. Dans le panneau Grer le certificat de serveur, slectionnez Mettre jour le certificat de serveur, puis cliquez sur Suivant. Sous Slectionner le type de certificat importer, slectionnez Keystore JKS, puis cliquez sur Suivant. Si vous avez mis en oeuvre l'un des autres types de certificat, slectionnez ce type.

Dans le volet Keystore JKS, cliquez sur Parcourir, localisez et slectionnez votre fichier keystore sauvegard keystore_horodatage.jks, puis cliquez sur OK. Ouvrez votre fichier texte de rcupration d'urgence, puis slectionnez et copiez le mot de passe keystore. keystore dans la zone Mot de passe de keystore et la zone Mot de passe de cl. Le seul mcanisme pris en charge pour l'opration Coller est Ctrl + V.

10 Activez la bote de dialogue Keystore JKS, puis collez le mot de passe de

11 Cliquez sur Suivant.


Si vous recevez un message d'erreur qui indique vous avez un fichier keystore non valide, vous avez probablement entr des mots de passe errons. Ressayer les oprations Copier et Coller du mot de passe. Ce message d'erreur est trompeur.

Installer Symantec Endpoint Protection Manager Dsinstaller Symantec Endpoint Protection Manager

123

12 Dans le panneau Termin, cliquez sur Terminer. 13 Fermez la session de la console.

Dsinstaller Symantec Endpoint Protection Manager


Quand vous dsinstallez Symantec Endpoint Protection Manager, tous les composants Symantec sont dsinstalls, l'exception des paquets d'installation client exports. Toutefois, vous pouvez choisir de ne pas dsinstaller la base de donnes intgre, ainsi que les fichiers de base de donnes et de sauvegarde de Microsoft SQL Server. Pour toutes les installations, les fichiers de sauvegarde de la base de donnes se trouvent sur l'ordinateur qui excute Symantec Endpoint Protection Manager. Utilisez la fonction standard de Windows Ajout/Suppression de programmes pour dsinstaller Symantec Endpoint Protection Manager. En outre, slectionnez Modifier pour avoir l'option de dsinstaller la base de donnes. Si vous slectionnez Supprimer, la base de donnes n'est pas dsinstalle. Dsactivez la rplication avant mme d'essayer de dsinstaller un Symantec Endpoint Protection Manager paramtr pour la rplication. Redmarrez alors l'ordinateur sur lequel vous souhaitez dsinstaller le Symantec Endpoint Protection Manager, puis procdez la dsinstallation. Remarque : Vous devez supprimer manuellement tous les rpertoires contenant les paquets d'installation client exports, y compris les rpertoires crs avec l'assistant de migration et de dploiement. Vous devez galement supprimer manuellement tous les fichiers et rpertoires de sauvegarde, y compris ceux qui contiennent des cls prives, des certificats et des bases de donnes.

124

Installer Symantec Endpoint Protection Manager Dsinstaller Symantec Endpoint Protection Manager

Chapitre

Installation du logiciel client Symantec


Ce chapitre traite des sujets suivants :

A propos du logiciel d'installation de client Symantec A propos de l'installation du logiciel client autonome Installer un logiciel client non gr en utilisant le CD d'installation Cration des paquets d'installation client A propos du dploiement du logiciel client d'un lecteur mapp Dployer le logiciel client avec l'assistant de dploiement Dploiement du logiciel client avec Rechercher les ordinateurs non grs Importation des listes d'ordinateurs A propos de l'installation et du dploiement du logiciel avec Altiris Options d'installation tierce Dmarrage de l'interface utilisateur client Dsinstallation du logiciel client

A propos du logiciel d'installation de client Symantec


Deux produits de logiciel d'installation de client Symantec sont disponibles. Un produit est Symantec Endpoint Protection. L'autre produit est Symantec Network Access Control.

126

Installation du logiciel client Symantec A propos du logiciel d'installation de client Symantec

Remarque : Les installations de Symantec Endpoint Protection requirent au moins 700 Mo d'espace disque pendant l'installation. Si cette quantit n'est pas disponible, l'installation choue.

A propos de Symantec Endpoint Protection


Symantec Endpoint Protection contient beaucoup de composants que vous pouvez slectionner pour les installer ou pas. Quand vous installez Symantec Endpoint Protection, les options suivantes dterminent les composants installer :

Fichiers image mmoire Cette option est requise pour toutes les installations. Protection antivirus et antispyware Cette option installe le principal logiciel antivirus et antispyware et vous permet de slectionner la protection antivirus pour le courrier lectronique :

Protection antivirus pour le courrier lectronique Remarque : Pour des raisons de performances, le programme d'installation de Symantec Endpoint Protection bloque l'installation d'Auto-Protect pour la messagerie Internet sur les systmes d'exploitation Microsoft Server pris en charge. Par exemple, vous ne pouvez pas installer Auto-Protect pour messagerie Internet sur un ordinateur qui excute Windows Server 2003.

Protection proactive contre les menaces Cette option n'installe pas le logiciel principal, mais vous permet de slectionner ces composants :

Analyse proactive des menaces TruScan Contrle des applications et des priphriques

Protection contre les menaces rseau Cette option n'installe pas le logiciel principal, mais vous permet de slectionner le pare-feu et la prvention des intrusions :

Pare-feu et Prvention d'intrusion

Installation du logiciel client Symantec A propos du logiciel d'installation de client Symantec

127

Remarque : Symantec Endpoint Protection installe galement le logiciel Symantec Network Access Control, mais Symantec Network Access Control n'est pas activ. Quand vous mettez jour la console Symantec Endpoint Protection Manager pour Symantec Network Access Control, le client Symantec Network Access Control apparat automatiquement dans l'interface utilisateur client. Par consquent, si vous installez Symantec Endpoint Protection et achetez Symantec Network Access Control ultrieurement, vous n'avez pas besoin d'installer le logiciel client Symantec Network Access Control. Si vos ordinateurs client excutent Symantec Network Access Control et si vous achetez le logiciel Symantec Endpoint Protection ultrieurement, vous remplacez le logiciel Symantec Endpoint Protection. Vous n'avez pas besoin de dsinstaller d'abord Symantec Network Access Control.

A propos de Symantec Network Access Control


Le logiciel Symantec Network Access Control ne contient pas les composants que vous pouvez slectionner pour installer ou ne pas installer. Si vos ordinateurs client excutent Symantec Endpoint Protection et que vous avez achet le logiciel Symantec Network Access Control ultrieurement, vous n'avez pas besoin d'installer ce logiciel. Aprs avoir mis jour Symantec Endpoint Protection Manager pour Symantec Network Access Control, la fonction Symantec Network Access Control sur les clients apparat automatiquement.

A propos de la version 3.1 de Windows Installer


Toutes les installations de logiciel client requirent que les ordinateurs client excutent tous la version 3.1 de Windows Installer (MSI). Si la version 3.1 ne s'excute pas sur les ordinateurs client, le logiciel d'installation de client Symantec l'installe automatiquement. Remarque : Si vous excutez msiexec dans une invite de commandes sur un ordinateur qui excute MSI 3.1, la version affiche est la version 3.01.4000.x.

A propos des groupes et des clients


Les groupes peuvent contenir des clients 32 bits et des clients 64 bits. Cependant, vous devez dployer les paquets 32 bits et les paquets 64 bits sparment vers les clients. Les clients 32 bits bloquent les paquets d'installation 64 bits et les clients 64 bits bloquent les paquets d'installation 32 bits en raison de la discordance des versions. Si votre environnement a un mlange de clients Symantec Endpoint Protection et de clients Symantec Network Access Control, il est recommand de grouper ces

128

Installation du logiciel client Symantec A propos de l'installation du logiciel client autonome

clients sparment. Par exemple, il est recommand de ne pas placer de clients Symantec Endpoint Protection dans un groupe qui contient galement des clients Symantec Network Access Control. En outre, si vous installez Symantec Endpoint Protection Manager pour Symantec Network Access Control, les clients Symantec Endpoint Protection prennent en charge automatiquement Symantec Network Access Control. Quand vous crez des paquets d'installation client avec la console Symantec Endpoint Protection Manager, vous pouvez spcifier un groupe devant contenir les clients. Si vous rinstallez un paquet de logiciel client sur des clients et si le paquet spcifie un groupe diffrent, les clients apparaissent toujours dans leur groupe initial. Ils n'apparaissent pas dans le nouveau groupe. Vous ne pouvez dplacer des clients dans de nouveaux groupes qu'avec la console Symantec Endpoint Protection Manager.

A propos de l'installation du logiciel client autonome


Les clients peuvent tre grs ou non grs. Si vous ne voulez pas grer le logiciel client, vous pouvez installer le logiciel client non gr. Cependant, l'installation du logiciel client Symantec Network Access Control autonome n'est pas recommande. Le logiciel client non gr peut tre install de l'une des manires suivantes : l'aide du programme d'installation du CD d'installation, en dployant les paquets d'installation client automatique l'aide de la console Symantec Endpoint Protection Manager, ou en utilisant l'Assistant de dploiement des outils du CD.

A propos du dploiement d'un logiciel client autonome l'aide de la console de gestion


Vous pouvez exporter des paquets d'installation client autonomes partir de la console Symantec Endpoint Protection Manager. Aprs avoir export les paquets autonomes, n'attribuez pas les paquets aux groupes pour la mise niveau automatique. Si vous attribuez les paquets aux groupes, les clients du groupe apparatront dans la console aprs l'installation du logiciel. Cependant, vous ne pouvez pas grer ces clients.

A propos du dploiement de logiciel client non gr l'aide de l'assistant de dploiement


Vous pouvez galement dployer un logiciel autonome en utilisant l'assistant de dploiement. Vous pouvez lancer l'assistant l'aide du fichier ClientRemote.exe qui se trouve dans le rpertoire TOOLS\PUSHDEPLOYMENTWIZARD du CD contenant les outils supplmentaires. Lorsque vous tes invit spcifier le dossier

Installation du logiciel client Symantec Installer un logiciel client non gr en utilisant le CD d'installation

129

contenant le logiciel client, slectionnez le dossier SEP pour les paquets d'installation de Symantec Endpoint Protection ou le dossier SNAC pour les paquets d'installation de Symantec Network Access Control.

Installer un logiciel client non gr en utilisant le CD d'installation


Vous pouvez installer un logiciel client Symantec Endpoint Protection non gr l'aide du fichier Setup.exe du CD d'installation. Le programme d'installation installe le logiciel client Symantec Endpoint Protection l'aide d'un assistant d'installation. L'installation Server Core de Windows Server 2008 offre seulement une interface de ligne de commande. Vous pouvez cependant grer des installations Server Core en utilisant des outils de gestion distance. Le logiciel client peut tre install l'aide du CD d'installation depuis un emplacement local ou un emplacement rseau partag. Remarque : Sous Windows Vista et Windows Server 2008, vous pouvez cliquer sur Continuer pour chaque bote de dialogue Contrle de compte d'utilisateur qui apparat lors de l'excution de ces procdures. Pour installer un logiciel client Symantec Endpoint Protection non gr en utilisant le CD d'installation

1 2 3 4

Insrez le CD d'installation et lancez le programme d'installation s'il ne dmarre pas automatiquement. Cliquez sur Installer Symantec Endpoint Protection. Dans le volet Bienvenue, cliquez sur Suivant. Si vous installez le logiciel client Symantec Endpoint Protection pour la premire fois sur cet ordinateur, vrifiez que l'option Ordinateur autonome est active, puis cliquez sur Suivant. Ce volet s'affiche uniquement si vous installez le logiciel client Symantec Endpoint Protection pour la premire fois sur cet ordinateur.

5 6

Dans le volet Contrat de licence, cliquez sur J'accepte les termes du contrat de licence, puis cliquez sur Suivant. Dans le volet Type d'installation, effectuez une des oprations suivantes :

Cliquez sur Par dfaut pour installer le logiciel client avec les options les plus courantes, puis cliquez sur Suivant.

130

Installation du logiciel client Symantec Installer un logiciel client non gr en utilisant le CD d'installation

Cliquez sur Personnalis pour choisir les composants installs et les options utilises pour les installer, puis cliquez sur Suivant. Dans le volet Installation personnalise, slectionnez les fonctions que vous voulez installer et comment vous voulez les installer. Confirmez l'emplacement de l'installation ou cliquez sur Modifier pour en slectionner un autre, puis cliquez sur Suivant.

Dans le volet Options de protection, cliquez sur Suivant. Vous pouvez aussi cliquer sur les options Activer Auto-Protect et Excuter LiveUpdate et les dsactiver l'issue de l'installation, puis cliquer sur Suivant. Sous Windows Vista, vous pouvez galement choisir de dsactiver Windows Defender.

8 9

Cliquez sur Installer dans le volet Prt pour l'installation. Dans le volet Assistant termin, cliquez sur Terminer. Si l'option Excuter LiveUpdate est active au cours de l'installation, LiveUpdate dmarre une fois l'installation termine. Vous pouvez tre invit redmarrer l'ordinateur.

Pour installer un logiciel client Symantec Network Access Control non gr en utilisant le CD d'installation

1 2 3 4 5 6 7

Insrez le CD d'installation et lancez le programme d'installation s'il ne dmarre pas automatiquement. Cliquez sur Installer Symantec Network Access Control et puis cliquez sur Installer Symantec Network Access Control. Dans l'cran d'accueil, cliquez sur Suivant. Dans le volet Contrat de licence, cliquez sur J'accepte les termes du contrat de licence, puis cliquez sur Suivant. Dans le volet Dossier de destination, confirmez ou modifiez le dossier de destination affich, puis cliquez sur Suivant. Dans le panneau Prt pour l'installation, cliquez sur Installer. Dans le volet Assistant termin, cliquez sur Terminer. Vous pouvez tre invit redmarrer l'ordinateur.

Pour installer un logiciel client 64 bits Symantec Endpoint Protection non gr sur le Windows Server 2008 Server Core 64 bits

1 2 3

Insrez le CD d'installation. Accdez au rpertoire racine du CD d'installation. Tapez cd SEPWIN64\X64 et puis appuyez sur Entre.

Installation du logiciel client Symantec Cration des paquets d'installation client

131

4 5 6 7

Tapez vcredist_x64.exe et appuyez sur Entre. Retournez au rpertoire racine du CD d'installation. Tapez Setup.exe et appuyez sur Entre. Suivez les tapes de l'assistant d'installation pour terminer l'installation.

Pour installer un logiciel client non gr sous Windows Server 2008 Server Core (tous les autres clients)

1 2 3 4 5

Insrez le CD d'installation. Ouvrez une invite de commandes. Remplacez l'arborescence par le rpertoire racine du CD d'installation. Tapez Setup.exe et appuyez sur Entre Suivez les instructions de l'assistant pour terminer l'installation.

Cration des paquets d'installation client


Vous pouvez crer deux types de paquets d'installation client. Un type est 32 bits et l'autre type est 64 bits. Vous pouvez galement crer deux paquets 32 bits et paquets 64 bits. Un type est le paquet d'installation par dfaut qui est cr quand vous installez Symantec Endpoint Protection Manager. Si vous installez ce paquet, les clients apparaissent dans le groupe Temporaire et reoivent les politiques par dfaut. L'autre type est un paquet d'installation qui est personnalis pour un groupe, qui n'est gnralement pas le groupe Temporaire. Ce paquet d'installation peut contenir des politiques et des paramtres de groupe personnaliss. Vous pouvez crer les paquets d'installation client pour des groupes tout moment. Si, pour un groupe, vous avez des politiques personnalises qui sont stables et ne changent pas rgulirement, vous pouvez crer un paquet d'installation client pour ce groupe. Cependant, il n'est pas ncessaire de rinstaller les paquets d'installation client sur les ordinateurs client existants d'un groupe pour changer une politique. Pendant que vous apportez des modifications aux politiques d'un groupe, ces modifications sont automatiquement propages aux clients installs de ce groupe. Remarque : Les paquets d'installation client doivent tre dploys comme des paquets d'installation silencieuse ou automatiques sur les ordinateurs client fonctionnant sous Microsoft Windows Server 2008 ou Microsoft Vista (x64), et uniquement comme des paquets d'installation silencieuse sur les ordinateurs to client fonctionnant sous Microsoft Vista (x86).

132

Installation du logiciel client Symantec A propos du dploiement du logiciel client d'un lecteur mapp

Remarque : Le Guide d'administration pour Symantec Endpoint Protection et Symantec Network Access Control contient des informations compltes sur les paquets d'installation client. Pour crer les paquets d'installation client

1 2 3 4 5 6

A partir de Symantec Endpoint Protection Manager, cliquez sur Administrateur. Dans le volet Tches, cliquez sur Installer les paquets. Dans le volet droit, sous Nom du paquet, slectionnez le paquet exporter. Dans le volet infrieur gauche, sous Tches, cliquez sur Exporter le paquet d'installation client. Dans la bote de dialogue Exporter le paquet, cliquez sur Parcourir. Dans la bote de dialogue Slectionner le dossier d'exporttation, cherchez et slectionnez le rpertoire qui contiendra le paquet export, puis cliquez sur OK. Dans la bote de dialogue Exporter le paquet, dfinissez les autres options selon vos objectifs d'installation. Pour obtenir des dtails au sujet des autres options de cette bote de dialogue, cliquez sur Aide.

Cliquez sur OK.

A propos du dploiement du logiciel client d'un lecteur mapp


Aprs avoir export un paquet d'installation client vers un rpertoire, vous pouvez partager ce rpertoire, puis des utilisateurs peuvent mapper le rpertoire partir d'ordinateurs client. Les utilisateurs peuvent alors installer le logiciel client partir du lecteur mapp. Remarque : Pendant l'installation du logiciel client Symantec Endpoint Protection, le lecteur mapp devient temporairement dconnect. Cette activit est connue et prvue. Cette activit ne se produit pas quand vous installez le logiciel client Symantec Network Access Control.

Installation du logiciel client Symantec Dployer le logiciel client avec l'assistant de dploiement

133

Dployer le logiciel client avec l'assistant de dploiement


L'assistant de dploiement apparat automatiquement lorsque vous utilisez l'assistant de dploiement ou vous pouvez le dmarrer manuellement. Dans les deux cas, vous devez savoir quel paquet de logiciel client vous voulez dployer et dans quel dossier le paquet existe. Vous devez le localiser pendant le dploiement. Pour dployer le logiciel client avec l'assistant de dploiement

1 2 3 4 5

Lancement de l'assistant de migration et de dploiement partir du menu Dmarrer de Windows Dans l'cran d'accueil, cliquez sur Suivant. Cliquez sur Dployer le client (Symantec Endpoint Protection uniquement), puis cliquez sur Suivant. Cliquez sur Slectionnez le paquet d'installation client existant dployer, puis cliquez sur Terminer. Dans le panneau Assistant de dploiement, cliquez sur Parcourir, accdez au dossier contenant le paquet d'installation dployer pour le slectionner, puis cliquez sur OK. Confirmez ou modifiez le nombre maximum de dploiements simultans et cliquez sur Suivant. Dans le panneau Slection d'ordinateurs, dans le volet gauche sous Ordinateurs disponibles, dveloppez les arborescences et slectionnez les ordinateurs sur lesquels installer le logiciel client, puis cliquez sur Ajouter. Sinon, vous pouvez importer un groupe de travail ou un domaine d'ordinateurs et galement un fichier texte contenant une liste d'ordinateurs. Se reporter "Importation des listes d'ordinateurs" la page 135.

6 7

Dans la bote de dialogue Authentification du client distant, tapez un nom d'utilisateur et un mot de passe qui peuvent s'authentifier auprs du domaine ou du groupe de travail Windows qui contient les ordinateurs et cliquez sur OK. Une fois tous les ordinateurs slectionns et affichs dans le volet droit, cliquez sur Terminer.

134

Installation du logiciel client Symantec Dploiement du logiciel client avec Rechercher les ordinateurs non grs

Dploiement du logiciel client avec Rechercher les ordinateurs non grs


Vous pouvez dployer le logiciel client en utilisant Rechercher les ordinateurs non grs dans la console Symantec Policy Management. L'utilitaire vous permet de dcouvrir les ordinateurs client qui n'excutent pas le logiciel client et d'installer le logiciel client sur ces ordinateurs. Remarque : Cet utilitaire place des ordinateurs non grs dans la catgorie inconnue si les niveaux d'authentification de Manager de rseau local sont incompatibles. Il y a six niveaux d'authentification. Symantec recommande le niveau Envoyer une rponse NTLM 2 seulement. La politique modifier est sous le niveau d'authentification du Paramtres de politique locale > Paramtres de scurit > Politiques locales > Options de scurit> [Scurit du rseau] Manager de rseau local. En outre, cet utilitaire ne reconnat pas correctement les systmes d'exploitation Windows 2000 une fois excut partir d'une installation par dfaut de Windows Server 2003. Pour remdier cette limitation, excutez le service Symantec Endpoint Protection Manager comme Administrateur plutt que comme Systme dans le panneau Services.

Avertissement : Cet utilitaire dtecte et affiche une srie de priphriques de gestion de rseau dans l'onglet ordinateurs inconnus. Par exemple, cet utilitaire dtecte des interfaces de routeur et les place dans l'onglet ordinateurs inconnus. Soyez prudent lorsque vous dployez le logiciel client vers les priphriques qui apparaissent dans l'onglet ordinateurs non grs. Vrifiez que ces priphriques sont des cibles valides pour le dploiement du logiciel client. Pour dployer le logiciel client en utilisant Rechercher les ordinateurs non grs

1 2 3

Dans la console Symantec Policy Management, cliquez sur Clients. Dans le volet Tches, cliquez sur Rechercher les ordinateurs non grs. Dans la fentre Rechercher les ordinateurs non grs, sous Rechercher par, slectionnez Plage d'adresses IP et entrez une adresse IP de dbut et de fin. L'analyse d'une plage de 100 adresses IP qui n'existent pas dure approximativement 5,5 minutes. Eventuellement, spcifiez un nom d'ordinateur.

Sous Informations d'ouverture de session, remplissez les zones de texte Nom d'utilisateur, Mot de passe et Domaine-Groupe de travail avec les informations d'authentification de connexion qui autorisent l'administration et l'installation.

Installation du logiciel client Symantec Importation des listes d'ordinateurs

135

Cliquez sur Rechercher maintenant.

Sur les onglets Ordinateurs inconnus ou Ordinateurs non grs, effectuez l'une des oprations suivantes :

Cochez chaque ordinateur sur lequel vous voulez installer le logiciel client. Cliquez sur Slectionner tout.

7 8 9

Sous Installation, slectionnez le paquet d'installation, l'option d'installation et les fonctions que vous voulez installer. Pour effectuer l'installation sur un groupe autre que le groupe Temporaire, cliquez sur Modifier, slectionnez un groupe diffrent, puis cliquez sur OK. Lorsque vous tes prt effectuer l'installation, cliquez sur Dmarrer l'installation.

Importation des listes d'ordinateurs


Au lieu de slectionner des ordinateurs pendant l'installation de l'Assistant de dploiement, vous pouvez importer une liste des ordinateurs.

136

Installation du logiciel client Symantec Importation des listes d'ordinateurs

Cration d'un fichier texte des ordinateurs installer


Vous pouvez crer un fichier texte des adresses IP des ordinateurs, importer ce fichier texte pendant le dploiement de l'Assistant de dploiement et dployer le logiciel client vers les ordinateurs spcifis. Vous pouvez galement crer le fichier texte en exportant une liste des ordinateurs que vous type un par un vers un fichier texte avant de commencer le dploiement du client. Remarque : La cration d'un fichier texte des adresses IP n'est pas recommande pour les ordinateurs qui reoivent les adresses IP attribues par DHCP. Pour crer un fichier texte contenant des adresses IP importer

1 2

Utilisez un diteur de texte tel que le Bloc-notes pour crer un fichier texte. Saisissez l'adresse IP de chacun des ordinateurs importer sur une ligne. Par exemple : 192.168.1.1 192.168.1.2 192.168.1.3 Vous pouvez transformer en commentaires les lignes des adresses IP ne pas importer en utilisant un point-virgule (;) ou deux points (:). Par exemple, si vous avez ajout la liste les adresses d'ordinateurs qui se trouvent sur un sous-rseau dont vous savez qu'il est arrt, vous pouvez les transformer en commentaires pour viter les erreurs.

Enregistrez le fichier dans un rpertoire.

Importation d'un fichier texte contenant les ordinateurs installer


Vous importez le fichier texte pendant l'installation de l'Assistant de dploiement. Pour importater un fichier texte contenant les ordinateurs installer

1 2

Dans l'cran Slection des ordinateurs, cliquez sur Slectionner. Dans la bote de dialogue Dtails du client, cliquez sur Importer.

Installation du logiciel client Symantec A propos de l'installation et du dploiement du logiciel avec Altiris

137

Localisez le fichier texte contenant les adresses IP importer et cliquez deux fois dessus. Pendant le processus d'authentification, vous pouvez tre amen fournir un nom d'utilisateur et un mot de passe pour les ordinateurs exigeant une authentification. Le programme d'installation recherche galement des conditions d'erreur. Vous tes invit consulter ces informations pour chaque ordinateur ou les consigner dans un fichier journal pour consultation ultrieure.

Terminez l'installation.

A propos de l'installation et du dploiement du logiciel avec Altiris


Vous pouvez installer et dployer le logiciel client Symantec en utilisant le logiciel d'Altiris,qui fait maintenant partie de Symantec. Altiris fournit un composant gratuit et intgr pour Symantec Endpoint Protection qui offre des fonctions d'installation par dfaut, la gestion client intgre et la notification haut niveau. Le logiciel d'Altiris permet des organismes de technologie informatique de grer, scuriser et entretenir des ressources htrognes. Il prend galement en charge la livraison de logiciel, la gestion des correctifs, le dimensionnement et beaucoup d'autres fonctions de gestion. Le logiciel d'Altiris aide les services d'alignement informatique piloter les objectifs de l'entreprise, fournir la scurit prte pour l'audit, automatiser les tches et rduire le cot et la complexit de la gestion. Pour plus d'informations sur le composant intgr pour Symantec Endpoint Protection, rendez-vous l'adresse suivante : https://kb.altiris.com/article.asp?article=35819&p=1 Pour plus d'informations sur Altiris, rendez-vous l'adresse suivante : http://www.altiris.com Pour tlcharger le composant d'intgration pour Symantec Endpoint Protection ou d'autres solutions Altiris, rendez-vous l'adresse suivante : http://www.altiris.com/Download.aspx

Options d'installation tierce


Le logiciel client Symantec prend en charge les options d'installation tierce que vous pouvez utiliser pour dployer le logiciel client. Cette prise en charge ncessite cependant une connaissance avance de Windows ou des outils d'administration

138

Installation du logiciel client Symantec Options d'installation tierce

tiers. Ces options avances sont particulirement utiles pour installer le logiciel client Symantec sur des rseaux de grande taille.

A propos de l'installation de clients avec des logiciels tiers


Vous pouvez installer des clients Symantec avec divers logiciels d'diteurs tiers, notamment Microsoft Active Directory, Tivoli, Microsoft Systems Management Server (SMS) et Novell ZENworks. Les seuls produits tiers tests et pris en charge sont Novell ZENworks, Microsoft Active Directory et Microsoft SMS.

A propos de la personnalisation des fichiers d'installation avec les options .msi


Les paquets d'installation du logiciel client Symantec sont des fichiers Windows Installer (.msi) entirement configurables et dploys l'aide des options standard de Windows Installer. Vous pouvez utiliser des outils de gestion d'environnement prenant en charge le dploiement .msi, comme Active Directory ou Tivoli, pour installer des clients sur votre rseau. Se reporter "A propos de la configuration des chanes de commande MSI" la page 219.

A propos de l'installation des clients avec Microsoft SMS 2003


Les administrateurs systme peuvent utiliser Microsoft Systems Management Server (SMS) pour installer le logiciel client Symantec. Nous supposons que les administrateurs systme qui utilisent SMS ont prcdemment install un logiciel avec SMS. En consquence, nous supposons que vous n'avez pas besoin d'informations dtailles sur l'installation du logiciel client Symantec avec SMS. Le logiciel d'installation client Symantec requiert l'excution de Microsoft Installer 3.1 sur les ordinateurs client avant l'installation. Ce logiciel est automatiquement install s'il n'est pas sur les ordinateurs client, mais seulement quand vous vous dployez avec un unique excutable setup.exe. Ce logiciel n'est pas automatiquement install si vous dployez avec le fichier MSI. Les ordinateurs qui excutent Windows Server 2003 avec Service Pack 2 et Windows Vista incluent Microsoft Installer 3.1 ou une version ultrieure. Au besoin, dployez d'abord WindowsInstaller-x86.exe qui est contenu dans les rpertoires d'installation SEP et SNAC sur le CD-ROM d'installation. La mise niveau vers MSI 3.1 requiert galement un redmarrage de l'ordinateur.

Installation du logiciel client Symantec Options d'installation tierce

139

Remarque : Cette remarque concerne les versions 2.0 et antrieures de SMS. Si vous dployez des fichiers avec SMS, il se peut que vous deviez dsactiver l'option Afficher l'icne d'tat sur la barre d'outils pour toute activit du systme sur les clients dans le Contrleur de programmes publis. Dans certains cas, Setup.exe peut imposer de mettre jour un fichier partag utilis par le Contrleur de programmes publis. Si le fichier est en cours d'utilisation, l'installation chouera. Pour crer et distribuer le logiciel client Symantec avec SMS 2003, vous effectuez typiquement les tches suivantes :

Crez avec Symantec Endpoint Protection Manager Console un paquet d'installation de logiciel qui contient le logiciel et les politiques installer sur vos ordinateurs client. En complment, ce paquet d'installation de logiciel doit contenir un fichier nomm Sylink.xml, qui identifie le serveur qui gre les clients. Crez un rpertoire source et copiez les fichiers d'installation de client Symantec dans ce rpertoire source. Par exemple, vous crerez un rpertoire source qui contient les fichiers d'installation pour le logiciel client Symantec. Crez un paquet, nommez le paquet et identifiez le rpertoire source en tant qu'lment du paquet. Configurez la bote de dialogue de programme pour le paquet pour spcifier l'excutable qui dmarre l'installation et spcifiez ventuellement MSI avec des paramtres. Distribuez le logiciel des collections spcifiques avec diffusion.

Avertissement : N'installez pas un paquet cr avec des fichiers d'installation copis depuis le CD d'installation ou tout autre support sans inclure de fichier Sylink.xml. Vous devez inclure un fichier Sylink.xml cr aprs l'installation et l'utilisation de la console Symantec Endpoint Protection Manager. Au minimum, ce fichier identifie le serveur de gestion auprs duquel les clients se signalent. Si vous n'incluez pas ce fichier et installez un paquet qui a t cr avec des fichiers d'installation seulement, vous installerez des clients non grs. Par consquent, vous pouvez potentiellement installer 1000 clients non grs, ou davantage, avec les paramtres par dfaut si vous grez une grande entreprise. Pour plus d'informations sur l'utilisation de SMS, consultez la documentation de Microsoft Systems Management Server.

140

Installation du logiciel client Symantec Options d'installation tierce

Installer des clients avec Active Directory Group Policy Object


Vous pouvez installer le logiciel client Symantec en utilisant Active Directory Group Policy Object sous Windows 2000/2003. La voie la plus facile de mettre en application la politique de groupe est avec Microsoft Group Policy Management Console avec Service Pack 1 ou suprieur. Ce logiciel est librement disponible sur le site Web de Microsoft et s'excute sur Windows Server 2003. Les procdures pour installer le logiciel client avec Active Directory Group Policy Object suppose que vous avez install ce logiciel et utilisez Windows 2003 Active Directory. Pour installer le logiciel client Symantec en utilisant Active Directory Group Policy Object, vous devez faire ce qui suit :

Crez l'image d'installation administrative. Copiez Sylink.xml vers les fichiers d'installation Dfinissez l'utilisation de l'image d'installation administrative. Crez une distribution logicielle GPO. Crez un script de dmarrage de Windows Installer 3.1 Ajoutez des ordinateurs l'unit organisationnelle

Avant l'installation
Le logiciel d'installation requiert que les ordinateurs client contiennent et puissent excuter Windows Installer 3.1 ou postrieur. Par dfaut, les ordinateurs client satisfont cette condition s'ils excutent Windows XP avec Service Pack 2 et versions ultrieures, Windows Server 2003 avec Service Pack 1 et versions ultrieures ou Windows Vista. Si les ordinateurs client ne rpondent pas cette exigence, toutes les autres mthodes d'installation installent automatiquement Windows Installer 3.1 en l'amorant partir des fichiers d'installation. Pour des raisons de scurit, Windows Group Policy Object ne permet pas l'amorage du fichier excutable WindowsInstaller*.exe partir des fichiers d'installation. Par consquent, avant d'installes le logiciel client Symantec, vous devez excuter ce fichier sur les ordinateurs qui ne contiennent pas et n'excutent pas Windows Installer 3.1. Vous pouvez excuter ce fichier avec un script de dmarrage d'ordinateur. Avant de dcider d'utiliser GPO comme mthode d'installation, vous devez dvelopper une approche pour mettre jour les ordinateurs client qui ne contiennent pas et n'excutent pas Windows Installer 3.1. L'installation du client Symantec utilise les fichiers .msi standard de Windows Installer. En consquence, vous pouvez personnaliser l'installation du client avec les proprits et les fonctionnalits .msi, comme document dans l'annexe A.

Installation du logiciel client Symantec Options d'installation tierce

141

Enfin vrifiez que votre serveur DNS est configur correctement. Cette vrification est capitale, car Active Directory repose en grande partie sur votre serveur DNS dans le cadre des communications entre les ordinateurs. Pour tester l'installation, excutez une commande ping sur l'ordinateur Windows Active Directory, puis excutez une commande ping dans la direction oppose. Utilisez le nom de domaine entirement qualifi. L'utilisation du simple nom d'ordinateur n'appelle pas une nouvelle recherche DNS. Utilisez le format suivant :
ping nomordinateur.nomdomaineentirementqualifi.com

Vous devriez galement tester l'installation de GPO avec un nombre restreint d'ordinateurs avant le dploiement de production. Si le DNS n'est pas configur correctement, les installations de GPO peuvent prendre une heure ou plus.

Cration de l'image d'installation administrative


Les installations d'Objet de politique de groupe qui utilisent Windows Installer 3.0 et antrieur requirent des images administratives des fichiers d'installation client. Cette image n'est pas une condition pour les installations 3.1 et postrieures et est facultative. Si vous ne crez pas l'image administrative, vous devez encore copier le contenu du dossier de SEP du CD sur votre ordinateur. Pour crer l'image d'installation administrative

1 2 3 4 5

Copiez le contenu du dossier SEP du CD sur votre ordinateur. A partir d'une invite de commandes, allez dans le dossier SEP et saisissez msiexec /a "Symantec AntiVirus.msi". Dans l'cran d'accueil, cliquez sur Suivant. Dans l'cran Emplacement rseau, saisissez l'emplacement dans lequel vous voulez crer l'image d'installation administrative, puis cliquez sur Installer. Cliquez sur Terminer.

Copier Sylink.xml sur les fichiers d'installation


Quand vous installez Symantec Endpoint Protection Manager, l'installation cre un fichier nomm Sylink.xml. Les clients Symantec lisent le contenu de ce fichier pour savoir quel Symantec Endpoint Protection Manager gre le client. Si vous ne copiez pas ce fichier sur les fichiers d'installation avant d'installer le logiciel client, vous crerez les clients non grs. Si vous n'avez pas cr au moins un nouveau groupe avec la console de gestion, le fichier Sylink.xml fait apparatre les clients dans le groupe Temporaire.

142

Installation du logiciel client Symantec Options d'installation tierce

Remarque : Ces informations ne s'appliquent pas aux paquets qui sont exports avec Symantec Endpoint Protection Manager Console. Ces paquets contiennent sylink.xml. Pour copier Sylink.xml sur les fichiers d'installation

1 2

Si ce n'est pas fait, installez Symantec Endpoint Protection Manager. Recherchez un fichier Sylink.xml dans l'un des dossiers d'outbox. Par dfaut, ces dossiers sont situs dans \\Program Files\Symantec\Symantec Endpoint Protection Manager\data\outbox\agent\uid\. Vous pouvez devoir ouvrir et lire les fichiers Sylink.xml dans les diffrents fichiers uid avec un diteur de texte pour trouver le fichier dsir.

3 4

Au besoin, copiez Sylink.xml sur un support amovible. Copiez Sylink.xml en utilisant l'une des procdures suivantes :

Si vous avez cr une image de fichier d'installation administrative, remplacez le fichier Sylink.xml dans le dossier\\rpertoire_installation\Program Files\Symantec Endpoint Protection Manager\. Si vous n'avez pas cr une image de fichier d'installation administrative, copiez le contenu du dossier SEP du CD sur un dossier de destination de votre ordinateur. Copiez ensuite le fichier Sylink.xml dans ce dossier de destination.

Prsentation des fichiers d'installation


La prsentation des fichiers d'installation implique le partage du dossier qui contient ou contiendra les fichiers d'installation client. Pour prsenter les fichiers d'installation

1 2 3 4 5

Au besoin, copiez le dossier qui contient les fichiers d'installation client dans un dossier qui est ou sera partag. Cliquez avec le bouton droit de la souris sur le dossier et cliquez sur Partage et scurit. Dans la bote de dialogue Proprits, dans l'onglet Partage, cochez Partager ce dossier et cliquez sur Permissions. Dans la bote de dialogue Permissions, sous Noms de groupe ou d'utilisateur, cliquez sur Tous et cliquez sur Supprimer. Cliquez sur Ajouter.

Installation du logiciel client Symantec Options d'installation tierce

143

6 7 8

Sous Entrer les noms des objets slectionner, saisissez les utilisateurs authentifis (Authenticated Users) et cliquez sur Vrifier les noms. Tapez Ordinateurs de domaine, cliquez sur Vrifier les noms et cliquez sur OK. Dans la bote de dialogue Permissions, cliquez sur Appliquer et cliquez sur OK.

Crer une distribution logicielle GPO


La procdure suppose que vous avez install la console de gestion des stratgies de groupe de Microsoft avec le Service pack 1 ou une version ultrieure. La procdure suppose galement que des ordinateurs appartiennent au groupe d'ordinateurs ou un autre groupe pour lequel vous voulez installer le logiciel client. Vous ferez glisser ces ordinateurs dans un nouveau groupe que vous allez crer. Remarque : Si l'option Contrle de compte d'utilisateur (UAC) est active, vous devez activer Toujours installer avec des privilges tendus pour la configuration d'ordinateur et la configuration d'utilisateur afin d'installer le logiciel client Symantec avec un GPO. La dfinition de ces options permet tous les utilisateurs Windows, y compris les utilisateurs standard, d'installer le logiciel client Symantec. Pour crer un paquet GPO

1 2

Dans la barre des tches de Windows, cliquez sur Dmarrer > Programmes > Outils d'administration > Gestion des stratgies de groupe. Dans la fentre Utilisateurs et ordinateurs Active Directory, dans l'arborescence de console, cliquez avec le bouton droit de la souris sur le domaine, puis cliquez sur Utilisateurs et ordinateurs Active Directory. Dans la fentre Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit de la souris sur Domaine, puis cliquez sur Nouveau > Unit organisationnelle. Dans la bote de dialogue Nouvel objet, dans la zone Nom, tapez le nom de l'unit organisationnelle et cliquez sur OK. Dans la fentre Utilisateurs et ordinateurs Active Directory, cliquez sur Fichier > Quitter.

4 5

144

Installation du logiciel client Symantec Options d'installation tierce

Dans la fentre Gestion des stratgies de groupe, dans l'arborescence de console, cliquez avec le bouton droit de la souris sur l'unit organisationnelle que vous avez cre, puis cliquez sur Crer et lier un GPO. Vous devrez peut-tre actualiser le domaine pour que la nouvelle unit organisationnelle apparaisse.

7 8 9

Dans la bote de dialogue Nouveau GPO, dans la zone Nom, tapez le nom de l'objet GPO et cliquez sur OK. Dans le volet droit, cliquez avec le bouton droit de la souris sur le GPO que vous avez cr, puis cliquez sur Edition. Dans la fentre de l'diteur d'objet de stratgie de groupe, dans le volet gauche, sous Configuration de l'ordinateur, dveloppez Paramtres du logiciel. puis cliquez sur Nouveau > Paquet.

10 Cliquez avec le bouton droit de la souris sur l'option d'installation logicielle, 11 Dans la bote de dialogue Ouvrir, tapez le chemin d'accs, selon la convention
d'affectation des noms (UNC), qui pointe vers le paquet MSI et le contient. Utilisez le format illustr par l'exemple suivant :
\\nom serveur\SharedDir\Symantec AntiVirus.msi

12 Cliquez sur Ouvrir. 13 Dans la bote de dialogue Dployer le logiciel, cliquez sur Assign, puis sur
OK. Le paquet apparat dans le volet droit de la fentre de l'diteur d'objet de stratgie de groupe si vous choisissez l'option d'installation logicielle. Pour configurer des modles pour le paquet

Dans la fentre de l'diteur d'objet de stratgie de groupe, dans l'arborescence de console, affichez et activez les paramtres suivants :

Sous Configuration > Modles d'administration > Window Installer > Toujours installer avec des droits levs Configuration ordinateur > Modles d'administration > Systme > Connexion > Toujours attendre le rseau au dmarrage et la connexion de l'ordinateur Configuration ordinateur > Modles d'administration > Systme > Stratgie de groupe > Traitement de stratgie d'installation de logiciels Configuration utilisateur > Modles d'administration > Composants Windows > Windows Installer> Toujours installer avec des droits levs

Fermez la fentre de l'diteur d'objet de stratgie de groupe.

Installation du logiciel client Symantec Options d'installation tierce

145

Dans la fentre Gestion des stratgies de groupe, dans le volet gauche, cliquez avec le bouton droit de la souris sur le GPO que vous avez modifi, puis cliquez sur Appliqu. Dans le volet droit, sous Filtrage de scurit, cliquez sur Ajouter. Dans la bote de dialogue, sous Entrer le nom d'objet slectionner, saisissez les ordinateurs du domaine (Domain Computers) et cliquez sur OK.

4 5

Crer un script de dmarrage de Windows Installer


Vous devez installer Windows Installer sur les ordinateurs qui contiennent et excutent des versions prcdentes de Windows Installer. Vous pouvez afficher des versions de Windows Installer en excutant msiexec/? dans une invite de commandes. Windows Installer 3.1 est requis pour le paquet d'installation de GPO. Vous tes libre de choisir le mode d'installation de Windows Installer sur des ordinateurs. Remarque : Les utilisateurs restreints ne peuvent pas excuter Windows Installer, tout comme les utilisateurs restreints avec des privilges tendus. Des utilisateurs restreints sont dfinis avec la stratgie de scurit locale. Une manire d'installer Windows Installer consiste employer un script de dmarrage d'ordinateur GPO. Les scripts de dmarrage s'excutent avant les fichiers d'installation .msi du GPO au redmarrage d'ordinateurs. Si vous procdez ainsi, n'oubliez pas que le script de dmarrage s'excute et rinstalle Windows Installer chaque redmarrage de l'ordinateur. Si vous l'installez en mode silencieux, cependant, les utilisateurs doivent patienter quelques instants avant que l'cran de connexion n'apparaisse. Le logiciel client Symantec n'est install qu'une seule fois avec un GPO. Pour installer Windows Installer 3.1

Dans la fentre Gestion des stratgies de groupe, dans l'arborescence de console, dveloppez l'unit organisationnelle, cliquez avec le bouton droit de la souris sur le paquet, puis cliquez sur Edition. Dans la fentre de l'diteur d'objet de stratgie de groupe, dans l'arborescence de console, dveloppez Configuration de l'ordinateur > ParamtresWindows, puis cliquez sur Scripts (Dmarrage/arrt). Dans le volet droit, cliquez deux fois sur Dmarrage. Dans la bote de dialogue Proprits de dmarrage, cliquez sur Afficher les fichiers.

3 4

146

Installation du logiciel client Symantec Options d'installation tierce

Dans une nouvelle fentre, affichez le contenu du dossier des fichiers d'installation GPO, puis copiez WindowsInstaller-893803-x86.exe de la fentre et du dossier vers la fentre et le dossier Dmarrage. Affichez nouveau la bote de dialogue Proprits de dmarrage, puis cliquez sur Ajouter. Dans la bote de dialogue Ajouter un script, cliquez sur Parcourir. Dans la bote de dialogue Parcourir, slectionnez le fichier excutable de Windows Installer, puis cliquez sur Ouvrir. Dans la bote de dialogue Ajouter un script, dans la zone Paramtres de script, tapez /quiet /norestart et cliquez sur OK.

6 7 8 9

10 Dans la bote de dialogue Proprits de dmarrage, cliquez sur OK. 11 Quittez la fentre du gestionnaire d'objets de stratgie de groupe.

Ajouter des ordinateurs l'unit organisationnelle et au logiciel d'installation


Vous tes maintenant prt ajouter des ordinateurs l'unit organisationnelle. Lorsque les ordinateurs redmarrent, l'installation du logiciel client commence. Lorsque des utilisateurs se connectent aux ordinateurs, l'installation du logiciel client se termine. La mise jour des stratgies de groupe, cependant, n'est pas instantane et la propagation de la stratgie peut donc prendre du temps. La procdure, cependant, contient les commandes que vous pouvez excuter sur les ordinateurs client pour mettre jour la stratgie la demande. Pour ajouter des ordinateurs l'unit organisationnelle et installer le logiciel

1 2

Dans la barre des tches de Windows, cliquez sur Dmarrer > Programmes > Outils d'administration > Utilisateurs et ordinateurs Active Directory. Dans la fentre Utilisateurs et ordinateurs Active Directory, dans l'arborescence de console, localisez un ou plusieurs ordinateurs ajouter l'unit organisationnelle que vous avez cre pour l'installation du GPO. Les ordinateurs apparaissent d'abord dans l'unit organisationnelle des ordinateurs.

3 4 5 6

Glissez-dposez les ordinateurs dans l'unit organisationnelle que vous avez cre pour l'installation. Fermez la fentre Utilisateurs et ordinateurs Active Directory. Pour appliquer rapidement les modifications aux ordinateurs client ( des fins de test), ouvrez une invite de commande sur ces ordinateurs. Tapez une des commandes suivantes et appuyez sur Entre.

Installation du logiciel client Symantec Dmarrage de l'interface utilisateur client

147

Sur les ordinateurs qui excutent Windows 2000, tapez secedit /refreshpolicy machine_policy. Sur les ordinateurs qui excutent Windows XP ou une version ultrieure, tapez gpupdate.

Cliquez sur OK.

Dsinstaller le logiciel client avec l'objet Politique de groupe Active Directory


Vous pouvez galement dsinstaller le logiciel client que vous avez install avec Active Directory. Pour dsinstaller le logiciel client avec l'objet Stratgie de groupe Active Directory

1 2

Dans la barre des tches de Windows, cliquez sur Dmarrer > Programmes > Outils d'administration > Gestion des stratgies de groupe. Dans la fentre Gestion des stratgies de groupe, dans l'arborescence de console, dveloppez le domaine, dveloppez Configuration de l'ordinateur, dveloppez Paramtres du logiciel, cliquez avec le bouton droit de la souris sur Installation du logiciel, puis cliquez sur Proprits. Dans l'onglet Avanc, cochez la case Dsinstaller cette application quand elle sort du champ de la gestion, puis cliquez sur OK. Dans le volet droit, cliquez avec le bouton droit de la souris sur le logiciel, puis cliquez sur Supprimer. Dans la bote de dialogue Supprimer le logiciel, cochez la case Dsinstaller immdiatement le logiciel des utilisateurs et des ordinateurs et cliquez sur OK. Fermez la fentre de l'diteur d'objet de stratgie de groupe, puis la fentre Gestion des stratgies de groupe. Le logiciel est dsinstall au redmarrage des ordinateurs client.

3 4 5

Dmarrage de l'interface utilisateur client


Vous pouvez dmarrer l'interface utilisateur client sur des clients grs et non grs l'aide du menu Dmarrer de Windows ou cliquer deux fois sur la barre des tches de Windows. L'installation Server Core de Windows Server 2008 offre seulement une interface de ligne de commande. Vous pouvez dmarrer l'interface utilisateur client manuellement en excutant le fichier SymCorpUI.exe stock dans le dossier d'installation de Symantec Endpoint Protection.

148

Installation du logiciel client Symantec Dsinstallation du logiciel client

Pour dmarrer l'interface utilisateur client

Effectuez l'une des oprations suivantes :

Dans le menu Dmarrer de Windows, cliquez sur Dmarrer > Tous les programmes > Symantec Endpoint Protection > Symantec Endpoint Protection. Dans le menu Dmarrer de Windows, cliquez sur Dmarrer > Tous les programmes > Symantec Network Access Control > Symantec Network Access Control. Dans la zone de notification de la barre des tches Windows, cliquez deux fois sur l'icne Symantec Endpoint Protection ou Symantec Network Access Control.

Pour dmarrer l'interface utilisateur client sous Windows Server 2008 Server Core

A l'invite de commande, effectuez l'une des oprations suivantes :

Sur les serveurs 32 bits de Windows Server 2008 Core Server, excutez la commande suivante :
C:\Program Files\Symantec\Symantec Endpoint Protection

Sur les serveurs 64 bits de Windows Server 2008 Core Server, excutez la commande suivante :
C:\Program Files (x86)\Symantec\Symantec Endpoint Protection

Excutez la commande suivante :


symcorpui.

Dsinstallation du logiciel client


Vous pouvez dsinstaller le logiciel client avec l'utilitaire Windows Add and Remove. Si vous dsinstallez le logiciel client Symantec Endpoint Protection qui excute actuellement une politique bloquant des priphriques matriels, ces priphriques sont encore bloqus une fois le logiciel dsinstall. Pour dbloquer les priphriques, utilisez Outils d'administration > Gestion de l'ordinateur > Gestion des priphriques.

Dsinstaller le logiciel client sur Windows Server 2008 Server Core


L'installation Server Core de Windows Server 2008 offre seulement une interface de ligne de commande. Vous pouvez cependant grer des installations Server Core en utilisant des outils de gestion distance.

Installation du logiciel client Symantec Dsinstallation du logiciel client

149

Pour dsinstaller le logiciel client sous Windows Server 2008 Server Core

1 2

Lancez l'Editeur du Registre l'aide de la commande Regedit . Naviguez vers la cl suivante : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall

3 4

Slectionnez et copiez le nom de la cl {chane-dsinstallation} pour Symantec Endpoint Protection. A une invite de commande, excutez la commande suivante :
msiexec.exe /x {chane_dsinstallation}

150

Installation du logiciel client Symantec Dsinstallation du logiciel client

Chapitre

Installation de Quarantaine et des serveurs LiveUpdate


Ce chapitre traite des sujets suivants :

Avant l'installation Installation et configuration de la quarantaine centralise A propos de l'utilisation d'un serveur Symantec LiveUpdate Pour obtenir plus d'informations sur la configuration d'un serveur LiveUpdate Dsinstallation des composants de gestion de Symantec Endpoint Protection

Avant l'installation
Symantec Endpoint Protection et Symantec Network Access Control sont fournis avec les composants d'administration optionnels que vous pouvez utiliser pour vous aider administrer des clients et des serveurs. Symantec Endpoint Protection inclut des serveurs de gestion de la quarantaine centralise et de LiveUpdate. Symantec Network Access Control inclut un serveur de gestion de LiveUpdate seulement. Un serveur de gestion LiveUpdate est particulirement utile dans les grands rseaux qui contiennent plusieurs produits Symantec qui excutent LiveUpdate.

Installation et configuration de la quarantaine centralise


Le serveur de quarantaine reoit les soumissions de virus et de risques de scurit en provenance des clients Symantec Endpoint Protection et les transfre

152

Installation de Quarantaine et des serveurs LiveUpdate Installation et configuration de la quarantaine centralise

Symantec. La console de quarantaine vous permet de grer le serveur de quarantaine et ces soumissions. Si votre rseau ncessite un emplacement centralis pour tous les fichiers mis en quarantaine, vous pouvez installer la quarantaine centralise. La quarantaine centralise est constitue du serveur de quarantaine et de la console de quarantaine. Le serveur de quarantaine et la console de quarantaine peuvent tre installs sur le mme ordinateur Windows ou sur des postes diffrents pris en charge. Remarque : Si vous installez le serveur de quarantaine ou la console de quarantaine depuis les dossiers d'installation individuels du CD, excutez Setup.exe plutt que le fichier .msi. L'emploi de Setup.exe garantit que tous les fichiers requis par Windows Installer sont installs sur l'ordinateur cible avant l'excution du paquet d'installation .msi. Pour des informations compltes, consultez le Guide d'administration de la quarantaine centralise Symantec sur le CD-ROM d'installation. L'installation de la quarantaine centralise comprend les tches suivantes dans l'ordre suivant :

Installation de la console de quarantaine Installation du serveur de quarantaine Configurer des groupes pour utiliser la quarantaine centralise

Remarque : Installez la console de quarantaine d'abord et installez ensuite le serveur de quarantaine. Si vous ne respectez pas cet ordre, l'AMS n'est pas correctement configur. Si vous ne respectez pas cet ordre et que vous souhaitez configurer correctement l'AMS, associez le serveur AMS au serveur de quarantaine l'aide des proprits d'alerte. Redmarrez ensuite le serveur de quarantaine.

Installation de la console de quarantaine


La console de quarantaine vous permet de grer des soumissions au serveur de quarantaine.

Installation de Quarantaine et des serveurs LiveUpdate Installation et configuration de la quarantaine centralise

153

Pour installer la console de quarantaine

Sur l'ordinateur sur lequel Symantec Endpoint Protection Manager Console est install, insrez le CD-ROM d'installation dans le lecteur de CD-ROM. Si votre ordinateur n'est pas configur pour excuter les CD automatiquement, vous devez excuter Setup.exe manuellement.

2 3

Dans l'cran principal, cliquez sur Installer d'autres outils d'administration > Installer la console de quarantaine centralise. Suivez les instructions affiches pour terminer l'installation.

Installation du serveur de quarantaine


Le serveur de quarantaine reoit les transmissions de virus. Le serveur de quarantaine requiert un redmarrage aprs installation. Pour installer le serveur de quarantaine :

Sur l'ordinateur sur lequel vous voulez installer le serveur de quarantaine, insrez le CD d'installation dans le lecteur de CD-ROM. Si votre ordinateur n'est pas configur pour excuter les CD automatiquement, vous devez excuter Setup.exe manuellement.

2 3 4 5

Cliquez sur Installer d'autres outils d'administration > Installer le serveur de quarantaine centralise. Dans l'cran d'accueil, cliquez sur Suivant. Dans le volet Contrat de licence, cliquez sur J'accepte les termes du contrat de licence, puis cliquez sur Suivant. Dans le volet Dossier de destination, effectuez l'une des oprations suivantes :

Pour accepter le dossier de destination par dfaut, cliquez sur Suivant. Pour changer de dossier de destination, cliquez sur Changer, spcifiez un nouveau dossier cible, cliquez sur OK, puis cliquez sur Suivant.

Dans le panneau Type d'installation, slectionnez ce qui suit :

Bas sur Internet (recommand), puis cliquez sur Suivant.

L'option Bas sur Messagerie n'est plus prise en charge.

Dans le volet Espace disque maximal, saisissez la quantit d'espace disque rserver sur le serveur pour les lments envoys par les clients la quarantaine centralise, puis cliquez sur Suivant.

154

Installation de Quarantaine et des serveurs LiveUpdate Installation et configuration de la quarantaine centralise

Dans la fentre des informations de contact, saisissez le nom de votre socit, votre ID de contact/numro de compte Symantec et les informations de contact, puis cliquez sur Suivant. Dans l'cran Communications Web, changez si ncessaire l'adresse de la passerelle, puis cliquez sur Suivant. Par dfaut, le champ du nom de la passerelle est rempli avec l'adresse de la passerelle.

10 Dans le panneau Configuration des alertes, cochez Activer les alertes pour
utiliser AMS, puis cliquez sur Suivant.

11 Dans l'cran Prt pour l'installation, cliquez sur Installer, puis suivez les
instructions affiches l'cran pour terminer l'installation.

12 Notez l'adresse IP ou le nom d'hte de l'ordinateur sur lequel vous avez install
le serveur de quarantaine et le numro de port. Ces informations seront ncessaires lors de la configuration des programmes clients qui transmettent des lments la quarantaine centralise.

Configurer des groupes pour utiliser la quarantaine centralise


Pour configurer les communications rseau de la quarantaine centralise, vous devez spcifier le port sur lequel le serveur de quarantaine coute. Vous devez galement crer et s'appliquer une politique antivirus un groupe qui spcifie l'ordinateur et le port de serveur de quarantaine. Vous configurez le port d'coute de serveur de quarantaine avec la console de quarantaine Symantec et vous crez la politique antivirus avec Symantec Endpoint Protection Manager Console. Remarque : L'interface utilisateur de la console de quarantaine vous permet de slectionner le protocole IP ou le protocole SPX et de spcifier le numro de port configurer. Ce protocole IP et le numro de port sont TCP. Ne slectionnez pas SPX. En outre, le numro de port TCP que vous entrez n'est pas celui qui apparat pour le port d'coute du serveur de quarantaine une fois affich avec des outils comme netstat -a. Par exemple, si vous entrez le numro de port 33, netstat -a affiche le port TCP 8448. Les nombres hexadcimaux et les nombres dcimaux se convertissent de manire incorrecte et s'intervertissent. Pour plus de dtails, rendez-vous la page suivante : http://entsupport.symantec.com/docs/n2000081412370148

Installation de Quarantaine et des serveurs LiveUpdate Installation et configuration de la quarantaine centralise

155

Pour configurer le serveur de quarantaine

Dans le volet gauche de la console de quarantaine centralise Symantec, dans l'arborescence de la console, cliquez avec le bouton droit de la souris sur Quarantaine centralise Symantec, puis cliquez sur Proprits. Dans l'onglet Gnral, sous Protocoles, cochez Surveillance sous IP. SPX n'est plus pris en charge.

Dans la zone Ecouter sur le port IP, tapez le numro de port sur lequel pour couter des soumissions client. Ce numro de port est TCP/IP. N'entrez pas un numro de port bien connu d'IANA sans faire la recherche pour consulter si elle est utilise dans votre rseau. Par exemple, n'entrez pas le numro de port 21 parce qu'il est rserv pour les communications FTP.

Cliquez sur OK.

Pour configurer une politique antivirus

1 2 3

Dans Symantec Endpoint Protection Manager Console, cliquez sur Politiques. Dans le volet Afficher les politiques, cliquez sur Antivirus et antispyware. Dans le volet Tches, cliquez sur Ajouter une politique antivirus et antispyware.... Vous pouvez galement modifier une politique existante.

4 5

Dans la fentre Politique antivirus et antispyware, dans le volet gauche, cliquez sur Transmissions. Sous Elments en quarantaine, slectionnez Permettre aux ordinateurs client de transmettre automatiquement les lments en quarantaine un serveur de quarantaine. Dans la zone Nom du serveur, tapez le nom de domaine entirement qualifi ou l'adresse IP du serveur de quarantaine. Dans la zone Numro de port, acceptez ou modifiez le numro de port par dfaut. Dans la zone Ressayer, acceptez ou modifiez l'intervalle de relance quand les communications entre le client et le serveur de quarantaine chouent. Cliquez sur OK. Oui.

6 7 8 9

10 Sur la bote de dialogue d'avertissement Assigner la politique, cliquez sur 11 Slectionnez les groupes pour la politique, puis cliquez sur Assigner. 12 Cliquez sur Oui pour confirmer les modifications de politique.

156

Installation de Quarantaine et des serveurs LiveUpdate A propos de l'utilisation d'un serveur Symantec LiveUpdate

A propos de l'utilisation d'un serveur Symantec LiveUpdate


LiveUpdate est l'utilitaire qui met jour des ordinateurs client avec des dfinitions de virus, des signatures de dtection d'intrusion, des correctifs de produit, etc. Dans les environnements non grs, LiveUpdate est typiquement configur sur les ordinateurs client pour se connecter directement aux serveurs Symantec LiveUpdate. Dans les environnements grs de rseaux petits moyens, LiveUpdate est gnralement configur sur les ordinateurs client pour se connecter Symantec Endpoint Protection Manager. Dans les grands rseaux grs, il peut tre trs important d'conomiser la bande passante par l'intermdiaire de passerelles Internet. Quand ces questions sont importantes, vous pouvez installer et configurer un ou plusieurs serveurs LiveUpdate pour tlcharger les mises jour. Vous pouvez ensuite distribuer les mises jour aux serveurs de gestion ou directement aux clients. Figure 6-1 illustre les trois architectures rseau qui prennent en charge les serveurs LiveUpdate.

Installation de Quarantaine et des serveurs LiveUpdate A propos de l'utilisation d'un serveur Symantec LiveUpdate

157

Figure 6-1

Architectures de distribution de LiveUpdate

Symantec LiveUpdate

Serveur LiveUpdate

Serveur LiveUpdate

Serveur LiveUpdate

Serveur de gestion Groupe de clients

Serveur proxy LiveUpdate

Groupe de clients

Groupe de clients

L'architecture de gauche est la plus simple mettre en oeuvre. Pour la mettre en uvre, vous modifiez un paramtre pour le site de gestion. Il est un peu plus difficile de mettre en uvre l'architecture au centre. Pour la mettre en uvre, vous modifiez un paramtre pour le site de gestion et vous modifiez la politique LiveUpdate applique au groupe. L'architecture droite est la plus difficile mettre en uvre avec l'ajout du serveur proxy LiveUpdate.

158

Installation de Quarantaine et des serveurs LiveUpdate Pour obtenir plus d'informations sur la configuration d'un serveur LiveUpdate

Remarque : Cette documentation ne dcrit pas comment configurer des sites ou des politiques Symantec Endpoint Protection pour mettre en uvre ces architectures LiveUpdate. Cette documentation dcrit seulement comment installer l'utilitaire d'administration de LiveUpdate et le serveur. Pour mettre entirement en uvre ces architectures LiveUpdate, consultez le Guide d'administration de Symantec Endpoint Protection et de Symantec Network Access Control..

Pour obtenir plus d'informations sur la configuration d'un serveur LiveUpdate


Pour connatre les dernires procdures de configuration, reportez-vous au Guide de prise en main de Symantec LiveUpdate Administrator qui se trouve dans le rpertoire DOCUMENTATION du CD d'installation.

Dsinstallation des composants de gestion de Symantec Endpoint Protection


Vous pouvez dsinstaller tous les composants de gestion de Symantec Endpoint Protection en utilisant l'lment Ajout/Suppression de programmes dans le Panneau de configuration de l'ordinateur local.

Section

Migration et mise niveau

Migration de Symantec AntiVirus et de Symantec Client Security Migration du logiciel hrit Symantec Sygate Mise niveau vers de nouveaux produits Symantec

160

Chapitre

Migration de Symantec AntiVirus et de Symantec Client Security


Ce chapitre traite des sujets suivants :

Vue d'ensemble et squence de la migration Chemins de migration pris en charge et non pris en charge Prparer les installations hrites en vue de la migration A propos de la migration et la non prservation de serveur, des groupes de clients et des paramtres A propos de la migration de groupes et de paramtres A propos des paramtres qui n'effectuent pas de migration A propos des paquets et du dploiement Installer Symantec Endpoint Protection Manager Effectuer une migration des paramtres de serveur et de groupe de clients Vrifier la migration et mettre jour les politiques de migration Migration des clients autonomes Ce qui a chang pour les administrateurs hrits

162

Migration de Symantec AntiVirus et de Symantec Client Security Vue d'ensemble et squence de la migration

Vue d'ensemble et squence de la migration


Prenez connaissance de toutes les informations fournies dans ce chapitre avant de migrer les clients et les serveurs hrits Symantec AntiVirus et Symantec Client Security. En outre, testez toutes les procdures de ce chapitre dans un environnement de test avant de migrer les clients et les serveurs hrits Symantec AntiVirus et Symantec Client Security. Suivez cette squence pour crer votre environnement de test et tester la migration :

Crez un environnement de test comportant au moins trois ordinateurs. Si possible, crez un environnement de test qui ressemble votre infrastructure de gestion. Si vous disposez de plusieurs serveurs de gestion, installez-en plusieurs. Par exemple, si vous disposez de plusieurs groupes de serveurs, crez plusieurs groupes de serveurs. Installez une version hrite prise en charge de Symantec System Center, un serveur de gestion principal et un client gr sur diffrents ordinateurs de test. Dsinstallez le serveur Reporting si vous l'avez install. Utilisez Symantec System Center afin de configurer des paramtres pour le serveur de gestion et le client qui les prpare en vue de la migration. Installez et connectez-vous Symantec Endpoint Protection Manager sur un ordinateur de votre environnement de test.

Ensuite, dcidez de migrer ou non vos groupes et vos paramtres de Symantec System Center vers Symantec Endpoint Protection Manager. Si vous ne voulez pas migrer vos groupes et vos paramtres, vous pouvez crer de nouveaux groupes, de nouvelles politiques et de nouveaux paquets d'installation avec Symantec Endpoint Protection Manager. Migrez alors vos clients et vos serveurs hrits, dsinstallez Symantec System Center et migrez le client ou le serveur hrit qui protge cet ordinateur. Pour migrer vos groupes et vos paramtres, vous devez comprendre comment ils sont migrs et dploys vers les clients et les serveurs hrits. Plus spcifiquement, vous devez comprendre les actions suivantes :

Lisez et comprenez vos options de migration des paramtres de groupe de Symantec System Center vers des politiques dans la console Symantec Endpoint Protection Manager. Lisez et sachez comment les paquets d'installation client sont crs, o ils se trouvent et comment ils affectent les ordinateurs client aprs la migration.

Migration de Symantec AntiVirus et de Symantec Client Security Vue d'ensemble et squence de la migration

163

Si vous ne dployez pas de paquets d'installation client l'aide d'outils tiers tels que SMS, prenez connaissance de vos possibilits d'utilisation de l'Assistant de dploiement pour dployer des paquets d'installation client. Dcidez en particulier si vous voulez ou non exporter une liste d'ordinateurs client vers un fichier texte de Symantec System Center pour chaque serveur de gestion. Importez ensuite ce fichier vers l'assistant de dploiement en vue du dploiement. Utilisez l'assistant de migration et de dploiement pour effectuer la migration dans cet environnement de test et crer vos paquets d'installation client. Choisissez les paquets d'installation dployer pour la migration.

Aprs avoir cr vos paquets d'installation, dterminez les paquets dployer vers les serveurs de gestion et les clients hrits. Il est recommand de dployer les paquets et d'en vrifier le dploiement dans l'ordre suivant :

Dployez un paquet d'installation client vers un ou plusieurs clients. Vrifiez que les clients apparaissent dans les bons groupes dans la console Symantec Endpoint Protection Manager. Vrifiez que la politique de paramtres LiveUpdate et les politiques antivirus et antispyware ont t correctement migres pour le client. Dployez un paquet d'installation client vers un ou plusieurs serveurs de gestion hrits. Vrifiez que les serveurs apparaissent dans les bons groupes dans la console Symantec Endpoint Protection Manager. Vrifiez que la politique de paramtres LiveUpdate et les politiques antivirus et antispyware ont t correctement migres pour le serveur. Dsinstallez Symantec System Center. Installez un paquet d'installation client sur l'ordinateur qui a excut Symantec System Center.

Enfin, si vous avez modifi les paramtres dans Symantec System Center comme recommand pour la migration, localisez ces paramtres dans la politique de paramtres LiveUpdate et les politiques antivirus et antispyware. Redfinissez-les alors sur leurs valeurs d'origine. Par exemple, l'une des recommandations tait de dsactiver les analyses planifies, que vous deviez activer dans les politiques antivirus et antispyware pour chaque groupe. Quand vous tes satisfait de la migration dans votre environnement de test, vous tes prt commencer la migration de votre rseau de production.

164

Migration de Symantec AntiVirus et de Symantec Client Security Chemins de migration pris en charge et non pris en charge

Chemins de migration pris en charge et non pris en charge


Comprendre quelles migrations sont prises en charge, bloques ou non prises en charge. Si vous possdez le logiciel hrit qui bloque la migration, vous devez dsinstaller ce logiciel. Si vous possdez le logiciel hrit qui n'est pas pris en charge pour la migration, choisissez entre le dsinstaller et ne pas le dsinstaller. Par exemple, si vous excutez Symantec AntiVirus sur des ordinateurs NetWare, vous voudrez trs probablement poursuivre l'excution du logiciel hrit sur ces ordinateurs.

Migrations prises en charge


Les installations client de routine vrifient l'existence des logiciels suivant et effectuent une migration du logiciel s'il est dtect :

Client Symantec AntiVirus et server 9.x et version ultrieure Client Symantec Client Security et server 2.x et version ultrieure

Migrations bloques
Les installations client de routine vrifient l'existence des logiciels suivants et bloquent la migration s'ils sont dtects :

Symantec AntiVirus client et server 8.x et version antrieure Symantec Client Security client et server 1.x Symantec Client Firewall 5.0 Symantec System Center, toutes les versions Symantec Reporting Server 10.x Confidence Online Heavy par Whole Security, toutes les versions Norton AntiVirus et Norton Internet Security, toutes les versions

Vous devez premirement dsinstaller ce logiciel et ensuite installer les clients Symantec Endpoint Protection.

Migrations non prises en charge


Les logiciels suivants n'ont pas subi de migration et peuvent coexister sur le mme ordinateur que le logiciel client Symantec Endpoint Protection :

Symantec Client Firewall Administrator, toutes les versions

Migration de Symantec AntiVirus et de Symantec Client Security Prparer les installations hrites en vue de la migration

165

Serveur LiveUpdate Pour installer la dernire version du Serveur LiveUpdate, dsinstallez d'abord la version hrite. Les ordinateurs NetWare excutant toute version de Symantec AntiVirus Les systmes d'exploitation NetWare ne sont pas pris en charge par cette version. Continuer protger ces ordinateurs avec des versions hrites. Symantec AntiVirus, le client Symantec Client Security et le serveur qui s'excute sur le matriel Itanium Le matriel Itanium n'est pas pris en charge par cette version. Continuer protger ces ordinateurs avec des versions hrites.

A propos de la migration de la quarantaine centralise


Pour faire migrer la console et le serveur de la quarantaine centralise, vous devez dsinstaller, puis rinstaller ces deux composants.

Prparer les installations hrites en vue de la migration


Avec Symantec System Center, vous devez modifier les paramtres des clients et des serveurs pour simplifier le processus de migration. Par exemple, si un client excute une analyse antivirus pendant la migration, la migration est bloque jusqu' ce que l'analyse se termine, et la migration peut chouer. En outre, vous devez dsactiver la fonction de mot de passe de dsinstallation pour le logiciel client si elle est active. Si vous ne le faites pas, les utilisateurs sont invits entrer le mot de passe dans le mode interactif. Remarque : Si vous migrez des groupes et des paramtres de Symantec System Center, vos politiques de paramtres LiveUpdate ainsi que vos politiques antivirus et antispyware migres et crs pour ces groupes contiennent ces modifications. Vous pouvez rtablir ces paramtres. Par exemple, vous pouvez activer les analyses planifies. En outre, vous n'avez pas besoin de dsactiver le mot de passe de dsinstallation s'il est activ. La migration ignore le mot de passe.

Prparer toutes les installations hrites


Ces procdures s'appliquent toutes les installations de logiciel hrites prises en charge pour la migration.

166

Migration de Symantec AntiVirus et de Symantec Client Security Prparer les installations hrites en vue de la migration

Remarque : Si vous utilisez des groupes de clients et si ces groupes n'hritent pas des paramtres, prparez-les de la mme manire que les groupes de serveurs et les serveurs de gestion.

Dsactiver les analyses planifies


Si une analyse est programme pour s'excuter et s'excute alors que la migration client se produit, la migration peut chouer. Il est recommand de dsactiver les analyses planifies pendant la migration, puis de les ractiver aprs la migration. Pour dsactiver les analyses planifies

Dans Symantec System Center, effectuez l'une des oprations suivantes :


Cliquez avec le bouton droit de la souris sur un serveur de gestion. Cliquez avec le bouton droit de la souris sur un groupe de clients.

2 3 4 5

Cliquez sur Toutes les tches > Symantec AntiVirus > Analyses planifies. Dans la bote de dialogue Analyses planifies, dans l'onglet Analyses serveur, dslectionnez toutes les analyses planifies. Dans l'onglet Analyses client, dslectionnez toutes les analyses planifies, puis cliquez sur OK. Rptez cette procdure pour tous les serveurs de gestion principaux, tous les serveurs de gestion secondaires et tous les groupes de clients.

Configurer Central Quarantine et les fichiers en quarantaine


Le serveur de quarantaine ne prend plus en charge les mises jour des ordinateurs client avec les dernires dfinitions. Par consquent, vous ne voulez pas qu'il mette jour les ordinateurs client avec les dernires dfinitions pendant une migration. En outre, la migration des fichiers en quarantaine n'est pas ncessaire. Pour configurer Central Quarantine et les lments en quarantaine

1 2 3 4

Dans Symantec System Center, cliquez avec le bouton droit de la souris sur un groupe de serveurs. Cliquez sur Toutes les tches > Symantec AntiVirus > Options de quarantaine. Dans la bote de dialogue Options de quarantaine, cliquez sur Options de purge. Dans la bote de dialogue Options de purge, dfinissez toutes les valeurs de dure sur 1 jour et toutes les valeurs de taille limite de rpertoire sur 1 Mo. Cochez toutes les cases.

Migration de Symantec AntiVirus et de Symantec Client Security Prparer les installations hrites en vue de la migration

167

5 6 7 8

Cliquez sur OK. Dans la bote de dialogue Options de quarantaine, dcochez Activer la quarantaine ou Analyser et transmettre. Sous A l'arrive de nouvelles dfinitions de virus, cochez Ne rien faire, puis cliquez sur OK. Rptez cette procdure pour tous les groupes de serveurs s'il en existe plusieurs.

Supprimer des historiques


Tous les historiques sont maintenant stocks dans une base de donnes. La suppression des fichiers d'historique acclre le processus de migration. Pour supprimer des historiques

1 2 3 4 5

Dans Symantec System Center, cliquez avec le bouton droit de la souris sur un groupe de serveurs. Cliquez sur Touteslestches>SymantecAntiVirus>Configurerl'historique. Dans la bote de dialogue Options d'historique, redfinissez les valeurs Supprimer aprs sur 1 jour. Cliquez sur OK. Rptez cette procdure pour tous les groupes de serveurs s'il en existe plusieurs.

Dsactiver LiveUpdate
Si LiveUpdate s'excute sur des ordinateurs client pendant la migration, des conflits peuvent se produire. Par consquent, vous devez limiter la possibilit que LiveUpdate s'excute sur des ordinateurs client pendant la migration. Pour dsactiver LiveUpdate

1 2 3

Dans Symantec System Center, cliquez avec le bouton droit de la souris sur un groupe de serveurs. Cliquez sur Toutes les tches > Symantec AntiVirus > Gestionnaire de dfinitions de virus. Dans la bote de dialogue Gestionnaire de dfinitions de virus, cochez Mettre jour uniquement le serveur principal de ce groupe de serveurs, puis cliquez sur Configurer. Dans la bote de dialogue Configuration des mises jour du serveur principal, dcochez Planification des mises jour automatiques, puis cliquez sur OK.

168

Migration de Symantec AntiVirus et de Symantec Client Security Prparer les installations hrites en vue de la migration

Dans la bote de dialogue Gestionnaire de dfinitions de virus, dcochez les cases suivantes :

Mettre jour les dfinitions de virus depuis le serveur parent Planifier le client pour la mise jour automatique via LiveUpdate Activer LiveUpdate permanent

6 7

Cochez la case Ne pas permettre au client de lancer LiveUpdate manuellement, puis cliquez sur OK. Rptez cette procdure pour tous les groupes de serveurs s'il en existe plusieurs.

Dsactiver le service d'itinrance


Si le service d'itinrance est activ sur des ordinateurs client, la migration peut s'arrter et ne jamais se terminer. Si vous n'activez pas le service d'itinrance, ne suivez pas cette procdure. Remarque : Si vos clients itinrants excutent la version 10.x de Symantec AntiVirus, dverrouillez vos groupes de serveurs avant de dsactiver le service d'itinrance. Cette pratique vous permet de vous assurer que des clients itinrants sont correctement authentifis avec des certificats leur serveur parent. Pour dsactiver le service d'itinrance

1 2 3 4 5 6 7

Dans Symantec System Center, cliquez avec le bouton droit de la souris sur un groupe de serveurs. Cliquez sur Toutes les tches > Symantec AntiVirus > Options d'itinrance des clients. Dans la bote de dialogue Options d'itinrance des clients, dans la zone Valider le parent toutes les minutes, saisissez 1. Dans la zone Rechercher le parent le plus proche toutes les minutes, saisissez 1, puis appuyez sur OK. Patientez quelques minutes. Dans Symantec System Center, cliquez avec le bouton droit de la souris sur un groupe de serveurs. Cliquez sur Toutes les tches> Symantec AntiVirus >Options d'itinrance des clients.

Migration de Symantec AntiVirus et de Symantec Client Security Prparer les installations hrites en vue de la migration

169

Dans la bote de dialogue Options d'itinrance des clients, dcochez la case Activer l'itinrance pour les clients dots du service Symantec AntiVirus Roaming. Cliquez sur OK.

Prparer les installations hrites Symantec 10.x/3.x


Symantec AntiVirus 10.x et Symantec Client Security 3.x fournissent des fonctionnalits supplmentaires qui doivent tre correctement configures pour une migration russie.

Dverrouiller les groupes de serveurs


Si vous ne dverrouillez pas les groupes de serveurs avant migration, des rsultats imprvisibles peuvent se produire. En outre, si le service itinrant est activ pour les clients, le dverrouillage du groupe de serveurs assure l'authentification correcte des clients auprs d'un serveur parent. Les clients qui s'authentifient correctement auprs d'un serveur parent sont placs dans la base de donnes. Les clients qui sont placs dans la base de donnes automatiquement apparaissent dans le groupe hrit correct dans la console aprs installation. Pour dverrouiller un groupe de serveurs

Dans Symantec System Center, cliquez avec le bouton droit de la souris sur un groupe de serveurs verrouill, puis cliquez sur Dverrouiller le groupe de serveurs. Dans la bote de dialogue Dverrouiller le groupe de serveurs, tapez les informations d'authentification si ncessaire, puis cliquez sur OK.

Dsactiver la protection contre les interventions


La protection contre les interventions peut gnrer des rsultats imprvisibles pendant la migration. Pour dsactiver la protection contre les interventions

Dans Symantec System Center, cliquez avec le bouton droit de la souris sur l'un des lments suivants :

Groupe de serveurs Serveur de gestion principal ou secondaire

Cliquez sur Toutes les tches > Symantec AntiVirus > Options de protection contre les interventions serveur.

170

Migration de Symantec AntiVirus et de Symantec Client Security Prparer les installations hrites en vue de la migration

3 4 5

Dans la bote de dialogue Option de protection contre les interventions serveur, dcochez la case Activer la protection contre les interventions. Cliquez sur OK. Effectuez l'une des oprations suivantes :

Si vous avez slectionn un groupe de serveurs, rptez cette procdure pour tous les groupes de serveurs s'il en existe plusieurs. Si vous avez slectionn un serveur de gestion, rptez cette procdure pour tous les serveurs de gestion de tous les groupes de serveurs.

Dsinstaller et supprimer les serveurs de notification


Si vous avez install un ou plusieurs serveurs de notification, vous devez dsinstaller ces serveurs de notification et abandonner optionnellement les fichiers de bases de donnes. Vous devez galement supprimer les serveurs de notiification Symantec System Center. Des informations de dsinstallation du serveur de notification dtailles sont disponibles dans l'aide en ligne de Symantec System Center. Les paramtres hrits ont t enregistrs dans le registre. Tous les paramtres sont maintenant enregistrs dans une base de donnes avec les donnes de notification. Pour dsinstaller les serveurs de notification

1 2 3 4 5

Ouvrez une session sur un ordinateur qui excute le serveur de notification. Cliquez sur Dmarrer > Paramtres > Panneau de contrle > Ajout/Suppression de programmes. Dans la bote de dialogue Ajout/Suppression de programmes, cliquez sur Symantec Reporting Server, puis cliquez sur Supprimer. Suivez les invites l'cran jusqu' ce que vous supprimiez le serveur de notification Rptez cette procdure pour tous les serveurs de notification.

Pour supprimer des serveurs de notification de Symantec System Center

1 2

Dans Symantec System Center, cliquez avec le bouton droit de la souris et dveloppez Rapports. Cliquez avec le bouton droit de la souris sur chaque serveur de notification, puis cliquez sur Supprimer.

Migration de Symantec AntiVirus et de Symantec Client Security A propos de la migration et la non prservation de serveur, des groupes de clients et des paramtres

171

A propos de la migration et la non prservation de serveur, des groupes de clients et des paramtres
Il n'est pas ncessaire de migrer les groupes et paramtres pour les serveurs et les clients hrits de Symantec System Center vers Symantec Endpoint Protection Manager. Si les oprations de Console Symantec Endpoint Protection Manager vous satisfont, vous pouvez crer et exporter un paquet d'installation et le dployer vers vos clients hrits et serveurs pour migration. Se reporter "Installation et configuration de Symantec Endpoint Protection Manager" la page 73. Remarque : Il est recommand de crer un ou plusieurs groupes et politiques associs pour vos clients hrits et de les migrer d'abord. Vous pouvez ensuite crer un ou plusieurs groupes et politiques associs pour vos serveurs hrits et les migrer ensuite vers les clients. Enfin, dsinstallez Symantec System Center et effectuez une migration du serveur de gestion ou du client hrit qui protgeaient l'ordinateur excutant Symantec System Center.

A propos de la migration de groupes et de paramtres


Pour effectuer une migration de serveur, de groupes de clients et de paramtres de Symantec System Center vers Symantec Endpoint Protection Manager, vous devez vous documenter et comprendre le mode de fonctionnement de ce processus. Par exemple, vos paramtres existants localiss dans Symantec System Center peuvent tre ou ne pas tre hrits des groupes de serveurs. Vous devez choisir de prserver ou non cet hritage. Les serveurs de gestion hrits primaire et secondaire possdent des paramtres s'appliquant uniquement ces serveurs et non pas aux clients qu'ils grent. Cela est d au fait que ces serveurs peuvent ncessiter une protection diffrente de celle des clients qu'ils grent. Par exemple, ces serveurs peuvent fournir d'autres services qui peuvent ncessiter d'exclure certains types de fichiers des analyses. Symantec System Center vous permet de spcifier que tous les serveurs hritent leurs paramtres de ceux spcifis pour le groupe de serveurs. Ou de spcifier des paramtres personnaliss pour chaque serveur. Une fois la migration des paramtres effectue pour les serveurs de gestion, ces paramtres apparaissent dans la politique de paramtres LiveUpdate et les politiques antivirus et antispyware. Ces politiques sont appliques aux groupes qui contiennent les serveurs de gestion aprs que vous les avez migrs vers un client Symantec Endpoint Protection. Lors de la migration, vous dcidez si ces

172

Migration de Symantec AntiVirus et de Symantec Client Security A propos de la migration de groupes et de paramtres

paramtres sont hrits du groupe de serveurs ou s'ils sont spcifis pour chaque serveur. Les paramtres du client hrit peuvent galement tre hrits du groupe de serveurs ou d'un serveur de gestion. Une fois la migration des paramtres effectue pour les clients, ces paramtres apparaissent dans la politique de paramtres LiveUpdate et les politiques antivirus et antispyware. Lors de la migration, vous dcidez si ces paramtres sont hrits du groupe de serveurs ou du serveur de gestion. Figure 7-1 Illustre un scnario de type avant/aprs lorsque les serveurs de gestion et les clients hritent des paramtres des groupes de serveurs.

Migration de Symantec AntiVirus et de Symantec Client Security A propos de la migration de groupes et de paramtres

173

Figure 7-1

Avant et aprs les paramtres hrits des groupes de serveurs

Symantec System Center avant migration

Slection des paramtres de migration de la politique client


Tous les ordinateurs clients qui ne font pas partie d'un groupe de clients apparaissent ici Les ordinateurs clients prsents dans des groupes de clients apparaissent ici Tout serveur parent migr vers un client apparat dans Serveur

Tous les ordinateurs clients de ce groupe partagent l'ensemble des politiques L'hritage de politique du groupe de clients correspond au paramtre d'hritage de Symantec System Center

Le groupe de serveurs hrite des politiques de Symantec Antivirus 2

Console Symantec Endpoint Protection Manager aprs migration et dploiement du client

Dans ce scnario, tous les serveurs de gestion dans Server_Group_1 et Server_Group_2 hritent des paramtres du groupe de serveurs dans Symantec System Center. Aprs avoir migr vers le client Symantec Endpoint Protection, chaque ordinateur ayant excut un serveur de gestion hrit apparat dans un groupe nomm Server. Ce groupe hrite de tous les paramtres du groupe portant le mme nom que le groupe de serveurs initial. Par exemple, le serveur de gestion IDTEST99 hrite des politiques dfinies pour Server_Group_1.

174

Migration de Symantec AntiVirus et de Symantec Client Security A propos de la migration de groupes et de paramtres

Dans ce scnario, tous les clients hritent des paramtres du groupe de serveurs et de n'importe quel groupe client qui pourrait les contenir. Tous les clients non contenus dans un groupe client de Symantec System Center, apparaissent maintenant dans le groupe portant le mme nom que celui du groupe de serveurs initial. Figure 7-2 Illustre un scnario de type avant/aprs lorsque les serveurs de gestion et les clients hritent des paramtres spcifis sur le serveur de gestion parent. Figure 7-2 Avant et aprs les paramtres hrits des serveurs parents

Slection des paramtres de migration de la politique client Symantec System Center avant migration

Tous les ordinateurs clients s'affichent dans Clients sous leur serveur parent Tout serveur parent migr vers un client apparat dans Serveur

Ce groupe n'hrite pas des politiques Le groupe de clients hrite des politiques d'ZSUZSANNA01 Le groupe de serveurs hrite des politiques d'ZSUZSANNA01

Console Symantec Endpoint Protection Manager aprs migration et dploiement du client

Migration de Symantec AntiVirus et de Symantec Client Security A propos des paramtres qui n'effectuent pas de migration

175

Dans ce scnario, tous les serveurs de gestion dans Server_Group_1 et Server_Group_2 hritent des paramtres de chaque serveur parent dans Symantec System Center. Aprs avoir migr vers le client Symantec Endpoint Protection, chaque ordinateur ayant excut un serveur de gestion hrit apparat dans un groupe nomm Server. Cette fois, cependant, chaque groupe n'hrite pas des paramtres. Les nouvelles politiques sont personnalises pour chaque ordinateur ayant excut un serveur de gestion hrit. Dans ce scnario, tous les clients hritent des paramtres dfinis pour les clients chaque serveur parent. Si les clients sont dans des groupes de clients Symantec System Center, ils apparaissent maintenant dans le groupe Clients sous le groupe de serveurs parent dans lequel ils ont t installs la premire fois.

A propos des paramtres qui n'effectuent pas de migration


Les paramtres de la protection contre les interventions n'effectuent pas de migration. La protection contre les interventions fait maintenant une partie des paramtres gnraux pour les groupes. La protection contre les interventions n'est pas une politique qui s'applique aux emplacements. Par dfaut, la protection contre les interventions est active et protge les processus Symantec ainsi que les objets internes. Vous pouvez uniquement activer ou dsactiver la protection contre les interventions. Vous n'avez pas le contrle fin sur les processus ou les objets internes. Les paramtres dverrouills peuvent ou ne peuvent pas effectuer une migration. Si les paramtres sont les paramtres par dfaut installs l'origine qui n'ont t jamais modifis ou verrouills, les paramtres n'effectuent pas de migration. Les paramtres n'effectuent pas de migration parce que les entres de registre n'ont t jamais gnres. Parfois, les nouveaux paramtres par dfaut de politique de Symantec Endpoint Protection peuvent correspondre aux paramtres par dfaut hrits. Dans d'autres cas, les nouveaux paramtres par dfaut de politique de Symantec Endpoint Protection peuvent ne pas correspondre aux paramtres par dfaut hrits. Il est recommand de passer en revue tous les paramtres qui apparaissent aprs migration dans vos politiques antivirus et antispyware et dans votre politique de paramtres LiveUpdate.

A propos des paquets et du dploiement


Pour effectuer une migration de serveur, de groupes de clients et de paramtres de Symantec System Center vers Symantec Endpoint Protection Manager, vous devez vous documenter et comprendre le mode de fonctionnement de ce processus.

176

Migration de Symantec AntiVirus et de Symantec Client Security A propos des paquets et du dploiement

Par exemple, vos paramtres existants localiss dans Symantec System Center peuvent tre ou ne pas tre hrits des groupes de serveurs. Vous devez choisir de prserver ou non cet hritage. Remarque : Les ordinateurs client doivent excuter Internet Explorer 6.0 et MSI 3.1 ou les versions ultrieures, sinon vous ne pourrez pas effectuer de migration.

A propos des paquets d'installation client gnrs pendant la migration


Pour raliser la migration, lancez l'Assistant de migration et de dploiement. Lorsque vous excutez l'assistant de migration et de dploiement, vous choisissez les serveurs de gestion et les clients pour lesquels les paquets d'installation client seront crs. Remarque : Les serveurs de gestion effectuent une migration vers des clients. Aprs avoir install ces paquets d'installation client sur vos clients hrits, vos clients migrs apparaissent automatiquement dans le groupe appropri de la console Symantec Endpoint Protection Manager. Pendant la migration, des paquets d'installation sont automatiquement gnrs pour plusieurs combinaisons de composants client. Par exemple, un paquet d'installation est gnr pour toutes les fonctions de Symantec Endpoint Protection. Un paquet d'installation est gnr uniquement pour la protection antivirus et la protection contre les logiciels espions et ainsi de suite. Ces paquets sont crs dans un rpertoire que vous spcifiez lors de la migration. Dans ce rpertoire se trouvent quatre sous-rpertoires contenant diffrents paquets d'installation avec les noms suivants :

Toutes les fonctionnalits client_xx-bit Fonctionnalits antivirus uniquement_xx-bit Fonctionnalits de protection contre les menaces rseau uniquement_xx-bit Fonctionnalits antivirus et de protection proactive contre les menaces uniquement_xx-bit

Pour les paquets d'installation 32 bits, ces paquets occupent 300 Mo d'espace disque et tous les paquets sont toujours gnrs automatiquement. Pour les paquets d'installation de 64 bits, ces paquets occupent plus que 300 Mo d'espace disque. Lorsque vous excutez l'Assistant de migration et de dploiement, vous indiquez si vous souhaitez ou non migrer l'ensemble des serveurs de gestion et des clients

Migration de Symantec AntiVirus et de Symantec Client Security A propos des paquets et du dploiement

177

visibles dans Symantec System Center. Vous avez galement la possibilit de slectionner des serveurs de gestion individuels. Si vous dcidez d'effectuer une migration des serveurs de gestion spcifiques, vous devrez crer des rpertoires spars de cration de paquets pour chaque serveur de gestion ou combinaison de serveurs de gestion. Ensuite, vous pouvez dployer ces paquets vers les clients hrits correspondants pour la migration. Les clients apparaissent automatiquement dans le bon groupe dans la console Symantec Endpoint Protection Manager. Remarque : Lorsque vous migrez des groupes et des paramtres, l'Assistant de migration et de dploiement stocke les ID de serveur de gestion et de client hrits dans une table de la base de donnes de Symantec Endpoint Protection Manager. Lorsque vous effectuez une migration des serveurs de gestion hrits et des clients vers Symantec Endpoint Protection, les clients ayant nouvellement subi une migration envoient leurs IDs hrites Symantec Endpoint Protection Manager. Lorsque le manager reoit les IDs hrites, il place les clients nouvellement migrs dans le groupe de migration appropri.

Exporter et formater une liste de noms d'ordinateurs client migrer


L'outil de dploiement de paquet client fourni par Symantec recommand est l'Assistant de dploiement. Vous pouvez lancer cet outil en double-cliquant sur \Symantec Endpoint Protection\tomcat\bin\ClientRemote.exe. Eventuellement, vous pouvez lancer l'Assistant de dploiement si vous utilisez l'Assistant de migration et de dploiement. Remarque : Vous pouvez utiliser la mthode dcrite ici que vous effectuiez ou non une migration des paramtres de Symantec System Center. Cette mthode est utile pour crer des listes de tous vos clients et serveurs hrits et importer des listes vers l'Assistant de dploiement en vue du dploiement. L'Assistant de dploiement dtecte automatiquement les ordinateurs Windows qui sont mis sous tension. L'Assistant vous permet alors de slectionner les ordinateurs et de dployer un paquet d'installation slectionnable sur les ordinateurs dtects. Vous pouvez slectionner chaque ordinateur un par un ou slectionner le groupe de travail ou le domaine des ordinateurs. L'autre possibilit consiste crer un fichier texte qui contient les noms ou les adresses IP de vos clients hrits. Importez alors ce fichier vers l'Assistant de dploiement en vue du dploiement de paquet. Vous pouvez alors dmarrer manuellement l'Assistant de dploiement et dployer par tapes des paquets vers des clients.

178

Migration de Symantec AntiVirus et de Symantec Client Security A propos des paquets et du dploiement

Une pratique recommande consiste exporter vers un fichier texte une liste des clients pour chaque serveur de gestion. Ouvrez alors cette liste dans un tableur et supprimez toutes les colonnes except la colonne qui contient le nom d'ordinateur ou l'adresse IP. Vous pouvez ensuite la renregistrer en tant que fichier texte que vous pouvez importer vers l'Assistant de dploiement. Cette approche vous permet d'effectuer un dploiement vers des clients par serveur de gestion en procdant votre migration par tapes. L'inconvnient de cette approche est que l'Assistant de dploiement attend environ 20 secondes pour chaque ordinateur de la liste qui n'est pas mis sous tension. L'avantage de cette approche est que vous pouvez examiner le fichier journal pour savoir quels ordinateurs n'ont pas t mis sous tension. Vous disposez ainsi d'un enregistrement des ordinateurs n'ayant pas encore t migrs. Dans les environnements compatibles DHCP, il est recommand d'utiliser des noms d'ordinateurs plutt que des adresses IP car ces dernires sont susceptibles de changer. Remarque : La procdure suivante indique comment utiliser Microsoft Office Excel 2003. L'utilisation d'Excel n'est pas requise. Vous pouvez utiliser n'importe quel logiciel de tableur qui importe des fichiers texte. Pour exporter et formater une liste de noms d'ordinateurs client migrer

Dans Symantec System Center, cliquez avec le bouton droit de la souris sur l'un des lments suivants, puis cliquez sur Exporter la liste :

Serveur de gestion principal ou secondaire Groupe de clients

2 3 4 5 6 7 8

Dans la zone Nom du fichier de la bote de dialogue Exporter la liste, tapez le nom d'un fichier texte. Dans la liste droulante Type, slectionnez Texte (dlimit par des tabulations) (*.txt), puis cliquez sur Enregistrer. Dans Microsoft Office Excel, cliquez sur Fichier > Ouvrir. Dans la liste droulante Type de fichiers de la bote de dialogue Ouvrir, cliquez sur Tous les fichiers. Recherchez et slectionnez votre fichier texte, puis cliquez sur Ouvrir. Dans la bote de dialogue de l'tape 1 sur 3 de l'Assistant d'importation de texte, slectionnez Dlimit, puis cliquez sur Suivant. Dans la bote de dialogue de l'tape 2 sur 3 de l'Assistant d'importation de texte, sous Dlimiteur, slectionnez Onglet, puis cliquez sur Suivant.

Migration de Symantec AntiVirus et de Symantec Client Security A propos des paquets et du dploiement

179

Dans la bote de dialogue de l'tape 3 sur 3 de l'Assistant d'importation de texte, cliquez sur Terminer.

10 Dmarrez le Bloc-notes et crez un nouveau fichier texte. 11 Dans Excel, mettez en surbrillance et copiez les noms d'ordinateurs figurant
dans la colonne Client.

12 Dans le Bloc-notes, collez les noms des ordinateurs et vrifiez que la dernire
ligne comporte un nom d'ordinateur et n'est pas vide.

13 Enregistrez le fichier en tant que fichier texte.

Ports de communication ouvrir


Lorsque vous effectuez une migration des paramtres de serveur et de groupe de clients, les communications rseau se produisent entre Symantec System Center et Symantec Endpoint Protection Manager. Si ces composants s'excutent sur des ordinateurs differents et si ces ordinateurs excutent des pare-feux, vous devez ouvrir les ports de communications. Tableau 7-1 Liste des ports ouvrir pour la migration de paramtres. Tableau 7-1 Ports utiliss pour la migration de paramtres Symantec Endpoint Protection Manager
Ports TCP phmres TCP 139 UDP 137

Symantec System Center


TCP 139, 445 Ports TCP phmres UDP 137

Lorsque vous utilisez l'assistant de dploiement pour dployer le logiciel client Symantec Endpoint Protection, les communications rseau se produisent entre les serveurs hrits et les clients et Symantec Endpoint Protection Manager. Si les serveurs hrits et les clients excutent des pare-feux, vous devez ouvrir les ports de communications. Tableau 7-2 numre les ports ouvrir pour les dploiements qui utilisent l'Assistant de dploiement. Tableau 7-2 Ports utiliss pour le dploiement de logiciel client avec l'Assistant de dploiement Symantec Endpoint Protection Manager
Ports TCP phmres

Ordinateurs client
TCP 139 et 445

180

Migration de Symantec AntiVirus et de Symantec Client Security Installer Symantec Endpoint Protection Manager

Ordinateurs client
Ports TCP phmres UDP 137, 138

Symantec Endpoint Protection Manager


TCP 139 et 445 UDP 137, 138

A propos de la prparation des ordinateurs client pour la migration


Plusieurs fonctions du systme d'exploitation Windows peuvent compromettre une migration russie de serveur et de client. Vous devez comprendre ces fonctions et les prendre en charge convenablement. Par exemple, le partage simple de fichiers doit tre dsactiv pour les ordinateurs qui excutant Windows XP et faisant partie d'un groupe de travail. S'il n'est pas dsactiv, vous ne pouvez pas authentifier ces ordinateurs pour une installation distante. Les ordinateurs excutant Windows XP et appaartenant un domaine Windows ne requirent pas une dsactivation de cette fonction. Vous devez galement comprendre que si vous installez un pare-feu Symantec, vous dsactivez le pare-feu Windows. Si vous ne choisissez pas d'installer un pare-feu Symantec, vous ne dsactivez pas le pare-feu Windows. En outre, vous pouvez avoir besoin d'ouvrir des ports ou de dsactiver des pare-feux avant la migration. Se reporter Tableau 2-10 la page 57. Se reporter "Dsactivation et modification des pare-feu Windows" la page 59. Se reporter "Prparation des ordinateurs au dploiement distant" la page 63. Se reporter "Prparation de vos ordinateurs client pour l'installation" la page 68.

Installer Symantec Endpoint Protection Manager


Cette procdure suppose que vous n'avez pas install Symantec Endpoint Protection Manager dans votre environnement de production. Si vous avez install Symantec Endpoint Protection Manager dans votre environnement de production, passez la documentation sur la migration des groupes de serveurs et des groupes de clients. Vous pouvez installer Symantec Endpoint Protection Manager sur le mme ordinateur qui excute Symantec System Center, mais ce n'est pas une ncessit. En outre, si vous grez un grand nombre de clients Symantec hrits, il est recommandable de ne pas installer Symantec Endpoint Protection Manager sur le mme ordinateur qui excute Symantec System Center. En conclusion, si vous

Migration de Symantec AntiVirus et de Symantec Client Security Installer Symantec Endpoint Protection Manager

181

avez des ordinateurs hrits NetWare ou Itanium, vous devez continuer grer et protger ces ordinateurs avec le logiciel hrit. Remarque : L'installation de Symantec Endpoint Protection Manager n'effectue pas une migration de Symantec System Center. Pour installer Symantec Endpoint Protection Manager

1 2

Dans l'ordinateur sur lequel Symantec Endpoint Protection Manager sera install, insrez et dmarrez le CD d'installation. Cliquez sur Installer Symantec Endpoint Protection Manager. Suivez les instructions d'installation qui s'affichent jusqu' ce que le panneau Assistant d'installation termin apparaisse. Installez Symantec Endpoint Protection Manager et configurez le programme pour qu'il utilise l'une des bases de donnes suivantes (configuration avance uniquement ; la configuration simple utilise une base de donnes intgre) :

Base de donnes intgre Se reporter "Installer Symantec Endpoint Protection Manager avec une base de donnes intgre" la page 92. Base de donnes Microsoft SQL Se reporter "Installation de Symantec Endpoint Protection Manager avec une base de donnes Microsoft SQL" la page 96.

L'installation et l'installation de base de donnes termines, effectuez l'une des oprations suivantes dans le panneau Configuration termine :.

Slectionnez Oui, puis cliquez sur Terminer pour effectuer une migration de vos groupes de serveurs et de clients de Symantec System Center vers Symantec Endpoint Protection Manager. Crez ensuite les paquets d'installation client pour ces groupes. Cochez Non, puis cliquez sur Terminer pour lancer manuellement l'Assistant de migration et de dploiement une date ultrieure ou pour crer des groupes avec la console Symantec Endpoint Protection Manager. Vous pouvez galement vouloir effectuer la migration aprs avoir ouvert une session et vrifi que Symantec Endpoint Protection Manager et sa console sont compltement oprationnels. Vous pouvez galement effectuer une migration d'un groupe de serveurs la fois si vous avez des groupes multiples.

182

Migration de Symantec AntiVirus et de Symantec Client Security Effectuer une migration des paramtres de serveur et de groupe de clients

Effectuer une migration des paramtres de serveur et de groupe de clients


Aprs avoir install Symantec Endpoint Protection Manager, vous pouvez effectuer une migration de votre serveur de gestion et de groupes de clients. Il n'est pas ncessaire d'effectuer une migration simultane de tous les serveurs et groupes de clients. En outre, vous pouvez effectuer une migration des serveurs de gestion et des clients qui leur transmettent des rapports, l'un aprs l'autre. Remarque : Tous les ordinateurs qui n'excutent pas MSI 3.1 subissent premirement une migration vers MSI 3.1, avant l'installation du logiciel client. Les ordinateurs que vous ne redmarrez pas aprs l'installation du logiciel client sont protgs par des fonctionnalits de protection contre les virus et les logiciels espions, mais pas par des fonctionnalits de pare-feu. Pour mettre en application les fonctionnalits de pare-feu, des ordinateurs client doivent tre redmarrs. Pour effectuer une migration des paramtres de serveur et de groupe de clients

Si l'Assistant de migration et de dploiement n'est pas dj ouvert, cliquez sur Dmarrer > Programmes > Symantec Endpoint Protection Manager > Migration and Deployment Wizard. Dans le panneau d'accueil de l'assistant de Migration et de Dploiement, cliquez sur Suivant. Dans le panneau Que voulez-vous faire, cliquez sur Effectuer une migration d'une version antrieure de Symantec AntiVirus. Dans le panneau sans nom suivant, vrifiez les boutons radio indiquant votre modle d'application de vos paramtres vos groupes. Se reporter "A propos de la migration de groupes et de paramtres" la page 171.

2 3 4

5 6

Cliquez sur Suivant. Dans le panneau sans nom suivant, effectuez l'une des oprations suivantes :

Pour importer tous les paramtres de tous les serveurs de gestion et clients, cliquez sur Dtection automatique de serveurs, saisissez l'adresse IP d'un ordinateur excutant Symantec System Center, puis cliquez sur OK. Pour importer des paramtres d'un seul serveur de gestion et des clients qu'il gre, cliquez sur Ajouter un serveur, saisissez l'adresse IP d'un ordinateur excutant un serveur de gestion. Cliquez ensuite sur OK.

Cliquez sur Suivant.

Migration de Symantec AntiVirus et de Symantec Client Security Vrifier la migration et mettre jour les politiques de migration

183

8 9

Dans le panneau sans nom suivant, cliquez sur Suivant. Dans le panneau sans nom suivant, configurez les paquets d'installation client exporter. ne pas crer, puis cliquez sur OK.

10 Cliquez sur Options avances de paquet, supprimez la coche des paquets 11 Cliquez sur Parcourir, localisez et slectionnez un rpertoire vers lequel les
paquets d'installation client doivent tre exports puis cliquez sur Ouvrir.

12 Dans le panneau sans nom suivant, cliquez sur Suivant. 13 Dans le panneau sans nom suivant, effectuez l'une des oprations suivantes :

Cochez Oui, cliquez sur Terminer pour exporter les paquets puis dployez les paquets premirement vers les clients, puis vers les serveurs avec l'assistant de Dploiement. Le processus d'exportation peut durer dix minutes ou plus. Cochez Non, les crer et je les dploierai ultrieurement, cliquez sur Terminer pour exporter les paquets, puis dployez manuellement les paquets d'abord sur les clients, puis sur les serveurs, l'aide de l'excutable ClientRemote.exe, depuis le rpertoire \Symantec Endpoint Protection\tomcat\bin\. Se reporter "Dployer le logiciel client avec l'assistant de dploiement" la page 133.

Vrifier la migration et mettre jour les politiques de migration


Aprs avoir migr vos clients et serveurs, vous devriez vous assurer qu'ils apparaissent dans les groupes appropris de la console Symantec Endpoint Protection Manager. Ensuite, mettez jour la politique de paramtres LiveUpdate et les politiques antivirus et antispyware pour reprendre tout ou partie des modifications apportes aux paramtres avec Symantec System Center. Par exemple, pour dmarrer le processus de migration, vous avez dsactiv des analyses planifies. Vous voudrez certainement ractiver les analyses planifies.

Migration des clients autonomes


Vous avez trois options de migration des clients autonomes. Vous pouvez installer Symantec Endpoint Protection avec les fichiers d'installation et setup.exe contenus sur le CD d'installation. Cette option prserve les paramtres client. Vous pouvez exporter un paquet de la console Symantec Endpoint Protection Manager en mode

184

Migration de Symantec AntiVirus et de Symantec Client Security Migration des clients autonomes

autonome. Cette option ne prserve pas les paramtres client. Vous pouvez exporter un paquet de la console Symantec Endpoint Protection Manager en mode autonome pour des fichiers non-.exe. Vous remplacez alors serdef.dat dans ce paquet d'installation par un fichier vierge du mme nom. Cette option prserve les paramtres client. Remarque : Les ordinateurs client doivent excuter Internet Explorer 6.0 et le 3.1 ou versions ultrieures, sinon vous ne pourrez pas les migrer.

A propos de la migration des clients autonomes avec des fichiers sur CD


Si vous avez des clients hrits autonomes, vous pouvez les migrer vers Symantec Endpoint Protection et les maintenir autonomes. La migration des clients autonomes avec les fichiers CD prserve galement les paramtres sur chaque client. Si vous excutez setup.exe, vous effectuez galement une mise jour automatique de MSI sur les clients 3.1, une spcification. Lorsque vous excutez setup.exe pour installer Symantec Endpoint Protection sur les clients autonomes hrits, les paramtres hrits sont maintenus. Par exemple, si un utilisateur cre une analyse personnalise excuter minuit, ce paramtre est maintenu. Vous pouvez utiliser les options suivantes pour effectuer une migration des clients autonomes :

Insrez le CD d'installation dans chaque client migrer et installez Symantec Endpoint Protection depuis l'interface utilisateur d'installation. Copiez les fichiers du rpertoire SAV sur le CD d'installation vers un rpertoire partag. Ensuite, les utilisateurs des ordinateurs client doivent constituer le rpertoire partag et excuter setup.exe. Dployez les fichiers contenus dans le rpertoire de SAV sur le CD d'installation avec CD\TOOLS\PUSHDEPLOYMENTWIZARD\ClientRemote.exe. Dployez les fichiers contenus dans le rpertoire de SAV dans le rpertoire du CD d'installation avec les outils tiers de distribution.

Migrer les clients autonomes avec des paquets exports


Vous pouvez crer des paquets d'installation avec la console Symantec Endpoint Protection Manager pour les clients autonomes. Ce type de paquet cre les clients autonomes aprs la migration, mais supprime et rinitialise par dfaut les paramtres client hrits en de nouveaux paramtres par dfaut. Vous pouvez remplacer ce paramtre par dfaut en crant un nouveau fichier serdef.dat vierge

Migration de Symantec AntiVirus et de Symantec Client Security Migration des clients autonomes

185

dans vos fichiers exports. Vous ne pouvez pas modifier le fichier serdef.dat si vous exportez vers un seul fichier d'installation excutable. Pour effectuer une migration des clients autonomes avec des paquets exports et prserver les paramtres hrits

1 2 3 4 5 6 7 8

Dans la console de Symantec Endpoint Protection Manager, cliquez sur Admin. Sous Tches, cliquez sur Paquets d'installation. Sous Paquets d'installation client, cliquez avec le bouton droit de la souris sur le paquet crer, puis cliquez sur Exporter le paquet. Dans la bote de dialogue Exporter le paquet, dslectionnez Crer un seul fichier EXE pour ce paquet (ncessaire). Cliquez sur Parcourir et slectionnez le rpertoire devant contenir votre paquet export. Sous Paramtre de scurit, cochez Exporter un client autonome. Cliquez sur OK. Recherchez le rpertoire qui contient votre paquet export et localisez ensuite le rpertoire suivant : \\Export\fichiers de programme\Symantec\Symantec Endpoint Protection\

Ouvrez le bloc-notes, crez un fichier nouveau, vierge nomm serdef.dat, puis remplacez le fichier serdef.dat de ce rpertoire. Vous pouvez aptionnellement renommer le fichier existant serdef_bak.dat avant d'ajouter la version vierge.

10 Dployez le paquet vers vos clients hrits.


Vous pouvez utiliser ClientRemote.exe. Pour effectuer migrer les clients autonomes avec des paquets exports et modifier les paramtres hrits en paramtres par dfaut

1 2 3 4 5

Dans la console de Symantec Endpoint Protection Manager, cliquez sur Admin. Sous Tches, cliquez sur Paquets d'installation. Sous Paquets d'installation client, cliquez sur le paquet l'aide du bouton droit de la souris pour crer et cliquez sur Exporter le paquet. Dans la bote de dialogue Exporter paquet, cochez Crer un seul fichier .EXE pour ce paquet (recommand,mais pas ncessaire). Cliquez sur Parcourir et slectionnez le rpertoire devant contenir le paquet export.

186

Migration de Symantec AntiVirus et de Symantec Client Security Ce qui a chang pour les administrateurs hrits

6 7 8

Sous paramtre de scurit, cochez Exporter un client non gr. Cliquez sur OK. Dployez le paquet vers vos clients hrits. Vous pouvez utiliser ClientRemote.exe.

Ce qui a chang pour les administrateurs hrits


Le tableau suivant dcrit comment les fonctions de produits antrieurs ont t mises jour. Tableau 7-3 dcrit ce qui a chang pour les administrateurs hrits. Tableau 7-3 Fonction
Le logiciel du serveur n'assure pas la protection de Symantec AntiVirus

Nouvelles fonctions

Description
Symantec Endpoint Protection Manager n'inclut pas Symantec Endpoint Protection. Pour protger Symantec Endpoint Protection Manager, vous devez installer le logiciel de client Symantec Endpoint Protection sur le serveur. Les serveurs hrits de Symantec AntiVirus et de Symantec Client Security incluaient la protection de Symantec AntiVirus.

L'interface utilisateur du logiciel L'interface utilisateur client a t remodele. client a t remodele La console de gestion a t remodele Les serveurs de gestion secondaire ne sont plus utiliss Symantec System Center n'est plus utilis. La nouvelle console de gestion est appele console Symantec Endpoint Protection Manager. Des serveurs de gestion hrits peuvent tre installs comme serveurs secondaires qui gnrent des rapports un serveur de gestion principal pour un groupe de serveurs. Des clients Symantec Endpoint Protection peuvent tre configurs pour fournir les mises jour de signature et de contenu aux clients d'un groupe. Quand des clients sont configurs de cette faon, ils sont appels des fournisseurs de mise jour de groupe. Les fournisseurs de mise jour de groupe ne doivent pas se trouver dans le ou les groupes qu'ils mettent jour.

Fournisseurs de mise jour de groupe

Migration de Symantec AntiVirus et de Symantec Client Security Ce qui a chang pour les administrateurs hrits

187

Fonction

Description

Les groupes de serveurs peuvent Les oprations hrites de Symantec System Center tournaient autour des groupes tre considrs comme des sites de serveurs. Chaque groupe avait un serveur principal et les clients taient finalement grs par ce serveur principal. Symantec Endpoint Protection utilise le concept d'un site. Une instance d'installation peut contenir plusieurs sites. Quand vous installez des sites supplmentaires dans une instance d'installation, vous le faites en ne spcifiant pas une cl secrte pendant l'installation. Chaque fois que vous spcifiez une cl secrte quand vous installez un site, vous crez une nouvelle instance d'installation. Les ordinateurs des diffrentes instances d'installation ne communiquent pas les uns avec les autres. La dtection de l'emplacement est dveloppe Les oprations hrites prenaient en charge la dtection de l'emplacement pour des oprations de pare-feu seulement. Symantec Endpoint Protection dveloppe la prise en charge de la dtection de l'emplacement au niveau du groupe. Chaque groupe peut tre divis en emplacements multiples et quand un client se trouve dans cet emplacement, des politiques peut tre appliqu cet emplacement. Les politiques contrlent maintenant la plupart des paramtres du client Les oprations hrites de Symantec System Center permettent d'appliquer une srie de paramtres aux groupes d'ordinateurs en utilisant des botes de dialogue. Les paramtres sont maintenant contrls avec les politiques qui peuvent tre appliques jusqu'au niveau de l'emplacement. Par exemple, deux politiques qui affectent des paramtres LiveUpdate. Une politique spcifie combien de fois LiveUpdate s'excute et contrle l'interaction d'utilisateur. L'autre politique spcifie le contenu qui peut tre install sur des ordinateurs client avec LiveUpdate. Les communications hrites de Symantec AntiVirus taient rgies par la prsence d'un fichier Grc.dat sur les ordinateurs client, qui n'est plus utilis.

Grc.dat n'est plus utilis

Quelques paramtres sont encore Quelques paramtres hrits de Symantec System Center sont encore appliqus dfinis sur des groupes au niveau de groupe. Par exemple, la dfinition du mot de passe de dsinstallation du client s'appliquait tous les ordinateurs d'un groupe. En outre, la nouvelle politique de contenu LiveUpdate s'applique au groupe. NetWare n'est plus pris en charge Les serveurs de gestion hrits NetWare ne sont plus pris en charge. N'effectuez pas une migration des serveurs de gestion hrits NetWare, mais continuez les grer avec le logiciel hrit. Les domaines peuvent maintenant tre utiliss Les domaines permettent de crer des groupes globaux supplmentaires si vous souhaiter en utiliser. Cette fonction est avance et ne doit tre utilise qu'en cas de besoin. Le domaine par dfaut est dnomm Default.

188

Migration de Symantec AntiVirus et de Symantec Client Security Ce qui a chang pour les administrateurs hrits

Fonction
Symantec Endpoint Protection inclut maintenant la prise en charge du pare-feu Le blocage du priphrique est maintenant possible

Description
Les produits hrits nomms Symantec Client Security incluaient Symantec AntiVirus et Symantec Client Firewall. Symantec Endpoint Protection inclut maintenant un pare-feu et une interface utilisateur nouveaux et amliors. Si vous voulez dsactiver certains quipements sur des ordinateurs clients, vous pouvez maintenant configurer des politiques pour bloquer l'accs utilisateur une liste d'quipements. Ces priphriques incluent des lments comme des ports USB, des lecteurs de disquette et des modems. Ces priphriques incluent galement les lments pour lesquels vous devez tre vigilant. Par exemple, vous pouvez dsactiver des cartes d'interface rseau (NIC), qui dsactivent des ordinateurs client des communications rseau, mme avec la console Symantec Endpoint Protection Manager. La seule manire de trouver une solution ce scnario consiste dsinstaller Symantec Endpoint Protection, puis activer la carte d'interface rseau avec le Gestionnaire de priphriques de Windows.

Symantec Client Firewall Administrator n'est plus utilis

Symantec Client Firewall Administrator tait l'outil utilis pour crer des politiques de Symantec Client Firewall. La nouvelle console Symantec Endpoint Protection Manager intgre maintenant cette fonctionnalit par dfaut. Si vous avez un grand rseau et avez besoin de pouvoir conomiser la consommation de bande passante, vous pouvez configurer des serveurs de gestion supplmentaires dans une configuration rpartition de charge. Si vous avez un grand rseau et avez besoin de pouvoir configurer la redondance, vous pouvez configurer des serveurs de gestion supplmentaires dans une configuration de basculement. Si vous avez un grand rseau et avez besoin de la rplication, vous pouvez configurer des sites dans une instance d'installation pour rpliquer des donnes.

Le basculement et la rpartition de charge peuvent tre mis en oeuvre pour les serveurs de gestion

La rplication peut tre mise en oeuvre entre les sites

Remarque : Quand vous installez un site pour la rplication, vous ne spcifiez


pas de cl secrte. Tous les sites qui sont installs avec une cl secrte ne communiquent pas les uns avec les autres. Alert Management Server n'est plus utilis Le produit hrit incluait Alert Management Server qui prenant en charge les alertes. Le nouveau Symantec Endpoint Protection Manager inclut maintenant cette fonctionnalit par dfaut. Les produits hrits stockaient les informations dans le registre. Symantec Endpoint Protection Manager stocke maintenant toutes les informations sur les ordinateurs client dans une base de donnes SQL (la base de donnes intgre ou une base de donnes Microsoft SQL).

Les informations client sont maintenant stockes dans une base de donnes

Migration de Symantec AntiVirus et de Symantec Client Security Ce qui a chang pour les administrateurs hrits

189

Fonction
Fonctions amliores de LiveUpdate

Description
LiveUpdate prend maintenant en charge le tlchargement et l'installation d'une grande varit de contenu comprenant des dfinitions, des signatures, des listes blanches pour empcher des faux positifs, des moteurs et des mises jour de produit.

190

Migration de Symantec AntiVirus et de Symantec Client Security Ce qui a chang pour les administrateurs hrits

Chapitre

Migration du logiciel hrit Symantec Sygate


Ce chapitre traite des sujets suivants :

A propos de la migration vers Symantec Endpoint Protection 11.x A propos de la migration vers Symantec Network Access Control 11.x A propos des mises niveau d'Enforcer Scnarios de migration de serveur Procdures de migration du serveur de gestion A propos des changements de l'interface utilisateur et des fonctionnalits de la console survenant aprs la migration Migrer des consoles de gestion distance A propos de la configuration des politiques ayant effectu une migration et nouvelles politiques A propos de la suppression des protections par mot de passe client des paramtres de groupe Migrer le logiciel client Symantec Sygate hrit

A propos de la migration vers Symantec Endpoint Protection 11.x


Vous pouvez migrer depuis Symantec Sygate Enterprise Protection, version 5.1 ou suprieure et depuis Symantec Network Access Control, version 5.1 ou suprieure vers la version 11.x de Symantec Endpoint Protection. Aucun autre

192

Migration du logiciel hrit Symantec Sygate A propos de la migration vers Symantec Endpoint Protection 11.x

logiciel Sygate hrit n'est pris en charge pour cette migration. Pour migrer des versions Sygate hrites plus anciennes, commencez par les migrer vers Symantec Sygate Enterprise Protection 5.1.

A propos de la migration du serveur Symantec Sygate et du logiciel de gestion


La migration vise installer Symantec Endpoint Protection Manager et la console de gestion Symantec Endpoint Protection pour Symantec Endpoint Protection 11.x. Le serveur et le logiciel de gestion hrits que vous pouvez migrer comprennent les produits suivants :

Serveur de gestion, console et base de donnes Symantec Sygate Enterprise Protection 5.1 Les composants de serveur sont appels Symantec Policy Manager et console Symantec Policy Management. serveur de gestion, console et base de donnes Symantec Network Access Control 5.1 Les composants de serveur sont galement appels Symantec Policy Manager et console Symantec Policy Management.

Le produit hrit Symantec Sygate Enterprise Protection 5.1 inclut toutes les fonctionnalits que le produit hrit Symantec Network Access Control 5.1 fournit. Les politiques d'intgrit de l'hte et les fonctionnalits Enforcer constituent le sous-ensemble de fonctionnalits que Symantec Network Access Control fournit. Remarque : Il se peut que les valeurs d'horodatage dans les politiques d'intgrit de l'hte ne migrent pas correctement. Aprs la migration, examinez tous les paramtres d'intgrit de l'hte configurs pour des valeurs horaires et modifiez-les si besoin. Symantec Endpoint Protection 11.0 est semblable Symantec Sygate Enterprise Protection 5.1, une exception prs. L'exception est que Symantec Endpoint Protection n'inclut pas des fonctions d'intgrit de l'hte ou Enforcer. Par consquent, si vous migrez des serveurs Symantec Sygate Enterprise Protection 5.1 qui fournissent des fonctions d'intgrit de l'hte ou Enforcer, vous devez galement acheter et installer Symantec Endpoint Protection Manager pour Symantec Network Access Control 11.0 sur ces serveurs migrs pour obtenir nouveau l'accs cette fonctionnalit.

Migration du logiciel hrit Symantec Sygate A propos de la migration vers Symantec Endpoint Protection 11.x

193

Remarque : La migration de serveur migre toutes les politiques et tous les paramtres existants configurs pour les serveurs et le site.

Chemins de migration de serveur pris en charge


Le logiciel suivant est pris en charge pour la migration vers Symantec Endpoint Protection Manager et Management Console pour Symantec Endpoint Protection :

Symantec Policy Manager et Management Console 5.1 Pour accder aux fonctions d'intgrit de l'hte et Enforcer, vous devez galement installer Symantec Endpoint Protection Manager pour Symantec Network Access Control 11.0. Symantec Network Access Control Manager et Console 5.1 Vous pouvez migrer ce logiciel vers Symantec Endpoint Protection 11.0. Cependant, pour accder aux fonctions d'intgrit de l'hte et Enforcer hrites, vous devez galement installer Symantec Endpoint Protection Manager pour Symantec Network Access Control 11.0.

Chemins de migration de serveur non pris en charge


La migration de Symantec Endpoint Protection Manager vers Symantec Endpoint Protection est bloque si l'un des logiciels suivants est dtect :

Sygate Policy Manager 5.0 Sygate Management Server 3.x et 4.x Security Management Server entier, toutes les versions

Avant de pouvoir installer Symantec Endpoint Protection Manager pour Symantec Endpoint Protection, vous devez dsinstaller ce logiciel. Remarque : Si vous essayez de migrer Symantec Endpoint Protection Manager 5.1 et si l'un des logiciels non pris en charge est dtect, la migration est galement bloque.

A propos de la migration du logiciel client Symantec Sygate hrit


Le but de la migration est d'installer Symantec Endpoint Protection 11.x. Le logiciel agent hrit que vous pouvez migrer comprend les deux produits suivants :

Symantec Protection Agent 5.1 Symantec Enforcement Agent 5.1

194

Migration du logiciel hrit Symantec Sygate A propos de la migration vers Symantec Endpoint Protection 11.x

Symantec Protection Agent inclut toutes les fonctionnalits que Symantec Enforcement Agent fournit. Le sous-ensemble de fonctionnalit fournie par Symantec Enforcement Agent inclut uniquement l'intgrit de l'hte. Pour migrer les ordinateurs client qui excutent Symantec Protection Agent ou Symantec Enforcement Agent, il vous suffit d'installer Symantec Endpoint Protection 11.0 sur ces ordinateurs pour terminer la migration. Comme Sygate Protection Agent, le logiciel client Symantec Endpoint Protection 11.0 inclut, entre autres, toutes les fonctionnalits que Symantec Protection Agent et Symantec Enforcement Agent fournissent. Ainsi, si vous avez des agents Sygate Protection qui fournissent l'intgrit de l'hte, vous n'avez pas besoin d'installer galement Symantec Endpoint Protection Manager 11.0 sur ces clients. Vous devez cependant installer Symantec Endpoint Protection Manager pour Symantec Network Access Control 11.0 sur les serveurs de gestion pour obtenir nouveau l'accs cette fonctionnalit client. Remarque : La migration d'agent migre tous les paramtres existants configurs pour les clients condition que vous exportez le paquet d'installation client pour vos groupes existants. Vous pouvez alors effectuer des mises niveau automatiques pour ces groupes.

Chemins de migration de client pris en charge


Le logiciel suivant est pris en charge pour la migration vers Symantec Endpoint Protection :

Symantec Protection Agent 5.1 Symantec Protection Agent 5.1 avec Symantec AntiVirus 9.x et ultrieur Symantec Protection Agent 5.1 avec Symantec Client Security 2.x et ultrieur Symantec Enforcement Agent 5.1 Symantec Enforcement Agent 5.1 avec Symantec AntiVirus 9.x et ultrieur Symantec Enforcement Agent 5.1 avec Symantec Client Security 2.x et ultrieur

Chemins de migration de client non pris en charge


La migration client de Symantec Endpoint Protection 11.0 est bloque quand l'un des logiciels suivants est dtect :

Sygate Protection Agent 5.0 Sygate Enforcement Agent 5.0 Sygate Security Agent 3.x et 4.x

Migration du logiciel hrit Symantec Sygate A propos de la migration vers Symantec Network Access Control 11.x

195

Edition Security Confidence Online Enterprise complte, toutes les versions Symantec Protection Agent 5.1 et Symantec AntiVirus 7.x et 8.x Symantec Protection Agent 5.1 et Symantec Client Security 1.x Symantec Enforcement Agent 5.1 et Symantec AntiVirus 7.x et 8.x Symantec Protection Agent 5.1 et Symantec Client Security 1.x

A propos de la migration vers Symantec Network Access Control 11.x


Vous pouvez migrer Symantec Network Access Control 5.1 vers Symantec Network Access Control 11.x. Aucun autre logiciel Sygate hrit n'est pris en charge pour cette migration. Pour migrer d'autres versions, commencez par les migrer vers Symantec Sygate Enterprise Protection 5.1.

A propos de la migration du logiciel de serveur Symantec Sygate hrit


Symantec Network Access Control Manager et Management Console 5.1 sont les seuls logiciels pris en charge pour la migration vers Symantec Endpoint Protection Manager et Management Console pour Symantec Network Access Control 11.x. Symantec Endpoint Protection Manager pour la migration de Symantec Network Access Control est bloqu quand l'un des logiciels suivants est dtect :

Sygate Policy Manager 5.0 Sygate Management Server 3.x et 4.x Security Management Server entier, toutes les versions

A propos de la migration du logiciel client Symantec Sygate hrit


Symantec Enforcement Agent 5.1 est le seul logiciel qui est pris en charge pour la migration vers Symantec Network Access Control 11.0. Remarque : La migration d'agent migre tous les paramtres existants configurs pour les clients condition que vous exportez le paquet d'installation client pour vos groupes existants. Effectuez ensuite une mise niveau automatique pour ces groupes. La migration client de Symantec Network Access Control 11.0 est bloque quand l'un des logiciels suivants est dtect :

196

Migration du logiciel hrit Symantec Sygate A propos des mises niveau d'Enforcer

Sygate Enforcement Agent 5.0 Sygate Protection Agent 5.0 et ultrieur Sygate Security Agent 3.x et 4.x Edition Security Confidence Online Enterprise complte, toutes les versions Symantec Enforcement Agent 5.1 et Symantec AntiVirus, toutes les versions Symantec Enforcement Agent 5.1 et Symantec Client Security, toutes les versions

A propos des mises niveau d'Enforcer


Symantec Endpoint Protection Manager prend en charge Symantec Gateway Enforcer, DHCP Enforcer et LAN Enforcer, uniquement s'ils sont excuts sur des botiers version 6100. Ces botiers prennent en charge les versions de logiciel 5.1, 5.1.5 et 11.x. Symantec Endpoint Protection Manager prend en charge les versions de logiciel 5.1.5 et 11.x seulement. Symantec Endpoint Protection Manager ne prend pas en charge la version de logiciel 5.1. De mme, les versions prcdentes de Symantec Enforcer fournies comme logiciel uniquement ne sont pas prises en charge. Si votre botier Enforcer 6100 excute la version logicielle 5.1, vous devez mettre niveau l'image logicielle vers la version 5.1.5 ou 11.x. Symantec recommande de flasher l'image logicielle hrite vers la version 11.x pour utiliser la dernire version. Tous les paramtres Enforcer sont enregistrs dans Symantec Endpoint Protection Server ; les paramtres Enforcer sont ainsi migrs pendant la migration de serveur.

Scnarios de migration de serveur


Effectuer une migration le logiciel Symantec Sygate Enterprise Protection hrit est aussi complexe que votre architecture rseau. Si vous avez un serveur de gestion hrit qui gre des clients, installez les derniers composants de gestion sur l'ordinateur qui excute les composants de gestion Symantec Policy Manager 5.1. Vous avez termin. Si les serveurs hrits supplmentaires excutent la rplication, dsactivent la rplication avant migration, puis activent la rplication aprs migration. Si des serveurs hrits supplmentaires excutent le basculement ou la rpartition de charge, dsactivez le service Symantec Policy Manager sur ces ordinateurs. Migrez ensuite les serveurs un par un. Commencez par le serveur que vous avez install en premier avec le fichier de licence et le secret pr-partag. Une fois les serveurs migrs, ils grent automatiquement les clients hrits. Utilisez ensuite

Migration du logiciel hrit Symantec Sygate Scnarios de migration de serveur

197

la fonction de mise niveau automatique pour migrer les ordinateurs client vers la dernire version, ce qui constitue la mthode la plus simple pour migrer les clients. Remarque : Les scnarios de serveur prennent en charge les migrations Symantec Endpoint Protection et Symantec Network Access Control.

Migrer une instance d'installation qui utilise un serveur de gestion


Migrer une instance d'installation qui utilise un serveur de gestion est simple car vous ne migrez qu'un seul site. Vous installez Symantec Endpoint Protection Manager sur l'ordinateur qui excute Symantec Sygate Enterprise Protection. Procdez ensuite la mise niveau de votre logiciel client. La base de donnes est galement migre. Le fait que le serveur de base de donnes intgr, un serveur Microsoft SQL local ou un serveur Microsoft SQL distant mette jour la base de donnes n'est pas important. Pour migrer un site qui utilise un serveur de gestion

Migrez votre serveur de gestion. Se reporter "Migration d'un serveur de gestion" la page 200.

Migrer une instance d'installation qui utilise une base de donnes Microsoft SQL et plusieurs serveurs de gestion
Migrer une instance d'installation qui utilise une base de donnes et plusieurs serveurs de gestion implique les points suivants :

Les serveurs de gestion sont configurs pour la rpartition de charge ou le basculement. La base de donnes s'excute sur Microsoft SQL Server car le basculement et la rpartition de charge sont pris en charge sur Microsoft SQL Server seulement. La rplication n'est pas effectue car il n'existe qu'une seule base de donnes.

Toutes les instances d'installation comportent un site sur lequel vous avez d'abord install le serveur de gestion. Un seul de ces serveurs de gestion a t install avec une licence et un secret pr-partag. Migrez ce serveur de gestion en premier. Migrez ensuite les autres serveurs de gestion qui ont t installs pour la rpartition de charge et le basculement.

198

Migration du logiciel hrit Symantec Sygate Scnarios de migration de serveur

Pour migrer une instance d'installation qui utilise une base de donnes Microsoft SQL et plusieurs serveurs de gestion

Sur tous les serveurs de gestion qui n'ont pas t installs avec la licence et le secret pr-partag, dsactivez le service Symantec Policy Manager l'aide des outils d'administration Windows. Se reporter "Arrter les serveurs avant la migration de rpartition de charge et de basculement" la page 202.

Authentifiez-vous sur et connectez-vous l'ordinateur qui contient l'instance Symantec Policy Manager ayant t installe avec la licence et le secret pr-partag. Ne vous connectez pas Symantec Policy Manager.

Migrez le serveur de gestion. Se reporter "Migration d'un serveur de gestion" la page 200.

Migrez tous les serveurs de gestion supplmentaires un par un.

Migrer une instance d'installation qui utilise plusieurs bases de donnes et serveurs de gestion intgrs
La migration d'une instance d'installation qui utilise plusieurs bases de donnes et serveurs de gestion intgrs prsente les implications suivantes :

Aucun basculement ou aucune rpartition de charge n'a lieu car la base de donnes intgre ne prend pas en charge les serveurs de basculement ou de rpartition de charge. Les serveurs de gestion sont configurs pour la rplication seulement car vous ne pouvez pas installer plusieurs serveurs de base de donnes intgrs sans les installer en tant que serveurs de rplication.

Tous les sites comportent un ordinateur sur lequel vous avez d'abord install le serveur de gestion. Un seul de ces serveurs de gestion a t install avec une licence et un secret pr-partag. Vous devez migrer ce serveur de gestion en premier. Migrez ensuite les autres serveurs de gestion qui ont t installs pour la rplication.

Migration du logiciel hrit Symantec Sygate Scnarios de migration de serveur

199

Pour migrer une instance d'installation qui utilise plusieurs bases de donnes et serveurs de gestion intgrs

Sur tous les serveurs de gestion, dsactivez la rplication. Se reporter "Dsactiver la rplication avant la migration" la page 202.

Authentifiez-vous sur et connectez-vous l'ordinateur qui contient l'instance Symantec Policy Manager ayant t installe avec la licence et le secret pr-partag. Ne vous connectez pas Symantec Policy Manager.

Migrez le serveur de gestion. Se reporter "Migration d'un serveur de gestion" la page 200.

4 5

Migrez tous les serveurs de gestion supplmentaires un par un. Aprs avoir migr les serveurs, activez la rplication sur chacun d'entre eux. Se reporter "Activer la rplication aprs la migration" la page 203.

Migrer une instance d'installation qui utilise plusieurs bases de donnes et serveurs de gestion SQL
Migrer un site qui utilise plusieurs bases de donnes et serveurs de gestion SQL implique les points suivants :

La rplication est configure car elle utilise plusieurs bases de donnes Microsoft SQL 2000. Les serveurs de gestion peuvent tre configurs pour la rpartition de charge ou le basculement.

Tous les sites comportent un ordinateur sur lequel vous avez d'abord install le serveur de gestion. Un seul de ces serveurs de gestion a t install avec une licence et un secret pr-partag. Migrez ce serveur de gestion en premier. Migrez ensuite les autres serveurs de gestion qui ont t installs pour la rplication, la rpartition de charge et le basculement. Remarque : Vous pouvez avoir une base de donnes intgre qui se rplique avec la base de donnes Microsoft SQL. La base de donnes intgre, cependant, ne prend pas en charge les serveurs de basculement et de rpartition de charge.

200

Migration du logiciel hrit Symantec Sygate Procdures de migration du serveur de gestion

Pour migrer une instance d'installation qui utilise plusieurs bases de donnes et serveurs de gestion SQL

Sur tous les serveurs de gestion qui effectuent la rplication vers une base de donnes, dsactivez la rplication. Se reporter "Dsactiver la rplication avant la migration" la page 202.

Sur tous les serveurs de gestion qui effectuent la rpartition de charge et le basculement pour cette base de donnes et qui n'ont pas t installs avec la licence et le secret pr-partag, dsactivez le service Symantec Policy Manager l'aide des outils d'administration de Windows. Se reporter "Arrter les serveurs avant la migration de rpartition de charge et de basculement" la page 202.

Authentifiez-vous et connectez-vous l'ordinateur qui contient Symantec Policy Manager, qui a t install avec la licence et le secret partag, mais ne vous connectez-pas Symantec Policy Manager. Migrez le serveur de gestion. Se reporter "Migration d'un serveur de gestion" la page 200.

5 6 7

Migrez un par un tous les serveurs de gestion supplmentaires qui effectuent le basculement et la rpartition de charge. Rptez les tapes prcdentes jusqu' ce que vous avez migr tous les sites. Activez la rplication site par site jusqu' ce que tous les sites effectuent de nouveau la rplication. Se reporter "Activer la rplication aprs la migration" la page 203.

Procdures de migration du serveur de gestion


Utilisez ces procdures pour migrer des serveurs de gestion et des consoles et les bases de donnes de gestion bases sur les scnarios correspondant vos environnements et vos sites. L'ordre dans lequel vous suivez ces procdures dpend de votre scnario de migration. Se reporter "Scnarios de migration de serveur" la page 196.

Migration d'un serveur de gestion


Vous devez effectuer la migration de tous les serveurs de gestion avant d'effectuer celle des clients. Si vous effectuez la migration des serveurs de gestion dans un environnement qui prend en charge la rpartition de charge, le basculement ou

Migration du logiciel hrit Symantec Sygate Procdures de migration du serveur de gestion

201

la rplication, vous devez prparer et effectuer la migration des serveurs de gestion dans un ordre trs prcis. Se reporter "Scnarios de migration de serveur" la page 196. Avertissement : Identifiez et suivez votre scnario de migration, sinon votre migration chouera. Si vous migrez des serveurs Symantec Sygate Enterprise Protection protgs par des politiques d'intgrit de l'hte ou un botier Enforcer, installez d'abord Symantec Endpoint Protection Manager pour Symantec Endpoint Protection. Rptez ensuite la procdure et installez Symantec Endpoint Protection Manager pour Symantec Network Access Control pour accder la fonctionnalit d'intgrit de l'hte et d'Enforcer. Pour effectuer la migration d'un serveur de gestion

Dans le serveur migrer, insrez le CD d'installation pour l'un des lments suivants :

Symantec Endpoint Protection Symantec Network Access Control

Dmarrez le programme d'installation et procdez comme suit :

Pour procder l'installation pour Symantec Endpoint Protection, cliquez sur Installer Symantec Endpoint Protection Manager. Pour procder l'installation pour Symantec Network Access Control, cliquez sur Installer Symantec Network Access Control, puis cliquez sur Installer Symantec Endpoint Protection Manager.

3 4

Dans l'cran d'accueil, cliquez sur Suivant. Cliquez sur les invites d'installation jusqu' ce que l'installation commence. L'installation du fichier initial prend quelques minutes.

5 6 7 8 9

Dans le volet Assistant d'installation termin, cliquez sur Terminer. Dans le panneau Bienvenue de l'Assistant de mise niveau du serveur de gestion, cliquez sur Suivant. Dans l'invite Informations, cliquez sur Continuer. Quand l'Etat de mise niveau du serveur russit, cliquez sur Suivant. Dans le panneau Mise niveau russie, cliquez sur Terminer.

202

Migration du logiciel hrit Symantec Sygate Procdures de migration du serveur de gestion

10 A l'apparition du volet de connexion de Symantec Endpoint Protection


Manager, connectez-vous la console avec vos coordonnes hrites.

11 Si vous devez installer Symantec Endpoint Protection Manager pour Symantec


Network Access Control (facultatif), fermez la session de Symantec Endpoint Protection Manager. Rptez ensuite cette procdure et installez Symantec Endpoint Protection Manager pour Symantec Network Access Control partir du CD d'installation de Symantec Network Access Control. Vous ne devez pas redmarrer l'ordinateur, mais vous pourrez ventuellement constater une amlioration de la performance si vous redmarrez l'ordinateur et vous vous connectez.

Arrter les serveurs avant la migration de rpartition de charge et de basculement


Si vous possdez des serveurs Symantec hrits qui effectuent la rpartition de charge et le basculement, vous devez arrter le service Symantec Policy Manager sur tous les serveurs hrits. En arrtant ce service, vous arrtez les serveurs hrits qui essayent de mettre jour la base de donnes pendant la migration. Les serveurs hrits ne doivent pas essayer de mettre jour la base de donnes tant que la migration n'est pas termine. Pour arrter les serveurs qui fournissent la rpartition de charge et le basculement

1 2 3

Cliquez sur Dmarrer > Paramtres > Panneau de configuration> Outils d'administration. Dans la fentre Services, sous Nom, recherchez en faisant dfiler l'affichage et cliquez avec le bouton droit de la souris sur Symantec Policy Manager. Cliquez sur Arrter.

Dsactiver la rplication avant la migration


Si vous possdez des sites Symantec hrits qui sont configurs pour la rplication, vous devez dsactiver la rplication avant la migration. Vous ne voulez pas que des sites essayent de rpliquer des donnes entre les bases de donnes hrites et mises jour pendant ou aprs la migration. Vous devez dsactiver la rplication sur chaque site rpliquant des donnes, ce qui signifie que vous devez vous connecter et dsactiver la rplication sur deux sites au minimum.

Migration du logiciel hrit Symantec Sygate Procdures de migration du serveur de gestion

203

Pour dsactiver la rplication

1 2 3 4 5

Connectez-vous la console Symantec Policy Management si vous n'tes pas connect. Dans le volet gauche de l'onglet Serveurs, dveloppez Site local, puis Partenaires de rplication. Cliquez avec le bouton droit de la souris sur chaque site rpertori dans Partenaires de rplication, puis cliquez sur Supprimer. A l'invite Supprimer un partenaire, cliquez sur Oui. Dconnectez-vous de la console et rptez cette procdure pour tous les sites qui rpliquent des donnes.

Activer la rplication aprs la migration


Aprs avoir migr tous les serveurs qui ont utilis la rplication, le basculement et la rpartition de charge, vous devez activer la rplication. Aprs la migration, ajoutez un partenaire de rplication pour activer la rplication. Vous devez uniquement ajouter des partenaires de rplication sur l'ordinateur sur lequel vous avez d'abord install le serveur de gestion. Les partenaires de rplication apparaissent automatiquement sur les autres serveurs de gestion. Pour activer la rplication aprs la migration

1 2 3 4 5

Connectez-vous la console Symantec Policy Management si vous n'tes pas connect. Dans le volet gauche de l'onglet Serveurs, dveloppez Site local, puis Partenaires de rplication. Cliquez avec le bouton droit de la souris sur chaque site rpertori dans Partenaires de rplication, puis cliquez sur Ajouter un partenaire. Dans le panneau Ajouter un partenaire de rplication, cliquez sur Suivant. Dans le panneau Informations sur le site distant, entrez les informations d'identification relatives au partenaire de rplication et les informations d'authentification, puis cliquez sur Suivant. Dans le panneau Planifier la rplication, spcifiez la planification dfinissant quel moment la rplication se produit automatiquement, puis cliquez sur Suivant. Dans le panneau Rplication des fichiers journaux et des paquets du client, slectionnez les lments rpliquer, puis cliquez sur Suivant. Rpliquer des paquets implique gnralement de gros volumes de trafic et un espace de stockage important.

204

Migration du logiciel hrit Symantec Sygate A propos des changements de l'interface utilisateur et des fonctionnalits de la console survenant aprs la migration

8 9

Dans le panneau Terminer l'Assistant d'ajout de partenaire de rplication, cliquez sur Terminer. Rptez cette procdure pour tous les serveurs de gestion qui rpliquent des donnes avec ce serveur de gestion.

A propos des changements de l'interface utilisateur et des fonctionnalits de la console survenant aprs la migration
Les changements suivants de l'interface utilisateur se produisent aprs la migration :

Le menu de dmarrage de programme de Symantec Policy Manager est remplac par Symantec Endpoint Protection Manager Console. Le rpertoire d'installation et le nom de service conservent le nom hrit de Symantec Policy Manager et ne sont pas renomms. Politiques de protection du systme d'exploitation hrit devient Politiques de protection des priphriques matriels. Plusieurs types de politique nouveaux sont disponibles pour les paramtres LiveUpdate, Antivirus et AntiSpyware, et ainsi de suite. Vous ne pouvez utiliser les nouvelles politiques qu'une fois vos clients migrs. Les paquets d'installation client hrits sont supprims de la base de donnes de sorte qu'ils n'apparaissent pas dans la console migre. Cependant, ces paquets demeurent dans votre rpertoire de paquets hrits. Exportez vos nouveaux paquets d'installation client vers un rpertoire diffrent. Le planificateur de rapport est maintenant disponible via l'onglet Rapports au lieu de la bote de dialogue Proprits de site de serveur hrite. La gestion des licences a t annule et n'est plus requise. La gestion des paquets est maintenant disponible via le volet Serveurs au lieu du volet Gestionnaire de clients hrit. Les composants de bibliothque de politiques tels que Listes de serveurs de gestion et Services rseau sont maintenant disponibles dans le volet Politiques, sous les listes de politiques, et sont identifis comme Composants de politique. Les fonctionnalits des onglets Serveurs et Administrateurs ont t consolides dans le volet Administration. La migration de serveur purge tous les paquets d'installation client de la base de donnes. Ces paquets ne sont plus pris en charge et la suppression de paquet

Migration du logiciel hrit Symantec Sygate Migrer des consoles de gestion distance

205

n'affecte pas les clients connects. Cette purge n'empche que les nouveaux dploiements des paquets client hrits.

Migrer des consoles de gestion distance


Pour migrer des consoles de gestion distance hrites, installez les dernires consoles de gestion distance sur les ordinateurs qui excutent les consoles hrites. Les icnes Symantec Policy Manager hrites et le menu de dmarrage de programme ne sont pas migrs. Quand vous cliquez sur l'icne ou l'lment de menu, cependant, ils affichent la nouvelle invite de connexion Symantec Endpoint Protection Manager. Quand une console de gestion distance hrite a t installe, il se peut que l'excution de Sun Java 1.4 ait t installe sur l'ordinateur si elle n'tait pas dj installe. Cette nouvelle version de la console de gestion distance tlcharge et installe Sun Java 1.5 sur l'ordinateur distant. Si vous n'avez besoin de l'excution de Sun Java 1.4 pour aucune autre application, vous pouvez la supprimer via la fonction d'ajout ou de suppression de programmes de Windows. Pour migrer des consoles de gestion distance

1 2

Sur l'ordinateur sur lequel installer la console de gestion, dmarrez un navigateur Web. Dans la zone URL, tapez l'un des identifiants suivants pour l'ordinateur qui excute le gestionnaire de politique :

http://nom_ordinateur: 9090 http://adresse_IP_ordinateur:9090

Le numro de port par dfaut de la console Web est 9090. Si vous avez dfini un port diffrent lors de l'installation, remplacez 9090 par le port que vous avez dfini. Vous pouvez changer le numro de port en utilisant l'assistant de configuration du serveur de gestion.

3 4

Dans la fentre de console de gestion des politiques Symantec, cliquez sur Ici pour tlcharger et installer JRE 1.5. Rpondez, suivez les invites et connectez-vous la console Symantec Endpoint Protection Manager.

206

Migration du logiciel hrit Symantec Sygate A propos de la configuration des politiques ayant effectu une migration et nouvelles politiques

A propos de la configuration des politiques ayant effectu une migration et nouvelles politiques
La console Symantec Endpoint Protection Manager vous permet de grer des clients hrits. Si vous avez effectu une migration vers Symantec Endpoint Protection, la console contient galement des politiques de pare-feu et de prvention d'intrusion migres contenant vos paramtres hrits. En outre, les nouvelles politiques sont galement disponibles. En consquence, vous devez vous familiariser avec les nouvelles politiques qui affectent vos groupes avant d'effectuer la migration des clients hrits. Par exemple, si vous dcidez d'ajouter la protection antivirus et antispyware vos clients pendant la migration, familiarisez-vous avec les paramtres de la politique antivirus et antispyware. En outre, les paramtres LiveUpdate et les politiques de contenu LiveUpdate affectent Symantec Endpoint Protection et Symantec Network Access Control. En consquence, vous devez bien vous familiariser avec ces politiques et savoir comment elles affectent vos groupes et vos emplacements avant la migration du client.

A propos de la suppression des protections par mot de passe client des paramtres de groupe
Les paramtres Groupe effectuent la migration et incluent les paramtres de protection par mot de passe du client de groupe. Si des paramtres de groupe activent un ou plusieurs mots de passe, comme pour la dsinstallation, la migration du client choue pour certaines versions MR. Il est recommand de dsactiver ces mots de passe dans vos groupes devant effectuer une migration avec la console Symantec Endpoint Protection Manager avant d'effectuer la migration du logiciel de client hrit. Les paramtres de protection par mot de passe apparaissent dans les paramtres gnraux de chaque groupe. Vous pouvez activer ces mots de passe aprs migration. Avertissement : si vous ne dsactivez pas le mot de passe de dsinstallation et ne dployez pas de nouveaux paquets d'installation client, il se peut que vous deviez entrer ce mot de passe sur chaque ordinateur client pour effectuer la migration client. Si vous effectuez le dploiement vers 100 clients ou plus, il se peut que vous deviez envoyer par courrier lectronique le mot de passe aux utilisateurs finaux.

Migration du logiciel hrit Symantec Sygate Migrer le logiciel client Symantec Sygate hrit

207

Migrer le logiciel client Symantec Sygate hrit


La mthode la plus simple pour migrer le logiciel Symantec Protection Agent et Symantec Enforcement Agent consiste utiliser la fonction de mise niveau automatique. Toutes les autres mthodes de dploiement de logiciel client sont prises en charge, mais la mise niveau automatique est l'approche la plus facile. La migration peut prendre jusqu' 30 minutes. Par consquent, vous devez effectuer la migration quand la plupart des utilisateurs sont dconnects de leurs ordinateurs. Remarque : testez cette approche de migration avant de dployer la migration sur un nombre lev d'ordinateurs. Vous pouvez crer un nouveau groupe et placer un nombre restreint d'ordinateurs client dans ce groupe. Pour migrer le logiciel client

1 2 3 4 5

Connectez-vous la console Symantec Endpoint Protection Manager nouvellement migre si vous n'tes pas connect. Cliquez sur Admin > Paquets d'installation. Dans le volet infrieur gauche, sous Tches, cliquez sur Mettre les groupes niveau l'aide d'un paquet. Dans le panneau Bienvenue dans l'Assistant de mise niveau des groupes, cliquez sur Suivant. Dans le panneau Slectionner un paquet d'installation client, dans le menu droulant Slectionnez le nouveau paquet d'installation client, effectuez l'une des oprations suivantes :

Cliquez sur Symantec Endpoint Protection <version approprie>. Cliquez sur Symantec Network Access Control <version approprie>.

Dans le panneau Spcifiez des groupes, slectionnez un ou plusieurs groupes contenant les ordinateurs client que vous voulez migrer, puis cliquez sur Suivant. Dans le panneau Paramtres de mise niveau de paquet, cochez Tlcharger depuis le serveur de gestion. Si vous le souhaitez, vous pouvez dfinir et slectionner un paquet sur un serveur Web.

Cliquez sur Paramtres de mise niveau.

208

Migration du logiciel hrit Symantec Sygate Migrer le logiciel client Symantec Sygate hrit

Dans l'onglet Gnral de la bote de dialogue Ajouter le paquet d'installation du client, dfinissez une planification pour spcifier le moment de la migration des ordinateurs client. utilisateurs lors de la mise niveau. Pour obtenir des dtails sur les paramtres de ces onglets, cliquez sur Aide.

10 Dans l'onglet Notification, dfinissez le message afficher l'attention des

11 Cliquez sur OK. 12 Dans la bote de dialogue Installer le paquet d'installation du client,cliquez
sur Suivant.

13 Dans le panneau Terminer l'Assistant de mise niveau client, cliquez sur


Terminer.

Chapitre

Mise niveau vers de nouveaux produits Symantec


Ce chapitre traite des sujets suivants :

A propos de la mise niveau vers de nouveaux produits Symantec Mise niveau de Symantec Endpoint Protection Manager Sauvegarder la base de donnes. Dsactiver la rplication Arrter le service Symantec Endpoint Protection Manager Mise niveau de Symantec Endpoint Protection Manager Activer la rplication aprs la migration A propos de la mise niveau des clients Symantec Endpoint Protection avec Symantec Network Access Control A propos de la mise niveau des clients Symantec Network Access Control avec Symantec Endpoint Protection

A propos de la mise niveau vers de nouveaux produits Symantec


Symantec Endpoint Protection Manager prend en charge la gestion et le dploiement des produits Symantec suivants :

210

Mise niveau vers de nouveaux produits Symantec Mise niveau de Symantec Endpoint Protection Manager

Symantec Endpoint Protection Symantec Network Access Control

Vous pouvez mettre niveau Symantec Endpoint Protection avec Symantec Network Access Control et mettre niveau Symantec Network Access Control avec Symantec Endpoint Protection.

Mise niveau de Symantec Endpoint Protection Manager


Pour mettre niveau Symantec Endpoint Protection avec Symantec Network Access Control, installez Symantec Endpoint Protection Manager pour Symantec Network Access Control sur les ordinateurs excutant Symantec Endpoint Protection Manager pour Symantec Endpoint Protection. Pour mettre niveau Symantec Network Access Control avec Symantec Endpoint Protection, installez Symantec Endpoint Protection Manager pour Symantec Endpoint Protection sur les ordinateurs excutant Symantec Endpoint Protection Manager pour Symantec Network Access Control. Avertissement : Vous devez arrter le service Symantec Endpoint Protection Manager avant de mettre niveau votre installation existante de Symantec Endpoint Protection Manager. Si vous ne le faites pas, vous risquez de corrompre votre installation existante de Symantec Endpoint Protection Manager.

Sauvegarder la base de donnes.


Avant d'effectuer la mise niveau, sauvegardez la base de donnes. Pour sauvegarder la base de donnes

1 2 3

Cliquez sur Dmarrer > Programmes > Symantec Endpoint Protection Manager > Database Backup and Restore. Dans la bote de dialogue Database Backup and Restore, cliquez sur Sauvegarder. Lorsque le message d'invite apparat, cliquez sur OK.

Mise niveau vers de nouveaux produits Symantec Dsactiver la rplication

211

Une fois la sauvegarde termine, cliquez sur OK. Cette sauvegarde peut prendre plusieurs minutes. Les fichiers de sauvegarde sont des fichiers.zip stocks dans \\Program Files\Symantec\Symantec Endpoint Protection Manager\data\backup\.

Dans la bote de dialogue Database Backup and Restore, cliquez sur Quitter.

Dsactiver la rplication
Si votre site utilise la rplication, vous devez la dsactiver avant de mettre niveau Symantec Endpoint Protection Manager. Vous devez dsactiver la rplication pour chaque site faisant appel la rplication. Pour dsactiver la rplication

1 2 3 4 5

Connectez-vous la console Symantec Endpoint Protection Manager. Dans le volet gauche de l'onglet Serveurs, dveloppez Site local, puis Partenaires de rplication. Cliquez avec le bouton droit de la souris sur chaque site rpertori dans Partenaires de rplication, puis cliquez sur Supprimer. A l'invite Supprimer un partenaire, cliquez sur Oui. Dconnectez-vous de la console et rptez cette procdure pour tous les sites qui rpliquent des donnes.

Arrter le service Symantec Endpoint Protection Manager


Avant de procder la mise niveau, vous devez arrter manuellement le service Symantec Endpoint Protection Manager sur tous les serveurs de gestion de votre site. Aprs la mise niveau, le service dmarre automatiquement. Avertissement : Vous devez arrter le service Symantec Endpoint Protection Manager avant d'excuter cette procdure pour viter de corrompre l'installation existante de Symantec Endpoint Protection Manager.

212

Mise niveau vers de nouveaux produits Symantec Mise niveau de Symantec Endpoint Protection Manager

Pour arrter le service Symantec Endpoint Protection Manager

1 2

Cliquez sur Dmarrer > Paramtres > Panneau de configuration > Outils d'administration > Services. Dans la fentre Services, sous Nom, recherchez en faisant dfiler l'affichage et cliquez avec le bouton droit de la souris sur Symantec Endpoint Protection Manager. Cliquez sur Arrter. Fermez la fentre Services. Avertissement : Si vous ne fermez pas la fentre Services, la mise niveau risque d'chouer.

3 4

Rptez cette procdure pour toutes les installations de Symantec Endpoint Protection Manager.

Mise niveau de Symantec Endpoint Protection Manager


Vous devez mettre niveau toutes les applications Symantec Endpoint Protection Manager sur lesquelles vous avez arrt le service Symantec Endpoint Protection. Pour mettre niveau Symantec Endpoint Protection Manager

Dans le serveur mettre niveau, insrez l'un des CD-ROM d'installation suivants et lancez l'installation :

Symantec Endpoint Protection Symantec Network Access Control

Effectuez l'une des oprations suivantes :

Dans le panneau Symantec Endpoint Protection, cliquez sur Installer Symantec Endpoint Protection Manager. Dans le panneau Symantec Network Access Control, cliquez sur Installer Symantec Network Access Control, puis sur Installer Symantec Endpoint Protection Manager.

3 4

Dans l'cran d'accueil, cliquez sur Suivant. Dans l'cran du contrat de licence, acceptez les termes du contrat de licence, puis cliquez sur Suivant.

Mise niveau vers de nouveaux produits Symantec Activer la rplication aprs la migration

213

Cliquez sur Installer dans le volet Prt pour l'installation. Dans le volet Assistant d'installation termin, cliquez sur Terminer. L'assistant de mise niveau du serveur de gestion dmarre.

6 7 8 9

Dans l'cran d'accueil de l'assistant de mise niveau du serveur de gestion, cliquez sur Suivant. Dans le panneau Informations, cliquez sur Continuer. Une fois la mise niveau termine, cliquez sur Suivant. Dans le panneau Mise niveau russie, cliquez sur Terminer. Explorer pour vous assurer que les fichiers mis jour sont utiliss lorsque vous vous connectez la console.

10 Supprimez les fichiers du dossier des fichiers Internet temporaires d'Internet

Activer la rplication aprs la migration


Aprs avoir migr tous les serveurs utilisant la rplication, y compris les serveurs configurs pour le basculement et la rpartition de charge, vous devez activer la rplication. Aprs la migration, ajoutez un partenaire de rplication pour activer la rplication. Vous devez uniquement ajouter des partenaires de rplication sur l'ordinateur sur lequel vous avez d'abord install le serveur de gestion. Les partenaires de rplication apparaissent automatiquement sur les autres serveurs de gestion. Pour activer la rplication aprs la migration

1 2 3 4 5

Connectez-vous la console Symantec Policy Management si vous n'tes pas connect. Dans le volet gauche de l'onglet Serveurs, dveloppez Site local, puis Partenaires de rplication. Cliquez avec le bouton droit de la souris sur chaque site rpertori dans Partenaires de rplication, puis cliquez sur Ajouter un partenaire. Dans le panneau Ajouter un partenaire de rplication, cliquez sur Suivant. Dans le panneau Informations sur le site distant, entrez les informations d'identification relatives au partenaire de rplication et les informations d'authentification, puis cliquez sur Suivant. Dans le panneau Planifier la rplication, spcifiez la planification dfinissant quel moment la rplication se produit automatiquement, puis cliquez sur Suivant.

214

Mise niveau vers de nouveaux produits Symantec A propos de la mise niveau des clients Symantec Endpoint Protection avec Symantec Network Access Control

Dans le panneau Rplication des fichiers journaux et des paquets du client, slectionnez les lments rpliquer, puis cliquez sur Suivant. Rpliquer des paquets implique gnralement de gros volumes de trafic et un espace de stockage important.

8 9

Dans le panneau Terminer l'Assistant d'ajout de partenaire de rplication, cliquez sur Terminer. Rptez cette procdure pour tous les ordinateurs qui rpliquent des donnes avec cet ordinateur.

A propos de la mise niveau des clients Symantec Endpoint Protection avec Symantec Network Access Control
Les clients Symantec Endpoint Protection incluent Symantec Network Access Control et n'ont pas besoin d'tre mis niveau. Aprs avoir mis niveau Symantec Endpoint Protection Manager pour Symantec Network Access Control, vous pouvez appliquer des politiques d'intgrit d'hte vos clients existants.

A propos de la mise niveau des clients Symantec Network Access Control avec Symantec Endpoint Protection
Pour mettre niveau des clients Symantec Network Access Control, installez Symantec Endpoint Protection sur ces clients. L'installation dtecte automatiquement le client Symantec Network Access Control, le supprime, puis installe le logiciel client Symantec Endpoint Protection. Vous pouvez dployer le logiciel client en utilisant l'une des mthodes de dploiement de client prises en charge.

Section

Annexes

Fonctions et proprits d'installation de Symantec Endpoint Protection Mise jour du logiciel client Symantec Rcupration d'urgence

216

Annexe

Fonctions et proprits d'installation de Symantec Endpoint Protection


Cette annexe traite des sujets suivants :

A propos des fonctions et proprits d'installation fonctions et proprits de l'installation client Paramtres de Windows Installer Proprits du Centre de scurit Windows A propos de l'utilisation du fichier journal pour rechercher les erreurs Identification du point d'chec d'une installation Exemples de lignes de commande

A propos des fonctions et proprits d'installation


Les fonctions et les proprits d'installation sont les chanes qui apparaissent dans des fichiers texte et des lignes de commande. Des fichiers texte et des lignes de commande sont traits pendant toutes les installations de logiciel client pour Symantec Endpoint Protection. Les fonctions d'installation dterminent quels composants sont installs. Les proprits d'installation dterminent quels sous-composants sont activs ou dsactivs aprs installation. Les fonctions et les proprits d'installation ne sont disponibles que pour le logiciel client Symantec Endpoint Protection et sont galement disponibles pour le systme d'exploitation Windows. Les fonctions et les proprits d'installation ne sont pas disponibles

218

Fonctions et proprits d'installation de Symantec Endpoint Protection A propos des fonctions et proprits d'installation

pour le logiciel client Symantec Network Access Control ou pour des installations de Symantec Endpoint Protection Manager. Les fonctions et les proprits d'installation sont spcifies de deux manires : sous forme de lignes dans le fichier Setaid.ini et de valeurs dans des commandes Windows Installer (MSI). Des commandes MSI peuvent tre spcifies dans des chanes Windows Installer et dans vpremote.dat pour un dploiement personnalis avec l'assistant de dploiement. Des commandes Windows Installer et le fichier Setaid.ini sont toujours traits pour toutes les installations de logiciel client. Si diffrentes valeurs sont spcifies pour les mmes fonctions et proprits, les fonctions et les proprits dans Setaid.ini ont toujours la priorit parce que ce fichier est trait en dernier. Par exemple, si une fonction MSI indique d'installer le pare-feu et la prvention d'intrusion et si setaid.ini indique de ne pas installer le pare-feu ni la prvention d'intrusion, le pare-feu et le prvention d'intrusion ne sont pas installs.

A propos de la configuration de Setaid.ini


Setaid.ini apparat dans tous les paquets d'installation. Setaid.ini a toujours la priorit sur n'importe quel paramtre qui peut apparatre dans une chane de commande MSI qui est utilise pour dmarrer l'installation. Setaid.ini apparat dans le mme rpertoire que setup.exe. Si vous exportez vers un seul fichier.exe, vous ne pouvez pas configurer Setaid.ini. Cependant, le fichier est automatiquement configur quand vous exportez des fichiers d'installation de client Symantec Endpoint Protection de la console. Les lignes suivantes affichent certaines des options que vous pouvez configurer dans Setaid.ini. La valeur 1 active une fonction et la valeur 0 dsactive une fonction.
[CUSTOM_SMC_CONFIG] InstallationLogDir= DestinationDirectory= [FEATURE_SELECTION] Core=1 SAVMain=1 EmailTools=1 OutlookSnapin=1 Pop3Smtp=0 NotesSnapin=0 PTPMain=1 DCMain=1

Fonctions et proprits d'installation de Symantec Endpoint Protection A propos des fonctions et proprits d'installation

219

COHMain=1 ITPMain=1 Firewall=1

Remarque : Les fonctions sont en retrait pour afficher la hirarchie. Les fonctions ne sont pas en retrait dans le fichier Setaid.ini. Les noms de fonction dans Setaid.ini distinguent les majuscules et minuscules. Se reporter "fonctions et proprits de l'installation client" la page 220. Les valeurs de fonction dfinies sur 1 entranent l'installation des fonctions. Les valeurs de fonction dfinies sur 0 n'entranent pas l'installation des fonctions. Vous devez spcifier et installer les fonctions parentes pour installer avec succs les fonctions de client suivant les indications de l'arborescence de fonction. Se reporter Figure A-1 la page 220. Le seul cas o Setaid.ini n'est pas trait est quand vous installez le logiciel client avec les fichiers dans le rpertoire de CD-ROM d'installation SAV. Vous pouvez installer ces fichiers avec des outils de distribution tiers comme SMS. Prenez connaissance des paramtres supplmentaires suivants de setaid.ini qui mappent aux proprits MSI pour l'installation client Symantec Endpoint Protection :

DestinationDirectory INSTALLDIR KeepPreviousSetting MIGRATESETTINGS AddProgramIntoStartMenu ADDSTARTMENUICON

A propos de la configuration des chanes de commande MSI


Le logiciel d'installation de Symantec Endpoint Protection utilise les paquets Windows Installer (MSI) 3.1 pour l'installation et le dploiement. Si vous utilisez la ligne de commande pour installer ou dployer un paquet d'installation, vous pouvez personnaliser l'installation avec les paramtres standard de Windows Installer et les fonctions et les proprits spcifiques de Symantec. Pour utiliser Windows Installer, des droits tendus sont requis. Si vous tentez d'effectuer l'installation sans disposer des droits appropris, l'installation peut chouer sans avertissement. Pour obtenir la liste actualise des commandes et des paramtres d'installation de Symantec, consultez la base de connaissances de Symantec.

220

Fonctions et proprits d'installation de Symantec Endpoint Protection fonctions et proprits de l'installation client

Remarque : La fonction de publication de Microsoft Installer n'est pas prise en charge. Les fonctions et les proprits spcifies de Setaid.ini sont prioritaires sur les fonctions et les proprits spcifies de MSI. Les noms de fonction et de proprit des commandes MSI distinguent les majuscules et les minuscules.

fonctions et proprits de l'installation client


Les fonctions et les proprits d'installation client affectent les installations des clients Symantec Endpoint Protection.

Fonctions de client Symantec Endpoint Protection


Les fonctions de Symantec Endpoint Protection peuvent tre installes en les spcifiant dans des fichiers Setaid.ini et dans des commandes MSI. La plupart des fonctions ont un rapport de type parent-enfant. Si vous voulez installer une fonction enfant qui a une fonction parente, vous devez galement installer la fonction parente. Figure A-1 illustre l'arborescence de fonction du logiciel client Symantec Endpoint Protection. Figure A-1 Arborescence de fonction

L'arborescence de fonction affiche quatre fonctions primaires rpertories du ct gauche. La fonction principale doit toujours tre spcifie pour l'installation. Elle contient la principale fonctionnalit des communications client. Les trois autres fonctions peuvent tre installes en tant que fonctions autonomes. SAVMain installe la protection antivirus et la protection contre les logiciels espions, PTPMain installe la technologie d'analyse proactive des menaces TruScan et ITPMain installe la protection contre les menaces rseau.

Fonctions et proprits d'installation de Symantec Endpoint Protection fonctions et proprits de l'installation client

221

Remarque : COHMain et DCMain requirent deux parents. COHMain est l'analyse proactive des menaces et requiert PTPMain et SAVMain. DCMain, qui est le contrle des applications et des priphriques, requiert PTPMain et ITPMain. Pour setaid.ini et MSI, si vous spcifiez une fonction enfant, mais ne spcifiez pas sa fonction parente, la fonction enfant est installe. Cependant, la fonction ne fonctionne pas parce que la fonction parente n'est pas installe. Par exemple, si vous spcifiez l'installation de la fonction pare-feu, mais ne spcifiez pas l'installation d'ITPMain, sa fonction parente, le pare-feu, n'est pas installe. Tableau A-1 dcrit les fonctions qui peuvent tre installes pour l'installation de client Symantec Endpoint Protection, avec toutes les proprits disponibles. Tableau A-1 Fonction
Principal

Fonctions du client Symantec Endpoint Protection Description Fonctions parentes requises

Installez les fichiers qui sont utiliss aucun pour des communications entre les clients et Symantec Endpoint Protection Manager. Cette fonctionnalit est requise. Installez l'antivirus de base et les aucun fichiers contre les logiciels espions. aucun

SAVMain

SymProtectManifest Installez la fonction de Protection contre les interventions. EmailTools Installez les fichiers de base de la fonction Auto-Protect du courrier lectronique.

SAVMain

NotesSnapin

Installez la fonction Auto-Protect SAVMain, EmailTools du courrier lectronique pour Lotus Notes. Installez la fonction Auto-Protect du courrier lectronique pour Microsoft Exchange. Installez lla fonction Auto-Protect du courrier lectronique pour Internet. Installez les fichiers de base de la fonction d'analyse proactive des menaces TruScan. SAVMain, EmailTools

OutlookSnapin

Pop3Smtp

SAVMain, EmailTools

PTPMain

aucun

222

Fonctions et proprits d'installation de Symantec Endpoint Protection fonctions et proprits de l'installation client

Fonction
COHMain

Description
Installez la fonction d'analyse proactive des menaces.

Fonctions parentes requises


PTPMain, SAVMain

DCMain

Installez la fonction de Contrle de PTPMain, ITPMain l'application et de Contrle des priphriques. Installez les fichiers de base de la fonction de protection contre les menaces rseau. Installez la fonction pare-feu. aucun

ITPMain

Pare-feu

IPTMain

Proprits d'installation du client Symantec Endpoint Protection


Tableau A-2 dcrit les proprits d'installation configurables pour SAVMain et SymProtect. Tableau A-2 Proprit
RUNLIVEUPDATE=valeur

Proprits d'installation du client Symantec Endpoint Protection Description


Dtermine si LiveUpdate est excut dans le cadre de l'installation, valeur tant l'une des valeurs suivantes : 1: Excute LiveUpdate pendant l'installation (paramtre par dfaut). 0: N'excute pas LiveUpdate pendant l'installation.

Par dfaut, tous les clients Symantec Endpoint Protection d'un groupe reoivent les dernires versions de tout le contenu et de toutes les mises jour du produit. Si un groupe de clients est configur pour obtenir des mises jour partir d'un serveur de gestion, les clients reoivent uniquement les mises jour que le serveur est configur pour tlcharger. Si la politique de contenu LiveUpdate est configure pour permettre toutes les mises jour, mais si le serveur de gestion n'est pas configur pour tlcharger toutes les mises jour, les clients reoivent uniquement ce que le serveur tlcharge. ENABLEAUTOPROTECT=valeur Dtermine si Auto-Protect est activ pour le systme de fichiers la fin de l'installation, valeur tant l'une des valeurs suivantes :

1: Active Auto-Protect aprs l'installation (paramtre par dfaut). 0: Dsactive Auto-Protect aprs l'installation.

Fonctions et proprits d'installation de Symantec Endpoint Protection Paramtres de Windows Installer

223

Proprit
SYMPROTECTDISABLED=valeur

Description
Dtermine si la protection contre les interventions est active dans le cadre de l'installation, o val reprsente l'une des valeurs suivantes : 1: Dsactive la protection contre les interventions aprs l'installation. 0: Active la protection contre les interventions aprs l'installation. (paramtre par dfaut)

Paramtres de Windows Installer


Les paquets d'installation Symantec Endpoint Protection utilisent les paramtres standard de Windows Installer, ainsi qu'un certain nombre d'extensions pour l'installation et le dploiement par ligne de commande. Consultez la documentation de Windows Installer pour plus d'informations sur les paramtres standard de Windows Installer. Vous pouvez galement excuter msiexec.exe partir d'une ligne de commande pour consulter la liste complte des paramtres. Tableau A-3 dcrit l'ensemble des paramtres de base utiliss pour les installations client de Symantec Endpoint Protection. Tableau A-3 Paramtre
Symantec AntiVirus.msi

Commandes Description
Fichier d'installation Symantec AntiVirus.msi pour client Symantec Endpoint Protection. Si un fichier .msi contient des espaces, vous devez encadrer le nom du fichier par des guillemets s'il est utilis avec /I ou /x. Requis

Msiexec

Excutable de Windows Installer. Requis

/I "nom du fichier msi"

Installez le fichier .msi spcifi. Si le nom du fichier contient des espaces, vous devez encadrer le nom du fichier par des guillemets. Si le fichier .msi ne se trouve pas dans le rpertoire partir duquel vous excutez Msiexec, spcifiez le nom du chemin d'accs. Si le nom du chemin d'accs contient des espaces, vous devez l'encadrer par des guillemets. Par exemple, msiexec.exe /I "C : chemin d'accs Symantec AntiVirus .msi" Requis

/qn

Installation mode silencieux.

224

Fonctions et proprits d'installation de Symantec Endpoint Protection Paramtres de Windows Installer

Paramtre
/x "nom du fichier msi"

Description
Dsinstalle les composants spcifis. Facultatif

/qb

Installation avec une interface utilisateur de base montrant la progression de l'installation. Facultatif

/l*v nom_fichier_journal

Cre un fichier journal dtaill, nom de fichier journal tant le nom du fichier gnrer. Facultatif

INSTALLDIR=chemin

Dfinit un chemin d'accs personnalis sur l'ordinateur cible, chemin tant le rpertoire cible spcifi. Si le chemin d'accs comporte des espaces, utilisez des guillemets.

Remarque : Le rpertoire de dfaut est C:\Program Files\Symantec


Endpoint Protection Facultatif REBOOT=valeur Contrle le redmarrage de l'ordinateur aprs l'installation, valeur tant un argument valide. Les arguments valides sont les suivants : Forcer : Impose le redmarrage de l'ordinateur. Requis pour la dsinstallation. Supprimer : Evite la majorit des redmarrages.

ReallySuppress : Empche tous les redmarrages en tant qu'lment de l'installation, mme une installation silencieuse.

Facultatif

Remarque : Utilisez ReallySuppress pour supprimer un redmarrage


quand vous effectuez une dsinstallation silencieuse du client Symantec Endpoint Protection.

Fonctions et proprits d'installation de Symantec Endpoint Protection Proprits du Centre de scurit Windows

225

Paramtre
ADDLOCAL= fonctionnalit

Description
Slectionne les fonctionnalits installer, fonctionnalit tant un composant ou une liste de composants. Si cette proprit n'est pas utilise, toutes les fonctions applicables sont installes par dfaut et les clients de messagerie AutoProtect sont installs uniquement pour les programmes de messagerie dtects. Pour ajouter toutes les fonctions appropries pour les installations client, utilisez la commande ALL comme dans ADDLOCAL=ALL. Se reporter "Fonctions de client Symantec Endpoint Protection" la page 220.

Remarque : Quand vous spcifiez une nouvelle fonctionnalit installer,


vous devez inclure le nom des fonctionnalits dj installes sur l'ordinateur cible et que vous souhaitez conserver. Si vous ne spcifiez pas ces fonctionnalits, Windows Installer les dsinstalle. En spcifiant des fonctions existantes, vous ne remplacez pas les fonctions installes. Pour dsinstaller une fonctionnalit existante, utilisez la commande REMOVE. Facultatif REMOVE=fonctionnalit Dsinstalle un programme prcdemment install ou une fonctionnalit spcifique du programme install, fonctionnalit pouvant tre l'un des lments suivants : fonctionnalit : Dsinstalle la fonctionnalit ou la liste de fonctionnalits de l'ordinateur cible. ALL : Dsinstalle le programme et toutes les fonctionnalits installes. ALL est l'option par dfaut si une fonction n'est pas spcifie.

Facultatif

Proprits du Centre de scurit Windows


Vous pouvez personnaliser les proprits du Centre de scurit Windows (WSC) pendant l'installation du client Symantec Endpoint Protection. Ces proprits s'appliquent uniquement aux clients non grs. Symantec Policy Manager contrle ces proprits pour les clients grs. Tableau A-4 dcrit les proprits configurables pour contrler l'interaction entre les utilisateurs et le Centre de scurit Windows (WSC) excut sous Windows XP Service Pack 2.

226

Fonctions et proprits d'installation de Symantec Endpoint Protection Proprits du Centre de scurit Windows

Tableau A-4 Proprit

Proprits du Centre de scurit Windows Description


Contrle le Centre de scurit Windows o valeur est l'une des valeurs suivantes :

WSCCONTROL=valeur

0: Ne pas contrler (par dfaut).

1: Dsactiver une fois, lors de la premire dtection. 2: Toujours dsactiver.

3: Restaurer si dsactiv.

WSCAVALERT=valeur

Configure des alertes antivirus pour le Centre de scurit Windows o valeur est l'une des valeurs suivantes :

0: Activer. 1: Dsactiver (par dfaut). 2: Ne pas contrler.

WSCFWALERT=valeur

Configure des alertes de pare-feu pour le Centre de scurit Windows o valeur est l'une des valeurs suivantes :

0: Activer. 1: Dsactiver (par dfaut). 2: Ne pas contrler.

WSCAVUPTODATE=valeur

Configure le dlai de premption des dfinitions antivirus pour le Centre de scurit Windows o valeur est l'une des valeurs suivantes : 1 - 90: Nombre de jours (30 par dfaut).

DISABLEDEFENDER=valeur

Dtermine s'il faut dsactiver Windows Defender pendant l'installation, o valeur est l'une des valeurs suivantes : 1: Dsactive Windows Defender (paramtre par dfaut). 0: Ne dsactive pas Windows Defender.

Fonctions et proprits d'installation de Symantec Endpoint Protection A propos de l'utilisation du fichier journal pour rechercher les erreurs

227

A propos de l'utilisation du fichier journal pour rechercher les erreurs


Windows Installer et l'Assistant de dploiement crent des fichiers journaux qui peuvent tre utiliss pour vrifier si une installation a russi. Les fichiers journaux rpertorient les composants correctement installs et contiennent des informations dtailles sur le paquet d'installation. Les fichiers journaux constituent un outil de dpannage efficace dans le cas o une installation choue. Si l'installation russit, les fichiers journaux contiennent une entre pour le signaler, prs de la fin. Si l'installation choue, une entre indique que l'installation a chou. En gnral, recherchez Value 3 pour trouver les checs. Vous spcifiez le fichier journal et l'emplacement avec le paramtre nomm /l*v <consigner le nom du fichier>. Le fichier journal (vpremote.log) qui est cr quand vous utilisez l'Assistant de dploiement se trouve dans le rpertoire \\Windows\temp. Remarque : Chaque fois que le paquet d'installation est excut, le fichier journal est remplac par une nouvelle version. L'ajout de journaux un fichier journal existant n'est pas pris en charge.

Identification du point d'chec d'une installation


Le fichier journal peut vous aider identifier le composant ou l'action responsable de l'chec d'une installation. Si vous ne pouvez pas dterminer la raison de l'chec de l'installation, conservez le fichier journal. Fournissez ce fichier au support technique de Symantec s'il vous est demand. Pour identifier le point d'chec d'une installation

1 2

Dans un diteur de texte, ouvrez le fichier journal que l'installation a gnr. Cherchez la ligne suivante :
Value 3

L'action qui s'est produite avant la ligne contenant cette entre est probablement l'origine de l'chec. Les lignes qui apparaissent aprs cette entre sont des composants qui ont t restaurs du fait de l'chec de l'installation.

Exemples de lignes de commande


Tableau A-5 incluent des exemples courants de ligne de commande.

228

Fonctions et proprits d'installation de Symantec Endpoint Protection Exemples de lignes de commande

Tableau A-5 Tche

Exemples de lignes de commande Ligne de commande

Installez silencieusement tous les composants de client msiexec /I "Symantec AntiVirus.msi" Symantec Endpoint Protection avec des paramtres par INSTALLDIR=C:\SFN REBOOT=ReallySuppress /qn /l*v dfaut dans le rpertoire C:\SFN. c:\temp\msi.log Supprimez un redmarrage de l'ordinateur et crez un fichier journal dtaill. Installez silencieusement le client Symantec Endpoint msiexec /I "Symantec AntiVirus.msi" Protection avec la protection d'antivirus et de protection ADDLOCAL=Core,SAVMain,EmailTools,OutlookSnapin, contre les logiciels espions, et avec la protection contre Pop3Smtp,ITPMain,Firewall /qn /l*v c:\temp\msi.log les menaces rseau. Crez un fichier journal dtaill. L'ordinateur doit tre redmarr pour mettre en oeuvre la protection contre les menaces rseau.

Annexe

Mise jour du logiciel client Symantec


Cette annexe traite des sujets suivants :

A propos des mises jour et des correctifs Mise jour du logiciel client Symantec

A propos des mises jour et des correctifs


Pour comprendre les mises niveau et les correctifs, vous devez comprendre deux termes de Windows Installer : MSI et MSP. Ces termes ne sont pas des acronymes. MSI est un type de fichier et une extension. MSI est galement un terme commun qui est utilis pour dcrire un paquet d'installation complte qui est install avec Windows Installer. MSP est un type de fichier et une extension. MSP est un terme commun utilis pour dcrire un correctif dans un paquet d'installation MSI. Le MSP ne peut pas tre appliqu moins que le MSI de base sur lequel repose le correctif soit disponible pour un ordinateur client ou install sur celui-ci. Priodiquement, Symantec cre des versions de maintenance pour le logiciel client Symantec. Chaque version de maintenance est disponible sous deux formes : MSI et MSP. La forme MSI inclut le paquet d'installation complte de fichiers. La forme MSP inclut seulement les fichiers d'installation qui sont ncessaires pour mettre niveau vers la nouvelle version de maintenance. La forme MSP suppose que la version de maintenance actuelle est installe sur l'ordinateur client et peut tre corrige vers la dernire version. Quand les clients reoivent des mises jour de produits provenant de serveurs Symantec ou LiveUpdate internes, ils reoivent et traitent des fichiers MSP sous forme de fichiers TRZ. Quand les clients reoivent des mises jour de produit de Symantec Endpoint Protection Manager, ils reoivent et traitent une troisime

230

Mise jour du logiciel client Symantec Mise jour du logiciel client Symantec

forme de mise jour qui est appele un microdef. Symantec Endpoint Protection Manager reoit et traite des fichiers MSP (TRZ) d'un serveur LiveUpdate, puis reconstruit et enregistre les fichiers MSI. Il gnre alors la diffrence entre les fichiers MSI initiaux et les fichiers MSI modifis. La diffrence est appele un microdef. Symantec Endpoint Protection Manager met ensuite jour les clients avec les microdefs. Remarque : Dans certains cas, l'ordinateur client doit avoir t redmarr au minimum une fois depuis l'installation de la version prcdente du logiciel client Symantec Endpoint Protection pour que la mise niveau aboutisse. Si la mise niveau du logiciel client choue, redmarrez l'ordinateur client et effectuez de nouveau la mise niveau.

Mise jour du logiciel client Symantec


Vous pouvez mettre jour le logiciel client Symantec automatiquement en permettant les mises jour de produit grce une politique de paramtres LiveUpdate. Lorsque des mises jour de produit sont permises, des microdefs ou les correctifs de produit sont installs sur des clients lorsque les utilisateurs cliquent sur LiveUpdate ou lorsqu'une session programme de LiveUpdate est en cours d'excution. Lorsque des mises jour de produit sont interdites, le logiciel client n'est pas mis jour, mme si un autre produit Symantec excute LiveUpate sur l'ordinateur client. Lorsque les mises jour de produit sont interdites, le logiciel client peut seulement tre manuellement mis jour avec la console Symantec Endpoint Protection Manager. Quand Symantec Endpoint Protection Manager tlcharge et traite les correctifs, il cre un microdef. Le microdef apparat automatiquement comme un nouveau paquet. Le nouveau paquet apparat dans le volet Paquets d'installation client. Vous pouvez ensuite slectionner le paquet et mettre manuellement jour les groupes et les emplacements avec des groupes de mise jour dots d'une fonction de paquet. Remarque : Si la politique de paramtres LiveUpdate spcifie que les clients tlchargent des mises jour depuis Symantec Endpoint Protection Manager ou d'un fournisseur de mise jour groupe, les mises jour sont sous forme de microdefs. Si la politique de paramtres LiveUpdate spcifie que les clients tlchargent des mises jour depuis un serveur LiveUpdate, les mises jour sont sous forme de fichiers MSP (correctif).

Mise jour du logiciel client Symantec Mise jour du logiciel client Symantec

231

Pour mettre jour le logiciel client Symantec

1 2 3 4 5 6

Dans la console Symantec Endpoint Protection Manager, cliquez sur Politiques. Sous Afficher les politiques, cliquez et slectionnez LiveUpdate. Dans le volet droit, dans l'onglet Paramtres LiveUpdate, cliquez sur Politique LiveUpdate. Dans le volet infrieur gauche, sous Tches, cliquez sur Modifier la politique. Sous Politique LiveUpdate, cliquez sur Paramtres avancs. Dans le volet Paramtres avancs, sous Paramtres de mise jour du produit, effectuez l'une des oprations suivantes :

Pour mettre jour automatiquement le logiciel client, slectionnez Tlcharger les mises jour de Symantec Endpoint Protection partir d'un serveur LiveUpdate. Pour mettre jour manuellement le logiciel client avec les groupes de mise jour dots de la fonction de paquet l'aide de la console Symantec Endpoint Protection Manager, dslectionnez Tlcharger les mises jour de Symantec Endpoint Protection partir d'un serveur LiveUpdate.

Cliquez sur OK, puis appliquez la politique un groupe ou un emplacement dans un groupe.

232

Mise jour du logiciel client Symantec Mise jour du logiciel client Symantec

Annexe

Rcupration d'urgence
Cette annexe traite des sujets suivants :

Comment se prparer une rcupration d'urgence A propos du processus de rcupration d'urgence Restauration de Symantec Endpoint Protection Manager Restaurer le certificat de serveur Restauration des communications client

Comment se prparer une rcupration d'urgence


Pour effectuer une rcupration d'urgence, vous devez tre prpar une rcupration d'urgence. Vous vous prparez la rcupration d'urgence en collectant les fichiers et les informations pendant et aprs l'installation de Symantec Endpoint Protection Manager. Par exemple, vous devez documenter votre mot de passe de chiffrement pendant l'installation. Vous devez rechercher votre fichier keystore et le dplacer vers un emplacement scuris. Tableau C-1 liste et dcrit les tches de niveau lev que vous devez suivre pour vous prparer la rcupration d'urgence. Tableau C-1 Tches de niveau lev suivre pour se prparer la rcupration d'urgence Informations supplmentaires
L'emplacement du rpertoire de sauvegarde de base de donnes est le suivant : \\Program Files\Symantec\ Symantec Endpoint Protection Manager\donnes\sauvegarde. Le fichier de sauvegarde est nommdate_timestamp.zip.

Tche
Sauvegardez votre base de donnes de faon rgulire, de prfrence toutes les semaines et enregistrez les sauvegardes hors - site.

234

Rcupration d'urgence Comment se prparer une rcupration d'urgence

Tche
Recherchez votre fichier de keystore et votre fichier server.xml.

Informations supplmentaires

Pendant l'installation, ces fichiers ont t sauvegards dans le rpertoire nomm \Program Files\SymantecEndpoint Protection Manager\Sauvegarde Le nom du fichier keystore est keystore_ timestamp.jks. cl prive de Serveur. Le keystore contient les paires de cl prives/publiques et le certificat auto-sign. Le nom de fichier server.xml Vous pouvez galement sauvegarder ces fichiers partir est server_timestamp.xml. du panneau Admin de la console Symantec Endpoint Protection Manager. Crez et ouvrez un fichier texte avec un diteur de texte. Nommez le fichier Backup.txt ou un nom semblable. Ouvrez server.xml, localisez le mot de passe de keystorepass, copiez-le et collez-le dans le fichier texte. Laissez le fichier texte ouvert. Le mot de passe est utilis pour le storepass et le keypass. Storepass protge le fichier JKS. Keypass protge la cl prive. Vous entrez ces mots de passe pour restaurer le certificat. La chane de mot de passe ressemble au keystorePass= " WjCUZx7kmX$qA1u1 ". Copiez et collez la chane qui se trouve entre les guillemets. N'incluez pas les guillemets. Les ID de domaine sont ncessaires si vous ne disposez pas d'une sauvegarde de la base de donnes. Cette ID se trouve dans le fichier sylink.xml sur les ordinateurs client dans chaque domaine.

Si vous avez un domaine seulement, trouvez et copiez le fichier sylink.xml partir d'un rpertoire dans\\Program Files\Symantec\ SymantecEndpoint Protection Manager\donnes\bote de rception\agent\. Puis collez-le dans \\Program Files\Symantec\ Symantec Endpoint Protection Manager\Sauvegarde cl prive de serveur\. Si vous disposez de plusieurs domaines, recherchez et copiez un fichier sylink.xml sur un ordinateur client pour chaque domaine. Collez-le ensuite l'emplacement suivant : \\Program Files\Symantec\ Symantec Endpoint Protection Manager\Sauvegarde cl prive de serveur.

Ouvrez chaque fichier sylink.xml, localisez le DomainId, Vous ajoutez cette ID un nouveau domaine que vous copiez-le et collez-le dans le fichier texte Backup.txt. crez pour contenir vos clients existants. La chane du fichier sylink.xml ressemble DomainId= " B44AC676C08A165009ED819B746F1 ". Copiez et collez la chane qui se trouve entre les guillemets. N'incluez pas les guillemets.

Rcupration d'urgence Comment se prparer une rcupration d'urgence

235

Tche

Informations supplmentaires

Dans le fichier Backup.txt, saisissez le mot de passe de Vous ressaisirez cette cl lors de la rinstallation de chiffrement que vous avez utilis lors de l'installation du Symantec Endpoint Protection Manager. Vous devez premier site dans l'instance d'installation. ressaisir la cl identique si vous n'avez pas une base de donnes sauvegarde restaurer. Certes, ceci n'est pas ncessaire lorsque vous avez une base de donnes sauvegarde restaurer, mais c'est une pratique recommande. Dans le fichier texte Backup.txt, saisissez l'adresse IP et Si vous avez une panne catastrophique de matriel, vous le nom d'hte de l'ordinateur qui excute Symantec devez rinstaller Symantec Endpoint Protection Manager Endpoint Protection Manager. sur un ordinateur qui a les mmes adresse IP et nom d'hte. Dans le fichier Backup.txt, saisissez le nom de site qui identifie Symantec Endpoint Protection Manager. Enregistrez et fermez le fichier Backup.txt, qui contient maintenant les informations essentielles ncessaires pour la rcupration d'urgence. Le nom du site n'est pas strictement ncessaire pour la rinstallation, cependant, il aide crer une restauration cohrente.

Copiez ces fichiers sur le support amovible et enregistrez Aprs avoir scuris l'emplacement des fichiers, vous le support dans un emplacement scuris, de prfrence devriez supprimer ces fichiers de l'ordinateur qui excute dans un coffre-fort. Symantec Endpoint Protection Manager.

Figure C-1 Illustre un fichier texte contenant les informations ncessaires pour une rcupration d'urgence russie. Figure C-1 Fichier texte bien form de rcupration d'urgence

Si vous crez ce fichier, vous pouvez copier et coller ces informations en cas de ncessit lors de la rcupration d'urgence.

236

Rcupration d'urgence A propos du processus de rcupration d'urgence

A propos du processus de rcupration d'urgence


Le processus de rcupration d'urgence exige que vous effectuiez squentiellement les procdures suivantes :

Restauration de Symantec Endpoint Protection Manager Restauration du certificat de serveur Restauration des communications client

La manire dont vous restaurez les communications client varie selon que vous avez ou non accs une sauvegarde de la base de donnes.

Restauration de Symantec Endpoint Protection Manager


En cas de dsastre, rcuprez les fichiers qui ont t scuriss aprs l'installation initiale. Ouvrez ensuite le fichier Backup.txt qui contient les mots de passe, les IDs de domaine, ainsi de suite.

A propos de l'identification d'un ordinateur nouveau ou reconstruit


En cas de panne catastrophique du matriel, il pourrait tre ncessaire de reconstruire l'ordinateur. Si vous reconstruisez l'ordinateur, vous devez lui attribuer l'adresse IP et le nom d'hte initiaux. Ces informations devraient se trouver dans le fichier Backup.txt.

Rinstaller Symantec Endpoint Protection Manager


La principale tche effectuer pour rinstaller Symantec Endpoint Protection Manager est de taper le mot de passe de chiffrement que vous avez spcifi lors de l'installation de Symantec Endpoint Protection Manager sur le serveur ayant chou. Vous devez galement utiliser les paramtres ayant servi pour d'autres options lors de l'installation prcdente, tels que les paramtres de cration de site Web, le type de base de donnes et le mot de passe du compte administrateur.

Restaurer le certificat de serveur


Le certificat de serveur est un keystore Java qui contient le certificat public et les paires de cl de priv-public. Vous devez entrer le mot de passe contenu dans le fichier Backup.txt. Ce mot de passe est galement dans le fichier.xml initial server_timestamp.

Rcupration d'urgence Restaurer le certificat de serveur

237

Pour restaurer le certificat de serveur

1 2 3 4 5 6 7

Ouvrez une session sur la console, puis cliquez sur Admin. Dans le volet Admin, sous Tches, cliquez sur Serveurs. Sous Afficher les serveurs, agrandissez Site local, puis cliquez sur le nom d'ordinateur qui identifie le site local. Sous Tches, cliquez sur Grer le certificat de serveur. Dans l'cran d'accueil, cliquez sur Suivant. Dans le panneau Grer le certificat de serveur, cochez Mettre jour le certificat de serveur, puis cliquez sur Suivant. Sous Slectionner le type de certificat importer, cochez Keystore JKS, puis cliquez sur Suivant. Si vous avez mis en oeuvre l'un des autres types de certificat, slectionnez ce type.

Dans le volet Keystore JKS, cliquez sur Parcourir, localisez et slectionnez votre fichier keystore sauvegard keystore_horodatage.jks, puis cliquez sur OK. Ouvrez votre fichier texte de rcupration d'urgence, puis slectionnez et copiez le mot de passe keystore. keystore dans les zones de texte keystore et cl. Le seul mcanisme de collage pris en charge est Ctrl + V.

10 Activez la bote de dialogue Keystore JKS, puis collez le mot de passe de

11 Cliquez sur Suivant.


Si vous recevez un message d'erreur qui indique que vous avez un fichier keystore erron, vous avez probablement saisi des mots de passe errons. Ressayez de copier et coller le mot de passe. Ce message d'erreur est erron.

12 Dans le panneau Terminer, cliquez sur Terminer. 13 Fermez la session de console. 14 Cliquez sur Dmarrer > Paramtres > Panneau de contrle > Outils
d'administration > Services.

238

Rcupration d'urgence Restauration des communications client

15 Dans la fentre Services, cliquez avec le bouton droit de la souris sur Symantec
Endpoint Protection Manager, puis cliquez sur Arrter. Ne fermez pas la fentre Services jusqu' ce que vous ayez termin la rcupration d'urgence et rtabli les communications client.

16 Cliquez avec le bouton droit de la souris sur Symantec Endpoint Protection


Manager, puis sur Dmarrer. Arrtez et redmarrez Symantec Endpoint Protection Manager pour restaurer entirement le certificat.

Restauration des communications client


Si vous avez accs une sauvegarde de la base de donnes, vous pouvez restaurer cette base de donnes et reprendre les communications client. La restauration avec une sauvegarde de la base de donnes prsente l'avantage que vos clients rapparaissent dans leurs groupes et sont soumis aux politiques initiales. Si vous n'avez pas accs une sauvegarde de la base de donnes, vous pouvez nanmoins rcuprer les communications avec vos clients, mais elles apparaissent dans le groupe Temporaire. Vous pouvez alors recrer votre groupe et votre structure de politique.

Restaurer les communications client avec une sauvegarde de base de donnes


Vous ne pouvez pas restaurer une base de donnes sur un ordinateur qui excute un service Symantec Endpoint Protection Manager actif. Vous devez l'arrter et le redmarrer plusieurs fois. Pour restaurer les communications client avec une sauvegarde de base de donnes

1 2

Si vous avez ferm la fentre Services, cliquez sur le Dmarrer > Paramtres > Panneau de contrle > Outils d'administration > Services. Dans la fentre Services, cliquez avec le bouton droit de la souris sur Symantec Endpoint Protection Manager, puis sur Arrter. Ne fermez pas la fentre Services jusqu' ce que vous ayiez termin avec cette procdure.

Crez le rpertoire suivant : \\Program Files\Symantec\SymantecEndpoint Protection Manager\donnes\sauvegarde

Rcupration d'urgence Restauration des communications client

239

Copiez votre fichier de sauvegarde de base de donnes dans le rpertoire. Par dfaut, le fichier de sauvegarde de la base de donnes est nomm date_timestamp.zip.

5 6 7

Cliquez sur Dmarrer > Programmes > Symantec Endpoint Protection Manager > Database Back Up and Restore. Dans la bote de dialogue Database Backup and Restore, cliquez sur Restaurer. Dans la bote de dialogue Site de restauration, slectionnez le fichier de sauvegarde que vous avez copi dans le rpertoire de sauvegarde, puis cliquez sur OK. Le temps de restauration de la base de donnes dpend de la taille de votre base de donnes.

8 9

Lorsque l'invite Message apparat, cliquez sur OK. Cliquez sur Quitter. Manager > assistant Configuration du serveur de gestion.

10 Cliquez sur Dmarrer > Programmes > Symantec Endpoint Protection 11 Dans le panneau d'accueil, cochez Reconfigurer le serveur de gestion puis
cliquez sur Suivant.

12 Dans le panneau Informations du serveur, modifiez les valeurs d'entre s'il


est ncessaire de les faire correspondre aux entres prcdentes, puis cliquez sur Suivant.

13 Dans le panneau Choix du serveur de base de donnes, vrifiez que le type de


base de donnes correspond au type prcdent, puis cliquez sur Suivant.

14 Dans le panneau Informations de base de donnes, modifiez et insrez des


valeurs d'entre de manire ce qu'elles correspondent aux entres prcdentes, puis cliquez sur Suivant. La configuration dure quelques minutes.

15 Dans la bote de dialogue Configuration termine, cliquez sur Terminer. 16 Connexion la console Symantec Endpoint Protection Manager. 17 Cliquez avec le bouton droit de la souris sur vos groupes, puis cliquez sur
Excuter la commande sur le groupe > Actualiser le contenu. Si les clients ne ragissent pas aprs environ une demi- heure, redmarrez les clients.

240

Rcupration d'urgence Restauration des communications client

Restaurer les communications client sans sauvegarde de base de donnes


Pour chaque domaine que vous utilisez, vous devez crer un nouveau domaine et rinsrer le mme ID de domaine dans la base de donnes. Ces IDs de domaine se trouvent dans le fichier texte de rcupration d'urgence, s'ils ont t saisis dans ce fichier. Le domaine par dfaut est le domaine Systme. Il est recommandable de crer un nom de domaine identique au nom de domaine prcdent. Pour recrer le domaine par dfaut, ajoutez une certaine valeur telle que _2 (Systme_2). Une fois les domaines restaurs, vous pouvez supprimer l'ancien domaine par dfaut. Nommez le nouveau domaine Systme. Pour restaurer les communications client sans une sauvegarde de base de donnes

1 2 3 4 5 6

Connexion la console Symantec Endpoint Protection Manager. Dans la console, cliquez sur Admin. Dans le volet Administrateur systme, cliquez sur Domaines. Sous Tches, cliquez sur Ajouter domaine. Cliquez sur Avanc. Ouvrez votre fichier texte de rcupration d'urgence, puis slectionnez et copiez l'identifiant du domaine et collez-la dans la zone de l'identifiant du domaine. Cliquez sur OK. (Facultatif) Reprenez la procdure pour chaque domaine rcuprer. Sous Tches, cliquez sur Administrer domaine.

7 8 9

10 Cliquez sur Oui dans la bote de dialogue Administrer le domaine. 11 Cliquez sur OK. 12 Redmarrez tous les ordinateurs client.
Les ordinateurs s'affichent dans le groupe Temporaire.

13 (Facultatif) si vous utilisez un seul domaine, supprimez le domaine Systme


inutilis et renommez le domaine nouvellement cr Systme.

Index

Symboles
29, 98 .MSI installation en utilisant des paramtres de ligne de commande 219

A
propos configurer setaid.ini 218 fichiers MSI et MSP 230 groupes 32 groupes et clients 127 installation de logiciel client Symantec 125 Symantec Endpoint Protection 126 propos de analyses proactives des menaces TruScan 27 Auto-Protect 28 inspection Stateful 26 microdefs 230 migration du logiciel client Symantec Sygate hrit 193 paquets d'installation client gnrs lors de la migration 176 Prvention d'intrusion 27 protection antivirus et antispyware 27 rpartition de charge 29 repli 29 rplication 29 Symantec Endpoint Protection 25 Symantec Endpoint Protection Manager 29 Symantec Network Access Control 28, 127 Windows Installer 3.1 127 Active Directory et droits d'utilisateur 38 Adresses IP et cration d'un fichier texte pour l'installation 136 architecture rseau basculement et rpartition de charge 55 exemple de dploiement de grande taille 53 planification pour le dploiement 52 rplication 56

Assistant de dploiement dployer le logiciel client avec l'assistant 133 importation des listes d'ordinateurs 135 ports utiliss par 179 utilisation pour la migration de produit Symantec 177 Auto-Protect propos de 28 analyse de messagerie 28 test 84

B
basculement 29 basculement et rpartition de charge architecture rseau 55 configuration 111 installation 109 base de donnes installation de Microsoft SQL 96 installer la base de donnes intgre 94 base de donnes intgre installer 94 paramtres d'installation 92 prend en charge jusqu' 1.000 clients 52

C
caractres non anglais, prise en charge 49 Client Linux 49 Client Symantec AntiVirus pour Linux 49 client, installation prparer les ordinateurs qui fonctionnent sous Windows Vista et Windows Server 2008 64 clients non grs installation 128 migration de Symantec 183 migration Symantec avec paquets exports 184 Clients Symantec Endpoint Protection Fonctions de MSI 220 Proprits de MSI 222 communication et ports requis 57

242

Index

conditions requises prise en charge des langues non anglaises 49 conditions requises I18N 49 configuration de l'icne d'tat de scurit 87 Configuration des politiques antivirus et antispyware 83 configuration requise du systme propos 38 Configuration requise pour Windows Installer 3.1 127 Console Symantec Endpoint Protection Manager localisation de vos groupes 78 ouverture d'une session pour la premire fois 78 Contrle de compte d'utilisateur et prparation des ordinateurs qui excutent Windows Vista 64

E
environnements grs et interaction entre les clients et les serveurs 32 environnements non grs 31

G
groupes 32 groupes et clients 127

I
ID de domaine dtection 234 remplacement 240 inspection Stateful 26 installation propos des paramtres de base de donnes Microsoft SQL Server 102 propos des paramtres de la base de donnes intgre 92 A propos des pare-feu du bureau 57 propos des ports de communication 57 avec Active Directory Group Policy Object 140 avec une base de donnes Microsoft SQL 96, 105 basculement et rpartition de charge 109 client via Active Directory 140 configuration requise 38 configuration rseau et systme requise 37 Console Symantec Endpoint Protection seulement 108 cration d'un fichier texte contenant des adresses IP importer 136 droit d'administrateur 38 tapes 69 Exemples de ligne de commande MSI 227 initiale 71 logiciel client sur Windows Server 2008 Server Core 131 options du logiciel client non gr 128 prparation 68 prparation des ordinateurs qui excutent Windows XP 63 prparer les ordinateurs qui fonctionnent sous Windows Vista et Windows Server 2008 64 Proprits du Centre de scurit Windows MSI 225 quarantaine centralise 151 rplication 115 rseau de test 72

D
dpannage avec Rechercher les ordinateurs non grs 134 Contrle de compte d'utilisateur sous Vista et GPO 143 La console Symantec Endpoint Protection Manager est lente ou ne rpond pas 118 ports ouvrir pour les migrations Symantec hrites 179 utilisation des fichiers journaux d'installation 227 Windows Vista et Serveur 2008, dploiement 64 Windows XP dans le dploiement des groupes de travail 63 Windows XP, Vista et Serveur 2008, dploiement distant 63 dploiement avec Rechercher les ordinateurs non grs 134 paquets client avec l'assistant de dploiement 133 paquets client d'un lecteur mapp 132 dsinstallation comment dsinstaller la base de donnes 123 composants de gestion 158 logiciel client 148 logiciel client avec GPO Active Directory 147 logiciel client sur Windows Server 2008 Server Core 148 Symantec Endpoint Protection Manager 123 droit d'administrateur installer 38

Index

243

serveur avec une base de donnes intgre 92 suppression des virus et des risques de scurit avant l'installation 68 test 72 utilisation des commandes MSI 219 utiliser des produits tiers 138 via une connexion au bureau distance 66 installation distante et port TCP 139 57 installation du client configuration et dploiement pour la premire fois 76 prparation des ordinateurs qui excutent Windows XP 63 installation initiale 71 intgrit de l'hte, politiques 28 internationalisation conditions requises 49

K
keystore 234

L
LiveUpdate propos de l'utilisation d'un serveur 156 architectures rseau qui le prennent en charge 156 configuration d'une politique de contenu LiveUpdate 82 configuration pour des mises jour de site 80 configurer les deux types de politique 80 configurer pour les mises jour client 80 logiciel client installation 38 mises jour avec MSI et MSP 229

M
microdefs propos de 230 traitement 230 Microsoft Active Directory configurer des modles 144 cration de l'image d'installation administrative 141 installer le logiciel client avec Group Policy Object 140 utilisation pour le dploiement client 138

Microsoft SMS dploiement de fichiers de dfinition de paquet 138 utilisation pour le dploiement client 138 Microsoft SQL Server mise niveau vers 118 paramtres d'installation de base de donnes 102 Microsoft SQL Server 2000 conditions pralables la configuration du client 98 configuration requise pour le serveur et le client 97 installation et configuration des composants du client 98 paramtres d'installation et de configuration 97 Microsoft SQL Server 2005 configuration requise pour le serveur et le client 99 installation et configuration des composants du client 101 paramtres d'installation et de configuration 99 migration propos de la migration de groupes et de paramtres Symantec 171 propos de Symantec AntiVirus et de Symantec Client Security 162 propos des groupes et des paramtres 162 au sujet de la non prservation du serveur des groupes de clients et des paramtres Symantec 171 avant et aprs les paramtres hrits 172 chemins d'accs Symantec Sygate non pris en charge 193 chemins d'accs Symantec Sygate pris en charge 193 clients autonomes avec paquets exports 184 consoles de gestion distance Symantec Sygate 205 des clients autonomes 183 effectuer une migration du serveur et des groupes de clients Symantec 182 exportation d'une liste de noms d'ordinateurs client hrits migrer 177 itinraires pris en charge et non pris en charge 164 logiciel client Symantec Sygate hrit 193, 207 logiciels Symantec Sygate hrits 191 modules d'application Enforcer 196

244

Index

ordre de dploiement de paquets 163 ports ouvrir sur les ordinateurs client 179 prparation des installations de produits Symantec hrites 165 prparation des ordinateurs client Symantec pour 180 prparer les installations hrites Symantec 10.x/3.x 169 Procdures de serveur de gestion Symantec Sygate 200 Quarantaine centralise 165 Scnarios Symantec Sygate 196 Symantec Network Access Control 5.1 195 utilisation des fichiers CD 184 Migration de Symantec Enforcement Agent 5.1 195 migration de Symantec Network Access Control 5.1 195 migrations bloques 164 mise niveau vers Microsoft SQL Server 118 mises niveau mise niveau de Symantec Endpoint Protection vers Symantec Network Access Control 209 mise niveau de Symantec Network Access Control vers Symantec Endpoint Protection 209 mises niveau d'Enforcer 196 MSI exemples de lignes de commande 227 fonctions et proprits 218 mise jour du logiciel client avec 229 priorit de traitement avec setaid.ini 218 MSP lorsque vous l'utilisez pour mettre jour le logiciel client 230 mise jour du logiciel client avec 229

dployer d'un lecteur mapp 132 gnrs lors de la migration 176 paramtres d'installation et de configuration Microsoft SQL Server 2000 97 Microsoft SQL Server 2005 99 Pare-feu Windows 60 dsactivation 61 utilisation 59 Pare-feu Windows Vista 62 Pare-feux Windows et pare-feux Symantec 60 priphriques matriels et bloquage 27 politique d'intgrit de l'hte cration 88 test 90 ports conditions requises pour l'installation 57 conditions requises pour les communications 57 Prparation de Windows Vista 64 prvention d'intrusion 27 protection antivirus et antispyware 27 Protection contre les menaces proactives 27 Protection contre les menaces rseau 26

Q
Quarantaine centralise configuration de serveurs et de clients 154 quarantaine centralise installation 151

R
rcupration d'urgence propos du processus 236 prparation 233 restauration de Symantec Endpoint Protection Manager 236 restauration des communications client 238 restauration du certificat de serveur 236 redmarrages d'ordinateur 69 rglages de segment de mmoire pour Symantec Endpoint Protection Manager 118 rpartition de charge 29 rplication 29 configuration 117 installation 115 restauration de certificat de serveur 236

N
Novell ZENworks 138

O
Outil de dploiement de client Rechercher les ordinateurs non grs 134 outils de dploiement tiers 138

P
paquets d'installation client cration 131 dployer avec l'assistant de dploiement 133

Index

245

S
serdef.dat 183184 serveurs Web utiliss par Symantec Endpoint Protection Manager 29 setaid.ini configurer 218 priorit de traitement avec des fonctions et des proprits MSI 218 Sylink.xml 234 intgration aux installations de client Objet de politique de groupe 141 Symantec Endpoint Protection Manager capacits de 32 composants qui fonctionnent avec 30 configuration pour la premire fois 75 mode de fonctionnement 31 rglage de la taille de segment de mmoire 118 serveurs Web utiliss par 29 Symantec Enforcer 29 Symantec Network Access Control 28 configuration et test 88 politiques d'intgrit de l'hte 28 Symantec System Center prparer les paramtres pour les migrations de produit 10.x/3.x 169 prparer les paramtres pour toutes les migrations de produits hrits 165 systme, configuration requise 37 pour la console de quarantaine 43 pour la console Symantec Endpoint Protection 42 pour le serveur de quarantaine centralise 45 pour Symantec Endpoint Protection 45 Pour Symantec Endpoint Protection Manager et sa console 40 pour Symantec Endpoint Protection Manager, Console et base de donnes 39 pour Symantec Network Access Control 47 pour VMware 51

V
VMware 51

W
Windows Installer commandes 219 crer un script de dmarrage 145 fonctions et proprits 218 paramtres 223

T
test de dtection d'antivirus 84 Tivoli 138

U
utilitaire d'administration de LiveUpdate 158