Kaspersky ADMINISTRATION KIT 5.0 Le manuel du propriétaire

KASPERSKY LAB

Kaspersky

®

Administration Kit

version 5.0

Manuel de l'administrateur

KASPERSKY

®

ADMINISTRATION KIT

VERSION 5.0

Manuel de

l'administrateur

Consultez notre site Web : http://www.kaspersky.com/

Date de révision : Décembre 2005

Sommaire

CHAPITRE 1. KASPERSKY ADMINISTRATION KIT...................................................5

1.1. Présentation de Kaspersky Administration Kit.....................................................5

1.2. Nouveautés de la version 5.0 ............................................................................... 7

1.3. Spécifications matérielles et logicielles.................................................................7

1.4. Contenu de la distribution...................................................................................... 9

1.4.1. Contrat de licence...........................................................................................9

1.5. Services réservés aux utilisateurs inscrits..........................................................10

1.6. Objectif du document..........................................................................................10

1.7. Conventions.........................................................................................................10

CHAPITRE 2. PRESENTATION DE KASPERSKY ADMINISTRATION KIT.............12

2.1. Réseau logique....................................................................................................12

2.2. Stratégies, paramètres, et tâches.......................................................................14

2.3. Connexion de clients au serveur d'administration..............................................16

2.4. Connexion sécurisée au serveur d'administration .............................................18

2.4.1. Certificat du serveur d'administration...........................................................18

2.4.2. Authentification du serveur d'administration (connexion de la console

d'administration au serveur) .........................................................................18

2.4.3. Authentification du serveur d'administration au cours de la connexion

avec un client ................................................................................................19

2.5. Identification d'ordinateurs sur le réseau logique...............................................19

2.6. Administrateurs et opérateurs du réseau logique ..............................................20

2.7. Mise en place de la protection antivirus à travers le réseau logique.................22

2.8. Mise en place d'un système de gestion centralisé............................................. 23

2.9. Maintenance d'un réseau logique.......................................................................24

2.10. Coordination du travail en équipe des administrateurs....................................25

2.11. Interface utilisateur ............................................................................................25

2.11.1. Fenêtre principale....................................................................................... 25

2.11.2. Arborescence de console...........................................................................26

2.11.3. Menu contextuel.........................................................................................30

CHAPITRE 3. INSTALLATION DE KASPERSKY

ADMINISTRATION KIT................36

4 Kaspersky Administration Kit

3.1. Installation de MSDE avec le paquet d'installation de Kaspersky

Administration Kit...............................................................................................36

3.2. Installation du serveur d'administration et de la console d'administration......... 38

3.3. Désinstallation des composants de Kaspersky Administration Kit....................48

3.4. Mise à jour vers une version plus récente de l'application.................................48

CHAPITRE 4. UTILISATION DE L'APPLICATION......................................................50

4.1. Lancement du programme et connexion au serveur d'administration ..............50

4.2. Affectation de droits.............................................................................................51

4.3. Assistant Démarrage rapide...............................................................................52

4.4. Affichage, création et configuration d'un réseau logique ...................................53

4.5. Hiérarchie des serveurs d'administration............................................................55

4.6. Installation et désinstallation d'applications sur des postes clients....................57

4.6.1. Installation à distance (déploiement) et désinstallation du logiciel..............58

4.6.1.1. Création de paquets d'installation .........................................................59

4.6.1.2. Création d'une tâche de déploiement d'application..............................60

4.6.2. Assistant de déploiement d'application........................................................62

4.6.3. Installation locale des applications...............................................................62

4.7. Gestion de stratégies...........................................................................................63

4.8. Administration de tâches.....................................................................................64

4.9. Contrôle des paramètres d'application...............................................................66

4.10. Mise à jour des bases antivirus et des modules de programme.....................67

4.11. Travail avec la quarantaine...............................................................................68

4.12. Registres d'événements, rapports et notifications............................................68

4.13. Gestion des clés de licence..............................................................................71

4.14. Sauvegarde et restauration des données du serveur d'administration........... 72

ANNEXE A. FORUM AUX QUESTIONS .....................................................................74

ANNEXE B. GLOSSAIRE .............................................................................................78

ANNEXE C. KASPERSKY LAB....................................................................................85

C.1. Autres produits antivirus.....................................................................................86

C.2. Coordonnées ......................................................................................................91

ANNEXE D. CONTRAT DE LICENCE.........................................................................93

CHAPITRE 1. KASPERSKY

ADMINISTRATION KIT

1.1. Présentation de Kaspersky

Administration Kit

Kaspersky® Administration Kit est un logiciel conçu pour exécuter des tâches

administratives de manière centralisée. Il offre un contrôle complet sur la

stratégie antivirus de l'entreprise, reposant sur les applications Kaspersky Anti-

Virus Business Optimal et Kaspersky Anti-Virus Corporate Suite. Kaspersky

Administration Kit prend en charge toutes les configurations réseau utilisant le

protocole TCP/IP.

Kaspersky Administration Kit est un outil pour administrateurs de réseaux

d'entreprise et pour responsables de sécurité antivirale.

Les fonctions destinées aux administrateurs sont les suivantes :

• Déployer des applications Kaspersky Lab à travers le réseau sur des

ordinateurs distants sous Windows. Il est possible de créer un paquet

personnalisé d'applications Kaspersky Lab sur un poste prévu à cet effet,

afin d'installer ces applications en une seule opération sur un nombre

quelconque d'ordinateurs distants.

• Gérer efficacement les clés de licence

. Kaspersky Administration Kit

permet de contrôler de manière centralisée, l'installation des clés de

licence pour toutes les applications Kaspersky Lab, la correspondance

entre le nombre de licences et celui des applications Kaspersky Lab

installées à travers le réseau, ainsi que les dates d'expiration de licences.

• Gérer à distance plusieurs applications Kaspersky Lab installées sur des

ordinateurs Windows, depuis un seul poste central. Kaspersky

Administration Kit permet de construire un système de protection antivirus

à plusieurs niveaux, contrôlé à partir d'un seul poste administrateur. Ceci

est particulièrement important dans le cas d'entreprises disséminées sur

plusieurs sièges, mais qui agissent de concert. Cette caractéristique

permet aux administrateurs de :

• Créer des groupes administratifs d'ordinateurs qui partagent

des fonctions et des applications semblables ;

6 Kaspersky Administration Kit

• Configurer en une seule fois les applications à l'aide de

stratégies de groupe ;

• Ajuster les installations aux conditions spécifiques des

ordinateurs individuels, à l'aide de paramètres d'application ;

• Gérer de multiples applications à la fois en leur affectant des

tâches de groupe ou globales ;

• Planifier des tâches pour des applications installées sur des

ordinateurs appartenant à des groupes administratifs différents.

• Mettre à jour automatiquement la base antivirus

. Il est possible de mettre

à jour la base antivirus de toutes les applications, sans qu'il soit

nécessaire de connecter chaque ordinateur directement aux serveurs de

mise à jour de Kaspersky Lab. Vous pouvez planifier la mise à jour

automatique, à une heure spécifiée, pour préserver le niveau et la mise à

jour de la sécurité des postes clients.

• Accumuler des rapports

sur toutes les installations. Les fonctions de

rapport de Kaspersky Administration Kit permettent de collecter des

statistiques de fonctionnement de toutes les installations, et de créer des

rapports statistiques à partir de données récentes. L'application permet

de créer, à l'échelle de tout le réseau, un rapport sur une simple

application Kaspersky Lab (rapports spécifiques à l'application) ou sur

toutes les applications Kaspersky Lab installées sur un ordinateur

individuel (rapport spécifique à un ordinateur).

• Recevoir des notifications de messagerie, sur certains événements

spécifiques. Vous pouvez spécifier un éventail d'événements sur lesquels

vous serez informé. Par exemple, la détection d'un virus, l'échec d'une

mise à jour ou l'apparition d'un nouvel ordinateur sur le réseau sont des

événements qu'une application peut transmettre pendant son

fonctionnement.

Kaspersky Administration Kit possède trois composants principaux :

• Le serveur d'administration (Administration Server) est un entrepôt

centralisé d'informations sur les applications Kaspersky Lab installées sur

le réseau local de la société et un outil efficace de gestion de ces

applications.

• Agent Réseau coordonne Administration Server et les applications

Kaspersky Lab installés sur un poste réseau particulier (un poste de

travail ou un serveur). Ce composant prend en charge toutes les

applications présentes dans Kaspersky Anti-Virus

Business Optimal et

Kaspersky Antivirus Corporate Suite.

Kaspersky Administration Kit 7

• La console d'administration, une interface utilisateur destinée aux

services Administration et Agent, pour simplifier le travail avec Microsoft

Console d'administration (MMC).

1.2. Nouveautés de la version 5.0

Les nouvelles caractéristiques de Kaspersky Administration Kit version 5.0 sont

les suivantes :

• Gestion de toutes les applications Kaspersky Lab installées sur des

ordinateurs sous Windows.

• Contrôle du système de protection antivirus même sur des réseaux de

grande taille (des dizaines de milliers de postes).

• Intégration de l'interface utilisateur standard de Windows dans Microsoft

Console d'administration (MMC).

• Administration de la protection antivirus à travers des tâches spécifiques.

• Attribution centralisée d'une configuration générale pour un groupe

d'ordinateurs appartenant au même groupe administratif.

• Création de stratégies de protection antivirus avec attribution de tâches

de groupe, mise en place et suivi de l'application de ces stratégies.

• Fonctions de rapport améliorées.

• Journalisation et système de rapports améliorés. Vous pouvez afficher

des informations générales sur la protection antivirus du réseau entier ou

afficher des rapports pour chaque application sous surveillance, présente

sur n'importe quel ordinateur individuel du réseau.

• Système de gestion centralisé de clés de licences. Ce système vous

permet de contrôler la correspondance entre le nombre de licences et le

nombre d'applications Kaspersky Lab installées, de vérifier les dates

d'expiration des licences, et de mettre à jour les clés de licence de

manière régulière.

1.3. Spécifications matérielles et

logicielles

Serveur d'administration

• Configuration logicielle :

8 Kaspersky Administration Kit

• MSDE 2000 SP 3 ou MS SQL Server 2000 SP 3

1

• Windows 2000 SP 1 ou supérieur; Windows XP SP 1 ou

supérieur, Windows 2003 Server; Windows NT4 SP 6.a

• Configuration matérielle :

• Processeur Intel Pentium III de 800 MHz ou supérieur

• 128 Mo de RAM

• 400 Mo d'espace disponible sur le disque

Console d'administration

• Configuration logicielle :

• Windows 2000 SP 1 ou supérieur ; Windows NT4 SP 6a;

Windows XP SP 1 ou supérieur; Windows 2003 Server;

Microsoft Console d'administration version 1.2 ou supérieur

• Configuration matérielle :

• Processeur Intel Pentium II de 400 MHz ou supérieur

• Au moins 64 Mo RAM.

• 10 Mo d'espace de disque libre.

Agent Réseau

• Configuration logicielle :

• Windows 98; Windows ME; Windows 2000 SP 1 ou supérieur;

Windows NT4 SP 6a; Windows XP SP 1 ou supérieur et

Windows 2003 Server

• Configuration matérielle :

• Processeur Intel Pentium à 233 MHz ou supérieur

• 32 Mo de RAM

• 10 Mo d'espace disponible sur le disque

1

Vous pouvez installer MSDE à partir du paquet de distribution inclus dans Kaspersky

Administration Kit .

Kaspersky Administration Kit 9

1.4. Contenu de la distribution

Vous pouvez acquérir ce produit logiciel chez nos revendeurs (boîte) uniquement

intégré dans Kaspersky Antivirus Business Optimal et Kaspersky Corporate

Suite pour la protection de postes de travail et de serveurs sous Microsoft

Windows, ainsi que en ligne (par exemple, visitez www.kaspersky.com

puis

cliquez sur le lien E-Store.

Le paquet au détail inclut :

• Une enveloppe cachetée avec le CD d'installation contenant les fichiers

d'application;

• Guide de l'utilisateur

• Une clé de licence inscrite sur le CD d'installation ;

• Une carte d'inscription du produit logiciel principal (avec le numéro de

série du produit);

• Contrat de licence

Avant d'ouvrir l'enveloppe avec le CD d'installation, lisez attentivement

le Contrat de licence..

Si vous achetez Kaspersky Antivirus en ligne, vous téléchargerez le fichier

d'installation depuis le site de Kaspersky Lab. Dans ce cas, le kit de distribution

inclut, en plus de l'application, ce Guide de l'utilisateur. La clé de licence sera

transmise par courrier électronique dès réception de votre paiement.

1.4.1. Contrat de licence

Le Contrat de licence est un contrat légal entre vous et Kaspersky Lab, où sont

précisées les conditions d'utilisation du produit antivirus que vous avez acheté.

Lisez attentivement le contrat de licence !

En cas de désaccord avec les conditions du contrat de licence, vous pouvez

renvoyer Kaspersky Antivirus à votre revendeur pour un remboursement.

Dans ce cas, l'enveloppe contenant le CD d'installation ne doit pas avoir été

ouverte.

L'ouverture de l'enveloppe cachetée contenant le CD d'installation ou

l'installation du logiciel implique que vous acceptez les termes du contrat de

licence.

10 Kaspersky Administration Kit

1.5. Services réservés aux

utilisateurs inscrits

Kaspersky Lab propose un large éventail de services à ses utilisateurs inscrits

leur permettant d'utiliser plus efficacement les fonctions disponibles du service

d'assistance de Kaspersky Anti-Virus.

Si vous vous inscrivez et achetez une souscription, vous recevrez les services

suivants pour toute la période de votre inscription :

• Nouvelles versions de ce logiciel antivirus, fournies gratuitement ;

• Assistance téléphonique et par courrier électronique sur l'installation, la

configuration et l'utilisation de l'application antivirus ;

• Informations sur les nouveaux produits Kaspersky Lab et les nouveaux

virus d'ordinateurs (pour les abonnés au bulletin).

Kaspersky Lab ne fournit pas d'informations concernant l'administration

ou l'utilisation de votre système d'exploitation ou d'autres technologies.

1.6. Objectif du document

Ce livre de référence présente l'usage de Kaspersky Administration Kit et

contient des explications pas à pas de toutes ses fonctions. Les principes de

base et le schéma de fonctionnement généraux de l'application sont décrits dans

le Guide de l'administrateur de e Kaspersky Administration Kit.

Pour lire les questions les plus fréquentes que nos utilisateurs posent aux

spécialistes du service support de Kaspersky Lab, visitez notre site Web et

suivez le lien ServicesÆ Knowledge base. Cette section contient des

informations sur l'installation, la configuration et le fonctionnement des

applications Kaspersky Lab, sur la suppression des virus les plus répandus, ainsi

que sur la désinfection des fichiers infectés.

1.7. Conventions

Plusieurs conventions ont été adoptées dans ce guide en fonction du contenu et

de l'intérêt de chaque section particulière. Le tableau ci-après illustre les

conventions utilisées dans ce manuel.

Kaspersky Administration Kit 11

Convention Usage

Gras

Titres de menus, commandes, titres de

fenêtres, éléments de boîtes de

dialogue, etc.

Note

Information complémentaire,

remarques.

« Attention »

Informations essentielles.

Pour exécuter une

action :

1. Étape 1.

2. …

Description de la succession des

étapes que l'utilisateur doit suivre et

des actions possibles.

Tâche ou exemple

Définition d'un problème, exemple ou

démonstration des possibilités de

l'application

Solution

Implémentation de la tâche

[option] - nom du paramètre Paramètre de ligne de commande.

Texte des messages

d'information et de la ligne

de commande

Texte des fichiers de configuration,

des messages d'information et de la

ligne de commande.

CHAPITRE 2. PRESENTATION DE

KASPERSKY

ADMINISTRATION KIT

2.1. Réseau logique

Kaspersky Administration Kit offre des fonctions d'administration, permettant à

une société de gérer de manière centralisée des milliers d'ordinateurs à partir

d'une seule interface administrateur. Pour ce faire, les ordinateurs du réseau

d'entreprise sont organisés en groupes administratifs, selon leur utilisation et les

applications Kaspersky Lab installées. Ceci facilite de manière significative la

gestion parce que tous les ordinateurs du même groupe sont traités comme une

unité. Par exemple, un premier groupe inclut tous les postes de travail, un

second groupe, uniquement les serveurs de fichiers, etc.

Le réseau logique est une structure hiérarchique de groupes administratifs

contenant des postes clients. Les applications Kaspersky Lab installées sur les

postes clients sont contrôlées par Kaspersky Administration Kit.

Un client du serveur d'administration (poste client

2

) est un ordinateur, un

serveur ou un poste de travail couverts par la protection antivirus. Le composant

Agent Réseau et les applications Kaspersky Lab contrôlées doivent être installés

sur chacun des postes clients.

Les groupes sont des groupes logiques de clients administrés par un seul

serveur. Tous les ordinateurs d'un même groupe partagent :

• Les mêmes stratégies antivirus, spécifiques à chaque application.

• Les mêmes tâches (fonctions de l'application) et les mêmes paramètres

de configuration. Il peut s'agir, par exemple, d'un paquet d'installation

personnalisé, de la mise à jour des modules de base de données et de

programme antivirus, des analyses à la demande, ou de la protection en

temps réel.

L'administrateur peut créer une hiérarchie de groupes et sous-groupes

imbriqués, avec n'importe quel degré de spécialisation, afin de simplifier

l'administration des applications correspondantes. Les groupes et les postes

2

Dans la suite, un poste client est un client du serveur d'administration.

Présentation de Kaspersky Administration Kit 13

clients peuvent être placés sur un même niveau hiérarchique. Chaque poste

client peut être le membre d'un seul groupe.

Le Serveur d'administration est l'ordinateur du réseau d'entreprise sur lequel

s'exécute l'application Administration Server. Le serveur d'administration un objet

du réseau logique.

Les serveurs d'administration peuvent former une hiérarchie de type « serveur

primaire ou maître – serveur secondaire ou esclave ». Le serveur

d'administration primaire peut avoir de nombreux serveurs secondaires (voir

section 4.5 à la page 55).

Le serveur d'administration (ou plus précisément, l'application Administration

Server) est utilisé pour :

• Entreposer la description de la structure logique du réseau (configuration

réseau)

• Entreposer les copies de sauvegarde des configurations client

• Entreposer les fichiers de distribution des applications Kaspersky Lab

• Installer et désinstaller à distance des applications sur les postes clients

• Mettre à jour la base antivirus et les modules de programme

• Contrôler les stratégies et les tâches de groupe sur des postes clients

• Entreposer des informations sur les événements qui se sont produits sur

des postes clients

• Générer des rapports sur l'exécution des applications à travers le réseau

logique

• Distribuer des clés de licence sur les postes clients ;

• Envoyer des alertes à partir de tâches exécutées sur des postes clients.

Vous pouvez être informé, par exemple, de la détection d'un virus sur un

poste client.

Le composant Agent Réseau assure la coordination entre le serveur

d'administration et les postes clients. Il fournit des informations sur l'état courant

de l'application, envoie et reçoit des commandes, met à jour la configuration, et

informe le serveur sur des événements spécifiés. Reportez-vous à la section 2.3

à la page 16, pour savoir comment attacher Agent Réseau au serveur

d'administration.

Les ordinateurs du réseau d'entreprise sur lesquels la console d'administration

est exécutée, sont eux-mêmes désignés comme postes administrateurs. À

partir de ces postes, les administrateurs peuvent contrôler à distance tous les

composants Kaspersky Antivirus installés sur l'ensemble du réseau logique.

14 Kaspersky Administration Kit

Plug-in de console pour Agent Réseau: un composant spécial qui fournit

l'interface de gestion de chaque application, il est distribué avec les applications

Kaspersky Lab contrôlées par Kaspersky Administration Kit. Chaque application

dispose de son propre plug-in, installé sur le poste administrateur. Les plug-ins

fournissent :

• Des boîtes de dialogue pour créer et modifier les stratégies d'applications

• Des boîtes de dialogue pour créer et modifier la configuration des

applications

• Des boîtes de dialogue pour la configuration de tâches

• Des renseignements sur les tâches exécutées par une application

• Des informations sur les événements générés par une application

• Des informations sur les événements et les statistiques de chaque poste

client, transmis à la console d'administration.

Le poste de travail de l'administrateur n'est pas un objet du réseau logique.

Cependant, ils peuvent être ajoutés au réseau logique en tant que postes clients.

Le nombre de postes administrateur est potentiellement illimité. Les postes

administrateurs de différents réseaux logiques peuvent coïncider – n'importe

quel réseau logique peut être administré à partir de n'importe quel poste

administrateur disponible sur votre réseau local.

Sur un réseau logique, un même ordinateur peut figurer en tant que poste client,

serveur d'administration et poste administrateur.

2.2. Stratégies, paramètres, et

tâches

Une tâche est une action effectuée par une application de Kaspersky Lab. Il y a

plusieurs types de tâches, qui sont classées d'après leurs fonctions. Chaque

tâche correspond à des paramètres spécifiques d'application.

Pour plus d'informations sur les types de tâche, reportez-vous à la

documentation des applications Kaspersky Lab.

Les paramètres d'application regroupent les paramètres de fonctionnement

communs à tous les types de tâche. Les paramètres d'application spécifiques à

chaque type de tâches constituent les paramètres de tâche. Les paramètres

d'application et ceux de tâches sont toujours différents.

Pour qu'une application puisse effectuer une action, vous devez configurer des

paramètres d'application, créer un tâche associée, puis exécuter cette dernière.

Présentation de Kaspersky Administration Kit 15

Vous pouvez utiliser des stratégies pour appliquer des paramètres d'application

personnalisés à plusieurs postes clients du réseau logique. Une stratégie est un

ensemble de paramètres d'application partagés par tous les ordinateurs dans un

groupe. Les paramètres d'application sont différents en fonction des groupes.

Une stratégie est propre à chaque application.

La mise en place d'une stratégie d'application spécifique suppose la

configuration de tous les paramètres disponibles de l'application. Ainsi, la

définition d'une stratégie implique à la fois la configuration des paramètres

d'application et celle des paramètres des tâches spécifiques à cette application.

La seule exception concerne les paramètres définis avant le démarrage de la

tâche. Par exemple, la mise en place d'une stratégie de protection en temps réel

et d'analyse à la demande, implique la configuration de paramètres pour les

deux tâches sur le poste client.

Une stratégie possède une case à cocher pour indiquer si l'un de ses

paramètres peut changer suite à la modification des paramètres d'application ou

des paramètres de tâche, ou en raison de l'imbrication des groupes (paramètres

du niveau inférieur de hiérarchie).

De nombreuses stratégies avec des paramètres différents peuvent être définies

pour la même application dans un groupe. Cependant, une seule stratégie à la

fois peut être appliquée dans l'application. Il est possible d'activer une stratégie

qui n'est pas la stratégie active en fonction d'un événement, par exemple, pour

renforcer les critères de protection antivirus au cours d'une épidémie.

Un groupe ne peut définir qu'une seule stratégie par application. Mais chaque

groupe permet de créer ses propres stratégies, spécifiques à chaque application.

En l'absence de stratégie définie, un groupe fils hérite de la stratégie du groupe

parent.

C'est ainsi que les stratégies permettent de faire partager, à tous les ordinateurs

d'un groupe, les mêmes paramètres d'application. Cependant, il reste toujours

possible de modifier les paramètres d'application et de tâche pour chaque

ordinateur du groupe, à moins que leurs configurations ne soient verrouillées par

la stratégie du groupe.

Il est possible de créer et de configurer des tâches de manière centralisée, à

travers le réseau logique. Une tâche attribuée à un groupe administratif est une

tâche de groupe ; une tâche attribuée à un poste client individuel est appelée

une tâche locale ; et celle attribuée à de multiples postes clients, appartenant à

différents groupes du réseau logique, est une tâche globale.

Une tâche de groupe peut être affectée à un groupe, même si l'application est

seulement installée sur certains des postes clients dans le groupe. Dans ce cas,

la tâche de groupe ne sera exécutée que sur les ordinateurs où l'application est

exploitée.

16 Kaspersky Administration Kit

Les sous-groupes héritent des tâches de leurs groupes parent. Une tâche définie

dans un groupe sera donc partagée par tous les postes de ce groupe, mais aussi

par tous les postes des sous-groupes groupes de niveau inférieur.

Les tâches attribuées localement sur un poste client en particulier ne

sont exécutées que sur cet ordinateur. Les tâches locales sont ajoutées

à la liste des tâches courantes du client, lors de la synchronisation de

ce poste avec le serveur d'administration.

Étant donné que les paramètres d'application sont régis par une stratégie, seuls

pourront être modifiés les paramètres définis comme modifiables par cette

stratégie, ou encore, ceux qui sont spécifiques à une tâche particulière. Par

exemple, pour une analyse à la demande d'une unité, vous devez pouvoir

indiquer le nom du disque, les masques de fichier, etc.

Les informations sur les stratégies, la configuration des applications, les tâches

et les paramètres de tâches sont entreposées sur le serveur et distribuées vers

les postes clients pendant la synchronisation. En provenance des clients, le

serveur d'administration reçoit des informations sur les modifications locales

autorisées par la stratégie, sur les applications exploitées sur les postes clients,

sur leurs comptes-rendus et sur les tâches affectées.

Lorsqu'une tâche est en exécution sur un poste client, les paramètres

d'application sont déterminés par :

• Les paramètres de tâche et d'application modifiés (sauf ceux verrouillés

par la stratégie courante).

• La stratégie du groupe, dans le cas des paramètres verrouillés, ou non

modifiés.

• La stratégie parente, si aucune stratégie de groupe n'a pas été définie

pour l'application.

Il est possible de planifier le démarrage automatique de tâches, ou les exécuter

à la demande. Les comptes-rendus d'activité des tâches sont enregistrés sur le

serveur d'administration. L'administrateur peut être averti des comptes-rendus

d'activité, ou afficher des rapports détaillés.

2.3. Connexion de clients au serveur

d'administration

Pour permettre aux clients et au serveur d'administration de communiquer entre

eux, les postes clients doivent être reliés au serveur (voir section 2.1 à la page

12). L'installation de Agent Réseau sur les clients assure cette fonctionnalité.

Les opérations suivantes exigent la connexion au serveur :

Présentation de Kaspersky Administration Kit 17

• Rafraîchissement de la liste des applications installées sur les postes

clients

• Synchronisation des stratégies, des paramètres d'application, des tâches,

et des paramètres de tâches

• Mise à jour de l'information sur les applications et les tâches fonctionnant

sur des postes clients

• Transfert des événements à traiter sur le serveur

Dans la plupart des cas, les clients sont connectés au serveur. Cette connexion

est utilisée pour échanger automatiquement des données entre les clients et le

serveur, et pour retourner vers les serveurs des notifications sur les événements

d'application.

La synchronisation automatique est exécutée à intervalles réguliers, définis dans

la configuration de Agent Réseau (par exemple, une fois toutes les quinze

minutes). L'intervalle de temps est défini par l'administrateur.

Des informations sur un événement sont envoyées au serveur juste après

l'événement.

Dans les paramètres client, vous pouvez cocher/annuler la case Maintenir la

connexion pour conserver ou terminer la connexion client-serveur après la fin

des opérations précédentes. Une connexion permanente est préférable si la

connexion d'un client s'avère difficile pour n'importe quelle raison (le client se

trouve derrière un pare-feu, l'adresse IP du client n'est pas connue, etc.) ou si

vous avez besoin de surveiller constamment l'exécution des applications

Kaspersky Lab.

L'administrateur peut forcer le démarrage de la synchronisation avec la

commande Forcer synchronisation du menu contextuel (voir section2.11.3 à la

page 30). Dans ce cas, la connexion est établie par le serveur. Pour permettre

la connexion, le port UDP est ouvert sur le poste client. Le serveur envoie une

requête de connexion au port UDP du client. En réponse, l'autorisation de

connexion du serveur est vérifiée (d'après une signature numérique), et, si la

signature est valide, la connexion est établie.

Le deuxième type de connexion est également utilisé pour récupérer des

données sur les postes clients : mise à jour des listes d'applications et de tâches

fonctionnant sur le client et rafraîchissement des statistiques d'application.

Toutes les transactions entre les postes clients et le serveur d'administration

sont sécurisées par SSL (Secure Socket Layer). Le protocole SSL emploie des

certificats électroniques pour l'authentification serveur et client, et assure le

chiffrement des données et l'intégrité des messages au cours du transfert.

18 Kaspersky Administration Kit

2.4. Connexion sécurisée au serveur

d'administration

L'échange de données entre clients et serveur d'administration, ainsi que les

connexions de la console avec le serveur d'administration sont sécurisées par le

protocole SSL (Secure Socket Layer). Le protocole SSL est responsable de

l'authentification des extrêmes en communication, du chiffrement des données

transférées, et de la vérification de l'intégrité de données. Les techniques

d'intégrité de données vérifient que les données n'ont pas été endommagées ou

modifiées pendant le transfert. Une connexion SSL comporte l'authentification

des deux extrêmes de la session de communication réseau, et le chiffrement des

données en utilisant la méthode de clé fermée.

2.4.1. Certificat du serveur d'administration

Le certificat du serveur d'administration permet d'authentifier la console

d'administration au moment où celle-ci établit la connexion au serveur

d'administration, ou les données sont transférées depuis les postes clients.

Le certificat du serveur d'administration est créé pendant l'installation du serveur

d'administration. Le certificat est conservé dans le serveur d'administration, dans

le dossier Cert du répertoire d'installation.

Le certificat du serveur d'administration ne peut être créé qu'une seule fois, lors

de l'installation du serveur. Pour restaurer le certificat, vous devez réinstaller le

serveur d'administration et restaurer les données perdues à partir de celles

sauvegardées (sur les options de sauvegarde, voir 4.14 à la page 72).

2.4.2. Authentification du serveur

d'administration (connexion de la

console d'administration au serveur)

Quand la console d'administration se connecte au serveur d'administration pour

la première fois, elle demande et enregistre en local le certificat du serveur, sur

le poste administrateur. Lors des connexions suivantes de la console avec le

serveur du même nom, le serveur sera authentifié en utilisant ce certificat.

Si l'authentification du serveur échoue (le certificat actuel diffère de celui stocké

sur le poste administrateur), la console informe l'utilisateur et demande un

nouveau certificat au serveur. Si la connexion est confirmée et qu'un nouveau

Présentation de Kaspersky Administration Kit 19

certificat est reçu, la console d'administration l'enregistre sur disque, afin de

l'utiliser pour authentifier le serveur lors de futures sessions.

2.4.3. Authentification du serveur

d'administration au cours de la

connexion avec un client

Quand un client se connecte au serveur d'administration pour la première fois, il

demande et enregistre en local le certificat du serveur.

Si Agent Réseau est installé en local sur un client, l'administrateur

peut sélectionner manuellement le certificat du serveur

d'administration.

Quand le client se connecte au serveur la fois suivante, Agent Réseau demande

le certificat du serveur d'administration et le compare au certificat local. Si les

certificats diffèrent, l'accès au serveur d'administration est refusé.

Si c'est le serveur d'administration qui lance la connexion, Agent Réseau vérifie

de manière similaire la demande d'une connexion UDP par le serveur.

2.5. Identification d'ordinateurs sur

le réseau logique

Les postes clients du réseau logique sont identifiés par leurs noms d'hôte. Un

nom d'hôte doit être unique parmi tous ceux utilisés pour se connecter au

serveur d'administration.

Un nom d'hôte est attribué par le serveur d'administration quand un nouvel

ordinateur est détecté sur le réseau Windows, ou quand une instance de Agent

Réseau se connecte au serveur pour la première fois après son installation sur le

client. Par défaut, le nom d'hôte est le même que celui de l'ordinateur sur le

réseau Windows (nom NetBIOS). Si un hôte existe déjà avec ce nom, le serveur

attribuera à l'hôte un nom terminé par un nombre, par exemple, Nom-1, Nom-2,

etc... Ce nom d'hôte sera utilisé pour identifier l'ordinateur sur le réseau logique.

Le serveur d'administration fait référence aux postes clients à travers leurs

adresses IP. Si un client possède une installation de Agent Réseau, l'adresse IP

de ce client est déterminée automatiquement par le serveur, à chaque connexion

du client. Si Agent Réseau n'est pas installé, ou si ce client ne s'est pas encore

connecté au serveur d'administration (par exemple, si Agent Réseau était installé

20 Kaspersky Administration Kit

en local), le serveur d'administration détermine l'adresse IP de cet ordinateur

d'après son nom NetBIOS ou DNS.

2.6. Administrateurs et opérateurs

du réseau logique

Par défaut, seulement deux groupes d'utilisateurs, les administrateurs et les

opérateurs de réseau logique, disposent de privilèges administratifs pour gérer

des applications à l'aide de Kaspersky Administration Kit.

Un administrateur du réseau logique est un utilisateur qui installe et configure

le progiciel Kaspersky Administration Kit sur les ordinateurs du réseau, puis qui

gère les applications Kaspersky Lab sur les postes distants du réseau logique.

Un administrateur de réseau logique possède un contrôle total de toutes les

fonctions disponibles de Kaspersky Administration Kit. Il a la possibilité de :

• Connecter au serveur d'administration

• Créer un réseau logique, et d'y ajouter des groupes et des postes clients

à partir du réseau local de l'entreprise

• Installer le composant Agent Réseau sur des postes clients

• Créer et installer des paquets d'applications Kaspersky Lab sur des

postes clients, et de contrôler leurs clés de licence

• Mettre à jour des versions d'application installées sur des postes clients

• Créer des stratégies et d'attribuer des tâches à des groupes ou à des

ordinateurs différents, et de modifier des paramètres d'application

• Contrôler de manière centralisée les applications installées sur les postes

clients du réseau logique et d'en examiner les rapports à l'aide des

services du serveur d'administration, de Agent Réseau, et de la console

d'administration.

• Autoriser à des utilisateurs ou des groupes d'utilisateurs l'accès aux

fonctions de l'application, aussi bien pour le réseau logique en entier que

pour des groupes administratifs séparés.

Un opérateur du réseau logique est un utilisateur qui surveille les

performances du système de protection antivirus géré par Kaspersky

Administration Kit.

L'opérateur de réseau logique possède des droits d'accès limités aux fonctions

de Kaspersky Administration Kit. Il a la possibilité de :

La page est en cours de chargement...

Kaspersky ADMINISTRATION KIT 5.0 Le manuel du propriétaire

Ce manuel convient également à

Kaspersky ADMINISTRATION KIT 5.0 Le manuel du propriétaire

Documents connexes

Autres documents