▼
Scroll to page 2
of
197
ESET PROTECT Guide d'installation, de mise à niveau et de migration Cliquez ici pour consulter la version de l'aide en ligne de ce document Copyright ©2021 ESET, spol. s r.o. ESET PROTECT a été développé par ESET, spol. s r.o. Pour plus de détails, visitez www.eset.com. Tous droits réservés. Aucune partie de cette documentation ne peut être reproduite, stockée dans un système d'archivage ou transmise sous quelque forme ou par quelque moyen que ce soit, y compris sous forme électronique, mécanique, photocopie, enregistrement, numérisation ou autre sans l'autorisation écrite de l'auteur. ESET, spol. s r.o. se réserve le droit de changer les applications décrites sans préavis. Assistance à la clientèle : www.eset.com/support RÉV. 2021-04-30 1 À propos de l'aide ...................................................................................................................................... 1 2 Installation/Mise à jour ........................................................................................................................... 2 2.1 Nouvelles fonctionnalités de ESET PROTECT 8.0 ................................................................................ 2 2.2 Architecture .............................................................................................................................................. 3 2.2.1 Serveur .................................................................................................................................................. 4 2.2.2 Console Web ............................................................................................................................................ 4 2.2.3 HTTP mandataire ...................................................................................................................................... 5 2.2.4 Agent ..................................................................................................................................................... 7 2.2.5 Capteur de détection d'intrus ....................................................................................................................... 8 2.2.6 Connecteur d'appareil mobile ....................................................................................................................... 9 2.2.7 Serveur mandataire HTTP Apache ................................................................................................................ 10 2.3 Différences entre le mandataire HTTP Apache, l'outil Miroir et une connectivité directe ........ 14 2.3.1 Quand commencer à utiliser le mandataire HTTP Apache? ................................................................................. 15 2.3.2 Quand commencer à utiliser l'outil Miroir? ...................................................................................................... 16 3 Exigences système et dimensionnement .................................................................................. 17 3.1 Systèmes d'exploitation pris en charge ............................................................................................ 17 3.1.1 Windows ............................................................................................................................................... 17 3.1.2 Linux .................................................................................................................................................... 18 3.1.3 macOS ................................................................................................................................................. 19 3.1.4 Mobile .................................................................................................................................................. 19 3.2 Environnements d'attribution de bureau pris en charge ................................................................ 20 3.3 Matériel et dimensionnement des infrastructures .......................................................................... 21 3.3.1 Recommandations relatives au déploiement ................................................................................................... 22 3.3.2 Déploiement pour 10 000 clients ................................................................................................................. 24 3.4 Base de données .................................................................................................................................... 24 3.5 Versions d'Apache Tomcat et de Java prises en charge .................................................................. 26 3.6 Produits de sécurité ESET, langues et navigateurs Web pris en charge ..................................... 27 3.7 Réseau ..................................................................................................................................................... 29 3.7.1 Ports utilisés .......................................................................................................................................... 29 4 Procédure d'installation ....................................................................................................................... 32 4.1 Installation tout-en-un sur Windows .................................................................................................. 33 4.1.1 Installez le serveur ESET PROTECT ............................................................................................................... 34 4.1.2 Installer le Connecteur d’appareil mobile de ESET PROTECT (Autonome) ................................................................ 46 4.2 Installation sur Microsoft Azure .......................................................................................................... 52 4.3 Installation d'un composant sur Windows ........................................................................................ 53 4.3.1 installation du serveur .............................................................................................................................. 54 4.3.1.1 Configuration requise pour le serveur - Windows ........................................................................................... 60 4.3.2 Exigences pour Microsoft SQL Server ............................................................................................................ 61 4.3.3 Installation et configuration de MySQL Server ................................................................................................. 61 4.3.4 Compte d'utilisateur de base de données dédié ............................................................................................... 63 4.3.5 Installation de l'Agent ............................................................................................................................... 63 4.3.5.1 Installation de l'Agent assistée par serveur .................................................................................................. 66 4.3.5.2 Installation de l'Agent hors connexion ........................................................................................................ 67 4.3.5.3 Désinstallation et dépannage de l'Agent ..................................................................................................... 67 4.3.5.4 Outil de déploiement à distance d’ESET ...................................................................................................... 68 4.3.6 Installation de la console Web ..................................................................................................................... 68 4.3.6.1 Installer la console Web à l'aide du programme d'installation tout-en-un ............................................................. 68 4.3.6.2 Installer la console Web manuellement ....................................................................................................... 73 4.3.7 Installation du mandataire HTTP .................................................................................................................. 75 4.3.8 Installation de RD Sensor .......................................................................................................................... 76 4.3.8.1 Configuration requise pour RD Sensor ........................................................................................................ 76 4.3.9 Outil de miroir - Windows .......................................................................................................................... 77 4.3.10 Installation de connecteur d'appareil mobile ................................................................................................. 81 4.3.10.1 Configuration requise pour le connecteur d’appareil mobile ............................................................................ 83 4.3.10.2 Activation du Connecteur d’appareils mobiles ............................................................................................. 85 ................................................................................................ 86 4.3.10.4 Exigences de certificat HTTPS ................................................................................................................. 86 4.3.11 Installation et cache du mandataire HTTP Apache .......................................................................................... 87 4.3.11.1 Configuration du mandataire HTTP Apache ................................................................................................ 88 4.3.12 Installation de Squid sur Windows et cache de mandataire HTTP ........................................................................ 91 4.3.13 Référentiel hors connexion ....................................................................................................................... 91 4.3.14 Grappe de basculement .......................................................................................................................... 93 Installation d'un composant sur Linux ............................................................................................... 94 4.4.1 Installation et configuration de MySQL .......................................................................................................... 95 4.4.2 Installation et configuration de ODBC ........................................................................................................... 96 4.4.3 Installation du serveur - Linux ..................................................................................................................... 98 4.4.3.1 Configuration requise pour le serveur - Linux ............................................................................................. 100 4.4.4 installation de l'agent - Linux .................................................................................................................... 102 4.4.4.1 Configuration requise pour l'agent - Linux ................................................................................................. 105 4.4.5 Installation de la console Web - Linux ......................................................................................................... 106 4.4.6 Installation du mandataire - Linux .............................................................................................................. 107 4.4.7 Installation et exigences de RD Sensor - Linux .............................................................................................. 109 4.4.8 Installation du connecteur d'appareil mobile - Linux ....................................................................................... 109 4.4.8.1 Exigences du connecteur d'appareil mobile - Linux ...................................................................................... 111 4.4.9 Installation du mandataire HTTP Apache - Linux ............................................................................................ 112 4.4.10 Installation du mandataire HTTP Squid sur un serveur Ubuntu ......................................................................... 116 4.4.11 Outil de miroir Linux ............................................................................................................................. 117 4.4.12 Cluster de basculement - Linux ............................................................................................................... 121 Installation pas à pas du serveur ESET PROTECT sous Linux ....................................................... 124 Installation du composant sur macOS ............................................................................................. 124 4.6.1 Installation de l'agent - macOS ................................................................................................................. 124 Image ISO .............................................................................................................................................. 125 Fiche de service DNS .......................................................................................................................... 126 Scénario d'installation hors connexion pour ESET PROTECT ....................................................... 126 4.3.10.3 Fonctionnalité de licence pour iOS de MDM 4.4 4.5 4.6 4.7 4.8 4.9 5 Mise à niveau, migration et procédures de réinstallation 5.1 5.2 5.3 5.4 5.5 .............................................. 128 Tâche de mise à niveau des composants ESET PROTECT ............................................................. 129 Mise à niveau à l'aide de ESET PROTECT 8.Programme d'installation tout-en-un 0 ................ 133 Mettez à niveau l'infrastructure avec le mandataire ERA 6.5 ...................................................... 135 Migration à partir de ERA 5.x ............................................................................................................ 137 Migration d'un serveur à un autre .................................................................................................... 137 5.5.1 Nouvelle installation - même adresse IP ...................................................................................................... 138 5.5.2 Base de données migrée - adresse IP identique/différente ................................................................................ 139 5.6 Sauvegarde/mise à niveau du serveur de bases de données et migration des bases de données de ESET PROTECT ................................................................................................................................ 140 5.6.1 Sauvegarde et restauration de serveur de base de données ............................................................................. 141 5.6.2 Mise à niveau du serveur de base de données .............................................................................................. 143 5.6.3 Processus de migration pour MS SQL Server ................................................................................................. 143 5.6.4 Processus de migration pour MySQL Server .................................................................................................. 151 5.6.5 Connecter le serveur ESET PROTECT ou MDM à une base de données ................................................................. 153 5.7 Migration de MDM ............................................................................................................................... 154 5.8 Mettre à niveau de ERA/ESMC installé sur une grappe de basculement sous Linux ................ 155 5.9 Mettre à niveau le mandataire HTTP Apache ................................................................................. 155 5.9.1 Mettre à niveau le mandataire HTTP Apache à l'aide d'un programme d'installation tout-en-un (Windows) .................... 156 5.9.2 Mettre à niveau le mandataire HTTP Apache manuellement (Windows) ............................................................... 157 5.10 Mise à niveau Apache Tomcat ......................................................................................................... 158 5.10.1 Mettre à niveau Apache Tomcat à l'aide d'un programme d'installation tout-en-un (Windows) ................................. 159 5.10.2 Mettre à niveau Apache Tomcat manuellement (Windows) ............................................................................. 162 5.10.3 Mettre à niveau Apache Tomcat manuellement (Linux) .................................................................................. 164 5.11 Changement d'adresse IP du serveur ESET PROTECT ou du nom d'hôte après la migration ................................................................................................................................................................ 165 5.12 Mettre à niveau ERA/ESMC installé sur une grappe de basculement sous Linux ................... 165 6 Désinstallez le serveur ESET PROTECT et ses composants 6.1 6.2 6.3 6.4 .......................................... 166 Windows - Désinstaller le serveur ESET PROTECT et ses composants ....................................... 166 Linux - Mettre à niveau, désinstaller ou réinstaller les composants ESET PROTECT ............... 167 macOS - Désinstaller l'agent ESET Management et le produit ESET Endpoint ......................... 168 Mettre hors service l'ancien serveur ERA/ESMC/ESET PROTECT/MDM après la migration vers un autre serveur ....................................................................................................................................... 169 7 Dépannage ................................................................................................................................................ 170 7.1 Mise à niveau des composants de ESET PROTECT dans un environnement hors connexion ................................................................................................................................................................ 170 7.2 Solutions aux problèmes d'installation courants ........................................................................... 171 7.3 Fichiers journaux ................................................................................................................................. 174 7.4 Outil de diagnostic .............................................................................................................................. 175 7.5 Problèmes après la mise à niveau / migration du serveur ESET PROTECT ................................ 177 7.6 Journalisation MSI ................................................................................................................................ 177 8 ESET PROTECT API ................................................................................................................................ 178 9 Foire aux questions .............................................................................................................................. 178 10 Contrat de licence d'utilisateur final ........................................................................................ 184 11 Politique de confidentialité ............................................................................................................ 190 À propos de l'aide Ce guide d'installation a été rédigé pour faciliter l'installation et la mise à niveau de ESET PROTECT et pour fournir des instructions pour le processus. Par souci de cohérence et pour éviter toute confusion, la terminologie utilisée dans ce guide est basée sur les noms des paramètres de ESET PROTECT. Nous utilisons également un ensemble de symboles pour mettre en évidence des sujets d'intérêt ou ayant une signification particulière. Remarque Les remarques peuvent fournir des informations précieuses, telles que des fonctionnalités spécifiques ou un lien vers un sujet connexe. IMPORTANT Indique une information qui requiert votre attention et qui ne devrait pas être ignorée. Habituellement, ces informations ne sont pas essentielles mais elles sont importantes. Avertissement Indique des informations essentielles que vous devez traiter avec plus de précautions. Les avertissements sont placés spécifiquement pour vous dissuader de commettre des erreurs potentiellement dangereuses. Veuillez lire et comprendre le texte placé dans les crochets d'avertissement, car il fait référence à des paramètres système très sensibles ou à des risques. Exemple Exemple de scénario décrivant un cas d'utilisateur pertinent pour le sujet où il est inclus. Les exemples sont utilisés pour expliquer des sujets plus compliqués. Convention Signification Caractères gras Noms des éléments d'interface tels que les boîtes et les boutons d'option. Caractères italiques Espaces réservés pour les informations que vous fournissez. Par exemple, nom de fichier ou chemin indique que vous devez taper le chemin réel ou un nom de fichier. Courier New Exemples de code ou commandes Hyperlien Fournit un accès rapide et facile aux rubriques référencées ou à un site Web externe. Les hyperliens sont surlignés en bleu et peuvent être soulignés. %ProgramFiles% Le répertoire système de Windows qui stocke les programmes installés de Windows et d'autres. • Aide en ligne est la principale source de contenu d'aide. La dernière version de l'aide en ligne s'affiche automatiquement lorsque vous disposez d'une connexion Internet opérationnelle. Les pages d'aide en ligne de ESET PROTECT comprennent quatre onglets actifs dans l'entête de navigation supérieur : Installation/Mise à niveau, Administration, Déploiement de l'AV et guide pour PME. • Les rubriques de ce guide sont divisées en plusieurs chapitres et sous-chapitres. Vous pouvez trouver des informations pertinentes en utilisant le champ Recherche dans la partie supérieure de l'écran. IMPORTANT Une fois que vous avez ouvert un Guide de l'utilisateur à partir de la barre de navigation en haut de la page, la recherche sera limitée au contenu de ce guide. Par exemple, si vous ouvrez le guide de l'administrateur, les rubriques des guides Installation/Mise à niveau et Déploiement d'appareil virtuel ne seront pas incluses dans les résultats de recherche. • La base de connaissances ESET contient des réponses aux questions les plus fréquemment posées, ainsi que 1 des solutions recommandées pour diverses questions. Régulièrement mis à jour par des spécialistes techniques ESET, la base de connaissances est l'outil le plus puissant pour résoudre différents types de problèmes. • Le forum ESET offre aux utilisateurs d'ESET un moyen facile d'obtenir de l'aide et d'aider les autres. Vous pouvez publier tout problème ou toute question concernant vos produits ESET. Installation/Mise à jour ESET PROTECT (ESET PROTECT) est une application qui vous permet de gérer des produits ESET sur des postes de travail clients, des serveurs et des appareils mobiles dans un environnement en réseau à partir d'un emplacement central. Avec le système de gestion de tâches intégré de ESET PROTECT, vous pouvez installer les solutions de sécurité d'ESET sur des ordinateurs distants et apporter rapidement une solution à de nouveaux problèmes ou à des détections. ESET PROTECT n'offre pas de protection contre le code malveillant en soi. La protection de votre environnement dépend de la présence d'une solution de sécurité ESET comme ESET Endpoint Security sur les postes de travail et les appareils mobiles, ou ESET File Security pour Microsoft Windows Server sur les serveurs. ESET PROTECT est construit autour de deux principes de base : 1. La gestion centralisée - l'ensemble du réseau peut être configuré, géré et contrôlé à partir d'un seul endroit. 2. L'évolutivité - le système peut être déployé dans un petit réseau comme dans de grands environnements d'entreprise. ESET PROTECT est conçu pour répondre à la croissance de votre infrastructure. ESET PROTECT prend en charge la nouvelle génération de produits de sécurité ESET et est également compatible avec la génération précédente de produits. Les pages d'aide de ESET PROTECT offrent un guide complet sur l'installation et la mise à niveau : • Architecture de ESET PROTECT • Processus d'installation • Processus de mise à niveau • Gestion des licences • Processus de déploiement et Déploiement d'agent à l'aide de GPO ou SCCM • Premiers pas après l'installation de ESET PROTECT • Guide de l'administrateur Nouvelles fonctionnalités de ESET PROTECT 8.0 Changement du nom de ESET Security Management Center ESET Security Management Center a été as renommé « ESET PROTECT ». Les produits et services évoluent pour couvrir de nouveaux marchés et les besoins des clients. Nous avons décidé de renommer notre solution pour mieux tenir compte des capacités actuelles et nouvelles qu'il comprend. ESET Full Disk Encryption pour macOS Nous étendons la couverture de la plateforme et ajoutons la gestion filevault (chiffrement natif pour macOS) afin d'accroître la sécurité des données des organisations. En savoir plus Fonctionnalité avancée Certaines des nouvelles fonctionnalités sont axées sur les besoins des grands réseaux, ce qui permet plus de personnalisation. Elles sont toutes incorporées dans l'interface utilisateur existante. 2 Journal d’audit De nouvelles fonctionnalités aident les administrateurs à identifier et à suivre les activités dans ESET PROTECT. Naviguez facilement pour exécuter des tâches, modifier des politiques, résoudre des détections, ajouter des utilisateurs ou des ordinateurs et ajuster ou corriger au besoin. En savoir plus Exclure les menaces de pare-feu Ajout de la possibilité d'exclure les menaces de pare-feu de la liste des détections. En savoir plus Prise en charge des : ESET Business Account Sites Vous pouvez maintenant importer la structure complète de votre ESET Business Account y compris la répartition des licences entre les sites. Architecture ESET PROTECT est une nouvelle génération de système de gestion à distance. ESET PROTECT n'est que partiellement compatible avec ERA 6 et il n'existe pas de rétrocompatibilité avec ERA 5. Toutefois, il existe toujours une compatibilité avec les versions précédentes des produits de sécurité d'ESET. En plus de ESET PROTECT, ESET a également lancé une nouvelle génération de produits de sécurité ainsi qu'un nouveau système de licence. Pour effectuer un déploiement complet de la gamme de solutions de sécurité ESET, les composants suivants doivent être installés (plate-formes Windows et Linux) : • Serveur ESET PROTECT • Console Web ESET PROTECT • Agent ESET Management Les éléments de support suivants sont facultatifs; nous vous recommandons de les installer pour obtenir de meilleures performances de l'application sur le réseau : • Mandataire • Capteur RD • Serveur mandataire HTTP Apache • Connecteur d'appareil mobile Les composants de ESET PROTECT utilisent les certificats pour communiquer avec le serveur ESET PROTECT. Vous pouvez en apprendre davantage au sujet des certificats dans ESET PROTECT dans l'article correspondant de notre Base de connaissances. Aperçu des éléments d'infrastructure Le tableau ci-dessous donne un aperçu des éléments d'infrastructure de ESET PROTECT et de leurs principales fonctions : Fonctionnalités Serveur ESET PROTECT Gestion à distance des produits de sécurité d'ESET (création de ✔ politiques, de tâches, de rapports, etc.) 3 Produit de Agent ESET sécurité Management ESET HTTP mandataire Serveurs ESET Connecteur d'appareil mobile x x x x x Communication avec le serveur ESET PROTECT et gestion du produit de sécurité d'ESET sur le périphérique client Mise à jour, validation de la licence Mise en cache et transfert des mises à jour (moteur de détection, programmes d'installation, modules) Transfert du trafic réseau entre l'agent ESET Management et le serveur ESET PROTECT Sécurisation du périphérique client Gestion à distance des périphériques mobiles x ✔ x x x ✔ x x x x ✔ x x x ✔ ✔ x x x x x ✔ x x x x ✔ x x x x x x x x ✔ Serveur Le serveur ESET PROTECTest l'application exécutante qui traite toutes les données reçues des clients qui se connectent au serveur (par l'intermédiaire de l'agent ESET Management ou du HTTP mandataire). Pour traiter correctement les données, le serveur requiert une connexion stable à un serveur de base de données où les données relatives au serveur sont stockées. Nous vous recommandons d'installer le serveur de base de données sur un ordinateur distinct afin d'optimiser les performances. Console Web La console Web d'ESET PROTECT est une interface utilisateur Web permettant de gérer les solutions de sécurité ESET dans votre environnement. Elle affiche un aperçu de l'état des clients sur votre réseau. Elle peut être utilisée 4 pour déployer à distance des solutions ESET sur des ordinateurs non gérés. La console Web est accessible à l'aide de votre navigateur (voir la liste des navigateurs pris en charge). Si vous choisissez de rendre le serveur Web accessible à partir d'Internet, vous pouvez utiliser ESET PROTECT depuis pratiquement n'importe quel endroit et n'importe quel périphérique. La console Web utilise Apache Tomcat en tant que serveur Web HTTP. Lors de l'utilisation de Tomcat intégré au programme d'installation d'ESET ou au périphérique virtuel, seuls les connexions TLS 1.2 et 1.3 à la console Web sont autorisées. HTTP mandataire Qu’est-ce que le mandataire HTTP et en quoi peut-il être utile? Le mandataire HTTP transfère la communication entre les agents et le serveur ESET PROTECT dans les environnements où les ordinateurs dotés d’un agent ne peuvent accéder au serveur. Qu'est-ce que le mandataire ERA 6.x et pourquoi a-t-il été supprimé? Le mandataire de ERA permetait de concentrer le trafic des agents de clients. Il permettait à plusieurs agents de se connecter au mandataire de ERA qui distribuait ensuite le trafic vers le serveur ERA. ESET PROTECT utilise un nouveau protocole de réplication qui permet de transmettre la réplication sur le nouveau mandataire. Le mandataire ERA 6.x ne peut pas lire ce protocole et ne peut donc pas être utilisé avec les agents de ESET Management. Est-il possible d'utiliser ERA 6.x avec ESET PROTECT? Dans une certaine mesure oui. Le mandataire ERA 6.x peut transférer la communication des agents de la version 6.x vers le serveur ESET PROTECT 7, mais les agentsESET Management ne peuvent pas se connecter au mandataire/serveur de ERA. Tenez compte de cette modification lors de la mise à niveau de votre infrastructure vers la version 6.x. 5 Comment fonctionne le mandataire dans ESET PROTECT? ESET PROTECT8 utilise une version personnalisée du mandataire HTTP Apache comme composant mandataire. Après une configuration appropriée, le mandataire HTTP Apache peut agir en tant que mandataire pour les agents ESET Management. Le mandataire ne met pas en cache et n'ouvre pas la communication; il ne fait que la transmettre. Est-ce que je peux utiliser un mandataire autre que Serveur mandataire HTTP Apache? Toute solution mandataire remplissant les conditions suivantes peut être utilisée avec l’agent ESET Management : • peut transférer une communication SSL • prend en charge HTTP CONNECT • n'utilise pas de nom d'utilisateur ni de mot de passe En quoi le nouveau protocole de communication est-il différent? Le serveur ESET PROTECT communique avec les agents ESET Management au moyen du protocole gRPC. La communication utilise TLS et HTTP2 pour pouvoir passer à travers les serveurs mandataires. Il existe également de nouvelles fonctionnalités d'auto-récupération et une connexion permanente qui améliore les performances globales de communication. Quel est l'effet sur la performance? L'utilisation d'un mandataire HTTP n'a aucun impact significatif sur les performances. Quand dois-je utiliser le mandataire? Nous recommandons l'utilisation d'un mandataire lorsque votre infrastructure répond à une ou plusieurs des conditions suivantes : • Si les ordinateurs de votre agent ne peuvent pas se connecter directement au serveur ESET PROTECT. • Si vous avez un lieu éloigné ou une succursale éloignée et que vous souhaitez utiliser un mandataire pour gérer la communication : oentre le serveur ESET PROTECT et le mandataire oentre le mandataire et les ordinateurs clients dans un lieu éloigné Comment configurer le mandataire HTTP Pour utiliser le mandataire, le nom d’hôte du mandataire HTTP doit être configuré dans la politique de l’agent (Paramètres avancés > Mandataire HTTP). Vous pouvez utiliser différents mandataires pour la mise en cache et l’acheminement; consultez les paramètres de la politique ci-dessous : • Mandataire global – Vous utiliserez une seule solution mandataire pour mettre en cache les téléchargements et acheminer les communications à l’agent. • Différents mandataires par service – Vous utiliserez des solutions mandataires séparées pour mettre en cache et acheminer les communications. Remarque • Quelles sont les autres fonctions du mandataire HTTP Apache? • Comment effectuer la mise à niveau d'une infrastructure avec le mandataire ERA 6.x vers ESET PROTECT? 6 Agent L'agent ESET Management est un composant essentiel de ESET PROTECT. Le nom du composant a changé depuis la version précédente 6.x (Agent ERA), mais le composant Agent est toujours conçu pour le même but. L'agent ESET Management utilise un nouveau protocole de communication amélioré. Les clients ne communiquent pas avec le serveur ESET PROTECT directement; à la place, l'agent facilite cette communication. L'agent recueille des données du client et les envoie au serveur ESET PROTECT. Si le serveur ESET PROTECT envoie une tâche pour le client, elle est envoyée à l'agent qui l'envoie à son tour au client. Pour simplifier la mise en œuvre de la protection des points d'extrémité, l'agent ESET Management autonome est inclus dans la suite ESET PROTECT. C'est un service simple, très modulaire et léger couvrant toutes les communications entre le serveur ESET PROTECT et tout produit ESET ou système d'exploitation. Plutôt que de communiquer avec le serveur ESET PROTECT directement, les produits ESET communiquent par l'intermédiaire de l'agent. Les ordinateurs client sur lesquels l'agent ESET Management est installé et qui peuvent communiquer avec le serveur ESET PROTECT sont qualifiés de « gérés ». Vous pouvez installer l'agent sur n'importe quel ordinateur, peu importe que d'autres logiciels ESET soient installés sur cet ordinateur ou non. Les avantages sont : • Facile à installer - il est possible de déployer l'agent dans le cadre de l'installation standard de l'entreprise. • Gestion de la sécurité sur place - puisque l'Agent peut être configuré pour stocker plusieurs scénarios de sécurité, le temps de réaction à la détection est considérablement réduit. • Gestion de la sécurité hors ligne - l'agent peut répondre à un événement même s'il n'est pas connecté au serveur ESET PROTECT. 7 IMPORTANT Le protocole de communication entre l'agent et ESET PROTECT le serveur ne prend pas en charge l'authentification. Toute solution mandataire servant à transmettre les communications de l'agent au serveur ESET PROTECT et nécessitant une authentification ne fonctionnera pas. Si vous choisissez d'utiliser un autre port que celui par défaut pour la console Web ou l'agent, vous devrez peut être modifier le pare-feu. Sinon, l'installation peut échouer. Rogue Detection Sensor Rogue Detection Sensor (RD Sensor) est un outil de détection de programmes indésirables qui analyse votre réseau à la recherche d'ordinateurs. Le détecteur est pratique car il permet de localiser de nouveaux ordinateurs à partir de ESET PROTECT sans avoir besoin de les chercher et de les ajouter manuellement. Les machines dont la présence a été identifiée et signalée sont immédiatement inscrites dans un rapport prédéfini, ce qui vous permet de les déplacer dans des groupes statiques spécifiques et de procéder aux tâches de gestion. RD Sensor est un auditeur passif qui détecte les ordinateurs présents sur le réseau et envoie des informations à leur sujet au serveur ESET PROTECT. Le serveur ESET PROTECT détermine alors si les ordinateurs présents sur le réseau lui sont inconnus ou s'ils sont déjà gérés. Chaque ordinateur dans la structure du réseau (domaine, LDAP, réseau Windows) est ajouté automatiquement à la liste des ordinateurs du serveur ESET PROTECT par une tâche de synchronisation du serveur. L'utilisation du Capteur DMP est un moyen pratique de rechercher les ordinateurs qui ne sont pas dans le domaine ou dans une autre structure du réseau et de les ajouter au serveur ESET PROTECT. RD Sensor se souvient des ordinateurs qui ont déjà été découverts et n'enverra pas la même information deux fois. 8 Connecteur d'appareil mobile Le connecteur d'appareil mobile de ESET PROTECT est un composant servant à gérer des appareils mobiles avec ESET PROTECT, ce qui permet de gérer des appareils mobiles (Android et iOS) et d'administrer ESET Endpoint Security pour Android. 9 Cliquez ici pour agrandir l'image Remarque Nous vous recommandons de déployer votre composant MDM sur un appareil hôte distinct de celui sur lequel est hébergé le serveur ESET PROTECT. Le matériel recommandé pour gérer environ 80 appareils mobiles est le suivants : Matériel Configuration recommandée Processeur 4 cœurs, 2,5 GHz RAM : 4 Go (recommandé) Disque dur 100 GB Pour gérer plus de 80 appareils mobiles, les exigences matérielles ne diffèrent pas de beaucoup. La latence entre l'envoi de la tâche depuis ESET PROTECT et l'exécution de la tâche sur le périphérique mobile augmentera proportionnellement en fonction du nombre de périphériques présents dans votre environnement. Serveur mandataire HTTP Apache Apache HTTP Proxy est un service mandataire qui peut être utilisé pour distribuer des mises à jour aux ordinateurs clients. Apache HTTP Proxy assume un rôle similaire à celui de la fonctionnalité du serveur miroir dans ERA versions 5 et antérieures. Pour installer Apache HTTP Proxy, lisez les instructions pour Windows, Linux ou Périphérique virtuel. Fonctions du serveur mandataire HTTP Apache Fonction Mise en cache des téléchargements et des mises à jour 10 Solution mandataire qui fournit cette fonction Serveur mandataire HTTP Apache ou autre solution mandataire Mise en cache des résultats de ESET Dynamic Threat Defense Communication des agents ESET Management (réplication) avec le serveur ESET PROTECT Uniquement le mandataire HTTP Apache configuré Serveur mandataire HTTP Apache ou autre solution mandataire Fonction de mise en cache Apache HTTP Proxytéléchargement et mise en cache : • Mises à jour des modules d'ESET • Progiciel d'installation à partir des serveurs de répertoire • Mises à jour des composants de produit Les données mises en cache sont distribuées aux clients des points d’extrémité de votre réseau. La mise en cache peut réduire considérablement le trafic Internet sur votre réseau. Par rapport à l’outil Miroir, qui télécharge toutes les données disponibles sur les serveurs de mise à jour ESET, le Apache HTTP Proxy réduit la charge du réseau en téléchargeant uniquement les données demandées par les composants de ESET PROTECT ou les produits de point d’extrémité ESET. Si un client de point d’extrémité demande une mise à jour, le Apache HTTP Proxy la télécharge à partir des serveurs de mise à jour d’ESET, enregistre la mise à jour dans son répertoire de cache et l’envoie au client de point d’extrémité spécifique. Si un autre client de point d’extrémité demande la même mise à jour, le Apache HTTP Proxy envoie le téléchargement au client directement à partir du cache; il n’y a donc aucun téléchargement supplémentaire à partir des serveurs de mise à jour d’ESET. Mise en cache pour les produits ESET Endpoint Les paramètres de la fonction de mise en cache de l’agent ESET Management et des produits Endpoint ne sont pas identiques. L’agent ESET Management peut gérer les paramètres des produits de sécurité ESET sur les appareils clients. Vous pouvez configurer le serveur mandataire pour ESET Endpoint Security : • localement à partir de l’IUG • à partir de la console Web de ESET PROTECT, à l’aide d’une politique (la procédure recommandée de gestion des paramètres des périphériques clients). Mise en cache des résultats de ESET Dynamic Threat Defense Le serveur mandataire HTTP Apache peut également mettre en cache les résultats fournis par ESET Dynamic Threat Defense. La mise en cache nécessite une configuration spécifique, qui est comprise dans le Apache HTTP Proxy distribué par ESET. Il est recommandé d’utiliser la mise en cache avec ESET Dynamic Threat Defense, si possible. Pour obtenir de plus amples renseignements, consultez la documentation sur le service. Utilisation du mandataire HTTP Apache en tant que mandataire pour l’agent – Communication avec le serveur Lorsqu’il est correctement configuré, le Apache HTTP Proxy peut être utilisé pour collecter et envoyer les données à partir des composants de ESET PROTECT vers un emplacement distant; c’est la même chose que pour la fonction du composant mandataire de ERA 6.x. Une solution mandataire peut être utilisée pour la mise en cache des mises à jour (le mandataire HTTP Apache est recommandé) et un autre mandataire pour l’agent – Communication avec le serveur. Il est possible d’utiliser le Apache HTTP Proxy pour les deux fonctions en même temps, mais ce n’est pas recommandé pour les réseaux ayant plus de 10 000 ordinateurs clients par ordinateur mandataire. Dans les environnements d'entreprise (plus de 1 000 ordinateurs gérés), nous vous recommandons d'utiliser un serveur Apache HTTP Proxy dédié. (Le composant mandataire de ERA 6.x n'est pas compatible avec les agents ESET Management.) En savoir plus sur la fonction Mandataire. Comment configurer le mandataire HTTP 11 Pour utiliser le mandataire, le nom d’hôte du mandataire HTTP doit être configuré dans la politique de l’agent (Paramètres avancés > Mandataire HTTP). Vous pouvez utiliser différents mandataires pour la mise en cache et l’acheminement; consultez les paramètres de la politique ci-dessous : • Mandataire global – Vous utiliserez une seule solution mandataire pour mettre en cache les téléchargements et acheminer les communications à l’agent. • Différents mandataires par service – Vous utiliserez des solutions mandataires séparées pour mettre en cache et acheminer les communications. Serveur mandataire HTTP Apache dans l’infrastructure Les schémas suivants illustrent un serveur mandataire (mandataire HTTP Apache) qui est utilisé pour distribuer le trafic du nuage ESET à tous les composants de ESET PROTECT et les produits de point d’extrémité ESET. Remarque Quelles sont les différences entre les différents mandataires? 12 IMPORTANT Vous pouvez utiliser une chaîne de mandataire pour ajouter un autre service de mandataire à un emplacement distant. Notez que ESET PROTECT ne prend pas en charge le chaînage des mandataires lorsque ceux-ci requièrent une authentification. Vous pouvez utiliser votre propre solution de mandataire Web transparente, mais sachez qu’une configuration supplémentaire peut être nécessaire en plus de ce qui est mentionné ici. Remarque Pour les mises à jour hors ligne du moteur de détection, utilisez l'outil miroir (disponible pour Windows et Linux) plutôt que le serveur mandataire HTTP Apache. 13 Différences entre le mandataire HTTP Apache, l'outil Miroir et une connectivité directe La communication entre les produits ESET comprend les mises à jour du moteur de détection et des modules de programme ainsi que l'échange des données ESET LiveGrid® (voir le tableau ci-dessous) et les informations de licence. ESET PROTECT télécharge les derniers produits pour la distribution aux ordinateurs clients à partir du référentiel. Après la distribution, le produit est prêt à être déployé sur la machine cible. Une fois qu'un produit de sécurité ESET est installé, il doit être activé, ce qui signifie que le produit doit vérifier vos informations de licence sur le serveur de licence. Après l'activation, les modules de programme et le moteur de détection sont mis à jour sur une base régulière. Le système de prédétection d'ESET LiveGrid® permet de s'assurer qu'ESET est immédiatement et continuellement informé des nouvelles infiltrations afin de protéger rapidement ses clients. Le système permet d'envoyer les nouvelles détections au ESET Research Lab, où elles sont analysées et traitées. La plupart du trafic réseau est généré par les mises à jour des modules de produit. En général, un produit de sécurité ESET télécharge environ 23,9 Mo de mise à jour pour les modules au cours d'un mois. Les données d'ESET LiveGrid® (environ 22,3 Mo) et le fichier de la version de mise à jour (jusqu'à 11 Ko) sont les seuls fichiers distribués qui ne peuvent pas être mis en cache. Il existe deux types de mises à jour - des mises à jour de niveau et nano. Reportez-vous à notre article de la Base de connaissances pour plus d'informations au sujet des types de mise à jour. Il existe deux façons de réduire la charge du réseau lors de la distribution des mises à jour à un réseau d'ordinateurs, le mandataire HTTP Apache ou l'outil miroir (disponible pour Windows et Linux). Remarque Lisez cet article de la base de connaissances pour configurer le chaînage de l'outil miroir (configurez l'outil miroir pour télécharger les mises à jour depuis un autre outil miroir). Types de communication ESET Type de communication Fréquence de Incidence sur le communication trafic réseau Déploiement d'agent Une fois (Poussée/programme d'installation en direct du référentiel) Installation de point Une fois d'extrémité (installation du logiciel à partir du référentiel) Mise à jour du module de moteur de détection/des modules de programme Mise à jour du fichier de version update.ver 14 Communication Mise en Mise en transmise par cache du miroir mandataire mandataire Option2 - Option1 Approximativement OUI NON OUI3 50 Mo par client Approximativement OUI 100 Mo par client Plus de six fois 23,9 Mo par mois 5 OUI par jour Environ 8 fois par jour 2,6 Mo par mois 7 OUI OUI3 NON OUI OUI NON - Option d'environnement hors ligne OUI (GPO/SCCM, programmes d'installation en direct modifiés)4 OUI (GPO / SCCM, installation par ensemble d'URL )4 OUI (Mirror Tool hors ligne et serveur HTTP personnalisé)6 - Type de communication Fréquence de Incidence sur le communication trafic réseau Vérification de 4 fois par jour négligeable l'activation/la licence Réputation basé sur À la volée le nuage de ESET LiveGrid® 11 Mo par mois Communication Mise en Mise en transmise par cache du miroir mandataire mandataire Option2 - Option1 OUI NON NON OUI NON NON Option d'environnement hors ligne OUI (fichiers hors ligne générés sur ESET Business Account)8 NON 1. Pour les conséquences ou les avantages de la mise en cache, voir Quand commencer à utiliser le mandataire HTTP Apache? 2. Pour les conséquences de l'utilisation du miroir, voir Quand commencer à utiliser Mirror Tool? 3. Pour une installation ou une mise à niveau, nous vous recommandons de déployer une fois un agent (un par version spécifique) ou un point d'extrémité au départ, de sorte que le programme d'installation soit mis en cache. 4. Pour déployer l'agent ESET Management dans un vaste réseau, consultez Déploiement de l'agent à l'aide de GPO et de SCCM. 5. Votre mise à jour initiale du moteur de de détection peut être plus grande que la normale en fonction de l'âge du programme d'installation, parce que tous les nouveaux moteurs de détection ou tous les nouveaux modules seront téléchargés. Nous recommandons d'installer d'abord un client, de le laisser se mettre à jour, de sorte que les mises à jour de moteur de détection et de module de programme nécessaires soient mis en cache. 6. Sans connexion internet, Mirror Tool ne peut pas télécharger les mises à jour de moteur de détection. Vous pouvez utiliser Apache Tomcat comme serveur HTTP pour télécharger les mises à jour dans un répertoire utilisé par l'outil Miroir (disponible pour Windows et Linux). 7. Lors de la vérification des mises à jour de moteur de détection, le fichier update.ver est toujours téléchargé et analysé. Par défaut, le planificateur de produits de point d'extrémité ESET envoie une requête pour une nouvelle mise à jour toutes les heures. Nous supposons qu'un poste de travail client est allumé 8 heures par jour. Le fichier update.ver a une taille d'environ 11 Ko. 8. Télécharger les fichiers de licence hors ligne en tant que propriétaire de licence ou Administrateur de la sécurité. Remarque Vous ne pouvez pas mettre en cache les mises à jour des produits de la version 4 et 5 en utilisant le mandataire HTTP Apache. Pour distribuer les mises à jour pour ces produits, utilisez l'outil Miroir. Quand commencer à utiliser le mandataire HTTP Apache? Sur la base de nos essais pratiques, nous vous recommandons de déployer le mandataire HTTP Apache si vous avez un réseau comportant 37 ordinateurs ou plus. IMPORTANT Il est essentiel pour une mise en cache efficace que la date et l'heure sur le serveur mandataire HTTP soient réglées correctement. Un écart de quelques minutes pourrait empêcher le mécanisme de mise en cache de fonctionner efficacement et entraîner le téléchargement de plus de fichiers que nécessaire. L'analyse de la bande passante réseau utilisée uniquement par les mises à jour dans un réseau de test de 1.000 ordinateurs où plusieurs installations et désinstallations ont eu lieu a permis d'arriver aux conclusions suivantes : • un seul ordinateur télécharge 23,9 Mo/mois de mises à jour en moyenne s'il est directement connecté à 15 Internet (le mandataire HTTP Apache n'est pas utilisé) • en utilisant le mandataire HTTP Apache, les téléchargements pour l'ensemble du réseau ont atteint au total 900 Mo/mois Une simple comparaison des données de mise à jour téléchargées dans un mois en utilisant une connexion directe à Internet ou le mandataire HTTP Apache dans un réseau d'ordinateurs donne : Nombre de PC dans votre réseau d'entreprise Connexion directe à Internet (Mo/mois) Mandataire HTTP Apache (Mo/mois) 25 375 30 36 900 50 50 1.250 60 100 2.500 150 500 12.500 600 1.000 25.000 900 Quand commencer à utiliser Mirror Tool? Si vous avez un environnement hors ligne, ce qui signifie que les ordinateurs de votre réseau ne se connecte pas à Internet pendant une période prolongée (des mois, une année), l'outil Miroir (disponible pour Windows et Linux) est alors la seule façon de distribuer les mises à jour de module de produit, car il télécharge toutes les mises à jour de niveau et nano disponibles chaque fois qu'une nouvelle demande de mise à jour est faite et si une nouvelle mise à jour est disponible. Remarque Lisez cet article de la base de connaissances pour configurer le chaînage de l'outil miroir (configurez l'outil miroir pour télécharger les mises à jour depuis un autre outil miroir). La principale différence entre le mandataire HTTP Apache et l'outil Miroir outil est que le mandataire HTTP Apache télécharge seulement les mises à jour manquantes (par exemple, la mise à jour Nano 3), tandis que Mirror Tool télécharge toutes les mises à jour de niveau et nano (ou seulement les mises à jour de niveau, si spécifié), quelle que soit la mise à jour manquante pour le module de produit donné. Remarque Les mises à jour en continu ne sont pas disponibles avec l'outil Miroir. Nous recommandons de préférer la mise à jour par le biais d'un mandataire HTTP pour mettre à jour à partir d'un miroir lorsque cela est possible. Même si un ordinateur est hors ligne, mais dispose d'un accès à une autre machine qui est connectée à Internet et peut exécuter un mandataire HTTP pour mettre en cache les fichiers de mise à jour, sélectionnez cette option. Dans un même réseau de 1.000 ordinateurs, nous avons testé l'outil Miroir au lieu du mandataire HTTP Apache. L'analyse a montré qu'il y avait 5500 Mo de mises à jour téléchargées pendant le mois. La taille des mises à jour téléchargées n'a pas augmenté avec l'ajout de plusieurs ordinateurs au réseau. Ceci est déjà une énorme réduction de la charge par rapport à une configuration où les clients se connectent directement à Internet, mais l'amélioration de la performance n'est pas aussi importante que lorsque le mandataire HTTP est utilisé. Nombre de PC dans votre réseau d'entreprise Connexion directe à Internet (Mo/mois) Outil Miroir (Mo/mois) 25 375 5.500 36 900 5.500 50 1.250 5.500 100 2.500 5.500 500 12.500 5.500 1.000 25 000 5.500 Remarque Même s'il y avait plus de 1.000 ordinateurs dans un réseau, l'utilisation de la bande passante pour les mises à jour n'augmenterait pas de manière significative en utilisant le mandataire HTTP Apache ou l'outil Miroir. 16 Exigences système et dimensionnement Un ensemble d'exigences relatives au matériel, à la base de donnés, au réseau et aux logiciels doivent être remplies pour pouvoir installer ESET PROTECT. Systèmes d'exploitation pris en charge Les sections suivantes décrivent les versions de systèmes d'exploitation qui sont pris en charge sous Windows, Linux et macOS et des systèmes d'exploitation mobiles par des composants précis de ESET PROTECT. Windows Le tableau suivant affiche les systèmes d'exploitation Linux pris en charge pour chaque composant de ESET PROTECT : Système d’exploitation Serveur Windows Server 2008 R2 x64 SP1 avec KB4474419 ou KB4490628 installé Windows Server 2008 R2 CORE x64 avec KB4474419 ou KB4490628 installé Windows Server 2008 SP2 (x86 et x64) avec KB4493730 et KB4039648 installé Windows Storage Server 2008 R2 x64 avec KB4474419 ou KB4490628 installé Agent ✔ Capteur RD ✔ ✔ ✔ ✔ ✔ ✔ ✔ Windows Server 2012 x64 Windows Server 2012 CORE x64 Windows Server 2012 R2 x64 Windows Server 2012 R2 CORE x64 Windows Storage Server 2012 R2 x64 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ Windows Server 2016 x64 Windows Storage Server 2016 x64 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ Windows Server 2019 x64 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ Serveur Agent ✔ Capteur RD ✔ MDM ✔ ✔ ✔* ✔ ✔ ✔ ✔ ✔* Windows 8.1 x86 Windows 8.1 x64 ✔* ✔ ✔ ✔ ✔ ✔* Windows 10 x86 Windows 10 x64 (toutes les versions officielles) ✔* ✔ ✔ ✔ ✔ ✔* Microsoft SBS 2008 x64 SP2 avec KB4493730 et KB4039648 installé Microsoft SBS 2011 Standard x64 Microsoft SBS 2011 Essentials x64 Système d’exploitation Windows 7 x86 SP1 avec les dernières mises à jour de Windows (au moins KB4474419 et KB4490628) Windows 7 x64 SP1 avec les dernières mises à jour de Windows (au moins KB4474419 et KB4490628) Windows 8 x86 Windows 8 x64 17 MDM * L'installation des composants de ESET PROTECT sur un système d'exploitation client pourrait ne pas être en accord avec la politique d'octroi de licences de Microsoft. Vérifiez la politique d'octroi des licences de Microsoft ou consultez votre fournisseur de logiciels pour plus de détails. Dans les petites et moyennes entreprises ou dans les petits environnements de réseau, nous vous encourageons à envisager une installation de ESET PROTECT sous Linux ou sur des appareils virtuels là où cela peut se faire. IMPORTANT • Systèmes MS Windows plus anciens : Assurez-vous toujours que le plus récent ensemble de modifications provisoires est installé, en particulier sur les anciens systèmes comme, Server 2003, 2008, Windows XP et Windows Vista. • Nous ne prenons pas en charge les systèmes d'exploitation illégaux ou piratés. • À partir du 24 mars 2020, ESET ne prendra plus officiellement en charge ni ne fournira plus de soutien technique pour ESET PROTECT (Serveur et MDM) installés sur les systèmes d'exploitation Microsoft Windows suivants : Windows 7, Windows Server 2008 (toutes les versions). Avertissement Depuis janvier 2019, les mises à jour publiques de Oracle JAVA SE 8 à des fins professionnelles, commerciales ou de production nécessitent une licence commerciale. Si vous n'avez pas acheté pas un abonnement JAVA SE, vous pouvez utiliser ce guide pour passer à une solution gratuite et installer l'une des éditions de Java prises en charge. Remarque Il est possible d'installer VMware Player sous un système d'exploitation d'ordinateur de bureau et de déployer l'appareil virtuel ESET PROTECT. Vous pouvez exécuter ESET PROTECT sous un système d'exploitation sans serveur. Vous n'avez pas besoin non plus d'lESXi. Linux Le tableau suivant affiche les systèmes d'exploitation Linux pris en charge pour chaque composant de ESET PROTECT : Système d’exploitation Ubuntu 16.04.1 LTS x86 Desktop Ubuntu 16.04.1 LTS x86 Server Ubuntu 16.04.1 LTS x64 Desktop Ubuntu 16.04.1 LTS x64 Server Ubuntu 18.04.1 LTS x64 Desktop Ubuntu 18.04.1 LTS x64 Server Ubuntu 20.04 LTS x64 Serveur Agent Capteur RD MDM ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ RHEL Server 7 x86 RHEL Server 7 x64 RHEL Server 8 x64 ✔ ✔ ✔ ✔ ✔ ✔ ✔ CentOS 7 x86 CentOS 7 x64 CentOS 8 x64 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ SLED 15 x86 SLED 15 x64 SLES 11 x86 SLES 11 x64 SLES 12 x86 SLES 12 x64 18 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ SLES 15 x86 SLES 15 x64 ✔ ✔ ✔ ✔ ✔ ✔ OpenSUSE Leap 15.2 x64 ✔ ✔ ✔ ✔ Debian 9 x86 Debian 9 x64 Debian 10 x64 ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ Fedora 31 x64 Fedora 32 x64 ✔ ✔ macOS Système d’exploitation Agent macOS 10.12 Sierra ✔ macOS 10.13 High Sierra ✔ macOS 10.14 Mojave ✔ macOS 10.15 Catalina ✔ macOS 11.0 Big Sur ✔ Remarque MacOS est pris en charge en tant que client uniquement. L'agent ESET Management et les produits ESET pour macOS peuvent être installés sur macOS. Ce pendant, le serveur ESET PROTECT ne peut pas être installé sur macOS. Mobile Système d’exploitation EESA Propriétaire d'appareil EESA MDM iOS MDM iOS DEP Android v5.x+ ✔ Android v6.x+ ✔ Android v7.x+ ✔ ✔ Android v8.x+ ✔ ✔ Android v9.0 ✔ ✔ Android v10.0 ✔ ✔ Android v11 ✔ ✔ iOS 9.x+ iOS 10.x+ iOS 11.x+ iOS 12.0.x iOS 13.x+ iOS 14.x+ ✔ ✔ ✔ ✔ ✔ ✔ ✔* ✔* ✔* ✔* ✔ ✔ iPadOS 13.x+ iPadOS 14.x+ ✔ ✔ ✔ ✔ * iOS DEP n'est disponible que dans certains pays. IMPORTANT Nous vous recommandons de mettre à jour le système d'exploitation de votre périphérique mobile vers la dernière version pour continuer de recevoir des correctifs de sécurité importants. Configuration requise pour iOS 10.3 et les versions ultérieures : 19 Depuis la version d'iOS 10.3, une autorité de certification installée dans le profil d'inscription peut ne pas être approuvée automatiquement. Pour résoudre ce problème, suivez les étapes suivants : a)Utilisez un certificat émis par un émetteur de certificat approuvé par Apple. b)Installez le certificat de confiance manuellement avant l'inscription. Cela signifie que vous devez installer l'autorité de certification racine manuellement sur le périphérique mobile avant l'inscription et activer la confiance totale pour le certificat installé. Configuration requise pour iOS 12 : Veuillez consulter la configuration requise pour iOS 10.3 et les versions ultérieures. • La connexion doit utiliser TLS 1.2 ou une version supérieure. • La connexion doit utiliser AES-128 ou le chiffrement asymétrique AES-256. La suite de chiffrement de connexion TLS négociée doit prendre en charge la confidentialité de transmission parfaite (PFS) par le biais de l'échange de clé Diffie-Hellman éphémère basé sur les courbes elliptiques (ECDHE) et doit être l’un des éléments suivants : TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA • Être signé avec une clé RSA d'une longueur d'au moins 2048 bits. L'algorithme de hachage du certificat doit être SHA-2 avec une longueur de condensé (parfois appelée « empreinte ») d'au moins 256 (c'est-àdire SHA-256 ou plus). Vous pouvez générer un certificat avec ces exigences dans ESET PROTECT avec la sécurité avancée activée. • Les certificats doivent contenir la chaîne de certificats complète, y compris l'autorité de certification racine. L'autorité de certification racine incluse dans le certificat est utilisée pour établir la confiance avec les périphériques et fait partie du profil d'inscription MDM. Configuration requise pour iOS 13 : • Pour gérer des périphériques mobiles sur iOS 13 il est nécessaire de satisfaire aux nouvelles exigences du certificat de communication d'Apple (MDM HTTPS). Les certificats délivrés avant le 1er juillet 2019 doivent également répondre à ces exigences. • Le certificat HTTPS signé par ESMC CA ne satisfait pas à ces exigences. • Il est fortement recommandé de ne pas mettre à niveau vos périphériques mobiles vers iOS 13 tant que les exigences du certificat de communication d'Apple ne sont pas satisfaites. Une telle action entraînera l'arrêt de la connexion de vos périphériques à ESET PROTECT MDM. • Si vous avez déjà effectué une mise à niveau sans le certificat approprié et que vos périphériques ont cessé de se connecter à ESET PROTECT MDM, vous devez d'abord remplacer votre certificat HTTPS actuel utilisé pour la communication avec les périphériques iOS par le certificat qui satisfait aux exigences du certificat de communication d'Apple (MDM HTTPS) et ensuite, réinscrire vos périphériques iOS. • Si vous n'avez pas effectué de mise à niveau vers iOS 13, assurez-vous que votre certificat MDM HTTPS actuel utilisé pour la communication avec les périphériques iOS est conforme aux exigences du certificat de communication d'Apple (MDM HTTPS). Si oui, vous pouvez continuer à mettre à niveau vos périphériques iOS vers iOS 13. S'il ne satisfait pas aux exigences, remplacez le certificat MDM HTTPS actuel par le certificat HTTPS qui satisfait aux exigences du certificat de communication Apple (MDM HTTPS) et procédez ensuite à la mise à niveau de vos périphériques iOS vers iOS 13. Environnements d'attribution de bureau pris en charge L'attribution de bureau facilite la gestion des appareils et offre un transfert plus rapide des ordinateurs de bureau aux utilisateurs finaux. Les bureaux attribués sont généralement physiques ou virtuels. Pour les environnements virtualisés qui utilisent un système d'exploitation diffusé (services d'attribution Citrix), consultez la liste des hyperviseurs pris en charge. 20 ESET PROTECT prend en charge : • les systèmes avec disque non persistant • les environnements VDI • l'identification des ordinateurs clonés Hyperviseurs pris en charge • XenServer de Citrix • Microsoft Hyper-V • vSphere de VMware • ESXi de VMware • Workstation de VMware • View de VMware • Oracle VirtualBox Extensions des hyperviseurs pris en charge • VDI-in-a-box de Citrix • XenDesktop de Citrix Outils (s'applique à la fois aux machines virtuelles et physiques) • Microsoft SCCM • Windows Server 2012/2016/2019 Server Manager • Windows Admin Center Matériel et dimensionnement des infrastructures Le serveur ESET PROTECT doit répondre aux recommandations matérielles indiquées dans le tableau ci-dessous. L'instance du serveur SQL peut partager des ressources avec le serveur ESET PROTECT afin de maximiser l'utilisation et minimiser la latence. Exécutez le serveur ESET PROTECT et le serveur de base de données sur une seule machine pour augmenter les performances de ESET PROTECT. Nombre de clients Serveur ESET PROTECT + Serveur de base de données SQL Cœurs d'UC RAM (Go) Lecteur de Disque IOPS2 1 disque Jusqu'à 1.000 4 4 Simple 500 5.000 8 8 1.000 3 8 16 2.000 10,000 Séparé 50.000 16 32 10.000 100.000 16 32+ 20.000 Recommandations concernant les lecteurs de disque • 1 Lecteur de disque simple / séparé : Nous vous recommandons d'installer la base de données sur un lecteur séparé pour les systèmes comptant plus de 10 000 clients. oLes performances d'un serveur SQL sont améliorées si vous placez les fichiers de base de données et de journal des transactions sur des lecteurs séparés, de préférence des lecteurs SSD physiques séparés. oUtilisez un lecteur SSD de niveau entreprise avec des IOPS f élevés ou des systèmes hautes performances. • 2 IOPS (total des opérations d'entrée/sortie par seconde) - valeur minimale requise. • 3 Consultez l'exemple de scénario pour un environnement de 10 000 clients. • Nous recommandons d'avoir environ 0,2 IOPS par client connecté, mais pas moins de 500. • Vous pouvez vérifier les IOPS de votre lecteur à l'aide de l'outil diskspd; utilisez la commande suivante : 21 Nombre de clients Commande Jusqu'à 5.000 clients diskspd.exe -c1000M -b4K -d120 -Sh -r -z -w50 C:\testfile.dat Plus de 5 000 clients diskspd.exe -c10000M -b4K -d600 -Sh -r -z -w50 C:\testfile.dat • Utilisez des disques à semi-conducteurs (SSD), car ils sont beaucoup plus rapides que les disques durs standards. • Une capacité de 100 Go est suffisante quelque soit le nombre de clients. Vous pouvez avoir besoin d'une capacité plus élevée si vous sauvegardez souvent la base de données. • N'utilisez pas de lecteur réseau, car ses performances ralentiraient ESET PROTECT. IMPORTANT Le lecteur de disque est le facteur critique influençant les performances de ESET PROTECT. Recommandations relatives au déploiement Meilleures pratiques pour le déploiement de ESET PROTECT Nombre de clients Jusqu'à 1.000 5.000 1.000 5.000 10.000 Serveur ESET PROTECT et ✔ ✔ ✔ serveur de base de données sur la même machine Utilisation de MS SQL Express ✔ ✔ x Utilisation de MS SQL ✔ ✔ ✔ Utilisation de MySQL ✔ ✔ ✔ Utilisation de l'appareil virtuel ✔ ✔ Non ESET PROTECT recommandé Utilisation de serveur de ✔ ✔ ✔ machine virtuelle Intervalle de connexion 60 secondes 5 minutes 10 minutes recommandée (lors de la phase de déploiement) Intervalle de connexion 10 minutes 10 minutes 20 minutes recommandée (après le déploiement, lors de l'utilisation standard) 10.000 50.000 x 50.000 100.000 x 100 000+ x ✔ x x x ✔ x x x ✔ x x Facultative x x 15 minutes 20 minutes 25 minutes 30 minutes 40 minutes 60 minutes x Intervalle de connexion Le serveur ESET PROTECT est connecté aux agents ESET Management à l'aide de connexions permanentes. Bien que la connexion soit permanente, la transmission de données n'a lieu qu'une seule fois pendant l'intervalle de connexion. Par exemple, si l'intervalle de réplication sur 5 000 clients est fixé à huit minutes, il y a 5 000 transmissions en 480 secondes, soit 10,4 par seconde. Assurez-vous de définir l'intervalle de connexion client approprié. Assurez-vous de conserver le nombre total de connexions agent-serveur en dessous de 1 000 par seconde, même pour des configurations matérielles hautes performances. Si un serveur est surchargé ou s'il y a une infection de logiciels malveillants (par exemple, nous connectons 20.000 clients à un serveur qui ne peut servir que 10.000 clients avec un intervalle de dix minutes), il va ignorer certains clients connectés. Aucun client connecté n'essayera de se connecter au serveur ESET PROTECT plus tard. Serveur unique (petite entreprise) Pour gérer les petits réseaux (1 000 clients ou moins), utilisez une seule machine sur laquelle le serveur ESET PROTECT et tous les composants ESET PROTECT sont installés. Dans les petites et moyennes entreprises ou dans les petits environnements de réseau, nous vous encourageons à envisager une installation de ESET PROTECT sous Linux ou sur des appareils virtuels là où cela peut se faire. 22 Succursales distantes avec mandataires Si les machines clientes n'ont pas de visibilité directe sur le serveur ESET PROTECT, utilisez un mandataire pour transférer la communication avec les produits ESET. Le mandataire HTTP n'agrège pas la communication ni ne réduit le trafic de réplication. Haute disponibilité (entreprise) Pour les environnements d'entreprise (plus de 10 000 clients), prenez en compte ce qui suit : • RD Sensor permet de rechercher et de découvrir de nouveaux ordinateurs sur le réseau. • Il est possible de configurer le serveur ESET PROTECT sur une grappe de basculement • Configurez votre mandataire HTTP pour un nombre élevé de clients. Configuration de la Web Console pour les solutions d'entreprise ou pour les systèmes à faible performance Par défaut, la Web Console de ESET PROTECT installée à l'aide du programme d'installation tout-en-un pour Windows réserve une limite de mémoire de 1024 Mo pour Apache Tomcat. Vous pouvez modifier la configuration par défaut de la Web Console en fonction de votre infrastructure : • Dans un environnement d'entreprise, la configuration de la Web Console par défaut peut souffrir d'instabilité lorsque vous travaillez avec un grand nombre d'objets. Modifiez les paramètres Tomcat pour éviter les pénuries de mémoire. Assurez-vous que votre système dispose de suffisamment de mémoire vive (16 Go ou plus) avant d'effectuer ces changements. • Si vous disposez d'un système peu performant avec des ressources matérielles limitées, vous pouvez réduire l'utilisation de la mémoire de Tomcat. Remarque Les valeurs de mémoire fournies ci-dessous sont des recommandations. Vous pouvez ajuster les paramètres de la mémoire de Tomcat en fonction de vos ressources matérielles. Windows 1. Ouvrez tomcat9w.exe ou exécutez l'application Configure Tomcat. 2. Passez à l'onglet Java. 3. Modifier l'utilisation de la mémoire : a.Augmenter (entreprise) : Mettez les valeurs d'Ensemble de mémoire initial à 2 048 Mo et d'Ensemble de mémoire maximal à 16 384 Mo. b.Diminuer (systèmes peu performants) : Mettez les valeurs d'Ensemble de mémoire initial à 256 Mo et d'Ensemble de mémoire maximal à 2 048 Mo. 4. Redémarrez le service Tomcat. LINUX et appareil virtuel ESET PROTECT 1. Ouvrez le Terminal en tant que racine ou utilisez sudo. 2. Ouvrez le fichier : a.Périphérique virtuel ESET PROTECT / CentOS : /etc/sysconfig/tomcat b.Debian: /etc/default/tomcat9 3. Ajoutez la ligne suivante au fichier : a.Augmenter l'utilisation de la mémoire (enterprise) : JAVA_OPTS="-Xms2048m -Xmx16384m" b.Diminuer l'utilisation de la mémoire (systèmes peu performants) : JAVA_OPTS="-Xms256m 23 Xmx2048m" 4. Enregistrez le fichier et redémarrez le service Tomcat. service tomcat restart Déploiement pour 10 000 clients Vous trouverez ci-dessous les résultats de performance pour un environnement virtuel avec 10 000 clients fonctionnant pendant un an. Configuration du serveur de l'hyperviseur Composant Valeur VMware ESXi 6.7 Mise à jour 2 et les versions ultérieures (machine virtuelle version 15) Hyperviseur VMware ESXi, 6.7.0 Processeurs logiques 112 Type de processeur Intel(R) Xeon(R) Platinum 8176 CPU @ 2.10GHz Le test s'est déroulé sur des machines spécialisées La base de données et ESET PROTECT fonctionnent sur des machines virtuelles distinctes avec des configurations matérielles identiques. Logiciels utilisés sur les machines virtuelles ESET PROTECT: • OS: Microsoft Windows Server 2016 Standard (64-bit) Base de données : • Database server: Microsoft SQL Server 2017 (RTM) Standard Edition (64-bit) • OS: Microsoft Windows Server 2016 Standard (64-bit) Description de l'environnement de ESET PROTECT • 10 000 clients connectés • Environ 2 000 groupes dynamiques et 2 000 modèles pour les groupes dynamiques • Environ 255 groupes statiques • 20 utilisateurs • Intervalle de connexion de 15 minutes pour les agents ESET Management • Après un an de fonctionnement de l'environnement, la taille de la base de données est de 15 Go Nombre d'UC RAM (Go) Performance 8 64 Haut 4 32 Normal 2 16 Faible 2 8 Très faible (Non recommandé) Base de données Indiquez le serveur de base de données et le connecteur que vous souhaitez utiliser lors de l'installation du serveur ESET PROTECT. Vous pouvez utiliser une version du serveur de la base de données existante dans votre environnement, mais elle doit satisfaire aux exigences indiquées ci-dessous. 24 Remarque Le ESET PROTECT 8.Le programme d'installation tout-en-un de 0 installe Microsoft SQL Server Express 2019 par défaut. Si vous utilisez une ancienne édition de Windows (Server 2012 ou SBS 2011), Microsoft SQL Server Express 2014 sera installé par défaut. Serveurs de bases de données pris en charge et connecteurs de base de données ESET PROTECT prend en charge deux types de serveurs de base de données : Microsoft SQL Server et MySQL. Avertissement MariaDB n'est pas pris en charge Par ESET PROTECT! MariaDB est une base de données par défaut dans la plupart des environnements Linux actuels et est installée lorsque vous choisissez d'installer MySQL. Serveur de bases de données pris en charge Microsoft SQL Server Versions de bases de données pris en charge Connecteurs de bases de données pris en charge • Éditions Express et non-Express • 2012, 2014, 2016, 2017, 2019 • Serveur SQL • SQL Server Native Client 10.0 • Pilote ODBC pour SQL Server 11, 13, 17 MySQL • 5.6 • 5.7 • 8.0 Versions de pilotes MySQL ODBC : • 5.1, 5.2 • 5.3.0-5.3.10 • 8.0.16, 8.0.17 Avertissement Les versions de pilotes suivantes de MySQL ODBC ne sont pas prises en charge : • 5.3.11 et les versions ultérieures à 5.3.x • 8.0.0-8.0.15 • 8.0.18 et les versions ultérieures Configuration matérielle du serveur de base de données Consultez les instructions sur le dimensionnement et le matériel. Recommandations de performance Pour optimiser les performances, nous vous recommandons d'utiliser la dernière version prise en charge de Microsoft SQL Server comme votre base de données ESET PROTECT. Bien que ESET PROTECT soit compatible avec MySQL, l'utilisation de MySQL peut avoir une incidence négative sur les performances du système lors de l'utilisation de grandes quantités de données, y compris les tableaux de bord, les détections et les clients. Avec Microsoft SQL Server le même matériel est capable de traiter un nombre considérablement plus élevé de clients traités avec MySQL. Vous pouvez décider d'y installer un serveur de base de données SQL : • Le même ordinateur que le serveur ESET PROTECT oLe même serveur mais sur un disque séparé • Un serveur dédié pour l'installation d'un serveur de base de données SQL. Nous vous recommandons d'utiliser une ou des machines dédiées avec des ressources réservées si vous souhaitez gérer plus de 10 000 clients. 25 Base de données Client de PME Client de grande entreprise Limite des clients Windows MS SQL Express ✔ (optionnel) 5.000 ✔ MS SQL Server ✔ ✔ Aucun ✔ MySQL ✔ ✔ 10.000 ✔ Linux ✔ Renseignements supplémentaires • Le ESET PROTECT 8.Le programme d'installation tout-en-un de 0 installe Microsoft SQL Server Express 2019 par défaut. Si vous utilisez une ancienne édition de Windows (Server 2012 ou SBS 2011), Microsoft SQL Server Express 2014 sera installé par défaut. • Microsoft SQL Server Express a une taille limite de 10 Go pour chaque base de données relationnelle. Nous ne recommandons pas l'utilisation de Microsoft SQL Server Express dans les environnements d'entreprise ou dans de grands réseaux. • Nous vous recommandons de ne pas installer SQL Server sur un contrôleur de domaine (par exemple, si vous utilisez Windows SBS/Essentials). Nous vous recommandons d'installer ESET PROTECT sur un autre serveur ou bien de ne pas sélectionner le composant SQL Server Express lors de l'installation (vous devez alors utiliser votre SQL Server ou MySQL existant pour exécuter la base de données de ESET PROTECT). • Si vous avez l'intention d'utiliser un compte d'utilisateur de base de données dédié qui aura accès uniquement à la base de données de ESET PROTECT, vous devez créer un compte d'utilisateur avec des privilèges spécifiques avant l'installation. Pour de plus amples renseignements, consultez la rubrique Compte d'utilisateur de base de données dédié. De plus, vous allez devoir créer une base de données vide qui sera utilisée par ESET PROTECT. • Consultez les instructions sur la façon d'installer et de configurer MySQL pour Windows et MySQL pour Linux pour qu'ils fonctionnent correctement avec ESET PROTECT. • MS SQL Server sur Linux n'est pas pris en charge. Cependant, vous pouvez connecter le serveur ESET PROTECT sous Linux à MS SQL Server sous Windows. • Si vous installez les serveurs ESET PROTECT et MS SQL Server sur des ordinateurs distincts, vous pouvez activer une connexion chiffrée à la base de données. • Le serveur ESET PROTECT n'utilise pas une sauvegarde intégrée. Nous vous recommandons donc fortement de sauvegarder votre serveur de base de données pour éviter les pertes de données. • La configuration en grappe de la base de données dans les environnements Windows est prise en charge uniquement pour MS SQL Server et pas pour MySQL. Versions d'Apache Tomcat et de Java prises en charge Apache Tomcat Apache Tomcat est un composant requis, nécessaire pour faire fonctionner la console Web de ESET PROTECT. ESET PROTECT prend en charge Apache Tomcat 9.x (64 bits). Nous vous recommandons d'utiliser Apache Tomcat 9.0.40 et les versions ultérieures. ESET PROTECT ne prend pas en charge les versions alpha/beta/RC d'Apache Tomcat. Java Apache Tomcat nécessite la version de 64 bits de Java/OpenJDK. Remarque Si plusieurs versions de Java sont installées sur votre système, nous vous recommandons de désinstaller les versions plus anciennes de Java (la version la plus ancienne prise en charge est Java 8) et de ne conserver que la version la plus récente de Java. Avertissement Depuis janvier 2019, les mises à jour publiques de Oracle JAVA SE 8 à des fins professionnelles, commerciales ou de production nécessitent une licence commerciale. Si vous n'avez pas acheté pas un abonnement JAVA SE, vous pouvez utiliser ce guide pour passer à une solution gratuite et installer l'une des éditions de Java prises en charge. 26 Produits de sécurité ESET, langues et navigateurs Web pris en charge Les systèmes d'exploitation suivants sont pris en charge par ESET PROTECT : • Windows, Linux et macOS La console Web de ESET PROTECT peut s'exécuter dans les navigateurs Web suivants : Navigateur Web Mozilla Firefox Microsoft Edge Google Chrome Safari Opera Remarque • Il est recommandé de conserver les navigateurs Web à jour pour avoir une expérience optimale avec la console Web ESET PROTECT à jour. • Si vous utilisez Internet Explorer, ESET PROTECT Web Console vous informera que vous utilisez un navigateur Web non pris en charge. Dernières versions des produits ESET pouvant être gérées dans ESET PROTECT 8.0 Produit Version du produit ESET Endpoint Security pour Windows 7.x, 8.x ESET Endpoint Antivirus pour Windows 7.x, 8.x ESET Endpoint Security pour macOS 6.8+ ESET Endpoint Antivirus pour macOS 6.8+ ESET Endpoint Security pour Android 2.x ESET File Securitypour Windows Server 7.x ESET File Security pour Microsoft Azure 7.x ESET Mail Securitypour Microsoft Exchange Server 7.x ESET Security for Microsoft SharePoint Server 7.x ESET Mail Security pour IBM Domino Server 7.x ESET File Security pour Linux 7.x, 8.x ESET Endpoint Antivirus pour Linux 7.x, 8.x ESET Dynamic Threat Defense ESET Enterprise Inspector 1.x ESET Full Disk Encryption pour Windows ESET Full Disk Encryption pour macOS Anciennes versions des produits ESET pouvant être gérées dans ESET PROTECT 8.0 Produit Version du produit ESET Endpoint Security pour Windows 6.5+ ESET Endpoint Antivirus pour Windows 6.5+ ESET File Securitypour Microsoft Windows Server 6.5 ESET File Security pour Microsoft Azure 6.5 ESET Mail Securitypour Microsoft Exchange Server 6.5 ESET Mail Securitypour IBM Lotus Domino 6.5 ESET Security for Microsoft SharePoint Server 6.5 ESET Mail Security pour Linux/FreeBSD 4,5.x 27 Produit ESET File Security pour Linux/FreeBSD ESET Gateway Security pour Linux/FreeBSD Version du produit 4,5.x 4,5.x Remarque • Les versions de produits de sécurité d'ESET antérieure à celles repertoriés dans le tableau cidessus ne peuvent pas être pris en charge par ESET PROTECT 8. • Pour plus de renseignements sur la compatibilité, consultez la rubrique Politique de fin de vie pour les produits commerciaux ESET. Produits prenant en charge l'activation par une licence d'abonnement Produit ESET Disponible depuis la version 7.0 6.8.x 2.0.158 7.0 7.0 7.0 7.0 7.0 7.0 7.0 7.0 ESET Endpoint Antivirus/Security pour Windows ESET Endpoint Antivirus/Security pour macOS ESET Endpoint Security pour Android ESET Mobile Device Management pour Apple iOS ESET File Securitypour Microsoft Windows Server ESET Mail Security pour Microsoft Exchange ESET File Securitypour Windows Server ESET Mail Security pour IBM Domino Server ESET Security for Microsoft SharePoint Server ESET File Security pour Linux ESET Endpoint Antivirus pour Linux ESET Dynamic Threat Defense ESET Enterprise Inspector (avec ESET Endpoint pour Windows 7.3 et les versions ultérieures) 1.5 Langues prises en charge Langue Code Anglais (États-Unis) en-US Arabe (Égypte) ar-EG Chinois simplifié zh-CN Chinois traditionnel zh-TW Croate (Croatie) hr-HR Tchèque (République tchèque) cs-CZ Français (France) fr-FR Français (Canada) fr-CA Allemand (Allemagne) de-DE Grec (Grèce) el-GR Hongrois (Hongrie)* hu-HU Indonésien (Indonésie)* id-ID Italien (Italie) it-IT Japonais (Japon) ja-JP Coréen (Corée) ko-KR Polonais (Pologne) pl-PL Portuguais (Brésil) pt-BR Russe (Russie) ru-RU Espagnol (Chili) es-CL Espagnol (Espagne) es-ES Slovaque (Slovaquie) sk-SK Turc (Turquie) tr-TR Ukrainien (Ukraine) uk-UA * Seul le produit est disponible dans cette langue, l'aide en ligne ne l'est pas. 28 Réseau Il est important que tant le serveur ESET PROTECT que les ordinateurs clients gérés par ESET PROTECT disposent d'une connexion Internet fonctionnelle pour pouvoir communiquer avec les référentiels et les serveurs d'activation d'ESET. Si vous ne souhaitez pas que les clients se connectent directement à Internet, vous pouvez utiliser un serveur mandataire (pas le même que Apache HTTP Proxy) pour faciliter la communication avec votre réseau et Internet. Les ordinateurs gérés par ESET PROTECT doivent être connectés au même réseau local ou doivent être dans le même domaine Active Directory que votre serveur ESET PROTECT. Le serveur ESET PROTECT doit être visible par les ordinateurs clients. De plus, les ordinateurs clients doivent être en mesure de communiquer avec votre serveur ESET PROTECT pour pouvoir utiliser le déploiement à distance et la fonction de réveil. ESET PROTECT pour Windows/Linux est compatible avec les protocoles Internet IPv4 et IPv6. Le périphérique virtuel de ESET PROTECT est uniquement compatible avec IPv4. Ports utilisés Si votre réseau est équipé d'un pare-feu, consultez notre liste de ports de communication réseau qui sont utilisés lorsque ESET PROTECT et ses composants sont installés sur votre infrastructure. Impact sur le trafic réseau du serveur ESET PROTECT et de l'agent de communication ESET Management Les applications sur les ordinateurs clients ne communiquent pas avec le serveur ESET PROTECT directement; l'agent ESET Management facilite cette communication. Cette solution est plus facile à gérer et moins exigeante pour les données transférées sur réseau. Le trafic réseau dépend de l'intervalle de connexion client et des types de tâches effectuées par les clients. Même si aucune tâche n'est exécutée ou programmée sur un client, l'agent ESET Management communique avec le serveur ESET PROTECT une fois dans chaque intervalle de connexion. Chaque connexion génère du trafic. Consultez le tableau ci-dessous pour des exemples de trafic : Type d'action Trafic pendant un seul intervalle de connexion Tâches client : Analyse sans nettoyage 4 Ko Tâches client : Mise à jour des modules 4 Ko Tâches client : Requête de journal de SysInspector 300 Ko Politique Antivirus - sécurité maximale 26 Ko Intervalle de duplication de l'agent ESET Management Trafic quotidien généré par l'agent ESET Management inactif 1 minute 16 Mo 15 minutes 1 Mo 30 minutes 0,5 Mo 1 heure 144 Ko 1 jour 12 Ko Pour estimer le trafic global généré par les agents ESET Management, utilisez la formule suivante : Nombre de clients * (Trafic quotidien de l'agent inactif + (Trafic pour certaines tâches * occurrence quotidienne de la tâche)) Ports utilisés Le serveur ESET PROTECT peut être installé sur le même ordinateur que la base de données, la console Web ESET PROTECT et le mandataire HTTP Apache. Le diagramme suivant montre l’installation séparée et les ports utilisés : 29 Les tableaux suivants donnent la liste de tous les ports de communication réseau utilisés lorsque ESET PROTECT et ses composants sont installés dans votre infrastructure. D'autres communications se font à l'aide des processus natifs du système d'exploitation (par exemple NetBIOS avec TCP/IP). Ordinateur client (agent ESET Management) ou mandataire HTTP Apache Protocole TCP TCP MQTT Port 2222 80 8883, 443 Descriptions Communication entre les agents ESET Management et le serveur ESET PROTECT Connexion au répertoire ESET Service de notification poussée d’ESET – Appels de réveil entre le serveur ESET PROTECT et l’agent ESET Management, 443 est le port de basculement. TCP 3128 Communication avec le serveur mandataire HTTP Apache TCP 443 Communication avec ESET Dynamic Threat Defense (mandataire uniquement) Agent ESET Management – Ports utilisés pour le déploiement à distance de l’agent vers un ordinateur cible avec le système d’exploitation Windows Protocole Port Descriptions TCP 139 Utilisation du partage ADMIN$ TCP 445 Accès direct aux ressources partagées en utilisant TCP/IP pendant l'installation à distance (une alternative à TCP 139) UDP 137 Résolution de noms lors de l'installation à distance UDP 138 Naviguer lors de l'installation à distance Console Web ESET PROTECT (si elle est différente de la machine serveur ESET PROTECT) 30 Protocole TCP TCP TCP Port 2223 Descriptions Communication entre la console Web ESET PROTECT et le serveur ESET PROTECT, utilisée pour l'installation assistée. 443/80 Tomcat diffuse la console Web. 443 Flux RSS pour les nouvelles de l’assistance technique : • https://era.welivesecurity.com:443 • https://support.eset.com:443/rss/news.xml Machine serveur ESET PROTECT Protocole TCP TCP MQTT Port 2222 80 8883 TCP TCP TCP 2223 3128 1433 (MS SQL) 3306 (MySQL) 389 Synchronisation LDAP. Ouvrez également ce port sur votre contrôleur AD. 88 Tickets Kerberos (ne s'applique qu'aux périphériques virtuels ESET PROTECT) TCP UDP Descriptions Communication entre l’agent ESET Management et le serveur ESET PROTECT Connexion au répertoire ESET Service de notification poussée d’ESET – Appels de réveil entre le serveur ESET PROTECT et l’agent ESET Management Résolution DNS et basculement MQTT Communication avec le serveur mandataire HTTP Apache Connexion à une base de données externe (seulement si la base de données est sur une autre machine). Machine MDC ESET PROTECT Protocole TCP TCP TCP TCP Port 9977 9978 9980 9981 2195 TCP 2196 HTTPS 2197 TCP 2222 TCP 1433 (MS SQL) 3306 (MySQL) Appareil géré par MDM 31 Descriptions Communication interne entre le connecteur d'appareil mobile et l'agent ESET Management Inscription de l'appareil mobile Communication avec un appareil mobile Envoi de notifications à Apple Push Notification Service. (gateway.push.apple.com) jusqu'à ESMC version 7.2.11.1 Service de rétroactions d’Apple (feedback.push.apple.com) jusqu'à ESMC version 7.2.11.1 • Notification et retour d'information sur Apple push (api.push.apple.com) ESMCversion 7.2.11.3 et les versions ultérieures Communication (réplication) entre l’agent ESET Management, le serveur MDC et le serveur ESET PROTECT Connexion à une base de données externe (seulement si la base de données est sur une autre machine) Protocole TCP TCP TCP TCP TCP TCP Port 9980 9981 5223 443 5228 5229 5230 80 Descriptions Inscription de l'appareil mobile Communication avec un appareil mobile Communication externe avec Apple Push Notification Service (iOS) • Repli sur Wi-Fi uniquement, lorsque les appareils ne peuvent atteindre les APN sur le port 5223 (iOS). • Connexion d'un appareil Android au serveur GCM. • Connexion au portail de licences ESET. • ESET LiveGrid® (Android) (entrant : https://i1.c.eset.com; sortant : https://i3.c.eset.com) • Données statistiques anonymes vers ESET Research Lab (Android) (https://ts.eset.com) • Catégorisation des applications installée sur l’appareil. Utilisée pour Application Control lorsque le blocage de certaines catégories d’applications a été défini. (Android) (https://play.eset.com) • Pour envoyer une demande d’assistance au moyen de la fonction Demande support technique (Android) (https://suppreq.eset.eu) Envoi de notifications à Google Cloud Messaging (Android)* Envoi de notifications à Firebase Cloud Messaging (Android)* • Mise à jour du module (Android) (http://update.eset.com) • Utilisé uniquement dans la version Web. Renseignements à propos de la dernière mise à jour de la version de l’application et du téléchargement d’une nouvelle version. (Android) (http://go.eset.eu) * Le service GCM (Google Cloud Messaging) est obsolète et a été retiré depuis le 11 avril 2019. Il a été remplacé par FCM (Firebase Cloud Messaging). Le serveur MDM (version 7) a remplacé le service GCM par le service FCM à partir de cette date; désormais, vous n'avez plus qu’à autoriser la communication pour le service FCM. Les ports prédéfinis 2222 et 2223 peuvent être changés, au besoin. Remarque • Pour le bon fonctionnement de ESET PROTECT, aucun des ports ci-dessus ne peut être utilisé par d'autres applications. • Assurez-vous que la configuration des coupes-feu dans votre réseau permet la communication en utilisant les ports dans la liste précédente. Procédure d'installation IMPORTANT Pour les instructions sur la mise à niveau de votre installation ESET PROTECT actuelle, consultez les procédures de mise à niveau. Le guide d'installation traite de différentes méthodes d'installation de ESET PROTECT et est généralement destiné aux clients d'entreprise. Veuillez vous reporter au guide pour les petites et moyennes entreprises si vous voulez installer ESET PROTECT sur une plateforme Windows pour gérer jusqu'à 250 produits de points d'extrémité ESET sous Windows. Les programmes d'installation de ESET PROTECT sont disponibles dans la section Télécharger ESET PROTECT du site Web d'ESET. Différents formats sont offerts afin de prendre en charge différentes méthodes d'installation. Par défaut, l'onglet Programme d'installation tout-en-un est sélectionné. Cliquez sur l'onglet approprié pour télécharger un AV ou un programme d'installation autonome. Les téléchargements suivants sont disponibles : • Le programme d'installation tout-en-un de ESET PROTECT pour Windows offert au format ZIP. • Une image ISO contenant tous les programmes d'installation de ESET PROTECT (sauf les appareils virtuels ESET PROTECT) 32 • Les Appareils virtuels (fichiers OVA). Le déploiement de l'appareil virtuel ESET PROTECT est recommandé pour les utilisateurs qui veulent exécuter ESET PROTECT dans un environnement virtualisé ou qui préfèrent une installation simplifiée. Consultez notre guide complet de déploiement de l'appareil virtuel ESET PROTECT pour obtenir des instructions pas à pas. • Programmes d'installation pour chaque composant - pour les plate-formes Windows et Linux. Méthodes d'installation supplémentaires : • Installation sur Microsoft Azure • Instructions d'installation pas à pas pour Linux IMPORTANT Ne changez pas le nom d'ordinateur de votre machine de serveur ESET PROTECT après l'installation. Consultez la rubrique Modification de l'adresse IP ou du nom d'hôte sur le serveur ESET PROTECT pour plus de renseignements. Aperçu des méthodes d'installation Remarque Consultez également Matériel et dimensionnement des infrastructures. Si vous souhaitez décider quel type d'installation pour ESET PROTECT est adapté à votre environnement, consultez le tableau de décision suivant qui vous aidera à faire le meilleur choix : Par exemple : N'utilisez pas une connexion Internet lente pour ESET PROTECT dans le nuage. Par exemple : Choisissez un programme d'installation tout-en-un si vous êtes un client PME. Type de client Méthode d'installation PME Enterprise Tout-en-un sur Windows Server Tout-en-un sur Ordinateur de bureau Windows Appareil virtuel Machine virtuelle Microsoft Azure Composant Linux Composant Windows ✔ ✔ Migration Oui Installation de l'environnement pour ESET PROTECT Non Pas de serveur ✔ ✔ ✔ ✔ ✔ ✔ Serveur dédié Serveur partagé ✔ ✔ Connexion Internet Serveur Plateforme de dans le virtualisation nuage ✔ ✔ ✔ ✔ Aucun Bien Mauvais ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ ✔ Installation tout-en-un sur Windows ESET PROTECT peut être installé de différentes façons; choisissez le type d'installation qui convient le mieux à vos besoins et à votre environnement. La méthode la plus simple est d'utiliser le programme d'installation tout-en-un de ESET PROTECT. Cette méthode vous permet d'installer ESET PROTECT et ses composants sur une seule machine. L'installation des composants permet d'installer différentes composantes de ESET PROTECT sur différentes machines. Cela vous donne plus de liberté pour personnaliser votre installation; vous pouvez installer chaque composant sur n'importe quelle machine que vous voulez, à condition que celle-ci réponde aux exigences du système. Vous pouvez installer ESET PROTECT en utilisant : 33 • Le programme d'installation tout-en-un du serveur ESET PROTECT, du mandataire HTTP Apache ou du Connecteur d'appareil mobile • Programmes d'installation autonomes pour les composants ESET PROTECT (installation de composant) Les scénarios d'installation personnalisés comprennent : • Installation avec les certificats personnalisés • Installation sur une grappe de basculement Dans beaucoup de scénarios d'installation, vous devez installer différents composants de ESET PROTECT sur des machines différentes pour pouvoir fonctionner avec différentes architectures de réseau, pour répondre aux exigences de performance ou pour d'autres raisons. Les ensembles d'installation suivants peuvent être utilisés pour les composants individuels de ESET PROTECT. Principaux composants • Serveur ESET PROTECT • Console Web ESET PROTECT • L'agent ESET Management (doit être installé sur les ordinateurs clients, installation facultative sur le serveur ESET PROTECT) Composants optionnels • Capteur RD • Connecteur d'appareil mobile • Serveur mandataire HTTP Apache • Outil de miroir Pour des instructions sur la mise à niveau de ERA vers sa version la plus récente ESET PROTECT 8.0, lisez notre article de la Base de connaissances. Installez le serveur ESET PROTECT Le programme d'installation tout-en-un de ESET PROTECT est disponible pour les systèmes d'exploitation Windows uniquement. Le programme d'installation tout-en-un vous permet d'installer tous les composants de ESET PROTECT à l'aide de l'assistant d'installation de ESET PROTECT. 1. Ouvrez le paquet d'installation. Sur l'écran d'accueil, utilisez le menu déroulant Langue pour régler les paramètres de langue. Cliquez sur Suivant pour continuer. 34 2. Sélectionnez Installer et cliquez sur Suivant. 35 3. Décochez la case à cocher Participer au programme d'amélioration du produit si vous ne souhaitez pas envoyer des rapports d'erreur et des données de télémétrie à ESET. Si la case est cochée, les données de télémétrie et les rapports d'erreur seront envoyés à ESET. Après avoir accepté le CLUF, cliquez sur Suivant. 4. Sélectionnez les composants à installer et cliquez sur Suivant. Microsoft SQL Server Express • Le ESET PROTECT 8.Le programme d'installation tout-en-un de 0 installe Microsoft SQL Server Express 2019 par défaut. Si vous utilisez une ancienne édition de Windows (Server 2012 ou SBS 2011), Microsoft SQL Server Express 2014 sera installé par défaut. • Si vous avez déjà une autre version prise en charge de Microsoft SQL Server ou de MySQL installée, ou si vous avez l'intention de vous connecter à différents SQL Server, veuillez désélectionner la case en regard de Microsoft SQL Server Express. • Nous vous recommandons de ne pas installer SQL Server sur un contrôleur de domaine (par exemple, si vous utilisez Windows SBS/Essentials). Nous vous recommandons d'installer ESET PROTECT sur un autre serveur ou bien de ne pas sélectionner le composant SQL Server Express lors de l'installation (vous devez alors utiliser votre SQL Server ou MySQL existant pour exécuter la base de données de ESET PROTECT). Ajouter un certificat HTTPS personnalisé pour la console Web • Sélectionnez cette option si vous souhaitez utiliser un certificat HTTPS personnalisé pour la console Web de ESET PROTECT. • Si vous ne sélectionnez pas cette option, un nouveau magasin de stockage de clés est automatiquement généré pour Tomcat. Serveur mandataire HTTP Apache 36 IMPORTANT L'option Mandataire HTTP Apache est destinée uniquement aux réseaux plus petits ou centralisés, sans clients en itinérance. Si cette option est sélectionnée, les clients seront configurés par défaut pour la communication par tunnel avec ESET par l'intermédiaire d'un mandataire installé sur la même machine que le serveur ESET PROTECT. Cette connexion ne fonctionnera pas s'il n'y a pas de visibilité directe de réseau entre les clients et le serveur ESET PROTECT. • L'utilisation du mandataire HTTP permet d'économiser beaucoup de bande passante sur les données téléchargées à partir d'Internet et d'améliorer la vitesse de téléchargement des mises à jour de produits. Nous vous recommandons de cocher la case située à côté de Mandataire HTTP Apache si vous allez gérer plus de 37 ordinateurs à partir de ESET PROTECT. Vous pouvez aussi choisir d'installer le mandataire HTTP Apache plus tard. • Pour de plus amples renseignements, voir Qu'est ce que le mandataire HTTP Apache? et Différences entre le mandataire HTTP Apache, l'outil Miroir et une connectivité directe. • Sélectionnez le Mandataire HTTP Apache pour installer le mandataire HTTP Apache; créez et appliquez des politiques (nommées Utilisation du mandataire HTTP et appliquez-les au groupe Tous) pour les produits suivants : oESET Endpoint pour Windows. oESET Endpoint pour macOS (OS X) et Linux oESET Management Agent oESET File Security pour Windows Server (V6+) oCache local partagé ESET La politique active le mandataire HTTP pour les produits concernés. L'hôte mandataire HTTP est défini sur l'adresse IP locale du serveur ESET PROTECT et le port 3128. L'authentification est désactivée. Vous pouvez copier ces paramètres sur d'autres politiques si vous devez configurer d'autres produits. 37 5. Si vous avez sélectionné Ajouter un certificat HTTPS personnalisé pour console Web, cliquez sur Parcourir et sélectionnez un certificat valide(fichier .pfx ou .p12), puis saisissez sa phrase secrète (ou laissez le champ vide s'il n'y a pas de phrase secrète). Le certificat sera installé sur votre serveur Tomcat et utilisé pour l'accès à la console Web. Cliquez sur Suivant pour continuer. 6. Si des erreurs sont constatées lors de la vérification des exigences, apportez les correctifs nécessaires. Assurez-vous que votre système respecte toutes les exigences. .NET V4 n’est pas installé 38 Installer .NET Framework Java introuvable/Java (64 bits) détecté 39 Remarque Si plusieurs versions de Java sont installées sur votre système, nous vous recommandons de désinstaller les versions plus anciennes de Java (la version la plus ancienne prise en charge est Java 8) et de ne conserver que la version la plus récente de Java. Avertissement Depuis janvier 2019, les mises à jour publiques de Oracle JAVA SE 8 à des fins professionnelles, commerciales ou de production nécessitent une licence commerciale. Si vous n'avez pas acheté pas un abonnement JAVA SE, vous pouvez utiliser ce guide pour passer à une solution gratuite et installer l'une des éditions de Java prises en charge. a)Pour sélectionner le module Java déjà installé, cliquez sur Sélectionner une installation de Java, sélectionnez le dossier dans lequel Java est installé (avec un sous dossier bin, par exemple C:\Program Files\Amazon Corretto\jdk1.8.0_212) et cliquez sur OK. Le programme d’installation vous demande si vous avez sélectionné un chemin non valide. b)Cliquez sur Installer pour continuer ou sur Modifier pour modifier le chemin d'installation de Java. Il n'y a que 32 Mo de libre sur le disque système • Cette notification pourrait être affichée si l'espace disque disponible est insuffisant sur votre système pour permettre l'installation de ESET PROTECT. • Vous devez avoir au moins 4 400 Mo d'espace disque libre pour installer ESET PROTECT et tous ses composants. ESET Remote Administrator version 5.x ou ultérieure est installée sur la machine. La mise à niveau directe n'est pas prise en charge; Voir Migration à partir de ERA 5.x. 7. Lorsque la vérification de la configuration requise est terminée et que votre environnement répond à toutes les exigences, l'installation démarre. Sachez que l'installation peut prendre plus d'une heure en fonction de 40 votre système et de la configuration du réseau. Remarque Lorsque l'installation est en cours, l'assistant d'installation de ESET PROTECT ne répond pas. 8. Si vous choisissez d'installer Microsoft SQL Server Express à l'étape 4, une vérification de connexion de base de données sera effectuée; vous devez passer à Utilisateur de la console Web et connexion au serveur. Si vous avez un serveur de base de données existant, vous devrez ensuite entrer les détails de connexion à la base de données lors de la prochaine étape. 9. Si vous utilisez un SQL Server ou MySQL existant, configurez vos paramètres de connexion en conséquence. Entrez le nom de votre base de données, le nom de l'hôte, le numéro de port (cette information se trouve dans le gestionnaire de configuration de Microsoft SQL Server) et les détails du compte de la base de données (nom d'utilisateur et mot de passe) dans les champs appropriés, puis cliquez sur Suivant. La connexion à la base de données sera vérifiée. Si vous avez une base données ESET PROTECT existante (provenant d'une installation ERA/ESMC précédente) sur votre serveur de base de données, cette information sera détectée. Vous pouvez choisir d'Utiliser une base de données existante et appliquer la mise à niveau ou de Supprimer la base de données existante et installer la nouvelle version. Utiliser une instance nommée - Si vous utilisez une base de données MS SQL, vous pouvez également cocher la case Utiliser une instance nommée. Cela vous permettra d'utiliser une instance de base de données personnalisée, vous pouvez le définir dans le nom d'hôte indiqué sous la forme HOSTNAME\DB_INSTANCE par exemple : 192.168.0.10\ESMC7SQL . Pour les bases de données en grappe, utilisez uniquement le nom de groupe. Si cette option est sélectionnée, vous ne pouvez pas changer le port qui sera utilisé, le système utilisera les ports par défaut déterminés par Microsoft. 41 Remarque Lorsque vous cochez la case Utiliser une instance nommée, vous pouvez également connecter le serveur ESET PROTECT à la base de données MS SQL installée dans une grappe de basculement. Dans le champ Hôte, entrez le nom de la grappe. Remarque Il existe deux options pour entrer les renseignements du compte de la base de données. Vous pouvez utiliser un compte utilisateur de base de données dédié qui aura accès uniquement à la base de données ESET PROTECT, ou encore un compte SA (MS SQL) ou un compte racine (MySQL). Si vous décidez d'utiliser un compte d'utilisateur dédié, vous devez créer ce compte avec des privilèges spécifiques. Pour de plus amples renseignements, consultez la rubrique Compte d'utilisateur de base de données dédié. Si vous ne comptez pas utiliser un compte d'utilisateur dédié, entrez le compte administrateur (SA ou racine). Si vous avez entré un Compte SA ou un Compte racine dans la fenêtre précédente, cliquez sur Oui pour continuer à utiliser le compte SA ou Racine comme utilisateur de base de données pour ESET PROTECT. 42 Si vous cliquez sur Non, vous devez sélectionner Créer un nouvel utilisateur (si vous n'en avez pas encore créé) ou Utiliser l'utilisateur existant (si vous avez un compte utilisateur de base de données dédié comme mentionné ici). 10. Vous serez alors invité à entrer un mot de passe pour le compte administrateur de la console Web. Ce mot de passe est important, car vous allez l'utiliser pour vous connecter à la console Web ESET PROTECT. Cliquez sur Suivant. 43 11. Laissez les champs intacts ou entrer vos informations d'entreprise qui apparaîtront dans les détails de certificats de l'agent ESET Management et du serveur ESET PROTECT. Si vous choisissez d'entrer un mot de passe dans le champ Mot de passe de l'autorité, assurez-vous de le retenir. Cliquez sur Suivant. 12. Entrez une clé de licence valide (incluse dans le courriel de nouvel achat que vous avez reçu d'ESET) et cliquez sur Suivant. Si vous utilisez un authentifiant de licence héritée (un nom d'utilisateur et un mot de passe), convertissez-les en une clé de licence. Vous pouvez aussi sélectionner Activer plus tard. Si vous sélectionnez l'option Activer plus tard, consultez le chapitre Activation pour des instructions plus détaillées. 44 13. L'avancement de l'installation sera affichée. 14. Si vous avez choisi d'installerRogue Detection Sensor, vous verrez les fenêtres d'installation du pilote 45 WinPcap. Assurez-vous de cocher la case Démarrer automatiquement le pilote WinPcap au démarrage. 15. Une fois que l'installation est terminée, le message « L'installation des composants de ESET PROTECT a réussie » s'affiche en plus de l'adresse URL de votre console Web ESET PROTECT. Cliquez sur l'URL pour ouvrir la Console Web ou cliquez sur Terminer. Si l'installation n'a pas réussi : • Examinez les fichiers journaux d'installation dans le paquet d'installation tout-en-un. Le répertoire des journaux est le même que le répertoire du module d'installation tout-en-un, par exemple : C:\Users\Administrator\Downloads\x64\logs\ • Voir Dépannage pour des étapes supplémentaires permettant de résoudre votre problème. Installer le Connecteur d’appareil mobile de ESET PROTECT (Autonome) Pour installer le connecteur d'appareil mobile en tant qu'outil autonome sur un autre ordinateur que le serveur ESET PROTECT, procédez comme indiqué ci-après. Avertissement Le connecteur d'appareils mobiles doit être accessible à partir d'Internet, de sorte que les appareils mobiles puissent être gérés à tout moment, indépendamment de leur emplacement. Remarque Veuillez noter que l'appareil mobile communique avec le connecteur d'appareil mobile, ce qui a inévitablement une influence sur l'utilisation de vos données mobiles. Cela s'applique plus particulièrement aux situations d'itinérance. 46 Voici les étapes à suivre pour installer le connecteur d'appareil mobile sur Windows : 1. Veuillez d'abord lire les exigences et assurez-vous qu'elles sont satisfaites. 2. Double-cliquez sur le programme d'installation et exécutez-le, sélectionnez Installer et cliquez sur Suivant. 3. Décochez la case à cocher Participer au programme d'amélioration du produit si vous ne souhaitez pas envoyer des rapports d'erreur et des données de télémétrie à ESET. Si la case est cochée, les données de télémétrie et les rapports d'erreur seront envoyés à ESET. 4. Après avoir accepté le CLUF, cliquez sur Suivant. 5. Cochez uniquement la case à côté de Mobile Device Connector (autonome). Le connecteur d'appareil mobile de ESET PROTECT a besoin d'une base de données pour fonctionner. Sélectionnez Microsoft SQL Server Express si vous voulez installer la base de données, ou laissez la case à cocher vide. Si vous souhaitez vous connecter à une base de données existante, vous pouvez le faire lors de l'installation. Cliquez sur Installer pour procéder à l'installation. 47 6. Si vous avez installé la base de données dans le cadre de cette installation à l'étape 5, la base de données sera maintenant installée automatiquement et vous pouvez passer à l'étape 8. Si vous choisissez de ne pas installer de base de données à l'étape 5, vous serez invité à connecter le composant MDM à votre base de données existante. Remarque Vous pouvez utiliser le même serveur de base de données que vous utilisez pour la base de données de ESET PROTECT, mais nous vous recommandons d'utiliser un serveur de base de données différent si vous prévoyez d'inscrire plus de 80 appareils mobiles. 7. Le programme d'installation doit se connecter à une base de données existante qui sera utilisée par le Connecteur d'appareils mobiles. Spécifiez les détails de connexion suivants : • Base de données : MySQL Server/MS SQL Server/MS SQL Server par le biais de l'authentification Windows • Pilote ODBC : MySQL ODBC 5.1 Driver/MySQL ODBC 5.2 Unicode Driver/MySQL ODBC 5.3 Unicode Driver/MySQL ODBC 8.0 Unicode Driver/SQL Server/SQL Server Native Client 10.0/ODBC Driver 11 pour SQL Server/ODBC Driver 13 pour SQL Server/ODBC Driver 17 pour SQL Server • Le nom de la base de données : Nous vous recommandons d'utiliser le nom prédéfini ou de le modifier si nécessaire. • Nom d'hôte : Le nom d'hôte ou l'adresse IP du serveur de la base de données • Port : utilisé pour la connexion au serveur ERA • Nom d'utilisateur/Mot de passe de la base de données du compte administrateur • Utiliser une instance nommée - Si vous utilisez une base de données MS SQL, vous pouvez également cocher la case Utiliser une instance nommée. Cela vous permettra d'utiliser une instance de base de données personnalisée, vous pouvez le définir dans le nom d'hôte indiqué sous la forme HOSTNAME\DB_INSTANCE par exemple : 192.168.0.10\ESMC7SQL . Pour les bases de données en grappe, 48 utilisez uniquement le nom de groupe. Si cette option est sélectionnée, vous ne pouvez pas changer le port qui sera utilisé, le système utilisera les ports par défaut déterminés par Microsoft. Remarque Lorsque vous cochez la case Utiliser une instance nommée, vous pouvez également connecter le serveur ESET PROTECT à la base de données MS SQL installée dans une grappe de basculement. Dans le champ Hôte, entrez le nom de la grappe. 8. Si la connexion a réussi, vous serez invité à vérifier que vous souhaitez utiliser l'utilisateur fourni comme utilisateur de base de données pour ESET PROTECT MDM. 9. Une fois la nouvelle base de données installée avec succès ou le programme d'installation correctement connecté à la base de données existante, vous pouvez poursuivre l'installation de MDM. Indiquez votre Nom d'hôte MDM : ceci est le domaine public ou l'adresse IP publique de votre serveur MDM car il est accessible par des appareils mobiles à partir d'Internet. Vous devez saisir le nom d'hôte MDM exactement comme il apparait dans votre certificat de serveur HTTPS, sinon les appareils mobile sous iOS refuseront d'installer le profil MDM. Par exemple, s'il y a une adresse IP spécifiée dans le certificat HTTPS, entrez cette adresse IP dans le champ Nom d'hôte MDM. Si le FQDN est indiqué (par exemple, mdm.mycompany.com) dans le certificat HTTPS, entrez ce FQDN dans le champs Nom d'hôte MDM. De plus, si un caractère générique * est utilisé (par exemple, *.mycompany.com) dans le certificat HTTPS, vous pouvez utiliser mdm.mycompany.com dans le champs Nom d'hôte MDM. Avertissement Faites très attention à ce que vous inscrivez dans le champ Nom d'hôte MDM à cette étape de l'installation. Si les informations sont incorrectes ou si elles ne sont pas au bon format, le connecteur MDM ne fonctionnera pas correctement et la seule façon de le réparer sera la réinstallation du composant. 49 10. À l'étape suivante, vérifiez la connexion à la base de données en cliquant sur Suivant. 11. Connectez le connecteur MDM au serveur ESET PROTECT. Indiquez l'hôte du serveur et le port du serveur requis pour la connexion au serveur ESET PROTECTet sélectionnez Installation assistée par serveur ou Installation hors ligne pour continuer : oInstallation assistée par serveur - vous devrez fournir un authentifiant d'administrateur pour la console Web de ESET PROTECT et le programme d'installation téléchargera automatiquement les certificats nécessaires. Vérifiez également les autorisations requises pour l'installation assistée par serveur. 1. Entrez l'hôte du serveur - Le nom ou l'adresse IP de votre serveur ESET PROTECT et le port de la console Web (laissez le port par défaut 2223 si vous n'utilisez pas un port personnalisé). Fournissez également l'authentifiant du compte administrateur de la console Web - Nom d'utilisateur/Mot de passe. 2. Lorsque vous êtes invité à accepter le certificat, cliquez sur Oui. Continuez à l'étape 11. oInstallation hors ligne - vous devez fournir un certificat de mandataire et une autorité de certification qui peuvent être exportés à partir de ESET PROTECT. Vous pouvez aussi utiliser votre certificat personnalisé et une autorité de certification appropriée. 1. Cliquez sur Parcourir à côté du certificat homologue et allez à l'emplacement de votre certificat homologue (il s'agit du certificat de mandataire que vous avez exporté à partir de ESET PROTECT). Laissez la zone de texte Mot de passe du certificat vide, puisque ce certificat n'exige pas de mot de passe. 2. Répétez la procédure pour l'autorité de certification et passez à l'étape 11. Remarque Si vous utilisez des certificats personnalisés avec ESET PROTECT (à la place des certificats par défaut qui ont été générés automatiquement lors de l'installation de ESET PROTECT) ces certificats doivent être utilisés lorsque vous êtes invité à fournir un certificat de mandataire. 12. Précisez le dossier cible pour le connecteur d'appareil mobile (nous vous recommandons d'utiliser celui par défaut), cliquez sur Suivant > Installer. 50 Une fois l'installation de MDM terminée, vous serez invité à installer l'agent. Cliquez sur Suivant pour lancer l'installation et accepter le CLUF si vous êtes d'accord avec ses termes, puis procédez comme suit : 1. Entrez l'hôte du serveur (nom de l'hôte ou adresse IP de votre serveur ESET PROTECT) et le port du serveur (par défaut, le port est 2222. Si vous utilisez un port différent, remplacez alors le port par défaut par votre numéro de port personnalisé). IMPORTANT Assurez-vous que l'hôte du serveur corresponde à au moins une des valeurs (préférablement FQDN) définie dans le champ Hôte du certificat de serveur. Sinon, vous recevrez le message d'erreur « Le certificat de serveur reçu n'est pas valide ». La seule exception c'est lorsqu'il y a un caractère générique (*) dans le champ Hôte du certificat de serveur, ce qui signifie qu'il s'appliquera à tout Hôte de serveur. 2. Si vous utilisez un mandataire, cochez la case Utiliser un mandataire. Lorsque cette option est sélectionnée, le programme d'installation poursuit l'installation hors ligne. Remarque Ce paramètre de mandataire est utilisé uniquement pour la réplication entre l'agent ESET Management et le serveur ESET PROTECT, et non pour la mise en cache des mises à jour. • Nom d'hôte du mandataire : Nom d'hôte ou adresse IP du mandataire HTTP. • Port du Serveur : la valeur par défaut est 3128. • Nom d'utilisateur, Mot de passe : entrez les informations d'identification utilisées par votre mandataire s'il utilise l'authentification. Vous pouvez modifier les paramètres de mandataire plus tard dans votre politique. Le mandataire doit être installé pour pouvoir configurer une connexion Agent - Serveur par un mandataire. 3. Sélectionnez une des options d'installation suivantes et suivez les étapes à partir de la section appropriée : Installation assistée par le serveur - vous devrez fournir un authentifiant d'administrateur pour la console Web ESET PROTECT (le programme d'installation téléchargera automatiquement les certificats nécessaires). Installation hors ligne - Vous devrez fournir un certificat d'agent et une autorité de certification , qui peuvent être tous les deux exportés à partir de ESET PROTECT. Par ailleurs, vous pouvez utiliser votre certificat personnalisé. • Pour continuer l'installation de l'agent assisté par le serveur, procédez comme suit : 1. Entrez le nom de l'hôte ou l'adresse IP de votre console Web ESET PROTECT (le même que pour le serveur ESET PROTECT) dans le champ Hôte de serveur. Laissez le Port de la console Web à son port de défaut 2223 si vous n'utilisez pas de port personnalisé. Vous pouvez également entrer l'authentifiant du compte de la console Web dans les champs Nom d'utilisateur et Mot de passe. IMPORTANT Assurez-vous que l'hôte du serveur corresponde à au moins une des valeurs (idéalement FQDN) définie dans le champ Hôte du certificat de serveur. Sinon, vous recevrez le message d'erreur « Le certificat de serveur reçu n'est pas valide ». La seule exception c'est lorsqu'il y a un caractère générique (*) dans le champ Hôte du certificat de serveur, ce qui signifie qu'il s'appliquera à tout Hôte de serveur. 2. Cliquez sur Oui pour accepter le certificat. 3. Sélectionnez Ne pas créer d'ordinateur ou Sélectionner un groupe statique personnalisé. Si vous cliquez sur Sélectionner un groupe statique personnalisé, vous serez en mesure de le sélectionner à partir d'une liste présentant les groupes statiques existants dans ESET PROTECT. L'ordinateur sera ajouté au groupe que vous avez sélectionné. 4. Spécifiez un dossier cible pour l'agent ESET Management (nous vous recommandons de choisir 51 l'emplacement par défaut), cliquez sur Suivant puis cliquez sur Installer. • Pour continuer l'installation de l'agent hors connexion, procédez comme suit : 1. Si vous avez sélectionné Utiliser le mandataire à l'étape précédente, fournissez le nom d'hôte du mandataire, le port du mandataire (le port par défaut est 3128), le nom d'utilisateur et le mot de passe, puis cliquez sur Suivant. 2. Cliquez sur Parcourir et allez à l'emplacement de votre certificat homologue (il s'agit du certificat de l'agent que vous exportez à partir de ESET PROTECT). Laissez la zone de texte Mot de passe du certificat vide, puisque ce certificat n'exige pas de mot de passe. Vous n'avez pas à parcourir pour trouver une Autorité de certification - laissez ce champ vide. Remarque Si vous utilisez un certificat personnalisé avec ESET PROTECT (plutôt que le certificat par défaut qui était généré automatiquement pendant l'installation de ESET PROTECT), utilisez vos certificats personnalisés. Avertissement La phrase secrète du certificat ne doit pas contenir les caractères suivants : " \ Ces caractères provoquent une erreur critique lors de l'initialisation de l'agent. 3. Cliquez sur Suivant pour installer le dossier par défaut ou cliquez sur Modifier pour en choisir un autre. (Nous vous recommandons d'utiliser l'emplacement par défaut). Une fois l'installation terminée, vérifiez que le Connecteur d'appareil mobile s'exécute correctement en ouvrant le lien https://your-mdm-hostname:enrollment-port (for example https://mdm.company.com:9980) dans votre navigateur Web ou sur votre appareil mobile. Si l'installation a réussie, vous verrez le message suivant s'afficher : Vous pouvez maintenant activer MDM à partir de ESET PROTECT. Installation sur Microsoft Azure Pour les utilisateurs qui préfèrent utiliser une solution gérée, plutôt que de maintenir ESET PROTECT sur site, ESET propose ESET PROTECT sur une plate-forme en nuage Microsoft Azure. Consultez le contenu de notre base de connaissance pour plus de renseignements : • Mise en route avec ESET PROTECT - Azure • Machine virtuelle ESET PROTECT pour Microsoft Azure - FAQ • Vous pouvez installer ESET PROTECT 8.0 dans Azure en suivant les étapes décrites dans cet article de la base de connaissances et en utilisant ESET PROTECT 8.Programme d'installation tout-en-un 0. Vous pouvez également installer la version ERA 6.x dans Azure, puis la mettre à niveau vers la version ESET PROTECT. 52 Installation d'un composant sur Windows Dans beaucoup de scénarios d'installation, vous devez installer différents composants de ESET PROTECT sur des machines différentes pour pouvoir fonctionner avec différentes architectures de réseau, pour répondre aux exigences de performance ou pour d'autres raisons. Les ensembles d'installation suivants peuvent être utilisés pour les composants individuels de ESET PROTECT. Principaux composants • Serveur ESET PROTECT • Console Web ESET PROTECT • L'agent ESET Management (doit être installé sur les ordinateurs clients, installation facultative sur le serveur ESET PROTECT) Composants optionnels • Capteur RD • Connecteur d'appareil mobile • Serveur mandataire HTTP Apache • Outil de miroir Pour des instructions sur la mise à niveau de ERA vers sa version la plus récente ESET PROTECT 8.0, lisez notre article de la Base de connaissances. Pour exécuter l'installation dans votre langue régionale, vous devez démarrer le programme d'installation MSI d'un composant ESET PROTECT spécifique en utilisant la ligne de commande. Voici un exemple qui montre comment exécuter l'installation en langue slovaque : Pour sélectionner la langue dans laquelle vous voulez exécuter le programme d'installation, spécifiez le paramètre TRANSFORMS correspondant en vous référant à ce tableau : Langue Code Anglais (États-Unis) en-US Arabe (Égypte) ar-EG Chinois simplifié zh-CN Chinois traditionnel zh-TW Croate (Croatie) hr-HR Tchèque (République tchèque) cs-CZ Français (France) fr-FR Français (Canada) fr-CA Allemand (Allemagne) de-DE Grec (Grèce) el-GR 53 Hongrois (Hongrie)* Indonésien (Indonésie)* Italien (Italie) Japonais (Japon) Coréen (Corée) Polonais (Pologne) Portuguais (Brésil) Russe (Russie) Espagnol (Chili) Espagnol (Espagne) Slovaque (Slovaquie) Turc (Turquie) Ukrainien (Ukraine) hu-HU id-ID it-IT ja-JP ko-KR pl-PL pt-BR ru-RU es-CL es-ES sk-SK tr-TR uk-UA * Seul le produit est disponible dans cette langue, l'aide en ligne ne l'est pas. installation du serveur Pour installer le composant du serveur ESET PROTECT sur Windows : 1. Visitez la section Téléchargement de ESET PROTECT pour télécharger le programme d'installation autonome pour les composants de ESET PROTECT (server_x64.msi). 2. Assurez-vous que toutes les exigences sont respectées. 3. Exécutez le programme d'installation du serveur ESET PROTECT et acceptez le CLUF si vous êtes d'accord avec son contenu. 4. Décochez la case à cocher Participer au programme d'amélioration du produit si vous ne souhaitez pas envoyer des rapports d'erreur et des données de télémétrie à ESET. Si la case est cochée, les données de télémétrie et les rapports d'erreur seront envoyés à ESET. 5. Laissez la case à côté d'Installation en grappe vide et cliquez sur Suivant. S'agit-il d'une installation en grappe? IMPORTANT Si vous installez le serveur ESET PROTECT sur une grappe de basculement, sélectionnez la case à cocher qui se trouve à côté de Installation en grappe. Indiquez le chemin des données d'application personnalisée pour indiquer l'emplacement du stockage partagé de la grappe. Les données doivent être stockées dans un emplacement auquel tous les nœuds dans la grappe peuvent accéder. 6. Sélectionnez un Compte d'utilisateur de service. Ce compte sera utilisé pour exécuter le service de ESET PROTECT Server. Les options suivantes sont disponibles : • Compte de service de réseau - Sélectionnez cette option si vous n'utilisez pas de domaine. • Compte personnalisé : fournir les informations d'identification de l'utilisateur de domaine : DOMAINE\NOM D'UTILISATEUR et mot de passe. 54 7. Établissez une connexion avec la base de données. Toutes les données sont stockées ici (mot de passe pour la console Web ESET PROTECT, journaux des ordinateurs client, etc.) : • Base de données : MySQL Server/MS SQL Server/MS SQL Server par le biais de l'authentification Windows • Pilote ODBC : MySQL ODBC 5.1 Driver/MySQL ODBC 5.2 Unicode Driver/MySQL ODBC 5.3 Unicode Driver/MySQL ODBC 8.0 Unicode Driver/SQL Server/SQL Server Native Client 10.0/ODBC Driver 11 pour SQL Server/ODBC Driver 13 pour SQL Server/ODBC Driver 17 pour SQL Server • Le nom de la base de données : Nous vous recommandons d'utiliser le nom prédéfini ou de le modifier si nécessaire. • Nom d'hôte : Le nom d'hôte ou l'adresse IP du serveur de la base de données • Port : utilisé pour la connexion au serveur ERA • Nom d'utilisateur/Mot de passe de la base de données du compte administrateur • Utiliser une instance nommée - Si vous utilisez une base de données MS SQL, vous pouvez également cocher la case Utiliser une instance nommée. Cela vous permettra d'utiliser une instance de base de données personnalisée, vous pouvez le définir dans le nom d'hôte indiqué sous la forme HOSTNAME\DB_INSTANCE par exemple : 192.168.0.10\ESMC7SQL . Pour les bases de données en grappe, utilisez uniquement le nom de groupe. Si cette option est sélectionnée, vous ne pouvez pas changer le port qui sera utilisé, le système utilisera les ports par défaut déterminés par Microsoft. Remarque Lorsque vous cochez la case Utiliser une instance nommée, vous pouvez également connecter le serveur ESET PROTECT à la base de données MS SQL installée dans une grappe de basculement. Dans le champ Hôte, entrez le nom de la grappe. 55 Remarque Le serveur ESET PROTECT stocke de grands blocs de données dans la base de données; il est donc nécessaire de configurer MySQL de sorte qu'il accepte de grands paquets pour que ESET PROTECT fonctionne correctement. Cette étape permettra de vérifier votre connexion à la base de données. Si la connexion est bonne, vous pouvez passer à l'étape suivante. 8. Sélectionnez un utilisateur pour ESET PROTECT qui a accès à la base de données. Vous pouvez utiliser un utilisateur existant ou la configuration peut en créer un pour vous. 56 9. Entrez un mot de passe pour l'accès à la Console Web. 10. ESET PROTECTutilise des certificats pour la communication client-serveur. Sélectionnez l'une des options suivantes : • Conserver les certificats actuellement utilisés - Cette option n'est disponible que si la base de données a déjà été utilisée avec un autre serveur ESET PROTECT par le passé. • Charger les certificats à partir du fichier - Sélectionnez votre certificat de serveur existant et l'autorité de certification. • Générer de nouveaux certificats - Le programme d'installation génère de nouveaux certificats. 57 11. Suivez cette étape si vous avez sélectionné l'option Générer de nouveaux certificats à l'étape précédente. a)Vous pouvez aussi ajouter des renseignements supplémentaires sur les certificats (facultatif). Si vous entrez un mot de passe d'autorité, assurez-vous de vous en souvenir. b)Dans le champ Certificat de serveur , entrez le nom d'hôte du serveur et le mot de passe de certificat (facultatif). Avertissement Le nom d'hôte du serveur dans Certificat de serveur ne doit contenir aucun des mots-clés suivants : server, proxy, agent. 58 c)Dans le champ Mot de passe de certificat homologue , entrez le mot de passe pour les certificats homologues de l'agent et du mandataire. 12. La configuration peut effectuer une tâche initiale de synchronisation de groupe statique. Sélectionnez la méthode (Ne pas synchroniser, Synchroniser avec le réseau Windows, Synchroniser avec Active Directory) et cliquez sur Suivant. 13. Entrez une clé de licence valide ou choisissez Activer plus tard. 59 14. Confirmer ou modifier le dossier d'installation du serveur et cliquez sur Suivant. 15. Cliquez sur Installer pour installer le serveur ESET PROTECT. Remarque Une fois l'installation du serveur ESET PROTECT terminée, vous pouvez installer l'agent ESET Management sur la même machine (facultatif). Ainsi, vous serez capable de gérer le serveur même de la même manière que vous pourriez gérer un ordinateur client. Configuration requise pour le serveur - Windows Les exigences suivantes doivent être remplies afin de pouvoir installer le Serveur ESET PROTECT sous Windows : • Vous devez avoir une clé de licence valide. • Vous devez avoir un système d'exploitation Windows pris en charge. • Les ports requis doivent être ouverts et disponibles - voir la liste complète de ports ici. • Le serveur de base de données pris en charge et le connecteur (Microsoft SQL Server ou MySQL) sont installés et en cours d'exécution. Nous vous recommandons de revoir les détails de la configuration du serveur de base de données (Microsoft SQL Server ou MySQL) afin de configurer correctement la base de données et pouvoir l'utiliser avec ESET PROTECT. Lisez cet article de la base de connaissance pour configurer votre base de données et l'utilisateur de la base de données pour MS SQL et MySQL. • Console Web de ESET PROTECT installée pour gérer le serveur ESET PROTECT. • Microsoft .NET Framework 4 doit être installé; vous pouvez l'installer à l'aide de l'assistant d'Ajout de rôles et de fonctionnalités (comme indiqué ci-dessous). .NET Framework est uniquement requis pour l'installation de MS SQL Server Express. 60 Exigences pour Microsoft SQL Server Voici les exigences à respecter pour Microsoft SQL Server : • Installer une version prise en charge de Microsoft SQL Server. Sélectionnez l'authentification en Mode mixte au cours de l'installation. • Si Microsoft SQL Server est déjà installé, réglez l'authentification sur Mode mixte (authentification SQL Server et authentification Windows). Pour ce faire, suivez les instructions dans cet article de la Base de connaissances. Si vous souhaitez utiliser l'authentification Windows pour vous connecter à Microsoft SQL Server, suivez les étapes décrites dans cet article de base de connaissances. • Autorisez les connexions TCP/IP au SQL Server. Pour ce faire, suivez les instructions dans cet article sur la Base de connaissances, à partir de la partie II. Autorisez les connexions TCP/IP à la base de données SQL. Remarque • Pour configurer, gérer et administrer Microsoft SQL Server (base de données et utilisateurs), téléchargez SQL Server Management Studio (SSMS). • Nous vous recommandons de ne pas installer SQL Server sur un contrôleur de domaine (par exemple, si vous utilisez Windows SBS/Essentials). Nous vous recommandons d'installer ESET PROTECT sur un autre serveur ou bien de ne pas sélectionner le composant SQL Server Express lors de l'installation (vous devez alors utiliser votre SQL Server ou MySQL existant pour exécuter la base de données de ESET PROTECT). Installation et configuration de MySQL Server Installation 61 Assurez-vous d'installer un version prise en charge de MySQL Server et d'ODBC Connector. 1. Téléchargez le programme d'installation de MySQL 8 à l'aide du lien https://dev.mysql.com/downloads/installer/ et exécutez-le. 2. Pendant la configuration de l'installation, sélectionnez Personnalisé, ensuite MySQL Server et Connecteur ODBC. Assurez-vous que le nombre de bits du connecteur ODBC correspond à celui du serveur MySQL installé (x86 ou x64). 3. Terminez l'installation de MySQL Server. Configuration 1. Ouvrez le fichier suivant dans un éditeur de texte : C:\ProgramData\MySQL\MySQL Server 8.0\my.ini 2. Trouvez et modifiez ou ajoutez la configuration suivante à la section [mysqld] du fichier my.ini : max_allowed_packet=33M • Pour MySQL 8 vous devez définir la variable suivante : olog_bin_trust_function_creators=1 oVous pouvez également désactiver la journalisation binaire : log_bin=0 • Pour MySQL 5.6.20 et 5.6.21 (vous pouvez déterminer votre version de MySQL en utilisant mysql -version) : oinnodb_log_file_size doit être configurée au moins à 200 Mo (par exemple innodb_log_file_size=200M), mais pas plus de 3000 Mo 62 • Pour MySQL 5.6.22 et les versions ultérieures prises en charge (y compris la version 8) : oinnodb_log_file_size*innodb_log_files_in_group doit être configurée au moins à 200 Mo (* désigne la multiplication, le produit des deux paramètres doit être > 200 Mo. La valeur minimale de innodb_log_files_in_group est de 2 et la valeur maximale est de 100. La valeur doit également être un entier). Par exemple : innodb_log_file_size=100M innodb_log_files_in_group=2 3. Enregistrez et fermez le fichier my.ini. 4. Ouvrez l'invite de commande, puis entrez les commandes suivantes pour redémarrer MySQL server et appliquer la configuration (le nom du processus dépend de la version; 8.0 = mysql80, etc.) : net stop mysql80 net start mysql80 5. Entrez la commande suivante dans l'invite de commande pour vérifier si MySQL server fonctionne : sc query mysql80 Compte d'utilisateur de base de données dédié Si vous ne souhaitez pas utiliser un compte SA (MS SQL) ou un compte racine (MySQL), vous pouvez créer un Compte d'utilisateur de base de données dédié. Ce compte d'utilisateur dédié sera utilisé pour accéder uniquement à la base de données de ESET PROTECT. Nous vous recommandons de créer un compte d'utilisateur de base de données dédié au sein de votre serveur de base de données avant de commencer l'installation de ESET PROTECT. Vous allez également devoir créer une base de données vide à laquelle accèdera ESET PROTECT en utilisant ce compte d'utilisateur dédié. Remarque • Il existe un ensemble de privilèges minimum qui doivent être accordés au compte d'utilisateur de base de données dédié. • Vous pouvez trouver un guide détaillé sur la configuration de votre base de données et de votre compte utilisateur pour MS SQL et MySQL dans cet article de notre Base de connaissances. • Privilèges utilisateur MySQL : ALTÉRER, ALTÉRER UNE ROUTINE, CRÉER, CRÉER UNE ROUTINE, CRÉER UN TABLEAU TEMPORAIRE, CRÉER UN APERÇU, SUPPRIMER, ABANDONNER, EXÉCUTER, INDEX, INSÉRER, TABLEAU DE VERROUILLAGE, SÉLECTIONNER, METTRE À JOUR, DÉCLENCHER - pour de plus amples renseignements sur les privilèges MySQL, consultez http://dev.mysql.com/doc/refman/8.0/en/grant.html. • Rôles au niveau de la base de données Microsoft SQL Server : Un utilisateur de base de données ESET PROTECT doit être membre du rôle de base de données db_owner. Pour de plus amples renseignements sur les rôles au niveau de la base de données de Microsoft SQL Server, consultez https://msdn.microsoft.com/en-us/library/ms189121%28v=sql.100%29.aspx. Installation de l'Agent Méthodes disponibles Plusieurs méthodes d'installation et de déploiement sont disponibles pour l'installation de l'agent ESET Management sur les postes de travail Windows : Méthode 63 Documentation Description Installation basée sur l'interface • Ce chapitre graphique à partir du • KO programme d'installation .msi • Méthode d'installation standard. • Cette méthode peut être exécutée en tant Outil de déploiement à distance • Aide en ligne d’ESET • Recommandé pour un déploiement en masse sur un Programme d'installation touten-un de l'agent • Création d'un • Le programme d'installation peut également inclure un programme d'installation tout en un de l'agent • KO produit de sécurité et une politique intégrée. • La taille du programme d'installation est de plusieurs centaines de Mo. Programme d'installation pour Agent Live • Créer un • Le programme d'installation est un script exécutable. Il programme d’installation Live Installer pour l'agent • KO n'est pas très volumineux mais il doit avoir accès à l'emplacement du programme d'installation .msi. • Le script peut être modifié pour utiliser un programme d'installation local et un mandataire HTTP. Déploiement du SCCM et du GPO • SCCM • GPO • KO Tâche serveur - déploiement • Aide en ligne d’agent • KO qu’installation assistée par serveur ou hors connexion. • Utilisez cette méthode lors de l'installation de l'agent sur la machine serveur ESET PROTECT. réseau local. • Peut être utilisé pour déployer le programme d'installation tout-en-un (produit de sécurité ESET et agent) • Méthode avancée de déploiement de masse à distance. • Utilisation d'un fichier .ini de petite taille. • Une autre solution que SCCM et GPO. • Elle n'est pas viable par le mandataire HTTP. • Exécuté par le serveur ESET PROTECT à partir de la console Web ESET PROTECT. IMPORTANT Le protocole de communication entre l'agent et ESET PROTECT le serveur ne prend pas en charge l'authentification. Toute solution mandataire servant à transmettre les communications de l'agent au serveur ESET PROTECT et nécessitant une authentification ne fonctionnera pas. Si vous choisissez d'utiliser un autre port que celui par défaut pour la console Web ou l'agent, vous devrez peut être modifier le pare-feu. Sinon, l'installation peut échouer. Installation basée sur l'interface graphique Voici les étapes à suivre pour installer le composant de l'agent ESET Management localement sur Windows : 1. Visitez la section Téléchargement de ESET PROTECT pour télécharger le programme d'installation autonome pour les composants de ESET PROTECT (agent_x86.msi ou agent_x64.msi). 2. Exécutez l'installateur de l'agent ESET Management et acceptez le CLUF si vous êtes d'accord avec son contenu. 3. Décochez la case à cocher Participer au programme d'amélioration du produit si vous ne souhaitez pas envoyer des rapports d'erreur et des données de télémétrie à ESET. Si la case est cochée, les données de télémétrie et les rapports d'erreur seront envoyés à ESET. 4. Entrez l'hôte du serveur (nom de l'hôte ou adresse IP de votre serveur ESET PROTECT) et le port du serveur (par défaut, le port est 2222. Si vous utilisez un port différent, remplacez alors le port par défaut par votre numéro de port personnalisé). 64 IMPORTANT Assurez-vous que l'hôte du serveur corresponde à au moins une des valeurs (de préférence FQDN) définie dans le champ Hôte du certificat de serveur. Sinon, vous recevrez le message d'erreur « Le certificat de serveur reçu n'est pas valide ». L'utilisation du caractère générique (*) dans le champ Hôte du certificat du serveur permet au certificat de fonctionner avec n'importe quel hôte du serveur. 5. Si vous utilisez un mandataire pour la connexion Agent - Serveur, cochez la case en regard de Utiliser le mandataire. Lorsque cette option est sélectionnée, le programme d'installation poursuit l'installation hors ligne. Remarque Ce paramètre de mandataire est utilisé uniquement pour la réplication entre l'agent ESET Management et le serveur ESET PROTECT, et non pour la mise en cache des mises à jour. • Nom d'hôte du mandataire : Nom d'hôte ou adresse IP du mandataire HTTP. • Port du Serveur : la valeur par défaut est 3128. • Nom d'utilisateur, Mot de passe : entrez les informations d'identification utilisées par votre mandataire s'il utilise l'authentification. Vous pouvez modifier les paramètres de mandataire plus tard dans votre politique. Le mandataire doit être installé pour pouvoir configurer une connexion Agent - Serveur par un mandataire. 6. Sélectionnez une des options d'installation suivantes et suivez les étapes à partir de la section appropriée : Installation assistée par le serveur - vous devez fournir l'authentifiant d'administrateur pour la console Web ESET PROTECT. Le programme d'installation téléchargera automatiquement les certificats nécessaires. Installation hors ligne - Vous devrez fournir un certificat d'agent et une autorité de certification. Tous les deux peuvent être exportés à partir de ESET PROTECT. Par ailleurs, vous pouvez utiliser votre certificat personnalisé. Installation à partir de ligne de commande Le programme d'installation MSI peut être exécuté localement ou à distance. Téléchargez l'agent ESET Management à partir du site Web d'ESET. Paramètre P_HOSTNAME= P_PORT= Description et valeurs autorisées Le nom d'hôte ou l'adresse IP du serveur ESET PROTECT. Port du serveur pour la connexion de l'agent (facultatif; si non spécifié, le port par défaut 2222 est utilisé). P_CERT_PATH= Chemin d'accès au certificat d'agent au format Base64 dans un fichier .txt (exporté à partir de la console Web de ESET PROTECT). P_CERT_AUTH_PATH= Chemin d'accès à l'autorité de certification au format Base64 dans un fichier .txt (exporté à partir de la console Web de ESET PROTECT). P_LOAD_CERTS_FROM_FILE_AS_BASE64= YES; utilisez ce paramètre lorsque vous vous référez au certificat de l'agent et à l'autorité de certification stockés dans des fichiers .txt. P_CERT_PASSWORD= Utilisez ce paramètre pour fournir un mot de passe pour le certificat d'agent. P_CERT_CONTENT= Chaîne du certificat d'agent au format Base64 (exporté à partir de la console Web de ESET PROTECT). P_CERT_AUTH_CONTENT= Chaîne d'autorité de certification au format Base64 (exporté à partir de la console Web de ESET PROTECT). P_ENABLE_TELEMETRY= 0 - désactivé (option par défaut); 1 - activé. Envoi de rapports de plantage et de données de télémétrie à ESET (paramètre facultatif). 65 P_INSTALL_MODE_EULA_ONLY= P_USE_PROXY= P_PROXY_HTTP_HOSTNAME= P_PROXY_HTTP_PORT= 1; utilisez ce paramètre pour une installation semi-silencieuse de l'agent ESET Management. Vous pouvez voir la fenêtre d'installation de l'agent et vous êtes invité à accepter le CLUF et à activer/désactiver la télémétrie (l'option P_ENABLE_TELEMETRY est ignoré lorsque ce paramètre est spécifié). Les autres paramètres d'installation de l'agent sont extraits des paramètres de ligne de commande. Vous voir le déroulement du processus d'installation de l'agent. 1; utilisez ce paramètre pour activer l'utilisation du mandataire HTTP (déjà installé sur votre réseau) pour la réplication entre l'agent ESET Management et le serveur ESET PROTECT (pas pour la mise en cache des mises à jour). Nom d'hôte ou adresse IP du mandataire HTTP. Port du mandataire HTTP pour la connexion à l'agent. Exemples d'installation à partir de ligne de commande Remplacez le code orange ci-dessous si nécessaire. • Installation silencieuse (paramètre /q) avec connexion de port par défaut, télémétrie activée, certificat de l'agent et autorité de certification stockés dans des fichiers : Agent_x64.msi /q P_HOSTNAME=10.20.30.40 P_ENABLE_TELEMETRY=1 P_CERT_PATH=C:\Users\Administrator\Desktop\certificate.txt P_CERT_AUTH_PATH=C:\Users\Administrator\Desktop\ca.txt P_LOAD_CERTS_FROM_FILE_AS_BASE64=YES • Installation silencieuse avec les chaînes de caractères fournies pour le certificat de l'agent et pour le mot de passe du certificat de l'autorité de certification et de l'agent et les paramètres du serveur mandataire HTTP : Agent_x64.msi /q P_HOSTNAME=protect_server_name P_ENABLE_TELEMETRY=1 P_CERT_CONTENT=CJfXtf1kZqlZKAl9P48HymBHa3CkW P_CERT_PASSWORD=abcd1234EFGH P_CERT_AUTH_CONTENT=45hvkpqayzjJZhSY8qswDQYJKoZIhvc P_USE_PROXY=1 P_PROXY_HTTP_HOSTNAME=proxy_server P_PROXY_HTTP_PORT=3128 • Installation semi-silencieuse : Agent_x64.msi P_INSTALL_MODE_EULA_ONLY=1 P_HOSTNAME=10.20.30.40 P_CERT_PATH=C:\Users\Administrator\Desktop\certificate.txt P_CERT_AUTH_PATH=C:\Users\Administrator\Desktop\ca.txt P_LOAD_CERTS_FROM_FILE_AS_BASE64=YES Installation de l'Agent assistée par serveur Pour continuer l'installation de l'agent assisté par le serveur, procédez comme suit : 1. Entrez le nom de l'hôte ou l'adresse IP de votre console Web ESET PROTECT (le même que pour le serveur ESET PROTECT) dans le champ Hôte de serveur. Laissez le Port de la console Web à son port de défaut 2223 si vous n'utilisez pas de port personnalisé. Vous pouvez également entrer l'authentifiant du compte de la console Web dans les champs Nom d'utilisateur et Mot de passe. IMPORTANT Assurez-vous que l'hôte du serveur corresponde à au moins une des valeurs (idéalement FQDN) définie dans le champ Hôte du certificat de serveur. Sinon, vous recevrez le message d'erreur « Le certificat de serveur reçu n'est pas valide ». La seule exception c'est lorsqu'il y a un caractère générique (*) dans le champ Hôte du certificat de serveur, ce qui signifie qu'il s'appliquera à tout Hôte de serveur. 2. Cliquez sur Oui pour accepter le certificat. 3. Sélectionnez Ne pas créer d'ordinateur ou Sélectionner un groupe statique personnalisé. Si vous cliquez sur Sélectionner un groupe statique personnalisé, vous serez en mesure de le sélectionner à partir d'une liste présentant les groupes statiques existants dans ESET PROTECT. L'ordinateur sera ajouté au groupe que vous avez sélectionné. 4. Spécifiez un dossier cible pour l'agent ESET Management (nous vous recommandons de choisir l'emplacement par défaut), cliquez sur Suivant puis cliquez sur Installer. 66 Installation de l'Agent hors connexion Pour continuer l'installation de l'agent hors connexion, procédez comme suit : 1. Si vous avez sélectionné Utiliser le mandataire à l'étape précédente, fournissez le nom d'hôte du mandataire, le port du mandataire (le port par défaut est 3128), le nom d'utilisateur et le mot de passe, puis cliquez sur Suivant. 2. Cliquez sur Parcourir et allez à l'emplacement de votre certificat homologue (il s'agit du certificat de l'agent que vous exportez à partir de ESET PROTECT). Laissez la zone de texte Mot de passe du certificat vide, puisque ce certificat n'exige pas de mot de passe. Vous n'avez pas à parcourir pour trouver une Autorité de certification - laissez ce champ vide. Remarque Si vous utilisez un certificat personnalisé avec ESET PROTECT (plutôt que le certificat par défaut qui était généré automatiquement pendant l'installation de ESET PROTECT), utilisez vos certificats personnalisés. Avertissement La phrase secrète du certificat ne doit pas contenir les caractères suivants : " \ Ces caractères provoquent une erreur critique lors de l'initialisation de l'agent. 3. Cliquez sur Suivant pour installer le dossier par défaut ou cliquez sur Modifier pour en choisir un autre. (Nous vous recommandons d'utiliser l'emplacement par défaut). Désinstallation et dépannage de l'Agent Il existe plusieurs méthodes pour désinstaller l'agent ESET Management. Désinstallation à distance à l'aide de la console Web de ESET PROTECT 1. Connectez-vous à la console Web ESET PROTECT. 2. À partir du volet Ordinateurs, sélectionnez l'ordinateur sur lequel vous voulez supprimer l'agent ESET Management et cliquez sur Nouvelle tâche. Vous pouvez également sélectionner plusieurs ordinateurs en cochant les cases correspondantes puis cliquer sur Actions > Nouvelle tâche. 3. Entrez un nom pour la tâche. 4. Dans le menu déroulant Catégorie de tâche, sélectionnez ESET PROTECT. 5. Dans le menu déroulant Tâche, sélectionnez Arrêter la gestion (désinstallation de l'agent ESET Management). 6. Vérifier le résumé de la tâche et cliquez sur Terminer. Le déclencheur sera automatiquement créé avec l'exécution ASAP. Si vous voulez modifier le type de déclencheur, cliquez sur Taches > cliquez sur la tâche client et sélectionnez Afficher les détails > sélectionnez l'onglet Déclencheurs > cliquez sur le déclencheur et sélectionnez Modifier. Remarque Consultez la section Tâches client dans le guide d'administration. Désinstallation locale 1. Connectez-vous à l'ordinateur du point d'extrémité sur lequel vous voulez supprimer l'agent ESET Management (par exemple en utilisant RDP). 2. Allez à Panneau de configuration > Programmes et fonctionnalités et double-cliquez sur l'agent ESET Management. 67 3. Cliquez sur Suivant > Supprimer et suivez les instructions de désinstallation. IMPORTANT Si vous avez configuré un mot de passe en utilisant une politique pour vos agents ESET Management, vous devrez saisir ce mot de passe au cours de la désinstallation. Vous pouvez également désactiver la politique avant de désinstaller l'agent ESET Management. Résolution de problèmes lors de la désinstallation de l'agent ESET Management. • Consultez les fichiers journaux de l'agent ESET Management. • Vous pouvez désinstaller l'agent ESET Management en utilisant ESET Uninstaller ou en utilisant une méthode non standard (comme la suppression de fichiers, la suppression du service de l'agent ESET Management et des entrées de registre). S'il existe un produit de point d'extrémité ESET sur la même machine, cela ne sera pas possible à cause d'une autodéfense activée. Outil de déploiement à distance d’ESET L'outil de déploiement ESET Remote Deployment Tool permet de distribuer de manière efficace le progiciel d'installation créé par ESET PROTECT afin de déployer l'agent ESET Management et les produits de sécurité ESET à distance sur les ordinateurs connectés à un réseau. L'outil ESET Remote Deployment Tool est proposé gratuitement sur le site Web d'ESET sous la forme d'un composant ESET PROTECT autonome. L'outil de déploiement est principalement destiné à des déploiements sur des réseaux de petite taille ou de taille moyenne et s'exécute sous des privilèges d'administrateur. Remarque L'outil ESET Remote Deployment Tool est dédié au déploiement de l'agent ESET Management sur des ordinateurs clients dotés de systèmes d'exploitation Microsoft Windows pris en charge. Pour plus d'informations sur les conditions préalables requises et l'utilisation de l'outil, reportez-vous au chapitre sur l'outil ESET Remote Deployment Tool. Installation de la console Web Vous pouvez installer ESET PROTECT Web Console sur Windows de deux façons : • À l'aide d'un programme d'installation tout-en-un (recommandé) • Les utilisateurs expérimentés peuvent effectuer une installation manuelle Installer la console Web à l'aide du programme d'installation tout-en-un Suivez les étapes ci-après pour installer le composant ESET PROTECT Web Console sur Windows à l'aide du programme d'installation tout-en-un : 1. Assurez-vous que les conditions suivantes sont remplies : • Le serveur ESET PROTECT est installé. Remarque Vous pouvez choisir d'installer la console Web de ESET PROTECT sur un autre ordinateur que l'ordinateur sur lequel le serveur ESET PROTECT est installé. • Apache Tomcat nécessite la version de 64 bits de Java/OpenJDK. 68 Remarque Si plusieurs versions de Java sont installées sur votre système, nous vous recommandons de désinstaller les versions plus anciennes de Java (la version la plus ancienne prise en charge est Java 8) et de ne conserver que la version la plus récente de Java. Avertissement Depuis janvier 2019, les mises à jour publiques de Oracle JAVA SE 8 à des fins professionnelles, commerciales ou de production nécessitent une licence commerciale. Si vous n'avez pas acheté pas un abonnement JAVA SE, vous pouvez utiliser ce guide pour passer à une solution gratuite et installer l'une des éditions de Java prises en charge. 2. Téléchargez le programme d'installation tout-en-un de ESET PROTECT sur le site Web d'ESET et dézipper le fichier téléchargé. 3. Si vous souhaitez installer la dernière version d'Apache Tomcat et que le programme d'installation tout-en-un contient une ancienne version d'Apache Tomcat (cette étape est facultative - passez à l'étape 4 si vous n'avez pas besoin de la dernière version d'Apache Tomcat) : a.Ouvrez le dossier x64 et accédez au dossier installers. b.Supprimez le fichier apache-tomcat-9.0.x-windows-x64.zip situé dans le dossier installers. c.Téléchargez le progiciel d'Apache Tomcat 9 64 bits Windows zip. d.Déplacer le progiciel zip téléchargé vers le dossier installers. 4. Pour lancer le programme d'installation tout-en-un, double-cliquez sur le fichier Setup.exe, puis sur Suivant sur l'écran d'accueil. 5. Sélectionnez Installer et cliquez sur Suivant. 69 6. Après avoir accepté le CLUF, cliquez sur Suivant. 7. Dans Sélectionner les composants à installer, cochez uniquement la case ESET PROTECT Webconsole et cliquez sur Suivant. 70 Vous pouvez aussi cocher la case Ajouter un certificat HTTPS personnalisé pour la console Web. • Sélectionnez cette option si vous souhaitez utiliser un certificat HTTPS personnalisé pour la console Web de ESET PROTECT. • Si vous ne sélectionnez pas cette option, un nouveau magasin de stockage de clés est automatiquement généré pour Tomcat. • Si vous avez sélectionné Ajouter un certificat HTTPS personnalisé pour console Web, cliquez sur Parcourir et sélectionnez un certificat valide(fichier .pfx ou .p12), puis saisissez sa phrase secrète (ou laissez le champ vide s'il n'y a pas de phrase secrète). Le certificat sera installé sur votre serveur Tomcat et utilisé pour l'accès à la console Web. Cliquez sur Suivant pour continuer. 71 8. Sélectionnez une installation Java sur l'ordinateur. Vérifiez que vous utilisez la dernière version de Java/OpenJDK. a)Pour sélectionner le module Java déjà installé, cliquez sur Sélectionner une installation de Java, sélectionnez le dossier dans lequel Java est installé (avec un sous dossier bin, par exemple C:\Program Files\Amazon Corretto\jdk1.8.0_212) et cliquez sur OK. Le programme d’installation vous demande si vous avez sélectionné un chemin non valide. b)Cliquez sur Installer pour continuer ou sur Modifier pour modifier le chemin d'installation de Java. 72 9. Une fois que l'installation est terminée, cliquez sur Terminer. IMPORTANT Si vous avez installé la console Web de ESET PROTECT sur un autre ordinateur que le serveur ESET PROTECT, effectuez les étapes supplémentaires suivantes pour activer la communication entre la console Web de ESET PROTECT et le serveur ESET PROTECT : a)Arrêtez le service Apache Tomcat : Accédez à Démarrer > Services > cliquez du droit sur le service Apache Tomcat et sélectionnez Arrêter. b)Exécutez le Bloc-notes en tant qu'administrateur et modifiez le C:\Program Files\Apache Software Foundation\[ Tomcat dossier ]\webapps\era\WEBINF\classes\sk\eset\era\g2webconsole\server\modules\config\EraWebServerConfig.properties. c)Trouvez server_address=localhost. d)Remplacez localhost par l'adresse IP de votre serveur ESET PROTECT et enregistrez le fichier. e) Démarrez le service Apache Tomcat : Accédez à Démarrer > Services > cliquez du droit sur le service Apache Tomcat et sélectionnez Démarrer. 10. Ouvrez la Web Console de ESET PROTECT dans un navigateur pris en charge : https://Server-IP/era/ (remplacez Server-IP par l'adresse IP de votre serveur ESET PROTECT); une fenêtre de connexion s'affiche. Remarque Voir également Configuration de la Web Console pour les solutions d'entreprise ou pour les systèmes à faible performance. Installer la console Web manuellement 73 IMPORTANT L'installation manuelle de ESET PROTECT Web Console est une procédure avancée. Nous vous recommandons d'installer ESET PROTECT Web Console en utilisant le programme d'installation touten-un. Suivez les étapes ci-après pour installer le composant ESET PROTECT Web Console sur Windows : 1. Assurez-vous que les conditions suivantes sont remplies : • Le serveur ESET PROTECT est installé. Remarque Vous pouvez choisir d'installer la console Web de ESET PROTECT sur un autre ordinateur que l'ordinateur sur lequel le serveur ESET PROTECT est installé. • Apache Tomcat est un composant requis, nécessaire pour faire fonctionner la console Web de ESET PROTECT. Apache Tomcat nécessite la version de 64 bits de Java/OpenJDK. Remarque Si plusieurs versions de Java sont installées sur votre système, nous vous recommandons de désinstaller les versions plus anciennes de Java (la version la plus ancienne prise en charge est Java 8) et de ne conserver que la version la plus récente de Java. Avertissement Depuis janvier 2019, les mises à jour publiques de Oracle JAVA SE 8 à des fins professionnelles, commerciales ou de production nécessitent une licence commerciale. Si vous n'avez pas acheté pas un abonnement JAVA SE, vous pouvez utiliser ce guide pour passer à une solution gratuite et installer l'une des éditions de Java prises en charge. a)Téléchargez la dernière version prise en charge du fichier d'installation Apache Tomcat (Programme d'installation du service Windows 32 bits/64 bits) d'apache-tomcat-[version].exe à l'adresse https://tomcat.apache.org. b)Exécutez le programme d'installation. c)Pendant l'installation, sélectionnez le chemin d'accès à Java (dossier parent des dossiers Java, bin et lib). d)Après l'installation, assurez-vous que le type de démarrage du service Apache Tomcat est défini sur Automatique (dans services.msc). 2. Visitez la section Téléchargement de ESET PROTECT pour télécharger le programme d'installation autonome pour les composants de ESET PROTECT (Console Webera.war). 3. Copiez era.war dans le dossier des applications Web d'Apache Tomcat : C:\Program Files\Apache Software Foundation\[ Tomcat dossier ]\webapps\ 4. L'extraction des fichiers et l'installation de la console Web ESET PROTECT dure quelques minutes. 5. Continuez avec les étapes qui s'appliquent à votre situation : • Si vous avez installé la Web Console de ESET PROTECT sur le même ordinateur que le serveur ESET PROTECT : a)Redémarrez le service Apache Tomcat. Accédez à Démarrer > Services > cliquez du droit sur le service Apache Tomcat et sélectionnez Arrêter. Cliquez sur Arrêter, attendez 30 secondes, puis cliquez sur Démarrer. b)Ouvrez la Web Console de ESET PROTECT dans un navigateur pris en charge : http://localhost:8080/era/; une fenêtre de connexion s'affiche. 74 Remarque Le port HTTP par défaut est défini sur 8080 lors de l'installation d'Apache Tomcat. Vous pouvez aussi configurer une connexion HTTPS pour Apache Tomcat. • Si vous avez installé la console Web de ESET PROTECT sur un autre ordinateur que le serveur ESET PROTECT, effectuez les étapes supplémentaires suivantes pour activer la communication entre la console Web de ESET PROTECT et le serveur ESET PROTECT : a)Arrêtez le service Apache Tomcat : Accédez à Démarrer > Services > cliquez du droit sur le service Apache Tomcat et sélectionnez Arrêter. b)Exécutez le Bloc-notes en tant qu'administrateur et modifiez le C:\Program Files\Apache Software Foundation\[ Tomcat dossier ]\webapps\era\WEBINF\classes\sk\eset\era\g2webconsole\server\modules\config\EraWebServerConfig.properties. c)Trouvez server_address=localhost. d)Remplacez localhost par l'adresse IP de votre serveur ESET PROTECT et enregistrez le fichier. e) Démarrez le service Apache Tomcat : Accédez à Démarrer > Services > cliquez du droit sur le service Apache Tomcat et sélectionnez Démarrer. f) Ouvrez la Web Console de ESET PROTECT dans un navigateur pris en charge : https://Server-IP/era/ (remplacez Server-IP par l'adresse IP de votre serveur ESET PROTECT); une fenêtre de connexion s'affiche. Remarque Voir également Configuration de la Web Console pour les solutions d'entreprise ou pour les systèmes à faible performance. Installation du mandataire HTTP À propos du serveur mandataire HTTP Apache Le mandataire HTTP remplace le composant mandataire d'ERA 6.x. Son rôle est de transmettre des communications chiffrées entre l'agent ESET Management et le serveur ESET PROTECT. Par défaut, ESET PROTECT utilise le serveur mandataire HTTP Apache en tant que mandataire HTTP. Utilisez le mandataire HTTP uniquement si vos agents ESET Management n'ont pas de visibilité réseau sur le serveur ESET PROTECT. Le mandataire HTTP n'agrège pas la communication et ne réduit pas le trafic réseau. Il est recommandé d'avoir l'agent ESET Management sur le même ordinateur que le mandataire HTTP, mais ce n'est pas nécessaire. L'agent ESET Management ne peut pas gérer (configurer) l'application mandataire HTTP. • Architecture du mandataire HTTP • Architecture du serveur mandataire HTTP Apache • Scénarios avancés pour le mandataire HTTP Avant l'installation Si vous mettez à niveau un environnement existant, suivez la procédure de mise à niveau. IMPORTANT Le protocole de communication entre l'agent et ESET PROTECT le serveur ne prend pas en charge l'authentification. Toute solution mandataire servant à transmettre les communications de l'agent au serveur ESET PROTECT et nécessitant une authentification ne fonctionnera pas. Si vous choisissez d'utiliser un autre port que celui par défaut pour la console Web ou l'agent, vous devrez peut être modifier le pare-feu. Sinon, l'installation peut échouer. Installation et configuration Vous pouvez installer le serveur mandataire HTTP Apache à partir d'un programme d'installation séparé ou du programme d'installation tout-en-un de ESET PROTECT. 75 • Pour installer à partir d'un programme d'installation tout-en-un, vous devez télécharger l'intégralité du paquet; c'est la méthode la plus simple. Exécutez le programme d'installation téléchargé et sélectionnez uniquement le serveur mandataire HTTP Apache à partir du sélecteur de programme d'installation. Apache doit être configuré après son installation. • La procédure d'installation à partir du programme d'installation autonome est une procédure plus avancée. Toutefois, la taille du fichier téléchargé n'est que de quelques Mo. Voir les instructions d'installation et de configuration. Configurez votre mandataire HTTP pour un nombre élevé de clients Si vous utilisez un mandataire HTTP Apache de 64 bits, vous pouvez augmenter la limite de fils pour votre Apache HTTP Proxy. Modifiez le fichier de configuration de httpd.conf, dans votre dossier Apache HTTP Proxy. Trouvez les paramètres suivants dans le fichier et mettez les valeurs à jour pour qu'elles correspondent à votre nombre de clients. Remplacez le nombre 5000 de l'exemple par votre nombre. La valeur maximale est de 32000. ThreadLimit 5000 ThreadsPerChild 5000 Ne changez pas le reste de fichier. Installation de RD Sensor Voici les étapes à suivre pour installer le composant RD Sensor sous Windows : 1. Visitez la section Téléchargement de ESET PROTECT pour télécharger le programme d'installation autonome pour les composants de ESET PROTECT (rdsensor_x86.msi ou rdsensor_x64.msi) 2. Assurez-vous que toutes les exigences sont respectées. 3. Double-cliquez sur le fichier d'installation pour démarrer l'installation. 4. Après avoir accepté le CLUF, cliquez sur Suivant. 5. Décochez la case à cocher Participer au programme d'amélioration du produit si vous ne souhaitez pas envoyer des rapports d'erreur et des données de télémétrie à ESET. Si la case est cochée, les données de télémétrie et les rapports d'erreur seront envoyés à ESET. 6. Sélectionnez l'emplacement où RD Sensor sera installé, puis cliquez sur Suivant > Installer. Configuration requise pour RD Sensor Les exigences suivantes doivent être remplies afin de pouvoir installer le composant RD Sensor sous Windows : • WinPcap - Utilisez la version la plus récente de WinPcap (version 4.1.0 ou ultérieure) • Le réseau devrait être configuré correctement (ports appropriés ouverts, communications entrantes non bloquées par un coupe-feu, etc.) • Le serveur ESET PROTECT doit être joignable • L'agent ESET Management doit être installé sur l'ordinateur local pour que toutes les fonctionnalités du programme soient pleinement prises en charge. • Le dernier fichier journal du Rogue Detection Sensor se trouve à l'emplacement suivant : C:\ProgramData\ESET\Rogue Detection Sensor\Logs\ 76 Outil de miroir - Windows Êtes-vous un utilisateur de Linux? L'outil de miroir est requis pour les mises à jour hors ligne du moteur de détection. Si vos ordinateurs clients n'ont pas de connexion Internet et ont besoin de mises à jour du moteur de détection, vous pouvez utiliser l'outil Miroir pour télécharger les fichiers de mises à jour à partir des serveurs de mise à jour d'ESET, puis les sauvegarder localement. Remarque L'outil miroir ne télécharge que les mises à jour du moteur de détection et d'autres modules de programme; il ne télécharge ni les PCU (mises à jour des composants du programme), ni les données de ESET LiveGrid®. Il peut également créer un répertoire hors connexion complet. Vous pouvez également choisir de mettre à niveau les produits sur une base individuelle. Configuration requise IMPORTANT L'outil miroir ne prend pas en charge Windows XP et Windows Server 2003. • Le dossier cible doit pouvoir être partagé, avec le service Samba/Windows ou HTTP/FTP, selon la façon dont vous voulez accéder aux mises à jour. • Vous devez avoir une licence hors ligne valide qui comprend le nom d'utilisateur et le mot de passe. Lors de la création d'un fichier de licence, assurez-vous de cocher la case à côté de l'option Inclure le nom d'utilisateur et le mot de passe. Vous devez également spécifier un nom de licence. Un fichier de licence hors ligne est nécessaire pour l'activation de l'outil miroir et la génération du miroir de mise à jour. 77 • Avant d'exécuter l'outil miroir, vérifiez que les paquets suivants sont installés : • Redistribuables Visual C++ pour Visual Studio 2010 • Redistribuables Visual C++ 2015 pour x86 Comment utiliser l'outil miroir 1. Téléchargez l'outil miroir à partir de la page de téléchargement d'ESET (section Programmes d'installation autonomes). 2. Décompressez l'archive téléchargée. 3. Ouvrez l'invite de commandes et accédez au dossier contenant le fichier MirrorTool.exe. 4. Exécutez la commande ci-dessous pour afficher tous les paramètres disponibles pour l'outil miroir : MirrorTool.exe --help 78 79 Paramètre --updateServer --offlineLicenseFilename --languageFilterForRepository --productFilterForRepository --downloadLegacyForRepository Description Lorsque vous l'utilisez, vous devez spécifier l'URL complète du serveur de mise à jour. Vous devez spécifier un chemin menant au fichier de votre licence hors ligne (comme décrit récemment). Vous pouvez spécifier des codes de langue, par exemple pour le type français fr_FR. Les codes d’autres langues figurent dans le tableau ci-dessous. Pour sélectionner plus de langues, séparez-les par une espace, par exemple : en_US zh_TW de_DE Vous pouvez spécifier une chaîne utilisée par l'outil miroir comme filtre de téléchargement. L'outil miroir ne télécharge que les fichiers contenant la chaîne dans leur nom commun. Vous pouvez sélectionner plus de produits en ajoutant plus d'arguments, par exemple : --productFilterForRepository Antivirus Security L'outil miroir télécharge toutes les langues sélectionnées pour chaque produit sélectionné. Aucun argument n'est nécessaire. Utilisez ce paramètre pour inclure les paquets hérités dans le téléchargement. Les paquets hérités ne sont téléchargés que s'ils sont utilisés. Pour savoir quels produits sont hérités, accédez à la tâche client d'installation du logiciel, menu Paramètres > Paquet à installer > Choisir un paquet > Héritage. Nouveaux paramètres dans l'outil miroir distribué avec ESMC 7.2 et ESET PROTECT --mirrorOnlyLevelUpdates Aucun argument n'est nécessaire. Si cette option est activée, seules les mises à jour de niveau seront téléchargées (les mises à jour nano ne seront pas téléchargées). Vous pouvez en apprendre davantage au sujet des types de mise à jour dans cet article de notre base de connaissances. --mirrorFileFormat Avertissement Ce paramètre est réservé aux utilisateurs avancés! Avant d'utiliser le paramètre --mirrorFileFormat, assurez-vous que votre environnement ne contient pas à la fois des versions de produit de sécurité ESET plus anciennes (6.5 et plus anciennes) et plus récentes (6.6 et ultérieures). L'utilisation incorrecte de ce paramètre peut entraîner des mises à jour incorrectes de vos produits de sécurité ESET. Vous pouvez préciser quel type de fichiers de mise à jour sera téléchargé. Valeurs possibles (sensible à la casse) : • dat : utilisez cette valeur si vous disposez d'un environnement uniquement avec les versions 6.5 et antérieures du produit de sécurité ESET. • dll : utilisez cette valeur si vous disposez d'un environnement uniquement avec les versions 6.6 et ultérieures du produit de sécurité ESET. Le paramètre est ignoré lors de la création d'un miroir pour les produits existants (ep4, ep5). Remarque Tous les filtres sont sensibles à la casse. Code de langue en_US hu_HU ar_EG bg_BG zh_CN zh_TW cs_CZ da_DK de_DE el_GR es_CL es_ES Langue Anglais Hungarian Arabe Bulgare Chinois simplifié Chinois traditionnel Tchèque Danois Allemand Grec Espagnol (Chili) Espagnol Code de langue et_EE fi_FI fr_FR fr_CA hr_HR id_ID it_IT kk_KZ ko_KR lt_LT nl_NL nb_NO Langue Estonien Finlandais Français Français canadien Croate Indonésien Italien Kazakh Coréen Lituanien Hollandais Norvégien Code de langue pl_PL pt_BR ro_RO ru_RU sk_SK sl_SI sr_RS sv_SE th_TH tr_TR uk_UA vi_VN Langue Polonais Portuguese Roumain Russe Slovaque Slovène Serbe Suèdois Thaï Turc Ukrainien Vietnamien IMPORTANT L'outil miroir crée une structure de dossiers différente de celle du miroir d'Endpoint. Chaque dossier contient des fichiers de mise à jour pour un groupe de produits. Vous devez spécifier le chemin complet vers le dossier correct dans les paramètres de mise à jour du produit en utilisant le miroir. Par exemple, pour mettre à jour l'ESET PROTECT 8.0 à partir du miroir, configurez le serveur de mise à jour à l'aide de la valeur suivante (en fonction de l'emplacement racine de votre serveur HTTP) : http://your_server_address/mirror/eset_upd/era6 80 Pour créer un miroir, exécutez l'outil miroir avec au moins les paramètres minimum requis. En voici un exemple : MirrorTool.exe --mirrorType regular ^ --intermediateUpdateDirectory c:\temp\mirrorTemp ^ --offlineLicenseFilename c:\temp\offline.lf ^ --outputDirectory c:\temp\mirror Voici un exemple de configuration plus avancée pour un répertoire hors connexion avec une sélection de produits, de langues et le téléchargement activé de fichiers hérités : MirrorTool.exe --repositoryServer AUTOSELECT ^ --intermediateRepositoryDirectory c:\temp\repoTemp ^ --outputRepositoryDirectory c:\temp\repository ^ --languageFilterForRepository sk_SK fr_FR de_DE ^ --productFilterForRepository Antivirus Security ^ --downloadLegacyForRepository Paramètres de l'outil de miroir et de la mise à jour • Pour automatiser les téléchargements des mises à jour de modules, vous pouvez créer une planification pour exécuter l'outil miroir. Pour ce faire, ouvrez la console Web et allez à Tâches clients > Système d'exploitation > Exécuter la commande. Sélectionnez la ligne de commande à exécuter (incluant un chemin vers MirrorTool.exe) et un déclencheur raisonnable (comme un CRON pour chaque heure 0 0 * * * ? *). Vous pouvez également utiliser la planificateur de tâches Windows ou Cron avec Linux. • Pour configurer les mises à jour sur les ordinateurs client, créez une nouvelle politique et configurez le Serveur de mise à jour pour pointer vers votre adresse miroir ou votre dossier partagé. IMPORTANT Si vous utilisez un serveur miroir HTTPS, vous devez importer son certificat dans le magasin racine de confiance sur la machine cliente. Consultez la rubrique Installer le certificat racine de confiance dans Windows. Remarque Lisez cet article de la base de connaissances pour configurer le chaînage de l'outil miroir (configurez l'outil miroir pour télécharger les mises à jour depuis un autre outil miroir). Installation de connecteur d'appareil mobile Pour installer le composant connecteur d'appareil mobile pour le serveur ESET PROTECT, veuillez suivre les étapes ci-après. Avertissement Le connecteur d'appareils mobiles doit être accessible à partir d'Internet, de sorte que les appareils mobiles puissent être gérés à tout moment, indépendamment de leur emplacement. 81 Remarque Nous vous recommandons de déployer votre composant MDM sur un appareil hôte distinct de celui sur lequel est hébergé le serveur ESET PROTECT. 1. Visitez la section Téléchargement de ESET PROTECT pour télécharger le programme d'installation autonome pour les composants de ESET PROTECT (mdmcore_x64.msi). 2. Veuillez d'abord lire les exigences et assurez-vous qu'elles sont satisfaites. 3. Exécutez le programme d'installation du Connecteur d'appareil mobile et acceptez le CLU si vous êtes d'accord avec son contenu. 4. Cliquez sur Parcourir, naviguez jusqu'à l'emplacement de votre Certificat SSL pour établir la communication par HTTPS, inscrivez le mot de passe pour ce certificat. 5. Indiquez le Nom d'hôte MDM : ceci est le domaine public ou l'adresse IP publique de votre serveur MDM car il est accessible par des appareils mobiles à partir d'Internet. IMPORTANT Vous devez saisir le nom d'hôte MDM sous la même forme que celle indiquée dans le certificat de serveur HTTPS, sinon les appareils mobile sous iOS refuseront d'installer le profil MDM. Par exemple, s'il y a une adresse IP spécifiée dans le certificat HTTPS, entrez cette adresse IP dans le champ Nom d'hôte MDM. Si le FQDN est indiqué (par exemple, mdm.mycompany.com) dans le certificat HTTPS, entrez ce FQDN dans le champs Nom d'hôte MDM. De plus, si un caractère générique * est utilisé (par exemple, *.mycompany.com) dans le certificat HTTPS, vous pouvez utiliser mdm.mycompany.com dans le champs Nom d'hôte MDM. 6. Le programme d'installation doit se connecter à une base de données existante qui sera utilisée par le Connecteur d'appareils mobiles. Spécifiez les détails de connexion suivants : • Base de données : MySQL Server/MS SQL Server/MS SQL Server par le biais de l'authentification Windows • Pilote ODBC : MySQL ODBC 5.1 Driver/MySQL ODBC 5.2 Unicode Driver/MySQL ODBC 5.3 Unicode Driver/MySQL ODBC 8.0 Unicode Driver/SQL Server/SQL Server Native Client 10.0/ODBC Driver 11 pour SQL Server/ODBC Driver 13 pour SQL Server/ODBC Driver 17 pour SQL Server • Le nom de la base de données : Nous vous recommandons d'utiliser le nom prédéfini ou de le modifier si nécessaire. • Nom d'hôte : Le nom d'hôte ou l'adresse IP du serveur de la base de données • Port : utilisé pour la connexion au serveur ERA • Nom d'utilisateur/Mot de passe de la base de données du compte administrateur • Utiliser une instance nommée - Si vous utilisez une base de données MS SQL, vous pouvez également cocher la case Utiliser une instance nommée. Cela vous permettra d'utiliser une instance de base de données personnalisée, vous pouvez le définir dans le nom d'hôte indiqué sous la forme HOSTNAME\DB_INSTANCE par exemple : 192.168.0.10\ESMC7SQL . Pour les bases de données en grappe, utilisez uniquement le nom de groupe. Si cette option est sélectionnée, vous ne pouvez pas changer le port qui sera utilisé, le système utilisera les ports par défaut déterminés par Microsoft. Remarque Lorsque vous cochez la case Utiliser une instance nommée, vous pouvez également connecter le serveur ESET PROTECT à la base de données MS SQL installée dans une grappe de basculement. Dans le champ Hôte, entrez le nom de la grappe. Remarque Vous pouvez utiliser le même serveur de base de données que vous utilisez pour la base de données de ESET PROTECT, mais nous vous recommandons d'utiliser un serveur de base de données différent si vous prévoyez d'inscrire plus de 80 appareils mobiles. 7. Précisez l'utilisateur pour la base de données du connecteur d'appareil mobile que vous venez de créer. Vous pouvez Créer un nouvel utilisateur ou Utiliser un utilisateur de base de données déjà existant. 82 Inscrivez le mot de passe de l'utilisateur de la base de données. 8. Entrez l'hôte du serveur (nom ou adresse IP de votre serveur ESET PROTECT) et le port du serveur (par défaut, le port est 2222. Si vous utilisez un port différent, remplacez alors le port par défaut par votre numéro de port personnalisé). 9. Connectez le connecteur MDM au serveur ESET PROTECT. Indiquez l'hôte du serveur et le port du serveur requis pour la connexion au serveur ESET PROTECTet sélectionnez Installation assistée par serveur ou Installation hors ligne pour continuer : oInstallation assistée par serveur - vous devrez fournir un authentifiant d'administrateur pour la console Web de ESET PROTECT et le programme d'installation téléchargera automatiquement les certificats nécessaires. Vérifiez également les autorisations requises pour l'installation assistée par serveur. 1. Entrez l'hôte du serveur - Le nom ou l'adresse IP de votre serveur ESET PROTECT et le port de la console Web (laissez le port par défaut 2223 si vous n'utilisez pas un port personnalisé). Fournissez également l'authentifiant du compte administrateur de la console Web - Nom d'utilisateur/Mot de passe. 2. Lorsque vous êtes invité à accepter le certificat, cliquez sur Oui. Continuez à l'étape 11. oInstallation hors ligne - vous devez fournir un certificat de mandataire et une autorité de certification qui peuvent être exportés à partir de ESET PROTECT. Vous pouvez aussi utiliser votre certificat personnalisé et une autorité de certification appropriée. 1. Cliquez sur Parcourir à côté du certificat homologue et allez à l'emplacement de votre certificat homologue (il s'agit du certificat de mandataire que vous avez exporté à partir de ESET PROTECT). Laissez la zone de texte Mot de passe du certificat vide, puisque ce certificat n'exige pas de mot de passe. 2. Répétez la procédure pour l'autorité de certification et passez à l'étape 11. Remarque Si vous utilisez des certificats personnalisés avec ESET PROTECT (à la place des certificats par défaut qui ont été générés automatiquement lors de l'installation de ESET PROTECT) ces certificats doivent être utilisés lorsque vous êtes invité à fournir un certificat de mandataire. 10. Précisez le dossier cible pour le connecteur d'appareil mobile (nous vous recommandons d'utiliser celui par défaut), cliquez sur Suivant puis sur Installer. 11. Une fois l'installation terminée, vérifiez si Mobile Device Connector s'exécute correctement en ouvrant le lien https://your-mdm-hostname:enrollment-port (par exemple, https://mdm.company.com:9980) dans votre navigateur Web ou à partir du périphérique mobile. Si l'installation a réussie, vous verrez le message suivant s'afficher : MDM Serveur prêt et en cours d'exécution! 12. Vous pouvez maintenant activer MDM à partir de ESET PROTECT. Configuration requise pour le connecteur d’appareil mobile Avertissement Si le port ou le nom d'hôte du serveur MDM est modifié, tous les périphériques mobiles doivent être réinscrits. Pour cette raison, il est recommandé de configurer un nom d’hôte dédié pour le serveur MDM afin que, si vous devez changer le périphérique hôte du serveur MDM, vous puissiez le faire en réaffectant l’adresse IP du nouveau périphérique hôte au nom d’hôte MDM dans vos paramètres DNS. Les exigences suivantes doivent être remplies afin de pouvoir installer le composant du connecteur d'appareil mobile sur Windows : • Adresse IP publique/nom d'hôte ou domaine public accessible à partir d'Internet. 83 Remarque Si vous devez changer le nom d'hôte de votre serveur MDM, vous devrez exécuter une installation de réparation de votre composant MDC. Si vous changez le nom d'hôte de votre serveur MDM, vous devez importer un nouveau certificat de serveur HTTPS, ce qui comprend ce nouveau nom d'hôte pour que MDM continue de fonctionner correctement. • Ports ouverts et disponibles - voir la liste complète de ports ici. Nous vous recommandons d'utiliser les numéros de ports par défaut 9981 et 9980, mais ceux-ci peuvent également être modifiés dans le fichier de configuration de votre serveur MDM si nécessaire. Assurez-vous que les appareils mobiles sont en mesure de se connecter via les ports spécifiés. Pour ce faire, modifiez les paramètres de votre coupe-feu/et ou réseau (s'il y a lieu). Pour plus de détails à propos de l'architecture de MDM cliquez ici. • Paramètres du pare-feu - pendant l'installation du Connecteur d'appareils mobiles sur un système d'exploitation qui n'est pas un système d'exploitation de serveur comme Windows 7 (pour des fins d'évaluation seulement), assurez-vous d'activer les ports de communication en créant des règles du pare-feu pour : C:\Program Files\ESET\RemoteAdministrator\MDMCore\ERAMDMCore.exe, TCP port 9980 C:\Program Files\ESET\RemoteAdministrator\MDMCore\ERAMDMCore.exe, TCP port 9981 C:\Program Files\ESET\RemoteAdministrator\Server\ERAServer.exe, TCP port 2222 Remarque Les chemins courants vers les fichiers .exe peuvent varier selon l'emplacement dans lequel chaque composant ESET PROTECT est installé sur le système d'exploitation de votre client. • Un serveur de base de données est déjà installé et configuré. Assurez-vous de satisfaire aux exigences pour Microsoft SQL ou MySQL. • L'utilisation de la RAM du connecteur MDM est optimisée de sorte qu'il peut y avoir un maximum de 48 processus « ESET PROTECT MDMCore » en cours d'exécution en même temps. Si l'utilisateur connecte davantage d'appareils, les processus vont alors changer périodiquement pour chaque appareil qui à ce moment a besoin d'utiliser les ressources. • Microsoft .NET Framework 4 doit être installé; vous pouvez l'installer à l'aide de l'assistant d'Ajout de rôles et de fonctionnalités (comme indiqué ci-dessous). .NET Framework est uniquement requis pour l'installation de MS SQL Server Express. 84 Exigences pour les certificats • Vous aurez besoin d'un certificat SSL au format .pfxpour assurer une communication sécurisée sur HTTPS. Nous vous recommandons d'utiliser un certificat fourni par une autorité de certification (autorité de certification ESET PROTECT ou autorité de certification tierce). Les certificats auto signés ne sont pas recommandés, parce que ce ne sont pas tous les appareils mobiles qui permettent aux utilisateurs d'accepter les certificats auto signés. Ce problème ne s'applique pas aux certificats signés à l'aide de l'AC, parce qu'ils sont fiables et ne requièrent aucune acceptation de la part de l'utilisateur. • Vous devez avoir un certificat signé par l'autorité de certification (autorité de certification ESET PROTECT ou autorité de certification tierce) ainsi que la clé privé correspondante, et utiliser les procédures standards pour les fusionner (traditionnellement en utilisant OpenSSL) en un fichier .pfx : openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out httpsCredentials.pfx Ceci est une procédure standard pour la plupart des serveurs qui utilisent des certificats SSL. • Pour l'installation hors ligne, vous aurez besoin d'un certificat homologue (le certificat d'agent exporté de ESET PROTECT). Par ailleurs, vous pouvez utiliser votre certificat personnalisé avec ESET PROTECT. Activation du Connecteur d’appareils mobiles Une fois le connecteur d'appareils mobiles installé, vous devez l'activer avec une licence de point d'extrémité, professionnelle ou de bureau ESET : 1. Ajoutez la licence de point d'extrémité, professionnelle ou de bureau ESET à la gestion des licences de ESET PROTECT, en suivant les étapes présentées ici. 2. Activer Mobile Device Connector en utilisant les tâches client d'activation de produit. Cette procédure est la même que lorsque vous activez un produit ESET sur un ordinateur client; dans ce cas, le connecteur d'appareil mobile est l'ordinateur client. 85 Fonctionnalité de licence pour iOS de MDM Puisqu'ESET ne propose pas d'application sur l'App Store d'Apple, le Connecteur d'appareil mobile d'ESET stocke tous les détails de licence pour les appareils iOS. Les licences sont par appareil et peuvent être activées à l'aide d'une Tâche d'activation de produit (la même que sous Android). Les licences iOS peuvent être désactivées en utilisant l'une des méthodes suivantes : • Suppression de l'appareil de la gestion à l'aide de la tâche Arrêter la gestion • Désinstallation de MDC à l'aide de l'option Supprimer la base de données • Désactivation en utilisant d'autres moyens (ESET PROTECT ou désactivation EBA) Puisque MDC communique avec les serveurs de licence ESET au nom des appareils iOS, le portail EBA reflète l'état du MDC et non l'état de chaque appareil. Les renseignements actuels de l'appareil sont toujours disponibles dans la console Web de ESET PROTECT. Les périphériques qui ne sont pas activés ou les périphériques dont les licences sont expirées affichent un état de la protection rouge ainsi que le message « Produit non activé ». Ces appareils vont refuser de gérer des tâches, d'établir des politiques et de livrer les journaux non critiques. Pendant la désinstallation de MDM, si l'option Ne pas supprimer la base de données est sélectionnée, les licences utilisées ne seront pas désactivées. Ces licences peuvent être réutilisées si MDM est réinstallé sur cette base de données, supprimée à l'aide de ESET PROTECT ou pardésactivation EBA. Lors du déplacement vers un autre serveur MDM, vous devez exécuter à nouveau la tâche d'activation de produit. Exigences de certificat HTTPS Pour inscrire un appareil mobile dans Connecteur d'appareil mobile ESET, assurez-vous que le serveur HTTPS retourne la chaîne complète du certificat. Pour que le certificat fonctionne correctement, les exigences suivantes doivent être remplies : • Le certificat HTTPS (pkcs#12/pfx) doit contenir la chaine complète du certificat, y compris le CA racine. • Le certificat doit être valide pendant le temps requis (valable à partir de/valable jusqu'en) • Le CommonName ou subjectAltName doit correspondre au nom d'hôte MDM. Remarque Si, par exemple, le nom d'hôte MDM est hostname.mdm.domain.com, votre certificat peut contenir des noms comme : • hostname.mdm.domain.com • *.mdm.domain.com Mais pas des noms comme : •* • *.com • *.domain.com En principe, le caractère « * » ne peut pas être utilisé à la place du « point ». Ce comportement est confirmé pour la façon dont iOS accepte les certificats pour MDM. Remarque Veuillez noter que certains périphériques prennent en compte leur fuseau horaire actuel lors de la vérification de la validité du certificat, alors que d'autres ne le font pas. Pour éviter d'éventuels problèmes, donnez au certificat sa validité un jour ou deux avant la date du jour. 86 Installation et cache du mandataire HTTP Apache À propos du serveur mandataire HTTP Apache Le serveur mandataire HTTP Apache peut servir à plusieurs fins : Fonction Mise en cache des téléchargements et des mises à jour Mise en cache des résultats de ESET Dynamic Threat Defense Communication des agents ESET Management (réplication) avec le serveur ESET PROTECT Solution mandataire qui fournit cette fonction Serveur mandataire HTTP Apache ou autre solution mandataire Uniquement le mandataire HTTP Apache configuré Serveur mandataire HTTP Apache ou autre solution mandataire IMPORTANT Si le mandataire HTTP Apache est déjà installé sur Windows et que vous souhaitez mettre à niveau vers la version la plus récente, passez à Mettre à niveau le mandataire HTTP Apache. Fonction de mise en cache du mandataire HTTP Apache Apache HTTP Proxytéléchargement et mise en cache : • Mises à jour des modules d'ESET • Progiciel d'installation à partir des serveurs de répertoire • Mises à jour des composants de produit Les données mises en cache sont distribuées aux clients des points d’extrémité de votre réseau. La mise en cache peut réduire considérablement le trafic Internet sur votre réseau. Remarque Vous pouvez choisir d'installer Squid comme alternative au mandataire HTTP Apache. Vous pouvez installer le mandataire HTTP Apache sur Windows de deux façons : • Installation à partir du programme d'installation tout-en-un • Installation à partir du programme d'installation autonome Installation à partir du programme d'installation autonome 1. Visitez la section Téléchargement de ESET PROTECT pour télécharger le programme d'installation autonome pour les composants de ESET PROTECT (apachehttp.zip). 2. Ouvrez ApacheHttp.zip et extrayez les fichiers vers C:\Program Files\Apache HTTP Proxy Remarque Si vous souhaitez installer le mandataire HTTP Apache sur un autre disque dur, C:\Program Files\ doit être remplacé par le chemin correspondant dans les instructions ci-dessous et dans le fichier httpd.conf situé dans le répertoire Apache HTTP Proxy\conf. Par exemple, si le contenu de ApacheHttp.zip est extrait dans D:\Apache Http Proxy, alors C:\Program Files\ doit être remplacé par D:\Apache Http Proxy. 3. Ouvrez une invite de commande administrative et changez le répertoire C:\Program Files\Apache HTTP Proxy\bin (commande ). 4. Exécutez la commande suivante : httpd.exe -k install -n ApacheHttpProxy 87 5. Démarrez le service mandataire ApacheHttpProxy à l'aide de la commande : sc start ApacheHttpProxy 6. Vous pouvez vérifier que le service est en cours d'exécution dans le services.msc jeu d'outils intégrable (recherchez ApacheHttpProxy). Par défaut, le service est configuré pour démarrer automatiquement. Après l’installation, configurez le serveur mandataire HTTP Apache pour les fonctionnalités souhaitées. Configuration du mandataire HTTP Apache Le programme d'installation du mandataire HTTP Apache fourni par ESET est préconfiguré. Toutefois, une configuration personnalisée supplémentaire est nécessaire pour que le service fonctionne correctement. Configuration du mandataire HTTP Apache pour la réplication (Agent - Serveur) 1. Modifiez le fichier de configuration de Apache HTTP Proxy httpd.conf situé dans C:\Program Files\Apache HTTP Proxy\conf. a.Par défaut, le port 2222 est utilisé pour les communications avec ESET Management l'agent. Si vous avez modifié le port lors de l'installation, servez-vous du nouveau numéro de port. Dans la ligne AllowCONNECT 443 563 2222 8883, remplacez 2222 par votre numéro de port. b.Ajoutez un segment ProxyMatch séparé : I.L'adresse que vos agents utilisent pour se connecter au serveur ESET PROTECT II.Toutes les autres adresses possibles de votre serveur ESET PROTECT (IP, FQDN) (ajoutez le code ci-dessous en entier; l'adresse IP 10.1.1.10 et le nom d'hôte hostname.example sont présentés à titre d'exemples seulement; vous devez les remplacer par vos adresses. Vous pouvez également générer l'expression ProxyMatch à l'aide de cet article de la base de connaissances.) <ProxyMatch ^(hostname\.example(:[0-9]+)?(\/.*)?|10\.1\.1\.10(:[0-9]+)?(\/.*)?)$> Allow from all </ProxyMatch> c.Redémarrez le service Apache HTTP Proxy. 2. Configurez une politique d'agent appropriée pour vous assurer que vos agents utilisent le mandataire pour la réplication. Configuration du mandataire HTTP Apache pour la mise en cache 1. Démarrez le service mandataire ApacheHttpProxy à l'aide de la commande : sc stop ApacheHttpProxy 2. Ouvrez le fichier C:\Program Files\Apache HTTP Proxy\conf\httpd.conf avec un éditeur de texte simple. Ajoutez les lignes suivantes à la fin du fichier : 88 ServerRoot "C:\Program Files\Apache HTTP Proxy" DocumentRoot "C:\Program Files\Apache HTTP Proxy\htdocs" <Directory "C:\Program Files\Apache HTTP Proxy\htdocs"> Options Indexes FollowSymLinks AllowOverride None Require all granted </Directory> CacheRoot "C:\Program Files\Apache HTTP Proxy\cache" 3. Enregistrez le fichier et démarrez le service Apache. sc start ApacheHttpProxy Remarque Si vous souhaitez que le répertoire du cache soit situé ailleurs, par exemple sur un autre lecteur de disque, tel que D:\Apache HTTP Proxy\cache, alors dans la dernière ligne du code ci-dessus remplacez "C:\Program Files\Apache HTTP Proxy\cache" par "D:\Apache HTTP Proxy\cache". Configuration du mandataire HTTP Apache pour le nom d'utilisateur et le mot de passe Le nom d'utilisateur et le mot de passe ne peuvent être utilisés que pour la mise en cache. L'authentification n'est pas prise en charge dans le protocole de réplication utilisé dans la communication agent-serveur. 1. Arrêtez le service ApacheHttpProxy en ouvrant une invite de commandes avec élévation de privilèges et exécutez la commande suivante : sc stop ApacheHttpProxy 2. Vérifiez si les modules suivants sont présents dans C:\Program Files\Apache HTTP Proxy\conf\httpd.conf : LoadModule authn_core_module modules\mod_authn_core.dll LoadModule authn_file_module modules\mod_authn_file.dll LoadModule authz_groupfile_module modules\mod_authz_groupfile.dll LoadModule auth_basic_module modules\mod_auth_basic.dll 3. Ajoutez les lignes suivantes à C:\Program Files\Apache HTTP Proxy\conf\httpd.conf sous <Proxy *> : AuthType Basic AuthName "Password Required" AuthUserFile password.file AuthGroupFile group.file Require group usergroup 89 4. Utilisez la commande htpasswd pour créer un fichier nommé password.file dans le dossier Apache HTTP Proxy\bin\ (il vous sera demandé d'entrer un mot de passe) : htpasswd.exe -c ..\password.file username 5. Créez manuellement le fichier group.file dans le dossier Apache HTTP Proxy\ avec le contenu suivant : usergroup:username 6. Démarrez le service ApacheHttpProxy en exécutant la commande suivante dans une invite de commandes avec élévation de privilèges : sc start ApacheHttpProxy 7. Testez la connexion au mandataire HTTP en accédant à l'adresse URL suivante dans votre navigateur : http://[IP address]:3128/index.html Remarque Après avoir terminé l'installation du serveur mandataire HTTP Apache, vous avez l'option d'autoriser seulement les communications ESET (bloquer tout autre trafic - valeur par défaut) ou d'autoriser tout le trafic. Effectuez les modifications de configuration nécessaires décrites ici : • Transfert pour les communications ESET seulement • Chaînage du serveur mandataire (tout le trafic) Afficher une liste de contenu actuellement mis en cache "C:\Program Files\Apache HTTP Proxy\bin\htcacheclean.exe" -a -p "C:\ProgramData\Apache HTTP Proxy\cache" Utilisez le htcacheclean pour effacer le cache du disque. La commande recommandée (qui défini la taille de la cache à 20 Go et la limite des fichiers en cache à environ 128000) est présentée ici : "C:\Program Files\Apache HTTP Proxy\bin\htcacheclean.exe" -n -t^ -p"C:\ProgramData\Apache HTTP Proxy\cache" -l20000M -L128000 Pour planifier un nettoyage du cache toutes les heures, lancez : schtasks /Create /F /RU "SYSTEM" /SC HOURLY /TN ESETApacheHttpProxyCleanTask^ /TR "\"C:\Program Files\Apache HTTP Proxy\bin\htcacheclean.exe\"^ -n -t -p \"C:\ProgramData\Apache HTTP Proxy\cache\" -l20000M -L128000" Si vous choisissez d'autoriser tout le trafic, les commandes recommandées sont les suivantes : "C:\Program Files\Apache HTTP Proxy\bin\htcacheclean.exe" -n -t^ -p"C:\ProgramData\Apache HTTP Proxy\cache" -l20000M schtasks /Create /F /RU "SYSTEM" /SC HOURLY /TN ESETApacheHttpProxyCleanTask^ /TR "\"C:\Program Files\Apache HTTP Proxy\bin\htcacheclean.exe\"^ -n -t -p \"C:\ProgramData\Apache HTTP Proxy\cache\" -l20000M" Remarque Le caractère ^ qui se trouve immédiatement après la fin de la ligne dans les commandes ci-dessus est essentiel; s'il n'est pas inclus, la commande ne s'exécutera pas correctement. 90 Pour en savoir plus, veuillez visiter cet article sur la Base de connaissances ou la documentation Apache à propos de l'authentification et de l'autorisation. Squid installation sur Windows et cache de mandataire HTTP vous pouvez choisir d'installer Squid à la place du mandataire HTTP Apache. Voici les étapes à suivre pour installer Squid sur Windows : 1. Téléchargez le programme d'installation MSI de Squid et installez Squid. 2. Cliquez sur l'icône Squid for Windows dans le menu de la barre d'état et sélectionnez Stop Squid Service. 3. Accédez au dossier d'installation de Squid, par exemple C:\Squid\bin et exécutez la commande suivante à partir de la ligne de commande : squid.exe -z -F Cela crée les répertoires d'échange pour le cache. 4. Cliquez sur l'icône Squid for Windows dans le menu de la barre d'état et sélectionnez Open Squid Configuration. 5. Remplacez http_access deny all par http_access allow all. 6. Activez la mise en cache du disque en ajoutant la ligne suivante : cache_dir aufs /cygdrive/c/Squid/var/cache 3000 16 256 Remarque • Vous pouvez changer l'emplacement du répertoire de cache en fonction de vos préférences. Dans l'exemple, le répertoire de cache est situé dans C:\Squid\var\cache (notez le format du chemin dans la commande). • Vous pouvez également modifier la taille totale du cache (3000 Mo dans l'exemple) et le nombre de sous-répertoires de premier niveau (16 dans l'exemple) et de sous-répertoires de second niveau (256 dans l'exemple) du répertoire cache. 7. Enregistrez et fermez le fichier de configuration de Squid qui est squid.cofn. 8. Cliquez sur l'icône Squid for Windows dans le menu de la barre d'état et sélectionnez Start Squid Service. 9. Vous pouvez vérifier que le service Squid est en cours d'exécution dans le jeu d'outils intégrable services.msc (recherchez Squid for Windows). Référentiel hors connexion Depuis la sortie de ERA version 6.5, l'outil Miroir peut également être utilisé pour créer un référentiel hors connexion (sous Windows). Habituellement, cela est nécessaire pour les réseaux informatiques fermés ou les réseaux à accès Internet limité. L'outil Miroir peut être utilisé pour créer un clone du référentiel ESET dans un dossier local. Ce référentiel cloné peut ensuite être déplacé (par exemple sur un disque externe) vers un emplacement du réseau fermé. Vous pouvez copier le référentiel vers un emplacement sécurisé dans le réseau local et le rendre disponible via le serveur HTTP. Pour mettre à jour le référentiel hors connexion, exécutez la même commande avec les mêmes paramètres que ceux utilisés pour la création du référentiel hors connexion. Les données précédentes dans le dossier intermédiaire 91 seront utilisées et seuls les fichiers obsolètes seront téléchargés. IMPORTANT Sachez que la taille du répertoire est en croissance et que le répertoire intermédiaire sera de la même taille. Assurez-vous d'avoir au moins 600 Go d'espace libre avant de commencer cette procédure. Exemple de scénario pour Windows Partie I : Créer un clone du référentiel 1. Téléchargez l'outil Miroir. 2. Extrayez l'outil Miroir du fichier .zip téléchargé. 3. Préparez (créez) des dossiers pour : • les fichiers intermédiaires • le référentiel final 4. Ouvrez l'invite de commandes et changez le répertoire dans le dossier où l'outil Miroir est extrait (commande cd) 5. Exécutez la commande suivante (modifiez les dossiers des référentiels intermédiaire et de sortie vers les dossiers de l'étape 3) : MirrorTool.exe --repositoryServer AUTOSELECT ^ --intermediateRepositoryDirectory C:\Intermediary ^ --outputRepositoryDirectory C:\Repository 6. Une fois le référentiel copié dans le dossier outputRepositoryDirectory, déplacez le dossier et son contenu vers un autre ordinateur à partir duquel votre réseau fermé est accessible. Partie II : Configurer un serveur HTTP 7. Vous avez besoin d'un serveur HTTP s'exécutant sur la machine se trouvant dans le réseau fermé. Vous pouvez utiliser : • Apache HTTP Proxy à partir du site de téléchargement d'ESET (ce scénario) • un autre serveur HTTP 8. Ouvrez apachehttp.zip et extrayez les fichiers vers C:\Program Files\Apache HTTP Proxy 9. Ouvrez une invite de commande administrative et changez le répertoire C:\Program Files\Apache HTTP Proxy\bin (commande cd). 10. Exécutez la commande suivante : httpd.exe -k install -n ApacheHttpProxy 11. À l'aide d'un éditeur de texte simple, ouvrez le fichier C:\Program Files\Apache HTTP Proxy\conf\httpd.conf et ajoutez les lignes suivantes en bas du fichier : Listen 80 ServerRoot "C:\Program Files\Apache HTTP Proxy" DocumentRoot "C:\Program Files\Apache HTTP Proxy\htdocs" <Directory "C:\Program Files\Apache HTTP Proxy\htdocs"> Options Indexes FollowSymLinks AllowOverride None Require all granted </Directory> CacheRoot "C:\Program Files\Apache HTTP Proxy\cache" 12. Démarrez le service mandataire ApacheHttpProxy à l'aide de la commande : 92 sc start ApacheHttpProxy 13. Vérifiez si le service est en cours d'exécution en ouvrant http://YourIPaddress:80/index.html dans votre navigateur web (remplacez YourIPaddress par l'adresse IP de votre ordinateur). Partie III : Exécuter le référentiel hors connexion 14. Créez un nouveau dossier pour votre référentiel hors connexion, par exemple, C:\Repository. 15. Dans le fichier httpd.conf, remplacez les lignes suivantes DocumentRoot "C:\Program Files\Apache HTTP Proxy\htdocs" <Directory "C:\Program Files\Apache HTTP Proxy\htdocs"> par l'adresse du dossier du référentiel, comme suit : DocumentRoot "C:\Repository" <Directory "C:\Repository"> 16. Copiez le référentiel téléchargé dans C:\Repository . 17. Démarrez le service mandataire ApacheHttpProxy à l'aide de la commande : sc restart ApacheHttpProxy 18. Maintenant, votre référentiel hors connexion s'exécute sur l'adresse http://YourIPaddress (par exemple, http://1 0.1.1.10). 19. Définissez l'adresse du nouveau référentiel : a.Dans le serveur ESET PROTECT, ouvrez la console Web ESET PROTECT et cliquez sur Plus > Paramètres du serveur. b.Pour tous les agents ESET Management, cliquez sur Politiques. Grappe de basculement Voici les étapes de haut niveau nécessaires pour installer ESET PROTECT dans un environnement de grappe de basculement. Remarque Consultez également cet article de la base de connaissances sur l'installation en grappe du serveur ESET PROTECT. 1. Créez une grappe de basculement avec un disque partagé : • Instructions pour créer une grappe de basculement dans Windows Server 2016 et 2019 • Instructions pour créer une grappe de basculement dans Windows Server 2012 et 2012 R2 • Instructions pour créer une grappe de basculement dans Windows Server 2008 R2 2. Dans l'assistant de création de grappe entrez le nom d'hôte souhaité (créez-en un) ainsi que l'adresse IP. 3. Mettez le disque partagé de la grappe en ligne sur le nœud1, puis installez le serveur ESET PROTECT en utilisant le programme d'installation autonome qu'il contient. Veillez à ce que l'option Installation de grappe soit sélectionnée lors de l'installation, et choisissez le disque partagé comme emplacement de stockage de données de l'application. Créez un nom d'hôte et entrez-le pour le certificat de serveur du serveur ESET 93 PROTECT à côté des noms d'hôte pré remplis. Rappelez-vous de ce nom d'hôte et utilisez-le à l'étape 6 lors de la création du rôle du serveur ESET PROTECT dans le gestionnaire de grappe. 4. Arrêtez le serveur ESET PROTECT sur le nœud1, et ramenez le disque partagé de la grappe en ligne sur le nœud2, puis installez le serveur ESET PROTECT en utilisant le programme d'installation autonome qu'il contient. Assurez-vous que l'option Installation de grappe est sélectionnée pendant l'installation. Choisir un disque partagé pour le stockage de données d'application. Gardez les informations de connexion et de certificats de la base de données intacts; ils ont été configurés pendant l'installation du serveur ESET PROTECT sur le nœud1. 5. Configurez votre pare-feu pour autoriser les connexions entrantes sur tous les ports utilisés par le serveur ESET PROTECT. 6. Dans le gestionnaire de configuration de grappe, créez et démarrez un rôle (Configurer un rôle > Sélectionner un rôle > Service générique ...) pour le service du serveur ESET PROTECT. Sélectionnez le service du serveur ESET PROTECT dans la liste des services disponibles. Il est très important d'utiliser le même nom d'hôte pour le rôle que celui qui a été utilisé à l'étape 3 pour le certificat du serveur. Remarque Le terme Rôle est disponible dans Windows server 2012 et les versions ultérieures. Dans Windows server 2008 R2, ce sont plutôt Services et applications qui sont utilisés. 7. Installez l'agent ESET Management sur tous les nœuds de grappe en utilisant le programme d'installation autonome. Dans les fenêtres Configuration de l'agent et Connexion au serveur ESET PROTECT, utilisez le nom d'hôte que vous avez utilisé à l'étape 6. Enregistrez les données de l'agent sur le nœud local (pas sur le disque de la grappe). 8. Le serveur Web (Apache Tomcat) n'est pas pris en charge sur une grappe; il doit donc être installé sur un disque qui n'est pas mis en grappe ou sur un ordinateur différent : a.Installez la Web Console sur un autre ordinateur et configurez-la correctement pour qu'elle se connecte au rôle de la grappe de serveur ESET PROTECT. b.Une fois la console Web installée, localisez son fichier de configuration dans : C:\Program Files\Apache Software Foundation\[ Tomcat dossier ]\webapps\era\WEBINF\classes\sk\eset\era\g2webconsole\server\modules\config\EraWebServerConfig.properties c.Ouvrez le fichier avec Notepad ou tout autre éditeur de texte simple. À la ligne server_address=localhost, remplacez localhost par l'adresse IP ou le nom d'hôte du rôle de grappe du serveur ESET PROTECT. Installation d'un composant sur Linux Dans la plupart des scénarios d'installation, vous devez installer différents composants de ESET PROTECT sur des machines différentes pour pouvoir fonctionner avec différentes architectures de réseau, pour répondre aux exigences de performance ou pour d'autres raisons. Pour une installation étape par étape de ESET PROTECT, suivez les instructions contenues dans ce chapitre. Pour mettre à niveau ESET PROTECT pour Linux à l'aide de la version la plus récente, consultez le chapitre sur la tâche de mise à niveau des composants ou l'article correspondant de la base de connaissances. Remarque Pour installer des logiciels dans Fedora, utilisez la commande dnf et non yum. Principaux composants • Serveur ESET PROTECT • Console Web ESET PROTECT • Agent ESET Management • un serveur de base de données 94 Composants optionnels • Capteur RD • Connecteur d'appareil mobile • Serveur mandataire HTTP Apache • Mandataire HTTP Apache en tant que mandataire pour l'agent - Connexion au serveur • Outil de miroir Installation et configuration de MySQL Installation Avertissement Assurez-vous d'installer un version prise en charge de MySQL Server et d'ODBC Connector. Si vous avez déjà installé et configuré MySQL, passez à l'étape Configuration. 1. Avant d'installer la base de données sous Linux, ajoutez le référentiel MySQL : Debian, Ubuntu Exécutez la commande suivante dans le terminal : a)wget https://dev.mysql.com/get/mysql-apt-config_0.8.15-1_ all.deb b)sudo dpkg -i mysql-apt-config_0.8.15-1_all.deb CentOS, Red Hat, Fedora OpenSuse, SUSE Linux Enterprise Server Consultez également : Ajout du référentiel APT MySQL Ajout du référentiel Yum MySQL Ajout du référentiel SLES MySQL 2. Après avoir ajouté le répertoire MySQL, mettez à jour le cache de votre répertoire local (par exemple sur Debian, exécutez sudo apt-get update), et vous pouvez continuer l'installation de MySQL. 3. L'installation de MySQL est différente en fonction de la distribution Linux et de la version utilisée : Linux MySQL Commande d'installation du serveur : MySQL Installation avancée du serveur : distribution : Debian, sudo apt-get install mysql-server https://dev.mysql.com/doc/refman/5.7/en/linux-installation-apt-repo.html Ubuntu CentOS, sudo yum install mysql-server https://dev.mysql.com/doc/refman/5.7/en/linux-installation-yum-repo.html Red Hat, Fedora OpenSuse, sudo zypper install mysql-community-server https://dev.mysql.com/doc/refman/5.7/en/linux-installation-sles-repo.html SUSE Linux Enterprise Server • Installation manuelle – Téléchargez et installez l'édition MySQL Community Server à partir de : https://dev.mysql.com/downloads/mysql/ Configuration 1. Exécutez la commande suivante pour ouvrir le fichier my.cnf (my.ini pour une installation Windows) dans un éditeur de texte : sudo nano /etc/mysql/my.cnf (si le fichier n'existe pas, essayez /etc/my.cnf ou /etc/my.cnf.d/community-mysql-server.cnf 2. Trouvez la configuration suivante dans la section [mysqld] du fichier my.cnf et modifiez ses valeurs. Si le fichier ne contient pas les paramètres, ajoutez-les à la section [mysqld] : 95 max_allowed_packet=33M • Pour MySQL 8 vous devez définir la variable suivante : olog_bin_trust_function_creators=1 oVous pouvez également désactiver la journalisation binaire : log_bin=0 • Pour MySQL 5.6.20 et 5.6.21 (vous pouvez déterminer votre version de MySQL en utilisant mysql -version) : oinnodb_log_file_size doit être configurée au moins à 200 Mo (par exemple innodb_log_file_size=200M), mais pas plus de 3000 Mo • Pour MySQL 5.6.22 et les versions ultérieures prises en charge (y compris la version 8) : oinnodb_log_file_size*innodb_log_files_in_group doit être configurée au moins à 200 Mo (* désigne la multiplication, le produit des deux paramètres doit être > 200 Mo. La valeur minimale de innodb_log_files_in_group est de 2 et la valeur maximale est de 100. La valeur doit également être un entier). Par exemple : innodb_log_file_size=100M innodb_log_files_in_group=2 3. Enregistrez et fermez le fichier, puis entrez la commande suivante pour redémarrer le serveur MySQL et appliquer la configuration (dans certains cas, le nom du service est mysqld) : sudo service mysql restart 4. Exécutez la commande suivante pour configurer MySQL, y compris les privilèges et le mot de passe (ceci est optionnel et peut ne pas fonctionner pour certaines distributions de Linux) : /usr/bin/mysql_secure_installation 5. Entrez la commande suivante pour vérifier si le serveur MySQL fonctionne : sudo service mysql status Installation et configuration de ODBC Avertissement Assurez-vous d'installer un version prise en charge de MySQL Server et d'ODBC Connector. Remarque Vous pouvez installer le pilote MS ODBC (version 13 et ultérieure) pour connecter le serveur ESET PROTECT sous Linux à MS SQL Server sous Windows. Pour plus d'informations, consultez cet article de la base de connaissances. Debian, Ubuntu Exécutez la commande suivante dans le terminal : 1. sudo apt-get install unixodbc 2. Téléchargez le connecteur ODBC : • Ubuntu 16 : wget https://downloads.mysql.com/archives/get/p/10/file/mysql-connector-odbc-8.0.17-lin ux-ubuntu16.04-x86-64bit.tar.gz • Ubuntu 18 : wget https://downloads.mysql.com/archives/get/p/10/file/mysql-connector-odbc-8.0.17-lin ux-ubuntu18.04-x86-64bit.tar.gz • Ubuntu 19 et 20 : wget https://downloads.mysql.com/archives/get/p/10/file/mysql-connector-odbc-8.0.17-lin ux-ubuntu19.04-x86-64bit.tar.gz 96 3. gunzip mysql-connector-odbc-8.0.17-linux-ubuntu19.04-x86-64bit.tar.gz (Le nom du progiciel peut être différent en fonction du lien utilisé.) 4. tar xvf mysql-connector-odbc-8.0.17-linux-ubuntu19.04-x86-64bit.tar (Le nom du progiciel peut être différent en fonction du lien utilisé.) 5. cd mysql-connector-odbc-8.0.17-linux-ubuntu19.04-x86-64bit (Le nom du progiciel peut être différent en fonction du lien utilisé.) 6. sudo cp bin/* /usr/local/bin 7. sudo cp lib/* /usr/local/lib 8. Enregistrer le pilote de l'ODBC. Pour les nouvelles versions de Linux comme Ubuntu 20.x, nous recommandons d'utiliser le pilote Unicode, étape a). Pour les autres systèmes, ou lorsque le pilote Unicode ne fonctionne pas, utilisez l'étape b). a.sudo myodbc-installer -a -d -n "MySQL ODBC 8.0 Driver" -t "Driver=/usr/local/lib/libmyodbc8w.so" b.sudo myodbc-installer -a -d -n "MySQL ODBC 8.0" -t "Driver=/usr/local/lib/libmyodbc8a.so" 9. myodbc-installer -d -l Pour plus d'informations, consultez : https://dev.mysql.com/doc/connector-odbc/en/connector-odbc-installation-binary-unix-tarball.html. Autres distributions Linux pris en charge 1. Téléchargez le connecteur ODBC pour MySQL sur le site officiel de MySQL. Assurez-vous de sélectionner et de télécharger la version compatible avec votre distribution et votre version de Linux. 2. Suivez ces instructions pour installer le pilote ODBC : • CentOS, Red Hat, Fedora: https://dev.mysql.com/doc/connector-odbc/en/connector-odbc-installation-binary-yum.html • OpenSuse, SUSE Linux Enterprise Server: https://dev.mysql.com/doc/connector-odbc/en/connector-odbc-installation-binary-unix-rpm.html 3. Exécutez la commande suivante pour ouvrir le fichier odbcinst.ini dans un éditeur de texte : sudo nano /etc/odbcinst.ini 4. Copiez la configuration suivante dans le fichier odbcinst.ini (assurez-vous que les chemins vers Pilote et Configuration sont exacts), puis enregistrez et fermez le fichier : [MySQL] Description = ODBC for MySQL Driver = /usr/lib/x86_64-linux-gnu/odbc/libmyodbc.so Setup = /usr/lib/x86_64-linux-gnu/odbc/libodbcmyS.so FileUsage = 1 Il se peut que le pilote se trouve dans un emplacement différent pour certaines distributions. Vous pouvez trouver le fichier en utilisant la commande suivante : sudo find /usr -iname "*libmyodbc*" 5. Mettez à jour les fichiers de configuration qui contrôlent l'accès ODBC aux serveurs de bases de données sur l'hôte actuel en exécutant la commande suivante : sudo odbcinst -i -d -f /etc/odbcinst.ini 97 Installation du serveur - Linux L'installation du composant du serveur ESET PROTECT sous Linux s'effectue à l'aide d'une commande dans le Terminal. Vous pouvez préparer un script d'installation, puis l'exécuter en utilisant sudo. Assurez-vous que toutes les exigences sont respectées avant de commencer l'installation. Remarque Pour installer le serveur ESET PROTECT sur SUSE Linux Enterprise Server (SLES), suivez les instructions de notre article de la base de connaissance. 1. Téléchargez le composant Serveur ESET PROTECT : wget https://download.eset.com/com/eset/apps/business/era/server/linux/latest/server-linux-x86_64.sh 2. Rendez le fichier téléchargé exécutable : chmod +x server-linux-x86_64.sh 3. Exécutez le script d'installation en vous basant sur l'exemple ci-dessous (Les nouvelles lignes sont divisées à l'aide du caractère « \ » pour la copie de toute la commande sur le terminal) : sudo ./server-linux-x86_64.sh \ --skip-license \ --db-type="MySQL Server" \ --db-driver="MySQL ODBC 8.0 Driver" \ --db-hostname=127.0.0.1 \ --db-port=3306 \ --db-admin-username=root \ --db-admin-password=password \ --server-root-password=password \ --db-user-username=root \ --db-user-password=password \ --cert-hostname="hostname, IP, FQDN" Vous pouvez modifier les attributs suivants : Attribut --uninstall --keep-database --locale --skip-license --skip-cert --license-key --server-port --console-port --server-root-password 98 Description Désinstalle le produit. La base de données ne sera pas supprimée au cours de la désinstallation. L'identificateur de paramètres régionaux (LCID) du serveur installé (la valeur par défaut est en_US). Voir Langues prises en charge pour les options possibles. Remarque : Vous pouvez définir une langue pour chaque session de la console Web ESET PROTECT. En cours de l'installation, aucune confirmation de de la licence d'utilisation du logiciel ne sera demandée à l'utilisateur. Ignorez la génération de certificats (à utiliser avec le paramètre -server-cert-path). Clé de licence ESET. Il est possible de la définir plus tard. ESET PROTECT port du serveur (la valeur par défaut est 2222) Port de la console de ESET PROTECT (la valeur par défaut est 2223) Le mot de passe d'ouverture de session sur la console Web pour l'utilisateur « Administrateur », doit avoir au moins 8 caractères Requis Oui Oui Attribut --db-type Description Requis Type de base de données qui sera utilisée (valeurs possibles : "MySQL Server", "MS SQL Server"). MS SQL Server sur Linux n'est pas pris en charge. Cependant, vous pouvez connecter le serveur ESET PROTECT sous Linux à MS SQL Server sous Windows. --db-driver Pilote ODBC utilisé pour la connexion à la base de données (par Oui exemple, la commande odbcinst -q -d donne une liste de pilotes disponibles; utilisez l'un de ces pilotes : --db-driver=MySQL). --db-hostname Nom de l'ordinateur ou adresse IP du serveur de base de données. Oui L'instance de base de données nommée n'est pas prise en charge. --db-port Port du serveur de base de données (la valeur par défaut est 3306). Oui --db-name Nom de la base de données du serveur ESET PROTECT (la valeur par défaut est era_db). --db-admin-username Nom d'utilisateur de l'administrateur de la base de données (utilisé par Oui l'installation pour créer et modifier la base de données). Ce paramètre peut être omis s'il existe déjà un utilisateur de base de données défini dans --db-user-username et dans --db-user-password --db-admin-password Mot de passe de l'administrateur de la base de données. Ce paramètre Oui peut être omis s'il existe déjà un utilisateur de base de données défini par --db-user-username et par--db-user-password --db-user-username Nom d'utilisateur du serveur de la base de données ESET PROTECT Oui (utilisé par le serveur ESET PROTECT pour la connexion à la base de données); ne devrait pas contenir plus de 16 caractères --db-user-password Mot de passe utilisateur de la base de données du serveur ESET Oui PROTECT --cert-hostname Contient tous les noms ou les adresses IP possibles de l'ordinateur sur Oui lequel le serveur ESET PROTECT sera installé. Ce nom devra correspondre avec le nom du serveur indiqué dans le Certificat de l'agent qui essaie de se connecter au serveur. --server-cert-path Chemin d'accès au certificat homologue du serveur (utiliser cette option si vous avez aussi indiqué --skip-cert) --server-cert-password Mot de passe de certificat homologue de serveur --agent-cert-password Mot de passe de certificat homologue de l'Agent --cert-auth-password Mot de passe de l'autorité de certification --cert-auth-path Chemin vers le fichier de l'autorité de certification --cert-auth-common-name Nom commun de l'autorité de certification (utiliser "") --cert-organizational-unit --cert-organization --cert-locality --cert-state --cert-country --cert-validity Période de validité du certificat en jours ou en années (spécifier dans l'argument --cert-validity-unit) --cert-validity-unit Unité de période de validité du certificat, les valeurs possibles sont « Années » ou « Jours » (la valeur par défaut est Years) --ad-server Serveur Active Directory --ad-user-name Nom de l'utilisateur autorisé à effectuer des recherches sur le réseau AD --ad-user-password Mot de passe de l'utilisateur pour Active Directory --ad-cdn-include Chemin de l'arborescence d'Active Directory qui sera synchronisé; utilisez des guillemets vides "" pour indiquer une synchronisation complète de l'arborescence --enable-imp-program Activez le programme d'amélioration de produit. --disable-imp-program Désactivez le programme d'amélioration de produit. 4. Au cours de l'installation, il vous est demandé si vous souhaitez participer au programme d'amélioration du produit. Appuyez sur Y si vous acceptez d'envoyer des rapports d'incident et des données de télémétrie à ESET ou appuyez sur N pour ne pas envoyer de données. 99 5. Le serveur ESET PROTECT et le service eraserver seront installés à l'emplacement suivant : /opt/eset/RemoteAdministrator/Server 6. Après l'installation, vérifiez que le service du serveur ESET PROTECT fonctionne en utilisant la commande ci- dessous : service eraserver status Journal du programme d'installation Le journal du programme d'installation peut être utile pour le dépannage et se trouve dans les fichiers journaux. Configuration requise pour le serveur - Linux Les exigences suivantes doivent être remplies afin de pouvoir installer le Serveur ESET PROTECT sous Linux : • Vous devez avoir une licence valide. • Un serveur de base de données doit être installé et configuré avec un compte racine. Il n'est pas nécessaire de créer un compte utilisateur avant l'installation. Le programme d'installation peut créer le compte. MS SQL Server sur Linux n'est pas pris en charge. Cependant, vous pouvez connecter le serveur ESET PROTECT sous Linux à MS SQL Server sous Windows. Remarque Le serveur ESET PROTECT stocke de grands blocs de données dans la base de données. Configurez donc MySQL de sorte qu'il accepte de grands paquets pour que ESET PROTECT fonctionne correctement. • Pilote ODBC - Le pilote ODBC est utilisé pour établir une connexion avec le serveur de base de données (MySQL). • Configurez le fichier d'installation du serveur comme exécutable. Pour ce faire, utilisez la commande de terminal suivante : chmod +x server-linux-x86_64.sh • Nous vous recommandons d'utiliser la dernière version de OpenSSL (1.1.1). La version minimale prise 100 en charge de OpenSSL est openssl-1.0.1e-30. Plusieurs versions de OpenSSL peuvent être installées sur un système en même temps. Au moins une version prise en charge doit être installée sur votre système. oVous pouvez utiliser la commande openssl version pour afficher la version actuelle par défaut. oVous pouvez lister toutes les versions de OpenSSL installées sur votre système. Voir les extensions des noms de fichiers listées à l'aide de la commande sudo find / -iname *libcrypto.so* oLes utilisateurs deFedora Linux doivent utiliser le paquet compat-openssl10. • Xvfb - Nécessaire pour une bonne impression du rapport (générer le rapport) sur les systèmes de serveurs Linux sans interface graphique. • cifs-utils - Nécessaire pour un déploiement approprié de l'agent sur le système d'exploitation Windows. • Bibliothèques Qt4 WebKit - Utilisées pour imprimer des rapports en format PDF et PS (la version doit être 4.8 et non 5). Toutes les autres dépendances Qt4 seront installées automatiquement. Dans le cas de CentOS, il est possible qu'il n'y ait aucun ensemble dans les référentiels officiels. Vous pouvez l'installer à partir d'un répertoire tiers (par exemple, les répertoires EPEL) ou le compiler vous-même sur un ordinateur cible. • kinit et klist - Kerberos est utilisé pour l'authentification d'un utilisateur de domaine lors de la connexion et la tâche de synchronisation d'Active Directory. Assurez-vous que votre Kerberos est configuré correctement (/etc/krb5.conf). ESET PROTECT 8.0 prend en charge la synchronisation avec plusieurs domaines. • ldapsearch - Utilisé dans la tâche de synchronisation d'AD et pour la recherche. • snmptrap - Utilisé pour envoyer des interceptions SNMP. Facultatif si cette fonctionnalité n'est pas utilisée. SNMP requiert également une configuration. • Ensemble SELinux devel - Utilisé pendant l'installation du produit pour construire les modules de politique de SELinux. Uniquement requis pour les systèmes avec SELinux activé (CentOS, Fedora, RHEL). SELinux peut causer des problèmes avec d'autres applications. Pour le serveur ESET PROTECT, il n'est pas nécessaire.) Le tableau ci-dessous contient les commandes appropriées du terminal de chaque ensemble décrit ci-dessus pour différentes distributions de linux : Paquet Pilote ODBC xvfb cifs-utils Debian, distributions Ubuntu CentOS, Red-Hat et distributions Fedora Consultez le chapitre Installation et configuration d'ODBC. apt-get install xvfb yum install xorg-x11server-Xvfb apt-get install cifs-utils yum install cifsutils apt-get install Consultez l'article de notre libqtwebkit4 Base de connaissances. apt-get install krb5-user yum install krb5workstation Bibliothèques Qt4 WebKit kinit et klist facultatif (nécessaire pour le service d'Active Directory) ldapsearch apt-get install ldap-utils yum install openldaplibsasl2-modules-gssapi-mit clients cyrus-sasl-gssapi cyrus-sasl-ldap snmptrap apt-get install snmp yum install net-snmputils net-snmp 101 Distribution OpenSUSE zypper install xorgx11-server-extra zypper install cifsutils zypper install libqtwebkit4 zypper install krb5 zypper install openldap2-client cyrus-sasl-gssapi cyrus-sasl-ldap-auxprop zypper install net-snmp Paquet Debian, distributions Ubuntu Ensemble apt-get install selinuxSELinux devel policy-dev (facultatif - N'est pas nécessaire pour le serveur ESET PROTECT; SELinux peut causer des problèmes avec d'autres applications.) samba (facultatif, apt-get install samba nécessaire uniquement pour le déploiement à distance) CentOS, Red-Hat et Distribution OpenSUSE distributions Fedora yum install zypper install selinuxpolicycoreutils-devel policy-devel yum install samba zypper install samba samba-winbind-clients samba-client installation de l'agent - Linux L'installation du composant de l'agent ESET Management sous Linux s'effectue à l'aide d'une commande dans le Terminal. Assurez-vous que toutes les exigences sont respectées. 1. Téléchargez le script d'installation de l'agent : wget https://download.eset.com/com/eset/apps/business/era/agent/latest/agent-linux-x86_64.sh 2. Rendez le fichier exécutable : chmod +x agent-linux-x86_64.sh 3. Exécutez le script d'installation en vous basant sur l'exemple ci-dessous (Les nouvelles lignes sont divisées à l'aide du caractère « \ » pour la copie de toute la commande sur le terminal) : Installation assistée par serveur sudo ./agent-linux-x86_64.sh \ --skip-license \ --hostname=10.1.179.36 \ --port=2222 \ --webconsole-user=Administrator \ --webconsole-password=aB45$45c \ --webconsole-port=2223 Installation hors connexion sudo ./agent-linux-x86_64.sh \ --skip-license \ --cert-path=/home/admin/Desktop/agent.pfx \ --cert-auth-path=/home/admin/Desktop/CA.der \ --cert-password=N3lluI4#2aCC \ --hostname=10.1.179.36 \ --port=2222 Paramètres La connexion au serveur ESET PROTECT est résolue en utilisant les paramètres --hostname et --port (le port n'est pas utilisé lorsqu'un enregistrement SRV est fourni). Formats de connexion possibles. 102 • Nom d'hôte et port • adresse IPv4 et port • adresse IPv6 et port • Fiche de service (enregistrement SRV) - Pour configurer l'enregistrement de ressource DNS sous Linux, l'ordinateur doit être dans le même domaine que le serveur DNS travail. Voir Enregistrement de ressource DNS. L'enregistrement SRV doit commencer par le préfixe « _NAME._tcp » où « NAME » représente le nom personnalisé (par exemple, « era »). Attribut --hostname Description Le nom d'hôte ou l'adresse IP utilisé par le serveur ESET PROTECT pour se connecter --port Port du serveur ESET PROTECT () (la valeur par défaut est 2222). --cert-path Chemin local vers le fichier du certificat de l'agent (pour en savoir davantage sur le certificat) --cert-auth-path Chemin vers le fichier de l'autorité de certification du serveur (pour en savoir davantage surl'autorité) --cert-password Mot de passe du certificat d'agent. --cert-auth-password Mot de passe de l'autorité de certification. --skip-license En cours de l'installation, aucune confirmation de de la licence d'utilisation du logiciel ne sera demandée à l'utilisateur. --cert-content Le contenu encodé Base64 du certificat encodé de la clé publique PKCS12, en plus de la clé privée utilisée pour configurer des canaux de communication sécuritaires avec le serveur et les Agents. Utilisez seulement l'une des options --cert-path ou --certcontent. --cert-auth-content Contenu encodé Base64 du certificat de la clé privée du certificat d'autorité encodé DER utilisé pour vérifier les homologues à distance (mandataire ou serveur). Utilisez seulement l'une des options --cert-auth-path ou --cert-auth-content --webconsole-hostname Nom d'hôte ou l'adresse IP utilisé par la console Web pour se connecter au serveur (si ce champ est laissé vide, la valeur sera copiée à partir du 'nom d'hôte'). --webconsole-port Le port utilisé par défaut par la console Web pour se connecter au serveur (la valeur par défaut est 2223). --webconsole-user Nom d'utilisateur utilisé par la console Web pour se connecter au serveur (la valeur par défaut est Administrator). --webconsole-password Mot de passe utilisé par la console Web pour se connecter au serveur. --proxy-hostname Nom d'hôte du mandataire HTTP pour la connexion au serveur. --proxy-port Port du mandataire HTTP pour la connexion au serveur. --proxy-user Nom d'utilisateur pour le mandataire HTTP. --proxy-password Mot de passe pour le mandataire HTTP. --enable-imp-program Activez le programme d'amélioration de produit. --disable-imp-program Désactivez le programme d'amélioration de produit. Requis Oui Oui Oui (Hors ligne) Oui (Hors ligne) Oui (Hors ligne) Oui (s'il est utilisé) Non Non Non Non Non Non Oui (S-a) Si le mandataire est utilisé Si le mandataire est utilisé Si le mandataire est utilisé Si le mandataire est utilisé Non Non Connexion et certificats • Une connexion au serveur ESET PROTECT doit être fournie : --hostname, --port (le port n'est pas nécessaire si l'enregistrement du service est fourni, la valeur par défaut du port est 2222) • Fournir ces données de connexion pour une Installation assistée par le serveur : --webconsoleport, --webconsole-user, --webconsole-password • Fournir les renseignements de certificat pour une Installation hors ligne: --cert-path, --certpassword Les paramètres d'installation --cert-path et --cert-auth-path requièrent les fichiers de certification 103 (.pfx et .der) qui peuvent être exportés de la console Web ESET PROTECT. (Découvrez comment exporter le fichier .pfx et le fichier .der).) Paramètres de type mot de passe Les paramètres de type mot de passe peuvent être fournis en tant que variables de l'environnement ou en tant que fichiers et peuvent être lus à partir de stdin ou fournis sous forme de texte brut. C'est à dire : --password=env:SECRET_PASSWORDoù SECRET_PASSWORD est une variable de l'environnement avec un mot de passe --password=file:/opt/secret où la première ligne du fichier /opt/secret contient votre mot de passe --password=stdindonne l'instruction au programme d'installation de lire le mot de passe à partir d'une entrée standard --password="pass:PASSWORD"est égal à --password="PASSWORD" et est obligatoire si le mot de passe actuel est "stdin"(standard input) or une chaîne qui commence par "env:", "file:" ou"pass:" Avertissement La phrase secrète du certificat ne doit pas contenir les caractères suivants : " \ Ces caractères provoquent une erreur critique lors de l'initialisation de l'agent. Connexion mandataire HTTP Si vous utilisez un mandataire HTTP, vous pouvez spécifier les paramètres de connexion dans --proxyhostname, --proxy-port, --proxy-user et --proxy-password. EXEMPLE Installation de l'agent hors connexion avec une connexion mandataire HTTP ./agent-linux-x86_64.sh \ --skip-license \ --cert-path=/home/admin/Desktop/agent.pfx \ --cert-auth-path=/home/admin/Desktop/CA.der \ --cert-password=N3lluI4#2aCC \ --hostname=10.1.179.36 \ --port=2222 \ --proxy-hostname=10.1.180.3 \ --proxy-port=3333 \ --proxy-user=Administrator \ --proxy-password=AdMiN_p1$$w0r4 IMPORTANT Le protocole de communication entre l'agent et ESET PROTECT le serveur ne prend pas en charge l'authentification. Toute solution mandataire servant à transmettre les communications de l'agent au serveur ESET PROTECT et nécessitant une authentification ne fonctionnera pas. Si vous choisissez d'utiliser un autre port que celui par défaut pour la console Web ou l'agent, vous devrez peut être modifier le pare-feu. Sinon, l'installation peut échouer. 104 Journal du programme d'installation Le journal du programme d'installation peut être utile pour le dépannage et se trouve dans les fichiers journaux. Pour voir si l'installation a réussi, vérifiez que le service est en cours d'exécution en lançant la commande suivante : sudo service eraagent status Mettre à niveau et réparer l'installation de l'agent sous Linux Si vous exécutez l'installation de l'agent manuellement sur un système sur lequel l'agent est déjà installé, les scénarios suivants peuvent se produire : • Mise à niveau - une version supérieure du programme d'installation est exécutée. oInstallation assistée par serveur - l'application est mise à niveau, mais elle continuera à utiliser les certificats précédents. oInstallation hors ligne - l'application est mise à niveau, de nouveaux certificats sont utilisés. • Réparation - la même version du programme d'installation est exécutée. Cette option peut être utilisée pour la migration de l'agent vers un autre serveur ESET PROTECT. oInstallation assistée par serveur - l'application est réinstallée et obtient les certificats actuels du serveur ESET PROTECT (définit par le paramètre hostname ). oInstallation hors ligne - l'application est réinstallé, de nouveaux certificats sont utilisés. Si vous migrez manuellement l'agent d'un ancien serveur vers un nouveau serveur ESET PROTECT différent et que vous utilisez l'installation assistée par serveur, exécutez la commande d'installation deux fois. La première exécution mettra à niveau l'agent et la seconde les nouveaux certificats, afin que l'agent puisse se connecter au serveur ESET PROTECT. Configuration requise pour l'agent - Linux Les conditions suivantes doivent être remplies pour pouvoir installer le composant Agent ESET Management sous Linux : Conditions requises pour l'installation de l'Agent assistée par serveur • L'ordinateur serveur doit être accessible à partir du réseau et le serveurESET PROTECT ainsi que la console Web ESET PROTECT doivent y être installés • Nous vous recommandons d'utiliser la dernière version de OpenSSL (1.1.1). La version minimale prise en charge de OpenSSL est openssl-1.0.1e-30. Plusieurs versions de OpenSSL peuvent être installées sur un système en même temps. Au moins une version prise en charge doit être installée sur votre système. oVous pouvez utiliser la commande openssl version pour afficher la version actuelle par défaut. oVous pouvez lister toutes les versions de OpenSSL installées sur votre système. Voir les extensions des noms de fichiers listées à l'aide de la commande sudo find / -iname *libcrypto.so* oLes utilisateurs deFedora Linux doivent utiliser le paquet compat-openssl10. Conditions requises pour l'installation de l'Agent hors connexion • L'ordinateur serveur doit être accessible à partir du réseau et le serveur ESET PROTECT doit y être installés • Un certificat pour l'agent doit être présent • Un fichier de clé publique d'autorité de certification de serveur doit être présent • Nous vous recommandons d'utiliser la dernière version de OpenSSL (1.1.1). La version minimale prise en charge de OpenSSL est openssl-1.0.1e-30. Plusieurs versions de OpenSSL peuvent être installées sur un système en même temps. Au moins une version prise en charge doit être installée sur votre système. oVous pouvez utiliser la commande openssl version pour afficher la version actuelle par défaut. oVous pouvez lister toutes les versions de OpenSSL installées sur votre système. Voir les extensions des noms de fichiers listées à l'aide de la commande sudo find / -iname *libcrypto.so* 105 oLes utilisateurs deFedora Linux doivent utiliser le paquet compat-openssl10. Remarque Pour Linux CentOS, il est recommandé d'installer le paquet policycoreutils-devel. Exécutez la commande pour installer le paquet : yum install policycoreutils-devel Installation de la console Web - Linux Suivez les étapes ci-après pour installer ESET PROTECT Web Console : 1. Installez les progiciels Apache Tomcat et Java. Utilisez les commandes du terminal en fonction de votre distribution de Linux. Les exemples de noms de paquets ci-dessous peuvent différer des paquets disponibles dans le répertoire de votre distribution Linux. Les distributions de Debian et de Ubuntu sudo apt-get update sudo apt-get install openjdk-11-jdk tomcat9 Les distributions de CentOS, de Red Hat et de Fedora yum update yum install java-1.8.0-openjdk tomcat OpenSUSE zypper refresh zypper install java-1_8_0-openjdk tomcat 2. Télécharger le fichier de la console Web (era.war) : wget https://download.eset.com/com/eset/apps/business/era/webconsole/latest/era.war 3. Copiez le fichier era.war dans le dossier Tomcat : Debian, distributions Ubuntu sudo cp era.war /var/lib/tomcat9/webapps/ CentOS, Red-Hat et distributions Fedora sudo cp era.war /var/lib/tomcat/webapps/ Distribution OpenSUSE sudo cp era.war /usr/share/tomcat/webapps/ Vous pouvez aussi extraire les contenus d'era.war vers /var/lib/tomcat/webapps/era/ 4. Redémarrez le service Tomcat et déployer le fichier .war : Debian, distributions Ubuntu sudo service tomcat9 restart CentOS, Red-Hat et distributions Fedora sudo service tomcat restart 106 Distribution OpenSUSE sudo service tomcat restart 5. Si vous avez installé la console Web de ESET PROTECT sur un autre ordinateur que le serveur ESET PROTECT, effectuez les étapes supplémentaires suivantes pour activer la communication entre la console Web de ESET PROTECT et le serveur ESET PROTECT : I.Arrêtez le service Apache Tomcat : sudo service tomcat9 stop. II.Modifiez le fichier EraWebServerConfig.properties : sudo nano /var/lib/tomcat/webapps/era/WEB-INF/classes/sk/eset/era/g2webconsole/server/modules/config/EraWebServerConfig.properties Si le fichier EraWebServerConfig.properties ne figure pas dans le chemin ci-dessus, vous pouvez utiliser la commande suivante pour rechercher le fichier sur votre système : find / -iname "EraWebServerConfig.properties" III.Trouvez server_address=localhost. IV.Remplacez localhost par l'adresse IP de votre serveur ESET PROTECT et enregistrez le fichier. V.Redémarrez le service Apache Tomcat : sudo service tomcat9 restart. Testez la connexion à la console Web ESET PROTECT une fois l'installation terminée. Ouvrez le lien suivant dans un navigateur pris en charge sur l'hôte local (une fenêtre de connexion devrait s'afficher) : http://localhost:8080/era ou, si vous accédez au serveur à distance, http://IP_ADDRES_OR_HOSTNAME:8080/era Remarque • Le port HTTP, par défaut 8080, est défini pendant l'installation manuelle d'Apache Tomcat. Vous pouvez aussi configurer une connexion HTTPS pour Apache Tomcat. • Voir également Configuration de la Web Console pour les solutions d'entreprise ou pour les systèmes à faible performance. Installation du mandataire - Linux Dans ESMC 7, la fonctionnalité mandataire ERA a été remplacée par Apache HTTP Proxy, couramment distribué en tant que paquet apache2 ou httpd. Les agents ESET Management peuvent se connecter au serveur ESET PROTECT par Apache HTTP Proxy. Découvrez davantage comment le mandataire fonctionne pour les agents ESET Management. Sélectionnez votre scénarios : • Nouvelle installation sur Linux • Mise à niveau à partir d'une ancienne version avec le mandataire ERA installé sur Linux • Mettre à niveau le mandataire de ERA sur un périphérique virtuel ou sur Linux Nouvelle installation sur Linux 1. Installer et configurer le mandataire HTTP Apache. 2. Configurer le mandataire HTTP Apache pour transférer les connexions d'agents : a.Sur l'ordinateur mandataire, ouvrez le fichier i.(Distributions Debian) /etc/apache2/mods-available/proxy.conf ii.Distributions Red Hat 107 /etc/httpd/conf/httpd.conf b.Ajoutez une ligne à la fin du fichier avec le port utilisé par l'agent pour se connecter au serveur ESET PROTECT. Par défaut, le numéro de port est 2222. AllowCONNECT 443 563 2222 8883 c.Sur l'ordinateur mandataire, ouvrez le fichier i.(Distributions Debian) /etc/apache2/apache2.conf ii.Distributions Red Hat /etc/httpd/conf/httpd.conf d.Trouvez la ligne : Listen 80 et modifiez la en Listen 3128 e.Si vous avez ajouté des restrictions pour les adresses IP dans votre configuration de mandataire (étape 1), vous devez autoriser l'accès à votre serveur ESET PROTECT : Ajoutez un segment ProxyMatch séparé : I.L'adresse que vos agents utilisent pour se connecter au serveur ESET PROTECT II.Toutes les autres adresses possibles de votre serveur ESET PROTECT (IP, FQDN) (ajoutez le code ci-dessous en entier; l'adresse IP 10.1.1.10 et le nom d'hôte hostname.example sont présentés à titre d'exemples seulement; vous devez les remplacer par vos adresses. Vous pouvez également générer l'expression ProxyMatch à l'aide de cet article de la base de connaissances.) <ProxyMatch ^(hostname\.example(:[0-9]+)?(\/.*)?|10\.1\.1\.10(:[0-9]+)?(\/.*)?)$> Allow from all </ProxyMatch> f.Redémarrez le service Apache HTTP Proxy. Mise à niveau à partir d'une ancienne version avec le mandataire ERA installé sur Linux La mise à niveau d'un environnement avec le mandataire ERA 6.x sous Linux est très similaire à la mise à niveau de Windows, à l'exception de la configuration des chemins de fichiers. Consultez l'article sur la mise à niveau de l'infrastructure et utilisez les chemins de fichier et de package appropriés pour votre distribution Linux. Pour connaître les meilleures pratiques de mise à niveau d'une infrastructure qui utilise le mandataire ERA, consultez les guides suivants : • Mettre à niveau le mandataire de ERA sur un périphérique virtuel ou sur Linux • Mettre à niveau le mandataire d'ERA sur un hôte Windows Paramètre SELinux Lorsque vous utilisez un mandataire sur le périphérique virtuel ESET PROTECT, la politique de SELinux doit être modifiée (d'autres distributions de Linux peuvent avoir les mêmes exigences). Ouvrez le terminal sur l'AV ESET PROTECT et exécutez la commande suivante : /usr/sbin/setsebool -P httpd_can_network_connect 1 108 sudo semanage port -a -t http_port_t -p tcp 2222 Installation et exigences de Rogue Detection Sensor - Linux Voici les étapes à suivre pour installer le composant Capteur DMP sous Linux : 1. Assurez-vous que les conditions suivantes sont remplies : • Le réseau doit être interrogeable (les ports sont ouverts, le pare-feu ne bloque pas les communications entrantes, etc). • L'ordinateur serveur doit être joignable. • L'agent ESET Management doit être installé sur l'ordinateur local pour que toutes les fonctionnalités du programme soient pleinement prises en charge. • Le terminal est ouvert. • Le fichier d'installation du serveur défini comme un exécutable : chmod +x rdsensor-linux-x86_64.sh 2. Utilisez les commandes suivantes pour lancer l'installation du fichier en se substituant à l'utilisateur (sudo) : sudo ./rdsensor-linux-x86_64.sh 3. Lisez le contrat de licence d'utilisateur final. Pour aller à la page suivante dans le CLUF, utilisez la barre d'espacement. Vous serez invité à préciser si vous acceptez la licence. Appuyez sur la touche Y si vous êtes d'accord, sinon appuyez sur N. 4. Appuyez sur Y si vous acceptez de participer au programme d'amélioration du produit. Sinon, appuyez sur N. 5. ESET Rogue Detection Sensor démarrera une fois l'installation terminée. 6. Pour voir si l'installation est réussie, vérifiez que le service est en cours d'exécution à l'aide de la commande suivante : sudo service rdsensor status 7. Le fichier journal du Rogue Detection Sensor se trouve dans les fichiers journaux : /var/log/eset/RogueDetectionSensor/trace.log Installation du connecteur d'appareil mobile - Linux Vous pouvez installer le connecteur d'appareil mobile sur un autre serveur que celui sur lequel votre serveur ESET PROTECT s'exécute. Cela peut être utile si par exemple, si vous voulez être en mesure d'accéder au connecteur d'appareil mobile à partir d'Internet afin que les appareils mobiles de l'utilisateur puissent être gérés en tout temps. L'installation du composant MDC sous Linux s'effectue à l'aide d'une commande dans le Terminal. Assurez-vous que toutes les exigences sont respectées. Vous pouvez préparer un script d'installation, puis l'exécuter en utilisant sudo. Il existe beaucoup de paramètres d'installation facultatifs, mais certains d'entre eux sont nécessaires. Votre certificat homologue ESET PROTECT est nécessaire pour l'installation. Il existe deux méthodes pour obtenir le certificat homologue ESET PROTECT : 109 • Installation assistée par le serveur - vous devez fournir un authentifiant d'administrateur pour la console Web ESET PROTECT (le programme d'installation téléchargera automatiquement les certificats nécessaires). • Installation hors ligne - Vous devrez fournir un certificat homologue (le certificat du mandataire exporté à partir de ESET PROTECT). Par ailleurs, vous pouvez utiliser votre certificat personnalisé. Voici les paramètres de commande d'installation qui doivent être fournis : Certificat HTTPS (mandataire) : --https-cert-path= --https-cert-password= Certificat homologue : L'Installation assistée par le serveur inclut : --webconsole-password= L'installation hors ligne inclut : --cert-path= --cert-password= (un mot de passe n'est pas exigé pour le certificat de l'agent par défaut créé pendant l'installation initiale du serveur ESET PROTECT) Connexion au serveur ESET PROTECT (nom ou adresse IP) : --hostname= La base de données MySQL inclut : --db-type="MySQL Server" --db-driver= --db-admin-username= --db-admin-password= --db-user-password= La base de données MSSQL inclut : --db-type="Microsoft SQL Server" --db-driver= --db-admin-username= --db-admin-password= --db-user-password= Exemple d'un script d'installation Exécutez le script d'installation en vous basant sur l'exemple ci-dessous (Les nouvelles lignes sont divisées à l'aide du caractère « \ » pour la copie de toute la commande sur le terminal) : 110 sudo ./mdmcore-linux-x86_64-0.0.0.0.sh \ --https-cert-path="full_path/proxycert.pfx" \ --https-cert-password="123456789" \ --port=2222 \ --db-type="MySQL Server" \ --db-driver="MySQL ODBC 8.0 Driver" \ --db-admin-username="root" \ --db-admin-password=123456789 \ --db-user-password=123456789 \ --db-hostname="127.0.0.1" \ --webconsole-password=123456789 \ --hostname=username.LOCAL \ --mdm-hostname=username.LOCAL Pour une liste complète des paramètres disponibles (imprimer le message d'aide), utilisez : --help Journal du programme d'installation Le journal du programme d'installation peut être utile pour le dépannage et se trouve dans les fichiers journaux. Une fois l'installation terminée, vérifiez si le connecteur d'appareil mobile s'exécute correctement en ouvrant le lien https://your-mdm-hostname:enrollment-port (par exemple https://eramdm:9980) dans votre navigateur Web. Si l'installation a réussie, vous verrez le message suivant s'afficher : Vous pouvez aussi utiliser cette adresse URL pour vérifier la disponiblité du serveur du connecteur d'appareil mobile sur Internet (s'il a été configuré ainsi) en le visitant à partir d'un appareil mobile. Si vous êtes incapable d'atteindre la page, vérifiez votre coupe-feu et la configuration de l'infrastructure de votre réseau. Exigences du connecteur d'appareil mobile - Linux Les exigences suivantes doivent être remplies afin de pouvoir installer le connecteur d'appareil mobile sous Linux : • Un serveur de base de données est déjà installé et configuré, avec un compte racine (un compte utilisateur n'a pas à être créé avant l'installation, le programme d'installation peut créer le compte). • Un pilote ODBC pour la connexion au serveur de la base de données (MySQL / MS SQL) est installé sur votre ordinateur. Consultez le chapitre Installation et configuration d'ODBC. Remarque Vous devriez utiliser le paquet unixODBC_23 (et non pas unixODBC, proposé par défaut) afin que MDC se connecte à la base de données MySQL sans problème. Ceci est vrai, particulièrement avec SUSE Linux. 111 Remarque Nous vous recommandons de déployer votre composant MDM sur un appareil hôte distinct de celui sur lequel est hébergé le serveur ESET PROTECT. • Le fichier d'installation de MDMCore défini comme exécutable. chmod +x mdmcore-linux-x86_64.sh • Après l'installation assurez-vous que le service MDMCore est en cours d'exécution. service eramdmcore status • Nous vous recommandons d'utiliser la dernière version de OpenSSL (1.1.1). La version minimale prise en charge de OpenSSL est openssl-1.0.1e-30. Plusieurs versions de OpenSSL peuvent être installées sur un système en même temps. Au moins une version prise en charge doit être installée sur votre système. oVous pouvez utiliser la commande openssl version pour afficher la version actuelle par défaut. oVous pouvez lister toutes les versions de OpenSSL installées sur votre système. Voir les extensions des noms de fichiers listées à l'aide de la commande sudo find / -iname *libcrypto.so* oLes utilisateurs deFedora Linux doivent utiliser le paquet compat-openssl10. Remarque Si votre base de données MDM sur MySQL est trop grande (des milliers de périphériques), la valeur par défaut innodb_buffer_pool_size est trop petite. Pour plus de renseignements sur l'optimisation de la base de données, voir : https://dev.mysql.com/doc/refman/5.6/en/optimizing-innodb-diskio.html Exigences pour les certificats • Vous aurez besoin d'un certificat SSL au format .pfxpour assurer une communication sécurisée sur HTTPS. Nous vous recommandons d'utiliser un certificat fourni par une autorité de certification (autorité de certification ESET PROTECT ou autorité de certification tierce). Les certificats auto signés ne sont pas recommandés, parce que ce ne sont pas tous les appareils mobiles qui permettent aux utilisateurs d'accepter les certificats auto signés. Ce problème ne s'applique pas aux certificats signés à l'aide de l'AC, parce qu'ils sont fiables et ne requièrent aucune acceptation de la part de l'utilisateur. • Vous devez avoir un certificat signé par l'autorité de certification (autorité de certification ESET PROTECT ou autorité de certification tierce) ainsi que la clé privé correspondante, et utiliser les procédures standards pour les fusionner (traditionnellement en utilisant OpenSSL) en un fichier .pfx : openssl pkcs12 -export -in certificate.cer -inkey privateKey.key -out httpsCredentials.pfx Ceci est une procédure standard pour la plupart des serveurs qui utilisent des certificats SSL. • Pour l'installation hors ligne, vous aurez besoin d'un certificat homologue (le certificat d'agent exporté de ESET PROTECT). Par ailleurs, vous pouvez utiliser votre certificat personnalisé avec ESET PROTECT. Installation du mandataire HTTP Apache - Linux Sélectionnez les étapes d'installation du mandataire HTTP Apache en fonction de la distribution Linux que vous utilisez sur votre serveur : Si vous souhaitez utiliser Apache pour mettre également en cache les résultats d'ESET Dynamic Threat Defense, consultez aussi la documentation correspondante. Installation de Linux (distribution générique) pour mandataire HTTP Apache 1. Installez Apache HTTP Server (version 2.4.10 ou plus récente) 2. Vérifiez que les modules suivants ont été chargés : access_compat, auth_basic, authn_core, authn_file, authz_core, authz_groupfile, authz_host, proxy, proxy_http, proxy_connect, cache, cache_disk 112 3. Ajoutez la configuration de mise en cache : CacheEnable disk http:// CacheDirLevels 4 CacheDirLength 2 CacheDefaultExpire 3600 CacheMaxFileSize 200000000 CacheMaxExpire 604800 CacheQuickHandler Off CacheRoot /var/cache/apache2/mod_cache_disk 4. Si le répertoire /var/cache/apache2/mod_cache_disk est inexistant, créez-le et attribuez-lui les privilèges Apache (r,w,x). 5. Add Proxy configuration: ProxyRequests On ProxyVia On <Proxy *> Order deny,allow Deny from all Allow from all </Proxy> 6. Activez la configuration de mise en cache du mandataire que vous venez d'ajouter (si la configuration se trouve dans le fichier principal de configuration Apache, vous pouvez passer cette étape). 7. Au besoin, modifiez le mode de réception vers le port désiré (le port par défaut est 3128). 8. Authentification de base optionnelle : oAjoutez une configuration d'authentification à la directive du mandataire : AuthType Basic AuthName "Password Required" AuthUserFile /etc/apache2/password.file AuthGroupFile /etc/apache2/group.file Require group usergroup oCréez un fichier de mot de passe en utilisant /etc/httpd/.htpasswd -c oCréez manuellement un fichier nommé group.file avec usergroup:username 9. Redémarrez le Serveur HTTP Apache. Serveur Ubuntu et autres distributions d'installation du mandataire HTTP Apache architecturés autour de Debian sous Linux 1. Installez la plus récente version de Serveur HTTP Apache à partir du référentiel apt : sudo apt-get install apache2 2. Exécutez la commande suivante pour charger les modules Apache nécessaires : sudo a2enmod access_compat auth_basic authn_core authn_file authz_core\ authz_groupfile authz_host proxy proxy_http proxy_connect cache cache_disk 113 3. Modifiez le fichier de configuration de cache Apache : sudo vim /etc/apache2/conf-available/cache_disk.conf et copiez-collez la configuration suivante : CacheEnable disk http:// CacheDirLevels 4 CacheDirLength 2 CacheDefaultExpire 3600 CacheMaxFileSize 200000000 CacheMaxExpire 604800 CacheQuickHandler Off CacheRoot /var/cache/apache2/mod_cache_disk 4. Cette étape ne devrait pas être nécessaire, mais si le répertoire de mise en cache est manquant, exécutez les commandes suivantes : sudo mkdir /var/cache/apache2/mod_cache_disk sudo chown www-data /var/cache/apache2/mod_cache_disk sudo chgrp www-data /var/cache/apache2/mod_cache_disk 5. Modifiez le fichier de configuration du mandataire Apache : sudo vim /etc/apache2/conf-available/proxy.conf et copiez-collez la configuration suivante : ProxyRequests On ProxyVia On <Proxy *> Order deny,allow Deny from all Allow from all </Proxy> 6. Activez les fichiers de configuration que vous avez modifiés lors des étapes précédentes : sudo a2enconf cache_disk.conf proxy.conf 7. Changez le port d'écoute du serveur HTTP Apache en 3128. Modifiez le fichier /etc/apache2/ports.conf et remplacez Listen 80 parListen 3128. 8. Authentification de base optionnelle : sudo vim /etc/apache2/mods-enabled/proxy.conf oCopiez-collez la configuration d'authentification avant </Proxy: AuthType Basic AuthName "Password Required" AuthUserFile /etc/apache2/password.file AuthGroupFile /etc/apache2/group.file Require group usergroup oInstallez apache2- utils et créez un nouveau fichier mot de passe (par exemple, nom d'utilisateur utilisateur, groupe : gr oupe de l'utilisateur) : 114 sudo apt-get install apache2-utils sudo htpasswd -c /etc/apache2/password.file user oCréez un fichier appelé groupe : sudo vim /etc/apache2/group.file et copiez-collez la ligne suivante : usergroup:user 9. Redémarrez le Mandataire HTTP Apache à l'aide de la commande : sudo service apache2 restart Transfert pour les communications ESET seulement Pour autorisez seulement le transfert des communications ESET, supprimez les éléments suivants : <Proxy *> Order deny,allow Deny from all Allow from all </Proxy> Ajoutez également les éléments suivants : <Proxy *> Deny from all </Proxy> #*.eset.com: <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s,S][e,E][t,T]\.[c,C][o,O][m,M](:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch> #*.eset.eu: <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s,S][e,E][t,T]\.[e,E][u,U](:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch> #Antispam module (ESET Mail Security only): <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(ds1-uk-rules-1.mailshell.net|ds1-uk-rules-2.mailshell.net|ds1-uk-rules-3.mailshell.net|fh-uk11.mailshell.net)(:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch> #Services (activation) <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(edf-pcs.cloudapp.net|edf-pcs2.cloudapp.net|edfpcs.trafficmanager.net)(:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch> #ESET servers accessed directly via IP address: <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(91.228.165.|91.228.166.|91.228.167.|38.90.226.)([0-9]+)(:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch> Transmission pour toute communication Pour autoriser le transfert de toutes les communications, ajoutez ce qui suit : <Proxy *> Order deny,allow Deny from all Allow from all </Proxy> 115 supprimez également ce qui suit : <Proxy *> Deny from all </Proxy> #*.eset.com: <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s,S][e,E][t,T]\.[c,C][o,O][m,M](:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch> #*.eset.eu: <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?([a-zA-Z0-9-]{0,63}\.)?[a-zA-Z0-9-]{0,63}\.[e,E][s,S][e,E][t,T]\.[e,E][u,U](:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch> #Antispam module (ESET Mail Security only): <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(ds1-uk-rules-1.mailshell.net|ds1-uk-rules-2.mailshell.net|ds1-uk-rules-3.mailshell.net|fh-uk11.mailshell.net)(:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch> #Services (activation) <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(edf-pcs.cloudapp.net|edf-pcs2.cloudapp.net|edfpcs.trafficmanager.net)(:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch> #ESET servers accessed directly via IP address: <ProxyMatch ^([h,H][t,T][t,T][p,P][s,S]?://)?([^@/]*@)?(91.228.165.|91.228.166.|91.228.167.|38.90.226.)([0-9]+)(:[0-9]+)?(/.*)?$> Allow from all </ProxyMatch> Chaînage du mandataire (tout le trafic) ESET PROTECT ne prend pas en charge le chaînage des mandataires lorsque ceux-ci requièrent une authentification. Vous pouvez utiliser votre propre solution de mandataire Web transparente, mais sachez qu'une configuration supplémentaire peut être nécessaire en plus de ce qui est mentionné ici. Ajoutez la configuration du mandataire suivante (le mot de passe fonctionne seulement sur le mandataire enfant) : ProxyRemote * http://IP_ADDRESS:3128 Lorsque vous utilisez le chaînage de mandataire sur l'AV ESET PROTECT, la politique de SELinux doit être modifiée. Ouvrez le terminal sur l'AV ESET PROTECT et exécutez la commande suivante : /usr/sbin/setsebool -P httpd_can_network_connect 1 Configurez votre mandataire HTTP pour un nombre élevé de clients Si vous utilisez un mandataire HTTP Apache de 64 bits, vous pouvez augmenter la limite de fils pour votre Apache HTTP Proxy. Modifiez le fichier de configuration de httpd.conf, dans votre dossier Apache HTTP Proxy. Trouvez les paramètres suivants dans le fichier et mettez les valeurs à jour pour qu'elles correspondent à votre nombre de clients. Remplacez le nombre 5000 de l'exemple par votre nombre. La valeur maximale est de 32000. ThreadLimit 5000 ThreadsPerChild 5000 Ne changez pas le reste de fichier. Installation du mandataire HTTP Squid sur un serveur Ubuntu Il est possible d'utiliser le mandataire Squid au lieu d'Apache sur un serveur Ubuntu. Pour l'installation et la configuration de Squid sur un serveur Ubuntu (et des distributions Linux semblables architecturées autour de Debian), suivez les étapes suivantes : 1. Installez le progiciel Squid3 : 116 sudo apt-get install squid3 2. Modifiez le fichier de configuration /etc/squid3/squid.conf et remplacez : #cache_dir ufs /var/spool/squid3 100 16 256 par : cache_dir ufs /var/spool/squid3 3000 16 256 max-size=200000000 Remarque • Vous pouvez également modifier la taille totale du cache (3000 Mo dans l'exemple) et le nombre de sous-répertoires de premier niveau (16 dans l'exemple) et de sous-répertoires de second niveau (256 dans l'exemple) du répertoire cache. • Le paramètre max-size définit la taille maximale du fichier en cache en octets. 3. Arrêtez le service squid3. sudo service squid3 stop sudo squid3 –z 4. Modifiez le fichier de configuration Squid à nouveau et ajoutez http_access allow all before http_access deny all pour autoriser l'accès au mandataire à tous les clients. 5. Redémarrez le service squid3 : sudo service squid3 restart Outil de miroir Linux Êtes-vous un utilisateur de Windows? L'outil de miroir est requis pour les mises à jour hors ligne du moteur de détection. Si vos ordinateurs clients n'ont pas de connexion Internet et ont besoin de mises à jour du moteur de détection, vous pouvez utiliser l'outil Miroir pour télécharger les fichiers de mises à jour à partir des serveurs de mise à jour d'ESET, puis les sauvegarder localement. Remarque L'outil miroir ne télécharge que les mises à jour du moteur de détection et d'autres modules de programme; il ne télécharge ni les PCU (mises à jour des composants du programme), ni les données de ESET LiveGrid®. Il peut également créer un répertoire hors connexion complet. Vous pouvez également choisir de mettre à niveau les produits sur une base individuelle. Configuration requise • Le dossier cible doit pouvoir être partagé, avec le service Samba/Windows ou HTTP/FTP, selon la façon dont vous voulez accéder aux mises à jour. • Vous devez avoir une licence hors ligne valide qui comprend le nom d'utilisateur et le mot de passe. Lors de la création d'un fichier de licence, assurez-vous de cocher la case à côté de l'option Inclure le nom d'utilisateur et le mot de passe. Vous devez également spécifier un nom de licence. Un fichier de licence hors ligne est nécessaire pour l'activation de l'outil miroir et la génération du miroir de mise à jour. 117 Comment utiliser l'outil miroir 1. Téléchargez l'outil miroir à partir de la page de téléchargement d'ESET (section Programmes d'installation autonomes). 2. Décompressez l'archive téléchargée. 3. Ouvrez le terminal dans le dossier contenant le fichier MirrorTool. 4. Exécutez la commande ci-dessous pour afficher tous les paramètres disponibles pour l'outil miroir : ./MirrorTool --help 118 Paramètre 119 Description --updateServer --offlineLicenseFilename --languageFilterForRepository --productFilterForRepository --downloadLegacyForRepository Lorsque vous l'utilisez, vous devez spécifier l'URL complète du serveur de mise à jour. Vous devez spécifier un chemin menant au fichier de votre licence hors ligne (comme décrit récemment). Vous pouvez spécifier des codes de langue, par exemple pour le type français fr_FR. Les codes d’autres langues figurent dans le tableau ci-dessous. Pour sélectionner plus de langues, séparez-les par une espace, par exemple : en_US zh_TW de_DE Vous pouvez spécifier une chaîne utilisée par l'outil miroir comme filtre de téléchargement. L'outil miroir ne télécharge que les fichiers contenant la chaîne dans leur nom commun. Vous pouvez sélectionner plus de produits en ajoutant plus d'arguments, par exemple : --productFilterForRepository Antivirus Security L'outil miroir télécharge toutes les langues sélectionnées pour chaque produit sélectionné. Aucun argument n'est nécessaire. Utilisez ce paramètre pour inclure les paquets hérités dans le téléchargement. Les paquets hérités ne sont téléchargés que s'ils sont utilisés. Pour savoir quels produits sont hérités, accédez à la tâche client d'installation du logiciel, menu Paramètres > Paquet à installer > Choisir un paquet > Héritage. Nouveaux paramètres dans l'outil miroir distribué avec ESMC 7.2 et ESET PROTECT --mirrorOnlyLevelUpdates Aucun argument n'est nécessaire. Si cette option est activée, seules les mises à jour de niveau seront téléchargées (les mises à jour nano ne seront pas téléchargées). Vous pouvez en apprendre davantage au sujet des types de mise à jour dans cet article de notre base de connaissances. --mirrorFileFormat Avertissement Ce paramètre est réservé aux utilisateurs avancés! Avant d'utiliser le paramètre --mirrorFileFormat, assurez-vous que votre environnement ne contient pas à la fois des versions de produit de sécurité ESET plus anciennes (6.5 et plus anciennes) et plus récentes (6.6 et ultérieures). L'utilisation incorrecte de ce paramètre peut entraîner des mises à jour incorrectes de vos produits de sécurité ESET. Vous pouvez préciser quel type de fichiers de mise à jour sera téléchargé. Valeurs possibles (sensible à la casse) : • dat : utilisez cette valeur si vous disposez d'un environnement uniquement avec les versions 6.5 et antérieures du produit de sécurité ESET. • dll : utilisez cette valeur si vous disposez d'un environnement uniquement avec les versions 6.6 et ultérieures du produit de sécurité ESET. Le paramètre est ignoré lors de la création d'un miroir pour les produits existants (ep4, ep5). Remarque Tous les filtres sont sensibles à la casse. Code de langue en_US hu_HU ar_EG bg_BG zh_CN zh_TW cs_CZ da_DK de_DE el_GR es_CL es_ES Langue Anglais Hungarian Arabe Bulgare Chinois simplifié Chinois traditionnel Tchèque Danois Allemand Grec Espagnol (Chili) Espagnol Code de langue et_EE fi_FI fr_FR fr_CA hr_HR id_ID it_IT kk_KZ ko_KR lt_LT nl_NL nb_NO Langue Estonien Finlandais Français Français canadien Croate Indonésien Italien Kazakh Coréen Lituanien Hollandais Norvégien Code de langue pl_PL pt_BR ro_RO ru_RU sk_SK sl_SI sr_RS sv_SE th_TH tr_TR uk_UA vi_VN Langue Polonais Portuguese Roumain Russe Slovaque Slovène Serbe Suèdois Thaï Turc Ukrainien Vietnamien IMPORTANT L'outil miroir crée une structure de dossiers différente de celle du miroir d'Endpoint. Chaque dossier contient des fichiers de mise à jour pour un groupe de produits. Vous devez spécifier le chemin complet vers le dossier correct dans les paramètres de mise à jour du produit en utilisant le miroir. Par exemple, pour mettre à jour l'ESET PROTECT 8.0 à partir du miroir, configurez le serveur de mise à jour à l'aide de la valeur suivante (en fonction de l'emplacement racine de votre serveur HTTP) : http://your_server_address/mirror/eset_upd/era6 Pour créer un miroir, exécutez l'outil miroir avec au moins les paramètres minimum requis. En voici un exemple : 120 sudo ./MirrorTool --mirrorType regular \ --intermediateUpdateDirectory /tmp/mirrorTool/mirrorTemp \ --offlineLicenseFilename /tmp/mirrorTool/offline.lf \ --outputDirectory /tmp/mirrorTool/mirror Voici un exemple de configuration plus avancée pour un répertoire hors connexion avec une sélection de produits, de langues et le téléchargement activé de fichiers hérités : sudo ./MirrorTool --repositoryServer AUTOSELECT \ --intermediateRepositoryDirectory /tmp/repoTemp \ --outputRepositoryDirectory /var/lib/tomcat9/webapps/mirrorRepo \ --languageFilterForRepository sk_SK fr_FR de_DE \ --productFilterForRepository Antivirus Security \ --downloadLegacyForRepository Paramètres de l'outil de miroir et de la mise à jour • Pour automatiser les téléchargements des mises à jour de modules, vous pouvez créer une planification pour exécuter l'outil miroir. Pour ce faire, ouvrez la console Web et allez à Tâches clients > Système d'exploitation > Exécuter la commande. Sélectionnez la ligne de commande à exécuter (incluant un chemin vers MirrorTool.exe) et un déclencheur raisonnable (comme un CRON pour chaque heure 0 0 * * * ? *). Vous pouvez également utiliser la planificateur de tâches Windows ou Cron avec Linux. • Pour configurer les mises à jour sur les ordinateurs client, créez une nouvelle politique et configurez le Serveur de mise à jour pour pointer vers votre adresse miroir ou votre dossier partagé. Cluster de basculement - Linux La section suivante traite de l'installation et de la configuration de ESET PROTECT sur une grappe à hautedisponibilité Red Hat. Soutien pour grappe Linux Les composants du serveur ESET PROTECT peuvent être installés sur une grappe Red Hat Linux 6 et ultérieure. La grappe de basculement est seulement prise en charge en mode actif/passif avec le gestionnaire de grappes rgmanager. Configuration requise • Un cluster actif/passif doit être installé et configuré. Un seul nœud peut être actif, les autres doivent être en attente. L'équilibrage de la charge n'est pas pris en charge. • Le stockage partagé- iSCSI SAN, NFS et d'autres solutions sont prises en charge (tout protocole ou toute technologie qui fournit des accès par bloc ou par fichier afin de partager le stockage et qui fait en sorte que les appareils partagés semblent être des dispositifs liés localement au système d'exploitation). Le stockage partagé doit être accessible à partir de chaque nœud actif du cluster, et le système de fichier partagé doit être adéquatement initialisé (par exemple, en utilisant le système de fichier EXT3 ou EXT4). • Les ajouts HA suivants sont obligatoires pour la gestion du système : ▪rgmanager ▪Conga • rgmanager est la pile de grappes traditionnelle Red Hat HA. Ce composant est obligatoire. • L'IUG de Conga est facultatif. La grappe de basculement peut être gérée sans elle; cependant, il est 121 recommandé de l'installer pour une meilleure performance. Dans ce manuel nous supposons qu'elle est installée. • Le clôturage doit être configuré correctement afin d'éviter la corruption des données. L'administrateur de grappe doit configurer le clôturage si ce dernier ne l'est pas encore. Si vous n'avez encore de grappe en exécution, vous pouvez suivre les indications offertes dans ce manuel pour configurer une grappe de basculement de grande capacité (actif/passif) sur Red Hat : Administration de grappes de Red Hat Enterprise Linux 6. Portée ESET PROTECT composants pouvant être installés sur un cluster HA de Red Hat Linux : • Serveur ESET PROTECT avec agent ESET Management Remarque • L'agent ESET Management doit être installé, sans quoi le service de grappe de ESET PROTECT ne sera pas fonctionnel. • L'installation de la base de données de ESET PROTECT sur une grappe est prise en charge uniquement lorsque la grappe est fournie par le service SQL et que ESET PROTECT se connecte à une adresse hôte de base de données unique. L'exemple d'installation suivant porte sur un cluster à 2 nœuds. Cependant, vous pouvez procéder à l'installation sur un cluster multi-nœuds ESET PROTECT en utilisant cet exemple à titre de référence seulement. Les nœuds de cluster de cet exemple sont appelés nœud 1 et nœud 2. Étapes d'installation 1. Installez le serveur ESET PROTECT sur le nœud 1. oVeuillez noter que le nom d'hôte dans le certificat de serveur doit contenir l'adresse IP externe (ou le nom d'hôte) de l'interface de la grappe (et non l'adresse IP locale ou le nom d'hôte du nœud). 2. Arrêter et désactiver les services Linux du serveur ESET PROTECT à l'aide des commandes suivantes : service eraserver stop chkconfig eraserver off 3. Monter un stockage partagé sur le nœud 1. Dans cet exemple, le stockage partagé est monté sur /usr/share/erag2cluster. 4. Dans /usr/share/erag2cluster, créez les répertoires suivants : /usr/share/erag2cluster/etc/opt/eset/RemoteAdministrator/Server /usr/share/erag2cluster/opt/eset/RemoteAdministrator/Server /usr/share/erag2cluster/var/log/eset/RemoteAdministrator/Server /usr/share/erag2cluster/var/opt/eset/RemoteAdministrator/Server 5. Copier de façon récurrente les répertoires suivants vers les destinations présentées ci-dessous (source > destination) : Déplacer le dossier : Déplacer vers : /etc/opt/eset/RemoteAdministrator/Server /usr/share/erag2cluster/etc/opt/eset/RemoteAdministrator /opt/eset/RemoteAdministrator/Server /usr/share/erag2cluster/opt/eset/RemoteAdministrator /var/log/eset/RemoteAdministrator/Server /usr/share/erag2cluster/var/log/eset/RemoteAdministrator /var/opt/eset/RemoteAdministrator/Server /usr/share/erag2cluster/var/opt/eset/RemoteAdministrator 6. Créez des liens symboliques (ce qui peut nécessiter de créer de nouveaux dossiers manuellement) : 122 ln -s /usr/share/erag2cluster/etc/opt/eset/RemoteAdministrator/Server /etc/opt/eset/RemoteAdministrator/Serverln -s /usr/share/erag2cluster/opt/eset/RemoteAdministrator/Server /opt/eset/RemoteAdministrator/Serverln -s /usr/share/erag2cluster/var/log/eset/RemoteAdministrator/Server /var/log/eset/RemoteAdministrator/Serverln -s /usr/share/erag2cluster/var/opt/eset/RemoteAdministrator/Server /var/opt/eset/RemoteAdministrator/Server 7. Copiez le script eracluster_server qui se trouve dans le répertoire d'installation du serveur ESET PROTECT dans /usr/share/cluster. Les scripts n'utilisent pas l'extension .sh dans le répertoire de configuration. cp /opt/eset/RemoteAdministrator/Server/setup/eracluster_server /usr/share/cluster/ eracluster_server.sh 8. Démontez l'unité de stockage partagé du nœud1 9. Monter l'unité de stockage partagé dans le même répertoire sur nœud2 comme vous avez monté sur nœud1 (/usr/share/erag2cluster). 10. Sur le nœud 2, créer les liens symboliques suivants : ln -s /usr/share/erag2cluster/etc/opt/eset/RemoteAdministrator/Server /etc/opt/eset/RemoteAdministrator/Serverln -s /usr/share/erag2cluster/opt/eset/RemoteAdministrator/Server /opt/eset/RemoteAdministrator/Serverln -s /usr/share/erag2cluster/var/log/eset/RemoteAdministrator/Server /var/log/eset/RemoteAdministrator/Serverln -s /usr/share/erag2cluster/var/opt/eset/RemoteAdministrator/Server /var/opt/eset/RemoteAdministrator/Server 11. Copiez le script eracluster_server qui se trouve dans le répertoire d'installation du serveur ESET PROTECT dans /usr/share/cluster. Les scripts n'utilisent pas l'extension .sh dans le répertoire de configuration. cp /opt/eset/RemoteAdministrator/Server/setup/eracluster_server /usr/share/cluster/ eracluster_server.sh ❑ Les prochaines étapes sont exécutées dans l'interface graphique de l'administration du cluster Conga : 12. Créez un groupe de service, par exemple ESMCService. Le service de cluster ESET PROTECT requiert trois ressources : l'adresse IP, le système de fichier et le script. 13. Créer les ressources de service nécessaires. Ajouter une adresse IP (adresse de grappe externe où les agents se connectent), un système de fichiers et des ressources de script. La ressource de système de fichier devrait pointer vers le stockage partagé. Le point de montage de la ressource de système de fichier devrait être mis à /usr/share/erag2cluster. Le paramètre « Chemin complet vers le fichier script » de la ressource Script devrait être mis à /usr/share/cluster/eracluster_server. 123 14. Ajoutez les ressources suivantes au groupe ESMCService . ❑ Une fois la grappe de serveur installée, installez l'agent ESET Management sur les deux nœuds sur le disque local (pas sur le disque de grappe partagé). Lorsque vous utilisez la commande --hostname=, vous devez spécifier l'adresse IP externe ou le nom d'hôte de l'interface de la grappe (pas localhost!). Installation pas à pas du serveur ESET PROTECT sous Linux Dans ce scénario d'installation, nous simulerons l'installation pas à pas du serveur ESET PROTECT et de la console Web ESET PROTECT. Nous simulerons l'installation à l'aide de MySQL. Avant l'installation 1. Vérifiez la présence du serveur de la base de données sur votre réseau et assurez-vous d'y avoir accès à partir de votre serveur local/à distance. Si aucun serveur de base de données n'est installé, installez-en un et configurez-le. 2. Téléchargez les composants autonomes Linux de ESET PROTECT (agent, serveur, console Web). Vous pouvez trouver ces fichiers d'installation sous la catégorie Programmes d'installation autonomes de ESET PROTECT sur le site Web d'ESET. Procédure d'installation Remarque • Vous devez pouvoir utiliser la commande sudo ou installer avec des privilèges root pour pouvoir terminer l'installation. • Pour installer le serveur ESET PROTECT sur SUSE Linux Enterprise Server (SLES), suivez les instructions de notre article de la base de connaissance. 1. Installation des progiciels requis pour le serveur ESET PROTECT. 2. Configurez la connexion au serveur MySQL, comme le montre la section configuration MySQL. 3. Vérifiez la configuration du pilote ODBC MySQL. Consultez la rubrique Installation et configuration d'ODBC pour plus de renseignements. 4. Personnalisez les paramètres d'installation et exécutez l'installation du serveur ESET PROTECT. Voir Installation du serveur - Linux pour plus de détails. 5. Installez les progiciels Java et Tomcat requis et ceux de ESET PROTECT Web Console comme indiqué dans la rubrique Installation de ESET PROTECT Web Console. Si vous rencontrez des problèmes avec la connexion HTTPS à ESET PROTECT Web Console, consultez notre article sur la configuration de la connexion HTTPS/SSL. 6. Installer l'agent ESET Management sur la machine serveur. Installation du composant sur macOS Dans la plupart des scénarios d'installation, vous devez installer différents composants de ESET PROTECT sur des machines différentes pour pouvoir fonctionner avec différentes architectures de réseau, pour répondre aux exigences de performance ou pour d'autres raisons. Remarque MacOS est pris en charge en tant que client uniquement. L'agent ESET Management et les produits ESET pour macOS peuvent être installés sur macOS. Ce pendant, le serveur ESET PROTECT ne peut pas être installé sur macOS. Installation de l'agent - macOS Ces étapes s'appliquent lorsque vous effectuez une installation locale de l'Agent. 1. Assurez-vous que toutes les exigences de configuration requise sont respectées : • Le serveur ESET PROTECT et la console Web ESET PROTECT sont installés (sur un ordinateur 124 serveur). • Un certificat d'Agent est créé et préparé sur votre disque local. • Une autorité de certification est prête sur votre disque local (uniquement nécessaire pour les certificats non signés). Remarque Si vous rencontrez des problèmes lors du déploiement de l'agent ESET Management à distance (la tâche du serveur Déploiement de l'agent se termine par un échec), reportez-vous à la rubrique Dépannage du déploiement de l'agent. 2. Téléchargez le fichier d'installation (programme autonome .dmg pour l'installation de l'agent) à partir du site de téléchargement d'ESET ou demandez-le à votre administrateur. 3. Double-cliquez sur le fichier Agent-MacOSX-x86_64.dmg, puis démarrez l'installation en double-cliquant sur le fichier .pkg. 4. Continuez l'installation. Lorsque vous y êtes invité fournissez les données de connexion de serveur suivants : • Nom d'hôte du serveur : Nom d'hôte ou adresse IP du serveur ESET PROTECT • Port du serveur : port pour la communication agent - serveur, la valeur par défaut est 2222. • Utiliser le mandataire : cliquez sur cette option si vous souhaitez utiliser le mandataire HTTP pour la connexion agent - serveur Remarque Ce paramètre de mandataire est utilisé uniquement pour la réplication entre l'agent ESET Management et le serveur ESET PROTECT, et non pour la mise en cache des mises à jour. • Nom d'hôte du mandataire : Nom d'hôte ou adresse IP du mandataire HTTP. • Port du Serveur : la valeur par défaut est 3128. • Nom d'utilisateur, Mot de passe : entrez les informations d'identification utilisées par votre mandataire s'il utilise l'authentification. Vous pouvez modifier les paramètres de mandataire plus tard dans votre politique. Le mandataire doit être installé pour pouvoir configurer une connexion Agent - Serveur par un mandataire. 5. Sélectionnez un certificat homologue et un mot de passe pour ce certificat. Si vous le souhaitez, vous pouvez ajouter une Autorité de certification. Avertissement La phrase secrète du certificat ne doit pas contenir les caractères suivants : " \ Ces caractères provoquent une erreur critique lors de l'initialisation de l'agent. 6. Vérifiez l'emplacement d'installation et cliquez sur Installer. L'Agent est alors installé sur votre ordinateur. 7. Le dernier fichier journal de l'agent ESET Management se trouve à l'emplacement suivant : /Library/Application Support/com.eset.remoteadministrator.agent/Logs/ /Users/%user%/Library/Logs/EraAgentInstaller.log IMPORTANT Le protocole de communication entre l'agent et ESET PROTECT le serveur ne prend pas en charge l'authentification. Toute solution mandataire servant à transmettre les communications de l'agent au serveur ESET PROTECT et nécessitant une authentification ne fonctionnera pas. Si vous choisissez d'utiliser un autre port que celui par défaut pour la console Web ou l'agent, vous devrez peut être modifier le pare-feu. Sinon, l'installation peut échouer. Image ISO Vous pouvez télécharger (catégorie de programme d'installation tout-en-un) les programmes d'installation de ESET 125 PROTECT entre autres sous la forme d'un fichier image ISO. L'image ISO contient les éléments suivants : • Paquet d'installation de ESET PROTECT • Des programmes d'installation séparés pour chaque composant L'image ISO est utile lorsque vous voulez garder tous les programmes d'installation de ESET PROTECT au même endroit. Elle élimine également la nécessité de télécharger les programmes d'installation depuis le site Web d'ESET chaque fois que vous devez exécuter l'installation. Il est également utile d'avoir une image ISO lorsque vous voulez installer ESET PROTECT sur une machine virtuelle. Fiche de service DNS Pour définir une fiche de ressource DNS : 1. Sur votre Serveur DNS (serveur DNS sur votre Contrôleur de domaine), allez à Panneau de configuration > Outils d'administration. 2. Sélectionnez la valeur DNS. 3. Dans le gestionnaire de DNS, sélectionnez _tcp dans l'arborescence et créez une nouvelle fiche Emplacement du service (SRV). 4. Entrez le nom du service dans le champ Service selon les règles DNS standard. Tapez un symbole de soulignement (_) devant le nom du service (utilisez votre propre nom de service, par exemple _era). 5. Entrez le protocole tcp dans le champ Protocole dans le format suivant : _tcp. 6. Entrez le port 2222 dans le champ Numéro de port. 7. Entrez le nom de domaine complet (FQDN) du serveur ESET PROTECT dans le champ Hôte offrant ce service. 8. Cliquez sur OK > Terminé pour enregistrer la fiche. La fiche sera affichée dans la liste. Pour vérifier la fiche DNS : 1. Connectez-vous à votre domaine à partir de n'importe quel ordinateur et ouvrez l'invite de commande (cmd.exe). 2. Tapez nslookup dans l'invite de commande et appuyez sur Entrée. 3. Tapez set querytype=srv et appuyez sur Entrée. 4. Tapez _era._tcp.domain.name et appuyez sur Entrée. L'emplacement du service s'affiche alors correctement. Remarque N'oubliez pas de remplacer la valeur de « Hôte fournissant ce service ». par le nom complet de votre nouveau serveur lorsque vous installez ESET PROTECT Server sur une autre machine. Scénario d'installation hors connexion pour ESET PROTECT Dans certains cas, vous pouvez vouloir installer ESET PROTECT et ses composants dans des environnements sans accès à Internet. Pour ce faire, suivez nos instructions d'installation de haut niveau : IMPORTANT Pour les instructions sur la mise à niveau de ESET PROTECT, consultez la rubrique Mise à niveau des composants de ESET PROTECT dans un environnement hors connexion. Installation à l'aide de GPO/SCCM : Consultez l'article connexe de la Base de connaissances. Installation à partir d'un référentiel local 1. Installez ESET PROTECT. Choisissez Activer plus tard lors de l'installation et activez ESET PROTECT ultérieurement avec une licence hors ligne. 2. Créez un référentiel local pour les paquets d'installation. Il existe trois façons de le faire : a) Créez un référentiel local en utilisant Apache Tomcat déjà installé avec ESET PROTECT. I.Allez à : C:\Program Files\Apache Software Foundation\[ Tomcat dossier ]\webapps\ II.Créez un nouveau dossier pour votre référentiel local, par exemple, protect_repository. 126 III.Copiez les paquets d'installation dans votre référentiel. IV.Les progiciels d'installation seront accessibles à l'adresse : https://tomcat_server:tomcat_port/protect_repository/Agent_MacOSX-x86_64.d mg b)Créez un référentiel local en utilisant le mandataire HTTP Apache. I.Installez le serveur mandataire HTTP Apache. II.Allez à : C:\Program Files\Apache HTTP Proxy\htdocs\ (l'emplacement peut être modifié dans le fichier de configuration). III.Copier les paquets d'installation dans ce dossier. IV.Les progiciels d'installation seront accessibles à l'adresse suivante : http://proxy_server:proxy_port/Agent_MacOSX-x86_64.dmg c)Utilisez un dossier/lecteur réseau partagé. 3. Installez l'agent ESET Management à l'aide du programme d'installation Agent Live en utilisant une URL pour accéder au paquet d'installation de l'agent dans le référentiel local du script d'installation. Reportezvous à notre article de la Base de connaissances ESET pour plus d'information. 4. Déployez les produits ESET Endpoint sur des postes de travail à l'aide de la tâche d'installation de logiciel. Choisissez une URL personnalisée pour le progiciel d'installation dans le référentiel local. Visitez la page de téléchargementESET.com pour télécharger les paquets d'installation. 5. Activez vos points d'extrémité avec une licence hors ligne : • Comment activer les produits pour entreprises d'ESET hors ligne? • Comment activer les produits pour entreprises d'ESET à partir de ESET PROTECT? 6. Désactivez ESET LiveGrid®. 7. Miroir de mise à jour - il existe deux scénarios (a, b) : IMPORTANT Apache HTTP Proxy fonctionne bien en tant que miroir, mais Apache Tomcat doit être configuré pour fonctionner sans SSL,, car la connexion à la console Web ESET PROTECT ne sera pas sécurisée à cause du miroir de mise à jour. a)Dans un réseau fermé sans accès à Internet, l'administrateur doit créer un serveur de mise à jour personnalisée, un dossier « miroir » où les fichiers de mise à jour pour les clients sont stockés : I.Si Apache HTTP Proxy/Apache Tomcat est utilisé comme serveur de mise à jour, les clients doivent être configurés pour utiliser un serveur de mise à jour personnalisé (non mandataire) II.Si Endpoint Security pour Windows est utilisé comme serveur miroir, les clients doivent être configurés pour télécharger à partir du miroir client b)Si au moins un ordinateur a accès à Internet : I.Vous pouvez utiliser Apache HTTP Proxy et configurer les clients pour utiliser le mandataire II.Vous pouvez utiliser Tomcat comme serveur de mise à jour en plus de l'outil miroir et configurer les clients pour utiliser un serveur de mise à jour personnalisé III.Vous pouvez configurer un miroir en utilisant Endpoint security pour Windows et configurer les clients pour qu'ils téléchargent à partir du miroir client 8. Il est fortement recommandé de mettre régulièrement à jour les modules. Si les modules ne sont pas mis à jour, les ordinateurs seront marqués dans la console Web à l'aide de l'indicateur N'est pas à jour. Cet avertissement peut être désactivé dans la console Web ESET PROTECT en cliquant sur l'ordinateur dans la liste et en sélectionnant Mise sous silence dans le menu déroulant. Mise à niveau, migration et procédures de 127 réinstallation Il existe différentes méthodes permettant d’effectuer une mise à niveau, une migration et une réinstallation de votre serveur ESET PROTECT et d’autres composants de ESET PROTECT. Avertissement • Assurez-vous que votre système d'exploitation est pris en charge avant d'effectuer la mise à niveau vers ESET PROTECT 8.0. • Le composant du serveur ESET PROTECT, version 8.0 n'est pas compatible avec les ordinateurs 32 bits (architecture x86). La mise à niveau d'un serveur 32 bits à partir des versions 6.5 à 7.0 vers 8.0 échouera. • Si vous avez déjà effectué la mise à niveau et que votre système ne fonctionne plus, vous devez réinstaller manuellement tous les composants de ESET PROTECT à la version originale. • Si vous souhaitez effectuer une mise à niveau, vous devez migrer votre ESET PROTECT actuel vers une machine 64 bit, et après une migration réussie, vous pouvez exécuter la tâche de mise à niveau. • ESET PROTECT 8.0 utilise LDAPS comme protocole par défaut pour la synchronisation d'Active Directory. Si vous effectuez une mise à niveau à partir de la version 6.5-7.1 sur un ordinateur Windows vers ESET PROTECT 8.0 et que vous utilisiez la synchronisation d'Active Directory, les tâches de synchronisation échoueront dans ESET PROTECT 8.0. 1. Mettre à niveau de la génération ERA 5 La mise à niveau directe n'est pas prise en charge; Voir Migration à partir de ERA 5.x. 2. Mise à niveau de ERA 6.5 ou ESMC 7.x vers ESET PROTECT version 8.0 Mise à jour vers la dernière version : • à l’aide de la tâche Mise à niveau des composants • à l'aide de ESET PROTECT 8.Programme d’installation tout-en-un 0 - Nous recommandons cette option de mise à niveau si l'installation existante de ERA/ESMC a été effectuée à l'aide du programme d'installation tout-en-un. • manuellement, pour les utilisateurs avancés Si votre infrastructure utilise le composant mandataire ERA, lisez la documentation sur la migration du mandataire avant de procéder à la mise à niveau. Remarque Pour connaitre la version de chacun des composants de ESET PROTECT que vous utilisez, vérifiez quelle est la version du serveur ESET PROTECT. Allez à la page À propos dans la console Web de ESET PROTECT, puis suivez les instructions de cet article de la base de connaissances pour obtenir la liste de toutes les versions des composants de ESET PROTECT en fonction du serveur ESET PROTECT. 3. Migrer ou réinstaller ESET PROTECT 8 d'un serveur vers un autre Migrer d'un serveur à un autre ou réinstaller un serveur ESET PROTECT. IMPORTANT Si vous envisagez de migrer d'un serveur ESET PROTECT vers un nouveau serveur, vous devez exporter / sauvegarder toutes les autorités de certification ainsi que le certificat du serveur ESET PROTECT. Dans le cas contraire, aucun composant de ESET PROTECT ne sera en mesure de communiquer avec votre nouveau serveur ESET PROTECT. 4. 128 Autres procédures Modifier l'adresse IP ou le nom d'hôte d'un serveur ESET PROTECT. IMPORTANT Des changements importants se produiront après une mise à niveau des versions ERA 6.5 vers ESET PROTECT 8.0. Tâche de mise à niveau des composants ESET PROTECT Avant la mise à niveau Nous vous recommandons d'utiliser la tâche ESET PROTECTMise à niveau des composants disponible dans la console Web ESET PROTECT pour mettre à niveau votre infrastructure ESET PROTECT. Assurez-vous d’examiner attentivement les instructions données avant la mise à jour. Remarque • ESET PROTECT 8 vous avertit automatiquement lorsqu'une nouvelle version du serveur ESET PROTECT est disponible. • Pour des instructions supplémentaires sur la mise à niveau de ESET PROTECT vers sa version la plus récente, lisez notre article de la Base de connaissances. Effectuez-vous une mise à niveau à partir d'un périphérique virtuel ERA/ESMC? Mettez-vous à jour un environnement avec le mandataire ERA? L'instance de serveur ESET PROTECT est-elle installée sur une grappe de basculement? Si votre instance du serveur ESET PROTECT est installée sur une grappe de basculement, vous devez mettre à niveau manuellement le composant du serveur ESET PROTECT sur chaque nœud de grappes. Une fois la mise à niveau du serveur ESET PROTECT terminée, exécutez la tâche Mise à niveau des composants pour mettre à niveau le reste de l'infrastructure (par exemple, les agents ESET Management sur les ordinateurs clients). Instructions importantes avant la mise à niveau du mandataire HTTP Apache sur Microsoft Windows Si vous utilisez le mandataire HTTP Apache et avez des paramètres personnalisés dans votre fichier httpd.conf (par exemple votre nom d'utilisateur et votre mot de passe), sauvegardez votre fichier original httpd.conf (situé dans C:\Program Files\Apache HTTP Proxy\conf\). Si vous n'utilisez pas des paramètres personnalisés, il n'est pas nécessaire de sauvegarder le fichier httpd.conf. Mettez à niveau vers la dernière version du mandataire HTTP Apache en utilisant l'une des méthodes mentionnées dans la rubrique Mise à niveau du mandataire HTTP Apache. Avertissement Une fois que la mise à niveau de Apache HTTP Proxy est terminée sur Windows et que vous avez des paramètres personnalisés dans votre fichier httpd.conf original, (par exemple votre nom d'utilisateur et votre mot de passe), copiez ces paramètres du fichier de sauvegarde httpd.conf et appliquez uniquement les paramètres personnalisés du nouveau fichier httpd.conf. N'utilisez pas votre fichier httpd.conf original avec la nouvelle version mise à niveau du Apache HTTP Proxy; cela ne fonctionnera pas correctement. Copiez uniquement vos paramètres personnalisés de ce fichier et utilisez le nouveau fichier httpd.conf. Vous pouvez aussi personnaliser votre nouveau fichier httpd.conf manuellement; les paramètres sont décrits dans la rubrique Installation du mandataire HTTP Apache - Windows. Instructions importantes avant la mise à niveau du mandataire HTTP Apache sur un appareil virtuel 129 Si vous utilisez le serveur mandataire HTTP Apache et avez des paramètres personnalisés dans votre fichier httpd.conf (comme votre nom d'utilisateur et votre mot de passe), sauvegardez votre fichier httpd.conf original (situé dans /opt/apache/conf/), puis exécutez la tâche Mise à niveau des composants de ESET PROTECT pour mettre à niveau le serveur mandataire HTTP Apache. Si vous n'utilisez pas des paramètres personnalisés, il est pas nécessaire de créer une sauvegarde de httpd.conf. Une fois que la tâche Mise à niveau des composants est terminée, exécutez la commande suivante. Affectez-la à l'ordinateur avec le mandataire HTTP Apache installé. Utilisez la tâche client Exécuter la commande. Cette action mettra à jour le fichier httpd.conf (nécessaire pour que les versions mises à niveau du mandataire HTTP Apache fonctionnent correctement) : wget https://help.eset.com/protect_install/80/apache/httpd.conf -O\ /tmp/httpd.conf -o /tmp/wgeterror.log && cp /tmp/httpd.conf\ /opt/apache/conf/httpd.conf Si le mandataire HTTP Apache est en cours d’exécution sur votre ordinateur virtuel, vous pouvez aussi exécuter la même commande directement à partir de la console d’appareil virtuel ESET PROTECT. Une autre option consiste à remplacer le fichier de configuration du mandataire HTTP Apache httpd.conf manuellement. Avertissement Si vous avez des paramètres personnalisés dans votre fichier httpd.conf original, (par exemple votre nom d'utilisateur et votre mot de passe), copiez ces paramètres du fichier de sauvegarde httpd.conf et ajoutez uniquement les paramètres personnalisés au nouveau fichier httpd.conf. N'utilisez pas votre fichier httpd.conf original avec la nouvelle version mise à niveau du mandataire HTTP Apache; cela ne fonctionnera pas correctement. Copiez uniquement vos paramètres personnalisés de ce fichier et utilisez le nouveau fichier httpd.conf. Vous pouvez aussi personnaliser votre nouveau fichier httpd.conf manuellement; les paramètres sont décrits dans la rubrique Installation du mandataire HTTP Apache - Linux. 130 IMPORTANT Vous pouvez effectuer une mise à niveau vers ESET PROTECT 8.0 uniquement à partir de ERA versions 6.5 et ultérieures. Sauvegardez les données suivantes avant de démarrer la tâche de mise à niveau : • Tous les certificats (autorité de certification, certificat de serveur, certificats de mandataire et d'agent) • Exportez vos Certificats d'autorité de certification du serveur ESET PROTECT existant vers un fichier .der et enregistrez-le sur un support de stockage externe. • Exportez vos certificats homologues (pour l'agent ESET Management, le serveur ESET PROTECT) et le fichier de clé privée .pfx à partir d'un ancien serveur ESET PROTECT et enregistrez-les sur un support de stockage externe. • Votre base de données ERA/ESMC. Si vous avez installé une ancienne base de données non prise en charge (MySQL 5.5 ou MSSQL 2008), mettez à niveau votre base de données vers une version de base de données compatible avant de mettre à niveau le serveur ESET PROTECT. Assurez-vous que votre système d'exploitation est pris en charge avant d'effectuer la mise à niveau vers ESET PROTECT 8.0. Le composant du serveur ESET PROTECT, version 8.0 n'est pas compatible avec les ordinateurs 32 bits (architecture x86). La mise à niveau d'un serveur 32 bits à partir des versions 6.5 à 7.0 vers 8.0 échouera. • Si vous avez déjà effectué la mise à niveau et que votre système ne fonctionne plus, vous devez réinstaller manuellement tous les composants de ESET PROTECT à la version originale. • Si vous souhaitez effectuer une mise à niveau, vous devez migrer votre ESET PROTECT actuel vers une machine 64 bit, et après une migration réussie, vous pouvez exécuter la tâche de mise à niveau. ESET PROTECT 8.0 utilise LDAPS comme protocole par défaut pour la synchronisation d'Active Directory. Si vous effectuez une mise à niveau à partir de la version 6.5-7.1 sur un ordinateur Windows vers ESET PROTECT 8.0 et que vous utilisiez la synchronisation d'Active Directory, les tâches de synchronisation échoueront dans ESET PROTECT 8.0. Pour mettre à niveau les produits de sécurité ESET, utilisez la tâche Installation de logiciel. Exécutez la tâche à l’aide du dernier progiciel d’installation pour installer la dernière version par-dessus votre produit existant. Procédure de mise à niveau recommandée 1. Mise à niveau du serveur ESET PROTECT : sélectionnez uniquement les machines sur lesquelles ESET PROTECT est installé comme cible pour la tâche Mise à niveau des composants de ESET PROTECT. Avertissement Lorsque la mise à niveau se fait à partir de ERA 6.x, assurez-vous d'effectuer la mise à niveau du serveur ESET PROTECT avant celle des agents. Les agents de ESET Management utilisent un nouveau protocole de communication et ne peuvent pas se connecter au serveur ERA 6.x. 2. Sélectionnez certains ordinateurs clients (comme échantillon de test - au moins un client de chaque système d'exploitation et chaque nombre de bits) et exécutez la tâche Mise à niveau des composants de ESET PROTECT sur eux. • Il est recommandé d’utiliser le mandataire HTTP Apache (ou un autre mandataire Web transparent avec mise en cache activée) afin de limiter la charge du réseau. Les ordinateurs clients de test déclencheront le téléchargement ou la mise en cache des programmes d'installation. Lors de la prochaine exécution de la tâche, les programmes d’installation seront distribués aux ordinateurs clients directement depuis le cache. 3. Une fois que les ordinateurs avec l'agent ESET Management mis à niveau se sont correctement connectés au serveur ESET PROTECT, procédez à la mise à niveau du reste des clients. 131 Remarque Pour mettre à niveau les agents ESET Management sur tous les ordinateurs gérés du réseau, sélectionnez le groupe statique Tous comme cible pour la tâche Mise à niveau des composants de ESET PROTECT. Les ordinateurs qui ont déjà été mis à niveau ne le seront plus. Liste des composants mis à niveau : • Serveur ESET PROTECT • Agent ESET Management • Console Web de ESET PROTECT - S'applique uniquement lorsque Apache Tomcat a été installé dans son dossier d'installation par défaut dans les distributions Windows et Linux, y compris le périphérique virtuel ESET PROTECT (par exemple : /var/lib/tomcat8/webapps/, /var/lib/tomcat7/webapps/, /var/lib/tomcat/webapps/). Avertissement oApache Tomcat ne peux pas être mis à niveau pendant la mise à niveau de la console Web de ESET PROTECT en utilisant la tâche de mise à niveau des composants. oLa mise à niveau de la console Web deESET PROTECT ne fonctionne pas si Apache Tomcat a été installé dans un lieu personnalisé. oSi une version personnalisée de Apache Tomcat est installée (installation manuelle du service Tomcat), la mise à niveau ultérieure de la Web Console de ESET PROTECT à l'aide du programme d'installation tout-en-un ou de la mise à niveau des composants ne sera pas prise en charge. • ESET PROTECT Connecteur d'appareil mobile Il est recommandé de mettre à niveau MDM vers la version 6.5 pour pouvoir mettre à niveau votre environnement vers la version 8.0. Composants qui doivent être mis à niveau manuellement : • Apache Tomcat (Nous recommandons fortement de garder Apache Tomcat à jour. Voir la rubrique Mise à niveau d'Apache Tomcat) • serveur de la base de données • Mandataire HTTP Apache (possible uniquement en utilisant le programme d'installation tout-en-un. Consultez la rubrique Mise à niveau du mandataire HTTP Apache) • ESET Rogue Detection Sensor : mettez-le à niveau en installant une version plus récente que l'ancienne version (suivez les instructions d'installation pour Windows ou Linux). Si vous avez installé RD Sensor avec version de ESMC 7.x, vous n'avez pas besoin de le mettre à jour, car il n'y a pas de nouvelles versions de RD Sensor. Dépannage Avertissement En cas d’échec de la mise à niveau des composants sur un ordinateur qui exécute le serveur ESET PROTECT ou la console Web, vous ne pourrez peut-être pas vous connecter à distance à la console Web. Il est recommandé de configurer l'accès physique à l'ordinateur serveur avant de lancer cette mise à niveau. S'il vous est impossible d'établir un accès physique à l'ordinateur, assurez-vous de pouvoir vous y connecter avec les privilèges administrateur à l'aide du bureau à distance. Il est recommandé de faire une copie de sauvegarde des bases de données de votre serveur ESET PROTECT et de votre Connecteur d'appareils mobiles avant d'exécuter cette opération. Pour faire une copie de sauvegarde de votre appareil virtuel, créez une capture d'écran ou un clone de votre machine virtuelle. • Vérifiez que vous pouvez accéder au référentiel ESET PROTECT à partir d'un ordinateur mis à niveau. • La ré-exécution de la tâche Mise à niveau des composants de ESET PROTECT ne fonctionnera pas si la mise à niveau d’au moins un composant vers une version plus récente a été effectuée. • S'il n'existe aucune raison apparente de l'échec, effectuez la mise à niveau des composants manuellement. 132 Consultez nos instructions pour Windows ou Linux. • Consultez les renseignements de dépannage généraux pour d'autres suggestions sur la résolution des problèmes de mise à niveau. Mise à niveau à l'aide de ESET PROTECT 8.Programme d'installation tout-en-un 0 Mise à niveau de ERA 6.5 ou ESMC 7.x vers la plus récente version de ESET PROTECT 8.0 à l'aide de ESET PROTECT 8.Programme d'installation tout-en-un 0. IMPORTANT • Nous recommandons cette option de mise à niveau si l'installation existante a été effectuée à l'aide du programme d'installation tout-en-un. • Vous pouvez effectuer une mise à niveau vers ESET PROTECT 8.0 uniquement à partir de ERA versions 6.5 et ultérieures. • Assurez-vous que votre système d'exploitation est pris en charge avant d'effectuer la mise à niveau vers ESET PROTECT 8.0. • Le composant du serveur ESET PROTECT, version 8.0 n'est pas compatible avec les ordinateurs 32 bits (architecture x86). La mise à niveau d'un serveur 32 bits à partir des versions 6.5 à 7.0 vers 8.0 échouera. • Si vous avez déjà effectué la mise à niveau et que votre système ne fonctionne plus, vous devez réinstaller manuellement tous les composants de ESET PROTECT à la version originale. • Si vous souhaitez effectuer une mise à niveau, vous devez migrer votre ESET PROTECT actuel vers une machine 64 bit, et après une migration réussie, vous pouvez exécuter la tâche de mise à niveau. • Si vous avez installé une ancienne base de données non prise en charge (MySQL 5.5 ou MSSQL 2008), mettez à niveau votre base de données vers une version de base de données compatible avant de mettre à niveau le serveur ESET PROTECT. • Le ESET PROTECT 8.Le programme d'installation tout-en-un de 0 installe Microsoft SQL Server Express 2019 par défaut. Si vous utilisez une ancienne édition de Windows (Server 2012 ou SBS 2011), Microsoft SQL Server Express 2014 sera installé par défaut. • ESET PROTECT 8.0 utilise LDAPS comme protocole par défaut pour la synchronisation d'Active Directory. Si vous effectuez une mise à niveau à partir de la version 6.5-7.1 sur un ordinateur Windows vers ESET PROTECT 8.0 et que vous utilisiez la synchronisation d'Active Directory, les tâches de synchronisation échoueront dans ESET PROTECT 8.0. 1. Exécutez Setup.exe. 2. Sélectionnez la langue et cliquez sur Suivant. 3. Sélectionnez Mettre à niveau tous les composants, puis cliquez sur Suivant. 133 4. Lisez le contrat de licence de l'utilisateur final, acceptez-le, puis cliquez sur Suivant. 5. Passez en revue les composants de ESET PROTECT qui peuvent être mis à niveau et cliquez sur Suivant. Avertissement • Si une version personnalisée de Apache Tomcat est installée (installation manuelle du service Tomcat), la mise à niveau ultérieure de la Web Console de ESET PROTECT à l'aide du programme d'installation tout-en-un ou de la mise à niveau des composants ne sera pas prise en charge. • La mise à niveau d'Apache Tomcat supprimera le dossier era situé dans C:\Program Files\Apache Software Foundation\[ Tomcat dossier ]\webapps\. Si vous utilisez le dossier era pour stocker des données supplémentaires, assurez-vous de sauvegarder ces données avant la mise à niveau. • Si C:\Program Files\Apache Software Foundation\[ Tomcat dossier ]\webapps\ contient des données supplémentaires (autres que les données des dossiers era et ROOT), la mise à niveau d'Apache Tomcat n'aura pas lieu et seule la console Web sera mise à niveau. • La mise à niveau de la console Web et d'Apache Tomcat efface les fichiers d'aide hors ligne. Si vous avez utilisé l'aide hors ligne pour ERA/ESMC ou une version plus ancienne de ESET PROTECT, recréez-la pour ESET PROTECT 8.0 après la mise à niveau. Cela garantit que vous disposez de la dernière aide hors ligne correspondant à la version de votre ESET PROTECT. 134 6. Suivez les instruction de l'assistant pour effectuer la mise à niveau de ESET PROTECT. Mettez à niveau l'infrastructure avec le mandataire ERA 6.5 Le composant mandataire ERA a été abandonné depuis ESMC 7. Une solution mandataire de remplacement est offerte. Au cours de la mise à niveau de votre infrastructure (serveur et agents), vous devez faire migrer votre solution mandataire. Avant la mise à niveau, veuillez lire les renseignements ci-dessous. Avertissement • Faites attention à la compatibilité des connexions : oL'agent ERA version 6.x peut se connecter au serveur ESET PROTECT. oESET Management L'agent (depuis la version 7) ne peut pas se connecter au ESET PROTECT serveur par l'entremise du ERAmandataire. oL'agent ESET Management (depuis la version 7) ne peut plus se connecter à ERA. • Le protocole de communication entre l'agent et ESET PROTECT le serveur ne prend pas en charge l'authentification. Toute solution mandataire servant à transmettre les communications de l'agent au ESET PROTECT serveur et nécessitant une authentification ne fonctionne pas. • N'effectuez pas de mise à niveau ERA des agents (qui se connectent au moyen du mandataire) avant la mise en place d'une solution mandataire appropriée. Scénarios de mise à niveau Si vous exécutez un environnement qui utilise le ERA composant mandataire, procédez selon l'un des scénarios cidessous pour mettre à niveau votre infrastructure vers ESET PROTECT 8. 135 • ERA Proxy installé sur Windows (cette page) • ERA Installation du mandataire sur Windows (un article de la Base de connaissances présente des instructions plus précises) • Mandataire ERA déployé comme périphérique virtuel sur Linux (article de la base de connaissances) Mettre à niveau l'infrastructure avec ERA Installation du mandataire sur Windows 1. Sauvegardez votre serveur ERA. 2. Mettez à niveau votre ERA serveur vers ESET PROTECT8 au moyen de la mise à niveau des composants de Remote Administrator. (Le serveur, l'agent et la console Web sont mis à niveau) 3. Attendez environ 24 heures pour vous assurer que l'environnement mis à niveau fonctionne correctement. 4. Mettez à niveau l'agent ERA sur la machine mandataire ERA à l'aide de la tâche de mise à niveau des composants de ESET PROTECT. 5. Installez Apache HTTP Proxy sur la machine sur laquelle le serveur mandataire ERA est installé. Utilisez la version ESET préconfigurée de Apache. (lien de téléchargement) 6. Modifiez le fichier de configuration Apache HTTP Proxy httpd.conf situé dans C:\Program Files\Apache HTTP Proxy\conf. a.Par défaut, le port 2222 est utilisé pour les communications avec ESET Management l'agent. Si vous avez changé de port lors de l'installation, utilisez votre numéro de port. Dans la ligne AllowCONNECT 443 563 2222 8883, remplacez 2222 par votre numéro de port. b.Ajoutez un segment ProxyMatch séparé : I.L'adresse que vos agents utilisent pour se connecter au serveur ESET PROTECT II.Toutes les autres adresses possibles de votre serveur ESET PROTECT (IP, FQDN) (ajoutez le code ci-dessous en entier; l'adresse IP 10.1.1.10 et le nom d'hôte hostname.example sont présentés à titre d'exemples seulement; vous devez les remplacer par vos adresses. Vous pouvez également générer l'expression ProxyMatch à l'aide de cet article de la base de connaissances.) <ProxyMatch ^(hostname\.example(:[0-9]+)?(\/.*)?|10\.1\.1\.10(:[0-9]+)?(\/.*)?)$> Allow from all </ProxyMatch> c.Redémarrez le service Apache HTTP Proxy. 7. Créez une nouvelle politique sur votre serveur ESET PROTECT a.Dans la console Web ESET PROTECT, cliquez sur Politiques > Créer. b.Dans la section Général Entrez un nom pour la politique. c.Dans la section Paramètres, sélectionnez l'agent ESET Management. d.Accédez à Connexion > Le serveur se connecte à > Modifier la liste des serveurs. e.Cliquez sur Ajouter et entrez l'adresse de la machine mandataire (la machine où le mandataire ERA est installé) dans le champ Hôte. Cliquez sur OK. f.Répétez l'étape ci-dessus et ajoutez l'adresse (l'adresse doit correspondre à celle utilisée pour la configuration de l'agent) de votre serveur ESET PROTECT. g.Cliquez sur Enregistrer. h.Accédez à Paramètres avancés > Mandataire HTTP et mettez Configuration mandataire sur Différents mandataire par service. i.Cliquez sur Réplication > Modifier et activez l'option Utiliser un serveur mandataire. j.Saisissez l'adresse IP de l'appareil mandataire dans le champ Hôte. (L'adresse IP 10.1.1.10 n'est présentée qu'à titre d'exemple; remplacez-la par votre adresse.) k.Conservez la valeur par défaut 3128 pour le port. l.Cliquez sur Terminer et sur Enregistrer pour enregistrer la politique. Ne l'attribuez pas à un ordinateur pour le moment. 136 IMPORTANT • Il est absolument nécessaire d'avoir les deux adresses IP dans une liste appliquée au client. Si l'agent ne dispose pas de ces informations sur une politique, il ne pourra pas se connecter au serveur mandataire et au serveur après la mise à niveau. Un tel agent doit être corrigé manuellement en exécutant une installation de réparation et en utilisant l'adresse correcte du serveur ESET PROTECT. • Si le paramètre de mandataire HTTP n'est pas appliqué dans la politique, l'agent ne pourra pas connecter le serveur ESET PROTECT. 8. Choisissez un ordinateur connecté par mandataire ERA et attribuez la nouvelle politique à cet ordinateur. 9. Patientez quelques minutes jusqu'à ce que la politique soit appliquée et vérifiez si l'ordinateur se connecte toujours au serveur ESET PROTECT. 10. Exécutez la tâche de mise à niveau des composants de ESET PROTECT pour mettre à niveau le client. 11. Une fois le client mis à niveau vers la version 8, vérifiez s'il se connecte toujours au serveur ESET PROTECT. Si l'ordinateur se connecte correctement après la mise à niveau, continuez avec la mise à niveau des autres ordinateurs. IMPORTANT Si vous disposez d'un réseau plus étendu, commencez la mise à niveau dans les départements avec des utilisateurs expérimentés ou ceux qui sont physiquement plus proches des ordinateurs afin de faciliter le dépannage. 12. Appliquez la politique (de l'étape 7) à d'autres ordinateurs connectés par le mandataire ERA. 13. Patientez quelques minutes jusqu'à ce que la politique soit appliquée et vérifiez si les clients se connectent toujours au serveur ESET PROTECT. 14. Exécutez la tâche de mise à niveau des composants de ESET PROTECT sur ces clients. 15. Si tous les clients se connectent au serveur ESET PROTECT une fois la mise à niveau terminée, vous pouvez passer aux étapes suivantes. 16. Modifiez la politique (de l'étape 5). Accédez à Politique > cliquez sur l'icône en forme de roue dentée à côté de la politique que vous souhaitez modifier et cliquez sur Modifier. a.Dans Paramètres > Connexion, cliquez sur Modifier la liste des serveurs et supprimez l'adresse de la machine mandataire ERA. b.Cliquez sur Enregistrer. c.Cliquez sur Terminer pour appliquer la politique. 17. Supprimez le mandataire ERA à l'aide de Tâches > Désinstaller un logiciel. Migration à partir de ERA 5.x Vous ne pouvez pas directement mettre à niveau ou migrer ERA 5.x vers ESET PROTECT 8.0. Si ERA 5.x est installé, effectuez ces actions : 1. Migration à partir de ERA 5.x vers ESMC 7.2 2. Mettez à niveau ESMC 7.2 vers ESET PROTECT 8.0 Migration d'un serveur à un autre Il existe plusieurs façons de migrer ESET PROTECT d'un serveur vers un autre (ces scénarios peuvent être utilisés lors de la réinstallation de votre serveur ESET PROTECT) : • Nouvelle installation - adresse IP identique - La nouvelle installation n'utilise pas la base de données de l'ancien serveur ESET PROTECT et conserve l'adresse IP d'origine. • Nouvelle installation - adresse IP différente (article de la Base de connaissance) - La nouvelle installation n'utilise pas la base de données de l'ancien serveur ESET PROTECT et possède une adresse IP différente. • Base de données migrée - adresse IP identique/différente - la migration de base de données ne peut s'effectuée qu'entre deux types de base de données similaires (de MySQL vers MySQL ou de MSSQL vers MSSQL) et deux versions similaires de ESET PROTECT. 137 Nouvelle installation - même adresse IP L'objectif de cette procédure est d'installer une toute nouvelle instance de serveur ESET PROTECT qui n'utilise pas la base de données précédente, mais conserve des enregistrements pour les ordinateurs clients. Ce nouveau serveur ESET PROTECT aura la même adresse IP que votre serveur précédent, mais n'utilisera pas la base de données de l'ancien serveur ESET PROTECT. Cliquez ici pour agrandir l'image ❑ Sur votre serveur ESET PROTECT actuel (ancien) : Avertissement Si les ordinateurs client sont chiffrés avec ESET Full Disk Encryption, déchiffrés-les avant de migrer vers un autre serveur ESET PROTECT pour éviter la perte des données de récupération. Après la migration, vous pouvez chiffrer à nouveau les ordinateurs clients en utilisant le nouveau serveur ESET PROTECT. 1. Exportez un certificat de serveur du serveur ESET PROTECT actuel et enregistrez-le sur un support de stockage externe. • Exportez tous les certificats d'autorité de certification de votre serveur ESET PROTECT et enregistrez chaque certificat d'AC en tant que fichier .der. • Exportez le certificat de serveur de votre serveur ESET PROTECT vers un fichier.pfx. Le fichier .pfx exporté inclura également une clé privée. 2. Arrêtez les services du serveur ESET PROTECT. 3. Activez la machine de votre serveur ESET PROTECT. IMPORTANT Ne désinstallez pas ou ne mettez pas hors service votre ancien serveur ESET PROTECT à ce stade. ❑ Sur votre nouveau serveur ESET PROTECT : 138 IMPORTANT Pour utiliser un nouveau serveur ESET PROTECT avec la même adresse IP, assurez-vous que la configuration du réseau sur votre nouveau serveur ESET PROTECT (adresse IP, FQDN, nom d'ordinateur, enregistrement DNS SRV) correspond à celle de votre ancien serveur ESET PROTECT. 1. Installez le serveur ESET PROTECT/MDM en utilisant le programme d'installation tout-en-un (Windows) ou choisissez une autre méthode d'installation (installation manuelle Windows, Linux ou appareil virtuel). 2. Connectez-vous à la console Web ESET PROTECT. 3. Importez tous les CA que vous avez exportés de votre ancien serveur ESET PROTECT. Pour ce faire, suivez les instructions pour l'importation d'une clé publique. 4. Changez le certificat du serveur ESET PROTECT dans vos paramètres de serveur afin d'utiliser le certificat de serveur de votre ancien serveur ESET PROTECT. 5. Importez toutes les licences ESET requises dans ESET PROTECT. 6. Redémarrez le service du serveur ESET PROTECT (voir notre article de la Base de connaissances pour plus de détails. Les ordinateurs clients doivent maintenant se connecter à votre nouveau serveur ESET PROTECT en utilisant leur certificat d'agent ESET Management original, qui est authentifié par l'AC importé de l'ancien serveur ESET PROTECT. Si les clients ne sont pas connectés, consultez la rubrique Problèmes après la mise à niveau ou la migration de serveur ESET PROTECT. Remarque Lors de l'ajout de nouveaux ordinateurs clients, utilisez une nouvelle autorité de certification pour signer les certificats d'agent. Cela est dû au fait qu'une AC importée ne peut pas être utilisé pour signer de nouveaux certificats homologues, il peut simplement authentifier les agents ESET Management des ordinateurs clients qui ont été migrés. ❑ Désinstallation de l'ancien serveur ESET PROTECT/MDM : Une fois que tout fonctionne correctement sur votre nouveau serveur ESET PROTECT, avec précaution, mettez hors service votre ancien serveur ESET PROTECT/MDM en suivant nos instructions pas à pas. Base de données migrée - adresse IP identique/différente L'objectif de cette procédure est d'installer une toute nouvelle instance du serveur ESET PROTECT et de garder votre base de données ESET PROTECT existante, y compris les ordinateurs clients existants. Le nouveau serveur ESET PROTECT aura la même adresse IP ou non, et la base de données de l'ancien serveur ESET PROTECT sera importée vers la nouvelle machine de serveur avant l'installation. IMPORTANT • La migration des bases de données n'est prise en charge qu'entre des types de bases de données identiques (de MySQL vers MySQL ou de MSSQL vers MSSQL). • Lors de la migration d'une base de données, vous devez effectuer la migration entre les instances de la même version de ESET PROTECT. Consultez notre article de la Base de connaissances pour des instructions sur la façon de déterminer les versions de vos composants ESET PROTECT. Après avoir terminé la migration de la base de données, vous pouvez effectuer une mise à niveau, si nécessaire, pour obtenir la dernière version de ESET PROTECT. ❑ Sur votre serveur ESET PROTECT actuel (ancien) : 139 IMPORTANT Si votre nouveau serveur ESET PROTECT possède une adresse IP différente, effectuer ces étapes supplémentaires sur votre serveur ESET PROTECT actuel (l'ancien) : a)Générez un nouveau certificat de serveur ESET PROTECT (avec les données de connexion du nouveau serveur ESET PROTECT). Laisser la valeur par défaut (astérisque) dans le champ Hôte pour autoriser la distribution de ce certificat sans aucune association à un nom DNS ou à une adresse IP spécifique. b)Créez une politique pour définir une nouvelle adresse IP de serveur ESET PROTECT et attribuez la à tous les ordinateurs. Attendez que la stratégie soit distribuée à tous les ordinateurs clients (les ordinateurs cesseront de se signaler dès qu'ils recevront les informations du nouveau serveur). 1. Arrêtez les services du serveur ESET PROTECT. 2. Exportez/sauvegardez la base de données ESET PROTECT. 3. Désactivez le serveur ESET PROTECT (facultatif si le nouveau serveur a une adresse IP différente). IMPORTANT Ne désinstallez pas ou ne mettez pas hors service votre ancien serveur ESET PROTECT à ce stade. ❑ Sur votre nouveau serveur ESET PROTECT : IMPORTANT Pour utiliser un nouveau serveur ESET PROTECT avec la même adresse IP, assurez-vous que la configuration du réseau sur votre nouveau serveur ESET PROTECT (adresse IP, FQDN, nom d'ordinateur, enregistrement DNS SRV) correspond à celle de votre ancien serveur ESET PROTECT. 1. Installez/Démarrez une base de donnéesESET PROTECT prise en charge. 2. Importez/Restaurez la base de données ESET PROTECT de votre ancien serveur ESET PROTECT. 3. Installez le serveur ESET PROTECT/MDM en utilisant le programme d'installation tout-en-un (Windows) ou choisissez une autre méthode d'installation (installation manuelle Windows, Linux ou appareil virtuel). Indiquez les paramètres de connexion de votre base de données pendant l'installation du serveur ESET PROTECT. 4. Connectez-vous à la console Web ESET PROTECT. Les ordinateurs clients doivent maintenant se connecter à votre nouveau serveur ESET PROTECT en utilisant leur certificat d'agent ESET Management d'origine. Si les clients ne sont pas connectés, consultez la rubrique Problèmes après la mise à niveau ou la migration de serveur ESET PROTECT. ❑ Désinstallation de l'ancien serveur ESET PROTECT/MDM : Une fois que tout fonctionne correctement sur votre nouveau serveur ESET PROTECT, avec précaution, mettez hors service votre ancien serveur ESET PROTECT/MDM en suivant nos instructions pas à pas. Sauvegarde/mise à niveau du serveur de bases de données et migration des bases de données de ESET PROTECT ESET PROTECT utilise une base de données pour stocker les données du client. Les sections suivantes donnent des détails sur la sauvegarde, la mise à niveau et la migration de la base de données du serveur ESET PROTECT (serveur ESMC, serveur ERA ou mandataire ERA 6.x) ou de la base de données MDM : • Si vous ne disposez pas d'une base de données configurée pour le serveur ESET PROTECT, Microsoft SQL Server Express est fourni avec le programme d'installation. Le ESET PROTECT 8.Le programme d'installation tout-en-un de 0 installe Microsoft SQL Server Express 2019 par défaut. Si vous utilisez une ancienne édition de Windows (Server 2012 ou SBS 2011), Microsoft SQL Server Express 2014 sera installé par défaut. • Si vous avez installé une ancienne base de données non prise en charge (MySQL 5.5 ou MSSQL 2008), mettez à niveau votre base de données vers une version de base de données compatible avant de mettre à 140 niveau le serveur ESET PROTECT. Remarque Le composant mandataire ERA depuis la version 6 est remplacé par un service mandataire tiers en raison du changement du protocole de réplication de l'agent. Ne migrez pas la base de données mandataire versions 6. Mettez-vous à jour un environnement avec le mandataire ERA? Voici les exigences à respecter pour Microsoft SQL Server : • Installer une version prise en charge de Microsoft SQL Server. Sélectionnez l'authentification en Mode mixte au cours de l'installation. • Si Microsoft SQL Server est déjà installé, réglez l'authentification sur Mode mixte (authentification SQL Server et authentification Windows). Pour ce faire, suivez les instructions dans cet article de la Base de connaissances. Si vous souhaitez utiliser l'authentification Windows pour vous connecter à Microsoft SQL Server, suivez les étapes décrites dans cet article de base de connaissances. • Autorisez les connexions TCP/IP au SQL Server. Pour ce faire, suivez les instructions dans cet article sur la Base de connaissances, à partir de la partie II. Autorisez les connexions TCP/IP à la base de données SQL. Remarque • Pour configurer, gérer et administrer Microsoft SQL Server (base de données et utilisateurs), téléchargez SQL Server Management Studio (SSMS). • Nous vous recommandons de ne pas installer SQL Server sur un contrôleur de domaine (par exemple, si vous utilisez Windows SBS/Essentials). Nous vous recommandons d'installer ESET PROTECT sur un autre serveur ou bien de ne pas sélectionner le composant SQL Server Express lors de l'installation (vous devez alors utiliser votre SQL Server ou MySQL existant pour exécuter la base de données de ESET PROTECT). Migration de la base de données de ESET PROTECT Ces instructions s'appliquent à la migration de la base de données de ESET PROTECT entre différentes instances de SQL Server (cela s'applique également lors de la migration vers une version différente de SQL Server ou lors de la migration vers un serveur SQL hébergé sur une machine différente) : • Processus de migration pour MS SQL Server • Processus de migration pour MySQL Server Sauvegarde et restauration de serveur de base de données Toutes les informations et les paramètres de ESET PROTECT sont stockés dans la base de données. Nous vous recommandons de sauvegarder votre base de données régulièrement pour éviter la perte de données. Reportezvous à la section appropriée ci-dessous pour votre base de données : Remarque • La sauvegarde peut également être utile lors de la migration de ESET PROTECT vers un nouveau serveur. • Les noms des bases de données et des fichiers journaux restent les mêmes malgré le changement de nom du produit d'ESET Remote Administrator ou ESET Security Management Center à ESET PROTECT. Exemples de sauvegarde pour MS SQL Pour sauvegarder une base de données MS SQL dans un fichier, suivez les exemples ci-dessous : 141 IMPORTANT • Ces exemples sont destinés à être utilisés avec les paramètres par défaut (par exemple, le nom de base de données par défaut et les paramètres de connexion de base de données). Votre script de sauvegarde devra être personnalisée pour accepter toutes les modifications apportées aux paramètres par défaut. • Vous devez disposer de droits suffisants pour exécuter les commandes ci-dessous. Si vous n'utilisez pas de compte utilisateur administrateur local, vous devez modifier le chemin de sauvegarde, par exemple 'C:\USERS\PUBLIC\BACKUPFILE'. Sauvegarde unique de base de données Exécutez cette commande dans une invite de commande Windows pour créer une sauvegarde dans un fichier nommé BACKUPFILE : SQLCMD -S HOST\ERASQL -Q "BACKUP DATABASE ERA_DB TO DISK = N'C:\USERS\ADMINISTRATOR\DESKTOP\BACKUPFILE'" Remarque Dans cet exemple HOST est l'adresse IP ou le nom d'hôte et ERASQL est le nom de l'instance du serveur MS SQL. Depuis ESET PROTECT 7 vous pouvez (en utilisant la base de données MS SQL) installer le serveur ESET PROTECT sur une instance SQL ayant un nom personnalisé. Modifiez les scripts de sauvegarde en conséquence dans ce scénario. Sauvegarde de base de données régulière avec le script SQL Choisissez l'un des scripts SQL suivants : a)Créez des sauvegardes régulières et stockez-les en fonction de la date de création : 1. @ECHO OFF 2. SQLCMD.EXE -S HOST\ERASQL -d ERA_DB -E -Q "BACKUP DATABASE ERA_DB TO DISK = N'C:\USERS\ADMINISTRATOR\DESKTOP\BACKUPFILE' WITH NOFORMAT,INIT, NAME = N'ERA_DB', SKIP, NOREWIND, NOUNLOAD, STOP_ON_ERROR, CHECKSUM, STATS=10" 3. REN BACKUPFILE BACKUPFILE-[%DATE:~10,4%%DATE:~4,2%%DATE:~7,2%_T%TIME:~0,2%%TIME:~3,2%].bac b)Ajoutez votre sauvegarde à un fichier : 1. @ECHO OFF 2. SQLCMD.EXE -S HOST\ERASQL -d ERA_DB -E -Q "BACKUP DATABASE ERA_DB TO DISK = N'C:\USERS\ADMINISTRATOR\DESKTOP\BACKUPFILE' WITH NOFORMAT, NOINIT, NAME = N'ERA_DB', SKIP, NOREWIND, NOUNLOAD, STOP_ON_ERROR, CHECKSUM, STATS=10" Restauration MS SQL Pour restaurer une base de données MS SQL à partir d'un fichier, suivez l'exemple ci-dessous : SQLCMD.EXE -S HOST\ERASQL -d ERA_DB -E -Q "RESTORE DATABASE ERA_DB FROM DISK = N'C:\USERS\ADMINISTRATOR\DESKTOP\BACKUPFILE'" Sauvegarde MySQL Pour sauvegarder une base de données MySQL dans un fichier, suivez l'exemple ci-dessous : mysqldump --host HOST --disable-keys --extended-insert --routines -u ROOTLOGIN -p ERADBNAME > BACKUPFILE Remarque Dans cet exemple HOST représente l'adresse IP ou le nom d'hôte du serveur MySQL, ROOTLOGIN représente le compte racine du serveur MySQL, et ERADBNAME représente le nom de la base de données ESET PROTECT. 142 Restauration pour MySQL Pour restaurer une base de données MySQL à partir d'un fichier, suivez l'exemple ci-dessous : mysql --host HOST -u ROOTLOGIN -p ERADBNAME < BACKUPFILE Remarque Pour plus d'informations sur la sauvegarde de Microsoft SQL Server veuillez visiter le site TechNet de Microsoft. Pour plus d'informations sur la sauvegarde de MySQL Server veuillez visiter le site de la documentation de MySQL. Mise à niveau du serveur de base de données Suivez les instructions suivantes pour effectuer la mise à niveau d'une instance de Microsoft SQL Server vers une version plus récente qui sera utilisée avec la base de données du serveur ESET PROTECT : 1. Arrêtez tous les services du serveur ERA/ESMC/ESET PROTECT ou du mandataire ERA en cours d'exécution qui sont connectés au serveur de base de données que vous voulez mettre à niveau. De plus, arrêtez toute autre application qui pourrait être connecté à votre instance Microsoft SQL Server. 2. Sauvegardez de manière sécuritaire toutes les bases de données pertinentes avant de poursuivre. 3. Effectuez la mise à niveau du serveur de la base de données : Mise à niveau du serveur SQL : Suivez les instructions contenues dans cet article de la base de connaissances pour mettre à niveau la base de données MS SQL Express 2008 vers la dernière version. Vous pouvez également le faire en suivant les instructions du fournisseur de la base de données : https://msdn.microsoft.com/en-us/library/bb677622.aspx. Mise à niveau du serveur MySQL : • Mise à niveau de MySQL version 5.5 vers la version 5.6 • Mise à niveau de MySQL version 5.6 vers la version 5.7 • Mise à niveau de MySQL version 5.7 vers la version 8 4. Démarrez les services du serveur ESET PROTECT et vérifiez leurs fichiers journaux trace pour vous assurer que la connexion de la base de données fonctionne correctement. Processus de migration pour MS SQL Server Le processus de migration est le même pour Microsoft SQL Server et Microsoft SQL Server Express. Pour obtenir plus de détails, veuillez consulter l'article suivant sur la Base de connaissance : https://msdn.microsoft.com/en-us/library/ms189624.aspx. Remarque Le composant mandataire ERA depuis la version 6 est remplacé par un service mandataire tiers en raison du changement du protocole de réplication de l'agent. Ne migrez pas la base de données mandataire versions 6. Mettez-vous à jour un environnement avec le mandataire ERA? Configuration requise • Les instances de SQL Server, source et cible, doivent être installées. Elles peuvent être hébergées sur des 143 machines distinctes. • Au minimum, l'instance source et l'instance cible de SQL Server doivent être de la même version. Une mise à niveau inférieure n'est pas prise en charge! • SQL Server Management Studio doit être installé. Si les instances de SQL Server se trouvent sur des machines distinctes, SQL Server Management Studio doit être présent sur les deux. Migration à l'aide de SQL Server Management Studio. 1. Arrêtez le service du serveur ESET PROTECT (serveur ESMC ou serveur ERA ou le service du mandataire ERA 6.x) ou le service MDM de ESET PROTECT. Avertissement Ne démarrez pas le serveur ESET PROTECT ou ESET PROTECT MDM avant d'avoir effectué toutes les étapes ci-dessous. 2. Connectez-vous à l'instance source de SQL Server par l'entremise de SQL Server Management Studio. 3. Créez une sauvegarde complète de la base de données que vous voulez migrer. Nous vous recommandons de spécifier le nom du nouvel ensemble de sauvegarde. Sinon, si l'ensemble de sauvegarde a déjà été utilisé, la nouvelle sauvegarde y sera ajoutée, augmentant inutilement la taille du fichier de sauvegarde. 4. Mettez la base de données source hors ligne en sélectionnant Tâches > Mettre hors ligne. 5. Copiez le fichier de sauvegarde (.bak) que vous avez créé à l'étape 3 dans un emplacement accessible à partir de l'instance cible de SQL Server. Vous aurez peut-être besoin de modifier les droits d'accès au fichier de sauvegarde de la base de données. 6. Connectez-vous à l'instance cible de SQL Server à l'aide de SQL Server Management Studio. 7. Restaurez votre base de données sur l'instance cible de SQL Server. 144 8. Tapez le nom de votre nouvelle base de données dans le champ Vers la base de données. Vous pouvez utiliser le nom de votre ancienne base de données si vous voulez. 9. Sélectionnez À partir de l'appareil sous Spécifier la source et l'emplacement des ensembles de sauvegarde à restaurer puis cliquez sur … . 10. Cliquez sur Ajouter, allez à votre fichier de sauvegarde et ouvrez-le. 11. Sélectionnez la sauvegarde la plus récente possible pour la restauration (l'ensemble de sauvegarde peut contenir plusieurs sauvegardes). 12. Cliquez sur la page Options de l'assistant de restauration. Vous pouvez également sélectionner Écraser la base de données existante et vérifiez que les emplacements de restauration de la base de données (.mdf) et du journal (.ldf) sont corrects. En gardant les valeurs par défaut, vous utiliserez les chemins de votre SQL Server source, alors veuillez vérifier ces valeurs. • Si vous n'êtes pas certain de l'emplacement des fichiers DB sur l'instance cible de SQL Server, cliquez à 145 droite sur une base de données existante, sélectionnez Propriétés et cliquez sur l'onglet Fichiers. Le répertoire dans lequel la base de données est stockée s'affiche dans la colonne Chemin du tableau cidessous. 13. Cliquez sur OK dans la fenêtre de l'assistant de restauration. 14. Cliquez du droit sur la base de données era_db, sélectionnez Nouvelle requête et exécutez la requête ci- dessous pour supprimer le contenu de la table tbl_authentication_certificate (sinon, les agents risquent de ne pas se connecter au nouveau serveur) : delete from era_db.dbo.tbl_authentication_certificate where certificate_id = 1; 15. Dans le nouveau serveur de base de données, vérifiez que l'option Authentification de SQL Server est activée. Cliquez à droite sur le serveur, puis cliquez sur Propriétés. Allez à Sécurité et vérifiez que le mode Authentification SQL Server et Windows est sélectionné. 146 16. Créez une nouvelle connexion SQL Server (pour le serveur ESET PROTECT ou ESET PROTECT MDM) dans le Serveur SQL cible avec Authentification du serveur SQL et mappez la connexion vers un utilisateur dans la base de données restaurée. oN'appliquez pas l'expiration du mot de passe! oCaractères recommandés pour les noms d'utilisateur : ▪Lettres minuscules ASCII, chiffres et trait de soulignement « _ » oCaractères recommandés pour les mots de passe : ▪Caractères ASCII UNIQUEMENT, incluant les lettres majuscules et minuscules, les chiffres, les espaces et les caractères spéciaux oN'utilisez pas les caractères non ASCII, les accolades {} ou l'arobas @ oVeuillez noter que le non-respect des recommandations ci-dessus relatives aux caractères pourrait causer des problèmes de connectivité à la base de données ou vous obliger à échapper les caractères spéciaux ultérieurement lors des prochaines étapes de modification de la chaîne de connexion de la base de données. Les règles d'échappement de caractère ne sont pas incluses dans ce document. 147 17. Mappez la connexion vers un utilisateur dans la base de données cible. À partir de l'onglet de mappage de l'utilisateur, vérifiez que l'utilisateur de base de données a les rôles suivants : db_datareader, db_datawriter, db_owner. 148 18. Pour activer les dernières fonctionnalités du serveur de base de données, modifiez le Niveau de compatibilité de la base de données restaurée pour profiter des plus récentes. Cliquez à droite sur la nouvelle base de données et ouvrez les Propriétés de la base de données. 149 Remarque SQL Server Management Studio est incapable de définir les niveaux de compatibilité ultérieurs à la version en cours d'utilisation. Par exemple, SQL Server Management Studio 2014 est incapable d'établir le niveau de compatibilité pour SQL Server 2019. 19. Assurez-vous que le protocole de connexion TCP/IP est activé pour « db_instance_name » (par exp., SQLEXPRESS ou MSSQLSERVER) et que le port TCP/IP est configuré sur 1433. Pour ce faire, ouvrez le gestionnaire de configuration de SQL Server, accédez à Configuration réseau de SQL Server > Protocoles pour db_instance_name, faites un clic droit sur TCP/IP et sélectionnez Activé. Ensuite, double-cliquez sur TCP/IP, allez à l'onglet Protocoles, faites défiler l'écran vers le bas jusqu'à IPAll et dans le champs Port TCP entrez 1433. Cliquez sur OK et redémarrez le service de SQL Server. 150 20. Connectez le serveur ESET PROTECT ou MDM à la base de données. Processus de migration pour MySQL Server Configuration requise • Les instances de SQL Server, source et cible, doivent être installées. Elles peuvent être hébergées sur des machines distinctes. • Les outils MySQL doivent être accessibles sur au moins un ordinateur (client mysqldump et mysql). Liens utiles • https://dev.mysql.com/doc/refman/5.6/en/copying-databases.html • https://dev.mysql.com/doc/refman/5.6/en/mysqldump.html • https://dev.mysql.com/doc/refman/5.6/en/mysql.html Processus de migration 151 Remarque Dans les commandes, les fichiers de configuration ou les énoncés SQL ci-dessous, veuillez toujours remplacer : • SRCHOST par l'adresse du serveur de base de données source • SRCROOTLOGIN par la connexion utilisateur racine du serveur MySQL source • SRCERADBNAME par le nom de la base de données ESET PROTECT source à sauvegarder • BACKUPFILE par le chemin vers le fichier où la sauvegarde sera stockée • TARGETROOTLOGIN par la connexion de l'utilisateur racine du serveur MySQL cible • TARGETHOST par l'adresse du serveur de base de données cible • TARGETERADBNAME par le nom de la base de données ESET PROTECT cible (après migration) • TARGETERALOGIN par le nom de connexion du nouvel utilisateur de la base de données ESET PROTECT sur le serveur de base de données cible • TARGETERAPASSWD par le mot de passe du nouvel utilisateur de la base de données ESET PROTECT sur le serveur de base de données Il n'est pas nécessaire d'exécuter les énoncés SQL ci-dessous par l'entremise de la ligne de commande. Si un outil IUG est disponible, vous pouvez utiliser une application que vous connaissez déjà. 1. Arrêtez les services du serveur ESET PROTECT/MDM. 2. Créez une sauvegarde complète de la base de données ESET PROTECT source (la base de données que vous voulez migrer) : mysqldump --host SRCHOST --disable-keys --extended-insert --routines -u SRCROOTLOGIN -p SRCERADBNAME > BACKUPFILE 3. Préparez une base de données vide sur le serveur MySQL cible : mysql --host TARGETHOST -u TARGETROOTLOGIN -p "--execute=CREATE DATABASE TARGETERADBNAME /*!40100 DEFAULT CHARACTER SET utf8 */;" Remarque Utilisez le caractère apostrophe ' plutôt que les guillemets " sur les systèmes Linux. 4. Restaurez la base de données sur le serveur MySQL cible vers la base de données vide que vous avez préalablement préparée : mysql --host TARGETHOST -u TARGETROOTLOGIN -p TARGETERADBNAME < BACKUPFILE 5. Créez un utilisateur de base de données ESET PROTECT sur le serveur MySQL cible : mysql --host TARGETHOST -u TARGETROOTLOGIN -p "--execute=CREATE USER TARGETERALOGIN@'%' IDENTIFIED BY 'TARGETERAPASSWD';" Caractères recommandés pour TARGETERALOGIN : • Lettres minuscules ASCII, chiffres et trait de soulignement « _ » Caractères recommandés pour TARGETERAPASSWD : • Caractères ASCII seulement, incluant les lettres majuscules et minuscules, les chiffres, les espaces et les caractères spéciaux • N'utilisez pas les caractères non ASCII, les accolades {} ou l'arobas @ Veuillez noter que le non-respect des recommandations ci-dessus relatives aux caractères pourrait causer des problèmes de connectivité à la base de données ou vous obliger à échapper les caractères spéciaux ultérieurement lors des prochaines étapes de modification de la chaîne de connexion de la base de données. Les règles d'échappement de caractère ne sont pas incluses dans ce document. 6. Accordez les droits d'accès appropriés à l'utilisateur de base de données ESET PROTECT sur le serveur MySQL cible : 152 mysql --host TARGETHOST -u TARGETROOTLOGIN -p "--execute=GRANT ALL ON TARGETERADBNAME.* TO TARGETERALOGIN;" Remarque Utilisez le caractère apostrophe ' plutôt que les guillemets " sur les systèmes Linux. 7. Supprimez le contenu du tableau tbl_authentication_certificate (sinon, les agents risquent de ne pas se connecter au nouveau serveur) : mysql --host TARGETHOST -u root -p "--execute=DELETE FROM era_db.tbl_authentication_certificate where certificate_id = 1;" 8. Connectez le serveur ESET PROTECT ou MDM à la base de données. Connecter le serveur ESET PROTECT ou MDM à une base de données Procédez comme indiqué dans les étapes ci-dessous sur l'ordinateur sur lequel le serveur ESET PROTECT ou ESET PROTECT MDM est installé pour établir une connexion avec une base de données. 1. Arrêtez le service du serveur ESET PROTECT/MDM. 2. Trouvez startupconfiguration.ini oPour Windows Vista et versions ultérieures : Serveur : %PROGRAMDATA%\ESET\RemoteAdministrator\Server\EraServerApplicationData\Configuration\startupconfigur ation.ini MDMCore : %PROGRAMDATA%\ESET\RemoteAdministrator\MDMCore\EraServerApplicationData\Configuration\startupconfi guration.ini oPour les versions antérieures de Windows : Serveur : %ALLUSERSPROFILE %\Application Data\ESET\RemoteAdministrator\Server\EraServerApplicationData\Configuration\startupconfiguration.ini MDMCore : %ALLUSERSPROFILE %\Application Data\ESET\RemoteAdministrator\MDMCore\EraServerApplicationData\Configuration\startupconfiguration.ini oPour Linux : Serveur : /etc/opt/eset/RemoteAdministrator/Server/StartupConfiguration.ini MDMCore : /etc/opt/eset/RemoteAdministrator/MDMCore/startupconfiguration.ini 3. Modifiez la chaîne de connexion à la base de données dans le serveur ESET PROTECT/MDM startupconfiguration.ini oRéglez l'adresse et le port du nouveau serveur de base de données oDéfinissez le nouveau nom d'utilisateur et le mot de passe de ESET PROTECT dans la chaîne de connexion. Le résultat final devrait ressembler à : • MS SQL : DatabaseType=MSSQLOdbc DatabaseConnectionString=Driver=SQL Server;Server=TARGETHOST,1433;Uid=TARGETERALOGIN;Pwd={TARGETERAPASSWD};CharSet=utf8;Database=TARGETERADBNAME; • MySQL : 153 DatabaseType=MySqlOdbc DatabaseConnectionString=Driver=MySQL ODBC 5.3 Unicode Driver;Server=TARGETHOST;Port=3306;User=TARGETERALOGIN; Password={TARGETERAPASSWD};CharSet=utf8;Database=TARGETERADBNAME; Remarque Dans la configuration ci-dessus, veuillez toujours remplacer : • TARGETHOST par l'adresse du serveur de base de données cible • TARGETERADBNAME par le nom de la base de données ESET PROTECT cible (après migration) • TARGETERALOGIN par le nom de connexion du nouvel utilisateur de la base de données ESET PROTECT sur le serveur de base de données cible • TARGETERAPASSWD par le mot de passe du nouvel utilisateur de la base de données ESET PROTECT sur le serveur de base de données 4. Démarrez le serveur ESET PROTECT ou ESET PROTECT MDM et vérifiez que le service s'exécute correctement. Migration de MDM L'objectif de cette procédure est de migrer votre instance existante de ESET PROTECT MDM et de conserver votre base de données ESET PROTECT MDM existante, y compris les appareils mobiles inscrits. Le ESET PROTECT MDM migré aura la même adresse IP/nom d'hôte que l'ancien ESET PROTECT MDM et la base de données de l'ancien ESET PROTECT MDM sera importée sur le nouvel hôte MDM avant l'installation. IMPORTANT • La migration des bases de données n'est prise en charge qu'entre des types de bases de données identiques (de MySQL vers MySQL ou de MSSQL vers MSSQL). • Lors de la migration d'une base de données, vous devez effectuer la migration entre les instances de la même version de ESET PROTECT. Consultez notre article de la Base de connaissances pour des instructions sur la façon de déterminer les versions de vos composants ESET PROTECT. Après avoir terminé la migration de la base de données, vous pouvez effectuer une mise à niveau, si nécessaire, pour obtenir la dernière version de ESET PROTECT. ❑ Sur votre serveur ESET PROTECT MDM actuel (ancien) : 1. Accédez aux informations sur l'ordinateur de votre serveur MDM actuel et exportez la configuration de votre « ancien » serveur MDM. Ouvrez la configuration et exportez-en les éléments suivants vers la mémoire externe : • Le nom d'hôte exact de votre serveur MDM. • Exportez les certificats homologues qui font actuellement partie de la politique MDM de votre serveur ESET PROTECT vers un fichier .pfx. La clé privée sera incluse dans les fichiers .pfx exportés. Exportez également les certificats et les jetons suivants s'ils sont présents : oUn certificat HTTPS oUn certificat de signature de profil d'inscription oUn certificat APNS (exporter à la fois le certificat APNS et la clé privée APNS). oJeton d'autorisation du programme d'inscription des appareils Apple (DEP). 2. Arrêtez le service ESET PROTECT MDM. 3. Exportez/Sauvegardez la Base de données ESET PROTECT MDM. 4. Désactivez la machine de ESET PROTECT MDM actuel (facultatif). IMPORTANT Ne désinstallez pas ou ne mettez pas hors service votre ancien ESET PROTECT MDM à ce stade. ❑ Sur votre nouveau serveur ESET PROTECT MDM : 154 IMPORTANT Assurez-vous que la configuration du réseau sur votre nouveau serveur ESET PROTECT MDM (le nom d'hôte que vous avez exporté depuis la configuration de votre « ancien » service MDM) correspond à celle de votre ancien serveur ESET PROTECT MDM. 1. Installez/Démarrez une base de données ESET PROTECT MDM prise en charge. 2. Importez/Restaurez la base de données ESET PROTECT MDM de votre ancien ESET PROTECT MDM. 3. Installez le serveur ESET PROTECT/MDM en utilisant le programme d'installation tout-en-un (Windows) ou choisissez une autre méthode d'installation (installation manuelle Windows, Linux ou appareil virtuel). Indiquez les paramètres de connexion de votre base de données pendant l'installation deESET PROTECT MDM. 4. Connectez-vous à la console Web de ESET PROTECT. 5. Créez une nouvelle politique MDM et importez tous les certificats à leurs emplacements appropriés dans la politique. 6. Redémarrez le service de ESET PROTECT MDM (voir notre article de la base de connaissances pour plus de détails. Les appareils mobiles gérés doivent maintenant se connecter à votre nouveau serveur ESET PROTECT MDM en utilisant leur certificat d'origine. ❑ Désinstallation de l'ancien serveur ESET PROTECT/MDM : Une fois que tout fonctionne correctement sur votre nouveau serveur ESET PROTECT, avec précaution, mettez hors service votre ancien serveur ESET PROTECT/MDM en suivant nos instructions pas à pas. Mettre à niveau de ERA/ESMC installé sur une grappe de basculement sous Linux Si le serveur ERA/ESMC est installé sur une grappe de basculement dans un environnement Windows et que vous souhaitez mettre l'installation à niveau, suivez les étapes correspondantes. Remarque Le terme Rôle est disponible dans Windows server 2012 et les versions ultérieures. Dans Windows server 2008 R2, ce sont plutôt Services et applications qui sont utilisés. Mise à niveau de la version ERA 6.5 (ou d'une version plus récente) vers la version la plus récente 1. Arrêtez le rôle de grappe du serveur ERA dans le gestionnaire de grappes. Assurez-vous que le service ESET Remote Administrator Server est arrêté sur tous les nœuds de la grappe. 2. Mettez le disque partagé de la grappe en ligne sur nœud1 et installez manuellement la mise à niveau du serveur ERA en exécutant le programme d'installation .msi le plus récent comme dans le cas de l'installation d'un composant. Une fois que l'installation (mise niveau) est terminée, assurez-vous que le service ESET Remote Administrator Server est arrêté. 3. Mettez le disque partagé de la grappe en ligne sur nœud2 et installez la mise à niveau du serveur ERA de la même manière que vous l'avez faite à l'étape 2. 4. Une fois que le serveur ESET PROTECT a été mis à niveau sur tous les nœuds, démarrez le rôle du serveur ESET PROTECT dans le gestionnaire de grappes. 5. Mettez l'agent ESET Management à niveau manuellement en exécutant le programme d'installation .msi le plus récent sur tous les nœuds de la grappe. 6. Dans la console Web ESET PROTECT vérifiez que les versions de l'agent et du serveur pour tous les nœuds indiquent la version la plus récente vers laquelle vous avez mis à niveau. Mettre à niveau le mandataire HTTP Apache Le mandataire HTTP Apache est un service qui peut être utilisé de pair avec ESET PROTECT pour distribuer des mises à jour aux ordinateurs clients et des progiciels d'installation à l'agent ESET Management. Si vous avez déjà installé le mandataire HTTP Apache sur Windows et souhaitez mettre à niveau à l'aide de la 155 version la plus récente, alors vous avez deux options : l'installation manuelle ou l'installation à l'aide du fichier d'installation tout-en-un. Mettre à niveau le mandataire HTTP Apache à l'aide d'un programme d'installation tout-en-un (Windows) Si le programme d'installation tout-en-un de ESET PROTECT est stocké sur votre disque dur local, vous pouvez utiliser cette méthode pour mettre rapidement à niveau Apache Tomcat à l'aide de la version la plus récente. Si vous n'avez pas le programme d'installation, la mise à niveau manuelle du mandataire HTTP Apache est plus rapide. 1. Sauvegardez les fichiers suivants : • C:\Program Files\Apache HTTP Proxy\conf\httpd.conf • C:\Program Files\Apache HTTP Proxy\bin\password.file • C:\Program Files\Apache HTTP Proxy\bin\group.file 2. Lancez le programme d'installation tout-en-un en double-cliquant sur le fichier setup.exe, puis sur Suivant dans la fenêtre d'accueil. 3. Sélectionnez Mettre à niveau tous les composants, puis cliquez sur Suivant. 4. Après avoir accepté le CLUF, cliquez sur Suivant. 5. Cliquez sur Mettre à niveau pour effectuer la mise à niveau, puis cliquez sur Terminer. 6. Testez la connexion au mandataire HTTP Apache en accédant à l'adresse URL suivante dans votre navigateur : 156 http://[IP address]:3128/index.html Dépannage Pour résoudre un problème, consultez les fichiers journaux du mandataire HTTP Apache. Si votre configuration personnalisée n'est pas conservée après la mise à niveau, suivez les étapes ci-dessous : 1. Arrêtez le service ApacheHttpProxy en ouvrant une invite de commandes en tant qu'administrateur et exécutez la commande suivante : sc stop ApacheHttpProxy 2. Si vous utilisez un nom d'utilisateur/mot de passe pour accéder à votre mandataire HTTP Apache (rubrique Installation du mandataire HTTP Apache), remplacez le bloc de code suivant : <Proxy *> Deny from all </Proxy> avec le bloc de code suivant (qui se trouve dans la sauvegarde de httpd.conf) : <Proxy *> AuthType Basic AuthName "Password Required" AuthUserFile password.file AuthGroupFile group.file Require group usergroup Order deny,allow Deny from all Allow from all </Proxy> 3. Si vous avez apporté d'autres personnalisations à votre fichier httpd.conf actuel dans votre installation précédente du mandataire HTTP Apache, vous pouvez copier ces modifications du fichier httpd.conf sauvegardé vers le nouveau fichier (mis à jour) httpd.conf. 4. Enregistrez vos modifications et démarrez le service ApacheHttpProxy en exécutant la commande suivante dans une invite de commandes avec élévation de privilèges : sc start ApacheHttpProxy Mettre à niveau le mandataire HTTP Apache manuellement (Windows) Pour mettre à niveau le Apache HTTP Proxy à l'aide de la version la plus récente, suivez les étapes ci-dessous. 1. Sauvegardez les fichiers suivants : • C:\Program Files\Apache HTTP Proxy\conf\httpd.conf • C:\Program Files\Apache HTTP Proxy\bin\password.file • C:\Program Files\Apache HTTP Proxy\bin\group.file 2. Arrêtez le service ApacheHttpProxy en ouvrant une invite de commandes en tant qu'administrateur et exécutez la commande suivante : sc stop ApacheHttpProxy 3. Télécharger le fichier d'installation du Apache HTTP Proxy à partir du site de téléchargement d'ESET et extrayez le contenu dans C:\Program Files\Apache HTTP Proxy\. Lors de l'extraction, écrasez les fichiers existants. 157 4. Accédez à C:\Program Files\Apache HTTP Proxy\conf, cliquez avec le bouton droit sur httpd.conf; dans le menu contextuel, sélectionnez Ouvrir avec > Notepad. 5. Ajoutez le code suivant au bas de httpd.conf: ServerRoot "C:\Program Files\Apache HTTP Proxy" DocumentRoot "C:\Program Files\Apache HTTP Proxy\htdocs" <Directory "C:\Program Files\Apache HTTP Proxy\htdocs"> Options Indexes FollowSymLinks AllowOverride None Require all granted </Directory> CacheRoot "C:\Program Files\Apache HTTP Proxy\cache" 6. Si vous définissez un nom d'utilisateur/mot de passe pour accéder à votre mandataire HTTP Apache (rubrique Installation du mandataire HTTP Apache), remplacez le bloc de code suivant : <Proxy *> Deny from all </Proxy> avec cet autre (que l'on trouve dans le fichier httpd.conf que vous avez sauvegardé à l'étape 1) : <Proxy *> AuthType Basic AuthName "Password Required" AuthUserFile password.file AuthGroupFile group.file Require group usergroup Order deny,allow Deny from all Allow from all </Proxy> • Si vous avez apporté d'autres modifications personnalisées à votre fichier httpd.conf actuel dans votre installation précédente du serveur mandataire HTTP Apache, vous pouvez copier ces modifications à partir du fichier de sauvegarde httpd.conf vers le nouveau fichier (mis à jour) httpd.conf. 7. Enregistrez vos modifications et démarrez le service ApacheHttpProxy en exécutant la commande suivante dans une invite de commandes avec des droits d'administrateur : sc start ApacheHttpProxy 8. Mettez à jour la version dans la description du service. sc description ApacheHttpProxy "Apache/2.4.43" 9. Testez la connexion au mandataire HTTP Apache en accédant à l'adresse URL suivante dans votre navigateur : http://[IP address]:3128/index.html Consultez les fichiers journaux du mandataire HTTP Apache pour déterminer si vous devez résoudre un problème. Mise à niveau Apache Tomcat Apache Tomcat est un composant requis, nécessaire pour faire fonctionner la console Web de ESET PROTECT. 158 Si vous faites une mise à niveau vers une version plus récente de ESET PROTECT, ou si vous n'avez pas mis à jour Apache Tomcat pendant une période de temps prolongée, vous devriez envisager de mettre à niveau Apache Tomcat à l'aide de la version la plus récente. Veiller à ce que les services publiques y compris Apache Tomcat et ses dépendances restent à jour réduira les risques en matière de sécurité de votre environnement. Pour mettre à niveau Apache Tomcat, suivez les instructions suivantes en fonction de votre système d'exploitation : • Instructions pour Windows (manuel) ou Instructions pour Windows instructions (Tout-en-un) • Instructions pour Linux Mettre à niveau Apache Tomcat à l'aide d'un programme d'installation tout-en-un (Windows) Apache Tomcat est un composant requis, nécessaire pour faire fonctionner la console Web de ESET PROTECT. Vous pouvez utiliser cette méthode pour mettre rapidement à niveau Apache Tomcat vers la version la plus récente de ESET PROTECT 8.Programme d'installation tout-en-un 0. Vous pouvez également choisir de mettre à niveau Apache Tomcat manuellement. 1. Sauvegardez les fichiers suivants : C:\Program Files\Apache Software Foundation\[ Tomcat dossier ]\.keystore C:\Program Files\Apache Software Foundation\[ Tomcat dossier ]\conf\server.xml C:\Program Files\Apache Software Foundation\[ Tomcat dossier ]\webapps\era\WEBINF\classes\sk\eset\era\g2webconsole\server\modules\config\EraWebServerConfig.properties Si vous utilisez un magasin de certificats SSL personnalisé dans le dossier Tomcat, sauvegardez également le certificat. Avertissement • Si une version personnalisée de Apache Tomcat est installée (installation manuelle du service Tomcat), la mise à niveau ultérieure de la Web Console de ESET PROTECT à l'aide du programme d'installation tout-en-un ou de la mise à niveau des composants ne sera pas prise en charge. • La mise à niveau d'Apache Tomcat supprimera le dossier era situé dans C:\Program Files\Apache Software Foundation\[ Tomcat dossier ]\webapps\. Si vous utilisez le dossier era pour stocker des données supplémentaires, assurez-vous de sauvegarder ces données avant la mise à niveau. • Si C:\Program Files\Apache Software Foundation\[ Tomcat dossier ]\webapps\ contient des données supplémentaires (autres que les données des dossiers era et ROOT), la mise à niveau d'Apache Tomcat n'aura pas lieu et seule la console Web sera mise à niveau. • La mise à niveau de la console Web et d'Apache Tomcat efface les fichiers d'aide hors ligne. Si vous avez utilisé l'aide hors ligne pour ERA/ESMC ou une version plus ancienne de ESET PROTECT, recréez-la pour ESET PROTECT 8.0 après la mise à niveau. Cela garantit que vous disposez de la dernière aide hors ligne correspondant à la version de votre ESET PROTECT. 2. Téléchargez le programme d'installation tout-en-un de ESET PROTECT sur le site Web d'ESET et dézipper le fichier téléchargé. 3. Si vous souhaitez installer la dernière version d'Apache Tomcat et que le programme d'installation tout-en-un contient une ancienne version d'Apache Tomcat (cette étape est facultative - passez à l'étape 4 si vous n'avez pas besoin de la dernière version d'Apache Tomcat) : a.Ouvrez le dossier x64 et accédez au dossier installers. b.Supprimez le fichier apache-tomcat-9.0.x-windows-x64.zip situé dans le dossier installers. c.Téléchargez le progiciel d'Apache Tomcat 9 64 bits Windows zip. d.Déplacer le progiciel zip téléchargé vers le dossier installers. 4. Pour lancer le programme d'installation tout-en-un, double-cliquez sur le fichier Setup.exe, puis sur Suivant sur l'écran d'accueil. 159 5. Sélectionnez Mettre à niveau tous les composants, puis cliquez sur Suivant. 6. Après avoir accepté le CLUF, cliquez sur Suivant. 7. Le programme d'installation tout-en-un détecte automatiquement si la mise à niveau est disponible : des cases à cocher apparaissent à côté des composants de ESET PROTECT pour lesquels une mise à niveau est disponibles. Cliquez sur Suivant. 160 8. Sélectionnez une installation Java sur l'ordinateur. Vérifiez que vous utilisez la dernière version de Java/OpenJDK. Apache Tomcat nécessite la version de 64 bits de Java/OpenJDK. Remarque Si plusieurs versions de Java sont installées sur votre système, nous vous recommandons de désinstaller les versions plus anciennes de Java (la version la plus ancienne prise en charge est Java 8) et de ne conserver que la version la plus récente de Java. Avertissement Depuis janvier 2019, les mises à jour publiques de Oracle JAVA SE 8 à des fins professionnelles, commerciales ou de production nécessitent une licence commerciale. Si vous n'avez pas acheté pas un abonnement JAVA SE, vous pouvez utiliser ce guide pour passer à une solution gratuite et installer l'une des éditions de Java prises en charge. 9. Cliquez sur Mettre à niveau pour effectuer la mise à niveau, puis cliquez sur Terminer. 10. Si vous avez installé la console Web sur un ordinateur différent de celui sur lequel le serveur ESET PROTECT est installé : a) Arrêtez le service Apache Tomcat : Accédez à Démarrer > Services > cliquez du droit sur le service Apache Tomcat et sélectionnez Arrêter. b)Restaurez le fichier EraWebServerConfig.properties (de l'étape 1) à son emplacement d'origine. c) Démarrez le service Apache Tomcat : Accédez à Démarrer > Services > cliquez du droit sur le service Apache Tomcat et sélectionnez Démarrer. 11. Connectez-vous à la console Web de ESET PROTECT et assurez-vous que le programme fonctionne correctement. 161 Remarque Voir également Configuration de la Web Console pour les solutions d'entreprise ou pour les systèmes à faible performance. Dépannage Si la mise à niveau d' Apache Tomcat échoue, installez votre version précédente et appliquez la configuration de l'étape 1. Mettre à niveau Apache Tomcat manuellement (Windows) Apache Tomcat est un composant requis, nécessaire pour faire fonctionner la console Web de ESET PROTECT. IMPORTANT Si une version personnalisée de Apache Tomcat est installée (installation manuelle du service Tomcat), la mise à niveau ultérieure de la Web Console de ESET PROTECT à l'aide du programme d'installation tout-en-un ou de la mise à niveau des composants ne sera pas prise en charge. Utilisez ces instructions pour mettre à niveau Apache Tomcat manuellement (si vous ne disposez pas du programme d'installation tout-en-un ESET PROTECT le plus récent) : Avant la mise à niveau 1. Assurez-vous que Java/OpenJDK est à jour. Apache Tomcat nécessite la version de 64 bits de Java/OpenJDK. Remarque Si plusieurs versions de Java sont installées sur votre système, nous vous recommandons de désinstaller les versions plus anciennes de Java (la version la plus ancienne prise en charge est Java 8) et de ne conserver que la version la plus récente de Java. Avertissement Depuis janvier 2019, les mises à jour publiques de Oracle JAVA SE 8 à des fins professionnelles, commerciales ou de production nécessitent une licence commerciale. Si vous n'avez pas acheté pas un abonnement JAVA SE, vous pouvez utiliser ce guide pour passer à une solution gratuite et installer l'une des éditions de Java prises en charge. 2. Vérifiez la version d'Apache Tomcat qui est actuellement disponible. a.Accédez au dossier d'installation d'Apache Tomcat : C:\Program Files\Apache Software Foundation\[ Tomcat dossier ]\ b.Ouvrez le fichier RELEASE-NOTES dans un éditeur de texte et vérifiez le numéro de version (par exemple 7.0.90). c.Si une nouvelle version prise en charge est disponible, effectuez une mise à niveau. Comment effectuer une mise à niveau 1. Arrêtez le service Apache Tomcat : Accédez à Démarrer > Services > cliquez du droit sur le service Apache Tomcat et sélectionnez Arrêter. Fermez Tomcat7w.exe s'il fonctionne dans votre barre d'état système. 2. Sauvegardez les fichiers suivants : C:\Program Files\Apache Software Foundation\[ Tomcat dossier ]\.keystore C:\Program Files\Apache Software Foundation\[ Tomcat dossier ]\conf\server.xml C:\Program Files\Apache Software Foundation\[ Tomcat dossier ]\webapps\era\WEBINF\classes\sk\eset\era\g2webconsole\server\modules\config\EraWebServerConfig.properties Si vous utilisez un magasin de certificats SSL personnalisé dans le dossier Tomcat, sauvegardez également le 162 certificat. 3. Désinstallez la version actuelle d'Apache Tomcat. 4. Supprimez le dossier suivant s'il existe toujours sur votre système : C:\Program Files\Apache Software Foundation\[ Tomcat dossier ]\ 5. Téléchargez la dernière version prise en charge du fichier d'installation (Programme d'installation du service Windows 32 bits/64 bits) d'Apache Tomcat, apache-tomcat-[version].exe à l'adresse https://tomcat.apache.org. 6. Installez la version la plus récente d'Apache Tomcat que vous avez téléchargée : • Si d'autres versions de Java sont installées, sélectionnez le chemin vers la dernière version de Java pendant l'installation. • Après avoir terminé, décochez la case située à côté de Exécuter Apache Tomcat. 7. Restaurez .keystore server.xml et les certificats personnalisés à leurs emplacements d'origine. 8. Ouvrez le fichier server.xml et assurez-vous que le chemin vers keystoreFile est correct (mettez à jour le chemin si vous êtes passé à une version majeure supérieure de Apache Tomcat) : keystoreFile="C:\Program Files\Apache Software Foundation\[ Tomcat dossier ]\.keystore" 9. Assurez-vous que la connexion HTTP pour Apache Tomcat pour la console Web de ESET PROTECT est configurée correctement. 10. Déployez la console Web ESET PROTECT; (consultez Installation de la console Web - Windows). 11. Restaurez EraWebServerConfig.properties à son emplacement d'origine. 12. Lancez Apache Tomcat et définissez correctement une machine virtuelle Java : a)Accédez au fichier C:\Program Files\Apache Software Foundation\[ Tomcat dossier ]\bin et exécutez Tomcat9w.exe. b)Dans l'onglet Général, définissez Type de démarrage sur Automatique et cliquez sur Démarrer. c)Cliquez sur l'onglet Java, assurez-vous que l'option Utiliser par défaut est désélectionnée et que la machine virtuelle Java inclut le chemin d'accès au fichier jvm.dll (voir les instructions illustrées dans la base de connaissances), puis cliquez sur OK. 13. Connectez-vous à la console Web de ESET PROTECT et assurez-vous que le programme fonctionne correctement. Remarque Voir également Configuration de la Web Console pour les solutions d'entreprise ou pour les systèmes à faible performance. Dépannage • Si vous ne réussissez pas à mettre en place une connexion HTTPS pour Apache Tomcat, vous pouvez sauter cette étape et utiliser temporairement une connexion HTTP. • Si la mise à niveau de Apache Tomcat échoue, installez votre version originale et appliquez la configuration de l'étape 2. • La mise à niveau de la console Web et d'Apache Tomcat efface les fichiers d'aide hors ligne. Si vous avez utilisé l'aide hors ligne pour ERA/ESMC ou une version plus ancienne de ESET PROTECT, recréez-la pour ESET PROTECT 8.0 après la mise à niveau. Cela garantit que vous disposez de la dernière aide hors ligne correspondant à la version de votre ESET PROTECT. 163 Mettre à niveau Apache Tomcat manuellement (Linux) Apache Tomcat est un composant requis, nécessaire pour faire fonctionner la console Web de ESET PROTECT. Avant la mise à niveau d'Apache Tomcat 1. Assurez-vous que les mises à jour de Java se font correctement sur votre système. • Vérifiez que l'ensemble openjdk a été mis à jour (voir ci-dessous). 2. Vérifiez la version d'Apache Tomcat qui est actuellement en cours d'utilisation. Si une nouvelle version est disponible, effectuez une mise à niveau : • Exécutez la commande suivante : cd /usr/share/tomcat/bin && ./version.sh (dans certains cas, le nom du dossier est tomcat7 ou tomcat8) 3. Consultez notre liste des versions d'Apache Tomcat prises en charge pour vous assurer que la nouvelle version est compatible avec les produits ESET. 4. Sauvegardez le fichier de configuration Tomcat /etc/tomcat7/server.xml. Comment effectuer une mise à niveau 1. Arrêtez le service Apache Tomcat : • Exécutez la commande suivante : service tomcat stop (dans certains cas, le nom du service est tomcat7) 2. Mise à niveau d'Apache Tomcat et de Java. Utilisez les commandes du terminal en fonction de votre distribution de Linux. Les exemples de noms de paquets ci-dessous peuvent différer des paquets disponibles dans le répertoire de votre distribution Linux. Les distributions de Debian et de Ubuntu sudo apt-get update sudo apt-get install openjdk-11-jdk tomcat9 Les distributions de CentOS, de Red Hat et de Fedora yum update yum install java-1.8.0-openjdk tomcat OpenSUSE zypper refresh zypper install java-1_8_0-openjdk tomcat 3. Remplacez le fichier /etc/tomcat9/server.xml par le fichier server.xml sauvegardé. 4. Ouvrez le fichier server.xml et assurez-vous que le chemin vers keystoreFile est correct. 5. Assurez-vous que la connexion HTTP pour Apache Tomcat est configurée correctement. Remarque Voir également Configuration de la Web Console pour les solutions d'entreprise ou pour les systèmes à faible performance. IMPORTANT Après la mise à niveau d'Apache Tomcat vers une version majeure plus récente (par exemple Apache Tomcat version 7.x à 9.x) : • Déployez la console Web ESET PROTECT à nouveau. Consultez Installation de la console Web de ESET PROTECT - Linux) • Réutilisez %TOMCAT_HOME%/webapps/era/WEBINF/classes/sk/eset/era/g2webconsole/server/modules/config/EraWebServerConfig.properties pour conserver tous les paramètres personnalisés dans la console Web de ESET PROTECT. • La mise à niveau de la console Web et d'Apache Tomcat efface les fichiers d'aide hors ligne. Si vous avez utilisé l'aide hors ligne pour ERA/ESMC ou une version plus ancienne de ESET PROTECT, recréez-la pour ESET PROTECT 8.0 après la mise à niveau. Cela garantit que vous disposez de la dernière aide hors ligne correspondant à la version de votre ESET PROTECT. 164 Changement d'adresse IP du serveur ESET PROTECT ou du nom d'hôte après la migration Pour modifier une adresse IP ou le nom d'hôte de votre serveur ESET PROTECT, procédez comme suit : 1. Si votre certificat de serveur ESET PROTECT contient une adresse IP ou un nom d'hôte spécifique, créez un nouveau certificat de serveur et incluez la nouvelle adresse IP ou le nouveau nom d'hôte que vous allez utiliser désormais. Toutefois, si vous avez un caractère générique * dans le champ d'hôte du certificat de serveur, passez à l'étape 2. Sinon, créez un nouveau certificat de serveur en ajoutant la nouvelle adresse IP et le nouveau nom d'hôte séparés par une virgule et incluez l'adresse IP et le nom d'hôte précédents. 2. Signez le nouveau certificat de serveur à l'aide de votre autorité de certification du serveur ESET PROTECT. 3. Créez une politique modifiant les connexions des clients à l'aide de la nouvelle adresse IP ou du nouveau nom d'hôte (de préférence l'adresse IP), mais incluez une deuxième (de remplacement) connexion à l'ancienne adresse IP ou au nom d'hôte pour donner à l'agent ESET Management une chance de se connecter aux deux serveurs. Pour plus de détails, consultez la rubrique Créer un politique pour les agents ESET Management pour connecter le nouveau serveur ESET PROTECT. 4. Appliquez cette politique à vos ordinateurs clients et permettez aux agents ESET Management de se répliquer. Même si la politique va rediriger les clients vers votre nouveau serveur (qui ne fonctionne pas), les agents ESET Management vont utiliser les informations du serveur de remplacement pour se connecter à l'adresse IP d'origine. 5. Configurez le certificat de serveur dans les paramètres de serveur. 6. Redémarrez le service du serveur ESET PROTECT et changez l'adresse IP ou le nom d'hôte. Consultez notre article de la base de connaissances pour obtenir des instructions détaillées sur la façon de changer l'adresse du serveur ESET PROTECT. Mettre à niveau ERA/ESMC installé sur une grappe de basculement sous Linux Si le serveur ESET PROTECT est installé sur une grappe de basculement dans un environnement Linux et que vous souhaitez mettre l'installation à niveau, suivez les étapes ci-après. Mettez-vous à jour un environnement avec le mandataire ERA? Mise à niveau manuelle de ERA version 6.5 (ou ultérieure) vers la dernière version de ESET PROTECT 1. Désactivez EraService dans Conga (IUG d'administration de grappe) sous Groupes de service et assurez-vous que l'agent ERA et le serveur ERA sont arrêtés sur les deux nœuds. 2. Mettez à niveau le serveur ERA sur nœud1 en effectuant les étapes suivantes : a.Montez l'unité de stockage partagé à ce nœud b.Mettez manuellement à niveau le serveur ERA vers la version la plus récente en exécutant le script d'installation du serveur server-linux-x86_64.sh en tant que racine ou sudo. c.Remplacez l'ancien script de grappe situé dans /usr/share/cluster/eracluster_server.sh par le nouveau qui se trouve dans /opt/eset/RemoteAdministrator/Server/setup/eracluster_server. Ne changez pas le nom de fichier deeracluster_server.sh. d.Arrêtez le service du serveur ESET PROTECT (stop eraserver) après la mise à niveau. e.Désactivez le démarrage automatique du serveur ESET PROTECT en renommant les 2 fichiers suivants : i.mv /etc/init/eraserver.conf /etc/init/eraserver.conf.disabled ii.mv /etc/init/eraserver-xvfb.conf /etc/init/eraserverxvfb.conf.disabled f.Démontez l'unité de stockage partagé à ce nœud. 3. Répétez ces étapes pour mettre à niveau le serveur ERA sur le nœud2. 4. Démarrez EraService dans Conga (IUG d'administration de grappe) sous Groupes de service. 5. Mettez à niveau l'agent ERA sur tous les nœuds de la grappe. 165 6. Vérifiez que tous les nœuds de la console Web ESET PROTECT se connectent et que la version indiquée est bien la dernière. Désinstallez le serveur ESET PROTECT et ses composants Sélectionnez l'un des chapitres ci-dessous si vous voulez désinstaller le serveur ESET PROTECT : • Windows - Désinstaller le serveur ESET PROTECT et ses composants • Linux - Mettre à niveau, désinstaller ou réinstaller les composants ESET PROTECT • macOS - Désinstaller l'agent ESET Management et le produit ESET Endpoint • Mettre hors service l'ancien serveur ERA/ESMC/ESET PROTECT/MDM après la migration vers un autre serveur Windows - Désinstaller le serveur ESET PROTECT et ses composants Pour désinstaller des composants de ESET PROTECT, exécutez le programme d'installation tout en un de ESET PROTECT et sélectionnez Désinstaller. Vous pouvez aussi sélectionner la langue désirée à partir du menu déroulant avant de continuer. Remarque Avant de désinstaller le connecteur d'appareil mobile, lisez Fonctionnalité de licence pour iOS de MDM. 166 Après avoir accepté le CLUF, cliquez sur Suivant. Sélectionnez les composants que vous souhaitez désinstaller et cliquez sur Désinstaller. Remarque • Un redémarrage de l'ordinateur peut être nécessaire pour terminer la suppression de composants particuliers. • Voir également la rubrique Mettre hors service l'ancien serveur ERA/ESMC/ESET PROTECT/MDM après la migration vers un autre serveur. Linux - Mettre à niveau, désinstaller ou réinstaller les composants ESET PROTECT Si vous souhaitez réinstaller ou mettre à niveau vers une version plus récente, il suffit de lancer à nouveau le script d'installation. Pour désinstaller un composant (ici, Serveur ESET PROTECT), exécutez le programme d'installation avec le paramètre --uninstall comme indiqué dans l'exemple suivant : sudo ./server-linux-x86_64.sh --uninstall --keep-database Si vous voulez désinstaller d'autres composants, utiliser le nom de progiciel approprié dans la commande. Par exemple, Agent ESET Management : sudo ./agent-linux-x86_64.sh --uninstall 167 IMPORTANT Les fichiers de configuration et de base de données seront supprimés lors de la désinstallation. Pour préserver les fichiers de la base de données, créez un vidage de mémoire SQL de la base de données ou utilisez le paramètre --keep-database. Une fois la désinstallation terminée, vérifiez si • le service eraserver est supprimé. • le dossier /etc/opt/eset/RemoteAdministrator/Server/ est supprimé. Remarque Nous vous recommandons de créer une sauvegarde de cliché de la base de données avant d'effectuer la désinstallation. Vous pourriez en avoir besoin pour restaurer vos données. Pour plus d'informations sur la réinstallation de l'agent, consultez le chapitre correspondant. macOS - Désinstaller l'agent ESET Management et le produit ESET Endpoint Désinstallez l'agent ESET Management et le produit ESET Endpoint localement ou à distance à l'aide de ESET PROTECT. Remarque • Si vous souhaitez désinstaller à distance le produit ESET Endpoint, assurez-vous de le faire avant de désinstaller l'agent ESET Management. • Vous pouvez trouver les instructions plus détaillées pour la désinstallation locale de l'agent ESET Management et du produit ESET Endpoint dans cet article de la base de connaissance. Désinstaller l'agent ESET Management localement 1. Cliquez sur Rechercher pour ouvrir une nouvelle fenêtre de recherche. 2. Cliquez sur Applications, maintenez enfoncé CTRL, puis cliquez sur l'agent ESET Management; ensuite, sélectionnez Afficher le contenu du paquet à partir du menu contextuel. 3. Accédez à Contenu > Scripts et double-cliquez sur Uninstaller.command pour exécuter le programme de désinstallation. 4. Si vous êtes invité à saisir un mot de passe, saisissez votre mot de passe administrateur et appuyez sur Entrée. 5. Vous verrez le message Processus terminé lorsque l'agent ESET Management aura été désinstallé. Désinstaller l'agent ESET Management localement au moyen du terminal 1. Ouvrez Rechercher > Applications > Utilitaires > Terminal. 2. Tapez le code suivant et appuyez sur Entrée : sudo /Applications/ESET\ Administrator\ Agent.app/Contents/Scripts/Uninstall.command ; exit; 3. Si vous êtes invité à saisir un mot de passe, saisissez votre mot de passe administrateur et appuyez sur Entrée. 4. Vous verrez le message Processus terminé lorsque l'agent ESET Management aura été désinstallé. Désinstaller l'agent ESET Management à distance en utilisant ESET PROTECT Dans Ordinateurs, cliquez sur l'ordinateur client macOS et sélectionnez Supprimer pour désinstaller l'agent ESET Management et retirer l'ordinateur de la gestion. Désinstaller le produit ESET Endpoint localement 1. Cliquez sur Rechercher pour ouvrir une nouvelle fenêtre de recherche. 168 2. Cliquez sur Applications, maintenez enfoncé CTRL, puis cliquez sur ESET Endpoint Security ou ESET Endpoint Antivirus; ensuite, sélectionnez Afficher le contenu du paquet à partir du menu contextuel. 3. Accédez à Contenu > Aide et double-cliquez sur Uninstaller.app pour exécuter le programme de désinstallation. 4. Cliquez sur Désinstaller. 5. Si vous êtes invité à saisir un mot de passe, saisissez votre mot de passe administrateur et appuyez sur Ok. 6. Vous verrez le message Désinstallation réussie lorsque ESET Endpoint Security ou ESET Endpoint Antivirus a été correctement désinstallé. Cliquez sur Fermer. Désinstaller le produit ESET Endpoint localement au moyen du terminal 1. Ouvrez Rechercher > Applications > Utilitaires > Terminal. 2. Tapez le code suivant et appuyez sur Entrée : sudo /Applications/ESET\ Endpoint\ Antivirus.app/Contents/Helpers/Uninstaller.app/Contents/Scripts/uninstall.sh sudo /Applications/ESET\ Endpoint\ Security.app/Contents/Helpers/Uninstaller.app/Contents/Scripts/uninstall.sh 3. Si vous êtes invité à saisir un mot de passe, saisissez votre mot de passe administrateur et appuyez sur Entrée. 4. Vous verrez le message Processus terminé lorsque le produit ESET Endpoint aura été désinstallé. Désinstaller le produit ESET Endpoint à distance en utilisant ESET PROTECT Pour désinstaller l'agent ESET Management à distance en utilisant ESET PROTECT, vous pouvez utiliser l'une des options suivantes : • Dans Ordinateurs, cliquez sur l'ordinateur client macOS, sélectionnez Afficher les détails > Applications installées > sélectionnez ESET Endpoint Security ou ESET Endpoint Antivirus et cliquez sur le bouton Désinstaller. • Utilisez la tâche Désinstallation de logiciel. Mettre hors service l'ancien serveur ERA/ESMC/ESET PROTECT/MDM après la migration vers un autre serveur Avertissement Assurez-vous que votre nouveau serveur ESET PROTECT/MDM est en cours d'exécution et que les ordinateurs clients se connectent correctement à votre nouveau ESET PROTECT. Il existe plusieurs options pour mettre hors service votre ancien serveur ERA/ESMC/ESET PROTECT/MDM après la migration vers un autre serveur : I.conserver le système d'exploitation du serveur et le réutiliser 1. ArrêtezERA les services du serveur ESMC. 2. Supprimez (DROP DATABASE) l'ancienne instance de base de données de serveur ERA/ESMC/ESET PROTECT (MS SQL ou MySQL). Avertissement Si vous avez migré la base de données vers le nouveau serveur ESET PROTECT assurez-vous de supprimer la base de données sur l'ancien serveur ERA/ESMC/ESET PROTECT avant sa désinstallation afin d'éviter que les licences ne soient dissociées (supprimées) de la nouvelle base de données de serveur ESET PROTECT. 3. Désinstallez l'ancien serveur ERA/ESMC/ESET PROTECT/MDM et tous ses composants (y compris l'agent ESET Management, Rogue Detection Sensor, MDM, etc.) : oDésinstallez ERA 6.5 - Windows 169 oDésinstallez ESMC 7.x - Windows oDésinstallez ESET PROTECT 8.x - Windows oDésinstallez ESET PROTECT - Linux IMPORTANT Ne désinstallez pas votre base de données si d'autres logiciels dépendent de votre base de données. 4. Planifier un redémarrage du système d'exploitation de votre serveur après la désinstallation. II.Conserver le serveur La meilleure façon de supprimer ERA/ESMC/ESET PROTECT/MDM consiste à formater le disque sur lequel il est installé. Avertissement Cela effacera tout ce qu'il y a sur le disque, y compris le système d'exploitation. Dépannage Puisque ESET PROTECT est un produit complexe qui utilise plusieurs outils tiers et prend en charge de nombreuses plates-formes de système d'exploitation, il est possible que vous rencontriez des problèmes que vous allez devoir résoudre. La documentation d'ESET mentionne plusieurs méthodes pour dépanner ESET PROTECT. Voir la rubrique Solutions aux problèmes d'installation les plus courants pour résoudre certains problèmes courants avec ESET PROTECT. Vous ne parvenez pas à résoudre votre problème? • Chaque composant ESET PROTECT possède un fichier journal qui peut être configuré pour être plus ou moins verbeux. Examiner les journaux pour identifier les erreurs qui pourraient expliquer le problème que vous rencontrez. oLa verbosité de journalisation de chaque composant est définie dans sa politique. La politique doit être appliquée à l'appareil pour prendre effet. ▪Politique de l'agent ESET Management ▪Capteur RD ▪Serveur ESET PROTECT ▪MDM Core Remarque Pour activer la journalisation complète, créez un fichier factice appelé traceAll sans extension dans le même dossier comme trace.log et redémarrez le service de l'agent ESET Management. Cela activera la journalisation complète dans le fichier trace.log. • Si vous ne parvenez pas à résoudre votre problème, vous pouvez visiter le Forum d'ESET Security et consulter la communauté ESET pour obtenir des informations sur les problèmes que vous pouvez rencontrer. • Lorsque vous communiquez avec l'assistance à la clientèle d'ESET., il se peut que le service d'assistance technique vous demande de collecter les fichiers journaux. Pour ce faire, utilisez ESET Log Collector ou notre Outil de diagnostique pour collecter les journaux nécessaires. Nous vous recommandons fortement d'inclure les journaux lorsque vous contactez le service d'assistance à la clientèle pour accélérer le traitement de votre demande d'assistance. Mise à niveau des composants de ESET PROTECT dans un environnement hors connexion 170 Suivez les étapes ci-après pour mettre à niveau vos composants ESET PROTECT et vos produits ESET Endpoint lorsque vous n'avez pas accès à Internet : IMPORTANT Pour utiliser la tâche de mise à niveau des composants pour un environnement hors connexion, les conditions suivantes doivent être satisfaites : • Un référentiel hors ligne est disponible. • L'emplacement du référentiel pour l'agent ESET Management est configuré de manière qu'il soit accessible à l'aide d'une politique. 1. Dans un premier temps, effectuez la mise à niveau du serveur ESET PROTECT et de la console Web : a.Vérifiez la version de ESET PROTECT qui fonctionne sur le serveur. b.Vérifiez la disponibilité des versions les plus récentes des composants. c.Téléchargez les programmes d'installation autonomes les plus récents à partir du site de téléchargement d'ESET. d.Effectuez une mise à niveau manuelle basée sur le composant deESET PROTECT et de la console Web de ESET PROTECT. Remarque La mise à niveau de la console Web et d'Apache Tomcat efface les fichiers d'aide hors ligne. Si vous avez utilisé l'aide hors ligne pour ERA/ESMC ou une version plus ancienne de ESET PROTECT, recréezla pour ESET PROTECT 8.0 après la mise à niveau. Cela garantit que vous disposez de la dernière aide hors ligne correspondant à la version de votre ESET PROTECT. 2. Poursuivez la mise à niveau hors connexion des produits ESET Endpoint : a.Voir quels sont les produits ESET installés sur les clients : Ouvrez la console Web ESET PROTECT et accédez à Tableau de bord > Applications ESET. b.Vérifiez la disponibilité des versions les plus récentes des produits ESET Endpoint. c.Téléchargez les programmes d'installation à partir du site de téléchargement d'ESET vers le référentiel local configuré pendant l'installation hors ligne. d.Exécutez une tâche d'installation de logiciel à partir de la console Web de ESET PROTECT. Solutions aux problèmes d'installation courants Développez la section du message concernant l'erreur que vous souhaitez résoudre : Serveur ESET PROTECT 171 Le service du serveur ESET PROTECT ne démarre pas : Interruption de l'installation • Cela pourrait être dû à des clés de registre manquantes, des fichiers manquants ou des autorisations de fichiers non valides. • Le programme d'installation tout-en-un d'ESET possède son propre fichier journal. Lors de l'installation manuelle d'un composant, utilisez la méthode de journalisation MSI. Port d'écoute déjà utilisé (très souvent 2222 et 2223) Utilisez la commande appropriée pour votre système d'exploitation : • Windows : netstat -an | find "2222" netstat -an | find "2223"• Linux : netstat | grep 2222 netstat | grep 2223La base de données ne fonctionne pas ou n'est pas joignable • MS SQL Server: Vérifiez que le port 1433 est disponible sur/pour le serveur de base de données ou essayez de vous connecter à SQL Server Management Studio • MySQL : Vérifiez que le port 3306 est disponible sur/pour le serveur de base de données ou essayez de vous connecter à l'interface de votre base de données (par exemple en utilisant l'interface de ligne de commande de MySQL ou phpmyadmin) Base de données corrompue Plusieurs erreurs SQL seront affichées dans le fichier journal du serveur ESET PROTECT. Nous vous recommandons de restaurer votre base de données à partir d'une sauvegarde. Si aucune sauvegarde n'est présente, réinstallez ESET PROTECT. Ressources système insuffisantes (RAM, espace disque) Examinez les processus en cours d'exécution et la performance du système : • Utilisateurs de Windows : Exécutez et examinez les informations dans le Gestionnaire des tâches ou l'Observateur d'événements • Utilisateurs Linux : Exécutez l'une des commandes suivantes : df -h (pour consulter les renseignements sur l'espace disque) cat /proc/meminfo (pour consulter les renseignements sur l'espace mémoire) dmesg (pour examiner l'état de santé de votre système Linux) Erreur avec le connecteur ODBC lors de l'installation du serveur ESET PROTECT Error: (Error 65533) ODBC connector compatibility check failed. Please install ODBC driver with support for multi-threading. Réinstaller une version du pilote d'ODBC qui prend en charge les opérations multifilières ou reconfigurez odbcinst.ini comme indiqué dans la rubrique de configuration d'ODBC. Erreur avec une connexion à la base de données lors de l'installation du serveur ESET PROTECT L'installation du serveur ESET PROTECT se termine par le message d'erreur générique suivant : The database server is not configured correctly. Please check the documentation and reconfigure the database server as needed. Message d'erreur du journal d'installation : Error: Execution test of long statement failed with exception: CMysqlCodeTokenExecutor: CheckVariableInnodbLogFileSize: Server variables innodb_log_file_size*innodb_log_files_in_group value 100663296 is too low. Vérifiez que la configuration du pilote de votre base de données correspond à celle indiquée dans la rubrique de configuration d'ODBC. Agent ESET Management 172 Le message « La base de données ne peut pas être mise à niveau. Veuillez d'abord supprimer le produit. ». s'affiche pendant la désinstallation de l'Agent. Réparez l'agent ESET Management : 1. Allez à Panneau de configuration > Programmes et fonctionnalités et double-cliquez sur l'agent ESET Management. 2. Cliquez sur Suivant > Réparer et suivez les instructions. Existe-t-il d'autres façon de désinstaller l'agent ESET Management? Tous les méthodes de désinstallation possibles de l'agent ESET Management sont décrites dans la rubrique de désinstallation. L'erreur dont le code est 1603 s'est produite pendant l'installation de l'agent Cette erreur peut se produire lorsque les fichiers d'installation ne sont pas situés sur le disque local. Pour la corriger, copiez les fichiers d'installation dans le répertoire local et exécutez à nouveau l'installation. Si les fichiers sont déjà présents, ou si l'erreur persiste, suivez les instructions de la page Instructions de notre base de connaissance. Un message d'erreur s'affiche lors de l'installation de l'agent sur Linux Message d'erreur : Checking certificate ... failed Error checking peer certificate: NOT_REGULAR_FILE Cette erreur peut être causée par un nom de fichier incorrect dans la commande d'installation. Pour la console, vous devez respecter la casse. Par exemple Agent.pfx n'est pas la même chose que agent.pfx. Le déploiement à distance de Linux vers Windows 8.1 (32 bits) a échoué Il s'agit d'un problème d'authentification causé par KB3161949 de Microsoft. Ce problème peut être résolu uniquement en supprimant cette mise à jour des hôtes sur lesquels le déploiement échoue. L’agent ESET Management n’a pas pu se connecter à ESET PROTECT Serveur Consultez l'article de notre Base de connaissances. Le programme d'installation d'Agent Live s'est arrêté et a renvoyé le code 30 Vous avez utilisé le script de Live Installer avec un emplacement d'installation personnalisé et vous n'avez pas réussi à modifier le script correctement. Consultez la page d'aide et essayez èa nouveau. Console Web Serveur mandataire HTTP Apache La taille du cache du mandataire HTTP d'Apache est de plusieurs Go et continue à augmenter Si vous avez installé le mandataire HTTP Apache en utilisant un programme d'installation tout-en-un, alors les nettoyages sont activés automatiquement. Si les nettoyages ne fonctionnent pas correctement, effectuez un nettoyage manuel ou planifiez une tâche de nettoyage. Les mises à jour du moteur de détection ne fonctionnent plus après l'installation du mandataire HTTP Apache Si les mises à jour ne peuvent s'effectuer sur des postes de travail clients, consultez les instructions de la Base de connaissances concernant la désactivation temporaire du mandataire HTTP Apache sur les postes de travail d'extrémité. Une fois que les problèmes de connexion sont résolus, pensez à réactiver le mandataire HTTP Apache. Échec de la mise à jour à distance de l'agent ESET Management avec le code d'erreur 20008 Si la mise à jour à distance de l'agent ESET Management échoue avec le message suivant : GetFile: Impossible de traiter la requête HTTP (code d'erreur 20008, url : 'http://repository.eset.com/v1//info.meta') Suivez les étapes I et III de cet article pour résoudre le problème de connexion. Dans le cas où la machine sur laquelle l'agent ESET Management est censé être mis à jour se trouve en dehors de votre réseau d'entreprise, configurez une politique pour que l'agent ESET Management n'utilise pas de mandataire pour se connecter au référentiel lorsqu'il se trouve à l'extérieur du réseau d'entreprise. ESET Rogue Detection Sensor 173 Pourquoi le message d'erreur suivant est-il continuellement inscrit au journal dans le trace.log d'ESET Rogue Detector : Information: CPCAPDeviceSniffer [Thread 764]: CPCAPDeviceSniffer on rpcap://\Device\NPF_ {2BDB8A61-FFDA-42FC-A883-CDAF6D129C6B} throwed error: Device open failed with error:Error opening adapter: The system cannot find the device specified. (20) La source du problème est WinPcap. Arrêtez le service ESET Rogue Detector Sensor, réinstallez la dernière version de WinPcap (version 4.1.0 ou plus récente) et redémarrez le service ESET Rogue Detector Sensor. Linux Dépendance libQtWebKit manquante sur CentOS Linux Si le message d'erreur suivant s'affiche : Error: CReportPrinterModule [Thread 7f5f4c7b8700]: ReportPrinter: ReportPrinterTool exited with: /opt/eset/RemoteAdministrator/Server//ReportPrinterTool: error while loading shared libraries: libQtWebKit.so.4: cannot open shared object file: No such file or directory [code:127] Suivez les instructions de l'article correspondant de notre base de connaissance. Échec de l'installation du serveur ESET PROTECT sur CentOS 7 Si le message d'erreur suivant s'affiche : Error: DbCheckConnection: locale::facet::_S_create_c_locale name not valid Le problème est probablement dû à des paramètres d'environnement ou régionaux. L'exécution de la commande suivante avant le script d'installation du serveur devrait vous aider : export LC_ALL="en_US.UTF-8" Microsoft SQL Server Code d'erreur -2068052081 lors de l'installation de Microsoft SQL Server. Redémarrez l'ordinateur et exécutez de nouveau la configuration. Si le problème persiste, désinstallez le client natif SQL Server et lancez de nouveau l'installation. Si cela ne vous est d'aucune aide, désinstallez tous les produits Microsoft SQL Server, redémarrez votre ordinateur, puis lancez de nouveau l'installation. Code d'erreur -2067922943 lors de l'installation de Microsoft SQL Server. Vérifiez que votre système respecte les exigences de la base de données pour ESET PROTECT. Code d'erreur -2067922934 lors de l'installation de Microsoft SQL Server. Assurez-vous que vous avez les privilèges de compte utilisateur appropriés. La console Web affiche « Échec du chargement des données ». MS SQL Server tente d'utiliser autant d'espace disque que possible pour les journaux de transactions. Si vous voulez nettoyer cela, visitez le site Web officiel de Microsoft. Code d'erreur -2067919934 lors de l'installation de Microsoft SQL Server. Assurez-vous que toutes les étapes précédentes se sont bien terminées. Cette erreur est causée par des fichiers systèmes mal configurés. Redémarrez l'ordinateur et exécutez de nouveau l'installation. Fichiers journaux Chaque composant de ESET PROTECT effectue des journalisations. Les composants de ESET PROTECT inscrivent des informations sur certains événements dans les fichiers journaux. L'emplacement des fichiers journaux varie en fonction du composant. Voici une liste des emplacements de fichier journal : Windows Serveur ESET PROTECT Agent ESET Management C:\ProgramData\ESET\RemoteAdministrator\Server\EraServerApplicationData\Logs\ C:\ProgramData\ESET\RemoteAdministrator\Agent\EraAgentApplicationData\Logs\ Consultez également la rubrique Dépannage de la connexion des agents. Console Web ESET PROTECT et C:\ProgramData\ESET\RemoteAdministrator\Tomcat\Logs\ Apache Tomcat Voir aussi https://tomcat.apache.org/tomcat-9.0-doc/logging.html Connecteur d'appareil mobile C:\ProgramData\ESET\RemoteAdministrator\MDMCore\Logs\ 174 Capteur de détection d'intrus Serveur mandataire HTTP Apache sur les systèmes d'exploitation Windows plus anciens C:\ProgramData\ESET\Rogue Detection Sensor\Logs\ C:\Program Files\Apache HTTP Proxy\logs\ C:\Program Files\Apache HTTP Proxy\logs\errorlog C:\Documents and Settings\All Users\Application Data\ESET\... Remarque C:\ProgramData est masqué par défaut. Pour afficher le dossier... 1. Allez à Démarrer > Panneau de configuration > Options des dossiers > Afficher. 2. Sélectionnez Afficher les fichiers, les dossiers et les disques masqués et cliquez sur OK. Linux Serveur ESET PROTECT /var/log/eset/RemoteAdministrator/Server/ /var/log/eset/RemoteAdministrator/EraServerInstaller.log Agent ESET Management /var/log/eset/RemoteAdministrator/Agent/ /var/log/eset/RemoteAdministrator/EraAgentInstaller.log Connecteur d'appareil mobile /var/log/eset/RemoteAdministrator/MDMCore/ /var/log/eset/RemoteAdministrator/MDMCore/Proxy/ Serveur mandataire HTTP Apache /var/log/httpd/ Console Web ESET PROTECT et Apache Tomcat /var/log/tomcat/ Voir aussi https://tomcat.apache.org/tomcat-9.0-doc/logging.html ESET RD Sensor /var/log/eset/RogueDetectionSensor/ Appareil virtuel ESET PROTECT Configuration de ESET PROTECT /root/appliance-configuration-log.txt Serveur ESET PROTECT /var/log/eset/RemoteAdministrator/EraServerInstaller.log Serveur mandataire HTTP Apache /var/log/httpd macOS /Library/Application Support/com.eset.remoteadministrator.agent/Logs/ /Users/%user%/Library/Logs/EraAgentInstaller.log Outil de diagnostic L'outil de diagnostic fait partie de tous les composants de ESET PROTECT. Il sert à collecter et à regrouper les journaux qui peuvent être utilisés par les agents d'assistance technique et les développeurs pour résoudre les problèmes sur les composants du produit. Emplacement de l'outil de diagnostique Windows Dossier C:\Program Files\ESET\RemoteAdministrator\<product>\ Diagnostic.exe. Linux Dans le répertoire suivant sur le serveur : /opt/eset/RemoteAdministrator/<produit>/, il existe un Diagnostic<produit> exécutable (un mot, par exemple, DiagnosticServer, DiagnosticAgent) Utilisation (Linux) Exécutez l'exécutable de diagnostic dans le terminal en tant que racine et suivez les instructions affichées sur votre écran. Utilisation (Windows) 1. Démarrez l'outil en utilisant une invite de commande. 2. Entrez l'emplacement des fichiers journaux à stocker (dans notre exemple « logs ») puis appuyez sur 175 Entrée. 3. Entrez les renseignements que vous voulez rassembler (dans notre exemple 1 trace status 3). Voir Actions pour de plus amples renseignements. 4. Une fois que vous avez terminé, les fichiers journaux sont compressés dans un fichier .zip et placés dans le répertoire « logs » de l'emplacement de l'outil de diagnostique. Actions • ActionEraLogs - Un dossier de journaux est créé, où tous les journaux sont enregistrés. Pour spécifier certains journaux uniquement, utilisez un espace pour séparer chaque journal. • ActionGetDumps - Un nouveau dossier est créé. Un fichier de vidage de processus est généralement créé dans le cas où un problème surviendrait. Lorsque le système détecte un problème grave, un fichier de vidage est créé. Pour une vérification manuelle, allez dans le dossier %temp% (dans Windows) ou le dossier /tmp/ (dans Linux) et insérez un fichier dmp. Remarque Le service de composants (Agent, , Server, RD Sensor, ) doit être en cours d'exécution. • ActionGeneralApplicationInformation - Le dossier GeneralApplicationInformation est créé et dans ce dossier, le fichier GeneralApplicationInformation.txt. Ce fichier contient de l'information en format texte, incluant le nom et la version du produit actuellement installé. • ActionConfiguration - Un dossier de configuration est créé, où le fichier storage.lua est enregistré. 176 Problèmes après la mise à niveau / migration du serveur ESET PROTECT Si vous ne parvenez pas à démarrer le service du serveur ESET PROTECT en raison d'une installation endommagée et si vous avez des messages Erreur inconnue dans le fichier journal, effectuez une opération de réparation en procédant comme indiqué ci-après : Avertissement Nous vous recommandons d'effectuer une sauvegarde de la base de données de serveur avant de commencer l'opération de réparation. 1. Accédez à Démarrer > Panneau de configuration > Programmes et fonctionnalités et double- cliquez sur le serveur ESET PROTECT. 2. Sélectionnez Réparer et cliquez sur Suivant. 3. Réutilisez vos paramètres de connexion de base de données existants et cliquez sur Suivant. Cliquez sur Oui si vous êtes invité à confirmer. 4. Sélectionnez Utilisez le mot de passe de l'administrateur déjà enregistré dans la base de données et cliquez sur Suivant. 5. Sélectionnez Conserver les certificats existants actuellement et cliquez sur Suivant. 6. Cliquez sur Réparer. 7. Connectez-vous de nouveau à la console Web et vérifiez si tout fonctionne correctement. Autres scénarios de dépannage : Le serveur ESET PROTECT ne fonctionne pas, mais une sauvegarde de la base de données existe : 1. Restaurez votre sauvegarde de base de données. 2. Vérifiez que la nouvelle machine utilise la même adresse IP ou le même nom d'hôte que votre installation précédente pour que les agents se connectent. 3. Réparez ESET Security Management Server et utilisez la base de données que vous avez restaurée. Le serveur ESET PROTECT ne fonctionne pas, mais vous avez le certificat de serveur exporté et l'autorité de certification de celui-ci : 1. Vérifiez que la nouvelle machine utilise la même adresse IP ou le même nom d'hôte que votre installation précédente pour que les agents se connectent. 2. Réparez ESET Security Management Server à l'aide des certificats sauvegardés (lors de la réparation, sélectionnez Charger les certificats à partir du fichier et suivez les instructions). Le serveur ESET PROTECT ne fonctionne pas et vous n'avez ni de base de données sauvegardée, ni de certificat de serveur ESET PROTECT, ni d'autorité de certification : 1. Réparez ESET Security Management Server. 2. Réparez les agents ESET Management en utilisant l'une des méthodes suivantes : • Programme d'installation pour Agent Live • Déploiement à distance (cela va vous obliger à désactiver le pare-feu sur les machines cibles) • Programme d'installation manuel du composant Agent Journalisation MSI Cette journalisation est utile si vous ne parvenez pas à installer correctement un composant ESET PROTECTsur Windows, par exemple l'agent ESET Management : msiexec /i C:\Users\Administrator\Downloads\Agent_x64.msi /L*v log.txt 177 ESET PROTECT API Le ESET PROTECT ServerApi (ServerApi.dll) est une interface de programmation d'application, un ensemble de fonctions et d'outils conçus pour créer des applications de logiciel personnalisées pour répondre à vos besoins et à vos exigences. En utilisant le ServerApi, votre application peut offrir une interface, des fonctionnalités et des opérations personnalisées que vous deviez normalement effectuer par la console Web ESET PROTECT, comme, gérer ESET PROTECT, créer et recevoir des rapports, etc. Pour de plus amples informations et des exemples en langage C, ainsi qu'une liste de messages JSON disponibles, veuillez consulter l'article d'assistance en ligne suivant : ESET PROTECT 8 API Foire aux questions Pour quelle raison installons-nous Java sur un serveur? Est-ce que cela ne crée pas un risque pour la sécurité? La majorité des entreprises et des environnements de sécurité recommandent de désinstaller Java des ordinateurs et surtout des serveurs. Pour fonctionner, la console Web ESET PROTECT nécessite Java/OpenJDK. Java est un standard dans l'industrie pour les consoles basées sur le Web, et toutes les principales consoles Web utilisent Java et un serveur Web (Apache Tomcat) pour leur fonctionnement. Java est requis pour prendre en charge un serveur Web sur plusieurs plateformes. Il est possible d'installer le serveur Web sur un ordinateur dédié, au cas où la sécurité serait menacée. Avertissement Depuis janvier 2019, les mises à jour publiques de Oracle JAVA SE 8 à des fins professionnelles, commerciales ou de production nécessitent une licence commerciale. Si vous n'avez pas acheté pas un abonnement JAVA SE, vous pouvez utiliser ce guide pour passer à une solution gratuite et installer l'une des éditions de Java prises en charge. Comment déterminer quel port est utilisé par SQL Server? Il existe plusieurs façons de déterminer le port utilisé par SQL Server. Vous pouvez obtenir un résultat plus précis en utilisant le gestionnaire de configuration de SQL Server. Consultez la figure ci-dessous pour un exemple de l'endroit où trouver cette information dans le gestionnaire de configuration de SQL : 178 Après l'installation de SQL Server Express (inclus dans le progiciel ESET PROTECT) sur Windows Server 2012, l'application ne semble pas être à l'écoute sur un port standard SQL. Il est fort probable qu'elle soit en train d'écouter un autre port que le port par défaut, le port 1433. Comment configurer MySQL pour accepter de grands paquets? Consultez la rubrique d'installation et de configuration pour Windows ou Linux. Si j'installe SQL moi-même, comment dois-je faire pour créer une base de données pour ESET PROTECT? Vous n'avez pas besoin de le faire. Une base de données est créée par le programme d'installation Server.msi et non par le programme d'installation de ESET PROTECT. Le programme d'installation de ESET PROTECT est inclus afin de vous simplifier la tâche. Il installe SQL Server, et la base de données est créée par le programme d'installation server.msi. Est-il possible que ESET PROTECT crée une nouvelle base de 179 données pour moi dans une installation de MS SQL Server existante, si je lui donne les détails de connexion à MS SQL Server et les informations d'identification appropriés? Ce serait pratique si le programme d'installation prenait en charge les différentes versions de SQL Server (2012, 2014, etc.). La base de données est créée par le programme d'installation Server.msi. Oui, il peut dont créer une base de données ESET PROTECT pour vous sur des instances individuelles de SQL Server qui ont été installées. Il prend par ailleurs en charge les versions 2012 et ultérieure de MS SQL Server. Le ESET PROTECT 8.Le programme d'installation tout-en-un de 0 installe Microsoft SQL Server Express 2019 par défaut. Si vous utilisez une ancienne édition de Windows (Server 2012 ou SBS 2011), Microsoft SQL Server Express 2014 sera installé par défaut. Dans le cas d'une installation sur un serveur SQL existant, le serveur SQL devrait-il utiliser le mode d'authentification intégré de Windows par défaut? Non, parce que le mode d'authentification de Windows peut être désactivé sur le SQL Server et que la seule façon de se connecter est d'utiliser l'authentification de SQL Server (en entrant le nom d'utilisateur et le mot de passe). Lors de l'installation du serveur ESET PROTECT, l'authentification en mode mixte (authentification SQL Server et authentification Windows) est requise. Lors d'une installation manuelle de SQL Server, nous vous recommandons de créer un mot de passe racine (l'utilisateur racine est nommé « sa », pour security admin (administrateur de la sécurité)) et de l'enregistrer dans un endroit sûr pour une utilisation ultérieure. Le mot de passe racine peut être nécessaire lors de la mise à niveau du serveur ESET PROTECT. Vous pouvez définir l'authentification Windows après avoir installé le serveur ESET PROTECT. Est-ce que je peux utiliser MariaDB à la place de MySQL? Non, MariaDB n'est pas pris en charge. Assurez-vous d'installer un version prise en charge de MySQL Server et d'ODBC Connector. Consultez la rubrique Installation et configuration de MySQL. J'ai dû installer Microsoft .NET Framework 4 comme me l'a indiqué le programme d'installation de ESET PROTECT (http://www.microsoft.com/en-us/download/details.aspx?id=17851), mais cette opération n'a pas fonctionné suite à une nouvelle installation de Windows Server 2012 R2 avec SP1. Ce programme d'installation ne peut pas être utilisé sur Windows Server 2012 en raison de la politique de sécurité en vigueur sur Windows Server 2012. Microsoft .NET Framework doit être installé à l'aide de l'assistant d'Ajout de rôles et de fonctionnalités. Il est très difficile de savoir si l'installation de SQL Server est en cours d'exécution. Comment puis-je savoir ce qui se passe si l'installation prend plus de 10 minutes? 180 L'installation de SQL Server peut, dans de rares cas, prendre jusqu'à 1 heure. La durée de l'installation dépend des performances du système. Comment réinitialiser le mot de passe administrateur de la Console Web (saisi pendant la configuration)? Il est possible de réinitialiser le mot de passe en exécutant le programme d'installation du serveur et en sélectionnant l'option Réparer. Sachez que vous aurez besoin du mot de passe pour accéder à la base de données ESET PROTECT si vous n'avez pas utilisé l'authentification Windows lors de la création de la base de données. IMPORTANT • Soyez prudent, car il est possible que certaines options de réparation puissent supprimer des données stockées. • La réinitialisation du mot de passe désactive la fonction 2FA. Lorsque j'importe un fichier contenant la liste des ordinateurs à ajouter à ESET PROTECT, quel format de fichier dois-je utiliser? Le format est le suivant : Tous\Groupe1\GroupeN\Ordinateur1 Tous\Groupe1\GroupeM\OrdinateurX Tout est le nom requis pour le groupe racine. Est-il possible d'utiliser IIS à la place d'Apache? Et un autre serveur HTTP? IIS est un serveur HTTP. La console Web a besoin d'un conteneur de servlet Java (comme Tomcat) pour fonctionner, et un serveur HTTP n'est pas suffisant. Des solutions pour remplacer IIS par un conteneur de servlet Java ont été proposées, mais en général, elles ne sont pas prise en charge. Remarque Nous n'utilisons pas le serveur HTTP Apache, nous utilisons Apache Tomcat qui est un tout autre produit. Est-ce que ESET PROTECT possède une interface de ligne de commande? Oui, nous avons le ESET PROTECT ServerApi. 181 Est-il possible d'installer ESET PROTECT sur un contrôleur de domaine? Nous vous recommandons de ne pas installer SQL Server sur un contrôleur de domaine (par exemple, si vous utilisez Windows SBS/Essentials). Nous vous recommandons d'installer ESET PROTECT sur un autre serveur ou bien de ne pas sélectionner le composant SQL Server Express lors de l'installation (vous devez alors utiliser votre SQL Server ou MySQL existant pour exécuter la base de données de ESET PROTECT). L'installation du serveur ESET PROTECT peut-il détecter si SQL est déjà installé sur le système? Qu'arrivera-t-il s'il le détecte? Qu'en est-il de MySQL? ESET PROTECT vérifiera si SQL est en cours d'exécution sur un système, au cas où vous utilisez l'assistant d'installation et que vous avez choisi d'installer SQL express. Si SQL est déjà en cours d'exécution sur un système, l'assistant affichera une notification vous avisant de désinstaller la version SQL déjà existante, puis d'exécuter l'installation à nouveau, ou d'installer ESET PROTECT sans SQL Express. Consultez la rubrique Exigences de la base de données pour ESET PROTECT. Où puis-je trouver un composant d'ESET PROTECT mappé en fonction de sa version? Consultez l'article de notre Base de connaissances. Comment puis-je effectuer une mise à niveau basée sur les composants de ESET PROTECT vers la version la plus récente? Système d'exploitation Windows : • Mettez à niveau à partir de la console Web ESET PROTECT (à l'aide de la tâche client de mise à niveau des composants) : https://support.eset.com/kb7701/ • Mise à niveau manuelle : https://support.eset.com/kb7702/ Système d'exploitation Linux : https://support.eset.com/kb7733/ Comment puis-je mettre à jour un système sans connexion Internet? En utilisant un serveur mandataire HTTP installé sur une machine qui peut se connecter aux serveurs de mise à jour ESET (où les fichiers de mise à jour sont mis en cache) et en pointant les terminaux vers ce serveur mandataire HTTP sur un réseau local. Si votre serveur n'est pas connecté à Internet, vous pouvez activer l'option miroir du produit d'extrémité sur une machine, utiliser une clé USB pour livrer le fichier de mise à jour sur cet ordinateur, et configurer tous les autres ordinateurs hors ligne pour qu'ils l'utilisent comme serveur de mise à jour. Pour plus d'informations sur la façon d'effectuer une installation hors connexion, suivez les instructions ci-après. 182 Comment puis-je réinstaller le serveur ESET PROTECT et le connecter à un serveur SQL existant si le serveur SQL a été configuré automatiquement lors de l'installation initiale de ESET PROTECT ? Si vous installez la nouvelle version du serveur ESET PROTECT en utilisant le même compte utilisateur (par exemple, le compte administrateur du domaine), avec lequel vous avez installé le serveur ESET PROTECT d'origine, vous pouvez utiliser le serveur MS SQL par le biais de l'authentification Windows. Comment puis-je régler les problèmes avec la synchronisation d'Active Directory sur Linux? Vérifiez que votre nom de domaine est écris en lettres majuscules (administrator@TEST.LOCAL au lieu de administator@test.local). Est-il possible d'utiliser ma propre ressource réseau (comme SMB share) plutôt que le référentiel? Vous pouvez choisir de fournir l'adresse URL directe de l'emplacement du programme. Si vous utilisez un partage de fichier, spécifiez-le dans le format suivant : file:// suivi du chemin complet de réseau menant au fichier, par exemple : fichier://\\eraserver\install\ees_nt64_ENU.msi Comment réinitialiser ou changer mon mot de passe? Idéalement, le compte administrateur ne devrait être utilisé que pour la création de comptes administrateur individuels. Une fois que les comptes administrateur sont créés, le mot de passe administrateur doit être enregistré et le compte administrateur ne doit pas être utilisé. Cette pratique permet d'utiliser le compte administrateur pour réinitialiser les mots de passe ou les détails des comptes seulement. Comment réinitialiser un mot de passe associé à un compte administrateur ESET PROTECT intégré : 1. Ouvrez Programmes et fonctionnalités (exécutez appwiz.cpl), trouvez le serveur ESET PROTECT et cliquez à l'aide du bouton droit sur ce dernier. 2. Sélectionnez Modifier dans le menu contextuel. 3. Sélectionnez Réparer. 4. Spécifiez les détails de connexion de la base de données. 5. Sélectionnez Utiliser une base de données existante. 6. Décochez l'option Utiliser un mot de passe déjà stocké dans la base de données et entrez le nouveau mot de passe. 7. Connectez-vous à la console Web ESET PROTECT avec votre nouveau mot de passe. Remarque Il est vivement recommandé de créer d'autres comptes avec des droits d'accès spécifiques en fonction des compétences souhaitées pour un compte. 183 Comment puis-je changer les ports du serveur ESET PROTECT et de la console Web ESET PROTECT? Il est nécessaire de changer le port dans la configuration de votre serveur Web afin d'autoriser les connexions entre le serveur Web et le nouveau port. Pour ce faire, suivez les étapes indiquées ci-dessous : 1. Fermez votre serveur Web 2. Modifiez le port dans la configuration de votre serveur Web. a)Ouvrez le fichier webapps/era/WEBINF/classes/sk/eset/era/g2webconsole/server/modules/config/EraWebServerConfig.properties b)Définissez le numéro du nouveau port, (par exemple, server_port=44591) 3. Démarrez le serveur Web à nouveau. Puis-je mettre à niveau ERA v.5 vers ESET PROTECT8 directement à l'aide du programme d'installation tout en un? La mise à niveau directe n'est pas prise en charge; Voir Migration à partir de ERA 5.x. Je reçois des messages d'erreur ou j'ai des problèmes avec ESET PROTECT, que dois-je faire? Consultez la FAQ de dépannage. Contrat de licence d'utilisateur final IMPORTANT : Veuillez lire soigneusement les conditions d’application du produit stipulées ci-dessous avant de télécharger, d’installer, de copier ou d’utiliser le produit. EN TÉLÉCHARGEANT, EN INSTALLANT, EN COPIANT OU EN UTILISANT LE LOGICIEL, VOUS ACCEPTEZ CES CONDITIONS AINSI QUE LA POLITIQUE DE CONFIDENTIALITÉ. Contrat de licence de l'utilisateur final Selon les conditions du présent Contrat de licence d’utilisateur final (ci-après dénommé « Contrat ») signé par et entre ESET, spol. s r. o., dont le siège social se situe au Einsteinova 24, 851 01 Bratislava, Slovak Republic, inscrite au Registre du Commerce du tribunal régional de Bratislava I, Section Sro, Insertion No 3586/B, numéro d’inscription des entreprises : 31 333 535 (ci-après dénommé « ESET » ou « Fournisseur ») et vous, personne physique ou morale, (ci-après dénommé « Vous » ou « Utilisateur final »). Vous êtes autorisé à utiliser le Logiciel défini à l’Article 1 du présent Contrat. Le Logiciel défini à l’article 1 du présent Contrat peut être enregistré sur un support de données, envoyé par courriel, téléchargé sur Internet, téléchargé à partir de serveurs du Fournisseur ou obtenu à partir d’autres sources, sous réserve des modalités et conditions précisées ci-dessous. CE DOCUMENT N’EST PAS UN CONTRAT D’ACHAT, MAIS UN ACCORD LIÉ AUX DROITS DE L’UTILISATEUR FINAL. Le Fournisseur reste le propriétaire de la copie du Logiciel et du support physique fourni dans l’emballage commercial, et de toutes les copies du Logiciel que l’Utilisateur final est autorisé à faire dans le cadre du présent Contrat. En cliquant sur « J’accepte » ou « J’accepte... » lorsque vous téléchargez, copiez ou utilisez le Logiciel, vous acceptez les conditions du présent Contrat. Si vous n’êtes pas d’accord avec toutes les conditions du présent 184 Contrat, cliquez immédiatement sur l'option d'annulation, annulez le téléchargement, détruisez ou renvoyez le Logiciel, le support d’installation, la documentation accompagnante et une facture au Fournisseur ou à l’endroit où vous avez obtenu le Logiciel. VOUS RECONNAISSEZ QUE VOTRE UTILISATION DU LOGICIEL INDIQUE QUE VOUS AVEZ LU ET COMPRIS LE PRÉSENT CONTRAT ET ACCEPTÉ D'EN RESPECTER LES CONDITIONS. 1. Logiciel. Dans le présent Contrat, le terme « Logiciel » désigne : (i) le programme informatique accompagné du présent Contrat et de toutes ses composantes; (ii) tous les contenus sur les disques, CD-ROM, DVD, courriels ou tout autre fichier joint, ou sur tout autre support avec lequel ce Contrat est fourni, incluant la forme du code objet du Logiciel fourni sur un support de données, par courriel ou téléchargement sur Internet; (iii) tout matériel d’explication écrit ou toute autre documentation éventuelle en lien avec le logiciel, surtout toute description du Logiciel, ses spécifications, toute description des propriétés ou de l’opération du Logiciel, toute description de l’environnement d’exécution dans lequel le Logiciel est utilisé, les instructions d’utilisation ou d’installation du Logiciel ou toute description sur la manière d’utiliser le Logiciel (nommé ci-après « Documentation »; (iv) les copies du Logiciel, les retouches d’erreur possibles dans le Logiciel, les ajouts au Logiciel, les extensions au Logiciel, les versions modifiées du Logiciel et les mises à jour des composants du Logiciel, s'il y a lieu, pour lesquels vous avez obtenu une licence du Fournisseur, en vertu de l’Article 3 de ce Contrat. Le Logiciel doit être fourni exclusivement sous forme de code objet exécutable. 2. Installation, ordinateur et clé de licence. Les logiciels fournis sur un support de données, envoyés par courrier électronique, téléchargés à partir d'Internet, téléchargés à partir des serveurs du fournisseur ou obtenus à partir d'autres sources nécessitent une installation. Vous devez installer le logiciel sur un ordinateur correctement configuré, en respectant au moins les exigences définies dans la documentation. La méthodologie d'installation est décrite dans la documentation. Aucun programme informatique ou matériel pouvant avoir un effet négatif sur le logiciel ne peut être installé sur l'ordinateur sur lequel vous installez le logiciel. Ordinateur désigne le matériel, y compris mais sans se limiter aux ordinateurs personnels, aux ordinateurs portables, aux postes de travail, aux ordinateurs de poche, aux téléphones intelligents, aux appareils électroniques portatifs ou à d'autres appareils électroniques pour lesquels le Logiciel est conçu, sur lequel il sera installé et/ou utilisé. Clé de licence désigne la séquence unique de symboles, de lettres, de chiffres ou de signes spéciaux fournie à l'utilisateur final afin de permettre l'utilisation légale du logiciel, sa version spécifique ou l'extension de la durée de la licence conformément au présent contrat. 3. Licence. Sous réserve du fait que vous ayez accepté les conditions du présent Contrat et que vous respectiez toutes les modalités stipulées dans le présent Contrat, le Fournisseur vous accorde les droits suivants (ci-après dénommé « Licence ») : a) Installation et utilisation. Vous détenez un droit non exclusif et non transférable d’installer le Logiciel sur le disque dur d’un ordinateur ou sur un support similaire de stockage permanent de données, d’installer et de stocker le Logiciel dans la mémoire d’un système informatique et d’exécuter, de stocker et d’afficher le Logiciel. b) Précision du nombre de licences. Le droit d’utiliser le Logiciel est lié au nombre d’Utilisateurs finaux. On entend par « un Utilisateur final » : (i) l’installation du Logiciel sur un seul système informatique, ou (ii) si l’étendue de la Licence est liée au nombre de boîtes aux lettres, un Utilisateur final désigne un utilisateur d’ordinateur qui reçoit du courriel par le biais d’un agent d'utilisateur (ci-après dénommé « AU »). Si l'AU accepte du courriel et le distribue automatiquement par la suite à plusieurs utilisateurs, le nombre d’Utilisateurs finaux doit être déterminé en fonction du nombre réel d’utilisateurs auxquels le courriel est distribué. Si un serveur de messagerie joue le rôle de passerelle de courriel, le nombre d’Utilisateurs finaux est égal au nombre d'utilisateurs du serveur de messagerie pour lesquels la passerelle fournit des services. Si un certain nombre d’adresses de messagerie sont affectées à un seul et même utilisateur (par l’intermédiaire d’alias) et que ce dernier les accepte et si les courriels ne sont pas distribués automatiquement du côté du client à d’autres utilisateurs, la Licence n’est requise que pour un seul ordinateur. Vous ne devez pas utiliser la même Licence au même moment sur plusieurs ordinateurs. L'utilisateur final est autorisé à entrer la clé de licence du logiciel uniquement dans la mesure où il a le droit d'utiliser le logiciel conformément à la limitation découlant du nombre de licences accordées par le fournisseur. La clé de licence est réputée confidentielle. Vous ne devez pas partager la licence avec des tiers ni permettre à des tiers d'utiliser la clé de licence, sauf autorisation du présent accord ou du fournisseur. Si votre clé de licence est compromise, informez le fournisseur immédiatement. c) Version Business Edition. Une version Business Edition du Logiciel est requise pour utiliser le Logiciel sur des 185 serveurs de messagerie, relais de courrier, passerelles de courrier ou passerelles Internet. d) Durée de la Licence. Le droit d’utiliser le Logiciel est limité dans le temps. e) Logiciel acheté à un fabricant d’équipement informatique. La Licence du Logiciel acheté à un fabricant d’équipement informatique ne s’applique qu’à l’ordinateur avec lequel vous l’avez obtenu. Elle ne peut pas être transférée à un autre ordinateur. f) Version d’évaluation ou non destinée à la revente. Un Logiciel classé comme non destiné à la revente ou comme version d’évaluation ne peut pas être vendu et ne doit être utilisé qu’aux fins de démonstration ou d’évaluation des caractéristiques du Logiciel. g) Résiliation de la Licence. La Licence expire automatiquement à la fin de la période pour laquelle elle a été accordée. Si vous ne respectez pas les dispositions du présent Contrat, le Fournisseur est en droit de mettre fin au Contrat, sans renoncer à tout droit ou recours juridique ouvert au Fournisseur dans de tels cas. En cas d’annulation du présent Contrat, vous devez immédiatement supprimer, détruire ou renvoyer à vos frais le Logiciel et toutes les copies de sauvegarde à ESET ou à l’endroit où vous avez obtenu le Logiciel. Lors de la résiliation de la licence, le fournisseur aura également le droit d'annuler le droit de l'utilisateur final d'utiliser les fonctions du logiciel, qui nécessitent une connexion aux serveurs du fournisseur ou à des serveurs tiers. 4. Fonctions avec collecte de données et nécessitant une connexion Internet. Pour fonctionner correctement, le logiciel nécessite une connexion à Internet et doit se connecter à intervalles réguliers aux serveurs du fournisseur ou à des serveurs tiers aux fins de collecte de données applicables conformément à la politique de confidentialité. La connexion à Internet et aux fins de collecte de données applicable sont nécessaires pour les fonctions suivantes du Logiciel : a) Mises à jour du Logiciel. Le Fournisseur est autorisé à émettre des mises à jour du Logiciel (« Mises à jour ») de temps à autre, mais n’en a pas l’obligation. Cette fonction est activée dans la configuration standard du Logiciel; les Mises à jour sont donc installées automatiquement, sauf si l’Utilisateur final a désactivé l’installation automatique des Mises à jour. Aux fins de fourniture des mises à jour, la vérification de l'authenticité de la licence est requise, y compris les informations sur l'ordinateur et/ou la plate-forme sur laquelle le logiciel est installé tout en respectant la politique de confidentialité. b) Transfert des informations au Fournisseur. Le Logiciel contient des fonctions qui collectent des données sur le processus d'installation, l'ordinateur et/ou la plate-forme sur laquelle le Logiciel est installé, des informations sur les opérations et les fonctionnalités du Logiciel et des informations sur les périphériques gérés (ci-après appelé « Informations ») puis les envoient au fournisseur. Les informations peuvent contenir des données (y compris des données personnelles obtenues de manière aléatoire ou accidentelle) concernant des dispositifs gérés. En activant cette fonction du Logiciel, les Renseignements peuvent être collectées et traités par le Fournisseur comme spécifié dans la Politique de confidentialité et conformément à la réglementation juridique pertinente. Le logiciel nécessite un composant installé sur l'ordinateur géré, ce qui permet le transfert d'informations entre l'ordinateur géré et le logiciel de gestion à distance. Les informations, qui sont sujettes au transfert, contiennent des données de gestion telles que les informations matérielles et logicielles de l'ordinateur géré et des instructions de gestion provenant du logiciel de gestion à distance. D'autres contenus des données transférées de l'ordinateur géré dépendent des paramètres du logiciel installé sur l'ordinateur géré. Le contenu des instructions du logiciel de gestion doit être déterminé par les paramètres du logiciel de gestion à distance. Aux fins du présent contrat, il est nécessaire de collecter, de traiter et de stocker les données permettant au fournisseur de vous identifier conformément à la politique de confidentialité. Vous reconnaissez par la présente que le Fournisseur vérifie, en utilisant ses propres moyens, si vous utilisez le Logiciel conformément aux dispositions du présent Contrat. Vous reconnaissez par la présente qu'aux fins du présent Contrat, il est nécessaire que vos données soient transférées pendant la communication entre le Logiciel et les systèmes informatiques du Fournisseur ou de ses partenaires commerciaux dans le cadre du réseau de distribution et d'asssitance du Fournisseur afin d'assurer le bon fonctionnement du logiciel et l'autorisation d'utiliser le logiciel ainsi que la protection des droits du fournisseur. Après la conclusion du présent accord, le Fournisseur ou l'un de ses partenaires faisant partie du réseau de distribution et d'assistance du Fournisseur aura le droit de transférer, de traiter et de stocker les données 186 essentielles vous identifiant à des fins de facturation, d'exécution du contrat et de transmission de notifications. Vous acceptez par la présente de recevoir des notifications et des messages, y compris, mais sans s'y limiter, des informations marketing. Vous trouverez des informations détaillées sur la confidentialité, la protection des données personnelles et vos droits en tant que personne concernée dans la politique de confidentialité, disponible sur le site Web du Fournisseur et accessible directement depuis le processus d'installation. Vous pouvez également le visiter à partir de la section d'aide du logiciel. 5. Exercice des droits de l’Utilisateur final. Vous devez exercer les droits de l’Utilisateur final en personne ou par l’intermédiaire de vos employés. Vous n’êtes autorisé à utiliser le Logiciel que pour assurer la sécurité de vos opérations et protéger les systèmes informatiques pour lesquels vous avez obtenu une Licence. 6. Limitations aux droits. Vous ne pouvez pas copier, distribuer, extraire des composants ou créer des travaux dérivés basés sur le Logiciel. Vous devez respecter les restrictions suivantes lorsque vous utilisez le Logiciel : a) Vous pouvez effectuer une copie de sauvegarde archivée du Logiciel sur un support de stockage permanent, à condition que cette copie de sauvegarde archivée ne soit pas installée ni utilisée sur un autre ordinateur. Toutes les autres copies que vous pourriez faire du Logiciel seront considérées comme une violation du présent Contrat. b) Vous n’êtes pas autorisé à utiliser, à modifier, à traduire, à reproduire ou à transférer les droits d’utilisation du Logiciel ou des copies du Logiciel d’aucune manière autre que celles prévues dans le présent Contrat. c) Vous ne pouvez pas vendre, concéder en sous-licence, louer à bail ou louer le Logiciel ou utiliser le Logiciel pour offrir des services commerciaux. d) Vous ne pouvez pas désosser, décompiler ou désassembler le Logiciel ni tenter de toute autre façon de découvrir le code source du Logiciel, sauf dans la mesure où cette restriction est expressément interdite par la loi. e) Vous acceptez de n’utiliser le Logiciel que de façon conforme à toutes les lois applicables de la juridiction dans laquelle vous utilisez le Logiciel, notamment les restrictions applicables relatives aux droits d’auteur et aux droits de propriété intellectuelle. f) Vous convenez de n’utiliser le logiciel et ses fonctionnalités que de façon à ne pas limiter la possibilité, pour les autres utilisateurs finaux, d’accéder à ces services. Le Fournisseur se réserve le droit de limiter la portée des services fournis à certains utilisateurs finaux pour en permettre l’utilisation par le plus grand nombre possible d’utilisateurs finaux. Limiter la portée des services fournis signifie aussi pouvoir mettre fin à la possibilité d’utiliser l’une des fonctionnalités du logiciel et supprimer les données et informations stockées sur les serveurs du Fournisseur ou de tiers relativement à une fonctionnalité spécifique du logiciel. g) Vous acceptez de ne pas exercer d'activités impliquant l'utilisation de la clé de licence, contrairement aux termes du présent Contrat ou conduisant à fournir une clé de licence à toute personne qui n'a pas le droit d'utiliser le logiciel, comme le transfert de clé de licence sous quelque forme que ce soit, ainsi que la reproduction non autorisée ou la distribution de clés de licence dupliquées ou générées ou l'utilisation du logiciel suite à l'utilisation d'une clé de licence obtenue d'une source autre que le fournisseur. 7. Droits d’auteur. Le Logiciel et tous les droits inclus, notamment les droits d’auteur et les droits de propriété intellectuelle sont la propriété d’ESET et/ou de ses concédants de licence. Ils sont protégés par les dispositions des traités internationaux et par toutes les lois nationales applicables dans le pays où le Logiciel est utilisé. La structure, l’organisation et le code du Logiciel sont des secrets commerciaux importants et des informations confidentielles appartenant à ESET et/ou à ses concédants de licence. Vous n’êtes pas autorisé à copier le Logiciel, sauf dans les exceptions précisées en 6 (a). Toutes les copies que vous êtes autorisé à faire en vertu du présent Contrat doivent contenir les mentions relatives aux droits d’auteur et de propriété qui apparaissent sur le Logiciel. Si vous désossez, décompilez ou désassemblez le Logiciel ou tentez de toute autre façon de découvrir le code source du Logiciel, en violation des dispositions du présent Contrat, vous acceptez que les données ainsi obtenues doivent être automatiquement et irrévocablement transférées au Fournisseur dans leur totalité, dès que de telles données sont connues, indépendamment des droits du Fournisseur relativement à la violation du présent Contrat. 8. Réservation de droits. Le Fournisseur se réserve tous les droits sur le Logiciel, à l’exception des droits qui 187 vous sont expressément garantis en vertu des conditions du présent Contrat en tant qu’Utilisateur final du Logiciel. 9. Versions multilingues, logiciel sur plusieurs supports, multiples copies. Si le Logiciel est utilisé sur plusieurs plateformes et en plusieurs langues, ou si vous recevez plusieurs copies du Logiciel, vous ne pouvez utiliser le Logiciel que pour le nombre de systèmes informatiques ou de versions pour lesquels vous avez obtenu une Licence. Vous ne pouvez pas vendre, louer à bail, louer, concéder en sous-licence, prêter ou transférer des versions ou des copies du Logiciel que vous n’utilisez pas. 10. Début et fin du Contrat. Ce Contrat entre en vigueur à partir du jour où vous en acceptez les modalités. Vous pouvez résilier ce Contrat à tout moment en désinstallant de façon permanente, détruisant et renvoyant, à vos frais, le Logiciel, toutes les copies de sauvegarde et toute la documentation associée fournie par le Fournisseur ou ses partenaires commerciaux. Quelle que soit la façon dont ce Contrat se termine, les dispositions énoncées aux articles 7, 8, 11, 13, 19 et 21 continuent de s’appliquer pour une durée illimitée. 11. DÉCLARATIONS DE L’UTILISATEUR FINAL. EN TANT QU’UTILISATEUR FINAL, VOUS RECONNAISSEZ QUE LE LOGICIEL EST FOURNI « EN L’ÉTAT », SANS AUCUNE GARANTIE D’AUCUNE SORTE, QU’ELLE SOIT EXPRESSE OU IMPLICITE, DANS LA LIMITE PRÉVUE PAR LA LOI APPLICABLE. NI LE FOURNISSEUR, NI SES CONCÉDANTS DE LICENCE, NI SES FILIALES, NI LES DÉTENTEURS DE DROIT D’AUTEUR NE FONT UNE QUELCONQUE DÉCLARATION OU N’ACCORDENT DE GARANTIE EXPRESSE OU IMPLICITE QUELCONQUE, NOTAMMENT DES GARANTIES DE VENTE, DE CONFORMITÉ À UN OBJECTIF PARTICULIER OU SUR LE FAIT QUE LE LOGICIEL NE PORTE PAS ATTEINTE À DES BREVETS, DROITS D’AUTEURS, MARQUES OU AUTRES DROITS DÉTENUS PAR UN TIERS. NI LE FOURNISSEUR NI AUCUN AUTRE TIERS NE GARANTIT QUE LES FONCTIONS DU LOGICIEL RÉPONDRONT À VOS ATTENTES OU QUE LE FONCTIONNEMENT DU LOGICIEL SERA CONTINU ET EXEMPT D’ERREURS. VOUS ASSUMEZ L’ENTIÈRE RESPONSABILITÉ ET LES RISQUES LIÉS AU CHOIX DU LOGICIEL POUR L’OBTENTION DES RÉSULTATS ESCOMPTÉS ET POUR L’INSTALLATION, L’UTILISATION ET LES RÉSULTATS OBTENUS. 12. Aucune obligation supplémentaire. À l’exception des obligations mentionnées explicitement dans le présent Contrat, aucune obligation supplémentaire n’est imposée au Fournisseur et à ses concédants de licence. 13. LIMITATION DE GARANTIE. DANS LA LIMITE MAXIMALE PRÉVUE PAR LES LOIS APPLICABLES, LE FOURNISSEUR, SES EMPLOYÉS OU SES CONCÉDANTS DE LICENCE NE SERONT EN AUCUN CAS TENUS POUR RESPONSABLES D’UNE QUELCONQUE PERTE DE PROFIT, REVENUS, VENTES, DONNÉES, OU DES FRAIS D’OBTENTION DE BIENS OU SERVICES DE SUBSTITUTION, DE DOMMAGE MATÉRIEL, DOMMAGE PHYSIQUE, INTERRUPTION D’ACTIVITÉ, PERTE DE DONNÉES COMMERCIALES, OU DE TOUT DOMMAGE DIRECT, INDIRECT, FORTUIT, ÉCONOMIQUE, DE GARANTIE, PUNITIF, SPÉCIAL OU CORRÉLATIF, QUELLE QU’EN SOIT LA CAUSE ET QUE CE DOMMAGE DÉCOULE D’UNE RESPONSABILITÉ CONTRACTUELLE, DÉLICTUELLE OU D’UNE NÉGLIGENCE OU DE TOUTE AUTRE THÉORIE DE RESPONSABILITÉ, LIÉE À L’INSTALLATION, À L’UTILISATION OU À L’IMPOSSIBILITÉ D’UTILISER LE LOGICIEL, MÊME SI LE FOURNISSEUR OU SES CONCÉDANTS DE LICENCE ONT ÉTÉ AVERTIS DE L’ÉVENTUALITÉ D’UN TEL DOMMAGE. CERTAINS PAYS ET CERTAINES LOIS N’AUTORISANT PAS L’EXCLUSION DE RESPONSABILITÉ, MAIS AUTORISANT LA LIMITATION DE RESPONSABILITÉ, LA RESPONSABILITÉ DU FOURNISSEUR, DE SES EMPLOYÉS OU DE SES CONCÉDANTS DE LICENCE SERA LIMITÉE AU MONTANT QUE VOUS AVEZ PAYÉ POUR LA LICENCE. 14. Aucune disposition du présent Contrat ne porte atteinte aux droits accordés par la loi de toute partie agissant comme client si l’exécution y est contraire. 15. Assistance technique. ESET ou des tiers mandatés par ESET fourniront une assistance technique à leur discrétion, sans garantie ni déclaration solennelle. L’Utilisateur final devra peut-être sauvegarder toutes les données, logiciels et programmes existants avant que l’assistance technique ne soit fournie. ESET et/ou les tiers mandatés par ESET ne seront en aucun cas tenus responsables d’un quelconque dommage ou d’une quelconque perte de données, de biens, de logiciels ou de matériel, ou d’une quelconque perte de profit en raison de la fourniture de l’assistance technique. ESET et/ou les tiers mandatés par ESET se réservent le droit de décider si l’assistance technique couvre la résolution du problème. ESET se réserve le droit de refuser, de suspendre l’assistance technique ou d’y mettre fin à sa discrétion. Des informations de licence ainsi que des informations et d'autres données conformes à la politique de confidentialité peuvent être exigées aux fins de l'assistance technique. 16. Transfert de Licence. Le Logiciel ne peut pas être transféré d’un système informatique à un autre, à moins d’une précision contraire dans les modalités du présent Contrat. L’Utilisateur final n’est autorisé qu’à transférer de 188 façon définitive la Licence et tous les droits accordés par le présent Contrat à un autre Utilisateur final avec l’accord du Fournisseur, si cela ne s’oppose pas aux modalités du présent Contrat et dans la mesure où (i) l’Utilisateur final d’origine ne conserve aucune copie du Logiciel; (ii) le transfert des droits est direct, c’est-à-dire qu’il s’effectue directement de l’Utilisateur final original au nouvel Utilisateur final; (iii) le nouvel Utilisateur final assume tous les droits et devoirs de l’Utilisateur final d’origine en vertu du présent Contrat; (iv) l’Utilisateur final d’origine transmet au nouvel Utilisateur final toute la documentation permettant de vérifier l’authenticité du Logiciel, conformément à l’article 17. 17. Vérification de l’authenticité du Logiciel. L’Utilisateur final peut démontrer son droit d’utilisation du Logiciel de l’une des façons suivantes : (i) au moyen d’un certificat de Licence émis par le Fournisseur ou un tiers mandaté par le Fournisseur; (ii) au moyen d’un Contrat de Licence écrit, si un tel contrat a été conclu; (iii) en soumettant un courriel envoyé par le Fournisseur contenant les renseignements sur la Licence (nom d’utilisateur et mot de passe). Les informations de licence et les données d'identification de l'utilisateur final peuvent être requises conformément à la politique de confidentialité aux fins de vérification de l'authenticité du logiciel. 18. Licence pour les pouvoirs publics et le gouvernement des États-Unis. Le Logiciel est fourni aux pouvoirs publics, y compris le gouvernement des États-Unis, avec les droits de Licence et les restrictions mentionnés dans le présent Contrat. 19. Conformité aux contrôles à l'exportation. a) Vous ne devez pas, directement ou indirectement, exporter, réexporter, transférer ni donner accès au logiciel de quelque manière que ce soit à toute personne, ni l'utiliser de quelque manière que ce soit, ni être impliqué dans un acte qui pourrait avoir pour conséquence qu'ESET ou ses sociétés holding, ses filiales et les filiales de ses sociétés holding, ainsi que les entités contrôlées par ses sociétés holding (ci-après dénommées « affiliés ») violent les lois sur le contrôle à l'exportation ou en subissent des conséquences négatives, ce qui comprend : i. toute loi qui contrôle, restreint ou impose des exigences de licence pour l'exportation, la réexportation ou le transfert de biens, de logiciels, de technologies ou de services, émise ou adoptée par un gouvernement, un État ou un organisme de réglementation des États-Unis d'Amérique, de Singapour, du Royaume-Uni, de l'Union européenne ou de l'un de ses États membres, ou de tout pays dans lequel des obligations au titre de l'accord doivent être exécutées, ou dans lequel ESET ou l'une de ses sociétés affiliées sont constituées ou exercent leurs activités (ci-après dénommées « lois sur le contrôle des exportations ») et ii. toute sanction, restriction, embargo, interdiction d'importation ou d'exportation, interdiction de transfert de fonds ou d'actifs ou de prestation de services, ou mesure équivalente imposée par un gouvernement, un État ou un organisme de réglementation des États-Unis d'Amérique, de Singapour, du Royaume-Uni, de l'Union européenne ou de l'un de ses États membres, ou de tout pays dans lequel des obligations au titre de l'accord doivent être exécutées, ou dans lequel ESET ou l'une de ses sociétés affiliées sont constituées ou exercent leurs activités (ci-après dénommés « lois de sanction »), de nature économique, financière, commerciale ou autre. b) ESET a le droit de suspendre ses obligations au titre des présentes conditions, ou de les résilier avec effet immédiat dans le cas où : i. ESET détermine que, selon son avis raisonnable, l'utilisateur a violé ou est susceptible de violer la disposition de l'article 19.a de l'accord; ou ii. l'utilisateur final et/ou le logiciel deviennent soumis aux lois sur le contrôle des exportations et, en conséquence, ESET détermine que, selon son opinion raisonnable, l'exécution continue de ses obligations en vertu de l'accord pourrait avoir pour conséquence qu'ESET ou ses affiliés violent les lois de contrôle du commerce ou en subissent des conséquences négatives. c) Rien dans l'accord n'est destiné, et rien ne doit être interprété ni compris comme étant destiné à inciter ou à obliger l'une ou l'autre des parties à agir ou à s'abstenir d'agir (ou à accepter d'agir ou de s'abstenir d'agir) d'une manière qui soit incompatible avec les lois de contrôle du commerce applicables, réprimée ou interdite. 20. Avis. Tous les avis, les renvois du Logiciel et la documentation doivent être livrés à : ESET, spol. s r. o., Einsteinova 24, 851 01 Bratislava, Slovak Republic. 189 21. Loi applicable. Le présent Contrat est régi par la loi de la République Slovaque et interprété conformément à celle-ci. L’Utilisateur final et le Fournisseur conviennent que les principes relatifs aux conflits de la loi applicable et la Convention des Nations Unies sur les contrats pour la Vente internationale de marchandises ne s’appliquent pas. Vous acceptez expressément que le tribunal de Bratislava I., Slovaquie, arbitre tout litige ou conflit avec le Fournisseur ou en relation avec votre utilisation du Logiciel, et vous reconnaissez expressément que le tribunal a la juridiction pour de tels litiges ou conflits. 22. Dispositions générales. Si une disposition du présent Contrat s'avère nulle et inopposable, cela n'affectera pas la validité des autres dispositions du présent Contrat. Ces dispositions resteront valables et opposables en vertu des conditions stipulées dans le présent Contrat. En cas de divergence entre les versions linguistiques du présent accord, la version anglaise prévaut. Le présent Contrat ne pourra être modifié que par un avenant écrit et signé par un représentant autorisé du Fournisseur ou une personne expressément autorisée à agir à ce titre en vertu d’un contrat de mandat. Ceci constitue le Contrat total entre le Fournisseur et vous relativement au Logiciel et remplace l'ensemble des précédentes déclarations, discussions, promesses, communications ou publicités concernant le Logiciel. EULA ID: BUS-ESMC-20-01 Politique de confidentialité ESET, spol s.r.o., dont le siège social se situe au Einsteinova 24, 851 01 Bratislava, République Slovaque, inscrite au Registre du Commerce du tribunal régional de Bratislava I, Section Sro, Insertion No 3586/B, numéro d’inscription des entreprises : 31 333 535 en tant que contrôleur de données (« ESET » ou « Nous »), nous souhaitons être transparents en ce qui concerne le traitement des données personnelles et confidentielles de nos clients. Pour atteindre cet objectif, nous publions cette politique de confidentialité dans le seul but d'informer notre client (« utilisateur final » ou « vous ») sur les sujets suivants : • traitement des données personnelles, • confidentialité des données, • Droits de la personne concernée. Traitement des données personnelles Les services fournis par ESET implémentés dans notre produit sont fournis conformément aux termes du contrat de licence d'utilisateur final (« CLUF »), mais certains d'entre eux peuvent nécessiter une attention particulière. Nous aimerions vous fournir plus de détails sur la collecte de données liées à la fourniture de nos services. Nous fournissons divers services décrits dans le CLUF et la documentation du produit, tels que le service de mise à jour / mise à niveau, ESET LiveGrid®, la protection contre l'utilisation abusive des données, l'assistance, etc. À cette fin, nous devons recueillir les renseignements suivants : • La gestion des produits ESET Security nécessite et stocke localement des informations telles que le nom et l'ID de siège, le nom du produit, les informations de licence, les informations d'activation et d'expiration, ainsi que les informations logicielles et matérielles concernant les ordinateurs gérés avec le produit ESET Security installé. Les journaux concernant les activités des produits et des périphériques ESET Security gérés sont collectés et disponibles afin de faciliter la gestion et la supervision des fonctionnalités et des services sans soumission automatique à ESET. • Des renseignements concernant le processus d'installation, y compris la plate-forme sur laquelle notre produit est installé, ainsi que des renseignements sur les opérations et les fonctionnalités de nos produits, telles que les empreintes matérielles, les identifiants d'installation, les crash-dumps, les identifiants de licence, les adresses IP, les adresses MAC et les paramètres de configuration des produits qui peuvent également inclure les périphériques gérés. • Les renseignements relatifs à la licence tels que le numéro de licence et les données personnelles telles que le 190 nom, le prénom, l'adresse, l'adresse de courriel sont nécessaires aux fins de facturation, pour vérifier l'authenticité de la licence et pour fournir nos services. • Les coordonnées et les données contenues dans vos demandes d'assistance peuvent être nécessaires au service d'assistance. En fonction du moyen que vous choisissez pour nous contacter, nous pouvons recueillir votre adresse de courriel, votre numéro de téléphone, les renseignements de licence, les détails du produit et la description de votre dossier d'assistance. Vous pouvez être invité à nous fournir d'autres renseignements tels que les fichiers journaux générés pour faciliter le service d'assistance. • Les données concernant l'utilisation de notre service sont complètement anonymes à la fin de la session. Aucun renseignement permettant d'identifier une personne n'est stocké une fois la session terminée. Confidentialité des données ESET est une société faisant affaire dans le monde entier grâce à des entités affiliées ou des partenaires dans le cadre de son réseau de distribution, de service et d'assistance. Les informations traitées par ESET peuvent être transférées vers et depuis des entités affiliées ou des partenaires aux fins de l'exécution du CLUF, telles que la fourniture de services ou d'assistance ou la facturation. En fonction de votre emplacement et du service que vous choisissez d'utiliser, il est possible que nous transférions vos données vers un pays dans lequel la décision d'adéquation de la Commission européenne n'est pas en vigueur. Même dans ces cas, tout transfert de renseignements est soumis à la réglementation de la législation sur la protection des données et n'a lieu que si cela est nécessaire. Les clauses contractuelles standard, les règles d'entreprise contraignantes ou une autre sauvegarde appropriée doivent être établis sans aucune exception. Nous faisons de notre mieux pour éviter que les données ne soient stockées plus longtemps que nécessaire pendant la fourniture des services dans le cadre du CLUF. Notre période de rétention peut être plus longue que la période de validité de votre licence, juste pour vous donner le temps de la renouveler facilement et sans soucis. Les statistiques minimisées et pseudonymisées ainsi que d'autres données d'ESET LiveGrid® peuvent être traitées ultérieurement à des fins statistiques. ESET met en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté aux risques potentiels. Nous faisons de notre mieux pour assurer la confidentialité, l'intégrité, la disponibilité et la résilience permanentes des systèmes et des services de traitement. Cependant, en cas de violation de données entraînant un risque pour vos droits et libertés, nous sommes prêts à informer l'autorité de surveillance ainsi que les personnes concernées. En tant que personne concernée, vous avez le droit de formuler une réclamation auprès d'une autorité de surveillance. Droits de la personne concernée ESET est soumis à la réglementation des lois slovaques et nous sommes liés par la législation sur la protection des données dans le cadre de l'Union européenne. Sous réserve des conditions fixées par les lois applicables en matière de protection des données, vous bénéficiez des droits suivants en tant que personne concernée : • le droit de demander l'accès à vos données personnelles auprès d'ESET, • le droit à la rectification de vos données personnelles si elles sont inexactes (vous avez également le droit de compléter les données personnelles si elles sont incomplètes), • le droit de demander la suppression de vos données personnelles, • le droit de demander la restriction du traitement de vos données personnelles • le droit de vous opposer au traitement • le droit de déposer une plainte ainsi que • le droit à la portabilité des données. Si vous souhaitez exercer votre droit en tant que personne concernée ou si vous avez une question ou une préoccupation, envoyez-nous un message à l'adresse suivante : 191 ESET, spol. s r.o. Data Protection Officer Einsteinova 24 85101 Bratislava Slovak Republic dpo@eset.sk 192