ENDPOINT SECURITY - Sécurité des points de terminaison SOPHOS - Free user manual and instructions

USER MANUAL ENDPOINT SECURITY SOPHOS

4 Aperçu de la mise à niveau6 5 Préparation à la mise à niveau8 6 Mise à niveau du NAC Manager et de l'Enterprise Console11 7 Dois-je migrer manuellement vers Sophos Update Manager ?21 8 Migration vers Sophos Update Manager22 9 Mise à niveau des logiciels de sécurité sur les systèmes d'extrémité30 10 Vérification des stratégies existantes35 11 Transfert des paramètres du contrôle des périphériques vers la nouvelle stratégie36 12 Configuration des nouvelles fonctions37 13 Résolution des problèmes38 14 Annexe : quels types de mises à jour sont disponibles ?45 15 Support technique47 16 Copyright48 Sophos NAC Manager de la version 3.1 à la version 3.3.

Les composants Enterprise Console et NAC Manager sont installés sur des serveurs différents.

Guide de mise à niveau rapide de Sophos Endpoint Security and Control.

Tous les documents Endpoint Security and Control sont disponibles sur www.sophos.fr/support/docs/Endpoint_Security_Control-all.html.

Ce guide décrit la mise à niveau d'une installation distribuée de l'Enterprise Console et de NAC Manager. L'exemple suivant montre une installation distribuée où : ■

Le serveur d'administration de l'Enterprise Console et le serveur d'applications NAC sont installés sur des ordinateurs différents.

à niveau l'Enterprise Console. Sinon, le NAC Manager sera placé dans un état non pris en charge.

Vérifiez que votre composant de mise à jour existant, EM Library, n'utilise pas de packages qui ne sont plus gérés sur son parent.

Ceci pour s'assurer qu'aucune erreur de migration ne se produise lorsque l'assistant de migration ne parvient pas à trouver un package non existant.

Sauvegardez vos bases de données Enterprise Console et NAC.

Si, pour une quelconque raison, la mise à niveau échoue, il suffit de revenir à l'état précédent de votre système à partir de votre sauvegarde.

5.1 Vérification des paramètres d'EM Library

Pour vérifier qu'EM Library n'utilise pas des packages qui ne sont plus gérés sur son parent : 1. Dans l'Enterprise Console, cliquez sur l'icône Bibliothèques dans la barre d'outils. La fenêtre Sophos EM Library apparaît. La vue Configuration s'ouvre par défaut. 2. Observez le volet “Notifications” (en bas à droite). Si EM Library utilise un package qui n'est plus géré sur le parent, l'avertissement suivant apparaît : Avertissement : vous avez un package en cours d'utilisation qui n'est plus géré sur le parent. Cliquez sur "Select packages" et abonnez-vous à un autre package. 3. Si vous avez un package qui n'est plus géré, abonnez-vous à un autre package contenant une version plus à jour des logiciels ou désabonnez-vous du package si vous ne l'utilisez plus. Pour plus d'informations sur la mise à niveau, reportez-vous à l'article “Comment mettre à niveau vers les nouveaux produits Sophos Endpoint Security and Control” de la base de connaissances (http://www.sophos.fr/support/knowledgebase/article/14844.html).

5.2 Sauvegarde des bases de données NAC

A l'aide de votre SQL Server Management Console, sauvegardez les bases de données

ReportStore et PolicyStore.

Si les bases de données NAC Manager ne sont pas mises à niveau avec succès, ces sauvegardes vous seront nécessaires pour rétablir les informations NAC relatives aux rapports et aux stratégies.

Remarque : le dossier d'installation par défaut de la base de données est C:\Program files\Microsoft SQL Server\MSSQL$SOPHOS. Pour sauvegarder la base de données Enterprise Console : 1. Sur l'ordinateur sur lequel la base de données Enterprise Console est installée, créez un dossier dans lequel vous voulez placer la sauvegarde de la base de données, par exemple, C:\SECBackups. 2. Ouvrez l'invite de commande et naviguez jusqu'au répertoire d'installation Sophos, généralement C:\Program Files\Sophos\Enterprise Console\DB. 3. Tapez la commande au format : BackupDB C:\SECBackups\SOPHOS3.bak Si l'instance de SQL Server n'est pas SOPHOS, exécutez le fichier de commandes accompagné du nom de l'instance de SQL Server, par exemple BackupDB C:\SECBackups\SOPHOS3.bak MySQLServerInstance 4. Exportez la clé de registre suivante : HKLM\SOFTWARE\Sophos\Certification Manager Vous êtes maintenant en mesure de mettre à niveau la Sophos Enterprise Console.

5.3.1 Rétablissement de la base de données Enterprise Console

Si vous avez besoin de rétablir l'instance précédente de l'installation, procédez de la manière suivante : 1. Rétablissez l'instance que vous utilisez de la base de données. L'instance par défaut de SQL Server est SOPHOS. a) Sur l'ordinateur sur lequel la base de données Enterprise Console est installée, ouvrez l'invite de commande et naviguez jusqu'au répertoire d'installation Sophos, généralement C:\Program Files\Sophos\Enterprise Console\DB. b) Saisissez la commande au format : RestoreDB C:\SECBackups\SOPHOS3.bak Si l'instance de SQL Server n'est pas SOPHOS, exécutez le fichier de commandes accompagné du nom de l'instance de SQL Server, par exemple RestoreDB C:\SECBackups\SOPHOS3.bak MySQLServerInstance

4. Téléchargez le programme d'installation du NAC Manager.

5. Téléchargez le programme d'installation de Sophos Compliance Dissolvable Agent. 6. Assurez-vous que les programmes d'installation sont à un emplacement accessible depuis les serveurs sur lesquels vous souhaitez installer les logiciels. Autrement, copiez-les sur un CD-ROM ou sur un DVD.

6.2 Mise en mode maintenance de NAC Pour mettre NAC en mode maintenance, utilisez l'outil Maintenance Mode.

Depuis l'invite de commande sur le serveur d'applications NAC, allez dans le répertoire

Program Files\Sophos\NAC\Support Tools, puis tapez : 1. Ouvrez une session en tant qu'administrateur ou qu'administrateur de domaine, selon votre choix, sur l'ordinateur sur lequel les bases de données sont installées. 2. Recherchez le programme d'installation du NAC Manager que vous avez téléchargé auparavant et cliquez deux fois dessus. Un assistant d'installation se lance. 3. 4. 5. Sur la page Select Features, sélectionnez l'option Advanced. Dessélectionnez toutes les cases à cocher et sélectionnez la case Sophos NAC Databases. Cliquez sur Next. Si vous souhaitez changer le répertoire dans lequel sont installés les scripts qui créent les bases de données NAC, cliquez sur Browse. Si vous souhaitez changer l'instance du serveur SQL qui sera utilisée par NAC, cliquez sur Select. Le bouton Select apparaît uniquement lorsque le programme d'installation de NAC détecte plusieurs instances de SQL Server.

Vous avez créé ce compte de service sur le contrôleur de domaine dans le cadre de l'installation initiale de Sophos NAC.

8. Saisissez les détails de votre compte de téléchargement Sophos dans les champs appropriés. Cliquez sur Next. Le nom utilisateur et le mot de passe saisis au cours de l'installation de NAC doivent correspondre à ceux qui vous ont été fournis par Sophos. En cas de saisie incorrecte au cours de l'installation de NAC, vous avez la possibilité de les corriger sur la page Download Account Details du NAC Manager. 9. Dans la boîte de dialogue Ready to Install, cliquez sur Install pour commencer l'installation. Les bases de données NAC sont configurées et une barre de progression de l'installation apparaît. Une partie de l'installation peut durer plusieurs minutes au cours desquelles il se peut que l'indicateur de progression ne bouge pas. N'annulez pas l'installation et celle-ci continuera à progresser. 10. Cliquez sur Finish une fois l'installation terminée. Important : si une erreur d'installation se produit ou si la mise à niveau des bases de données NAC échoue, reportez-vous à la section Résolution des problèmes à la page 38.

6.4 Dois-je installer SQL Server 2005 Express Edition manuellement ?

Votre SQL Server sera mis à niveau automatiquement si : ■ Votre version existante de SQL Server ne changera pas si : ■

Vous utilisez SQL Server 2005 ou supérieur.

Si c'est le cas, installez SQL Server 2005 Express Edition sur l'ordinateur sur lequel la base de données Enterprise Console est installée. Vous pouvez télécharger SQL Server 2005 Express

Edition depuis le site Web de Microsoft.

Guide de mise à niveau avancée de Sophos Endpoint Security and Control, version 9

Sophos conseille donc de se mettre à niveau à ce produit.

6.5 Mise à niveau de la base de données Enterprise Console

Pour mettre à niveau la base de données Enterprise Console : 1. Ouvrez une session en tant qu'administrateur ou qu'administrateur de domaine, selon votre choix, sur l'ordinateur sur lequel la base de données est installée. 2. Fermez toutes les applications Sophos ouvertes. 3. Recherchez le programme d'installation de l'Enterprise Console que vous avez téléchargé auparavant et cliquez deux fois dessus. 4. Suivez les instructions de l'assistant Sophos Enterprise Console InstallShield Wizard. 5. Lorsqu'on vous le demande, choisissez si vous voulez charger la base de données maintenant ou ultérieurement (par exemple, si vous voulez prévisualiser les scripts avant de les exécuter sur votre base de données). ■

Charger la base de données maintenant - sélectionnez cette option si vous souhaitez que le programme d'installation crée des tableaux et des procédures stockées dans la base de données.

■ Charger la base de données ultérieurement - sélectionnez cette option pour créer des scripts que vous utiliserez pour charger la base de données ultérieurement. Les fichiers script vont être créés dans votre répertoire d'installation, généralement il s'agit de C:\Program Files\Sophos\Enterprise Console\DB. 6. Sur la page Prêt à l'installation de l'assistant, cliquez sur Installer. Une nouvelle base de données SOPHOS4 est installée au côté de l'ancienne base de données. La nouvelle base de données ne contient pas encore de données. Le serveur d'administration continue à utiliser l'ancienne base de données. Si vous avez sélectionné Charger la base de données ultérieurement sur la page Chargement de la base de données, procédez à la mise à niveau manuelle de la base de données comme décrit à la section Chargement manuel de la base de données Enterprise Console à la page 15. Si vous avez accepté le paramètre par défaut Charger la base de données maintenant, passez à la section Mise à niveau du serveur d'applications NAC à la page 16. Remarque : si la base de données contient un nombre important d'alertes, il se peut que la console mette un certain temps à afficher les informations sur les ordinateurs administrés lorsque vous la redémarrerez pour la première fois après la mise à niveau.

6.5.1 Chargement manuel de la base de données Enterprise Console

Si vous avez choisi de prévisualiser les scripts de base de données avant de les exécuter sur votre base de données et de charger la base de données ultérieurement, les fichiers script ont été créés dans votre répertoire d'installation, en général C:\Program Files\Sophos\Enterprise

1. Allez sur l'ordinateur sur lequel le serveur d'administration de l'Enterprise Console est installé. Allez dans Panneau de configuration, Outils d'administration, Services et arrêtez le processus Sophos Management Service.

2. Sur l'ordinateur sur lequel vous avez installé la base de données, ouvrez l'Invite de commandes et naviguez jusqu'au répertoire <Lecteur d'installation>:\Program Files\Sophos\Enterprise Console\DB. 3. Trouvez le fichier de commandes InstallDB.bat et exécutez-le. Si l'instance du serveur SQL est nommée SOPHOS, il n'est pas nécessaire de préciser de paramètres. ■

Si l'instance de SQL Server n'est pas SOPHOS, exécutez le fichier de commandes accompagné du nom de l'instance de SQL Server, par exemple

InstallDB.bat MyServer\MySQLInstance Un assistant d'installation se lance. 2. Cliquez sur Install. 3. Dans la page Welcome, cliquez sur Next.

Guide de mise à niveau avancée de Sophos Endpoint Security and Control, version 9

Server. Cliquez sur Next.

Si vous souhaitez changer le répertoire dans lequel sont installés les fichiers NAC Manager, cliquez sur Browse.

5. Saisissez les informations du compte de service dans les champs appropriés. Cliquez sur Next. Il s'agit du compte de domaine standard requis par les bases de données NAC et par le NAC Manager. Les informations de ce compte de service doivent correspondre aux informations du compte de service que vous avez saisies lorsque vous avez mis à nouveau les bases de données NAC. 6. Saisissez le nom du serveur de base de données NAC. Si nécessaire, spécifiez le nom de l'instance de SQL Server (par exemple, SOPHOS). Sinon, le programme d'installation suppose que l'instance de SQL Server est locale. Cliquez sur Next. 7. Si nécessaire, précisez les paramètres du proxy Internet de ce serveur en sélectionnant une option. ■

Si le serveur d'applications NAC et le serveur d'administration Enterprise Console sont installés sur des ordinateurs différents, sélectionnez l'option Use Proxy. Le proxy peut

être le même proxy que celui spécifié dans l'Enterprise Console ou un proxy différent. ■ Si le serveur d'applications NAC et le serveur d'administration Enterprise Console sont installés sur le même ordinateur et si vous utilisez un proxy qui n'est pas spécifié dans l'Enterprise Console, sélectionnez l'option Use Proxy. ■ Si le serveur d'applications NAC et le serveur d'administration Enterprise Console sont installés sur le même ordinateur et si vous utilisez un proxy qui est spécifié dans l'Enterprise Console, sélectionnez l'option Use SEC Proxy Settings. Les champs nom utilisateur, mot de passe et confirmation du mot de passe sont nécessaires seulement lorsque le NAC Manager utilise un proxy authentifié. Cliquez sur Next. 8. Cliquez sur Install pour commencer l'installation. Le NAC Manager est configuré et la progression de l'installation apparaît. Une partie de l'installation peut durer plusieurs minutes au cours desquelles il se peut que l'indicateur de progression ne bouge pas. N'annulez pas l'installation et celle-ci continuera à progresser. 9. Cliquez sur Finish. Si une erreur d'installation se produit, utilisez le journal des événements pour visualiser des informations supplémentaires.

Guide de mise à niveau avancée de Sophos Endpoint Security and Control, version 9

Si vous utilisez l'agent Web, il n'est plus pris en charge et ne fonctionnera pas avec Sophos Endpoint Security and Control version 9. L'agent Web 3.1 ou 3.1.2 peut être mis à niveau à l'agent temporaire de conformité. L'agent temporaire s'adresse aux utilisateurs qui n'ont pas installé ou ne peuvent pas installer d'agent de conformité sur un système d'extrémité, comme les sous-traitants ou les invités. Une fois mis à niveau, les utilisateurs peuvent télécharger l'agent temporaire à l'aide d'un navigateur. Pour plus d'informations sur l'agent temporaire, reportez-vous au Guide de configuration de l'agent de conformité Sophos version 3.3. 1. Recherchez le programme d'installation de l'agent temporaire de conformité Sophos que vous avez téléchargé auparavant et cliquez deux fois dessus. 2. Sur la page Welcome de l'assistant d'installation, cliquez sur Next. 3. Conservez le répertoire par défaut C:\Program Files\Sophos\Sophos Dissolvable Agent ou cliquez sur Change pour sélectionner le répertoire d'installation de votre choix. Cliquez sur Next. 4. Saisissez l'adresse IP ou le nom DNS du serveur Sophos NAC. Remarque : si Sophos NAC a été installé sur plusieurs serveurs, l'adresse du serveur est soit l'adresse IP soit le nom DNS du serveur NAC Manager mais pas le serveur de base de données NAC. Si vous modifiez l'adresse du serveur après avoir installé l'agent temporaire, vous devez réinstaller l'agent temporaire sur le serveur Web et précisez la nouvelle adresse du serveur au cours de l'installation. 5. Sélectionnez la case à cocher Secure Sophos Server (use HTTPS) si vous utilisez HTTPS avec NAC. 6. Cliquez sur Install pour commencer l'installation. 7. Cliquez sur Finish pour finir l'installation. Remarque : ■

En cas d'erreurs lors de l'installation, consultez le journal des événements (Event Log) sur le serveur web pour obtenir plus d'informations.

Remettez NAC en mode production à l'aide de l'outil Mode de maintenance. ■

Depuis l'invite de commande sur le serveur d'applications NAC, allez dans le répertoire

Program Files\Sophos\NAC\Support Tools, puis tapez : Pour mettre à niveau le serveur d'administration Enterprise Console : 1. Ouvrez une session en tant qu'administrateur ou qu'administrateur de domaine, selon votre choix, et sur l'ordinateur sur lequel le serveur d'administration est installé. 2. Fermez toutes les applications Sophos ouvertes. 3. Exécutez le programme d'installation de l'Enterprise Console. 4. Suivez les instructions de l'assistant Sophos Enterprise Console InstallShield Wizard. 5. Sur la page Base de données distante, il vous est demandé de vous assurer que vous avez procédé à la mise à niveau de votre ancienne base de données. Si vous avez procédé à la mise à niveau de la base de données, cliquez sur Suivant. Sinon, reportez-vous à la section Mise à niveau de la base de données Enterprise Console à la page 15. Suite à la mise à niveau de la base de données, une nouvelle base de données SOPHOS4 apparaît dans le répertoire d'installation sur l'ordinateur où est installée la base de données, généralement C:\Program Files\Microsoft SQL Server\MSSQL$SOPHOS\Data\Sophos4.mdf. Important : si vous ne procédez pas d'abord à la mise à niveau de la base de données, aucune donnée ne sera perdue. Toutefois, vous ne serez pas en mesure d'administrer Sophos Endpoint Security and Control depuis la console d'administration. Dès que la base de données est mise à niveau, lancez le processus Sophos Management Service pour achever la mise à niveau. Par la suite, vous serez en mesure d'administrer Sophos Endpoint Security and Control depuis la console. 6. Sur la page Prêt à l'installation, cliquez sur Installer. 7. Une fois la mise à niveau terminée, vous êtes invité à fermer la session ou à redémarrer. Cliquez sur Oui ou sur Terminer. Vous avez maintenant mis à niveau le serveur d'administration de l'Enterprise Console. Lorsque vous rouvrez une session, si EM Library est installé sur un ordinateur différent, l'Assistant de téléchargement des logiciels de sécurité apparaît. Annulez l'assistant et migrez la bibliothèque distante EM Library vers Sophos Update Manager comme le décrit la section Migration vers Sophos Update Manager à la page 22.

6.10 Mise à niveau d'une console distante Enterprise Console

Si vous avez une console d'administration distante, procédez à sa mise à niveau comme décrit ci-dessous. 1. Ouvrez une session en tant qu'administrateur sur l'ordinateur sur lequel la console d'administration distante est installée. 2. Exécutez le programme d'installation de l'Enterprise Console. 3. Suivez les instructions de l'assistant Sophos Enterprise Console InstallShield Wizard. 19

Guide de mise à niveau avancée de Sophos Endpoint Security and Control, version 9

Mise à niveau de la base de données Enterprise Console à la page 15. 5. Sur la page Prêt à l'installation, cliquez sur Installer. 6. Une fois la mise à niveau terminée, vous êtes invité à fermer la session ou à redémarrer. Cliquez sur Oui ou sur Terminer. Le programme d'installation a maintenant mis à niveau la console d'administration distante en conservant vos paramètres. Lorsque vous rouvrez une session, si EM Library est installé sur un ordinateur différent, l'Assistant de téléchargement des logiciels de sécurité apparaît. Annulez l'assistant et migrez la bibliothèque distante EM Library vers Sophos Update Manager comme le décrit la section Migration vers Sophos Update Manager à la page 22.

EM Library et migrer vos paramètres de mise à jour (voir la section suivante).

Guide de mise à niveau avancée de Sophos Endpoint Security and Control, version 9

Dans cette section, on suppose que vous avez précédemment annulé l'Assistant de téléchargement des logiciels de sécurité et que le gestionnaire de mise à jour, qui est toujours installé sur le même ordinateur que l'Enterprise Console, n'est pas configuré. Toutes les stratégies de mise à jour qui existaient avant la mise à niveau sont devenues des stratégies héritées et sont désormais regroupées dans le volet Stratégies sous Mise à jour héritée. EM Library fonctionne comme auparavant la mise à niveau et les systèmes d'extrémité utilisent des stratégies de mise à jour et continuent de se mettre à jour depuis des répertoires d'installation centralisée (CID) gérés par EM Library. Remarque : les ordinateurs NetWare sont une exception. Ces derniers changent automatiquement pour passer à la mise à jour depuis les CID générés par Sophos Update Manager. Pour migrer vers Sophos Update Manager, exécutez ces étapes clés : ■

EM Library et se met à jour depuis Sophos.

Si vous utilisez des bibliothèques supplémentaires, consultez le rapport Hiérarchie des mises à jour pour voir quelles autres bibliothèques ont besoin d'être migrées.

à niveau des logiciels de sécurité sur les systèmes d'extrémité à la page 30. Le schéma suivant montre le processus de migration.

Guide de mise à niveau avancée de Sophos Endpoint Security and Control, version 9

Update Manager sur l'ordinateur où le serveur d'administration de l'Enterprise Console est installé. Il place par ailleurs le programme d'installation de Sophos Update Manager dans le partage SUMInstallSet sur cet ordinateur. Vous pouvez utiliser Windows Remote Desktop pour installer Sophos Update Manager. Pour installer Sophos Update Manager manuellement : 1. Si l'ordinateur où EM Library est installé est protégé par Sophos Anti-Virus administré depuis l'Enterprise Console, désinstallez Sophos Remote Management System. Dans le Panneau de configuration, ouvrez Ajout/Suppression de programmes, recherchez Sophos Remote Management System dans la liste, puis cliquez sur Modifier/Supprimer ou Supprimer. Suivez les instructions de désinstallation du composant. 2. Recherchez le programme d'installation de Sophos Update Manager. Dans l'Enterprise Console, dans le menu Affichage, cliquez sur Emplacement du programme d'installation d'Update Manager. Dans la boîte de dialogue Emplacement du programme d'installation d'Update Manager, notez l'emplacement du programme d'installation. 3. Allez sur l'ordinateur où EM Library est installé et exécutez le programme d'installation. Sinon, utilisez Windows Remote Desktop pour installer Sophos Update Manager sur l'ordinateur. 4. Suivez les instructions de l'assistant Sophos Update Manager InstallShield Wizard. 5. Sur la page Compte Sophos Update Manager, sélectionnez un compte que les systèmes d'extrémité utiliseront pour accéder au partage de mise à jour par défaut créé par le gestionnaire de mise à jour (le partage de mise à jour par défaut est un \\<NomOrdinateur>\SophosUpdate, où NomOrdinateur est le nom de l'ordinateur où le gestionnaire de mise à jour est installé). Ce compte doit avoir les droits en lecture du partage et n'a pas besoin d'avoir des droits administrateur. Vous pouvez sélectionner l'utilisateur par défaut, sélectionner un utilisateur existant ou en créer un nouveau. Par défaut, le programme d'installation créera le compte SophosUpdateMgr avec des droits en lecture du partage de mise à jour par défaut et aucun droit de connexion interactif. 6. Sur la page Détails du compte Sophos Update Manager, selon l'option que vous avez sélectionnée à la page précédente, saisissez un mot de passe pour l'utilisateur par défaut, les détails du nouvel utilisateur ou sélectionnez un compte existant. Le mot de passe du compte doit respecter votre politique d'utilisation des mots de passe. 7. Sur la page Prêt à installer le programme, cliquez sur Installer. 8. Une fois l'installation terminée, cliquez sur Terminer.

Remarque : l'apparition dans l'Enterprise Console du nouveau gestionnaire de mise à jour peut prendre quelques minutes.

Si la migration de vos paramètres de mise à jour d'EM Library vers Sophos Update Manager réussie, le gestionnaire de mise à jour sera configuré sur la base de ces paramètres. Pour voir si le processus de migration a réussi, consultez le rapport de migration du gestionnaire de mise à jour.

8.3 Consultation du rapport de migration du gestionnaire de mise

à jour Allez sur l'ordinateur où l'Enterprise Console est installée. Dans l'Enterprise Console, assurez-vous que vous êtes dans la vue Gestionnaires de mise à jour. Si vous êtes dans la vue Systèmes d'extrémité, dans le menu Affichage, cliquez sur Gestionnaires de mise à jour. Remarque : l'apparition dans l'Enterprise Console du nouveau gestionnaire de mise à jour peut prendre quelques minutes. Ouvrez le rapport de migration du gestionnaire de mise à jour et vérifiez si ce dernier a été configuré avec succès sur la base des paramètres EM Library. Pour consulter le rapport de migration du gestionnaire de mise à jour : 1. Sélectionnez l'ordinateur avec le gestionnaire de mise à jour dont vous voulez consulter le rapport de migration, cliquez avec le bouton droit de la souris, puis cliquez sur Voir le rapport de migration.

Guide de mise à niveau avancée de Sophos Endpoint Security and Control, version 9

Si le gestionnaire de mise à jour principal est celui qui télécharge les mises à jour depuis Sophos, sa source de mise à jour principale doit être Sophos. Pour plus d'instructions sur la sélection d'une source de mise à jour, reportez-vous à la section Sélection d'une source de mise à jour pour le gestionnaire de mise à jour à la page 40.

La planification des mises à jour a été migrée avec succès depuis EM Library (sinon, une planification de mises à jour par défaut aurait été appliquée).

(adresse du serveur principal). Ceci parce que EM Library et Sophos Update Manager utilisent des structures de répertoires de mise à jour différentes et une source d'installation initiale autre que celle par défaut dans la stratégie de mise à jour héritée ne peut pas être identique à un nouveau répertoire de mise à jour.

En fonction du succès ou non de la migration des paramètres de mise à jour :

Si la migration de vos paramètres de mise à jour depuis EM Library s'est déroulée avec succès, le gestionnaire de mise à jour est configuré sur la base de ces paramètres. De nouvelles stratégies de mise à jour, correspondant à celles héritées sont créées, mais les ordinateurs d'extrémité ne les utilise pas encore. Poursuivez la migration comme le décrit la section suivante.

8.4 Configuration du gestionnaire de mise à jour sur l'ordinateur

Enterprise Console L'Enterprise Console ne peut pas protéger le réseau complètement tant que le gestionnaire de mise à jour instalé sur le même ordinateur que le serveur d'administration de l'Enterprise Console est configuré avec une source de mise à jour. Ceci permet à l'Enterprise Console de recevoir les mises à jour nécessaires (par exemple, les informations sur les versions des logiciels de sécurité que les ordinateurs d'extrémité devraient utiliser, les listes de contrôle du contenu nouvelles et mises à jour pour le contrôle des données ou la liste des nouveaux périphériques et applications contrôlés). Pour configurer le gestionnaire de mise à jour : 1. Dans la vue Gestionnaire de mise à jour, sélectionnez l'ordinateur où l'Enterprise Console est installée. Cliquez avec le bouton droit de la souris, puis cliquez sur Voir/Modifier la configuration. 27

Guide de mise à niveau avancée de Sophos Endpoint Security and Control, version 9

2. Dans la boîte de dialogue Configuration du gestionnaire de mise à jour, sur l'onglet

Sources, cliquez sur Ajouter. 3. Dans la boîte de dialogue Détails de la source, cliquez sur la flèche déroulante du champ Adresse et sélectionnez le partage de mise à jour par défaut créé par le gestionnaire de mise à jour qui se met à jour depuis Sophos. Sinon, tapez l'adresse ou cliquez sur Parcourir pour naviguer jusqu'au partage. Le partage de mise à jour par défaut est un partage UNC \\<NomOrdinateur>\SophosUpdate, où NomOrdinateur est le nom de l'ordinateur où le gestionnaire de mise à jour qui se met à jour depuis Sophos est installé. 4. Entrez le nom utilisateur, le mot de passe et les paramètres proxy, selon le cas. Ceci permettra au gestionnaire de mise à jour de télécharger les mises à jour pour l'Enterprise Console. Si vous voulez configurer le gestionnaire de mise à jour sur l'ordinateur Enterprise Console pour la distribution des mises à jour logicielles sur les systèmes d'extrémité, configurez l'abonnement logiciels, la distribution et planifiez les paramètres de la même façon que vous avez configuré ces mêmes paramètres pour le gestionnaire de mise à jour qui se met à jour depuis Sophos. Si vous le souhaitez, vous pouvez changer les paramètres par défaut pour le journal du gestionnaire de mise à jour et la mise à jour automatique. Ce deux opérations s'exécutent respectivement dans les onglets Journalisation et Avancés.

8.5 Migration des bibliothèques gérées supplémentaires

Si vous avez des bibliothèques supplémentaires que vous gérez depuis l'Enterprise Console, migrez leurs paramètres de mise à jour vers Sophos Update Manager. Vous pouvez utiliser le rapport Hiérarchie des mises à jour pour voir une liste des gestionnaires de mise à jour et des bibliothèques sur votre réseau, des partages de mise à jour qu'ils gèrent et le nombre d'ordinateurs qui se mettent à jour depuis ces partages. Pour consulter le rapport, dans le menu Outils, cliquez sur Gérer les rapports. Dans la boîte de dialogue Gestionnaire des rapports, sélectionnez Hiérarchie des mises à jour et cliquez sur Exécuter. Pour migrer les paramètres de mise à jour depuis une bibliothèque supplémentaire, exécutez ces étapes clés :

Vous pouvez, si vous le voulez, vérifier que le ou les nouveau(x) partage(s) de mise à jour sont corrects et sont mis à jour, surtout si vous utilisez un emplacement HTTP (par exemple, un partage de mise à jour web) ou un partage qui n'est pas maintenu par un gestionnaire de mise

à jour administré. Pour tester un partage de mise à jour, procédez à la migration d'un système d'extrémité ou d'un petit groupe d'ordinateurs de test pour effectuer une mise à jour depuis un nouveau gestionnaire de mise à jour en appliquant une stratégie de mise à jour désignant ce partage. 1. Dans la vue Systèmes d'extrémité, dans le volet Groupes, sélectionnez le groupe de test, cliquez avec le bouton droit de la souris et cliquez sur Voir/Modifier les détails de la stratégie du groupe. 2. Dans la boîte de dialogue Détails du groupe, sélectionnez la stratégie de mise à jour qui désigne le partage que vous voulez tester et cliquez sur OK. Les ordinateurs de test vérifient les mises à jour lors de la mise à jour planifiée suivante. 3. Attendez que les ordinateurs aient vérifié les mises à jour. Puis, sur l'onglet Etat, observez la colonne A jour ou allez sur l'onglet Détails de la mise à jour. ■

Si vous voyez “Oui” dans la colonne A jour, les ordinateurs se sont mis à jour avec succès depuis le nouveau partage de mise à jour.

■ Si vous voyez une icône d'horloge, l'ordinateur n'est pas à jour. Le texte indique depuis combien de temps l'ordinateur n'est pas à jour. Pour plus d'informations sur la mise à jour de ces ordinateurs non à jour, reportez-vous à la section “Mise à jour des ordinateurs” dans l'Aide de la Sophos Enterprise Console.

8.7 Application des nouvelles stratégies de mise à jour aux ordinateurs

Pour appliquer une nouvelle stratégie de mise à jour à un groupe d'ordinateurs : 1. Dans la vue Systèmes d'extrémité, dans le volet Groupes, sélectionnez le groupe, cliquez avec le bouton droit de la souris et cliquez sur Voir les stratégies de ce groupe. 2. Dans la boîte de dialogue Détails du groupe, dessélectionnez la case à cocher Mise à jour héritée. Si vous voulez appliquer au groupe une stratégie de mise à jour dont le nom diffère de la stratégie de mise à jour héritée que le groupe utilisait auparavant, sélectionnez une stratégie de mise à jour dans la liste déroulante. Une fois que tous les ordinateurs d'extrémité ont été migrés pour utiliser les nouvelles stratégies de mise à jour gérées par le gestionnaire de mise à jour, désinstallez EM Library. Remarque : l'exécution simultanée d'EM Library et de Sophos Update Manager augmente le trafic réseau. Vous pouvez maintenant utiliser le gestionnaire de mise à jour pour mettre à niveau les logiciels fonctionnant sur vos ordinateurs d'extrémité lorsque vous serez prêt (voir la section suivante). 29

Guide de mise à niveau avancée de Sophos Endpoint Security and Control, version 9

9 Mise à niveau des logiciels de sécurité sur les systèmes d'extrémité

Cette section décrit comment planifier et exécuter une mise à niveau des logiciels de sécurité sur vos systèmes d'extrémité. Les procédures décrites ici mettent à niveau tous les composants logiciels de sécurité sur les systèmes d'extrémité - Sophos Anti-Virus, Sophos Client Firewall, et Sophos NAC Agent (si vous utilisez déjà Sophos Client Firewall et Sophos NAC).

9.1 A propos de la mise à niveau des systèmes d'extrémité

Une fois que vos ordinateurs d'extrémité ont été migrés pour être mis à jour par le gestionnaire de mise à jour, ils utilisent toujours la même version des logiciels pour postes d'extrémité qu'avant la migration. ■

Si vous le souhaitez, vous pouvez continuer à utiliser vos versions existantes de Sophos

Anti-Virus, Sophos Client Firewall et Sophos NAC Agent. Lorsque Sophos s'arrêtera de prendre en charge ces versions, vos ordinateurs seront mis à niveau automatiquement, dans la mesure où vous laissez sélectionnée la case à cocher Mettre automatiquement à niveau la version fixe du logiciel lorsqu'elle n'est plus prise en charge par Sophos dans la boîte de dialogue Abonnement logiciels.

Si vous voulez utiliser pleinement les nouvelles fonctionnalités de l'Enterprise Console, vous pouvez mettre à niveau les logiciels pour systèmes d'extrémité sur vos ordinateurs

Windows 2000 ou supérieur à la nouvelle version des logiciels de sécurité Sophos, Sophos Endpoint Security and Control 9 (voir la section suivante).

9.2 Abonnement aux nouveaux logiciels sur les systèmes d'extrémité

Pour s'abonner aux nouveaux logiciels, vous pouvez effectuer l'une des opérations suivantes : ■

Changer vos abonnements logiciels existants pour télécharger les nouveaux logiciels.

Important : ne mettez pas à niveau vers Sophos Endpoint Security and Control 9 les ordinateurs

Windows 2000 exécutant SP3 ou une version antérieure. La spécification requise minimum pour les logiciels est Windows 2000 avec SP4.

Guide de mise à niveau avancée de Sophos Endpoint Security and Control, version 9

Configurer le gestionnaire de mise à jour pour gérer l'abonnement, c'est-à-dire télécharger les logiciels depuis Sophos et les placer dans des partages réseau à partir desquels les systèmes d'extrémité se mettront à jour.

1. Dans le menu Affichage, cliquez sur Gestionnaires de mise à jour.

2. Dans le volet Abonnements logiciels, cliquez deux fois sur l'abonnement que vous voulez changer. La boîte de dialogue Abonnement logiciels apparaît. 3. Cliquez dans le champ Version près de Windows 2000 et supérieur, puis cliquez de nouveau. Une liste déroulante des versions disponibles apparaît. 4. Sélectionnez le type de mise à jour que vous voulez télécharger pour la version 9 de Sophos Endpoint Security and Control. Normalement, vous devez vous abonner aux versions “Recommandées” pour garantir que vos logiciels sont maintenus à jour automatiquement. Pour savoir quels autres types de mises à jour sont disponibles, reportez-vous à la section Annexe : quels types de mises à jour sont disponibles ? à la page 45. Important : si vous sélectionnez une version fixe, par exemple 9.1.2, Sophos vous conseille de laisser sélectionnée la case à cocher Mettre automatiquement à niveau la version fixe du logiciel lorsqu'elle n'est plus prise en charge par Sophos. L'exécution de logiciels non pris en charge vous laisse non protégés contre les nouvelles menaces de sécurité. La nouvelle version sera téléchargée en fonction de la planification du gestionnaire de mise à jour et vos systèmes d'extrémité seront mis à niveau au cours de la vérification suivante des mises à jour. Si vous voulez télécharger la nouvelle version immédiatement, dans la vue Gestionnaires de mise à jour, sélectionnez le gestionnaire de mise à jour qui gère l'abonnement que vous avez changé, cliquez avec le bouton droit de la souris et cliquez sur Mettre à jour maintenant. Si vous voulez mettre à niveau les ordinateurs immédiatement, attendez que le gestionnaire de mise à jour achève le téléchargement des logiciels (dans la vue Gestionnaires de mise à jour, observez la colonne Statut de téléchargement près du gestionnaire de mise à jour). Dans 31

Guide de mise à niveau avancée de Sophos Endpoint Security and Control, version 9

la vue Systèmes d'extrémité, sélectionnez les ordinateurs dans la liste ou un groupe d'ordinateurs dans le volet Groupes, cliquez avec le bouton droit de la souris et cliquez sur

Mettre les ordinateurs à jour maintenant.

9.2.2 Création d'un nouvel abonnement logiciels

Pour créer un nouvel abonnement logiciels : 1. Dans le menu Affichage, cliquez sur Gestionnaires de mise à jour. 2. Dans le volet Abonnements logiciels, cliquez sur le bouton Ajouter en haut du volet pour créer un nouvel abonnement. La boîte de dialogue Abonnement logiciels apparaît. Sinon, si vous voulez créer une copie d'un abonnement existant, sélectionnez l'abonnement, cliquez dessus avec le bouton droit de la souris et cliquez sur Dupliquer l'abonnement. Saisissez un nouveau nom d'abonnement, puis cliquez deux fois dessus pour ouvrir la boîte de dialogue Abonnement logiciels. 3. Dans la boîte de dialogue Abonnement logiciels, modifiez le nom de l'abonnement, si vous le souhaitez. 4. Cliquez dans le champ Version près de Windows 2000 et supérieur, puis cliquez de nouveau. Une liste déroulante des versions disponibles apparaît. 5. Sélectionnez le type de mise à jour que vous voulez télécharger pour la version 9 de Sophos Endpoint Security and Control. Normalement, il convient de s'abonner aux versions “Recommandées” pour s'assurer que vos logiciels sont maintenus à jour automatiquement. Pour savoir quels autres types de mises à jour sont disponibles, reportez-vous à la section Annexe : quels types de mises à jour sont disponibles ? à la page 45. Important : si vous sélectionnez une version fixe, par exemple 9.1.2, Sophos vous conseille de laisser sélectionnée la case à cocher Mettre automatiquement à niveau la version fixe du logiciel lorsqu'elle n'est plus prise en charge par Sophos. L'exécution de logiciels non pris en charge vous laisse non protégés contre les nouvelles menaces de sécurité. Après avoir créé un nouvel abonnement logiciels, configurez le gestionnaire de mise à jour pour le gérer comme le décrivent les sections suivantes. Ensuite, vous pouvez paramétrer des alertes par courriel d'abonnement, si vous le souhaitez. Pour plus d'informations sur les alertes par courriel d'abonnement, reportez-vous à la rubrique “Configuration des alertes d'abonnement” de la section “Paramétrage des alertes” de l'aide de la Sophos Enterprise Console.

9.3 Ajout d'un abonnement dans le gestionnaire de mise à jour

Si vous avez créé un nouvel abonnement pour la nouvelle version du logiciel, configurez le gestionnaire de mise à jour pour gérer cet abonnement. 1. Dans la vue Gestionnaires de mise à jour, sélectionnez le gestionnaire de mise à jour, cliquez avec le bouton droit de la souris et cliquez sur Voir/Modifier la configuration.

Guide de mise à niveau avancée de Sophos Endpoint Security and Control, version 9

Pour voir les détails d'un abonnement, par exemple, quels logiciels il inclut, cliquez sur Voir les détails. 3. Pour déplacer l'abonnement sélectionné dans la liste “Abonné à”, cliquez sur le bouton “Ajouter”. Par défaut, les logiciels sont téléchargés dans le partage \<NomOrdinateur>\SophosUpdate, où NomOrdinateur est le nom de l'ordinateur où le gestionnaire de mise à jour est installé. Vous pouvez spécifier des partages supplémentaires comme le décrit la section Détermination de l'emplacement des logiciels à la page 41. Si vous voulez télécharger la nouvelle version immédiatement, sélectionnez le gestionnaire de mise à jour, cliquez avec le bouton droit de la souris et cliquez sur Mettre à jour maintenant.

9.4 Configuration des stratégies de mise à jour

Si vous avez créé un nouvel abonnement logiciels et configuré le gestionnaire de mise à jour pour gérer cet abonnement, configurez les stratégies de mise à jour pour mettre à jour les ordinateurs avec les logiciels spécifiés dans l'abonnement. Vous pouvez exécuter l'une des deux opérations suivantes : ■

Changer votre stratégie ou vos stratégies de mise à jour pour qu'elles se réfèrent au nouvel abonnement.

Si vous faites ceci, vos systèmes d'extrémité seront mis à niveau à la nouvelle version lors de la vérification suivante de la présence de mises à jour.

Créer de nouvelles stratégies de mise à jour.

Vous devrez alors appliquer les nouvelles stratégies aux systèmes d'extrémité pour les mettre à niveau et les conserver à jour avec la nouvelle version.

1. Si vous voulez créer une nouvelle stratégie de mise à jour, dans la vue Systèmes d'extrémité, volet Stratégies, cliquez avec le bouton droit de la souris sur Mise à jour et sélectionnez

Créer une stratégie. Une “Nouvelle stratégie” est ajoutée à la liste et son nom est mis en surbrillance. 2. Saisissez un nouveau nom pour cette stratégie. 3. Cliquez deux fois sur la stratégie pour la modifier. 4. Dans la boîte de dialogue Stratégie de mise à jour, cliquez sur l'onglet Abonnements et sélectionnez l'abonnement pour les logiciels que vous souhaitez maintenir à jour. 5. Modifiez les autres paramètres, si nécessaire. Pour plus d'informations, reportez-vous à la section Création de nouvelles stratégies de mise à jour à la page 43. Si vous avez créé une nouvelle stratégie de mise à jour, appliquez-la à un groupe ou à plusieurs groupes d'ordinateurs d'extrémité pour les mettre à niveau, comme le décrit la section suivante.

Guide de mise à niveau avancée de Sophos Endpoint Security and Control, version 9

Windows 2000 exécutant SP3 ou une version antérieure. La spécification requise minimum pour les logiciels est Windows 2000 avec SP4. Remarque : les ordinateurs qui ont été mis à niveau à Endpoint Security and Control 9 récupèrent leurs paramètres de contrôle des périphériques depuis la nouvelle stratégie de contrôle des périphériques. Tous les paramètres de contrôle des périphériques que vous avez définis auparavant dans la stratégie de contrôle des applications seront uniquement appliqués sur les ordinateurs continuant à exécuter Sophos Anti-Virus 7. Pour que les ordinateurs mis à niveau utilisent les “anciens” paramètres de contrôle des périphériques, transférez les paramètres de la stratégie de contrôle des applications vers la stratégie de contrôle des périphériques comme décrit à la section Transfert des paramètres du contrôle des périphériques vers la nouvelle stratégie à la page 36. Pour appliquer une nouvelle stratégie de mise à jour à un groupe d'ordinateurs : 1. Dans le volet Stratégies, sélectionnez la stratégie de mise à jour. 2. Cliquez sur la stratégie et faites la glisser sur le groupe sur lequel vous souhaitez que la stratégie s'applique. Lorsque vous y êtes invité, confirmez que vous désirez continuer. Autrement, cliquez avec le bouton droit de la souris sur un groupe et sélectionnez Voir les détails de la stratégie du groupe. Sélectionnez ensuite les stratégies de ce groupe dans les menus déroulants. Au cours de la mise à jour suivante, les ordinateurs seront mis à niveau à la nouvelle version des logiciels de sécurité, Sophos Endpoint Security and Control 9. Remarque : lorsque les ordinateurs se mettent à jour à Sophos Endpoint Security and Control 9, il se peut que leurs détails dans la liste des ordinateurs de l'Enterprise Console indiquent “Diffère de la stratégie” dans la colonne Conformité à la stratégie. Pour corriger ce problème, cliquez avec le bouton droit de la souris sur les ordinateurs et sélectionnez Mettre en conformité avec, puis sélectionnez la ou les stratégies appropriées.

Guide de mise à niveau avancée de Sophos Endpoint Security and Control, version 9

2. Dans la boîte de dialogue qui apparaît, passez en revue les paramètres. Pour de plus amples informations sur les paramètres des stratégies, consultez l'Aide de la Sophos Enterprise Console. 3. Pour vérifier que les stratégies appliquées à chaque groupe sont correctes, dans le volet Groupes, cliquez avec le bouton droit de la souris sur un groupe pour afficher un menu. Sélectionnez Voir les détails de la stratégie du groupe. 4. Dans la fenêtre Détails du groupe, assurez-vous que les stratégies affectées au groupe sont correctes. Si elles ne le sont pas, pour un type de stratégie, sélectionnez une stratégie différente depuis la liste déroulante et confirmez votre sélection. Pour configurer les nouveaux paramètres des stratégies (par exemple, le contrôle des données ou l'administration déléguée) pour les ordinateurs Windows 2000/XP/2003/Vista, reportez-vous à la section Configuration des nouvelles fonctions à la page 37.

Guide de mise à niveau avancée de Sophos Endpoint Security and Control, version 9

Anti-Virus 7, vos paramètres de contrôle des périphériques se trouvent dans la stratégie de contrôle des applications. Pour les transférer dans la nouvelle stratégie de contrôle des périphériques, qui est utilisée par les ordinateurs mis à niveau à Endpoint Security and Control 9, utilisez l'outil DeviceControlMigration. L'outil DeviceControlMigration crée des nouvelles stratégies de contrôle des périphériques correspondant à vos stratégies de contrôle des applications qui spécifient les périphériques bloqués et les applique aux groupes d'ordinateurs en conséquence. Vos stratégies de contrôle des applications existantes restent inchangées. Pour transférer les paramètres du contrôle des applications vers les stratégies de contrôle des périphériques : 1. Sur l'ordinateur sur lequel le serveur d'administration de l'Enterprise Console est installé, dans votre répertoire d'installation (généralement C:\Program Files), naviguez vers le dossier Sophos\Enterprise Console. 2. Recherchez l'outil DeviceControlMigration.exe et exécutez-le. Il n'est pas nécessaire de spécifier de paramètres pour exécuter l'outil de migration. Les options supplémentaires suivantes sont disponibles :

Pour plus d'informations sur le paramétrage du contrôle des données, reportez-vous à la section “Configuration de la stratégie de contrôle des données” dans l'Aide de la Sophos

Enterprise Console. Important : pour que le contrôle des données fonctionne après la mise à niveau, les systèmes d'extrémité doivent faire l'objet d'un redémarrage après l'installation de Sophos Endpoint Security and Control 9.

Paramétrage des alertes

Après vous être abonné aux logiciels de sécurité, vous pouvez paramétrer des alertes par courriel d'abonnement. Après avoir configuré les nouvelles fonctions dans l'Enterprise Console, vous pouvez paramétrer des alertes pour ces fonctions. Pour plus d'informations sur le paramétrage des alertes, reportez-vous à la section “Paramétrage des alertes” dans l'Aide de la Sophos Enterprise Console.

Guide de mise à niveau avancée de Sophos Endpoint Security and Control, version 9

13.2 Echec de la mise à niveau des bases de données NAC Si, pour quelque raison que ce soit, la mise à niveau des bases de données NAC échoue : 1. Si elles ont été créées, supprimez les bases de données NAC suivantes : ■

Vous pouvez utiliser le journal des événements sur le serveur de base de données pour consulter des informations supplémentaires.

13.3 Migration impossible des paramètres de mise à jour vers Sophos

Update Manager Parfois, il n'est pas possible de migrer les paramètres d'EM Library vers Sophos Update Manager pour un certain nombre de raisons, par exemple, parce qu'EM Library utilise des packages personnalisés ne pouvant pas être migrés ou EM Library se met à jour depuis un emplacement qui n'est pas une source de mise à jour valide pour un gestionnaire de mise à jour. Si l'intégralité des paramètres de mise à jour ou certains d'entre eux ne peuvent pas être migrés, vous devrez exécuter toutes les étapes suivantes ou certaines d'entre elles :

13.3.1 Abonnement aux logiciels et aux mises à jour Sophos

Les abonnements vous permettent de définir quels logiciels doivent être téléchargés depuis Sophos. Dans un abonnement, vous pouvez spécifier une version de logiciel pour chaque plate-forme prise en charge. Si vous voulez télécharger plusieurs versions différentes de logiciels pour la même plate-forme, vous devrez créer plusieurs abonnements. Important : si vous souhaitez télécharger Sophos Anti-Virus pour NetWare, veuillez consulter l'article 59192 de la base de connaissances du support de Sophos (http://www.sophos.fr/support/knowledgebase/article/59192.html). Pour vous abonner aux logiciels et aux mises à jour de sécurité Sophos : 1. Dans la vue Gestionnaires de mise à jour, dans le volet Abonnements logiciels, cliquez deux fois sur l'abonnement que vous souhaitez modifier (par exemple, "Recommandé") ou cliquez sur le bouton Ajouter en haut du volet pour créer un nouvel abonnement. 2. Dans la boîte de dialogue Abonnement logiciels, modifiez le nom de l'abonnement, si vous le souhaitez. 3. Près de la plate-forme pour laquelle vous voulez télécharger des logiciels, cliquez dans le champ Version puis cliquez de nouveau. Une liste déroulante des versions disponibles apparaît. 4. Sélectionnez le type de mise à jour et la version du logiciel que vous voulez télécharger (par exemple, “Recommandé :7” pour Windows 2000 ou supérieur). Normalement, il convient de s'abonner aux versions “Recommandées” pour s'assurer que vos logiciels sont maintenus à jour automatiquement. Pour savoir quels autres types de mises à jour sont disponibles, reportez-vous à la section Annexe : quels types de mises à jour sont disponibles ? à la page 45. Important : si vous sélectionnez une version fixe, par exemple 7.6.5, Sophos vous conseille de laisser la case à cocher Mettre automatiquement à niveau la version fixe du logiciel lorsqu'elle n'est plus prise en charge par Sophos sélectionnée. L'exécution de logiciels non pris en charge vous laisse non protégés contre les nouvelles menaces de sécurité. 5. Répétez les étapes 3 et 4 pour chaque plate-forme pour laquelle vous voulez télécharger les logiciels. Après vous être abonné aux logiciels de sécurité, vous devez configurer le gestionnaire de mise à jour pour gérer ces abonnements et distribuer les logiciels via le réseau. Vous pouvez aussi paramétrer les alertes par courriel d'abonnement. Pour plus d'informations sur les alertes par courriel d'abonnement, reportez-vous à la rubrique “Configuration des alertes d'abonnement” de la section “Paramétrage des alertes” de l'aide de la Sophos Enterprise Console.

13.3.2 Configuration du gestionnaire de mise à jour

Pour configurer le gestionnaire de mise à jour :

Guide de mise à niveau avancée de Sophos Endpoint Security and Control, version 9

La boîte de dialogue Configuration du gestionnaire de mise à jour apparaît. 2. Modifiez la configuration comme le décrivent les sections suivantes. 13.3.2.1 Sélection d'une source de mise à jour pour le gestionnaire de mise à jour Vous devez sélectionner une source à partir de laquelle le gestionnaire de mise à jour téléchargera les logiciels de sécurité et les mises à jour en vue d'une distribution sur l'ensemble du réseau. Vous pouvez sélectionner plusieurs sources. Dans ce cas, la source principale sera la première source que vous avez sélectionnée dans la liste des sources de mise à jour. Les autres sources de la liste sont des emplacements alternatifs et optionnels utilisés par le gestionnaire de mise à jour lorsqu'il n'est pas en mesure de récupérer une mise à jour depuis la source principale. Le gestionnaire de mise à jour au sommet de la hiérarchie de mise à jour, qui télécharge les logiciels depuis Sophos, doit avoir “Sophos” comme source principale. Pour sélectionner une source de mise à jour : 1. Dans la boîte de dialogue Configuration du gestionnaire de mise à jour, sur l'onglet Sources, cliquez sur Ajouter. 2. Dans la boîte de dialogue Détails de la source, dans le champ Adresse, saisissez l'adresse de la source de mise à jour. L'adresse peut être un chemin UNC ou HTTP. Si vous souhaitez télécharger les logiciels et les mises à jour directement depuis Sophos, sélectionnez Sophos. 3. Si nécessaire, dans les champs Nom utilisateur et Mot de passe, saisissez le nom utilisateur et le mot de passe du compte qui sera utilisé pour accéder à la source de mise à jour. ■

Si la source de mise à jour est Sophos, saisissez les codes d'accès de téléchargement fournis par Sophos.

■ Si la source de mise à jour est le partage de mise à jour par défaut créé par un gestionnaire de mise à jour placé plus haut dans la hiérarchie de mise à jour, les champs Nom utilisateur et Mot de passe seront pré-remplis. L'emplacement de mise à jour par défaut est un partage UNC \\<NomOrdinateur>\SophosUpdate, où NomOrdinateur est le nom de l'ordinateur où le gestionnaire de mise à jour est installé. ■ Si la source de mise à jour est un partage de mise à jour autre que celui par défaut sur votre réseau, saisissez les codes d'accès du compte qui a les droits en lecture du partage. Si le Nom utilisateur doit être qualifié pour indiquer le domaine, utilisez la forme domaine\nomutilisateur.

Guide de mise à niveau avancée de Sophos Endpoint Security and Control, version 9

La nouvelle source apparaît dans la liste de la boîte de dialogue Configuration du gestionnaire de mise à jour. Si vous configurez un gestionnaire de mise à jour supplémentaire et si vous avez déjà installé un gestionnaire de mise à jour sur un ordinateur différent, le partage sur lequel ce gestionnaire téléchargera les logiciels et les mises à jour apparaîtra dans la liste d'adresses. Vous pouvez le sélectionner en tant que source pour le gestionnaire de mise à jour que vous configurez. Vous pouvez ensuite déplacer l'adresse que vous souhaitez voir apparaître au début de la liste, à l'aide des boutons Monter et Descendre situés à droite de la liste. 13.3.2.2 Sélection des logiciels à télécharger Vous devez sélectionner les abonnements que le gestionnaire de mise à jour utilisera pour télécharger et distribuer les logiciels sur le réseau. Pour sélectionner un abonnement ou plusieurs : 1. Dans la boîte de dialogue Configuration du gestionnaire de mise à jour, sur l'onglet Abonnements, sélectionnez un abonnement dans la liste des abonnements disponibles. Pour voir les détails d'un abonnement, par exemple, quels logiciels il inclut, cliquez sur Voir les détails. 2. Pour déplacer l'abonnement sélectionné dans la liste “Abonné à”, cliquez sur le bouton >. Pour déplacer tous les abonnements dans la liste “Abonné à”, cliquez sur le bouton >>. 13.3.2.3 Détermination de l'emplacement des logiciels Après avoir sélectionné les logiciels à télécharger, vous pouvez déterminer où ils doivent être placés sur le réseau. Par défaut, les logiciels sont placés dans un partage UNC \\<NomOrdinateur>\SophosUpdate, où NomOrdinateur est le nom de l'ordinateur où le gestionnaire de mise à jour est installé. Vous pouvez distribuer les logiciels téléchargés sur les partages supplémentaires de votre réseau. Pour cela, ajoutez un partage réseau existant dans la liste des partages disponibles, puis déplacez-le dans la liste des partages de mise à jour comme décrit ci-dessous. Pour déterminer où les logiciels sont placés : 1. Dans la boîte de dialogue Configuration du gestionnaire de mise à jour, sur l'onglet Distribution, sélectionnez un abonnement logiciels dans la liste.

Guide de mise à niveau avancée de Sophos Endpoint Security and Control, version 9

“Mettre à jour dans” en cliquant sur le bouton >. Le partage par défaut \\<NomOrdinateur>\SophosUpdate est toujours présent dans la liste “Mettre à jour dans”. Vous ne pouvez pas supprimer ce partage de la liste. La liste des partages “Disponibles” inclut tous les partages dont l'Enterprise Console a connaissance et qui ne sont pas déjà utilisés par un autre gestionnaire des mises à jour. Vous pouvez ajouter un partage existant dans la liste des partages “Disponibles” ou en enlever un à l'aide du bouton Ajouter ou Supprimer. 3. Si vous voulez saisir une description de partage ou les codes d'accès nécessaires pour écrire dans le partage, sélectionnez ce dernier et cliquez sur Configurer. 4. Dans la boîte de dialogue Gestionnaire des partages, saisissez la description et les codes d'accès. Le logiciel que vous avez sélectionné est téléchargé dans les partages que vous avez spécifié à la prochaine mise à jour planifiée. Si vous voulez modifier la planification des mises à jour par défaut, reportez-vous à la section Modification d'une planification des mises à jour à la page 42. Si vous voulez télécharger les logiciels immédiatement, sélectionnez le gestionnaire de mise à jour, cliquez avec le bouton droit de la souris et cliquez sur Mettre à jour maintenant. 13.3.2.4 Modification d'une planification des mises à jour Par défaut, un gestionnaire de mise à jour vérifie les mises à jour des données de détection des menaces toutes les 10 minutes. Vous pouvez changer cet intervalle de mise à jour. La valeur minimum est 5 minutes. La valeur maximum est 1440 minutes (24 heures). Sophos conseille de choisir un intervalle de mise à jour de 10 minutes pour les données de détection des menaces pour que vous receviez une protection contre les nouvelles menaces immédiatement après la publication par Sophos de ces données de détection. Par défaut, un gestionnaire de mise à jour vérifie les mises à jour des logiciels toutes les 60 minutes. Vous pouvez changer cet intervalle de mise à jour. La valeur minimum est 5 minutes. La valeur maximum est 1440 minutes (24 heures). Pour les mises à jour logicielles, vous pouvez soit spécifier un intervalle de mise à jour utilisé toutes les heures chaque jour soit créer des planifications plus sophistiquées où chaque jour peut être défini indépendamment et divisé en périodes avec des intervalles de mise à jour différents. Remarque : vous pouvez créer une planification différente pour chaque jour de la semaine. Seule une planification peut être associée à un jour de la semaine. Si vous voulez changer la planification par défaut : ■

Dans la boîte de dialogue Configuration du gestionnaire de mise à jour, sur l'onglet

Planification, saisissez les nouveaux intervalles de mise à jour ou créez une planification plus détaillée, ou encore des planifications différentes suivant les jours de la semaine.

Si vous le souhaitez, vous pouvez aussi changer les paramètres par défaut du journal et de la mise à jour automatique du gestionnaire de mise à jour. Exécutez cette opération en modifiant les paramètres respectivement dans les onglets Journalisation et Avancés.

Il se peut que vous souhaitiez publier le logiciel de sécurité Sophos sur un serveur Web pour que les ordinateurs disposent d'un accès via HTTP. Si vous souhaitez installer la version 4 de Sophos Anti-Virus pour UNIX, vous devez impérativement procéder ainsi, toutefois, vous pouvez attendre d'avoir téléchargé la version 4 de Sophos Anti-Virus pour UNIX pour effectuer cette tâche si vous le désirez. Pour publier le logiciel de sécurité sur un serveur Web, procédez de la manière suivante : 1. Pour connaître le chemin du dossier partagé, connu sous le nom d'emplacement des fichiers d'amorce, dans lequel le logiciel de sécurité a été téléchargé : a) Dans l'Enterprise Console, dans le menu Affichage, cliquez sur Emplacements des fichiers d'amorce. Dans la boîte de dialogue Emplacements des fichiers d'amorce, la colonne Emplacement affiche le chemin de l'emplacement du fichier d'amorce pour chaque plate-forme. b) Notez le chemin jusqu'au dossier CIDs mais sans l'inclure. Par exemple : \\nom serveur\SophosUpdate 2. Mettez l'emplacement du fichier d'amorce, y compris les sous-dossiers, à disposition sur le serveur Web. 3. Spécifiez les noms utilisateur et mots de passe pour empêcher tout accès non autorisé à ce dossier sur le serveur Web. Remarque : la documentation de votre serveur Web doit expliquer comment partager un dossier sur le Web et comment paramétrer les noms utilisateur et les mots de passe. Pour plus d'informations sur la manière de procéder, veuillez contacter le fabricant du serveur Web.

13.3.4 Création de nouvelles stratégies de mise à jour

Si l'intégralité des nouvelles stratégies de mise à jour ou certaines d'entre elles correspondant aux stratégies de mise à jour héritées n'ont pas pu être créées lors de la migration vers Sophos Update Manager, créez-les manuellement. Pour créer une nouvelle stratégie de mise à jour : 1. Dans la vue Systèmes d'extrémité, dans le volet Stratégies, cliquez avec le bouton droit de la souris sur Mise à jour et sélectionnez Créer une stratégie. Une “Nouvelle stratégie” est ajoutée à la liste et son nom est mis en surbrillance. 2. Saisissez un nouveau nom pour cette stratégie. 3. Cliquez deux fois sur la nouvelle stratégie. Dans la boîte de dialogue Stratégie de mise à jour, cliquez sur l'onglet Abonnement et sélectionnez l'abonnement pour les logiciels que vous souhaitez maintenir à jour.

Guide de mise à niveau avancée de Sophos Endpoint Security and Control, version 9

\\<NomOrdinateur>\SophosUpdate, où NomOrdinateur est le nom de l'ordinateur où le gestionnaire de mise à jour est installé. Important : si vous choisissez d'utiliser un emplacement HTTP (par exemple, un partage de mise à jour web) ou un partage qui n'est géré par aucun gestionnaire des mises à jour administré, l'Enterprise Console ne pourra pas vérifier que les logiciels spécifiés dans la stratégie d'abonnement sont disponibles à cette adresse. Vous devez manuellement vous assurer que le partage contient les logiciels qui sont spécifiés dans la stratégie d'abonnement. Sinon, les ordinateurs ne seront pas mis à jour. 5. Si vous souhaitez administrer des Macs depuis l'Enterprise Console et si vous avez spécifié un chemin UNC dans le chemin Adresse, sous Options spécifiques à Mac OS, sélectionnez un protocole que les Macs utiliseront pour accéder au partage de mise à jour. 6. Si nécessaire, dans le champ Nom utilisateur, saisissez le nom utilisateur du compte qui sera utilisé pour accéder au serveur, puis saisissez et confirmez le mot de passe. Ce compte doit avoir les droits en lecture du partage que vous avez saisi dans le champ de l'adresse ci-dessus. Remarque : si le nom utilisateur doit être qualifié pour indiquer le domaine, utilisez la forme domaine\nomutilisateur. 7. Si vous accédez à Internet via un serveur proxy, cliquez sur Détails du proxy. Dans la boîte de dialogue Détails du proxy, sélectionnez Accéder au serveur via un proxy. Puis saisissez l'Adresse et le numéro du Port du serveur proxy. Saisissez un Nom utilisateur et un Mot de passe qui donnent accès au serveur proxy. Si le nom utilisateur doit être qualifié pour indiquer le domaine, utilisez la forme domaine\nomutilisateur. Vous pouvez maintenant appliquer cette stratégie à un groupe ou à des groupes d'ordinateurs pour les conserver à jour avec vos logiciels de sécurité choisis. Vous pouvez aussi, si vous le souhaitez, limiter la bande passante utilisée, paramétrer une source alternative pour les mises à jour ou changer la planification des mises à jour, la journalisation et les détails de la source d'installation initiale. Pour plus d'informations sur la configuration des stratégies de mise à jour, reportez-vous à la section “Configuration de la stratégie de mise à jour” dans l'Aide de la Sophos Enterprise Console. Poursuivez la migration comme le décrit la section Configuration du gestionnaire de mise à jour sur l'ordinateur Enterprise Console à la page 27.

Guide de mise à niveau avancée de Sophos Endpoint Security and Control, version 9

Remarque : Sophos se réserve le droit d'ajouter de nouvelles versions identifiées. L'Assistant de téléchargement des logiciels de sécurité configure un abonnement qui spécifie les versions recommandées de tous les logiciels sélectionnés. Après abonnement à une version identifiée, par exemple, la version “recommandée” ou “précédente”, l'Enterprise Console télécharge toujours la version qui est identifiée comme telle pour Sophos. Les versions actuellement téléchargées changent généralement chaque mois.

Tous les mois, les versions fixes sont mises à jour avec des nouvelles données de détection des menaces, mais pas avec la dernière version du logiciel. Si vous voulez évaluer les nouvelles versions des logiciels avant de les placer sur votre réseau principal, vous pouvez utiliser des versions fixes des logiciels sur le même réseau tout en évaluant les nouvelles versions. Généralement, il y a des versions fixes pour chaque système d'exploitation, représentant les trois versions mensuelles précédentes. Sophos Endpoint Security and Control pour Windows 2000 et supérieur, version 9.4.3 est un exemple de version fixe. Les versions fixes sont téléchargées tant qu'elles sont disponibles depuis Sophos. Si une version fixe est sur le point d'être retirée, une alerte apparaît dans la vue Gestionnaires de mise à jour près de tous les gestionnaires de mise à jour qui téléchargent cette version. Si vous avez configuré les alertes par courriel, l'administrateur recevra aussi une alerte par courriel.

Guide de mise à niveau avancée de Sophos Endpoint Security and Control, version 9

Mettre automatiquement à niveau la version fixe du logiciel lorsqu'elle n'est plus prise en charge par Sophos. Sachez cependant que l'utilisation de logiciels non pris en charge vous laisse non protégé contre les nouvelles menaces de sécurité. Sophos vous recommande par conséquent de mettre à niveau une version non prise en charge aussitôt que possible.

Guide de mise à niveau avancée de Sophos Endpoint Security and Control, version 9

Le ou les numéro(s) de version des logiciels Sophos

Les logiciels Sophos mentionnés dans le présent document incluent ou peuvent inclure des programmes logiciels concédés en licence (ou en sous licence) à l'utilisateur selon les termes de la licence Common Public License (CPL), qui, entre autres droits, permettent à l'utilisateur d'avoir accès au code source. La licence CPL exige que pour tout logiciel concédé en licence sous les termes de la licence CPL, qui est distribuée sous un format de code objet, le code source soit aussi mis à disposition de ces utilisateurs sous un format de code objet. Pour chacun de ces logiciels couverts par la licence CPL, le code source est disponible sur commande par courrier postal envoyé à Sophos, par courrier électronique envoyé à support@sophos.com ou par Internet sur http://www.sophos.fr/support/queries/enterprise.html. Une copie du contrat de licence pour chacun des logiciels inclus est disponible sur http://opensource.org/licenses/cpl1.0.php

ACE™, TAO™, CIAO™, and CoSMIC™

ACE1, TAO2, CIAO3, and CoSMIC4 (henceforth referred to as “DOC software”) are copyrighted by Douglas C. Schmidt5 and his research group6 at Washington University7, University of échec de mise à niveau des bases de données NAC 38 Erreurs de mise à niveau du NAC Manager 38 rétablissement de la base de données Enterprise Console 9

S sauvegarde de la base de données Enterprise Console

9 sauvegarde des bases de données NAC 8 sélection des logiciels 41 serveur d'applications NAC mise à niveau 16 Sophos Update Manager installation 25 migration vers 22 rapport de migration 26 source de mise à jour 40 serveur Web 43

T P partages de mise à jour test 29 planification des mises à jour 42 préparation à la mise à niveau 8 sauvegarde de la base de données Enterprise

Console 9 sauvegarde des bases de données NAC 8 vérification des paramètres d'EM Library 8 programmes d'installation téléchargement 13 publication du logiciel sur un serveur Web 43

test des partages de mise à jour 29 test des stratégies de mise à jour 29 transfert des paramètres du contrôle des périphériques 36 types de mise à jour 45