Antivirus lycées : Mise à jour OfficeScan - XG (12) Préconisations Académiques Nantes - Académie ...
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Antivirus
lycées :
Mise à jour
OfficeScan
XG (12)
Préconisations Académiques
Nantes
Administration des systèmes pour les établissements et les services académiques
DSI-D2 - Infrastructures
Rectorat de NantesRédacteur : Christian Le Breton Projet : Antivirus - Lycées
Date de Mise à Jour : 31/05/2017 Version : 1.0
Contacts
Nom Société Fonction Téléphone Adresse électronique
Le Breton Christian Rectorat Nantes DSI-D2 / Cellule-systemes antivirus@ac-nantes.fr
Type de document
Nom Confidentialité Périmètre de diffusion
Préconisations Académiques Académique Etablissements, CRID, Collectivités
Révision du document
Version Modification Auteur Description
1.0 31/05/2017 C. Le Breton Documentation initiale
Validation du document
Nom Fonction Date
Rédaction par : Christian Le Breton Cellule système DSI 31/05/2017
Vérification par :
Validation par : Mahir Topal Conseiller Info Sud-Loire 13/06/2017
Approbation par :
AC Nantes\DSI\D2\SYS : Procédure Page : 2 / 6Rédacteur : Christian Le Breton Projet : Antivirus - Lycées
Date de Mise à Jour : 31/05/2017 Version : 1.0
SOMMAIRE
1 Présentation ................................................................................................... 4
2 Pré-requis ....................................................................................................... 4
2.1 Versions OfficeScan prises en charge .................................................................... 4
2.2 Serveur de réputation .......................................................................................... 4
2.3 Blocage de la montée en version clients ................................................................ 5
3 Mise à jour d'un serveur existant ...................................................................... 5
3.1 Téléchargement des exécutables .......................................................................... 5
3.2 Montée en version serveur ................................................................................... 5
3.2.1 Nouvelles options de surveillance des comportements .................................. 6
3.2.2 En cas de serveur apache… ........................................................................ 6
3.2.3 Suite de l'installation................................................................................... 6
3.3 Déploiement des clients ....................................................................................... 6
AC Nantes\DSI\D2\SYS : Procédure Page : 3 / 6Rédacteur : Christian Le Breton Projet : Antivirus - Lycées
Date de Mise à Jour : 31/05/2017 Version : 1.0
1 Présentation
Afin d'effectuer une montée en version de l'antivirus de postes TrendMicro OfficeScan, on dispose de
deux méthodes principales : mise à jour du serveur existant ou installation d'un nouveau serveur suivi
de la migration (plus ou moins progressive) des clients.
Dans le 1er cas, pourvu que le serveur existant soit suffisamment pérenne et à jour (OS et
OfficeScan), l'opération est habituellement simple et sans risques majeurs.
Si un nouveau serveur OfficeScan doit être installé en remplacement, plusieurs précautions doivent
être prises afin d'aboutir sans intervention complémentaire côté clients… Ce cas fera l'objet d'une
procédure spécifique.
2 Pré-requis
2.1 Versions OfficeScan prises en charge
La montée en version vers OfficeScan XG d'un serveur (et de ses clients) n'est supportée qu'à
partir des versions suivantes :
OfficeScan 11.0
OfficeScan 11.0 Service Pack 1
OfficeScan 10.6 Service Pack 3
Un minimum d'espace disque (quelques GO) est nécessaire : l'installeur proposant de
sauvegarder l'existant, il occupera obligatoirement quelques centaines de MO !
Si votre console actuelle ne répond pas à ces critères, il faudra commencer par y remédier
avant toute opération...
Que le serveur existant soit mis à jour ou réinstallé, il est par ailleurs nécessaire de prendre
quelques précautions : au minimum un snapshot du serveur.
2.2 Serveur de réputation
La version 12 (XG) d'OfficeScan impose aux clients d'effectuer leurs requêtes de réputation
auprès d'un serveur TMSPS (votre "SRV-SCAN") en version 3.1 minimum. Si votre console
OfficeScan ne fait référence qu'à son "service de réputation intégré" (ce qui n'est pas trop
recommandé), celui-ci sera automatiquement mis à jour à l'installation. Pour info, les services
hébergés au rectorat (smartscan-et*.(in.)ac-nantes.fr), sont déjà en version 3.1.
Si vous utilisez un serveur de réputation "srv-scan" local, commencer par vérifier : sur la
console web https://srv-scan:4343 > aide / à propos de :
En cas de version antérieure, procéder à sa mise à jour, comme indiqué sur http://www.ac-
nantes.fr/academie/systemes-d-informations/preconisations-reseaux-eple/securite/strategie-
antivirale/installation-serveur-de-reputation-trendmicro-tmcss-en-lycee-544122.kjsp
Cette mise à jour EST OBLIGATOIRE AVANT DE PASSER A LA SUITE !
Au passage et si ça n'est déjà le cas, procéder à la migration de la VM SRV-SCAN vers le vlan
serveurs, si elle est toujours en DMZ privée (comme préconisé depuis juin 2016)…
AC Nantes\DSI\D2\SYS : Dossier Technique Page : 4/ 6Rédacteur : Christian Le Breton Projet : Antivirus - Lycées
Date de Mise à Jour : 31/05/2017 Version : 1.0
2.3 Blocage de la montée en version clients
Afin de maitriser un minimum le déploiement côté clients, il est préférable de désactiver la
montée de version des clients au préalable :
Sur l'ancienne console (v11) accéder au menu agents > gestion des agents
A la racine de l'arborescence, ouvrir le menu paramètres > privilèges et autres
paramètres
Dans l'onglet [autres paramètres], cocher la case "Les agents OfficeScan peuvent mettre
à jour les composants, mais ne peuvent pas mettre à niveau…"
Cliquer [Appliquer à tous les agents]
Il sera ainsi possible de déployer progressivement la nouvelle version, en observant les
éventuels effets indésirables avant généralisation… Comme précisé, seul le programme reste en
attente ; les "signatures" continuent de se mettre à jour. Le déploiement peut donc se faire
sans problème sur la durée…
3 Mise à jour d'un serveur existant
En cas de serveur (VM) récent, OS à jour et "en bonne forme", d'une console OfficeScan ne
présentant pas de dysfonctionnement apparent, la mise à jour "par-dessus" est la solution à
privilégier.
Pour cela, il suffit d'appliquer successivement l'exécutable d'installation ainsi que les patches
téléchargés. Il est malgré tout utile de s'y prendre dans l'ordre :
3.1 Téléchargement des exécutables
Dans le cas d'une montée en version d'un serveur existant ou de l'installation d'une nouvelle
console, les mêmes fichiers sont utilisés. Ceux-ci sont disponibles sur http://www.ac-
nantes.fr/academie/systemes-d-informations/preconisations-reseaux-eple/securite/strategie-
antivirale/installation-officescan-xg-en-lycee-1042856.kjsp .
Au moment de la rédaction, en plus de l'installation initiale, deux patches sont nécessaires, soit
au total pas loin de 2 GO d'exe !
3.2 Montée en version serveur
Cette opération peut demander un certain temps ; on peut compter au total une demi-journée,
en fonction des performances de l'infra et de l'occupation de la base de données de la console.
Etant donné l'impact sur le trafic réseau, il est fortement recommandé de la lancer en dehors
de la production ! Malgré tout, pendant l'indisponibilité du serveur, les clients continuent d'être
protégés et aucun "effet de bord" bloquant ne doit être observé au niveau de l'usager…
L'installation elle-même, à partir de l'exécutable "OSCE.exe" (le nommage du fichier ne
comporte pas les indications habituelles de l'éditeur) ne présente pas de difficultés : accepter
les conditions et les premières validations.
AC Nantes\DSI\D2\SYS : Dossier Technique Page : 5/ 6Rédacteur : Christian Le Breton Projet : Antivirus - Lycées
Date de Mise à Jour : 31/05/2017 Version : 1.0
3.2.1 Nouvelles options de surveillance des comportements
Accepter le paramètre recommandé.
3.2.2 En cas de serveur apache…
Si l'installation initiale de votre console repose sur un serveur web Apache, OfficeScan XG
ne le supportant plus, son remplacement par IIS est proposé. Tout est pris en charge :
ajout du rôle et des fonctionnalités annexes, migration des données…
3.2.3 Suite de l'installation
La suite se déroule sans choix déterminants…
Une fois la console en version 12.0.1406, patienter quelques minutes afin de laisser les clients
récupérer les nouveaux composants et en mettre à jour certains autres. Vérifier l'occupation du
serveur dans le menu mises à jour > résumé. Quand le nombre de clients en attente est
revenu à la normale (au besoin, cliquer "annuler la notification"), le patchage peut commencer
(à ce jour, les patches 12.0.1415 et 12.0.1429 sont à appliquer).
3.3 Déploiement des clients
Une fois la console à jour, il suffit de décocher la case de l'étape 3.1, en commençant par les
postes "pilotes" judicieusement choisis : machines représentatives de l'ensemble du parc, avec
les applications sensibles et les usagers pertinents et réactifs… Un autre client à mettre à jour
en priorité : l'agent relais (srv-dc1 ou un serveur quelconque du vlan serveurs).
Si aucun retour négatif n'est observé après plusieurs jours, le décochage peut être effectué à la
racine : le serveur OfficeScan gère assez bien les files d'attente des mises à jour afin d'éviter la
saturation du réseau…
AC Nantes\DSI\D2\SYS : Dossier Technique Page : 6/ 6Vous pouvez aussi lire
