Antivirus lycées : Mise à jour OfficeScan - XG (12) Préconisations Académiques Nantes - Académie ...

La page est créée Marc Cordier
 
CONTINUER À LIRE
Antivirus
                           lycées :
                       Mise à jour
                       OfficeScan
                        XG (12)

       Préconisations Académiques
                 Nantes

Administration des systèmes pour les établissements et les services académiques
DSI-D2 - Infrastructures
Rectorat de Nantes
Rédacteur : Christian Le Breton                                     Projet : Antivirus - Lycées
                       Date de Mise à Jour : 31/05/2017                                    Version : 1.0

      Contacts

Nom                         Société                       Fonction                           Téléphone     Adresse électronique
Le Breton Christian         Rectorat Nantes               DSI-D2 / Cellule-systemes                        antivirus@ac-nantes.fr

      Type de document

Nom                                          Confidentialité             Périmètre de diffusion
Préconisations Académiques                   Académique                  Etablissements, CRID, Collectivités

      Révision du document

Version               Modification        Auteur                     Description
1.0                   31/05/2017          C. Le Breton               Documentation initiale

      Validation du document

                               Nom                                   Fonction                         Date
 Rédaction par :               Christian Le Breton                   Cellule système DSI              31/05/2017
 Vérification par :
 Validation par :              Mahir Topal                           Conseiller Info Sud-Loire        13/06/2017
 Approbation par :

      AC Nantes\DSI\D2\SYS : Procédure                                                                         Page : 2 / 6
Rédacteur : Christian Le Breton                                               Projet : Antivirus - Lycées
                   Date de Mise à Jour : 31/05/2017                                              Version : 1.0

      SOMMAIRE

        1                 Présentation ................................................................................................... 4
        2                 Pré-requis ....................................................................................................... 4
             2.1      Versions OfficeScan prises en charge .................................................................... 4
             2.2      Serveur de réputation .......................................................................................... 4
             2.3      Blocage de la montée en version clients ................................................................ 5
        3                 Mise à jour d'un serveur existant ...................................................................... 5
             3.1      Téléchargement des exécutables .......................................................................... 5
             3.2      Montée en version serveur ................................................................................... 5
                3.2.1         Nouvelles options de surveillance des comportements .................................. 6
                3.2.2         En cas de serveur apache… ........................................................................ 6
                3.2.3         Suite de l'installation................................................................................... 6
             3.3      Déploiement des clients ....................................................................................... 6

AC Nantes\DSI\D2\SYS : Procédure                                                                                              Page : 3 / 6
Rédacteur : Christian Le Breton                         Projet : Antivirus - Lycées
                 Date de Mise à Jour : 31/05/2017                        Version : 1.0

 1      Présentation
      Afin d'effectuer une montée en version de l'antivirus de postes TrendMicro OfficeScan, on dispose de
      deux méthodes principales : mise à jour du serveur existant ou installation d'un nouveau serveur suivi
      de la migration (plus ou moins progressive) des clients.
      Dans le 1er cas, pourvu que le serveur existant soit suffisamment pérenne et à jour (OS et
      OfficeScan), l'opération est habituellement simple et sans risques majeurs.
      Si un nouveau serveur OfficeScan doit être installé en remplacement, plusieurs précautions doivent
      être prises afin d'aboutir sans intervention complémentaire côté clients… Ce cas fera l'objet d'une
      procédure spécifique.

 2      Pré-requis
         2.1     Versions OfficeScan prises en charge
             La montée en version vers OfficeScan XG d'un serveur (et de ses clients) n'est supportée qu'à
             partir des versions suivantes :
                   OfficeScan 11.0
                   OfficeScan 11.0 Service Pack 1
                   OfficeScan 10.6 Service Pack 3
             Un minimum d'espace disque (quelques GO) est nécessaire : l'installeur proposant de
             sauvegarder l'existant, il occupera obligatoirement quelques centaines de MO !
             Si votre console actuelle ne répond pas à ces critères, il faudra commencer par y remédier
             avant toute opération...
             Que le serveur existant soit mis à jour ou réinstallé, il est par ailleurs nécessaire de prendre
             quelques précautions : au minimum un snapshot du serveur.

         2.2     Serveur de réputation
             La version 12 (XG) d'OfficeScan impose aux clients d'effectuer leurs requêtes de réputation
             auprès d'un serveur TMSPS (votre "SRV-SCAN") en version 3.1 minimum. Si votre console
             OfficeScan ne fait référence qu'à son "service de réputation intégré" (ce qui n'est pas trop
             recommandé), celui-ci sera automatiquement mis à jour à l'installation. Pour info, les services
             hébergés au rectorat (smartscan-et*.(in.)ac-nantes.fr), sont déjà en version 3.1.
             Si vous utilisez un serveur de réputation "srv-scan" local, commencer par vérifier : sur la
             console web https://srv-scan:4343 > aide / à propos de :

             En cas de version antérieure, procéder à sa mise à jour, comme indiqué sur http://www.ac-
             nantes.fr/academie/systemes-d-informations/preconisations-reseaux-eple/securite/strategie-
             antivirale/installation-serveur-de-reputation-trendmicro-tmcss-en-lycee-544122.kjsp
             Cette mise à jour EST OBLIGATOIRE AVANT DE PASSER A LA SUITE !
             Au passage et si ça n'est déjà le cas, procéder à la migration de la VM SRV-SCAN vers le vlan
             serveurs, si elle est toujours en DMZ privée (comme préconisé depuis juin 2016)…

AC Nantes\DSI\D2\SYS : Dossier Technique                                                      Page : 4/ 6
Rédacteur : Christian Le Breton                           Projet : Antivirus - Lycées
                 Date de Mise à Jour : 31/05/2017                          Version : 1.0

         2.3     Blocage de la montée en version clients
             Afin de maitriser un minimum le déploiement côté clients, il est préférable de désactiver la
             montée de version des clients au préalable :
                   Sur l'ancienne console (v11) accéder au menu agents > gestion des agents
                   A la racine de l'arborescence, ouvrir le menu paramètres > privilèges et autres
                    paramètres
                   Dans l'onglet [autres paramètres], cocher la case "Les agents OfficeScan peuvent mettre
                    à jour les composants, mais ne peuvent pas mettre à niveau…"

                   Cliquer [Appliquer à tous les agents]
             Il sera ainsi possible de déployer progressivement la nouvelle version, en observant les
             éventuels effets indésirables avant généralisation… Comme précisé, seul le programme reste en
             attente ; les "signatures" continuent de se mettre à jour. Le déploiement peut donc se faire
             sans problème sur la durée…

 3      Mise à jour d'un serveur existant
      En cas de serveur (VM) récent, OS à jour et "en bonne forme", d'une console OfficeScan ne
      présentant pas de dysfonctionnement apparent, la mise à jour "par-dessus" est la solution à
      privilégier.
      Pour cela, il suffit d'appliquer successivement l'exécutable d'installation ainsi que les patches
      téléchargés. Il est malgré tout utile de s'y prendre dans l'ordre :

         3.1     Téléchargement des exécutables
             Dans le cas d'une montée en version d'un serveur existant ou de l'installation d'une nouvelle
             console, les mêmes fichiers sont utilisés. Ceux-ci sont disponibles sur http://www.ac-
             nantes.fr/academie/systemes-d-informations/preconisations-reseaux-eple/securite/strategie-
             antivirale/installation-officescan-xg-en-lycee-1042856.kjsp .
             Au moment de la rédaction, en plus de l'installation initiale, deux patches sont nécessaires, soit
             au total pas loin de 2 GO d'exe !

         3.2     Montée en version serveur
             Cette opération peut demander un certain temps ; on peut compter au total une demi-journée,
             en fonction des performances de l'infra et de l'occupation de la base de données de la console.
             Etant donné l'impact sur le trafic réseau, il est fortement recommandé de la lancer en dehors
             de la production ! Malgré tout, pendant l'indisponibilité du serveur, les clients continuent d'être
             protégés et aucun "effet de bord" bloquant ne doit être observé au niveau de l'usager…
             L'installation elle-même, à partir de l'exécutable "OSCE.exe" (le nommage du fichier ne
             comporte pas les indications habituelles de l'éditeur) ne présente pas de difficultés : accepter
             les conditions et les premières validations.

AC Nantes\DSI\D2\SYS : Dossier Technique                                                         Page : 5/ 6
Rédacteur : Christian Le Breton                           Projet : Antivirus - Lycées
                 Date de Mise à Jour : 31/05/2017                          Version : 1.0

                  3.2.1 Nouvelles options de surveillance des comportements

                   Accepter le paramètre recommandé.

                  3.2.2 En cas de serveur apache…
                   Si l'installation initiale de votre console repose sur un serveur web Apache, OfficeScan XG
                   ne le supportant plus, son remplacement par IIS est proposé. Tout est pris en charge :
                   ajout du rôle et des fonctionnalités annexes, migration des données…

                  3.2.3 Suite de l'installation
                   La suite se déroule sans choix déterminants…
             Une fois la console en version 12.0.1406, patienter quelques minutes afin de laisser les clients
             récupérer les nouveaux composants et en mettre à jour certains autres. Vérifier l'occupation du
             serveur dans le menu mises à jour > résumé. Quand le nombre de clients en attente est
             revenu à la normale (au besoin, cliquer "annuler la notification"), le patchage peut commencer
             (à ce jour, les patches 12.0.1415 et 12.0.1429 sont à appliquer).

         3.3     Déploiement des clients
             Une fois la console à jour, il suffit de décocher la case de l'étape 3.1, en commençant par les
             postes "pilotes" judicieusement choisis : machines représentatives de l'ensemble du parc, avec
             les applications sensibles et les usagers pertinents et réactifs… Un autre client à mettre à jour
             en priorité : l'agent relais (srv-dc1 ou un serveur quelconque du vlan serveurs).
             Si aucun retour négatif n'est observé après plusieurs jours, le décochage peut être effectué à la
             racine : le serveur OfficeScan gère assez bien les files d'attente des mises à jour afin d'éviter la
             saturation du réseau…

AC Nantes\DSI\D2\SYS : Dossier Technique                                                         Page : 6/ 6
Vous pouvez aussi lire